Im Zuge der rasant fortschreitenden Digitalisierung nimmt die Beurteilung der Zahlungsfähigkeit von Verbrauchern und Unternehmen per Scoring-Verfahren stetig zu. Rechtsgrundlage hierfür sind Art. 22 DSGVO und § 31 BDSG, welche an das Scoring hohe Voraussetzungen knüpft. Der EuGH zog mit Urteil vom 7.12.2023 neue datenschutzrechtliche Grenzen für das Schufa-Scoring. Dieser Artikel beschäftigt sich mit den datenschutzrechtlichen Aspekten des Scoring und den Auswirkungen des EuGH-Urteils auf die Nutzung von Scoring-Verfahren in der Praxis.
Der Inhalt im Überblick
Wo, wie und warum werden Scoring-Verfahren eingesetzt?
Scoring-Verfahren werden insbesondere zur Bonitätseinschätzung bei Kontoeröffnung, Beantragung von Verbraucherkrediten, Versicherungen sowie Internet-Verträgen eingesetzt. Mittels statistischer Analyse werden viele individuelle Merkmale wie z.B. Alter, Anschrift, Beruf, Nettoeinkommen etc. und sozio-ökonomische Daten wie z.B. Branche des Arbeitgebers, Postleitzahl und Straße mit einem Punktwert versehen. Je höher der Gesamtpunktwert ausfällt, desto vielversprechender die Bonität und umso höher die Wahrscheinlichkeit, dass der Verbraucher einen Kredit vertragsgemäß zurückzahlt. Scoring-Verfahren ermöglichen eine Kreditvergabe mit geringen Transaktionskosten und machen dadurch die Kreditvergabe günstiger, da Risikoaufschläge minimiert werden können.
Datenbasierte Diskriminierung
Die Beurteilung eines Menschen mit einem Punktwert stellt einen informationellen Eingriff dar und kann stark diskriminierende Wirkung haben. Scorefähig ist im Grunde jedes individuelle Merkmal, soweit dieses messbar ist und in eine mathematisch-statistische Berechnung einfließen kann. Bedingung für das Scoring ist nur, dass ein mathematisch-statistischer Zusammenhang zwischen den beurteilten Merkmalen und der zu beantwortenden Frage ermittelt werden kann.
Es wird nicht berücksichtigt, inwieweit sich eine Einzelperson persönlich von denjenigen einer Gruppe unterscheidet, denen es aufgrund bestimmter Merkmale zugeordnet wurde. Insbesondere Randgruppen wie beispielsweise Ausländer werden durch automatisierte Entscheidungen schnell in die falsche Schublade gesteckt. Zu denken ist hier an den Kindergeldskandal in Holland in 2021. Aufgrund vermeintlich falscher Nationalität forderte die nationale Steuerbehörde Belastingdienst von zehntausenden Eltern irrtümlicherweise Rückzahlungen des Kindergeldes. The Markup beweist, dass gut verdienende, schwarze Antragsteller mit wenig Schulden bei der Beantragung von Immobilienkrediten in den USA durch die Vergabesoftware eher abgelehnt werden als weiße Kreditnehmer mit mehr Schulden. In Sachen Transparenz im Bereich von Algorithmen kommt der geplanten KI-Verordnung eine besondere Bedeutung zu.
Schwierige Umsetzung von Betroffenenrechten
Starke Defizite bestehen beim Scoring hinsichtlich der Geltendmachung von Betroffenenrechten. Betroffene kennen den verwendeten Algorithmus nicht, geschweige denn haben sie die leiseste Ahnung davon, wie welches individuelle Merkmal bewertet wird. Um einen Berichtigungsanspruch geltend zu machen, müsste der Betroffene zunächst wissen, dass falsche Daten in die Berechnung eingeflossen sind. Deswegen üben Wissenschaftler sowie Verbraucherschützer am Status quo Kritik und fordern u.a. gesetzliche Mindeststandards für Scoring-Verfahren. Auch in diesem Blog wurde über die Intransparenz der Schufa, die Diskriminierungsgefahr durch den Einsatz von Algorithmen und dem gut gemeinten, aber wirkungslosen Auskunftsanspruch gem. Art. 15 Abs. 1 lit. h DSGVO bei automatisierten Entscheidungsfindungen berichtet.
