Schufa-Scoring – verstößt das Geschäftsmodell gegen die DSGVO?
Der Generalstaatsanwalt des EuGH stellte mit seinen Schlussanträgen bereits am 16. März dieses Jahres die Rechtmäßigkeit des sogenannten Schufa-Scorings grundlegend in Frage. Sollte der EuGH dessen Ausführungen folgen, verstößt das hierhingehende Geschäft der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) gegen die Datenschutzgrundverordnung (DSGVO) und kann somit künftig nicht mehr in derzeitiger Form weitergeführt werden.
Schufa ist bedeutendste Wirtschaftsauskunftei Deutschlands
Die Schufa ist ein privatwirtschaftliches Unternehmen, welches Daten über sämtliche Personen mit Wohnsitz in Deutschland in eigenen Datenbanken sammelt und aus diesen Auskünfte an ihre Vertragspartner erteilt. Eine unmittelbare staatliche Kontrolle gibt es also nicht.
Neben der Auskunftserteilung über die Daten als solche, erstellt die Schufa jedoch auch sogenannte Scoringwerte anhand eigener Algorithmen. Hierbei handelt es sich letztlich um Wahrscheinlichkeitsberechnungen in Bezug auf die Bonität und Zuverlässigkeit potenzieller Schuldner (Kunden) der Vertragspartner der Schufa.
Scoring-Werte dienen Unternehmen oft als alleinige Entscheidungsgrundlage
Unternehmen wie etwa Banken oder auch Elektrofachmärkte fragen die Scoring-Werte im Rahmen von Kredit- oder Ratenzahlungsanfragen oft bereits automatisiert ab.
Ergibt die Anfrage einen Wert unterhalb einer bestimmten Punktzahl (als gut gilt ein Wert ab 95 von 100), kann das Geschäft nicht abgeschlossen werden. Der Mitarbeiter des jeweiligen Unternehmens hat an dieser Entscheidung also keinerlei Anteil, sondern ist an die Bewertung durch das hauseigene System, welches wiederum auf den Schufa-Score abstellt, gebunden. Auch eine Kombination der Daten in Form des Schufa-Scores mit hauseigenen Daten bezüglich des Kunden geschieht in aller Regel nicht.
Automatisierte Entscheidungsfindung verstößt gegen die DSGVO
Artikel 22 der DSGVO verbietet es über ein Geschäft allein aufgrund von automatisierten Entscheidungen durch Datenbanken zu entscheiden. Gerade dies sei jedoch nach Ansicht des Generalstaatsanwaltes im Falle des Schufa-Scorings regelmäßig der Fall.
Während der Wortlaut der DSGVO hier eine eindeutige Bewertung zulässt, ließ der deutsche Gesetzgeber jedoch Spielraum zugunsten der Schufa offen. Die DSGVO als europäische Verordnung gilt hierzulande nämlich nicht direkt, sondern findet vielmehr Umsetzung in dem nationalen Bundesdatenschutzgesetz (BDSG).
Paragraph 31 des BDSG ermöglicht die Nutzung von Scoring-Werten in der beschriebenen Form derzeit noch, wenn diese Nutzung notwendig ist, um einen freien Wirtschaftsverkehr zu ermöglichen.
Eine solche Differenz dürfte es jedoch gerade nicht geben, da das EU-Recht den nationalen Gesetzgeber bindet. Dieser kann dieses eigenmächtig anpassen, sondern lediglich umsetzen. Auch Paragraph 31 der BDSG verstößt daher nach Ansicht des Generalstaatsanwaltes gegen europäisches Recht und dürfte zukünftig nicht mehr anzuwenden sein. Die Notwendigkeit eines EU-rechtswidrigen Vorgehens könne nach dessen Ausführungen also nicht nach nationalem Recht eine Ausnahme begründen.
Rechtsfolge bei Bestätigung durch EuGH unklar
Sollte der EuGH sich der Rechtsauffassung des Generalstaatsanwaltes anschließen, sind die Folgen dieser Entscheidung derzeit noch unklar.
Nicht zu erwarten ist, dass die Nutzung von Scoring-Systemen zukünftig insgesamt unmöglich wird, da diese tatsächlich für den freien Wirtschaftsverkehr von großer Bedeutung sind und international Anwendung finden. Entscheidend dürfte vielmehr sein, wann nicht mehr von einer “automatisierten” Entscheidung auszugehen ist, wann und in welchem Umfang also ein Mensch an der Entscheidungsfindung mitwirken muss.
Ein Datum für die Entscheidung des EuGH steht derzeit noch nicht fest.
Zusammenfassung
Die bisherige Geschäftspraxis hinsichtlich der Schufa-Scores scheint nach den Ausführungen des Generalstaatsanwaltes am EuGH nicht mehr haltbar. Der VSVBB begrüßt dessen eindeutige Positionierung, da kaum nachvollziehbar erscheint, wie Entscheidungen über teils grundlegende Geschäfte ohne jegliches menschliche Zutun gerecht ablaufen können.
Zu hoffen bleibt, dass sich der EuGH den Schlussanträgen weitgehend anschließt, gleichzeitig jedoch klare Maßstäbe für eine praxistaugliche und datenschutzkonforme Alternative aufstellt.