Virksomheder skal tage hensyn til følgerne af EU-Domstolens dom
EU-Domstolen har med dommen af 7. december 2023 besluttet, at Schufa-scoren alene ikke må være afgørende for kreditværdigheden (sagsnr. C-634/21). Dommen har ikke kun glædelige virkninger for forbrugerne, men også vidtrækkende betydning for virksomheder, der skal undersøge, om de træffer deres beslutninger om kontraktindgåelse i overensstemmelse med databeskyttelsesloven, eller om de med deres hidtidige praksis eventuelt overtræder bestemmelserne i databeskyttelsesforordningen (GDPR).
Berøringer med kreditoplysningsbureauet Schufa har i grunden næsten alle haft og ofte ubemærket. For inden en bank yder et lån, indgås kontrakter til mobiltelefonen, skiftes el-leverandør osv., indhentes der ofte oplysninger om kreditværdigheden hos kreditoplysningsbureauer som Schufa. En dårlig scoring kan resultere i afvisning af en kontrakt eller et lån. EU-Domstolen har nu besluttet, at denne tidligere almindelige praksis ikke er tilladt, og at det også udgør en overtrædelse af GDPR. Det har også konsekvenser for virksomheder, der har truffet bestemte beslutninger baseret på en sådan scoreværdi, siger advokatfirmaet MTR Legal, der blandt andet rådgiver om IT-ret.
Scoren angiver kreditværdighed
Ved det såkaldte scoring kontrolleres en forbrugers kreditværdighed gennem en matematisk-statistisk procedure. Jo dårligere den beregnede score er, desto sværere bliver det for den berørte person at få et lån eller indgå den ønskede kontrakt. Verwaltungsgericht Wiesbaden ønskede nu at vide fra EU-Domstolen, om denne praksis er tilladt, og forelagde derfor dommerne i Luxembourg relevante spørgsmål til forudgående præjudikat. Især skulle EU-Domstolen afklare, om scoring indebærer et brud på artikel 22, stk. 1, i GDPR. Ifølge denne regel må beslutninger, der har en juridisk virkning over for den berørte person, ikke udelukkende baseres på automatiseret databehandling.
I den underliggende sag havde en kvinde på grund af sin dårlige scoring ikke fået et lån. Hun krævede herefter, at Schufa slettede hendes post og gav hende adgang til de lagrede data. Kreditoplysningsbureauet oplyste hende imidlertid kun om den beregnede score og de generelle principper for beregningen. Der blev ikke givet nærmere oplysninger om de data, der var indgået i beregningen.
Ulovlig automatiseret beslutning
EU-Domstolen besluttede, at scoring ifølge GDPR grundlæggende skal betragtes som en ulovlig automatiseret beslutning i det enkelte tilfælde, hvis banker eller andre virksomheder gør deres beslutning om långivning eller kontraktindgåelse afhængig af scoreværdien. Sådanne beslutninger bør ikke hovedsageligt træffes på grundlag af en generel og anonym algoritme. Derimod skal også de individuelle omstændigheder tages i betragtning.
Denne beslutning er først og fremmest glædelig for forbrugerne. Banker og andre virksomheder, der i høj grad har gjort beslutninger afhængige af en scoreværdi, skal nu undersøge, hvordan de kan træffe deres beslutninger i overensstemmelse med GDPR.
MTR Legal rådgiver inden for IT-ret og om GDPR.
Du er velkommen til at tage kontakt til os!
