Update Datenschutz Nr. 137
DSGVO: Stellungnahme des EuGH Generalanwalts zum SCHUFA Scoring
Aktuell sind beim EuGH mehrere Vorlageverfahren des VG Wiesbaden anhängig, die sich mit der Anwendung der DSGVO im Zusammenhang mit dem von der SCHUFA Holding AG („SCHUFA“) eingesetzten Scoring-Verfahren beschäftigen. Nunmehr hat der Generalanwalt beim EuGH („GA“) seine Stellungnahme zu den verschiedenen Vorlagefragen abgegeben, die – sollte sich der EuGH den Ausführungen des GA anschließen – weitreichende Konsequenzen für Wirtschaftsauskunfteien haben können. Nachfolgend werden daher die wesentlichen Inhalte der Stellungnahme des GA dargestellt.
Ausgangslage
Gegenstand des ersten von insgesamt drei Vorlageverfahren (C-634/21) ist die Löschung eines Eintrags bei der SCHUFA sowie die Gewährung von Zugang zu den von der SCHUFA verarbeiteten Daten. Auslöser für die Klage war, dass dem Kläger ein bei einem Finanzinstitut beantragter Kredit auf Grundlage des von der SCHUFA erstellten Score-Werts verweigert worden war. Der Kläger wandte sich daher zunächst an die SCHUFA und forderte diese auf, die relevante Eintragung zu löschen und Zugang zu den entsprechenden Daten zu gewähren. Demgegenüber teilte die SCHUFA dem Kläger nur den entsprechenden Score-Wert sowie allgemeine Informationen zur Methode der Berechnung mit. Die SCHUFA erteilte dem Kläger aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde, und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege. Der Kläger legte daraufhin Beschwerde beim Hessischen Datenschutzbeauftragten („HBDI”) ein. Dieser lehnte ein Vorgehen gegen die SCHUFA allerdings ab, da das Scoring durch die SCHUFA im Einklang mit den Vorgaben in § 31 BDSG stehe. Hiergegen legte der Kläger Klage beim VG Wiesbaden ein. Gegenstand des Vorlageverfahrens ist insbesondere, ob bereits die Erstellung des Score-Wertes durch die SCHUFA eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO darstellt und, falls dies verneint wird, die Vorgaben in Art. 6 und Art. 22 DSGVO einer Anwendung von § 31 BDSG entgegenstehen.
Die beiden anderen, miteinander verbundenen Vorlageverfahren (C-26/22 und C-64/22) befassen sich mit der Frage der Löschung einer Eintragung zu einer Restschuldbefreiung nach einer Insolvenz bei der SCHUFA. Die SCHUFA erfasst die in den öffentlichen Registern der Insolvenzgerichte im Internet verfügbaren Informationen über Restschuldbefreiungen und speichert diese für einen Zeitraum von drei (3) Jahren in ihren eigenen Datenbanken, obwohl die Einträge in den öffentlichen Registern bereits nach sechs (6) Monaten gelöscht werden (siehe § 3 InsBekV). Die Betroffenen forderten die SCHUFA auf dieser Grundlage zur Löschung der von ihr gespeicherten Informationen zur Restschuldbefreiung auf. Unter Verweis auf die fehlende Anwendbarkeit der Löschfrist von sechs (6) Monaten lehnte die SCHUFA die Löschung ab. Die beiden Betroffen legten daraufhin jeweils Beschwerde beim HBDI ein, denen aber nicht abgeholfen wurde. Zur Begründung führte der HBDI an, dass die SCHUFA die Einträge über eine Restschuldbefreiung auch nach Löschung der Einträge in dem jeweiligen öffentlichen Register weiterhin speichern dürfe. Nachdem die Kläger gegen die Entscheidung des HBDI Klage erhoben hatten, rief das VG Wiesbaden auch hier den EuGH im Wege des Vorabentscheidungsverfahrens an und fragte im Wesentlichen, ob die Speicherung der Einträge aus den öffentlichen Registern für einen Zeitraum von drei (3) Jahren durch die SCHUFA datenschutzrechtlich zulässig sei und die Betroffenen nach Ablauf der für das öffentliche Register geltenden Speicherdauer von der SCHUFA zugleich auch Löschung des entsprechenden Eintrags in den Datenbanken der SCHUFA verlangen können.
Anwendbarkeit von Art. 22 DSGVO auf die Erstellung des Score-Werts
In Bezug auf das erste Vorlageverfahren stellt der GA zunächst fest, dass bereits die Durchführung des Scoring-Verfahrens durch die SCHUFA, einschließlich der Erstellung des Score-Wertes, in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO falle.
Beim Scoring handelt es sich um ein Verfahren, das mittels eines Scoring-Algorithmus auf der Grundlage bestimmter Kriterien einen Score-Wert zur Kreditwürdigkeit eines Einzelnen liefert. Der Score-Wert ist ein Wahrscheinlichkeitswert über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen. Die genauen Berechnungsgrundlagen macht die SCHUFA nicht öffentlich. Da sich der Score-Wert jedenfalls aber mittels eines Algorithmus berechnet, kommt der GA zum dem Schluss, dass es sich beim Scoring daher um eine automatisierte Entscheidungsfindung in Form des Profiling gemäß Art. 4 Nr. 4 DSGVO handele.
