Schufa-System verstößt gegen DSGVO

Die Schufa hat vor dem Europäischen Gerichtshof wie erwartet eine Niederlage erlitten: Am 7. Dezember befanden die Richter in der Entscheidung C 634/21 „SCHUFA Holding (Scoring)“, dass ihr sogenanntes „Scoring“ in der bisherigen Form nicht mit der DSGVO vereinbar sei. Den Score (Punktwert), der die Kreditwürdigkeit einer bestimmten Person ausdrückt, errechnet ein Algorithmus der Auskunftei. Sofern der Score „maßgeblich“ über das Zustandekommen eines Kreditvertrags entscheide, wertete der EuGH ihn als eine laut DSGVO untersagte „automatisierte Entscheidung“ . Das Urteil ist auch auf andere Auskunfteien übertragbar.

Worum es ging

Eigentlich saß in dem Verfahren der Hessische Landesdatenschutzbeauftragte (HBDI) auf der Anklagebank. Er hatte die Beschwerde einer Frau gegen die Schufa abgewiesen, die bei einer Bank wegen ihrer Bonität keinen Kredit und von der Schufa den Score nicht begründet bekam. Dagegen klagte sie vor dem Verwaltungsgericht (VG) Wiesbaden. Dieses rief den EuGH an.

Der EuGH hat dessen Fragen nun geklärt: Wenn eine Auskunftei automatisiert berechne, mit welcher Wahrscheinlichkeit eine Kundin in der Zukunft einen Kredit zurückzahle und dieser Wert „maßgeblich“ die Kreditentscheidung beeinflusse, sei dies eine automatisierte Entscheidung im Sinne von Artikel 22 Absatz 1 DSGVO. Die Schufa hatte argumentiert, dass sie beim Scoring nur eine „vorbereitende Handlung“ ausführe und nicht sie selbst über die Kreditvergabe entscheide, sondern ihre Vertragspartner. Diese berücksichtigen auch weitere Daten.

Bereits das Verwaltungsgericht Wiesbaden hatte dem entgegengehalten, dass viele Schufa-Kunden – große und kleine Händler, Banken, Mobilfunkanbieter, Vermieter – faktisch allein oder maßgeblich anhand des Schufa-Scores entscheiden. Dafür braucht es jedoch in den nationalen Gesetzen laut EuGH eine Grundlage, die mit dem Europarecht vereinbar ist. Bislang zogen die Schufa, andere Auskunfteien und auch deutsche Gerichte dafür den Paragrafen 31 des Bundesdatenschutzgesetzes (BDSG) heran, in dem es um den Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften geht. Der EuGH bezweifelte jedoch, dass dieser Paragraf mit der DSGVO kompatibel ist. Nach dieser Auslegung hätte die Schufa illegal personenbezogene Daten verarbeitet.

Darüber hat nun das VG Wiesbaden zu befinden. Kommen das VG und höhere Instanzen zu demselben Schluss, müsste die Schufa womöglich nicht nur Scores löschen, sondern auch hohe Bußgelder zahlen. Hinzu kämen Schadenersatzforderungen von Verbrauchern, denen Nachteile wie ein abgelehnter Mietvertrag oder höhere Kreditzinsen entstanden sind. Da die Bundesregierung § 31 BDSG nicht als datenschutzrechtliche Norm betrachtet, ist das durchaus realistisch. Bewegung kommt auch in die Frage, welche Auskunftspflichten die Schufa gegenüber Verbrauchern erfüllen muss. Ein Knackpunkt bleibt der Begriff „maßgeblich“, den der EuGH nicht präzise definiert hat.

Schufa reagiert gelassen

Die Schufa ließ verlauten, dass das Urteil „wichtige Fragen“ beantworte, inwieweit Scores bei Entscheidungsprozessen verwendet werden dürften. Zudem habe der EuGH Scoring als solches nicht infrage gestellt. Die Auskunftei zog sich besonders auf den Begriff „maßgeblich“ zurück. Sie verwies darauf, dass die meisten Kunden den Score zwar für wichtig hielten, dieser jedoch in aller Regel nicht entscheidend respektive „maßgeblich“ sei, damit ein Vertrag geschlossen werden könne. Falls doch, müssten sie sich an das Urteil anpassen.

Sie gab betroffenen Geschäftskunden indirekt auch gleich Tipps, wie den, dass der zweite Absatz von Artikel 22 DSGVO erlaube, dass Unternehmen eine Einwilligung des Verbrauchers einholen können. Außerdem gestatte er eine automatisierte Entscheidung, wenn die Datenverarbeitung für den Vertragsabschluss erforderlich sei. Die Auskunftei wünscht sich auch, dass der Gesetzgeber den Paragrafen 31 des BDSG anpasst.

