Orientierungssatz zur Anmerkung
1. Bereits die Score-Berechnung durch die SCHUFA stellt eine automatisierte Entscheidung im Einzelfall i.S.d. Art. 22 DSGVO dar, für die es einer Rechtsgrundlage bedarf. Dies gilt dann, wenn davon maßgeblich abhängt, ob ein Dritter mit der betroffenen Person einen Vertrag eingeht.
2. An der Europarechtskonformität des § 31 BDSG bestehen erhebliche Zweifel.
3. Für die Score-Berechnung gelten die erweiterten Auskunftspflichten des Art. 15 Abs. 1 Buchst. h DSGVO.
A. Einleitung, Problemstellung und allgemeine Entwicklungen
Die Besprechungsentscheidung befasst sich mit der Frage der datenschutzrechtlichen Zulässigkeit der Scoreberechnungen durch die SCHUFA nach der Entscheidung des EuGH.1 Im Vorabentscheidungsverfahren C-634/212 ging es insbesondere um die grundlegende Frage, ob bereits die automatisierte Erstellung eines Scorewertes durch die SCHUFA eine nachteilige Entscheidung für den Betroffenen i.S.v. Art. 22 DSGVO darstellt und damit datenschutzwidrig ist. Zudem war zu klären, ob sich das Auskunftsrecht auch auf die Berechnungsmethode des Scorewertes bezieht, oder ob dem das Geschäftsgeheimnis entgegengehalten werden kann. Der Generalanwalt kommt zu dem Ergebnis, dass bereits die Scorewerterstellung unter Art. 22 DSGVO fällt, da sie eine automatisierte Verarbeitung mit rechtlicher Wirkung für den Betroffenen darstellt.3 Zudem sieht er nationalen Regelungsspielraum nur im Rahmen der DSGVO, was er bei § 31 BDSG, der den Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften regelt, nicht für gegeben hält.
Die SCHUFA steht dabei seit langem und nicht nur wegen der Scoreberechnungen in der datenschutzrechtlichen Kritik.4
Die SCHUFA-Holding AG wurde 1927 als Schutzgemeinschaft für allgemeine Kreditsicherung gegründet. Sie hat ca. 1.000 Mitarbeiter und verarbeitet u.a. 1,1 Mrd. Daten von ca. 69 Mio. Menschen und 6,4 Mio. Unternehmen. Die Schufa hat rund 11.000 Unternehmenskunden und erteilt ihnen 2,6 Mio. Auskünfte im Jahr.5 Eine wichtige Auskunft ist dabei der Scorewert, der eine Einschätzung über die Wahrscheinlichkeit, dass eine Person ihren Zahlungsverpflichtungen nachkommt, abgibt. Die SCHUFA schreibt hierzu:
„Scoring bedeutet, dass anhand von Erfahrungen aus der Vergangenheit Prognosen für die Zukunft erstellt werden.
Beim Bonitäts-Scoring geht es um die Frage, wie wahrscheinlich es ist, dass eine Person ihren Zahlungen nachkommt. Das ist eine sehr wichtige Information für Unternehmen oder Banken. Es hilft dabei, datenbasiert zu entscheiden, ob ein Kredit oder ein Kauf auf Rechnung zustande kommt. So wird das Risiko eines Zahlungsausfalls minimiert.“6
Die Regelungen zur Datenübermittlung an Auskunfteien und zum Scoring sind erst mit der Datenschutznovelle 2009 in das BDSG a.F. implementiert worden,7 um die umstrittene Freiwilligkeit der Einwilligung in die SCHUFA-Klausel durch eine gesetzliche Rechtsgrundlage zu lösen.8 Die Gesamtregelungen aus den §§ 28a, 28b, 34 Abs. 2 BDSG a.F. wurden als geradezu vorbildliche Interessenabwägung und Vorbild für Vorgaben der europäischen Datenschutzaufsicht bezeichnet.9 Die Scoreformel hat der BGH als Geschäftsgeheimnis eingestuft10, was als Begründung für eine eingeschränkte Auskunftspraxis der SCHUFA dient. Der deutsche Gesetzgeber hat mit Einführung der DSGVO versucht, das Gute des bisherigen deutschen Datenschutzrechts in das neue BDSG zu retten und hat Regelungen zum Scoring in § 31 BDSG n.F. aufgenommen. Auch diese Regelung wurde durch den Vorlagebeschluss der hier thematisierten Entscheidung hinterfragt.
