Out-Law News Lesedauer: 3 Min.

EuGH-Generalanwalt sieht in Schufa-Bonitätsauskunft Verstoß gegen EU-Datenschutzrecht


Die SCHUFA hat die Dauer der Speicherung von Daten über abgeschlossene Privatinsolvenzen von drei Jahren auf sechs Monate verkürzt, um einem erwarteten Urteil des Europäischen Gerichtshofs zuvorzukommen.

Zudem kündigte die SCHUFA an, die Transparenz ihrer Bewertungsmethoden durch die Veröffentlichung eines Bewertungssimulators zu erhöhen.

Die Ankündigung erfolgt kurz nachdem ein Generalanwalt des Europäischen Gerichtshofs (EuGH) darauf hingewiesen hatte, dass die Erhebung und Verarbeitung von Bonitätsdaten unter bestimmten Umständen gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen könnte. Das Verwaltungsgericht Wiesbaden hatte drei Rechtsstreitigkeiten, die die SCHUFA betreffen, an den EuGH verwiesen. Ein Urteil wird innerhalb der nächsten Monate erwartet.

„Die Schlussanträge des Generalanwalts sind zwar nicht bindend, haben aber für die endgültige Entscheidung des Gerichtshofs erhebliches Gewicht“, so Anna Schwingenheuer, Expertin für Rechtsstreitigkeiten bei Pinsent Masons. „Der Fall dürfte erhebliche Auswirkungen auf die Verwendung von Kreditscoring-Systemen in der gesamten Europäischen Union haben.“

EuGH-Generalanwalt Priit Pikamäe erklärte in seinen Schlussanträgen, dass die Erstellung von Score-Werten für die Kreditwürdigkeit gegen EU-Recht verstößt, wenn sie als wesentliche Grundlage für Kreditentscheidungen verwendet werden. Außerdem dürfe eine Auskunftei Daten aus öffentlichen Verzeichnissen, wie beispielsweise Insolvenzregistern, nicht länger speichern, als das Insolvenzgericht selbst dies tut.

Die SCHUFA ist die führende private Wirtschaftsauskunftei in Deutschland. Sie verfügt nach eigenen Angaben über Informationen über sechs Millionen Unternehmen und 68 Millionen Privatpersonen. Sie nutzt Daten aus einer Reihe von Quellen, darunter Banken, Kreditkartenunternehmen und Energieversorger, um einen Kredit-Score zu erstellen, der dann von Kreditgebern zur Beurteilung der Kreditwürdigkeit verwendet wird.

Die SCHUFA macht ihren Algorithmus zur Berechnung der Score-Werte – der vom Bundesgerichtshof als Geschäftsgeheimnis eingestuft wurde – nicht öffentlich. Das System wurde daher immer wieder als undurchsichtig und schwer verständlich kritisiert, da der Einzelne nur begrenzte Möglichkeiten hat, die von der SCHUFA gespeicherten Daten einzusehen oder zu korrigieren.

Anna Schwingenheuer

Rechtsanwältin, Senior Associate

Die DSGVO ist noch eine recht junge Verordnung und die Entscheidung des EuGH wird ein weiterer Schritt in der Entwicklung der Rechtsprechung zur Auslegung ihrer Bestimmungen sein.

Das Verwaltungsgericht Wiesbaden hatte den EuGH um eine Vorabentscheidung in Verfahren zwischen drei Privatpersonen und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), ersucht.

In einem der Fälle (Aktenzeichen C-634/21) hatte eine Privatperson, der aufgrund ihres SCHUFA-Scores ein Kreditvertrag verweigert wurde, die Löschung ihrer Daten und die Einsichtnahme in die bei der Agentur gespeicherten Informationen beantragt. Die SCHUFA übermittelte ihr lediglich ihren Score-Wert und allgemeine Informationen zur Berechnung, weigerte sich aber offenzulegen, welche Daten zur Berechnung des Kredit-Scores herangezogen und wie die Daten gewichtet wurden. Das Unternehmen berief sich auf Geschäftsgeheimnisse und argumentierte, dass es keine automatisierten Entscheidungen im Sinne von Artikel 22 DSGVO treffe, sondern lediglich Finanzinstituten Informationen für ihre Entscheidungsfindung zur Verfügung stelle, so dass die Person kein Recht auf Informationen über die zugrunde liegende Logik im Sinne der DSGVO habe.