Vorgeschichte des EuGH-Urteils zum Schufa-Scoring
Einer Person wurde nach einer negativen Schufa-Auskunft ein Kredit verweigert. Daraufhin forderte sie die Schufa auf, Auskunft über die gespeicherten Daten zu geben und als unrichtig erachtete Daten zu löschen. In ihrer Antwort informierte die Schufa über den tatsächlichen Score-Wert und legte grob dar wie die Score-Werte berechnet werden. Sie lehnte es jedoch ab, die bei der Berechnung des Scores berücksichtigten Einzelinformationen preiszugeben. Weiterhin betonte die Schufa, dass der Vertragspartner die eigentliche Vertragsentscheidung treffe und die Schufa nur Informationen übermittle. Die Betroffene erhob daraufhin erfolglos Beschwerde bei der zuständigen Aufsichtsbehörde und verfolgte ihr Begehren nach Auskunft und Löschung weiterhin mit einer Klage.
Im Verlauf des Verfahrens stand das Verwaltungsgericht Wiesbaden nun vor der Aufgabe den Streit klären zu müssen, ob die Ermittlung eines Wahrscheinlichkeitswerts, welcher anschließend nicht von der Schufa sondern von einem Dritten Kreditgeber für seine Entscheidung genutzt wird, auch eine grundsätzlich verbotene automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO darstellt.
Das Verwaltungsgericht setzte das Verfahren aus und legte diese dem EuGH zur Vorabentscheidung vor:
- Stellt die automatisierte Erstellung eines Wahrscheinlichkeitswerts eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung da, die rechtliche Wirkung entfaltet oder die betroffene Person erheblich beeinträchtigt; wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelt Wert an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert für die Entscheidung maßgeblich zugrunde legt?
- Falls die erste Frage verneint wird, stehen Art. 6 Abs. 1 DSGVO und Art. 22 DSGVO der Regelung in § 31 BDSG entgegen?
Entscheidungsgründe des EuGH
Anwendbarkeit des Art. 22 Abs. 1 DSGVO?
Dem Gericht zufolge müssen für die Anwendbarkeit folgende drei kumulative Voraussetzungen vorliegen:
- es liegt eine „Entscheidung vor“
- diese beruht ausschließlich auf einer automatisierten Verarbeitung,- einschließlich Profiling
- die Entscheidung entfaltet gegenüber der betroffenen Person rechtliche Wirkung oder beeinträchtigt sie in ähnlicher Weise
Nach dem 71. Erwägungsgrund der DSGVO beinhaltet der Begriff „Entscheidung“
„die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.“
Eine Entscheidung liegt mithin vor. Nach Ansicht des Gerichts entspricht eine Tätigkeit wie die der Schufa der Definition des „Profiling“ in Art. 4 Nr. 4 DSGVO, womit dann auch die zweite Voraussetzung erfüllt ist. Die Entscheidung erfüllt auch die dritte Voraussetzung, da im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen dazu führt, dass die Bank die Gewährung des beantragten Kredits ablehnt.
Im Ergebnis stuft der EuGH die Ermittlung des Wahrscheinlichkeitswerts durch die Schufa und Mitteilung dessen an die Bank in diesem Fall als eine Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO ein, da dieser eine maßgebliche Rolle bei der Gewährung eines Kredits spielt und
Was ist nun mit § 31 BDSG?
Dem EuGH zufolge bestünde die Gefahr einer Umgehung von Art. 22 DSGVO und folglich einer Rechtslücke, wenn die Ermittlung des Wahrscheinlichkeitswerts durch die Schufa nicht als „Entscheidung“ im Sinne von Art. 22 Abs.1 DSGVO betrachtet werden würde und nur die vom Dritten vorgenommene Handlung als „Entscheidung“ eingestuft werden könne. Dann würde die durch die Schufa betriebene automatisierte Verarbeitung nicht den besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DSGVO unterliegen.