Die eingeschränkte Auskunft der SCHUFA, die sich auf ihr Geschäftsgeheimnis beim Scorewert beruft, und die kostenpflichtigen Auskunftsangebote der SCHUFA, sind dem Datenschutzaktivisten Max Schrems, der schon zwei Angemessenheitsbeschlüsse der EU-Kommission zum angemessenen Datenschutzniveau in den USA („Schrems I“- und „Schrems II“-Entscheidungen) vor dem EuGH zu Fall gebracht hat, ein Dorn im Auge. Seine Organisation NOYB (none of your business) hat rechtliche Schritte gegen die SCHUFA durch eine Beschwerde bei der hessischen Datenschutzaufsicht eingeleitet.11
Das Landesverwaltungsgericht Wien (LVwG) hat mit Beschluss vom 11.02.2022 (VGW-101/042/791/2020-44) detaillierte Vorlagefragen um Inhalt und Umfang des Auskunftsanspruchs gegen eine Auskunftei zur involvierten Logik bei der Scoreberechnungen und einem ggf. entgegenstehenden Betriebsgeheimnis an den EuGH gerichtet.12
Außer der hier besprochenen EuGH-Entscheidung zum Scoring, der EuGH-Entscheidung zur Dauer der Speicherung von Daten zur Restschuldbefreiung13 und der Entscheidung zur Übermittlung von Positivdaten an die SCHUFA14 ist also noch mit der weiteren Klärung datenschutzrechtlicher Detailfragen im Zusammenhang mit der SCHUFA bzw. mit Auskunfteien zu rechnen.
B. Inhalt und Gegenstand der Entscheidung
Die Klägerin des Ausgangsverfahrens (OQ) wollte einen Kredit, der ihr aufgrund einer negativen SCHUFA-Auskunft verweigert wurde. Auf ihr Auskunftsbegehren hin wurde ihr ein Scorewert von 85,96% mitgeteilt, die Berechnungsmethode aber nicht offengelegt. Der hessische Datenschutzbeauftragte weigerte sich, weiter gegen die SCHUFA vorzugehen, sie zu einer weiter gehenden Auskunft zu verpflichten und die Löschung der Daten der Klägerin anzuordnen. Das VG Wiesbaden setzte das Verfahren (Az. 6 K 788/20.WI) am 01.10.2021 aus und legte dem EuGH folgende Fragen zum Scoring vor:
1. Ist bereits die automatisierte Erstellung eines Scorewertes eine für die betroffene Person nachteilige (rechtlich oder erheblich tatsächlich beeinträchtigende) Entscheidung i.S.d. Art. 22 Abs. 2 DSGVO?
2. Falls nein: Stehen Art. 6 Abs. 1 DSGVO und Art. 22 DSGVO einer nationalen Vorschrift, hier § 31 BDSG, entgegen, die weitere Voraussetzungen (gemäß Vorlagebegründung) aufstellt?
Das VG will also geklärt wissen, ob bereits die Erstellung des Scorewertes eine „automatisierte Entscheidung im Einzelfall“ darstellt, oder erst die Entscheidung des potenziellen Kreditgebers, der aufgrund des Scorewertes (und ggf. weiterer Kriterien durch Mitarbeiter) die ablehnende Entscheidung ausgesprochen hat. Dabei geht das VG davon aus, dass der Scorewert normalerweise bestimmt, ob und wie der Dritte (Kreditgeber) mit der betroffenen Person einen Vertrag eingeht.
