Schufa vs. DSGVO
EG-Generalanwalt hält Schufa-Score für rechtswidrig
Der Schufa-Score soll die Kreditwürdigkeit von Bürgern als übersichtlichen Punktewert darstellen. Laut Schlussanträgen des EuGH-Generalanwalts verstößt diese Praxis jedoch gegen die DSGVO und ist somit rechtswidrig.
Der Schufa-Score soll anzeigen, wie kreditwürdig eine Person ist und entscheidet damit oft über die Chancen auf einen Kredit oder die Zusage zur gewünschten Miet-Wohnung. Damit ist die private Auskunftei zwar bei Banken, Telekommunikationsdienstleistern, Vermietern etc. beliebt, bei den bewerteten Bürgern allerdings weniger. Nun hat auch der Generalanwalt beim Europäischen Gerichtshof Zweifel an der Vereinbarkeit dieser Praxis mit geltendem Datenschutzrecht geäußert und damit eine Vorahnung auf die Entscheidung des Gerichts gegeben.
Score-Berechnungsmethode als Geschäftsgeheimnis?
Einer der Ausgangsklägerin wurde der Abschluss eines Kredit-Vertrages verweigert – wegen eines negativen Schufa-Score-Werts. Die Frau forderte daraufhin von der Schufa Zugang zu den entsprechenden Daten und die Löschung falscher Eintragungen. Dies verweigerte die Schufa ihr allerdings und teilte ihr lediglich den entsprechenden Score sowie allgemeine Grundsätze der Berechnung mit. Die konkrete Berechnungsmethode, also welche Informationen in diese Berechnung einfließen und welche Bedeutung den einzelnen Informationen zukommen, unterliege dem Geschäftsgeheimnis.
Nachdem die Beschwerde beim Datenschutzbeauftragten ohne Erfolg blieb, klagte die Betroffene vor dem VG Wiesbaden, welches den EuGH anrief.
Lange Speicherung der Daten über Restschuldbefreiung
In den beiden anderen Angelegenheiten hatten die Ausgangkläger die Privatinsolvenz durchlaufen. Am Ende dieses Verfahrens steht regelmäßig die sogenannte Restschuldbefreiung, durch die die Schuldner von sämtlichen verbleibenden Schulden befreit werden. Hierdurch soll ihnen nach dem Durchlaufen der Insolvenz ein schulden- und stigmatisierungsfreier Neustart ermöglicht werden. Der Umstand der Restschuldbefreiung wird amtlich im Internet veröffentlicht, allerdings nach 6 Monaten wieder gelöscht. Auch die Schufa greift die Restschuldbefreiung auf, löscht diese Information allerdings nicht bereits nach einem halben Jahr, sondern erst drei Jahre nach der Eintragung. Ein Umstand der für betroffene Ex-Schuldner oft zu erheblichen Nachteilen führt.
Generalanwalt hält Score für rechtswidrig
"Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. (Art. 22 Abs. 1 DSGVO)"
Die DS-GVO schreibt vor, dass solche Entscheidungen, die für die Betroffenen rechtliche Wirkung entfalten, nicht ausschließlich durch eine automatisierte Verarbeitung von Daten getroffen werden dürfen. Maschinen sollen nicht über das Schicksal von Menschen entscheiden dürfen. Priit Pikamäe – EuGH-Generalanwalt – sieht im Schufa-Score einen Verstoß gegen dieses Verbot. Denn der Score wird automatisiert erstellt und kann als Wahrscheinlichkeitswert über die Fähigkeit der betroffenen Person, künftig einen Kredit zu bedienen, diese Person erheblich beeinträchtigen. Indem dieser Wert an einen dritten Verantwortlichen, z.B. die Bank, übermittelt werde und dieser den Wert seiner Entscheidung über einen Vertrag maßgeblich zugrunde lege, liege daher ein Verstoß gegen das Verbot in Art. 22 Abs. 1 DSGVO.
Gleiches gilt für die längere Speicherdauer. Laut Pikamäes würde das Ziel der Restschuldbefreiung vereitelt, wenn diese personenbezogenen Daten noch in privaten Datenbanken gespeichert werden, nachdem sie bereits aus dem öffentlichen Register gelöscht wurden. Damit verstoße seiner Ansicht nach auch diese Speicherung gegen die DSGVO - jedenfalls ab dem Zeitpunkt, ab dem die Daten nicht mehr im öffentlichen Register aufrufbar sind.
Bertoffene haben Recht auf Auskunft und Löschung
Aus seiner Sicht dürften die betroffenen Personen zudem die unverzügliche Löschung der sie betreffenden personenbezogenen Daten verlangen, wenn diese unrechtmäßig verarbeitet worden seien oder der Verarbeitung zu widersprechen.
Die betroffene Person hätten zudem nach Art. 15 Abs. 1 lit. h DSGVO das Recht, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie "das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person". Die Verpflichtung, "aussagekräftige Informationen über die involvierte Logik" bereitzustellen, umfasse auch hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen, die zu einem bestimmten Ergebnis geführt haben.
Ein Urteil des EuGH wird erst in den nächsten Monaten erwartet. Allerdings folgen die Richter in vielen Fällen den Gutachten des Generalanwalts.