EuGH entscheidet: Schufa-Scoring verstößt gegen DSGVO

Die Schufa ist eine mächtige Organisation mit großer Verantwortung. Ihre Bonitätsauskünfte entscheiden über die Kreditwürdigkeit von Menschen - und damit über das Schicksal, wirtschaftlich auf der „Sonnenseite„ oder auf der „Schattenseite“ zu stehen. Wohnung, Auto, Kredit - viele Wünsche gehen nur in Erfüllung, wenn die Schufa ein positives Bild abgibt.

Seit langem stehen die Bewertungsmethoden der Schufa im Kreuzfeuer der Kritik von Verbraucherschützern. Vor allem das so genannte „Scoring“, ein spezielles Bewertungsverfahren, gilt als datenschutzrechtlich bedenklich. 

Bei diesem „Scoring“ werden in einem teilautomatisierten Verfahren „Scorewerte“ zwischen 0 und 100% gebildet. Je höher der Wert, desto besser der Score. Die Scorewerte - und damit die betroffenen Personen - werden von der Schufa in fünf „Klassen“ eingeteilt: Ausgezeichnet, Gut, Akzeptabel, Ausreichend und Mangelhaft (https://www.schufa.de/scoring-daten/).

Zwei Datenverarbeitungspraktiken von Auskunfteien wurden vom EuGH als unzulässig eingestuft. 

• Während das sogenannte „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, 
• verstößt die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung gegen die DSGVO 
• [Urteile des EuGH vom 07.12.2023, Rs. C-634/21|SCHUFA Holding (Scoring) https://curia.europa.eu/juris/document/document.jsf?text=&docid=280426&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=103683 und C-26/22, C-64/22| SCHUFA Holding (Restschuldbefreiung) https://curia.europa.eu/juris/document/document.jsf?text=&docid=280428&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=103812]

Der Europäische Gerichtshof (EuGH) hat in zwei Urteilen vom 07.12.2023 entschieden, dass zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Erstes Urteil: "Scoring"

Im ersten Urteil ging es um das "Scoring", ein mathematisch-statistisches Verfahren, mit dem die Wahrscheinlichkeit künftigen Verhaltens, etwa der Rückzahlung eines Kredits, vorhergesagt werden kann. Der EuGH entschied, dass das Scoring als eine von der DSGVO grundsätzlich verbotene "automatisierte Entscheidung im Einzelfall" anzusehen ist, sofern die Kunden der Auskunftei, wie z.B. Banken, dem Scoring eine entscheidende Rolle bei der Kreditvergabe beimessen.

Zweites Urteil: Speicherung von Informationen

Das zweite Urteil betraf die Speicherung von Informationen über die Erteilung der Restschuldbefreiung. Informationen über die Erteilung der Restschuldbefreiung werden im deutschen Insolvenzregister für sechs Monate gespeichert, während die Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Der EuGH entschied, dass es gegen die DSGVO verstößt, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister.

Folgen für Auskunfteien

Die beiden Urteile haben weitreichende Folgen für Auskunfteien in Deutschland. Scoring ist künftig nur noch zulässig, wenn die Auskunftei nachweisen kann, dass sie die allgemeinen Voraussetzungen der DSGVO für die Datenverarbeitung erfüllt. Dies ist unter anderem der Fall, wenn der Betroffene in die Datenverarbeitung eingewilligt hat oder die Datenverarbeitung für die Erfüllung eines Vertrages erforderlich ist.

Die Speicherung von Informationen über die Erteilung der Restschuldbefreiung ist künftig nur noch für die Dauer von sechs Monaten zulässig. Nach Ablauf dieser Frist hat der Betroffene einen Anspruch auf Löschung dieser Daten.

Die beiden Urteile des EuGH sind ein wichtiger Schritt für den Schutz personenbezogener Daten von Verbrauchern. Sie stärken die Rechte der Verbraucher und erschweren unzulässige Datenverarbeitungspraktiken von Auskunfteien.

Auswirkungen auf Betroffene

Es bleibt nun abzuwarten, wie die nationalen Gerichte in Deutschland - allen voran das vorlegende Gericht - die Entscheidung des Europäischen Gerichtshofs umsetzen.

Die Entscheidung des EuGH ist auch für Verbraucher von Bedeutung. Sie haben nun ein stärkeres Recht auf Schutz vor den negativen Auswirkungen von automatisierten Entscheidungen. Verbraucher können sich bei Wirtschaftsauskunfteien über die zugrundeliegenden Daten und Verfahren informieren und gegen Entscheidungen, die sie für ungerecht halten, vorgehen.

