Am 7. Dezember 2023 hat sich der Europäische Gerichtshof (EuGH) in einem medial viel beachteten Urteil mit dem Scoring durch die deutsche SCHUFA Holding AG (Schufa) auseinandergesetzt (wir berichteten). Hierbei ging es auch um die Frage, ob und wann bei der automatisierten Erstellung von Scorewerten über die Kreditwürdigkeit einer Person eine „automatisierte Entscheidung im Einzelfall“ nach Art. 22 Abs. 1 DSGVO gegeben ist. Da eine betroffene Person u. a. das Recht hat, einer solchen Entscheidung nicht unterworfen zu werden, ist die Auslegung des EuGH hochgradig praxisrelevant. Dies gilt nicht nur für Kreditinstitute, sondern z. B. auch für Onlineshopbetreiber, die Informationen von Auskunfteien für Bonitätsprüfungen nutzen.

Was wurde entschieden?

Der EuGH hat ausgeführt, dass eine automatisierte Einzelfallentscheidung im Sinne von Art. 22 Abs. 1 DSGVO dann vorliegt, „wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet“ (EUGH, Urt. v. 7.12.2023, C-634/21).

Dies bedeutet – in Kurzfassung – für Onlineshops, dass die Entscheidung über einen Vertrag nicht maßgeblich von einem abgefragten Scorewert einer Auskunftei abhängig gemacht werden darf. Der EuGH bezieht sich (wie oben zitiert) in seinem Urteil ausdrücklich auf Entscheidungen über Vertragsverhältnisse. Daher kann grundsätzlich argumentiert werden, dass die Kriterien des EuGH für eine automatisierte Einzelfallentscheidung nach Art. 22 Abs. 1 DSGVO noch nicht erfüllt sind, wenn diese Werte nur für die Entscheidung über die angebotene Zahlungsmethode (bspw. Kauf auf Rechnung) herangezogen werden. Sofern ein Vertragsabschluss per se nicht maßgeblich von den Scorewerten bestimmt wird, sondern ausschließlich die Frage, ob eine Zahlung auch nach Versand der Ware oder nur per Vorkasse möglich ist (sprich allein für die Entscheidung, welche Zahlungsart angeboten/gewählt wird), dürfte nach hier vertretener Auffassung noch keine automatisierte Einzelfallentscheidung nach den Vorgaben des EuGH bestehen. Dennoch müssen Unternehmen – unabhängig von der Tatsache, ob eine automatisierte Einzelfallentscheidung nach Art. 22 Abs. 1 DSGVO vorliegt oder nicht – natürlich prüfen, ob eine Bonitätsanfrage bei der Auskunftei grundsätzlich datenschutzrechtlich zulässig ist.

Prozesse sollten geprüft werden

Allgemein ist es Shopbetreibern daher anzuraten, das „Schufa“-Urteil des EuGH zum Anlass zu nehmen, die eigenen Prozesse rund um Bonitätsabfragen zu evaluieren. Selbst wenn Scorewerte nur für Entscheidungen über angebotene Zahlungsarten genutzt werden, muss die Abfrage bzw. Verarbeitung auf eine Rechtsgrundlage gestützt werden können (Art. 5 Abs. 1 lit. a DSGVO, Art. 6 DSGVO) und eine Information der betroffenen Person erfolgen (Artt. 13, 14 DSGVO). Ob ein berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 DSGVO als Rechtsgrundlage dienen kann, hängt letztlich von einer Abwägung mit den Interessen, Grundrechten und -freiheiten der betroffenen Person ab, die gegenüber dem berechtigten Interesses des verantwortlichen Onlineshopbetreibers nicht überwiegen dürfen. So sind im Einzelfall Faktoren, wie bspw. der Warenkorbwert, die Beziehung des Betroffenen zum Verantwortlichen (z. B. Neukunde oder Bestandskunde) sowie dessen vernünftige Erwartungen in die Interessenabwägung einzubeziehen.

| | , | , , , | 1 Kommentar