Datenschutz: EuGH soll zu Schufa-Score-Wert entscheiden

Im Streit um Schufa-Score-Werte hat das Verwaltungsgericht Wiesbaden mit einem am Montag veröffentlichten Beschluss den Europäischen Gerichtshof angerufen. Insbesondere geht es darum, ob die Tätigkeit der Wirtschaftsauskunftei dem Anwendungsbereich des Art. 22 Abs. 1 Datenschutzgrundverordnung (DS-GVO) unterfällt. Im zugrunde liegenden Fall begehrt die Klägerin Löschung vermeintlich falscher Eintragungen und Auskunft zu gespeicherten Daten.

Schufa beruft sich auf Betriebs- und Geschäftsgeheimnis

Die Schufa versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sogenannte Score-Werte. Für die Ermittlung dieses Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale werden von der Schufa nicht offengelegt. Sie beruft sich zudem darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen.

Datenschutzbeauftragter lehnte Begehren ab

Die Klägerin wandte sich in Bezug auf die von ihr begehrte Auskunft und Löschung an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde. Dieser lehnte ihr Begehren jedoch ab, da die Schufa bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und im hiesigen Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Regelung der DS-GVO einschlägig?

Das VG Wiesbaden hat entschieden, dem EuGH zwei Fragen zur Klärung vorzulegen. Zum einen sei unklar, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte über betroffene Personen zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, die dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 DS-GVO unterfällt.

Schufa handelt möglicherweise rechtsgrundlos

Falls ja, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DS-GVO zulässig sei. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DS-GVO bestünden aber durchgreifende Bedenken. Die Schufa würde dann rechtsgrundlos handeln, und die Klägerin habe zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.

Anhaltspunkte für eigenständige Entscheidung

Die Erstellung von Score-Werten sei nicht lediglich ein die Entscheidung des dritten Verantwortlichen (beispielsweise einer Bank) vorbereitendes Profiling (siehe Art. 4 DS-GVO), sondern gerade eine selbstständige "Entscheidung" im Sinne des Art. 22 Abs. 1 DS-GVO, betonte das VG. Es bestünden gewichtige Anhaltspunkte dafür, dass die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung sei, so das VG.

Schutz vor allein auf Automation gründenden Entscheidung

Der aufgrund automatisierter Verarbeitung erstellte Score-Wert sei eigentlich das entscheidende Kriterium über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person. Eine Kreditvergabe möge zwar trotz eines grundsätzlich ausreichenden Score-Wertes (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden. Ein nicht ausreichender Score-Wert hingegen werde jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheine. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DS-GVO die betroffene Person aber gerade schützen.

Steht DS-GVO Regelung des § 31 BDSG entgegen?

Zudem legte das VG Wiesbaden eine Frage vor, die dann zu beantworten sei, wenn die Erste Vorlagefrage verneint werde. In § 31 BDSG treffe der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DS-GVO falle, so sei die allgemeine Vorschrift des Art. 6 DS-GVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DS-GVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DS-GVO zu messen. Es sei also durch den EuGH zu klären, ob die DS-GVO der Regelung des § 31 BDSG entgegenstehe.

zu VG Wiesbaden, Beschluss vom 01.10.2021 - 6 K 788/20

Redaktion beck-aktuell, 25. Okt 2021.