Företag måste beakta konsekvenserna av EU-domstolens beslut
EU-domstolen har i ett beslut den 7 december 2023 avgjort att Schufa-poängen ensamt inte får vara avgörande för kreditvärdigheten (Mål C-634/21). Beslutet har inte bara glädjande konsekvenser för konsumenter, utan också en betydande påverkan för företag som nu måste kontrollera om de träffar sina beslut om avtalsingångar i enlighet med dataskyddslagen, eller om deras tidigare praxis eventuellt bryter mot dataskyddsförordningens (GDPR) bestämmelser.
Kontakt med kreditupplysningsföretaget Schufa har i princip redan alla haft, ofta utan att märka det. För innan en bank beviljar ett lån, mobiltelefonavtal ingås eller elleverantörer byts, inhämtas ofta information om kreditvärdighet från kreditupplysningsföretag som Schufa. Ett dåligt poängvärde kan resultera i avslag på ett avtal eller ett lån. Europeiska unionens domstol har nu avgjort att den hittills vanliga praxisen inte är tillåten och dessutom utgör ett brott mot GDPR. Detta påverkar även företag som har fattat vissa beslut baserade på ett sådant poängvärde, enligt advokatbyrån MTR Legal Rechtsanwälte, som bland annat ger råd inom IT-rätt.
Poängvärdet representerar kreditvärdighet
Vid så kallad scoring kontrolleras en konsuments kreditvärdighet genom en matematisk-statistisk metod. Ju sämre det uträknade poängvärdet är, desto svårare blir det för den berörda personen att få ett lån eller sluta det önskade avtalet. Förvaltningsdomstolen i Wiesbaden ville nu veta från EU-domstolen om detta förfarande är tillåtet och lade fram motsvarande frågor för förhandsavgörande hos domarna i Luxemburg. EU-domstolen skulle särskilt klargöra om scoring innebär ett brott mot Artikel 22 punkt 1 GDPR. Enligt denna bestämmelse får beslut som har en rättslig verkan gentemot den berörda personen inte helt och hållet bygga på automatisk behandling.
I det aktuella fallet hade en kvinna inte fått ett lån på grund av sitt låga poängvärde. Hon krävde sedan att Schufa skulle radera hennes inlägg och ge henne tillgång till de lagrade uppgifterna. Kreditupplysningsföretaget delgav dock endast konsumenten det fastställda poängvärdet och de allmänna principerna för beräkningen. De gav inga närmare uppgifter om vilka informationer som hade flödat in i beräkningen.
Otillåtet automatiserat beslut
EU-domstolen avgjorde att scoring enligt GDPR generellt ska betraktas som ett otillåtet automatiserat beslut i enskilda fall, om banker eller andra företag till stor del baserar sina beslut om kreditgivning eller avtalsslut på poängvärdet. Sådana beslut bör inte i huvudsak fattas på grundval av en allmän och anonym algoritm. Istället måste även de individuella omständigheterna beaktas.
Detta beslut är till en början glädjande för konsumenter. Banker och andra företag som i huvudsak har baserat beslut på ett poängvärde måste nu kontrollera hur de kan fatta sina beslut i enlighet med GDPR.
MTR Legal Rechtsanwälte ger råd inom IT-rätt och om GDPR.
Vänligen ta gärna kontakt med oss!
