Das VG Wiesbaden hat dem EuGH (u.a.) die Frage vorgelegt, ob die Bildung von Score-Werten durch Auskunfteien und deren anschließende Übermittlung an ein auskunftsersuchendes Unternehmen dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Falls ja, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit nach Auffassung des Gerichts wohl datenschutzrechtlich unzulässig.
Der Inhalt im Überblick
Kein Kredit ohne guten Schufa-Score
Ausgangspunkt des Vorlagebeschlusses des VG Wiesbaden (Az. 6 K 788/20.WI) war die Nichtgewährung eines Kredits für die Klägerin durch eine Bank – basierend auf einem offenbar zu geringen Schufa-Score. Die Klägerin hatte zunächst – außergerichtlich – ein Begehren auf Löschung und Auskunftserteilung gegenüber der Schufa Holding AG geltend gemacht. Die Schufa hatte der Klägerin daraufhin deren Score-Wert, sowie, in groben Zügen, die grundsätzliche Funktionsweise ihrer Score-Wert-Berechnung mitgeteilt. Welche Einzelinformationen mit welcher Gewichtung in die Berechnung einfließen, erläuterte die Schufa nicht.
Die Klägerin hatte in der Folge gegen diese Auskunft Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (BfDI) erhoben. Auch dies jedoch ohne Erfolg: Der Hessische BfDI lehnte ein weiteres Tätigwerden gegen die Beklagte ab. Daher erhob die Klägerin Klage gegen den Hessischen BfDI beim VG Wiesbaden, das in seinem Vorlagebeschluss nun sowohl Art. 22 DSGVO auf das Scoring-Verfaren selbst anwenden will und zudem erhebliche Zweifel an der Europarechtskonformität des § 31 BDSG äußerte, der deutschen Norm, welche die Voraussetzungen eines (vermeintlich) rechtmäßigen Scorings regelt.
Hessischer BfDI hält Scoring für unproblematisch
Der Hessische BfDI sah die Bildung und Weitergabe von Score-Werten durch die Schufa bislang offenbar als unproblematisch an. Er verfasste auch ein (sehr Schufa-freundlich klingendes) FAQ zu deren Geschäftsbetrieb und den datenschutzrechtlichen Implikationen. Darin heißt es zu den gesetzlichen Grundlagen der Tätigkeit:
„Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) lassen die Tätigkeit von Auskunfteien grundsätzlich zu. Die Verarbeitung personenbezogener Daten durch Auskunfteien erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. b) und lit. f) DSGVO sowie § 31 BDSG.“
Auch in seiner Begründung gegen die Beschwerde der Klägerin führte er aus, dass das Scoring zwar den in § 31 BDSG detailliert geregelten Anforderungen genügen müsse. Diese Anforderungen würde die Schufa jedoch in aller Regel erfüllen und auch im hiesigen Fall sei nichts dafür ersichtlich, dass dem nicht so sei. Im Übrigen stützt sich der Hessische BfDI auch auf die Entscheidung des BGH vom 28.02.2014 (Az. VI ZR 156/13), wonach die sog. Scoreformel, also die abstrakte Methode der Scorewertberechnung, einem Auskunft über seine Daten Begehrenden nicht mitgeteilt werden müsse.
VG Wiesbaden ist skeptisch
Das VG Wiesbaden geht in seinem Vorlagebeschluss vom Anwendungsvorrang der DSGVO aus und fragt sich, ob nicht das Verbot einer automatisierten Einzelentscheidung aus Art. 22 Abs. 1 DSGVO der Weitergabe von Score-Werten entgegenstehen könnte.
Art. 22 Abs. 1 lautet:
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Die geläufige Argumentation (nicht nur der Auskunfteien) gegen die Anwendbarkeit des Art. 22 geht in etwa wie folgt:
„Wir, die Auskunfteien, treffen doch gar keine Entscheidung. Wir geben nur einen Score-Wert weiter. Entscheiden tut dann unser Kunde, und zwar in aller Regel auch noch in Persona eines tatsächlichen, dort angestellten Mitarbeiters.“
Das ist sicher nicht von der Hand zu weisen, doch das VG Wiesbaden wird hier recht deutlich und führt aus (Vorlagebeschluss (Az. 6 K 788/20.WI), Rz. 11):
„Das Gericht geht jedoch davon aus, dass die Erstellung eines Score-Wertes durch eine Auskunftei nicht lediglich ein die Entscheidung des dritten Verantwortlichen vorbereitendes Profiling ist, sondern gerade eine selbstständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DSGVO.“
Wortlaut spricht gegen VG Wiesbaden
Dabei ist sich das VG Wiesbaden zunächst „in Ansehung des Wortlautes des Art. 22 Abs. 1 DSGVO bewusst, dass sich die Vorschrift bei restriktiver Auslegung so verstehen lässt und verbreitet auch so verstanden wird, dass sie auf die Tätigkeit von Wirtschaftsauskunfteien keine unmittelbare Anwendung findet“ (Rz. 12).
