Selskaper må ta hensyn til konsekvensene av EU-domstolens dom
EU-domstolen har med dom 7. desember 2023 bestemt at Schufa-Score alene ikke kan være avgjørende for kredittevne (sak C-634/21). Dommen har ikke bare gledelige konsekvenser for forbrukere, men også vidtrekkende betydning for selskaper som må undersøke om de tar sine beslutninger om kontraktsinngåelse i samsvar med personvernlovgivningen, eller om de med sin tidligere praksis eventuelt bryter bestemmelsene i personvernforordningen (GDPR).
Kontakt med kredittopplysningsbyrået Schufa har i grunn alle hatt, ofte uten å merke det. For før en bank gir et lån, før kontrakter for mobiltelefoner inngås, eller før strømleverandører skiftes, hentes informasjon om kredittevne ofte fra økonomiske kredittopplysningsbyråer som Schufa. En dårlig scoringsverdi kan føre til avslag på en kontrakt eller et lån. Den europeiske domstolen har nå bestemt at denne hittil vanlige praksisen ikke er tillatt, og at den også utgjør et brudd på GDPR. Dette har også innvirkning på selskaper som har truffet visse beslutninger basert på en slik scoringsverdi, ifølge advokatfirmaet MTR Legal Rechtsanwälte, som bl.a. rådgir innen IT-rett.
Score-verdi representerer kredittevne
Ved den såkalte scoringen blir en forbrukers kredittevne undersøkt gjennom en matematisk-statistisk metode. Jo dårligere den beregnede score-verdien er, desto vanskeligere blir det for den berørte personen å få et lån eller å inngå den ønskede kontrakten. Forvaltningsdomstolen i Wiesbaden ønsket nå å vite fra EU-domstolen om denne fremgangsmåten er tillat og la dommerne i Luxembourg passende spørsmål til en foreløpig avgjørelse. Spesielt skulle EU-domstolen avklare om scoringen utgjør et brudd på artikkel 22 paragraf 1 i GDPR. I henhold til denne regelen, kan beslutninger som har en rettsvirkning overfor den berørte personen, ikke utelukkende baseres på en automatisert behandling.
I den underliggende saken fikk en kvinne ikke lån på grunn av sin dårlige scoringsverdi. Hun krevde deretter fra Schufa å slette hennes oppføring og gi henne tilgang til de lagrede dataene. Kredittopplysningsbyrået delte imidlertid kun den beregnede score-verdien og de generelle prinsippene for beregningen med forbrukeren. Nærmere opplysninger om hvilke opplysninger som hadde blitt brukt i beregningen, ga de ikke.
Ugyldig automatisert beslutning
EU-domstolen bestemte at scoringen i henhold til GDPR i utgangspunktet skal anses som en ugyldig automatisert beslutning i enkeltsaker, hvis banker eller andre selskaper i stor grad gjør sin beslutning om kredittyting eller kontraktsinngåelse avhengig av scoringsverdi. Slike beslutninger bør ikke tas hovedsakelig basert på en generell og anonym algoritme. Individuelle omstendigheter må også tas hensyn til.
Denne beslutningen er først og fremst gledelig for forbrukerne. Banker og andre selskaper som hovedsakelig har gjort sine beslutninger avhengig av en scoringsverdi, må nå undersøke hvordan de kan treffe sine beslutninger i samsvar med GDPR.
MTR Legal Rechtsanwälte rådgir innen IT-rett og om GDPR.
Ta gjerne kontakt med oss!