Das VG sieht eine Rechtsschutzlücke, wenn man die Scorewerterstellung nicht als automatisierte Entscheidung ansieht, weil dann die SCHUFA keine detaillierten Auskünfte darüber erteilen muss, wie der Scorewert zustande kommt. Würde erst die Entscheidung des potenziellen Kreditgebers als automatisiert angesehen und ihm eine Auskunftspflicht zur Scoreberechnung auferlegt, könnte diese mangels genauer Kenntnisse nicht erfüllt werden. Da beim Kreditgeber leicht noch weitere Entscheidungskriterien und Prozesse, genauere Informationen etc. dazu kommen können, dürfte es zudem nicht so leicht sein, auf dieser Ebene eine automatisierte Entscheidung im Einzelfall nachzuweisen.
Entscheidet man sich für die automatisierte Entscheidung auf Ebene der Scoreberechnungen durch die SCHUFA, bedarf diese dazu einer Rechtsgrundlage, die in § 31 BDSG zu sehen sein könnte. Jedoch hat das VG Zweifel, ob § 31 BDSG eine ausreichende Rechtsgrundlage darstellt, da dort nur die Verwendung, nicht aber die Berechnung des Scorewertes geregelt werde. Zudem könnte dem deutschen Gesetzgeber sogar die Regelungsbefugnis für § 31 BDSG fehlen, wenn er damit über die DSGVO hinausgeht.
I. Zulässigkeit (Rn. 28 ff.)
Ob der Zulässigkeit der Vorlage hat der EuGH keine Zweifel, da er grundsätzlich gehalten ist, über die ihm vorgelegten Fragen zu befinden. Bei Fragen, die das Unionsrecht betreffen, wird zudem vermutet, dass sie entscheidungserheblich sind. Der Beschluss der Aufsichtsbehörde unterliegt der vollständigen inhaltlichen Überprüfung durch das Gericht.
II. Automatisierte Entscheidung im Einzelfall (Rn. 43 ff.)
Eine automatisierte Entscheidung im Einzelfall i.S.d. Art. 22 Abs. 1 DSGVO liegt nach Ansicht des EuGH vor, wenn kumulativ drei Voraussetzungen erfüllt sind:
1. Es liegt eine Entscheidung vor,
2. die Entscheidung beruht ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – und
3. die Entscheidung entfaltet gegenüber der betroffenen Person rechtliche Wirkung oder beeinträchtigt sie in ähnlicher Weise erheblich.
1. Entscheidung (Rn. 44 f.)
Der Begriff Entscheidung ist weit zu verstehen (71. Erwägungsgrund) und umfasst auch die automatisierte Ablehnung eines Online-Kreditantrages oder Online-Einstellungsverfahrens ohne jegliches menschliche Eingreifen. Der Begriff ist so weit, dass nach Auffassung des EuGH, der sich hier dem Generalanwalt anschließt, auch die Scoreberechnungen darunter fallen (Rn. 46).
2. Automatisierte Verarbeitung
Die Scorewertberechnung der SCHUFA entspricht der Definition des Profiling in Art. 4 Nr. 4 DSGVO, so dass auch die zweite Voraussetzung erfüllt ist.
3. Rechtliche Wirkung oder ähnliche erhebliche Beeinträchtigung
Nach Überzeugung des Gerichts hängt das Handeln des Dritten (Kreditgeber) maßgeblich von dem übermittelten Scorewert ab. In nahezu allen Fällen, in denen ein unzureichender Scorewert vorliegt, werden die Kreditanträge der Verbraucher durch die Banken abgelehnt. Also entfalten bereits die Scoreberechnungen eine entsprechende Wirkung, so dass auch die dritte Voraussetzung erfüllt ist.