Es liege am Verwaltungsgericht Wiesbaden zu prüfen, ob das deutsche BDSG im Einklang mit der DSGVO stehe und § 31 BDSG eine gültige Ausnahme im Sinne von Art. 22 Abs. 2 lit. b DSGVO von diesem Verbot darstelle. Der EuGH hat erhebliche Bedenken hinsichtlich der Vereinbarkeit dieses § 31 BDSG mit dem Unionsrecht.
Reaktionen auf das Urteil zum Scoring
Die Schufa
Die Schufa begrüßt das EuGH-Urteil und gibt sich gelassen. Zufolge der Schufa wären Zahlungsprognosen in Form des Schufa-Scores für ihre Kunden wichtig, aber in aller Regel nicht allein entscheidend für einen Vertragsabschluss. Somit können die große Mehrheit der Schufa-Kunden Schufa-Scores weiterhin ohne Anpassung ihrer Prozesse nutzen können.
Gleiss Lutz
Dr. Christian Hamann, Partner im Datenschutzrecht bei Gleiss Lutz, befürchtet einen Preisanstieg bei Dienstleistungen und Produkten in Branchen, welche Kunden Kredite gewähren oder in Vorleistung gehen. Dies sei darauf zurückzuführen, dass diese Unternehmen Entscheidungen über Vertragsabschlüsse künftig sicherer dokumentieren müssen, sodass diese nicht „maßgeblich“ auf der Basis der Bonitätswerte getroffen werden.
Bürgerbewegung Finanzwende
Michael Möller von der Bürgerbewegung Finanzwende ist der Ansicht, dass das Urteil eine gute Nachricht für die Verbraucher und ein schwerer Schlag gegen die Schufa sei. Das Urteil sei enorm wichtig, da es die Macht des Branchenprimus Schufa eingeschränkt habe.
Für Verbraucher künftig alles besser?
Aus Verbrauchersicht ist das Urteil zu begrüßen, denn es stärkt die Betroffenenrechte. Fraglich ist inwiefern Nutzer von Bonitätsscores ihre Entscheidungspraxis künftig gestalten werden. Dr. Christoph Ritzer von der Kanzlei Norton Rose Fulbright befürchtet, dass Anbieter die Kunden auffordern werden, sich bei der Schufa zu registrieren und dem Scoring zuzustimmen. Nur diejenigen, welche einer Verarbeitung ihrer Daten durch die Schufa zustimmen, würden dann die Möglichkeit bekommen (bei positiver Bonitätsbeurteilung) einen Kredit zu erhalten.
Unbestritten ist, dass Scoring-Verfahren zwecks Vereinfachung von Bonitätsbewertungen in unser digitalen Welt zum Tagesgeschäft gehören. Ich zumindest möchte bei hochpreisigen Anschaffungen auch weiterhin bequem von zu Hause ohne persönliche Konsultation eines Bankmitarbeiters bestellen können. Unternehmen, welche die Zahlungsmoral ihrer Kunden bisher ausschließlich auf Basis von Scoringwerten beurteilten, müssen ihre Kreditentscheidungen zwangsläufig überarbeiten. Nur so kann rechtskonform sichergestellt werden, dass der Scoringwert keine maßgebliche Rolle bei der Kreditgewährung spielte.
„Fulbright befürchtet, dass Anbieter die Kunden auffordern werden, sich bei der Schufa zu registrieren und dem Scoring zuzustimmen.“;
Wäre eine solche Zustimmung/Einwilligung überhaupt mit der DS-GVO vereinbar? Hier würde es doch ganz eindeutig an der von der DS-GVO geforderten Freiwilligkeit der Einwilligung fehlen, oder?
Da gebe ich Ihnen vollkommen Recht. Erwägungsgrund 42 DSGVO schreibt explizit vor: „Es sollte nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ Sofern einem potenziellen Kreditnehmer bei Nichteinwilligung in das Scoring die Möglichkeit der Inanspruchnahme eines Kredits ohne weitere Prüfung gänzlich verwehrt bleibt, fehlt es an der von der DSGVO geforderten Freiwilligkeit.