Derzeit beschäftigt sich der Europäische Gerichtshof (EuGH) mit der Auskunftei SCHUFA Holding AG (nachfolgend: SCHUFA). Hintergrund sind mehrere Klagen von Privatpersonen gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) vor dem Verwaltungsgericht (VG) Wiesbaden. Der HBDI hatte im Vorfeld mehrere Beschwerden gegen die Auskunftei SCHUFA zurückgewiesen, wogegen vor dem VG geklagt wurde. Das VG legte dem EuGH daraufhin mehrere Vorabentscheidungsfragen vor. Ende letzter Woche wurden die Schlussanträge des Generalanwalts Priit Pikamäe veröffentlicht (Pressemitteilung). An die Schlussanträge des Generalanwalts ist der EuGH nicht gebunden; diesen jedoch in der Vergangenheit häufig gefolgt.
Den Klagen liegen folgende Sachverhalte zugrunde:
- Auskunft über die bei der Auskunftei vorliegenden Daten und Löschung der falschen Eintragungen nach Versagung eines Kredits aufgrund eines Scorewerts der SCHUFA. Die SCHUFA kam unter Verweis auf den Schutz des Geschäftsgeheimnisses und die Natur des Scorewerts als bloße Information diesen Ersuchen nur zum Teil nach.
Der HBDI bestätigte die Einschätzung der SCHUFA und wies die hiergegen gerichtete Beschwerde zurück.
- Löschung der Information über die vorzeitige Restschuldbefreiung bei der SCHUFA erst nach 3 Jahren. Die SCHUFA bezieht diese Information aus dem öffentlichen Verzeichnis „Insolvenzregister“. Dort wird diese Information bereits nach 6 Monaten gelöscht.
Der HBDI bestätigte das Vorgehen der SCHUFA und wies die hiergegen gerichteten Beschwerden zurück.
Hintergrund:
Der Scorewert beim Kreditscoring ist ein durch eine Auskunftei errechneter Zahlenwert, der eine Aussage über die zukünftige Kreditwürdigkeit eines potentiellen Kreditnehmers treffen soll (Prognose). Damit möchte sich das Kreditinstitut absichern und Ausfallrisiken steuern. Diese Prognose hängt maßgeblich von den Informationen ab, die eine Auskunftei der Berechnung zugrunde legt. (Weitere Hintergrundinfos finden Sie hier.)
Das VG Wiesbaden legte folgende mit Spannung erwartete Fragen dem EuGH zur Vorabentscheidung vor:
1. Auslegungsfrage:
Stellt bereits das automatisierte Erstellen eines Scorewerts der SCHUFA eine automatisierte Entscheidungsfindung gem. Art. 22 Abs. 1 DSGVO dar?
Einschätzung des Generalanwalts: Ja!
„[…] Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung [Art. 22 Abs. 1 DSGVO] dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen [Auskunftei SCHUFA] an einen dritten Verantwortlichen [Kreditinstitut, Onlinehändler bei Rechnungskauf] übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege. […]“
Praktische Konsequenz?
Im Rahmen von Auskunftsersuchen beruft sich eine Auskunftei, wie die SCHUFA, generell auf ein zentrales BGH-Urteil zum Schutz der Scoreformel (BGH v. 28. 01. 2014 – VI ZR 156/13). Laut BGH sei eine Offenlegung des Algorithmus aufgrund des Interesses einer Auskunftei an der Geheimhaltung ihres Algorithmus als zentrales Geschäftsgeheimnis nicht vom Auskunftsrecht umfasst.
Insbesondere seien die Gewichtung einzelner Berechnungselemente und die Bildung etwaiger Vergleichsgruppen als durch das Geschäftsgeheimnis geschützte Inhalte (vgl. Leitsatz 3) nicht beauskunftungspflichtig. Es müssen vielmehr nur die Grundannahmen der Algorithmus-Logik mitgeteilt werden.
Folgt der EuGH der Ansicht des Generalanwalts bedeutet dies, dass die SCHUFA bei Auskunftsersuchen gem. Art. 15 Abs. 1 lit. h DSGVO zukünftig auch „[…] aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitstellen muss.
„[…] Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien. […]“
In diesem Fall ist mit Spannung zu erwarten, ob der durch den BGH statuierte Schutz der Scoreformel aufrecht erhalten bleiben kann oder ob es zu einer Änderung der Rechtsprechung des BGH kommen wird.
Hinweis: Darüber hinaus darf gehofft werden, dass der EuGH Klarheit im Hinblick auf die Regelungsbefugnis des nationalen Gesetzgebers zu ergänzenden nationalen Regelungen aus § 31 BDSG zum „Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“ schafft. Ob die DSGVO hierfür eine sog. Öffnungsklausel bereithält, ist seit Langem umstritten.
2. Auslegungsfrage:
Darf eine Auskunftei die Information über die vorzeitige Restschuldbefreiung länger speichern, als diese in dem öffentlichen Insolvenzregister verfügbar ist?