Dieses Ergebnis stützt der EuGH sodann noch mit weiteren Überlegungen: Die Einordnung der Scoreberechnung als automatisierte Entscheidung i.S.d. Art. 22 DSGVO führt auch dazu, dass nach Art. 22 Abs. 4 DSGVO die Nutzung von besonders sensiblen Daten des Art. 9 Abs. 1 DSGVO bei der Scoreberechnung nur in bestimmten Sonderfällen zulässig ist. Zudem bestehen dann zusätzliche Informationspflichten und Auskunftsrechte über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Der EuGH sieht wie das VG die Gefahr, dass eine Schutzlücke entsteht, wenn in der Entscheidungskette die Scoreberechnung nicht als automatisierte Entscheidung, sondern nur als vorbereitende Handlung angesehen wird (Rn. 61). Um es mit anderen Worten zu sagen: Es wird nicht auf die Entscheidung über den Kredit abgestellt, sondern auf die Entscheidung, welcher Scorewert einer Person zugeordnet wird.
4. Verbot und nationale Erlaubnisnorm
Der EuGH kommt also zum Zwischenergebnis, dass die Ermittlung des Wahrscheinlichkeitswertes verboten ist, wenn nicht eine Ausnahme von Art. 22 Abs. 2 DSGVO vorliegt, also die Scorewertberechnung (a) zur Vertragserfüllung (mit der SCHUFA) erforderlich ist, (b) nach einer nationalen Rechtsvorschrift, die Schutzmaßnahmen für die Betroffenen enthält, zulässig ist oder (c) mit ausdrücklicher Einwilligung erfolgt. Außerdem müssten Schutzmaßnahmen, die genauer aufgeführt werden, eingehalten und Beschränkungen bei Art. 9 DSGVO-Daten vorgesehen werden. Schließlich verweist der EuGH auf die allgemeinen Datenverarbeitungsgrundsätze des Art. 5 DSGVO, insbesondere den Grundsatz der Rechtmäßigkeit der Verarbeitung und die Rechenschaftspflicht. An diesen Kriterien misst der EuGH nun § 31 BDSG und führt aus, dass der nationale Gesetzgeber, wenn er berechtigte Interessen nach Art. 6 Abs. 1 Buchst. f DSGVO konkretisieren und festlegen will, sich an die Anforderungen des EuGH in der SCHUFA-Entscheidung zur Restschuldbefreiung halten muss. Der EuGH hat durchgreifende Bedenken, ob § 31 BDSG mit dem EU-Recht vereinbar ist. Wenn die Bestimmung als EU-rechtswidrig angesehen wird, handle die SCHUFA ohne Rechtsgrundlage und verstieße gegen Art. 22 Abs. 1 DSGVO (Rn. 71). Das vorlegende VG Wiesbaden soll nun prüfen, ob § 31 BDSG als Rechtsgrundlage i.S.v. Art. 22 Abs. 2 Buchst. b DSGVO anzusehen ist, und ob es den genannten Anforderungen genügt.
C. Kontext der Entscheidung
I. Rechtsgrundlage für die Scoreberechnungen
Die Entscheidung hat die Frage geklärt, dass bereits die Scoreberechnungen als automatisierte Entscheidung nach Art. 22 DSGVO anzusehen ist und die SCHUFA dafür eine Rechtsgrundlage benötigt. Ob die Rechtsgrundlage vorliegt, ob sich die SCHUFA auf eine Einwilligung oder ein berechtigtes Interesse an der eigenen Geschäftstätigkeit oder der Risikosteuerung ihrer Kunden berufen kann, lässt die Entscheidung ebenso offen wie die ebenfalls adressierte Frage nach dem Umfang des Auskunftsrechts, insbesondere bezüglich der Methode der Scoreberechnungen. Zu Letzterem kann der EuGH aber aufgrund der eingangs erwähnten Vorlagefrage aus Österreich noch Stellung nehmen. Allerdings kann auch die hessische Aufsicht sich auf die Beschwerde von NOYB hin nun auf die EuGH-Entscheidung beziehen. Die Einordnung der Scoreberechnungen als automatisierte Entscheidung nach Art. 22 DSGVO eröffnet das erweiterte Auskunftsrecht nach Art 15 Abs. 1 Buchst. h DSGVO, wonach Auskunft zu erteilen ist über: „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“. Damit könnte die Aufsicht die SCHUFA verpflichten, weiter gehende Informationen über die Scoreberechnungen zu beauskunften als bislang.