Hierbei handele es sich zudem um eine Art. 22 Abs. 1 DSGVO unterfallende, eigenständige Entscheidung. Zwar erfolge die eigentliche, für die betroffenen Personen unmittelbar relevante Entscheidung erst durch die jeweilige Bank (z. B. Entscheidung über Annahme oder Ablehnung eines Kreditantrags auf Basis des Score-Wertes), wobei auch weitere Faktoren eine Rolle spielen können (z. B. Einräumung von Sicherheiten). Jedenfalls im Bereich der Verbraucherdarlehen komme dem Score-Wert aber eine entscheidende Rolle zu, da Finanzinstitute in der Regel ihre Entscheidung maßgeblich vom Score-Wert abhängig machen. Der GA stützt sich dabei auf die von dem vorlegenden Gericht bereitgestellten Informationen. Die Entscheidung des jeweiligen Finanzinstituts werde somit durch den Score-Wert vorbestimmt.
Folgt man dem Ansatz des GA, hat dies zur Konsequenz, dass das Scoring durch die SCHUFA – aber auch durch andere Wirtschafsauskunfteien – nur dann zulässig ist, wenn ein Erlaubnistatbestand gemäß Art. 22 Abs. 2 DSGVO eingreift, namentlich: (1) bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Personen, (2) bei Vorliegen einer Rechtsvorschrift, die die Zulässigkeit der automatisierten Entscheidungsfindung regelt oder (3) oder wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. Zudem können die betroffenen Personen Auskunft nach Art. 15 Abs. 1 lit. h DSGVO Verlangen (siehe nachfolgend).
Umfang des Auskunftsanspruchs nach Art. 15 Abs. 1 lit. h DSGVO
Betroffene Personen können unmittelbar gegenüber der SCHUFA die in Art. 15 ff. DSGVO enthaltenen Rechte geltend machen. Im Zusammenhang mit Art. 22 DSGVO umfasst dies insbesondere das Recht auf Auskunft gemäß Art. 15 Abs. 1 lit. h DSGVO, wonach die SCHUFA aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen dieser Verarbeitung bereitstellen muss.
Die SCHUFA lehnte es in dem zugrundliegenden Verfahren ab, konkrete Informationen zur Berechnungsmethode offenzulegen, da es sich nach ihrer Ansicht um Geschäftsgeheimnisse handele. Dies stieß bei dem GA auf grundsätzliche Akzeptanz, in dem er folgert, dass im Rahmen des Auskunftsanspruchs auch der Schutz der Geschäftsgeheimnisse angemessen berücksichtigt werden müsse. Eine Offenlegung des Scoring-Algorithmus ohne Erläuterung sei nicht notwendig, da dieser ohnehin zu komplex und für die betroffenen Personen ohne Nutzen sein dürfte.
Gleichzeitig weist der GA aber auch darauf hin, dass der Schutz von Geschäftsgeheimnissen nicht per se dazu führen, dass die SCHUFA jegliche Informationen zum Scoring-Verfahren verweigern dürfe. Im Gegenteil müsse zumindest „ein Minimum an Informationen geliefert werden“. Dies bedeute, dass die SCHUFA hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen, die zu einem bestimmten Ergebnis geführt haben, bereitstellen müsse. Dies soll insbesondere Informationen zu den bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewicht auf aggregierter Ebene umfassen.
Unvereinbarkeit von § 31 BDSG mit EU-Recht
Ein weiterer Kernaspekt des Vorlageverfahrens betrifft die Frage, ob § 31 BDSG als Rechtsgrundlage für das Scoring in Betracht kommt. Dies wird vom GA sowohl in Bezug auf Art. 22 DSGVO (Zulässigkeit der automatisierten Entscheidungsfindung) als auch auf Art. 6 DSGVO (Rechtmäßigkeit der Datenverarbeitung) mit dem Argument verneint, dass die DSGVO gerade keine Öffnungsklauseln oder Ausnahmen vorsehe, die es den Mitgliedstaaten erlauben, abweichende oder spezifische Vorschriften zu erlassen, die die Erstellung von Score-Werten durch Wirtschaftsauskunfteien datenschutzrechtlich gestatten.
Im Hinblick auf die unionsrechtliche Unvereinbarkeit von § 31 BDSG mit Art. 22 DSGVO führt der GA aus, dass Art. 22 Abs. 2 lit. b DSGVO zwar gerade vorsieht, dass die Mitgliedstaaten individuelle Vorschriften zur automatisierten Entscheidungsfindung erlassen dürfen. Allerdings sei § 31 BDSG nicht als eine solche Rechtsgrundlage im Sinne des Art. 22 Abs. 2 lit. b DSGVO geeignet, da diese Vorschrift einen viel weiteren sachlichen Anwendungsbereich als Art. 22 DSGVO habe. So regele § 31 BDSG ausschließlich die Verwendung eines Score-Werts, nicht aber dessen Erstellung. Zudem sei die Vorschrift inhaltlich nicht explizit auf die automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO begrenzt, sondern umfasse grundsätzlich jede (nicht-)automatisierte Datenverarbeitung im Zusammenhang mit der Verwendung eines Score-Werts.
