Unternehmen müssen Folgen des EuGH-Urteils beachten
Der EuGH hat mit Urteil vom 7. Dezember 2023 entschieden, dass der Schufa-Score allein nicht maßgeblich für die Kreditwürdigkeit sein darf (Az. C-634/21). Das Urteil hat nicht nur erfreuliche Auswirkungen für Verbraucher, sondern auch weitreichende Bedeutung für Unternehmen, die prüfen müssen, ob sie ihre Entscheidungen über Vertragsabschlüsse im Einklang mit dem Datenschutzrecht treffen oder ob sie mit ihrer bisherigen Praxis ggf. gegen die Bestimmungen der Datenschutzgrundverordnung (DSGVO) verstoßen.
Berührungen mit der Auskunftei Schufa hat im Grunde genommen schon jeder und häufig unbemerkt gehabt. Denn bevor eine Bank ein Darlehen vergibt, Verträge fürs Mobiltelefon abgeschlossen werden, der Stromanbieter gewechselt wird, etc. werden häufig bei Wirtschaftsauskunfteien wie der Schufa Informationen zur Kreditwürdigkeit eingeholt. Ein schlechter Scoring-Wert kann die Ablehnung eines Vertrags oder eines Kredits zur Folge haben. Der Europäische Gerichtshof hat nun entschieden, dass diese bislang gängige Praxis so nicht zulässig ist und auch einen Verstoß gegen die DSGVO darstellt. Das hat auch Auswirkungen auf Unternehmen, die bestimmte Entscheidungen auf Basis eines solchen Scoring-Wertes getroffen haben, so die Wirtschaftskanzlei MTR Legal Rechtsanwälte , die u.a. im IT-Recht berät.
Score-Wert stellt Kreditwürdigkeit dar
Beim sog. Scoring wird durch ein mathematisch-statistisches Verfahren die Kreditwürdigkeit eines Verbrauchers überprüft. Je schlechter der errechnete Score-Wert ausfällt, umso schwieriger wird es für die betroffene Person, einen Kredit zu erhalten oder den gewünschten Vertrag abzuschießen. Das Verwaltungsgericht Wiesbaden wollte nun vom EuGH wissen, ob dieses Vorgehen zulässig ist und legte den Richtern in Luxemburg entsprechende Fragen zur Vorabentscheidung vor. Insbesondere sollte der EuGH klären, ob durch das Scoring ein Verstoß gegen Art. 22 Abs. 1 DSGVO vorliegt. Nach dieser Regelung dürfen Entscheidungen, die gegenüber der betroffenen Person eine rechtliche Wirkung entfalten, nicht ausschließlich auf einer automatisierten Verarbeitung beruhen.
In dem zu Grunde liegenden Fall hatte eine Frau aufgrund ihres schlechten Scoring-Werts keinen Kredit erhalten. Von der Schufa verlangte sie darauf hin, ihren Eintrag zu löschen und ihr Zugang zu den gespeicherten Daten zu gewähren. Die Auskunftei teilte der Verbraucherin aber lediglich den ermittelten Score-Wert und die allgemeinen Grundsätze für die Berechnung mit. Nähere Angaben zu den Informationen, die in die Berechnung eingeflossen sind, machte sie nicht.
Unzulässige automatisierte Entscheidung
Der EuGH entschied, dass das Scoring gemäß der DSGVO grundsätzlich als eine unzulässige automatisierte Entscheidung im Einzelfall anzusehen ist, sofern Banken oder andere Unternehmen ihre Entscheidung über die Kreditvergabe oder einen Vertragsschluss maßgeblich von dem Score-Wert abhängig machen. Solche Entscheidungen sollten nicht maßgeblich aufgrund eines allgemeinen und anonymen Algorithmus getroffen werden. Vielmehr müssten auch die individuellen Umstände beachtet werden.
Diese Entscheidung ist für Verbraucher zunächst erfreulich. Banken und andere Unternehmen, die Entscheidungen vor allem von einem Score-Wert abhängig gemacht haben, müssen nun aber prüfen, wie sie ihre Entscheidungen im Einklang mit der DSGVO treffen können.
MTR Legal Rechtsanwälte berät im IT-Recht und zur DSGVO.
Nehmen Sie gerne Kontakt zu uns auf!