„Artikel 22 Absatz 1 der Datenschutz-Grundverordnung sieht vor, dass Entscheidungen, die Rechtswirkungen für die betroffenen Personen entfalten, nicht ausschließlich auf einer automatisierten Verarbeitung von Daten beruhen dürfen“, erläutert Johanna Weißbach, Expertin für Prozessführung bei Pinsent Masons, den Hintergrund.

EuGH-Generalanwalt Pikamäe vertritt jedoch die Auffassung, dass die automatisierte Erstellung eines Wahrscheinlichkeitswerts für die Kreditwürdigkeit – des Score-Werts – bereits eine verbotene automatisierte Entscheidung einschließlich Profiling darstelle, die rechtliche Auswirkungen auf eine Person habe oder sie in ähnlicher Weise erheblich beeinträchtige. Dies gelte auch dann, wenn Dritte, wie beispielsweise Banken, die endgültige Entscheidung über die Kreditwürdigkeit der betreffenden Person treffen.

Der zweite Fall (Aktenzeichen C-26/22 und C-64/22) betrifft die Restschuldbefreiung nach der Insolvenz. Das Insolvenzrecht gibt Privatpersonen die Möglichkeit, sich innerhalb eines begrenzten Zeitraums von ihren Schulden zu befreien, auch wenn sie diese nicht in vollem Umfang zurückzahlen können. Am Ende eines erfolgreichen Verfahrens steht die sogenannte Restschuldbefreiung, über die die Insolvenzgerichte Auskunft geben. Die SCHUFA nimmt diese Informationen auf und speist sie in ihre eigenen Datenbanken ein.

Die Insolvenzgerichte löschen die veröffentlichten Informationen nach sechs Monaten. Die SCHUFA löschte sie bisher jedoch erst drei Jahre nach der Eintragung. Zwei Betroffene klagten gegen das Land Hessen, vertreten durch den HBDI, und verlangten die Löschung eines Eintrags über die Restschuldbefreiung in den SCHUFA-Akten.

In seinen Schlussanträgen führte der EuGH-Generalanwalt aus, dass die Speicherung von Daten durch eine private Auskunftei nicht rechtmäßig sein könne, wenn die personenbezogenen Daten über die Insolvenz aus den öffentlichen Registern bereits gelöscht worden sind. Ziel der Restschuldbefreiung sei es, den Betroffenen wieder die Teilnahme am Wirtschaftsleben zu ermöglichen, was durch eine längere Speicherung der Daten durch private Auskunfteien konterkariert würde. Die Betroffenen hätten in den vom EuGH zu entscheidenden Fällen daher das Recht, von der SCHUFA die sofortige Löschung der Daten zu verlangen.

„Die DSGVO ist noch eine recht junge Verordnung und die Entscheidung des EuGH wird ein weiterer Schritt in der Entwicklung der Rechtsprechung zur Auslegung ihrer Bestimmungen sein“, so Schwingenheuer.

Weißbach verweist außerdem darauf, dass die Entscheidung des EuGH Auswirkungen auf den Finanzmarkt im weiteren Sinne haben könnte: „Das Urteil des EuGH, das in den kommenden Monaten erwartet wird, wird sich nicht nur auf die SCHUFA auswirken, sondern auf die gesamte Branche der Auskunfteien und deren Verflechtungen mit anderen Unternehmen. Je nach Ausgang des Urteils werden die Unternehmen ihre Geschäftsmodelle überprüfen und anpassen müssen, um der DSGVO gerecht zu werden. Dies kann insbesondere Banken und Sparkassen, aber auch Einzelhändler, Mobilfunkanbieter und Energieversorger betreffen.“

We are working towards submitting your application. Thank you for your patience. An unknown error occurred, please input and try again.