Bedeutende Klarstellungen des Europäischen Gerichtshofs zur Rolle des SCHUFA-Scores bei der Bonitätsbewertung
Am 7. Dezember 2023 hat der Europäische Gerichtshof (EuGH) im Rahmen mehrerer Vorlageverfahren (Az. C-634/21, C-26/22 und C-64/22) Entscheidungen getroffen, die das bisherige Verständnis über die Verarbeitung und die Verwertung des sogenannten SCHUFA-Scores grundlegend revidieren. Die Urteile betreffen zentrale Aspekte der Datenschutz-Grundverordnung (DSGVO), der Bewertung der Kreditwürdigkeit sowie die Abwägung von Datenschutzinteressen zwischen betroffenen Personen und auskunfteiführenden Unternehmen.
Hintergrund der Entscheidung
Die Verfahren betrafen Beschwerden von Bürgern, die sich gegen die automatisierte Verarbeitung und die maßgebliche Nutzung von SCHUFA-Scores durch Banken und andere Geschäftspartner im Rahmen von Kreditentscheidungen wandten. Im Kern war zu klären, ob und in welchem Umfang der auf Algorithmen basierende Score-Wert über die Kreditvergabe – beispielsweise bei Darlehensanträgen, Leasingverträgen oder Vertragsabschlüssen – ausschlaggebend sein darf.
Datenverarbeitung und automatisierte Entscheidungsfindung
Der Score als personenbezogenes Profiling
Der EuGH hat klargestellt, dass die Erstellung eines SCHUFA-Scores eine Form des „Profilings” im Sinne von Art. 4 Nr. 4 DSGVO darstellt. Hierbei werden Daten, insbesondere zur Zahlungs- und Vertragstreue, aggregiert, analysiert und in eine numerische Bewertung überführt. Daraus ergibt sich ein personenbezogenes Risikoprofil, das Banken und anderen Geschäftspartnern zur Verfügung steht.
Maßgeblichkeit im Sinne der DSGVO
Besonders relevant ist die Feststellung, dass die alleinige oder maßgebliche Verwendung eines solchen Scores für die Entscheidung über Abschluss oder Ablehnung eines Vertrages eine automatisierte Einzelfallentscheidung im Sinne von Art. 22 DSGVO darstellt. Leitend dabei ist die Frage, ob eine menschliche Überprüfung noch stattfindet oder ob das numerische Ergebnis des Scores faktisch bindend für die Entscheidung ist.
Auswirkungen auf die Geschäftspraxis von Kreditinstituten und Auskunfteien
Zulässigkeit automatisierter Entscheidungen
Nach den Urteilen ist es Banken, Versicherungen und sonstigen Vertragspartnern fortan nicht gestattet, den SCHUFA-Score als einzigen oder überwiegend ausschlaggebenden Entscheidungsfaktor zu verwenden, solange keine hinreichenden Vorkehrungen getroffen sind, um eine zusätzliche individuelle Bewertung zu gewährleisten. Lediglich ein unterstützender Charakter der Scoring-Information ist möglich.
Transparenz und Informationsrechte
Die Urteile unterstreichen weiterhin das Recht betroffener Personen auf transparente Information gemäß Art. 15 DSGVO. Unternehmen sind verpflichtet, offen zu legen, in welchem Umfang und auf welcher Datenbasis der Score gebildet wird sowie wie dieser Score im Entscheidungsprozess verwertet wurde.
Weitere Rechtsfragen: Altlastenregelung und Datenlöschung
Verarbeitung von Restschuldbefreiungen
Ein weiteres zentrales Thema war der Umgang mit Informationen über erlangte Restschuldbefreiungen und deren Speicherung im Rahmen von Scoring-Prozessen. Der EuGH stellte klar, dass nationale Vorschriften, die eine Speicherung dieser Daten über den Zeitraum hinaus erlauben, der von öffentlichen Registern vorgesehen ist, nicht mit dem Unionsrecht vereinbar sind. Dies bedeutet, dass eine fortlaufende Speicherung und Verwertung solcher Einträge durch Auskunfteien wie die SCHUFA unzulässig werden kann, sobald die staatlichen Register die entsprechenden Informationen gelöscht haben.
Löschungsansprüche und Berichtigungen
Für Betroffene ergibt sich aus den Entscheidungen ein verstärkter Anspruch auf Löschung beziehungsweise Berichtigung unzutreffender oder veralteter Score-bezogener Daten. Insbesondere dürfen Daten zu Restschuldbefreiungen nicht länger gespeichert werden, als dies für öffentliche Register vorgesehen ist.
Folgen für die Kreditwirtschaft und Vertragspraxis
Die Urteile des EuGH konkretisieren nicht nur die Auslegung der DSGVO im Zusammenhang mit Bonitätsprüfungen, sondern berühren auch fundamentale Geschäftsmodelle von Auskunfteien und Kreditinstituten. Banken und Versicherungsgesellschaften sehen sich verpflichtet, ihre Bonitätsprüfungsprozesse auf multilaterale Entscheidungsgrundlagen umzustellen, um rein automatisierte Ablehnungen auf Basis eines Scores künftig zu vermeiden.
Anforderungen an die Entscheidungsbegründung
So ist künftig eine ausführliche Dokumentation und gegebenenfalls menschliche Überprüfung des Einzelfalls erforderlich, um den Vorgaben des EuGH und der DSGVO gerecht zu werden. Die Entscheidungen stärken die Rechtsposition der Verbraucher und erhöhen die Anforderungen an Transparenz und Nachvollziehbarkeit im Umgang mit personenbezogenen Daten.
Mögliche Auswirkungen auf die Praxis
Angesichts dieser Rechtsprechung ist damit zu rechnen, dass sich sowohl das Auskunftswesen als auch die Prozesse der Bonitätsprüfung in vielen Unternehmen grundlegend anpassen werden. Parallel werden Datenschutzaufsichtsbehörden die korrekte Umsetzung überwachen und erforderlichenfalls intervenieren.
Fazit und Ausblick
Die aktuellen Urteile des EuGH markieren einen Meilenstein im Datenschutzrecht und führen zu erheblicher Rechtsfortbildung bezüglich des Umgangs mit Scoringdaten, insbesondere dem SCHUFA-Score. Die Tragweite der Entscheidungen beschränkt sich nicht allein auf die Kreditwirtschaft, sondern wirkt sich auf die gesamte Praxis der Bonitätsprüfung aus. Unternehmen, Banken und Auskunfteien sind gefordert, ihre Entscheidungsprozesse umfassend zu überdenken, um den Vorgaben des Unionsrechts zu entsprechen.
Für Unternehmen, Investoren und Einzelpersonen ergeben sich daraus neue Herausforderungen und Fragestellungen, etwa im Hinblick auf die datenschutzkonforme Gestaltung interner Prozesse, die Interessenabwägung bei der Bonitätsprüfung sowie die Gewährleistung von Auskunfts- und Berichtigungsrechten.
Bei komplexen Fragestellungen und individuellen Anliegen, die durch die neue Rechtsprechung des EuGH und deren Umsetzung in der Praxis aufgeworfen werden, können gezielte rechtliche Einschätzungen Klarheit verschaffen.
Hinweis: Dieser Beitrag dient ausschließlich der Information. Bei weitergehenden Fragen greifen die Rechtsanwälte von MTR Legal gerne auf ihre umfangreiche Erfahrung im Bank-, Datenschutz- und Vertragsrecht zurück.
