EuGH zu Datenverarbeitungspraktiken von Wirtschaftsauskunfteien

EuGH zu Datenverarbeitungspraktiken von Wirtschaftsauskunfteien | von Annerton Anwältin Svetlana Ulrici

Finanzdienstleister sind bei einer Vielzahl ihrer Produkte – sei es zum Beispiel bei der klassischen Kreditvergabe oder bei der Bereitstellung von BNPL-Produkten – auf die Beurteilung der Bonität der Nutzer dieser Produkte angewiesen. Dabei kommen die Finanzdienstleister häufig nicht umhin, auf Score-Werte von Auskunfteien wie den SCHUFA-Score zurückzugreifen. Die am 7. Dezember 2023 veröffentlichten Urteile des EuGH in den Verfahren zum SCHUFA-Scoring (C-634/21) und zur SCHUFA-Speicherung von Restschuldbefreiungsdaten (C-26/22 und C-64/22) bringen sowohl die Geschäftsmodelle der Auskunfteien als auch die darauf aufbauenden Produkte der SCHUFA-Kunden in Bedrängnis. Dieser Beitrag soll einen Überblick darüber geben, worum es in den Entscheidungen des EuGH geht und welche datenschutzrechtlichen Herausforderungen Auskunfteien bei der Berechnung und ihre Kunden bei der Verwendung von Score-Werten im Blick behalten sollten.

1. Was ist der regulatorische Background der Kreditwürdigkeitsprüfung?

Jeder Finanzdienstleister, der eine Vertragsbeziehung mit Adressenausfallrisiko eingehen will, hat ein berechtigtes Interesse daran, Informationen über die Bonität seines Vertragspartners zu erhalten, um auf dieser Grundlage im Einzelfall über die Begründung der Vertragsbeziehung zu entscheiden. Bei bestimmten Finanzprodukten sind die Institute ausdrücklich verpflichtet, eine Kreditwürdigkeitsprüfung des Vertragspartners durchzuführen, z. B. bei Immobiliar-Verbraucherdarlehen und Allgemein-Verbraucherdarlehen, vgl. §18a KWG. Außerdem kann die Kreditwürdigkeits- bzw. Kapitaldienstfähigkeitsprüfung notwendige Maßnahme zur Sicherstellung einer ordnungsgemäßen Geschäftsorganisation des Instituts darstellen, vgl. z.B. § 25a KWG i.V.m. BTO 1.2 (Anforderungen an die Prozesse im Kreditgeschäft) MaRisk. § 18a Abs. 3 KWG sieht im Zusammenhang mit Verbraucherdarlehen ausdrücklich vor, dass Kreditinstitute bei der Kreditwürdigkeitsprüfung erforderlichenfalls auf Auskünfte von Wirtschaftsauskunfteien zurückgreifen dürfen. Gleichzeitig entbindet die Nutzung externer Bonitätsbeurteilungen das Institut nicht von der Verpflichtung, sich ein eigenes Urteil über das Adressenausfallrisiko zu bilden und eigene Erkenntnisse und Informationen in die Kreditentscheidung einfließen zu lassen (Tz. 6, BTO 1.2 MaRisk).

2. Welche datenschutzrechtlichen Herausforderungen stellen sich bei der Berechnung und Verwendung von Score-Werten?

Abgesehen von vereinzelten allgemeinen regulatorischen Vorgaben können die Institute selbst entscheiden, welche konkreten Informationen sie ihrer Bonitätsprüfung im Einzelnen zugrunde legen. Solche Informationen können z.B. Informationen über Einkommen, Ausgaben, Umsätze und andere Informationen über die finanziellen und wirtschaftlichen Verhältnisse (sog. „Positivdaten“) oder Informationen über Zahlungsverzug oder -ausfall aus früheren Vertragsverhältnissen oder Insolvenzdaten (sog. „Negativdaten“) des potenziellen Kunden sein.

Darüber hinaus können einzelne Informationen von Auskunfteien auf der Grundlage nicht offen gelegter Algorithmen automatisiert zu einem Score-Wert verarbeitet werden, der dann eine pauschale Aussage über die Wahrscheinlichkeit eines zukünftigen Verhaltens des potenziellen Vertragspartners des SCHUFA-Kunden (Zahlungsprognose), wie z. B. die Rückzahlung eines Kredits, trifft (sog. “Scoring”). Dieser Score-Wert kann von den Finanzdienstleistern in unterschiedlicher Weise in die eigenen Entscheidungsprozesse über die Begründung einer Vertragsbeziehung mit dem Betroffenen einbezogen werden. Er kann beispielsweise als K.O.-Kriterium oder als einer von mehreren, je nach Risikobewertungsmodell des jeweiligen Instituts unterschiedlich gewichteten Faktoren zum Ansatz kommen.

