Der Europäische Gerichtshof hat erste Urteile zur DSGVO-Konformität der Scoring-Praktiken privater Wirtschaftsauskunfteien getroffen, in beiden deutschen Anlassfällen handelt es sich um die SCHUFA.
Bislang war strittig, wie lange Kreditauskunfteien Zahlungserfahrungsdaten speichern dürfen und ob „externes Scoring“, das der Kreditvergabe durch Banken nur zugrunde gelegt wird, aber nicht unmittelbar über die Kreditvergabe selbst entscheidet, unter den Anwendungsbereich von Art 22 DSGVO fällt. Die Bestimmung stellt für „Entscheidungen“, die „ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling“ beruhen, strenge Zulässigkeitsvoraussetzungen auf, sofern die Entscheidung gegenüber Betroffenen „rechtliche Wirkung entfaltet“ oder diese „in ähnlicher Weise erheblich beeinträchtigt“.
Creditscoring
Der EuGH stellt in der Rs C-634/21 (SCHUFA Holding I) nun klar:
(1) Der Begriff der „Entscheidung“ iSd Art 22 DSGVO ist weit auszulegen und schließt die Berechnung von Score-Werten zur Zahlungsfähigkeit ein.
(2) Bei der Tätigkeit der SCHUFA handelt es sich um Profiling (Art 4 Nr 4 DSGVO).
(3) Wird das Handeln der Bank „maßgeblich“ vom Score-Wert geleitet, ist der Betroffene dadurch erheblich beeinträchtigt. So führt nach den Feststellungen zum Anlassfall ein unzureichender Score-Wert des Verbrauchers nahezu ausnahmslos dazu, dass die Bank die Kreditgewährung ablehnt.
Dass schon die Ermittlung des Score-Werts unter Art 22 Abs 1 DSGVO fällt, führt dazu, dass diese grundsätzlich verboten ist, sofern nicht nationales Recht die automatisierte Entscheidung im Einzelfall erlaubt (Art 22 Abs 2 lit b DSGVO). Ob § 31 des deutschen BDSG als zulässige Rechtsgrundlage zu qualifizieren ist, lässt der EuGH zwar im Ergebnis offen. Er stellt aber klar, dass nationale Erlaubnisregelungen jedenfalls angemessene Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person enthalten und die Voraussetzungen nach Art 5 und 6 DSGVO vom Verantwortlichen - nachweislich - eingehalten werden müssen.
Auch bei grundsätzlicher Zulässigkeit von Profiling stehen dem Betroffenen im Anwendungsbereich von Art 22 DSGVO bestimmte Mindest-, Interventions- und Informationsrechte zu (Art 22 Abs 3, 4, Art 13 ff leg cit). So steht dem Betroffenen etwa das Recht zu, die Entscheidung anzufechten sowie ein Recht auf „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ der Verarbeitung.
Im Anlassfall hatte die Betroffene die SCHUFA zur Löschung unrichtiger Eintragungen sowie zur Auskunftserteilung aufgefordert, nachdem ihr ein Kredit verweigert worden war. Die SCHUFA informierte die Betroffene aber lediglich über die Höhe ihres Score-Werts und legte in groben Zügen dar, wie die Score-Werte berechnet werden. Sie verweigerte aber unter Berufung auf das Betriebs- und Geschäftsgeheimnis die Offenlegung der bei dieser Berechnung berücksichtigten Einzelinformationen sowie deren Gewichtung.
Speicherdauer
Nach dem Urteil in den Rs C-26/22 und C-64/22 (SCHUFA Holding II) dürfen Wirtschaftsauskunfteien Informationen über die Erteilung einer Restschuldbefreiung, die aus einem öffentlichen Insolvenzregister stammen, zu Scoring-Zwecken in ihren Datenbanken nicht über die öffentliche Speicherdauer hinaus verarbeiten.
Im Anlassfall wurde die öffentliche Bekanntmachung der Beschlüsse zur Restschuldbefreiung zweier Schuldner – im Einklang mit § 9 der deutschen Insolvenzordnung – nach Ablauf von sechs Monaten gelöscht. Die SCHUFA weigerte sich aber, die Daten aus ihren Datenbanken zu löschen und berief sich auf von der Aufsichtsbehörde genehmigte Verhaltensregeln des Verbands der Wirtschaftsauskunfteien, die eine Löschung erst nach Ablauf von drei Jahren nach der Eintragung vorsehen.
Der EuGH stellt klar, dass nach Ablauf der im (deutschen) Insolvenzrecht vorgesehenen 6-Monatsfrist für die Abrufbarkeit im Insolvenzregister die Rechte und Interessen des Betroffenen diejenigen der Öffentlichkeit überwiegen. Die Restschuldbefreiung solle dem Begünstigten ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen. Die Verwirklichung dieses Ziels wäre jedoch gefährdet, wenn Wirtschaftsauskunfteien Daten über eine Restschuldbefreiung nach Löschung im öffentlichen Register verwenden könnten, da diese Daten bei der Bonitätsprüfung stets als negativer Faktor verwendet werden. Unter diesen Umständen können die Interessen des Kreditsektors die Speicherung der Daten durch eine Wirtschaftsauskunftei nach dem EuGH nicht rechtfertigen.
Die Verarbeitung von Daten in Bezug auf den Zeitraum nach der Löschung aus dem öffentlichen Register kann folglich nach dem EuGH nicht auf Art 6 Abs 1 lit f DSGVO gestützt werden. Die SCHUFA hat diese Daten unverzüglich zu löschen.
Hinsichtlich der Verarbeitung von Daten, die während der öffentlichen Verfügbarkeit im Insolvenzregister erfolgt, steht dem Betroffenen ein Recht zum Widerspruch zu (Art 21 Abs 1 DSGVO). Nach Widerspruch kann der Betroffene hier die Löschung verlangen, wenn nicht zwingende schutzwürdige Gründe vorliegen, die jene des Betroffenen überwiegen (Art 17 Abs 1 lit c DSGVO). Dass dies der Fall ist, muss der Verantwortliche nachweisen.
Anmerkung:
In Österreich ist die öffentliche Zugänglichkeit der Daten nach § 256 Abs 2 IO – anders als in Deutschland – zeitlich auf ein Jahr beschränkt. Der Schuldner kann nach § 256 Abs 3 IO beantragen, dass die Einsicht in die Insolvenzdatei bereits dann nicht mehr zu gewähren ist, wenn der rechtskräftig bestätigte Sanierungs- oder Zahlungsplan erfüllt worden ist.
Bezüglich der Bankenwarnliste hatte der VwGH (Ro 2020/04/0037) zuvor aus dem fünfjährigen Beobachtungszeitraum der Kapitaladäquanz-VO 575/2013 die Zulässigkeit einer Speicherdauer von fünf Jahren ab vollständiger Erfüllung des Zahlungsplans abgeleitet. Diese Rechtsprechung dürfte nach der vorliegenden Entscheidung des EuGH unionsrechtswidrig sein.