Es stützt seine Ansicht im Weiteren aber „in tatsächlicher Hinsicht auf die Bedeutung des von Wirtschaftsauskunfteien erstellten Score-Wertes für die Entscheidungspraxis dritter Verantwortlicher sowie rechtlich maßgeblich auf die mit Art. 22 Abs. 1 DSGVO verfolgten Zwecke sowie den in Art. 77 ff. DSGVO verbürgten Rechtsschutzgewährleistungen.“ (Rz. 14).
Eigentliche Entscheidung durch Bildung des Score-Wertes
M.a.W. das VG Wiesbaden stellt darauf ab, dass es tatsächlich gerade nicht die Dritten (Banken bzw. ihre Mitarbeiter) sein werden, die eine konkrete Entscheidung treffen. Vielmehr wird die spätere Entscheidung bereits durch den im Rahmen des automatisierten Verfahrens (Scoring) ermittelten Wert getroffen.
„Eigentlich entscheidet über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person letztlich doch der aufgrund automatisierter Verarbeitung von der Wirtschaftsauskunftei erstellte Score-Wert. Der dritte Verantwortliche muss seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tut es in aller Regel jedoch maßgeblich. Eine Kreditvergabe mag zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden, ein nicht ausreichender Score-Wert hingegen wird jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheint.“
Sinn und Zweck der Vorschrift
Vor diesen Gefahren einer solchen „rein auf Automation gründenden Entscheidungsform“ habe der Verordnungsgeber, so das Verwaltungsgericht, die Bürger aber genau schützen wollen. Es entspräche also dem Sinn und Zweck der Vorschrift, wenn man das Scoring-Verfahren selbst als Fall der automatisierten Entscheidungsfindung ansähe. Nur in einem solchen Fall käme dann auch das Korrektiv des Art. 22 Abs. 2 zur Anwendung, das gerade spezifische (europarechtlich definierte) Ausnahmen von dem grundsätzlichen Verbot automatisierter Entscheidungsfindung zulässt.
Zudem weist das Gericht zutreffend darauf hin, dass bei der verbreiteten, restriktiven Lesart des Art. 22 Abs. 1 DSGVO eine Rechtsschutzlücke besteht. Die Betroffenen könnten nämlich nur von der Bank als Verantwortlicher für die Entscheidung Auskunft nach Art. 15 Abs. 1 lit. h (einschließlich „Informationen über die bei der Entscheidungsfindung involvierte Logik (…) einer derartigen Entscheidung“) verlangen. Die Banken aber können selbst gerade keinerlei Informationen über das Zustandekommen des Scoring-Wertes liefern. Zu dieser systemimmanenten Intransparenz hatten auch wir hier bereits an anderer Stelle geschrieben.
Sollte Art. 22 DSGVO tatsächlich auf das Scoring anwendbar sein, könnte diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DSGVO zulässig sein. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DSGVO bestünden aber durchgreifende Bedenken (s. sogleich). Die Schufa würde dann rechtsgrundlos handeln, und die Klägerin hätte zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.