Bei der Verarbeitung der für die Durchführung der Kreditwürdigkeitsprüfung erforderlichen personenbezogenen Daten sind sowohl die Institute als auch die Auskunfteien an die Vorgaben des Datenschutzrechts einschließlich der Europäischen Datenschutz-Grundverordnung (DSGVO) gebunden. Dies wird z.B. auch in § 18a Abs. 9 KWG deklaratorisch klargestellt. Insbesondere benötigen die Verantwortlichen für die mit der Ermittlung und Verwendung des Score-Wertes verbundene Verarbeitung personenbezogener Daten eine ausreichende Rechtsgrundlage im Sinne des Art. 6 DSGVO. Abhängig von der Art der Daten bzw. der Art der Verarbeitung müssen die Verantwortlichen ggf. weitere Vorschriften der DSGVO, insbesondere Art. 9 und Art. 22 DSGVO, beachten.

Art. 22 Abs. 1 DSGVO verbietet vorbehaltlich bestimmter Ausnahmen die Verwendung personenbezogener Daten für ausschließlich automatisierte Entscheidungen, die gegenüber der betroffenen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Art. 22 Abs. 2 DSGVO legt Ausnahmen fest, in denen das vorgenannte Verbot der automatisierten Entscheidungsfindung nicht gilt. Dies können die Einwilligung des Betroffenen, die Erforderlichkeit für den Vertragsschluss oder eine nationale gesetzliche Ausnahmevorschrift sein.

Nach bisheriger Auffassung der SCHUFA stellt die Ermittlung des Score-Wertes allein noch keine Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO durch SCHUFA dar. Es wurde argumentiert, dass eine solche automatisierte Entscheidungsfindung allenfalls eine Entscheidung des Kunden der SCHUFA darstellen könnte, wenn dieser z.B. ausschließlich aufgrund des übermittelten Score-Wertes einen Vertragsschluss mit dem Betroffenen ablehnen würde.

Diese Auffassung war Gegenstand eines von mehreren die SCHUFA betreffenden Gerichtsverfahren vor dem Verwaltungsgericht Wiesbaden (C-634/21). Das Verwaltungsgericht hat in diesem Verfahren dem EuGH ein Vorabentscheidungsersuchen zu der Frage vorgelegt, ob die Berechnung des Score-Wertes durch die SCHUFA für sich genommen bereits eine automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO darstellt.

Darüber hinaus hat das Verwaltungsgericht Wiesbaden in zwei weiteren verbundenen Verfahren (C-26/22 und C-64/22) den EuGH um Klärung gebeten, ob die SCHUFA in ihrer privaten Datenbank die aus öffentlichem Insolvenzregister übernommene Information über die Erteilung der Restschuldbefreiung länger gespeichert werden, als diese Information nach dem national Recht im öffentlichen Insolvenzregister gespeichert werden darf. Hintergrund dieser Vorlagefrage war, dass die SCHUFA die Information über die Erteilung der Restschuldbefreiung für die Dauer von drei Jahren in ihrem Datenbestand speicherte, während diese Information im öffentlichen Insolvenzregister gemäß § 3 Abs. 2 InsoBekV nur für die Dauer von sechs Monaten nach Rechtskraft der Entscheidung gespeichert wird.

3. Was hat der EuGH aktuell entschieden?

Im Rahmen eines Vorabentscheidungsersuchens entscheidet der EuGH nicht über den beim vorlegenden Gericht anhängigen Rechtsstreit. Vielmehr entscheidet der EuGH nur über Fragen der Auslegung des Unionsrechts, im vorliegenden Fall der DSGVO. Die nationalen Gerichte der Mitgliedstaaten sind dann bei ihren weiteren Entscheidungen an die Auslegung des EuGH gebunden.

  • EuGH-Entscheidung zum SCHUFA-Score

In dem ersten vom Verwaltungsgericht Wiesbaden vorgelegten Verfahren (C-634/21) hat der EuGH unter anderem entschieden, dass Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass eine „automatisierte Entscheidung im Einzelfall“ vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Der EuGH hat dabei den Begriff „Entscheidung“ weit ausgelegt und festgestellt, dass er mehrere Handlungen umfassen kann, die die betroffene Person in unterschiedlicher Weise beeinträchtigen können. Der Begriff der Entscheidung schließt demnach auch das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswertes ein.

Dass die Berechnung des Score-Wertes „ausschließlich auf einer automatisierten Verarbeitung“ beruht, sah der EuGH durch die Subsumtion der Tätigkeit der SCHUFA unter „Profiling“ als feststehend und im Übrigen durch die Vorlagefrage als vorausgesetzt an.

