Bisherige Scoring-Praktiken der SCHUFA voraussichtlich nicht mit DSGVO vereinbar – Entscheidung des Europäischen Gerichtshofes
Kreditscorings der SCHUFA (lang: Schutzgemeinschaft für allgemeine Kreditsicherung) kennen wir aus unserem Alltag – ob beim Mietvertrag, Handyanbieter oder Stromversorger, werden Privatpersonen gebeten den eigenen SCHUFA-Score vorzulegen. In Zeiten der Digitalisierung und der Datenschutz-Grundverordnung (DSGVO) besteht allerdings schon länger Kritik an der mangelnden Transparenz zu den Tätigkeiten der SCHUFA. Eine neue Entscheidung des Europäischen Gerichtshofes (EuGH, höchste Instanz Europas) beschäftigt sich nun mit der Vereinbarkeit der Scoring-Praktiken der SCHUFA mit den Anforderungen des Datenschutzes.
SCHUFA wird verklagt
Hintergrund der Entscheidung sind mehrere Klagen von Bürgern aus Deutschland, die aufgrund mangelnder SCHUFA-Bonität die Vergabe von Krediten verwehrt wurden. Die Klagen richteten sich konkret gegen die Scoring-Praxis der SCHUFA, als auch die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.
Beim Scoring wird statistisch die Bonität von Kreditnehmern ermittelt, um sie Kunden von Wirtschaftsauskunfteien, wie etwa Banken zur Verfügung zu stellen. Wie der Score genau berechnet wird, legt die Schufa nicht detailliert offen. Die Informationen über die Erteilung einer Restschuldbefreiung werden über drei Jahre - und damit weitaus länger als die sechs Monate in den öffentlichen Registern - gespeichert werden. Hervorzuheben ist dabei, dass die SCHUFA solche Informationen als Privatunternehmen zusammenführt und Kunden, z.B. Banken, bereitstellt.
Mit dem Verfahren vor dem Verwaltungsgericht Wiesbaden wurde die Vorlage vor den EuGH erwirkt, der nun den Umfang des Schutzes personenbezogener Daten konkretisieren sollte. Kritisch überprüft wurde, unter anderem, ob die Scoring-Praktiken automatisierte Entscheidungen, also Entscheidungen mit rechtlicher Wirkung ohne menschlichen Einfluss (vgl. Art. 22 DSGVO), darstellen.
Wie sieht das der EUGH?
Der EuGH kam zur Einschätzung, dass die Scoring-Praktiken der SCHUFA in der Tat als automatisierte Entscheidung anzusehen sind. Konsequenterweise dürften Unternehmen die Kreditwürdigkeit nicht ausschließlich auf Grundlage des SCHUFA-Scores bewerten, da dies sonst eine automatisierte Entscheidung i.S.d. Art. 22 DSGVO darstellen würde.
Im Ergebnis kommt es darauf an, ob dem SCHUFA-Score eine maßgebliche Rolle bei der Bewertung der Kreditwürdigkeit zukommt. Diese Praxis ist nur unter Berücksichtigung der strengen Anforderungen zu automatisierten Entscheidungen (siehe Art. 22 DSGVO) mit der DSGVO vereinbar.
Weiterhin entschied der EuGH, dass auch die verlängerte Aufbewahrung über die Aufbewahrungsdauer in den öffentlichen Gerichten, nicht mit dem Grundsatz der Speicherbegrenzung (vgl. Art. 5 Abs. 1 lit. e DSGVO) vereinbar und damit unzulässig sei. Nach einer Aufbewahrung von sechs Monaten besteht somit die Pflicht der SCHUFA die Daten zu löschen.
Fazit und Kritik
Während die Entscheidung des EuGH zu den Praktiken der SCHUFA entscheidend ist, bleibt es abzuwarten, welche Änderungen sich in der Praxis zeigen. Auch mit der Entscheidung besteht das Risiko, dass Kunden der SCHUFA, wie z.B. Banken, einen SCHUFA-Score weiterhin einholen. Anschließend kann behauptet werden, dass der SCHUFA-Score Einfluss auf die Entscheidung zur Kreditwürdigkeit hatte, jedoch nicht ausschließlich. Mit einer vergleichbaren Argumentation besteht das Risiko, dass sich Nutzer der Scores aus dem Anwendungsbereich der „automatisierten Entscheidung“ herausmanövrieren, und die Scores weiterhin nutzen.
Zu begrüßen ist die Beschränkung der Aufbewahrungsdauer, wonach betroffene Personen gegenüber der SCHUFA aktiv werden können, um eine Löschung zu erwirken. Streng genommen müsste die SCHUFA allerdings selbständig veraltete Daten löschen. Ob dies der Fall sein wird, bleibt ebenfalls abzuwarten.