II. Kosten und Umfang der Auskunftserteilung vs. Geschäftsgeheimnis
Ebenfalls durch NOYB bei der hessischen Aufsicht adressiert ist die Frage nach den Kosten der Auskunftserteilung. Nach Art. 12 Abs. 5 Satz 1 DSGVO hat zumindest die erste Auskunft kostenfrei zu erfolgen. Die SCHUFA bewirbt unter https://www.meineschufa.de/de/produkt/schufa-bonitaetscheck (abgerufen am 14.05.2024) einen digitalen Bonitätsnachweis für 29,95 Euro, während die Datenkopie nach Art. 15 DSGVO im Kleingedruckten im Fuß der Seite erwähnt wird. Diese wird unter https://www.meineschufa.de/de/datenkopie (abgerufen am 14.05.2024) in zwei Formen angeboten: als postalische Datenkopie nach Art. 15 DSGVO und als Online-Information über den Basisscore. Dieser lässt allerdings die branchenspezifischen (z.B. Immobilien-, PKW- oder Konsumgüterscore) oder individuell für bestimmte Kunden berechneten Scorewerte außer Betracht. Hier stellt sich dann die noch zu klärende Frage, ob die eher weniger deutlich dargestellte kostenfreie Auskunft mit der deutlich vorangestellten kostenpflichten Form der Auskunft den Anforderungen „unentgeltlich“ genügt, und ob das, was als Datenkopie beauskunftet wird, den inhaltlichen Anforderungen an eine „aussagekräftige Information über die involvierte Logik“ genügt – etwas, was die SCHUFA bislang als ihr Geschäftsgeheimnis ansieht. Der Generalanwalt stellt zwar den Konflikt zwischen Auskunftsrecht und dem nach Erwägungsgrund 63 möglicherweise zum Teil entgegenstehenden Interesse am Geschäftsgeheimnis dar (Rn. 54), der EuGH geht jedoch nicht näher darauf ein und überlässt es dem vorlegenden Gericht, hierzu zu entscheiden. Nach Ansicht des GA soll Folgendes bereitgestellt werden: „hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen ..., die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von ‚Entscheidungen‘ i.S.v. Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind.“
III. Gesetzentwurf einer BDSG-Novelle
Da der Generalanwalt in seinem Schlussantrag am 16.03.2023 bereits § 31 BDSG als nicht europarechtskonform angesehen hatte und der EuGH oft – so auch hier – dem Generalanwalt folgt, hatte der Gesetzgeber Zeit, im Rahmen einer BDSG-Novelle eine Neuregelung des Scoring-Themas vorzuschlagen. Am 09.08.2023 wurde ein Referentenentwurf veröffentlicht, der allerdings noch keinen Vorschlag zur Neuregelung des § 31 BDSG enthielt. Am 07.02.2024 wurde der Regierungsentwurf (vgl. BT-Drs. 20/10859 vom 27.03.202415) vorgelegt16, der vorsieht, den § 31 BDSG durch einen neuen § 37a BDSG zum „Scoring“ zu ersetzen.
In § 34 Abs. 1 BDSG soll zum Umfang des Auskunftsanspruchs eingefügt werden:
„Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“
Dieser Satz soll aufgrund der Bedeutung des Scorewertes und des Auskunftsrechts der gerateten Personen jedoch gerade für die Scoreersteller nicht gelten, der Auskunftsanspruch also erhalten bleiben.
