EuGH schränkt Nutzung des Schufa-Scores ein
In den Urteilen zu drei Verfahren hat der Europäische Gerichtshof (EuGH) die Anwendung von Score-Werten zur alleinigen Bemessung von Kreditwürdigkeit in Auskunfteien wie der Schufa eingeschränkt.
„Damit stärkt der EuGH den Datenschutz und setzt seinen Weg fort, die Datenschutz-Grundverordnung weit und konsequent auszulegen“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen.
In den Verfahren C-26/22, C-64/22 und C-634/21 ging es unter anderem um die Zulässigkeit von Datenerhebungen aus öffentlichen Registern, die Speicherdauer dieser Daten und das Übermitteln und Verwenden von Score-Werten. Dies betrifft im Wesentlichen Wirtschaftsauskunfteien wie die Schufa.
Das Erstellen und Verwenden dieser Scores hat der EuGH soweit als automatisierte Entscheidung über einen Vertrag angesehen, als ihnen der Vertragspartner – der Kunde einer Auskunftei – eine maßgebliche Rolle bei der Begründung, Durchführung oder Beendigung eines Vertrags beimisst, zum Beispiel bei einer Kreditgewährung. Eine solche automatisierte Entscheidung ist nach Artikel 22 DSGVO grundsätzlich unzulässig und darf nur aufgrund einer Einwilligung oder auf Grundlage einer gesetzlichen Regelung getroffen werden.
Ob hierfür § 31 des Bundesdatenschutzgesetzes eine solche unionsrechtskonforme Rechtsgrundlage darstellt, wird nun das vorlegende Verwaltungsgericht Wiesbaden zu prüfen haben. Sofern dieses zu dem Schluss kommen sollte, dass § 31 BDSG keine nationale Rechtsgrundlage darstellt, wird in vielen Fällen in Zukunft nicht mehr allein der Score entscheidend für die Kreditgewährung sein können.
„Die Sichtweise des EuGH auf die Auslegung des Begriffs ,automatisierte Entscheidung‘ könnte dabei auch noch weitere Auswirkungen etwa auf Systeme haben, die mithilfe von Algorithmen oder Künstlicher Intelligenz Entscheidungen vorbereiten oder sie sozusagen ,fast allein‘ treffen“, so Lehmkemper.
Zudem entschied der EuGH, dass Auskunfteien Daten zur Ermittlung von Scores nicht länger als das öffentliche Insolvenzregister über Restschuldbefreiungen aufbewahren dürfen, also nicht länger als sechs Monate. Nach den sechs Monaten überwiegen die Rechte und Interessen der betroffenen Personen. Rechtswidrig gespeicherte Daten sind zu löschen.
Zum Hintergrund:
Diesen Verfahren vor dem EuGH lagen Beschwerden von betroffenen Personen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zugrunde, die sich gegen die Speicherung ihrer Daten über Restschuldbefreiungen durch die Schufa AG wehrten. Mehr dazu lesen Sie in der Pressemitteilung des HBDI: https://datenschutz.hessen.de/
Aus den Medien:
Tagesschau: Laut Europäischem Gerichtshof (EuGH) ist das Scoring-System der SCHUFA jedenfalls dann verboten, wenn sich Unternehmen bei der Entscheidung über einen Vertragsschluss maßgeblich darauf stützen. Ausnahmen von diesem Verbot sind aber möglich.
BR24: Nach Schufa-Urteil: Das gilt in Zukunft für Verbraucher
mdr: Schufa-Score darf nicht maßgeblich für Kreditwürdigkeit sein
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks