Das VG Wiesbaden hat den EuGH angerufen und will wissen, ob die von der Schufa erstellten Score-Werte den Vorgaben der DSGVO genügen. Hintergrund ist der Fall einer Klägerin, die die Löschung vermeintlich falscher Schufa-Eintragungen und Auskunft zu gespeicherten Daten begehrt.

Die Schufa versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sogenannte Score-Werte. Diese spielen für Verbraucher häufig eine entscheidende Rolle bei der Kreditvergabe. Das Verwaltungsgericht (VG) Wiesbaden will nun vom Europäischen Gerichtshof (EuGH) klären lassen, inwiefern das Erstellen von Score-Werten der privaten Auskunftei Schufa unter die europäische Datenschutz-Grundverordnung (DSGVO) fällt (Beschl. v. 01.10.2021, Az. 6 K 788/20.WI).

Für die Ermittlung des Score-Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale werden von der Schufa nicht offengelegt. Sie beruft sich darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Datenschutzbeauftragter lehnte Begehren ab

Hintergrund der Vorlage an den EuGH ist ein Verfahren vor dem VG, in dem die Klägerin Eintragungen bei der Schufa, die ihrer Auffassung nach falsch sind, löschen lassen und Auskunft über die dort gespeicherten Daten haben will. Sie hatte sich diesbezüglich an den hessischen Beauftragten für Datenschutz und Informationsfreiheit gewandt. Dieser argumentierte jedoch, dass die Schufa bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und im vorliegenden Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Schutz vor allein auf Automation gründender Entscheidung

Das VG Wiesbaden möchte nun zum einen vom EuGH geklärt wissen, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, unter Art. 22 Abs. 1 der DSGVO fällt. Dieser besagt, dass Betroffene nicht Entscheidungen unterworfen werden dürfen, die ausschließlich auf einer automatisierten Verarbeitung beruhen. Falls das Erstellen von Score-Werten unter den entsprechenden DSGVO-Artikel falle, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst, so das VG. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DSGVO zulässig sei. Unter Umständen würde die Schufa dann rechtsgrundlos handeln.

Zur Begründung erläutert das Gericht, dass das Erstellen von Score-Werten nicht lediglich ein die Entscheidung des dritten Verantwortlichen (beispielsweise einer Bank) vorbereitendes Profiling, sondern gerade eine selbständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DSGVO sei. Zwar könnten jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, diese Entscheidung werde praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Ein nicht ausreichender Score-Wert werde im Bereich der Verbraucherdarlehen in fast jedem Fall zur Versagung eines Kredits führen. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DSGVO die betroffene Person aber gerade schützen, erklärte das VG.

DSGVO könnte § 31 BDSG entgegenstehen

Falls der EuGH diese erste Vorlagefrage verneint, soll er zudem prüfen, ob die DSGVO Regelungen des BDSG zu Scoring und Bonitätsauskünften entgegenstehe. In § 31 BDSG treffe der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DSGVO falle, so sei die allgemeine Vorschrift des Art. 6 DSGVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DSGVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DSGVO zu messen. Es sei also durch den EuGH zu klären, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.

BGH hält Geheimhaltung der Berechnungsmethode für zulässig

Der Bundesgerichtshof (BGH) hat das Geheimhalten der genauen Berechnungsmethode im Jahr 2014 für zulässig befunden (Urt. v. 28.01.2014, Az. VI ZR 156/13). Es sei gesetzgeberisch gewollt, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sogenannte Score-Formel, zu schützen. Wie der EuGH die ihm vorgelegten Fragen beurteilen wird, bleibt abzuwarten.

lrü