Nach Auffassung des GA sei § 31 BDSG keine taugliche Rechtsgrundlage im Sinne des Art. 6 DSGVO im Zusammenhang mit der Scoring-Datenverarbeitung. Zwar können die Mitgliedstaaten eigene Rechtsgrundlagen für die Datenverarbeitung erlassen (Art. 6 Abs. 2 und Abs. 3 DSGVO). Wie sich eindeutig aus dem Wortlaut dieser Normen ergebe, sei die Beibehaltung oder Einführung spezifischerer Bestimmungen allerdings nur in den in Art. 6 Abs. 1 lit. c und e DSGVO genannten Fällen zulässig. Bei § 31 BDSG handele es sich nach Ansicht des GA aber gerade nicht um eine solche Vorschrift, da diese weder eine rechtliche Verpflichtung noch eine im öffentlichen Interesse liegende Aufgabe statuiere.
Folgt man dem Ansatz des GA, richtet sich die Zulässigkeit des Scorings somit ausschließlich nach Art. 22 und Art. 6 DSGVO, nicht jedoch nach § 31 BDSG.
Unzulässige Speicherung von Daten aus öffentlichen Registern durch die SCHUFA
Im Hinblick auf das zweite Vorlageverfahren kommt der GA zu dem eindeutigen Ergebnis, dass die aktuelle Praxis der SCHUFA zur Speicherung von Daten aus öffentlichen Registern (hier: Daten zur Restschuldbefreiung) nicht mit den in der DSGVO verankerten Grundsätzen, insbesondere den Grundsätzen der Zweckbindung und Datenminimierung, vereinbar sei und es zudem an einer tauglichen Rechtsgrundlage fehle.
Für diese Bewertung spreche, dass die Restschuldbefreiung es dem Begünstigen ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen. Deshalb werden die Daten zur Restschuldbefreiung auch nach 6 Monaten in dem jeweiligen öffentlichen Register gelöscht. Dieses Ziel würde jedoch vereitelt, wenn Wirtschaftsauskunfteien berechtigt wären, solche Daten auch dann zu speichern, nachdem diese bereits aus dem Register gelöscht wurden, und diese sodann als negativen Faktor beim Scoring heranziehen (z. B. bei der Beurteilung der Bonität oder Zahlungsfähigkeit).
Insoweit schlussfolgert der GA, dass die SCHUFA nicht berechtigt sei, die erfassten Daten nach deren Löschung in dem öffentlichen Register weiterhin in den eigenen Datenbanken zu speichern. Sie müsse sämtliche unzulässig gespeicherten Datenbestände löschen. Entsprechend könnten auch die betroffenen Personen von der SCHUFA die Löschung der insoweit unzulässig gespeicherten Daten gemäß Art. 17 DSGVO verlangen.
Fazit und Ausblick
Es bleibt abzuwarten, ob und inwieweit der EuGH den Ausführungen folgen wird. Oftmals schließt sich das Gericht dem Standpunkt des GA an. Dies ist aber nicht in jedem Fall gewährleistet.
Sollte sich der EuGH der Argumentation des GA anschließen, wird dies aller Voraussicht nach weitreichende Konsequenzen für sämtliche Wirtschaftsauskunfteien haben. So müssten diese fortan detaillierte Informationen zu den von ihnen eingesetzten Scoring-Verfahren bereitstellen. In diesem Fall ist nicht ausgeschlossen, dass in Zukunft weitere Verfahren die SCHUFA oder andere Wirtschaftsauskunfteien folgen werden (z. B. wenn der Umfang der bereitgestellten Informationen nicht ausreichend oder die Gewichtung bestimmter Faktoren beim Scoring nicht nachvollziehbar ist).
Weiterhin müssten die Wirtschaftsauskunfteien ihre Datenschutzdokumentation, wie etwa Datenschutzerklärungen, Verarbeitungsverzeichnis sowie Aufbewahrungs- und Löschkonzepte, anpassen. Gerade das Löschkonzept müsste im Hinblick auf die aus öffentlichen Registern gespeicherten Daten überarbeitet werden, damit eine datenschutzkonforme Speicherung sichergestellt ist. Andernfalls drohen Löschansprüche und gegebenenfalls sogar Schadensersatzansprüche der Betroffenen sowie aufsichtsbehördliche Maßnahmen und im äußersten Fall die Verhängung von Bußgeldern.
Daneben könnten sich aber auch Folgen für Finanzinstitute ergeben. Soweit diese etwa eigene Scoring-Verfahren einsetzen, sind die Ausführung des GA zum Scoring auch auf diese anwendbar, sodass die Finanzinstitute gegebenenfalls ihre internen Prozesse anpassen müssen. Finanzinstitute sollten daher die Stellungnahme des GA zum Anlass nehmen, ihre eigenen Scoring-Verfahren zu prüfen und einen etwaigen Anpassungsbedarf zu ermitteln, um auf eine Entscheidung des EuGH vorbereitet zu sein.