Ein Urteil des Verwaltungsgerichts (VG) Wiesbaden vom 19. November 2025 (Az.: 6 K 788/20.WI) verpflichtet den Hessischen Beauftragten für Datenschutz und Informationsfreiheit gegenüber der SCHUFA mit aufsichtlichen Mitteln im gegenständlichen Fall einzuschreiten. Denn diese sei einem DSGVO-Auskunftsbegehren zur Berechnung des persönlichen Bonitätsscore-Wertes einer betroffenen Person nicht umfassend nachgekommen. Dieser Beitrag fasst die wichtigsten Punkte des Urteils zusammen.
Der Inhalt im Überblick
Ein abgelehnter Kredit und unzureichende Information durch die SCHUFA
Der Fall begann, als die Klägerin im Jahr 2018 bei einer Bank einen Kreditantrag stellte, der von der Bank abgelehnt wurde. Vor dieser Ablehnung hatte die SCHUFA Holding AG dieser Bank zur Klägerin einen automatisiert erstellten Bonitätsscore von 85,96 % übermittelt und dabei das Risiko eines Kreditausfalls als deutlich erhöht bis hoch eingestuft.
Die Klägerin verlangte deshalb von der SCHUFA eine nachvollziehbare Erklärung, wie dieser Wert und die negative Risikoeinschätzung zustande kamen. Trotz mehrerer Antwortschreiben der SCHUFA blieben die Informationen für sie abstrakt und unzureichend.
Die Klägerin legte daraufhin Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ein, der die von der SCHUFA erteilten Informationen zur Erfüllung des DSGVO-Auskunftsrechts der Klägerin jedoch als ausreichend einschätzte und ein aufsichtliches Einschreiten ablehnte.
Gegen diese Entscheidung zog die Klägerin daraufhin vor das VG Wiesbaden – mit dem HBDI als Beklagten und der SCHUFA als Beigeladene. Das Ziel: Aufsichtliches Einschreiten auf Erfüllung des Auskunftsanspruchs durch die SCHUFA.
Kern des Urteils: Besteht ein entsprechender Auskunftsanspruch gegenüber der SCHUFA und wie weit reicht er?
„Recht auf die gewünschte Information“
Damit die Klägerin einen Anspruch auf die gewünschte Erläuterung zur automatisierten Scorewertberechnung bzw.
„aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ (s. Art. 15 Abs.1 lit. h DSGVO)
hat, musste zunächst Art. 15 Abs.1 lit. h DSGVO einschlägig sein, also bestenfalls eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs. 1 und 4 bestehen.
Das VG Wiesbaden sieht, gestützt auf die Entscheidung des Europäischen Gerichtshofs (EuGH) vom 07.12.2023 – Az.: C-634/21, in diesem von der SCHUFA für die Bank zur Bonitätsprüfung erstellten Score-Wert eine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs.1 DSGVO und damit auch den o.g. Informationsanspruch nach Art. 15 Abs. 1 lit. h DSGVO für die Klägerin.
Denn das EuGH-Urteil besagt, dass:
„eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“
„Umfang der Auskunftspflicht“
Das VG Wiesbaden entschied zum Umfang der Information, dass allgemeine und abstrakte Erklärungen, wie sie die SCHUFA aus dessen Sicht bis dahin der Klägerin bereitstellte, nicht ausreichten.
Die SCHUFA sei zwar nicht verpflichtet, ihren Algorithmus offenzulegen, müsse aber so individualisiert darlegen, welche Verfahren und Grundsätze bei der Erstellung des Score-Werts konkret angewandt wurden, um für die Betroffene nachvollziehbar zu machen, welche personenbezogenen Daten auf welche Art verwendet worden seien.
Konkret müsse die SCHUFA – mit Blick auf das EuGH Urteil vom 27.02.2025 (Az.: C-203/22, Rn. 43ff.) – noch ergänzend mitteilen,
- „Welche personenbezogenen Daten der Klägerin und Kriterien sie für die Erstellung des Score konkret genutzt hat.
- Warum die einzelnen konkret verwendeten Daten für das Profiling der Klägerin relevant und aussagekräftig sind.
- Sind Informationen in die Scorewertberechnung eingeflossen, die nicht unmittelbar aus den über die Klägerin gespeicherten Informationen abgeleitet werden und wenn ja, welche? (etwa: Sind auch Daten aus dem Wohnumfeld bzw. der Nachbarschaft der Klägerin zur Berechnung der Scores herangezogen worden?
- Die zur Berechnung genutzten Daten sind in absteigender Reihenfolge ihrer Bedeutung (Ranking) für das berechnete Ergebnis darzustellen, beginnend mit dem personenbezogenen Datum, das im vorliegenden Fall den errechneten Scorewert am stärksten beeinflusst hat.
- Die Klägerin ist darüber zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte: Wie wirken sich die Änderungen der gespeicherten und verwendeten Daten in den einzelnen Datenkategorien auf den errechneten Score aus? Beispielsweise: Wie würde es sich auf den Score auswirken, wenn die Klägerin eine längere bzw. kürzere Kredithistorie hätte; wie würde es sich auf den Score auswirken, wenn ein Wohnortwechsel stattfindet, etc.).
- Warum wird der Score von 85,96 % als „deutlich erhöhtes bis hohes Risiko“ bewertet?“
Fazit: Ein wichtiger Schritt für Auskunftei-Score-Wert-Betroffene
Dieses Gerichtsverfahren und das – ggf. noch nicht rechtskräftige – Urteil des VG Wiesbaden bestärken Score-Wert-Betroffene darin, eine nachvollziehbarere Erläuterung zu ihren automatisiert erstellten Werten zu erhalten, um ihre Rechte (z. B. Art. 22 Abs.3 DSGVO – Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung bzgl. automatisierten Entscheidungen) besser wahrnehmen zu können.
