Derzeit beschäftigt sich der Europäische Gerichtshof (EuGH) mit der Auskunftei SCHUFA Holding AG (nachfolgend: SCHUFA). Hintergrund sind mehrere Klagen von Privatpersonen gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) vor dem Verwaltungsgericht (VG) Wiesbaden. Der HBDI hatte im Vorfeld mehrere Beschwerden gegen die Auskunftei SCHUFA zurückgewiesen, wogegen vor dem VG geklagt wurde. Das VG legte dem EuGH daraufhin mehrere Vorabentscheidungsfragen vor. Ende letzter Woche wurden die Schlussanträge des Generalanwalts Priit Pikamäe veröffentlicht (Pressemitteilung). An die Schlussanträge des Generalanwalts ist der EuGH nicht gebunden; diesen jedoch in der Vergangenheit häufig gefolgt.

Den Klagen liegen folgende Sachverhalte zugrunde:

  • Auskunft über die bei der Auskunftei vorliegenden Daten und Löschung der falschen Eintragungen nach Versagung eines Kredits aufgrund eines Scorewerts der SCHUFA. Die SCHUFA kam unter Verweis auf den Schutz des Geschäftsgeheimnisses und die Natur des Scorewerts als bloße Information diesen Ersuchen nur zum Teil nach.
    Der HBDI bestätigte die Einschätzung der SCHUFA und wies die hiergegen gerichtete Beschwerde zurück.
  • Löschung der Information über die vorzeitige Restschuldbefreiung bei der SCHUFA erst nach 3 Jahren. Die SCHUFA bezieht diese Information aus dem öffentlichen Verzeichnis „Insolvenzregister“. Dort wird diese Information bereits nach 6 Monaten gelöscht.
    Der HBDI bestätigte das Vorgehen der SCHUFA und wies die hiergegen gerichteten Beschwerden zurück.

Hintergrund:

Der Scorewert beim Kreditscoring ist ein durch eine Auskunftei errechneter Zahlenwert, der eine Aussage über die zukünftige Kreditwürdigkeit eines potentiellen Kreditnehmers treffen soll (Prognose). Damit möchte sich das Kreditinstitut absichern und Ausfallrisiken steuern. Diese Prognose hängt maßgeblich von den Informationen ab, die eine Auskunftei der Berechnung zugrunde legt. (Weitere Hintergrundinfos finden Sie hier.)

Das VG Wiesbaden legte folgende mit Spannung erwartete Fragen dem EuGH zur Vorabentscheidung vor:

1. Auslegungsfrage:

Stellt bereits das automatisierte Erstellen eines Scorewerts der SCHUFA eine automatisierte Entscheidungsfindung gem. Art. 22 Abs. 1 DSGVO dar?

Einschätzung des Generalanwalts: Ja!

 „[…] Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung [Art. 22 Abs. 1 DSGVO] dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen [Auskunftei SCHUFA] an einen dritten Verantwortlichen [Kreditinstitut, Onlinehändler bei Rechnungskauf] übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege. […]“

Praktische Konsequenz?

Im Rahmen von Auskunftsersuchen beruft sich eine Auskunftei, wie die SCHUFA, generell auf ein zentrales BGH-Urteil zum Schutz der Scoreformel (BGH v. 28. 01. 2014 – VI ZR 156/13). Laut BGH sei eine Offenlegung des Algorithmus aufgrund des Interesses einer Auskunftei an der Geheimhaltung ihres Algorithmus als zentrales Geschäftsgeheimnis nicht vom Auskunftsrecht umfasst.

Insbesondere seien die Gewichtung einzelner Berechnungselemente und die Bildung etwaiger Vergleichsgruppen als durch das Geschäftsgeheimnis geschützte Inhalte (vgl. Leitsatz 3) nicht beauskunftungspflichtig. Es müssen vielmehr nur die Grundannahmen der Algorithmus-Logik mitgeteilt werden.

Folgt der EuGH der Ansicht des Generalanwalts bedeutet dies, dass die SCHUFA bei Auskunftsersuchen gem. Art. 15 Abs. 1 lit. h DSGVO zukünftig auch „[…] aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitstellen muss.

„[…] Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien. […]“

In diesem Fall ist mit Spannung zu erwarten, ob der durch den BGH statuierte Schutz der Scoreformel aufrecht erhalten bleiben kann oder ob es zu einer Änderung der Rechtsprechung des BGH kommen wird.

Hinweis: Darüber hinaus darf gehofft werden, dass der EuGH Klarheit im Hinblick auf die Regelungsbefugnis des nationalen Gesetzgebers zu ergänzenden nationalen Regelungen aus § 31 BDSG zum „Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“ schafft. Ob die DSGVO hierfür eine sog. Öffnungsklausel bereithält, ist seit Langem umstritten.

2. Auslegungsfrage:

Darf eine Auskunftei die Information über die vorzeitige Restschuldbefreiung länger speichern, als diese in dem öffentlichen Insolvenzregister verfügbar ist?

 Einschätzung des Generalanwalts: Nein!

 „[…] Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. […]“

Praktische Konsequenz?

Aufgrund der erheblichen negativen Folgen, die eine Speicherung der Daten für die betroffene Person nach Ablauf des im Insolvenzregister maßgeblichen Zeitraums von sechs Monaten haben würde, ist anzunehmen, dass die Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden generell zugunsten der betroffenen Person ausgehen dürfte.

Folgt der EuGH der Ansicht des Generalanwalts bedeutet dies, dass die SCHUFA Informationen, die aus dem öffentlichen Verzeichnis Insolvenzregister erhoben und der Erstellung (also der Berechnung) eines Scorewerts zugrunde gelegt wurden, nicht länger berücksichtigt werden dürften, als eine Speicherung in dem öffentlichen Verzeichnis selbst zulässig ist.

„[Das Ziel der vorzeitigen Restschuldbefreiung – erneute Teilnahme am Wirtschaftsleben] würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.“ […] „Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. […]“

In diesem Fall würde dies eine klare Begrenzung der personenbezogenen Daten bedeuten, die eine Auskunftei einem Scorewert zugrunde legen darf.

Update:

Als Reaktion auf die durch den BGH beschlossene Aussetzung der beim EuGH zur Frage der Löschung der Restschuldbefreiung anhängigen Verfahren (C-26/22 und C-64/22) teilte die SCHUFA in einer Pressemitteilung mit, diese Information zum Stichtag 28.03.2023 nach sechs Monaten (rückwirkend) zu löschen. Die ausstehende Entscheidung des EuGH bleibt hiervon unberührt. Allerdings lässt diese vorgreifende Reaktion der SCHUFA den Schluss zu, dass der Position des Generalanwalts gute Erfolgschancen im erwarteten EuGH-Urteil eingeräumt werden.

Fazit:

Seit Inkrafttreten der DSGVO herrscht im Bereich der Auskunfteien zum Teil Rechtsunsicherheit. Die ausstehende Rechtsprechung des EuGH wird daher mit großer Spannung verfolgt! Die Schlussanträge des Generalanwalts lassen hoffen, dass der EuGH im Rahmen der anhängigen Vorabentscheidungsverfahren zu mehreren zentralen Fragen bzgl. datenschutzrechtlicher Grenzen von Auskunfteien und zur Frage nationaler Regelungsbefugnis klar Stellung beziehen wird. Wir bleiben für Sie dran!


Hinweis der Redaktion: Dieser Beitrag wurde am 21.03.2023 veröffentlicht und am 12.04.2023 durch ein Update aktualisiert.