Der neue Regelungsort weg vom Kapitel über die Rechtsgrundlagen hin zum Kapitel über die Betroffenenrechte soll dem neuen Charakter der Norm Rechnung tragen. In der Begründung wird klargestellt, dass die Norm keine Rechtsgrundlage zu Scoreberechnungen darstellt, sondern diese sich aus Art. 6 Abs. 1 Buchst. f DSGVO (berechtigtes Interesse) und dem allgemeinen sowie dem besonderen Datenschutzrecht ergibt.17 Aus § 18a KWG ergibt sich zwar die Pflicht zur Bonitätsprüfung, wozu auch Scorewerte herangezogen werden können, aber diese Norm stellt keine Rechtsgrundlage zu Scoreberechnungen dar. Ansonsten greift der Regelungsvorschlag die Anforderungen des Generalanwalts und des EuGH zur Umsetzung der Schutzmaßnahmen für die Betroffenen detailliert auf.
D. Auswirkungen für die Praxis
Bezüglich der praktischen Auswirkungen ist die Entscheidung im Ausgangsverfahren sowie das dargestellte Gesetzgebungsvorhaben abzuwarten; insbesondere wird es darauf ankommen, was früher wirksam wird.18 Der Aufwand zur Begründung, warum auf Ebene der Scorewertnutzer keine ausschließliche oder auch nur überwiegende automatisierte Entscheidung vorliegt, wird höher, die Anforderungen an die Entscheidungsprozesse, deren Dokumentation, z.B. in einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO, werden höher, und die Informationspflichten gegenüber den Betroffenen werden wichtiger. Für die Betroffenen ist es gut, wenn sie mehr Möglichkeiten haben zu verstehen, warum es zu einem negativen Scorewert gekommen ist, und – wenn er auf falschen, veralteten oder ungenügenden Fakten beruht – was sie dagegen tun können.
Seitens der Aufsichtsbehörden wird die Entscheidung begrüßt19 und z.B. von der Aufsicht in Hamburg die Bedeutung auf Anwendungen der automatisierten Entscheidungen durch KI-Anwendungen gerade auch vor dem Hintergrund der europarechtlichen Entwicklung – AI-Act20 – betont.21 Scoring als Hochrisiko-Anwendung gemäß Anhang III Nr. 5 Buchst. b KI-VO-unterliegt als „Hochrisiko“-Anwendung engen Grenzen.
Da KI nicht nur Gefahren, sondern auch Chancen bietet, wird die Gratwanderung zwischen sinnvollem, qualitätsverbesserndem, rationalisierendem Einsatz der KI und den Gefahren von falschen oder einseitig „gefärbten“ Entscheidungen eine künftig spannende Aufgabe. Einen kleinen Vorgeschmack gibt das Bußgeld der Berliner Datenschutzaufsicht über 300.000 Euro gegen eine Bank, die einen Kreditantrag automatisiert bewerten und ablehnen ließ und dem Antragsteller, der einen guten SCHUFA-Score und ein regelmäßiges, hohes Einkommen hatte, keine transparente und nachvollziehbare Begründung für die Ablehnung mitgeteilt hatte.22
Abschließend soll betont werden, dass Scorewerte eine hohe praktische Bedeutung zum Schutz der Wirtschaft, aber auch der Verbraucher haben, und es daher auch für Verbraucher nachteilig wäre, wenn sich z.B. Online-Händler nicht mehr an Scorewerten orientieren könnten, wenn sie entscheiden, ob sie direkt leisten und damit in Vorleistung gehen, welche Zahlungsmethode sie dem Kunden anbieten oder ob sie Vorkasse verlangen mit entsprechendem Zeit- und Lieferverzug, ob es Mobilfunkverträge ohne aufwändige Bonitätsprüfung gibt etc. Transaktionskosten, die eingepreist werden, könnten zu höheren Preisen führen. Allein der Hinweis, dass Banken doch sicherstellen sollten, dass sie keine automatisierten Entscheidungen auf der Grundlage des Scorewertes treffen, sondern zahlreiche andere Informationen einbeziehen und Mitarbeiter die Letztentscheidung fällen lassen, genügt nicht, wenn keine sichere Rechtsgrundlage für die automatisierte Entscheidung auf der ersten Stufe der Entscheidungskette, der Scoreberechnung, gefunden wird.