Der Bundestag überarbeitet tatsächlich derzeit das BDSG, aber nicht in diesem Punkt. Der stellvertretende Fraktionsvorsitzende der Grünen, Konstantin von Notz, möchte dafür lieber keine Ausnahmeregelung schaffen. Denn die müsste sowohl die Vorgaben des EuGH berücksichtigen als auch umfangreiche Auskunftsrechte garantieren.

Mehr Transparenz gefordert

Viele Daten- und Verbraucherschützer sehen die Auskunftei in der Pflicht, Verbraucher verständlicher und detaillierter darüber zu informieren, wie der Score zustande kommt. Zwar schicken Schufa & Co. Verbrauchern auf Anfrage getreu Artikel 15 der DSGVO eine sogenannte „Datenkopie“ zu. Sie enthält aber bisher nur die erfassten Einträge, etwa zu Krediten oder Rechnungskäufen, sowie die Scores für bestimmte Branchen. Es fehlt aber der Rechenweg, wie der Score zustande kommt.

Wie also die Schufa aus Girokonto, Darlehen oder Rechnungskäufen den Score berechnet, ist intransparent. Wie die Formel rechnet, erfahren nur wenige, etwa Wissenschaftler und der hessische Landesdatenschutzbeauftragte zur Prüfung. Für die Öffentlichkeit bleibt sie unter Verschluss. Verbrauchern gegenüber macht die Schufa nur allgemeine Aussagen, etwa dass ein lange störungsfrei geführtes Girokonto eine positive Wirkung habe.

Auch mit der 2022 selbst auferlegten „Transparenzoffensive“ beantwortet die Schufa bisher nur allgemeine Verständnisfragen, zum Beispiel im sogenannten „Score-Simulator“. Zwar liefert der Schufa-eigene Dienst Bonify einen kostenlosen Zugang zum „Basisscore“. Dieser hat jedoch kaum Aussagekraft, ganz abgesehen von anfänglichen Sicherheitslücken, die viel Vertrauen gekostet haben.

Das Ende der Schufa?

Den beschwichtigenden Äußerungen der Schufa stehen Datenschutzjuristen gegenüber, die massive Probleme auf die Auskunftei, aber auch ihre Kunden zukommen sehen. Dazu zählt zum Beispiel die Plattform „Europäische Gesellschaft für Datenschutz mbH“ (EuGD). Sie vermittelt Verbrauchern, die ihren Datenschutz verletzt sehen, zwecks kostenloser Prüfung von Schadenersatzansprüchen Kontakt zu Fachanwälten. Die EuGD hat bereits erste Klagen eingereicht.

Der in der EuGD aktive Anwalt Peter Hense ließ nach dem Urteil verlauten, dass der EuGH ein rechtswidriges Geschäftsmodell beendet habe. Die Schufa habe mit Daten gearbeitet, an denen sie keine Rechte besaß – ganz abgesehen von fehlerhaften Daten, die „die Zuverlässigkeit der bereits per se zweifelhaften Schufa Scores weiter unterminiert hätten. Die Schufa müsse nun die Datenbasis bereinigen, Erklärungen nachliefern und sich gegen Vorwürfe verteidigen, dass ihre Scores Fehlentscheidungen verursacht hätten.

Es könnte also teuer für die Schufa werden. Dass sie untergeht, ist jedoch unwahrscheinlich. Zwar könnten Bürger nach einem EuGH-Urteil vom 14. Dezember zur Haftung bei Datenmissbrauch einfacher an Schadenersatz kommen, da das Gericht die Schwelle dafür deutlich gesenkt hat. Allerdings machte das Scoring 2022 nach Schufa-Angaben nur 13 Prozent des Umsatzes aus. Die meisten Auskünfte erteilt die Schufa zur Identität von Personen.

Aus Verbrauchersicht könnte das Urteil sogar zum Bumerang werden, wenn sich kein Weg findet, auf dem bisherige Schufa-Kunden die Kreditwürdigkeit von Verbrauchern schnell und rechtssicher prüfen können. So beruht der verbraucherfreundliche Rechnungskauf auf einer vorherigen Bonitätsprüfung. Am Ende könnte ein Ende der Auskunfteien Verbraucher dazu zwingen, ihren Gläubigern vorab Dokumente wie Kontoauszüge oder Gehaltsnachweise zu übermitteln. Ebenso könnten die Kosten für Kredite oder einen Mobilfunkvertrag steigen, weil die Anbieter das höhere Ausfallrisiko einpreisen.

Dies zu verhindern, liegt vor allem bei der Schufa selbst. Sie sollte ihrer „Transparenzoffensive“ mehr Substanz verleihen und Verbrauchern möglichst genau, verständlich und kostenlos erklären, welche Daten sie erfasst und wie sie daraus die Bonität errechnet und ihnen Mittel geben, um Falscheinträge schnell und zuverlässig zu erkennen und sie loszuwerden. (mon@ct.de)

EuGH-Urteile: ct.de/yedp