Zweifel an Rechtmäßigkeit von § 31 BDSG
Wie oben bereits angedeutet, äußert das VG Wiesbaden in seiner zweiten Vorlagefrage zudem Bedenken hinsichtlich der EU-Rechts-Konformität des § 31 BDSG (Vorlagebeschluss (Az. 6 K 788/20.WI), Rz. 24 ff.). Diese Frage käme aber nur dann zum Tragen, wenn der EuGH das Scoring selbst (anders als das VG Wiesbaden) nicht als Unterfall des Art. 22 DSGVO ansehen würde. Nach Ansicht des VG Wiesbaden fehlte dem deutschen Gesetzgeber nämlich bereits die Regelungsbefugnis zum Erlass der Vorschrift:
„Nach der Systematik von Art. 22 DSGVO und den allgemeinen Verarbeitungstatbeständen des Art. 6 DSGVO richtet sich die Zulässigkeit von Entscheidungen, die nicht auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, jedoch nach Art. 6 DSGVO. Dieser Regelungsgegenstand ist den nationalen Gesetzgebern (…) entzogen.“
Wird es eng für die Schufa?
Mit den aufgeworfenen Fragen stellt das VG Wiesbaden die datenschutzrechtliche Zulässigkeit des Scorings in seiner derzeitigen Form in Frage. Einer Entscheidung des EuGH werden daher gerade die Wirtschaftsauskunfteien mit erheblichem Interesse entgegensehen. Ob der EuGH aber die Praxis der Auskunfteien tatsächlich so kritisch sieht wie das VG Wiesbaden, bleibt abzuwarten.
Das VG Wiesbaden übersieht, dass jeder Kunde durchaus die Möglichkeit hätte, mit Hilfe der Scoring-Ergebnisse, automatisiert Entscheidungen zu treffen.
Da dies aber gerade nicht geschieht, sondern die Kunden der Auskunfteien eine Vielzahl von anderen Erwägungen in eine Entscheidung einfließen lassen und zudem gerade nicht automatisiert, beispielsweise eine Kreditanfrage abgelehnt wird, findet Art. 22 DS-GVO auf die Scoring-Auskünfte einer Auskunftei gerade keine Anwendung.
Würde man das anders sehen, würde das Tatbestandsmerkmal „ausschließlich auf einer automatisierten Verarbeitung“ bedeutungslos.
Vergleichbar ist auch ein Waffenhersteller nicht verantwortlich für die Dinge die der Käufer einer Waffe mit dieser anstellt.
Die Kunden könnten auch in eigener Regie Scoring-Werte erstellen. Sie tun dies ja auch vielfach. Sollen jetzt alle sich später ergebenden Entscheidungen bei denen der Scoring-Wert eine Rolle gespielt hat unwirksam sein? Wohl kaum.
Man sollte jetzt wirklich mal die Kirche im Dorf lassen und nicht versuchen den Wirtschaftsunternehmen weitere wichtige Arbeitsmittel über den Datenschutz zu entziehen.
Scoring oder nicht. Ich halte jegliche Art von Auskunfteien für Datenschutzrechtlich bdenklich. Der Betroffene hat weder absolut transparente Einsicht, noch gibt es einen Abgleich mit anderen Auskunfteien. Es kann und darf nicht sein, daß Betroffene einem System eines einziges Unternehmens ausgeliefert sind. Obendrein haben die Betroffenen weder eine Einwilligungserklärung für den Datenaustausch oder der Verwendung der Daten in irgendeiner Form schriftlich erteilt und auch nicht mit Unterschrift bestätigt oder abgesegnet, noch haben sie irgendeinen Vertrag mit diesem Unternehmen, der ihm erlaubt, Daten zu erheben, zu verarbeiten und oder weiter zu geben oder zu bewerten. Somit betrachte ich die Schufa als ein Zwangswerkzeug, das (beispielsweise durch zukünftige Unterkunfstvermieter) missbraucht werden kann und wird. Einigen sozial Schwachen wird die Chance entzogen, jemals aus der Mühle der Grundsicherung heraus zu kommen, da ihr Score notgedrungenermassen zu niedrig ist, irgendwelche finanziellen Rechte und Möglichkeiten zu erlangen. Banken können weitaus besser und korrekter personenbezogene Angaben machen, als die Schufa. Dieses Unternehmen hatte schon immer viel zu viel Einfluss auf finanzielle Werdegänge einzelner Bürger. Das ging und geht zu weit, viel zu weit.
Die Schufa gehört den Banken.da jedoch die Banken die Bürger arglistig täuschen ist in meinen Augen dies eine kriminelle Vereinigung.wie kann es Seiendes eine Bank ohne Zustimmung des Kunden bei ihm dem Kunden zinsloses ungesichertes Darlehen aufnimmt.will der Kunde jedoch einen Kredit lehnt die Bank ab.