Schufa: Score-Wert auf dem europäischen Prüfstand

Urteil

Das VG Wiesbaden hat dem EuGH (u.a.) die Frage vorgelegt, ob die Bildung von Score-Werten durch Auskunfteien und deren anschließende Übermittlung an ein auskunftsersuchendes Unternehmen dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Falls ja, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit nach Auffassung des Gerichts wohl datenschutzrechtlich unzulässig.

Kein Kredit ohne guten Schufa-Score

Ausgangspunkt des Vorlagebeschlusses des VG Wiesbaden (Az. 6 K 788/20.WI) war die Nichtgewährung eines Kredits für die Klägerin durch eine Bank – basierend auf einem offenbar zu geringen Schufa-Score. Die Klägerin hatte zunächst – außergerichtlich – ein Begehren auf Löschung und Auskunftserteilung gegenüber der Schufa Holding AG geltend gemacht. Die Schufa hatte der Klägerin daraufhin deren Score-Wert, sowie, in groben Zügen, die grundsätzliche Funktionsweise ihrer Score-Wert-Berechnung mitgeteilt. Welche Einzelinformationen mit welcher Gewichtung in die Berechnung einfließen, erläuterte die Schufa nicht.

Die Klägerin hatte in der Folge gegen diese Auskunft Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (BfDI) erhoben. Auch dies jedoch ohne Erfolg: Der Hessische BfDI lehnte ein weiteres Tätigwerden gegen die Beklagte ab. Daher erhob die Klägerin Klage gegen den Hessischen BfDI beim VG Wiesbaden, das in seinem Vorlagebeschluss nun sowohl Art. 22 DSGVO auf das Scoring-Verfaren selbst anwenden will und zudem erhebliche Zweifel an der Europarechtskonformität des § 31 BDSG äußerte, der deutschen Norm, welche die Voraussetzungen eines (vermeintlich) rechtmäßigen Scorings regelt.

Hessischer BfDI hält Scoring für unproblematisch

Der Hessische BfDI sah die Bildung und Weitergabe von Score-Werten durch die Schufa bislang offenbar als unproblematisch an. Er verfasste auch ein (sehr Schufa-freundlich klingendes) FAQ zu deren Geschäftsbetrieb und den datenschutzrechtlichen Implikationen. Darin heißt es zu den gesetzlichen Grundlagen der Tätigkeit:

„Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) lassen die Tätigkeit von Auskunfteien grundsätzlich zu. Die Verarbeitung personenbezogener Daten durch Auskunfteien erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. b) und lit. f) DSGVO sowie § 31 BDSG.“

Auch in seiner Begründung gegen die Beschwerde der Klägerin führte er aus, dass das Scoring zwar den in § 31 BDSG detailliert geregelten Anforderungen genügen müsse. Diese Anforderungen würde die Schufa jedoch in aller Regel erfüllen und auch im hiesigen Fall sei nichts dafür ersichtlich, dass dem nicht so sei. Im Übrigen stützt sich der Hessische BfDI auch auf die Entscheidung des BGH vom 28.02.2014 (Az. VI ZR 156/13), wonach die sog. Scoreformel, also die abstrakte Methode der Scorewertberechnung, einem Auskunft über seine Daten Begehrenden nicht mitgeteilt werden müsse.

VG Wiesbaden ist skeptisch

Das VG Wiesbaden geht in seinem Vorlagebeschluss vom Anwendungsvorrang der DSGVO aus und fragt sich, ob nicht das Verbot einer automatisierten Einzelentscheidung aus Art. 22 Abs. 1 DSGVO der Weitergabe von Score-Werten entgegenstehen könnte.

Art. 22 Abs. 1 lautet:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Die geläufige Argumentation (nicht nur der Auskunfteien) gegen die Anwendbarkeit des Art. 22 geht in etwa wie folgt:

„Wir, die Auskunfteien, treffen doch gar keine Entscheidung. Wir geben nur einen Score-Wert weiter. Entscheiden tut dann unser Kunde, und zwar in aller Regel auch noch in Persona eines tatsächlichen, dort angestellten Mitarbeiters.“

Das ist sicher nicht von der Hand zu weisen, doch das VG Wiesbaden wird hier recht deutlich und führt aus (Vorlagebeschluss (Az. 6 K 788/20.WI), Rz. 11):

„Das Gericht geht jedoch davon aus, dass die Erstellung eines Score-Wertes durch eine Auskunftei nicht lediglich ein die Entscheidung des dritten Verantwortlichen vorbereitendes Profiling ist, sondern gerade eine selbstständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DSGVO.“

Wortlaut spricht gegen VG Wiesbaden

Dabei ist sich das VG Wiesbaden zunächst „in Ansehung des Wortlautes des Art. 22 Abs. 1 DSGVO bewusst, dass sich die Vorschrift bei restriktiver Auslegung so verstehen lässt und verbreitet auch so verstanden wird, dass sie auf die Tätigkeit von Wirtschaftsauskunfteien keine unmittelbare Anwendung findet“ (Rz. 12).

Es stützt seine Ansicht im Weiteren aber „in tatsächlicher Hinsicht auf die Bedeutung des von Wirtschaftsauskunfteien erstellten Score-Wertes für die Entscheidungspraxis dritter Verantwortlicher sowie rechtlich maßgeblich auf die mit Art. 22 Abs. 1 DSGVO verfolgten Zwecke sowie den in Art. 77 ff. DSGVO verbürgten Rechtsschutzgewährleistungen.“ (Rz. 14).