Hinsichtlich des Erfordernisses, dass die Entscheidung gegenüber dem Betroffenen „rechtliche Wirkung entfalten“ oder ihn „in ähnlicher Weise erheblich beeinträchtigen“ muss, hat der EuGH seine Entscheidung im Wesentlichen darauf gestützt, dass sich bereits aus dem Inhalt der ersten Vorlagefrage ergeben habe, dass das Handeln des Dritten, dem der Score-Wert übermittelt wird, „maßgeblich“ von diesem Wert geleitet werde. Nach den tatsächlichen Feststellungen des Verwaltungsgerichts Wiesbaden im Ausgangsverfahren führte ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen zur Ablehnung eines Kreditantrags eines Verbrauchers bei der Bank.

In seiner Pressemitteilung ging der EuGH konkret auf die Kreditvergabe als Anwendungsfall ein. Dort heißt es: „Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden als Vorlagegericht ist dies der Fall.“

  • EuGH-Entscheidung zur Speicherdauer der Restschuldbefreiung in privaten Paralleldatenbanken

In Bezug auf die Informationen über die Erteilung der Restschuldbefreiung (Verfahren C-26/22 und C-64/22) hat der EuGH entschieden, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister zur Speicherung von Restschuldbefreiungsdaten. Zur Begründung verwies der EuGH darauf, dass der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten im öffentlichen Insolvenzregister vorgesehen hat. Damit hat der nationale Gesetzgeber – so der EuGH – eine Abwägungsentscheidung dahingehend getroffen, dass nach Ablauf von sechs Monaten das Interesse des Betroffenen, wieder am Wirtschaftsleben teilnehmen zu können, ohne dem negativen Faktor der Restschuldbefreiung ausgesetzt zu sein, das Interesse der Öffentlichkeit an der Kenntnis dieser Information überwiegt. Darüber hinaus folgte der EuGH den Ausführungen des Generalanwalts in seinen Schlussanträgen, wonach die erteilte Restschuldbefreiung dem Schuldner die erneute Teilnahme am Wirtschaftsleben ermöglichen soll und daher für ihn in der Regel von existenzieller Bedeutung ist. Die Erreichung dieses Zwecks würde jedoch gefährdet, wenn Wirtschaftsauskunfteien Daten über eine Restschuldbefreiung zur Beurteilung der wirtschaftlichen Verhältnisse einer Person speichern und nach Löschung aus dem öffentlichen Insolvenzregister verwenden dürften, da diese Daten bei der Beurteilung der Kreditwürdigkeit einer Person stets als Negativfaktor herangezogen würden.

Eine weitere Vorlagefrage, ob eine parallele Speicherung der Restschuldbefreiung bei der SCHUFA für die Dauer von sechs Monaten als solche rechtmäßig ist, ließ der EuGH jedoch offen und verwies auf die vom Verwaltungsgericht Wiesbaden noch zu treffenden Feststellungen und Interessenabwägung.

4. Was sind die Konsequenzen der EuGH-Entscheidungen und für wen sind diese relevant?

Zum einen hat der EuGH im SCHUFA-Score-Verfahren klargestellt, dass die Berechnung des Scores durch eine Auskunftei nicht immer, sondern nur dann unter Art. 22 Abs. 1 DSGVO fällt, wenn der Score für die Entscheidung der SCHUFA-Kunden über die Begründung eines Vertragsverhältnisses „maßgeblich“ ist. In den Fällen, in denen dies nicht der Fall ist, würde die Berechnung des Scores nicht an Art. 22 DSGVO zu messen sein. Zum anderen knüpft die Entscheidung des EuGH in vielen Aspekten eng an die Feststellungen des Ausgangsverfahrens an. Bei der Übertragung der EuGH-Entscheidung auf andere Fallkonstellationen ist daher Vorsicht bzw. eine sorgfältige Prüfung der Vergleichbarkeit der Sachverhalte geboten.

Gleichzeitig sind die Kunden der Auskunfteien, die den Score-Wert nutzen, sowie Organisationen, die Score-Werte für Dritte bilden, gefordert, ihre Prozesse rund um den Score-Wert zu überprüfen und ggf. Anpassungen vorzunehmen. Dazu gehören gegebenenfalls:

  • Prüfung, inwieweit die Verwendung von Score-Werten in den Geschäftsmodellen der Auskunftei-Kunden den tatsächlichen Feststellungen im Ausgangsverfahren entspricht, Insbesondere ob die Nutzer des Score-Wertes bei ihrer Vertragsschlussentscheidung weitere Kriterien berücksichtigen und wie die Gewichtung der einzelnen Kriterien erfolgt. Bei Bedarf können die entsprechenden Risikomodelle angepasst werden, um die etwaige Maßgeblichkeit des Score-Wertes auszuräumen (z.B. Verzicht auf die Verwendung des Score-Wertes als K.O.-Kriterium bzw. Reduzierung der Gewichtung des Score-Wertes im Ratingmodell);
  • bei Anwendbarkeit von Art. 22 DSGVO Überprüfung bzw. Sicherstellung des Vorliegens einer ausreichenden Rechtsgrundlage für die Datenverarbeitung, wie z.B.
    • Einwilligung des Betroffenen (Art. 22 Abs. 2 lit. c) DSGVO);
    • Vorliegen einer DSGVO-konformen Ausnahmevorschrift im Sinne des Art. 22 Abs. 2 lit b) DSGVO; Es ist anzumerken, dass der EuGH nicht entschieden hat, ob § 31 BDSG eine DSGVO-konforme Ausnahme darstellt; allerdings hat der EuGH „durchgreifende Bedenken“ gegen diese bestehende deutsche Scoring-Regelung geäußert;
    • für SCHUFA-Kunden wäre außerdem zu prüfen, ob ggf. eigene Score-basierte automatisierte Entscheidung für den Vertragsabschluss im Sinne des Art. 22 Abs. 2 lit. a) DSGVO erforderlich ist.
  • Einräumung der Möglichkeit für den Betroffenen eine Beschwerde einzureichen und Gründe darzulegen, die bei der Entscheidung über den Abschluss des Vertrags von Bedeutung wären, sowie das Angreifen einer Person seitens des Verantwortlichen, wenn automatisierte Entscheidungsfindung auf die Einwilligung oder Erfordernis zum Vertragsabschluss (Art. 22 Abs. 2 a) oder c) DSGVO) gestützt wird;
  • Anpassung der Datenschutzinformationen nach Art. 13 und 14 DSGVO;
  • unabhängig von der Anwendbarkeit des Art. 22 DSGVO ist in diesem Zusammenhang auch die Umsetzung der Anforderungen des § 30 Abs. 2 BDSG zu überprüfen; Danach hat derjenige, der den Abschluss eines Verbraucherdarlehensvertrages oder eines Vertrages über eine entgeltliche Finanzierungshilfe mit einem Verbraucher aufgrund einer Auskunft einer Wirtschaftsauskunftei ablehnt, den Verbraucher hierüber und über die eingeholte Auskunft unverzüglich zu unterrichten, es sei denn, dass hierdurch die öffentliche Sicherheit oder Ordnung gefährdet wird.

Die Entscheidung über die Speicherdauer der Restschuldbefreiung kann unter Umständen weitreichendere Folgen haben, als es auf den ersten Blick erscheint. Es ist fraglich, ob nach dem EuGH-Urteil auch die Speicherdauer anderer Negativdaten bei Auskunfteien zum Zwecke der Scorebildung, wie z.B. Zahlungsverzug oder Zahlungsausfall, anders bewertet werden muss. Einerseits könnte argumentiert werden, dass ein weniger schwerwiegendes finanzielles Fehlverhalten wie Zahlungsverzug nicht länger gespeichert werden darf als eine schwerwiegendere Insolvenz. Andererseits gibt es für diese Daten keine nationalen Regelungen zur Speicherdauer in öffentlichen Registern. Zudem ist fraglich, ob andere Negativdaten als die Insolvenz bei der Berechnung eines Score-Wertes generell geringer gewichtet werden als die Restschuldbefreiung und ob dies eine längere Speicherdauer der anderen Negativdaten rechtfertigt.

Jedenfalls sollten die Verantwortlichen diese Entscheidung des EuGH zum Anlass nehmen, ihre jeweiligen Speicherfristen für bonitätsrelevante Daten und die entsprechenden Löschkonzepte zu überprüfen.

5. Ausblick

Das Verwaltungsgericht Wiesbaden wird nun zu prüfen haben, ob § 31 BDSG eine nach der DSGVO zulässige Ausnahme vom Verbot des Art. 22 Abs. 1 DSGVO enthält. Sollte § 31 BDSG als mit dem Unionsrecht unvereinbar angesehen werden, würde die SCHUFA – so der EuGH – in dem dem Ausgangsverfahren zugrunde liegenden Fall nicht nur ohne Rechtsgrundlage handeln, sondern auch ipso iure gegen das Verbot des Art. 22 Abs. 1 DSGVO verstoßen. In ihrer auf der Internetseite der SCHUFA veröffentlichten Stellungnahme fordert die SCHUFA den Gesetzgeber auf, im Rahmen der anstehenden Novellierung des Bundesdatenschutzgesetzes § 31 BDSG „klarstellend anzupassen“.

Darüber hinaus wird das Verwaltungsgericht zu entscheiden haben, ob und unter welchen Voraussetzungen Daten aus öffentlichen Registern in privat geführte Datenbanken von Auskunfteien übernommen werden dürfen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like