Einschätzung des Generalanwalts: Nein!
„[…] Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. […]“
Praktische Konsequenz?
Aufgrund der erheblichen negativen Folgen, die eine Speicherung der Daten für die betroffene Person nach Ablauf des im Insolvenzregister maßgeblichen Zeitraums von sechs Monaten haben würde, ist anzunehmen, dass die Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden generell zugunsten der betroffenen Person ausgehen dürfte.
Folgt der EuGH der Ansicht des Generalanwalts bedeutet dies, dass die SCHUFA Informationen, die aus dem öffentlichen Verzeichnis Insolvenzregister erhoben und der Erstellung (also der Berechnung) eines Scorewerts zugrunde gelegt wurden, nicht länger berücksichtigt werden dürften, als eine Speicherung in dem öffentlichen Verzeichnis selbst zulässig ist.
„[Das Ziel der vorzeitigen Restschuldbefreiung – erneute Teilnahme am Wirtschaftsleben] würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.“ […] „Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. […]“
In diesem Fall würde dies eine klare Begrenzung der personenbezogenen Daten bedeuten, die eine Auskunftei einem Scorewert zugrunde legen darf.
Update:
Als Reaktion auf die durch den BGH beschlossene Aussetzung der beim EuGH zur Frage der Löschung der Restschuldbefreiung anhängigen Verfahren (C-26/22 und C-64/22) teilte die SCHUFA in einer Pressemitteilung mit, diese Information zum Stichtag 28.03.2023 nach sechs Monaten (rückwirkend) zu löschen. Die ausstehende Entscheidung des EuGH bleibt hiervon unberührt. Allerdings lässt diese vorgreifende Reaktion der SCHUFA den Schluss zu, dass der Position des Generalanwalts gute Erfolgschancen im erwarteten EuGH-Urteil eingeräumt werden.
Fazit:
Seit Inkrafttreten der DSGVO herrscht im Bereich der Auskunfteien zum Teil Rechtsunsicherheit. Die ausstehende Rechtsprechung des EuGH wird daher mit großer Spannung verfolgt! Die Schlussanträge des Generalanwalts lassen hoffen, dass der EuGH im Rahmen der anhängigen Vorabentscheidungsverfahren zu mehreren zentralen Fragen bzgl. datenschutzrechtlicher Grenzen von Auskunfteien und zur Frage nationaler Regelungsbefugnis klar Stellung beziehen wird. Wir bleiben für Sie dran!
Hinweis der Redaktion: Dieser Beitrag wurde am 21.03.2023 veröffentlicht und am 12.04.2023 durch ein Update aktualisiert.
7. Mai 2023 @ 10:17
Also ich zahle meinen letzten Kredit ab. Seit über 3 Jahren keine Rate verpasst. Ich habe keine negativen Einträge in der Schufa Auskunft und habe trotzdem einen Score von 20%. Ich bin geborener Hamburger mit asiatischem Migrationshintergrund durch meine Eltern. Ich bin ITler und verdiene nicht schlecht, kann mir aber keine Wohnung suchen mit diesem Score und man bekommt ja auch überhaupt keine Auskunft bei der Schufa auf Bitte um eine Erklärung. Mein Vorname ist zusätzlich auf der Sanktionsliste, wie ich durch die Post erfahren habe. Ob das ein weiterer Faktor für diesen schlecht Score ist, sagen sie einem nicht. Echt reudig alles.
3. Mai 2023 @ 19:15
Wenn man sich vergegenwärtig das es eine Klage gegen den HBDI war die bis zum EUGH mußte weil die zuständige Aufsichtsbehörde für die SCHUFA in Wiesbaden sich weigerte gegen die SCHUFA vorzugehen – dann sagt dies alles.
Noch peinlicher: Keinem Juristen oder Datenschützer in Deutschland ist in 74 Jahren BRD aufgefallen das die SCHUFA über dem Gesetzgeber stand und Menschen 36 Monate an den öffentlichen Pranger stellte während die Gerichte nach 6 Monaten Einträge entfernt.
Keinem Juristen in Deutschland ist bis heute aufgefallen das die SCHUFA sich als „Juristische Person“ 100% anonym verhält- Die Schreiben der SCHUFA komplett anonym nur aus Textbausteinen bestehen mit „Ihr SCHUFA-Team“ unterschrieben werden- es keinerlei Möglichkeit gibt mit einem Sachbearbeiter etwas zu klären und die Antworten 0815- Textbausteine sind.
Keinem Juristen in Deutschland ist bis heute aufgefallen das die SCHUFA sich als „Juristische Person“ allein auf die Daten „Juristischer Personen“ von Banken etc. beruft und damit das „CUM EX“ Prinzip mit dem Banken Milliarden von Steuergeldern geraubt haben, die gleichzeitig die Anteilseignern der SCHUFA sind.