Eigentliche Entscheidung durch Bildung des Score-Wertes

M.a.W. das VG Wiesbaden stellt darauf ab, dass es tatsächlich gerade nicht die Dritten (Banken bzw. ihre Mitarbeiter) sein werden, die eine konkrete Entscheidung treffen. Vielmehr wird die spätere Entscheidung bereits durch den im Rahmen des automatisierten Verfahrens (Scoring) ermittelten Wert getroffen.

„Eigentlich entscheidet über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person letztlich doch der aufgrund automatisierter Verarbeitung von der Wirtschaftsauskunftei erstellte Score-Wert. Der dritte Verantwortliche muss seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tut es in aller Regel jedoch maßgeblich. Eine Kreditvergabe mag zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden, ein nicht ausreichender Score-Wert hingegen wird jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheint.“

Sinn und Zweck der Vorschrift

Vor diesen Gefahren einer solchen „rein auf Automation gründenden Entscheidungsform“ habe der Verordnungsgeber, so das Verwaltungsgericht, die Bürger aber genau schützen wollen. Es entspräche also dem Sinn und Zweck der Vorschrift, wenn man das Scoring-Verfahren selbst als Fall der automatisierten Entscheidungsfindung ansähe. Nur in einem solchen Fall käme dann auch das Korrektiv des Art. 22 Abs. 2 zur Anwendung, das gerade spezifische (europarechtlich definierte) Ausnahmen von dem grundsätzlichen Verbot automatisierter Entscheidungsfindung zulässt.

Zudem weist das Gericht zutreffend darauf hin, dass bei der verbreiteten, restriktiven Lesart des Art. 22 Abs. 1 DSGVO eine Rechtsschutzlücke besteht. Die Betroffenen könnten nämlich nur von der Bank als Verantwortlicher für die Entscheidung Auskunft nach Art. 15 Abs. 1 lit. h (einschließlich „Informationen über die bei der Entscheidungsfindung involvierte Logik (…) einer derartigen Entscheidung“) verlangen. Die Banken aber können selbst gerade keinerlei Informationen über das Zustandekommen des Scoring-Wertes liefern. Zu dieser systemimmanenten Intransparenz hatten auch wir hier bereits an anderer Stelle geschrieben.

Sollte Art. 22 DSGVO tatsächlich auf das Scoring anwendbar sein, könnte diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DSGVO zulässig sein. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DSGVO bestünden aber durchgreifende Bedenken (s. sogleich). Die Schufa würde dann rechtsgrundlos handeln, und die Klägerin hätte zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.

Zweifel an Rechtmäßigkeit von § 31 BDSG

Wie oben bereits angedeutet, äußert das VG Wiesbaden in seiner zweiten Vorlagefrage zudem Bedenken hinsichtlich der EU-Rechts-Konformität des § 31 BDSG (Vorlagebeschluss (Az. 6 K 788/20.WI), Rz. 24 ff.). Diese Frage käme aber nur dann zum Tragen, wenn der EuGH das Scoring selbst (anders als das VG Wiesbaden) nicht als Unterfall des Art. 22 DSGVO ansehen würde. Nach Ansicht des VG Wiesbaden fehlte dem deutschen Gesetzgeber nämlich bereits die Regelungsbefugnis zum Erlass der Vorschrift:

„Nach der Systematik von Art. 22 DSGVO und den allgemeinen Verarbeitungstatbeständen des Art. 6 DSGVO richtet sich die Zulässigkeit von Entscheidungen, die nicht auf einer automatisierten Verarbeitung einschließlich Profiling beruhen, jedoch nach Art. 6 DSGVO. Dieser Regelungsgegenstand ist den nationalen Gesetzgebern (…) entzogen.“

Wird es eng für die Schufa?

Mit den aufgeworfenen Fragen stellt das VG Wiesbaden die datenschutzrechtliche Zulässigkeit des Scorings in seiner derzeitigen Form in Frage. Einer Entscheidung des EuGH werden daher gerade die Wirtschaftsauskunfteien mit erheblichem Interesse entgegensehen. Ob der EuGH aber die Praxis der Auskunfteien tatsächlich so kritisch sieht wie das VG Wiesbaden, bleibt abzuwarten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Das VG Wiesbaden übersieht, dass jeder Kunde durchaus die Möglichkeit hätte, mit Hilfe der Scoring-Ergebnisse, automatisiert Entscheidungen zu treffen.
    Da dies aber gerade nicht geschieht, sondern die Kunden der Auskunfteien eine Vielzahl von anderen Erwägungen in eine Entscheidung einfließen lassen und zudem gerade nicht automatisiert, beispielsweise eine Kreditanfrage abgelehnt wird, findet Art. 22 DS-GVO auf die Scoring-Auskünfte einer Auskunftei gerade keine Anwendung.

    Würde man das anders sehen, würde das Tatbestandsmerkmal „ausschließlich auf einer automatisierten Verarbeitung“ bedeutungslos.
    Vergleichbar ist auch ein Waffenhersteller nicht verantwortlich für die Dinge die der Käufer einer Waffe mit dieser anstellt.

    Die Kunden könnten auch in eigener Regie Scoring-Werte erstellen. Sie tun dies ja auch vielfach. Sollen jetzt alle sich später ergebenden Entscheidungen bei denen der Scoring-Wert eine Rolle gespielt hat unwirksam sein? Wohl kaum.
    Man sollte jetzt wirklich mal die Kirche im Dorf lassen und nicht versuchen den Wirtschaftsunternehmen weitere wichtige Arbeitsmittel über den Datenschutz zu entziehen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.