Die Entscheidung des EuGH hat weitreichende Folgen für die Praxis. Sie bedeutet, dass Wirtschaftsauskunfteien künftig strengere Anforderungen an die Ermittlung und Übermittlung von Wahrscheinlichkeitswerten erfüllen müssen. So müssen sie geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person treffen, insbesondere durch die Verwendung geeigneter mathematischer oder statistischer Verfahren und die

Gewährung von Betroffenenrechten

Die Entscheidung des EuGH hat folgende konkrete Anforderungen an Wirtschaftsauskunfteien zur Folge:

• Die Ermittlung des Wahrscheinlichkeitswerts muss auf einer transparenten und nachvollziehbaren Grundlage erfolgen.
• Die Wirtschaftsauskunftei muss geeignete Maßnahmen zur Minimierung des Risikos von Fehlern treffen.
• Die Wirtschaftsauskunftei muss den betroffenen Personen ein Auskunftsrecht über die zugrundeliegenden Daten und Verfahren gewähren.
• Die betroffenen Personen müssen ein Recht auf Eingreifen in die Entscheidung und auf Anfechtung der Entscheidung haben.

Die Wirtschaftsauskunfteien müssen diese Anforderungen in ihren Geschäftsabläufen umsetzen. Sie müssen ihre Verfahren zur Ermittlung von Wahrscheinlichkeitswerten überprüfen und gegebenenfalls anpassen. Darüber hinaus müssen sie ihre Kunden über die neuen Anforderungen informieren.

Schadenersatzansprüche nach Art. 82 DSGVO

Für Betroffene, bei denen z. B. Kreditanträge aufgrund von SCHUFA-Auskünften abgelehnt wurden, stellt sich daher die Frage, ob Schadensersatzansprüche ausgelöst sind. Denkbar wären Schadensersatzansprüche gegen die SCHUFA als Auskunftei, aber auch z.B. gegenüber den Banken, die aufgrund eines im Lichte der EuGH-Rechtsprechung unzulässigen SCHUFA-Scorings Kredite abgelehnt haben.

Wenn deren nach den Vorgaben des Europäischen Gerichtshofs rechtswidrige Datenverarbeitung zur Ablehnung von Kreditanträgen geführt hat, wäre der Betroffene so zu stellen, als wäre die Datenverarbeitung ordnungsgemäß erfolgt und die Negativauskunft nicht erteilt worden.

Betroffene wären dann nach deutschem Schadensersatzrecht so zu stellen, als ob die Kreditwürdigkeit bejaht und damit der Kredit gewährt worden wäre.

Auf die SCHUFA könnten also massive Schadensersatzforderungen zukommen.

Der Schadensersatzanspruch nach Art. 82 DSGVO ist ein wichtiges Instrument zur Durchsetzung der DSGVO-Bestimmungen. Er soll Betroffene vor den negativen Folgen von Datenschutzverstößen schützen und Verantwortliche und Auftragsverarbeiter zu einem sorgfältigen Umgang mit personenbezogenen Daten anhalten.

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Im vorgenannten Beispiel etwa die Schufa und die Bank. Streitig ist, ob der Betroffene die volle Substanziierungs- und Beweislast für die haftungsausfüllende Kausalität trägt. In der Literatur werden Beweiserleichterungen bis hin zur Beweislastumkehr vorgeschlagen.

Der Schadensbegriff ist weit zu verstehen und umfasst auch immaterielle Schäden. Diese sind insbesondere Schmerzensgeld, Reputationsschäden und Schäden durch die Beeinträchtigung von Persönlichkeitsrechten. Der Schadensersatzanspruch nach Art. 82 DSGVO soll nicht nur der Kompensation des Betroffenen, sondern auch der Prävention von Datenschutzverstößen dienen. Das bedeutet, dass bei der Bemessung des Schadensersatzes auch die abschreckende Wirkung berücksichtigt werden muss.

Die Rechtsprechung zu Art. 82 DSGVO ist noch nicht abschließend entwickelt. Insbesondere ist unklar, wie die Beweislast für die haftungsausfüllende Kausalität zu verteilen ist. Es ist daher zu erwarten, dass sich die Rechtsprechung in den nächsten Jahren weiter entwickeln wird.

In der Praxis ist die Geltendmachung von Entschädigungsansprüchen aufgrund von Datenschutzverletzungen noch nicht sehr weit verbreitet. Die Gerichte haben sich bisher noch nicht in großen Zahlen mit dieser Fragestellung auseinandergesetzt. Es ist aber davon auszugehen, dass die Rechtsprechung in Zukunft eine zunehmend wichtige Rolle bei der Durchsetzung von Datenschutzrechten spielen wird.

Hier eine kurze Übersicht der möglichen Schäden, die zu einer Entschädigung führen können:

• Identitätsdiebstahl
• Finanzielle Verluste
• Rufschädigung
• Verlust der Kontrolle über die eigenen Daten
• Erstellung unzulässiger Persönlichkeitsprofile
• Bloße Verarbeitung einer großen Menge personenbezogener Daten einer großen Anzahl von Personen

Zusätzlich können folgende Schäden als Entschädigungsanspruch anerkannt werden:

• „Ungutes Gefühl“, ein Unbefugter könnte Zugang zu personenbezogenen Daten erhalten haben
• Gefühl der Hilflosigkeit
• Komfort- und Zeiteinbußen durch Abhilfemaßnahmen

Sie glauben, aufgrund einer der vom Europäischen Gerichtshof beanstandeten Methoden ein negatives Scoring erhalten zu haben? Ihnen ist dadurch ein Schaden entstanden? Gerne prüfen wir für Sie, welche Ansprüche Sie geltend machen können.