Die von einer Bank etc. an die SCHUFA übermittelten Daten werden ohne Kontrolle, ohne Rücksprache mit der „Natürlichen Person“ einfach an die SCHUFA übermittelt und die Speicherung personenbezogener Daten in die SCHUFA DATENBANK übertragen-ohne das der HBDI oder irgend eine der restlichen 17 deutschen DS- Behörden sich daran stören oder gar Kontrollen stattfinden. Nicht einmal Datenprotokolle werden von den entsprechenden DS- Behörden angefordert. Eine Stellungnahme der SCHUFA an den HBDI genügt- und schon steht die Aussage der Juristischen Person über jedem Beweis.
Genauso bei der DS Behörde der spanischen Bank: Stellungnahme der Bank an die DS-Behörde genügt. ERGO:
2 Juristische Personen müßen sich gegenseitig FALSCHE DATEN jeweils nur als RICHTIGE Daten bestätigen und schon wird aus: 2 x FALSCH = 1 x RICHTIG
HBDI in Wiesbaden als zuständige Aufsichtsbehörde für die SCHUFA? Die 3 Affen regieren: Geben Sie beim HBDI in der Lupe einfach mal „SchufA“ oder “ SCHUFA HOLDING AG“ ein: Ergebnis:
Ihre Suchanfrage ergab keine Treffer für Schufa
Ihre Suchanfrage ergab keine Treffer für SCHUFA HOLDING AG
Was auf der Webseite des Bundesministeriums für Justiz als Präsentation für „Scoringfehler bei der SCHUFA“ als schreibgeschützte PDF Datei
Keinem Juristen oder Datenschützer Selbst mit der Datenauskunft nach DSGVO ART.15 erhält ein Mensch in Deutschland nur ein mal im Jahr die Gelegenheit sein Eigentum/ seine personenbezogenen Daten zu prüfen- die restlichen 364 Tage???? Nur wer sich den Zugang zu seinem Eigentum erkauft hat überhaupt die Möglichkeit falsche Daten bei der SCHUFA zu entdecken. – Doch dann? : Die SCHUFA nutzt Hinweise um ihre falschen Daten flux zu beseitigen:
Meldung nach ART. 33/34 DSGVO an den HBDI ? Fehlanzeige – von den Nachbarn und der “ in Wiesbaden hat die SCHUFA nichts zu befürchten – bis heute nicht ein einziges Bußgeld… bei 68.000.000 Datensätzen von 68.000.000 Menschen in Deutschland = Keinen einzigen Verstoß gegen die DSGVO durch die SCHUFA ( und die Kinder bringt immer noch der Storch…jaja)
In einem Fall:
Eine spanische Bank die in Deutschland zum Zeitpunkt der Ereignisse 3 unabhängig operierende Banken mit 3 unabhängigen Banksystemen und somit 3 BLZ / 3 IBAN hatte übernahm eine Schwedische Bank die in Deutschland operierte. Die Original- Filiale der ein Kunde seit über 38 Jahren sein Konto am Flughafen hatte wurde geschlossen ( die Flughafen- Mitarbeiter kannten offensichtlich den schlechten Ruf der Spanischen Bank)- Die restlichen Kunden wurde von Vollservicekunden mit 365 Tage Bank und pers. Bankkundenbetreuer zu 100% Digitalkunden : Alles nur noch online, per Email, per Hotline, Fax, Brief oder Chat… Es war kein richtiger Bankmitarbeiter mehr zu erreichen . In den Filialen der Bank wußte die Linke nicht was die Rechte tut…
Durch Krankheit wurden 2 Kreditraten verspätet gezahlt weil es einfach dauerte bis ein BU- Versicherung zur Auszahlung kam. Der Betroffene hat x- mal via hotline und Email der Bank Mitteilungen gemacht- der Eingang wurde jedes mal von INFO@Bank.de oder NOREPLY@Bank.de bestätigt… Die Hotline= stellte sich später als Call Center Agentur für die Bank heraus- es war also zu keiner Zeit ein echter Bankmitarbeiter zu erreichen. Vorsprache in einer Filiale= Es wurde keinerlei Notiz oder Mitteilung an die „online-Sparte“ der Bank übermittelt.
Plötzlich brach alles zusammen :
18 Monate in Folge ( A C H T Z E H N x ) jeden Monat eine neue, sachlich, fachlich, falsche, rechtswidrige Negativmeldung der Bank an die SCHUFA – die den SCHUFA-Score schon nach wenigen Monaten von 98,86% auf 6 % stürzen lies.
Keinerlei Information, keinerlei Mahnung – nichts von der Bank- wobei es hätten laut Vorschriften 36 Mahnschreiben in Folge sein müßen.
Es ist schon bezeichnend das die SCHUFA in Deutschland tun und lassen kann was sie will. Mit einem SCHUFA- OMBUDSMANN der immerhin Präs. d. BVerfG war und seit 2019 nicht antwortet—