Der Europäische Gerichtshof befasst sich in zwei Verfahren mit der Schufa: Ist Scoring DSGVO-konform und wie lange dürfen sensible Daten gespeichert werden?
Das klassische Geschäftsmodell von Auskunfteien gerät in Zeiten der Europäischen Datenschutzgrundverordnung (DSGVO) unter Druck. Mit Spannung beobachtet die Branche zwei Verfahren, die am Donnerstag vor dem Europäischen Gerichtshof (EuGH) in Luxemburg begonnen haben. Darin geht es um die deutsche Schufa, das berüchtigte "Scoring" und die Frage, wie lange Auskunfteien sensible Daten eigentlich vorhalten dürfen.
Im ersten Verfahren geht es um die Frage, ob die Ablehnung eines Antrags aufgrund des Schufa-Scores eine nach Artikel 22 der DSGVO verbotene automatisierte Entscheidung darstellt. In einem anderen Verfahren sollen die EuGH-Richter klären, wie lange Auskunfteien einen Eintrag über die Restschuldbefreiung einer Person nach einem Privatinsolvenzverfahren speichern dürfen. Während öffentliche Schuldnerverzeichnisse dieses Merkmal nach sechs Monaten löschen, bleibt es bei der Schufa bis zu drei Jahre im Datensatz einer Person.
Automatisiertes Scoring
Bevor jemand einen Kredit erhält, einen Laufzeitvertrag abschließt oder auch Onlinebestellungen auf Rechnung tätigen kann, fragen Banken oder Händler ebenso wie Telekommunikationsdienste oder Energieversorger häufig erst Auskunfteien wie die Schufa nach der Kreditwürdigkeit (Bonität) dieser Person. Die Schufa schickt dann zusätzlich zu allen relevanten Einträgen in ihrer Datenbank einen "Score" genannten Wert. Dieser soll die Wahrscheinlichkeit widerspiegeln, ob der Kunde seinen Zahlungsverpflichtungen nachkommt oder Ausfälle drohen.
Die Auskunfteien machen aus der Berechnung ihrer Score-Werte ein Geschäftsgeheimnis. Der Score werde aus den Einträgen in ihrer Datenbank berechnet, sagt die Schufa. Dabei trägt der Score zur Entscheidungsfindung des Kreditgebers zumindest bei – und bei Handyverträgen wird eine Bestellung schon mal abgelehnt, wenn der Score zu niedrig ist.
Im ersten Fall hatte sich eine Verbraucherin, der ihre Bank unter Verweis auf einen niedrigen Schufa-Score einen Kredit verweigert hatte, zunächst bei der Schufa eine Auskunft eingefordert. Außerdem forderte sie die Schufa auf, den relevanten Eintrag zu löschen. Die allgemeinen Informationen, die die Schufa ihr zur Berechnung des Scores lieferte, reichten ihr jedoch nicht aus. Daher beschwerte sie sich beim hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) – der Sitz der Schufa befindet sich in Wiesbaden. Der argumentierte, dass die Schufa in ihrer Arbeitsweise das Bundesdatenschutzgesetz einhalte und es keine Hinweise gebe, dass sie dagegen verstoßen habe.
Daraufhin reichte die Klägerin vor dem zuständigen Verwaltungsgericht (VG) Wiesbaden Klage ein. Das VG machte während des Verfahrens von seinem Recht Gebrauch, zwecks grundsätzlicher Klärung den EuGH anzurufen. Konkret sollten die Richter in Luxemburg darüber befinden, ob die Schufa gegen das Verbot automatisierter Entscheidungen nach Artikel 22 Absatz 1 der DSGVO verstößt.
Schufa: Wir liefern nur einen Wert
Auskunfteien wie die Schufa argumentieren, dass sie lediglich einen Bonitätswert ermitteln, den sie einem anfragenden Unternehmen übermitteln. Dieses treffe dann auf Basis weiterer Daten, die es von seinem interessierten Kunden habe, die Entscheidung. Das VG Wiesbaden hielt dem entgegen, dass viele Unternehmen de facto eben doch nach dem automatisch ermittelten Score der Schufa entscheiden – oder er zumindest eine maßgebliche Rolle spiele.
In dem Verfahren geht es mittelbar auch um das Recht auf Auskunft nach Artikel 15 DSGVO: Aktuell können Betroffene nur von ihrer Bank oder ihrem Händler eine Auskunft einfordern, nach welchem Verfahren diese entscheiden. An dieser Stelle müssen diese aber teilweise oder ganz passen, da die Schufa die Berechnungsformel für den Score nicht offenlegt. Darin hat sie bereits 2014 der Bundesgerichtshof bestätigt.
Außerdem will das VG Wiesbaden für den Fall einer Entscheidung pro Schufa wissen, ob es sich bei ihrer Arbeit um ein Profiling handele – in diesem Fall könnte es sein, dass das Bundesdatenschutzgesetz (BDSG) geändert werden muss, da in diesem Fall der europäische Gesetzgeber Vorrang hat.
Speicherfrist für Restschuldbefreiuungen
Das zweite EuGH-Verfahren, das vergleichbar auch der Bundesgerichtshof gerade verhandelt, dreht sich um Löschfristen für Daten zu Restschuldbefreiungen nach Privatinsolvenzen. Solche Privatinsolvenzen kann jede Bürgerin und jeder Bürger in öffentlichen Schuldnerverzeichnissen einsehen. Endet das Privatinsolvenzverfahren, zum Beispiel mit einer Restschuldbefreiung, löschen die Amtsgerichte den Eintrag nach sechs Monaten. Das Problem: Die DSGVO schreibt keine Fristen vor. Die Schufa speichert sie auf Basis einer freiwilligen Vereinbarung deutscher Auskunfteien noch drei Jahre lang und bezieht sie in den Score mit ein.
Untere Instanzen – im Einzelnen das VG Wiesbaden und das OLG Schleswig – hatten 2021 unabhängig voneinander entschieden, dass dies unzulässig sei. Aus ihrer Sicht verlangt die DSGVO in Artikel 17 Absatz 1, dass solche Einträge zeitgleich zu löschen seien. Danach muss eine Institution Daten löschen, wenn die Verarbeitung nicht mehr rechtmäßig, nach dem Zweck der Verarbeitung nicht mehr erforderlich oder aufgrund der persönlichen Situation des oder der Betroffenen entfernt werden muss.
Die Schufa hält dem unter anderem die Rechtspraxis in anderen europäischen Ländern entgegen, in denen zum Teil deutlich längere Löschfristen (bis zu 12 Jahre in Irland) gelten. Daher hat sie in diesem Fall Berufung eingelegt, woraufhin das VG Wiesbaden den EuGH angerufen hat, um den Fall grundsätzlich zu klären.
Bekäme die Argumentation des VG Wiesbaden Recht, müsste die Schufa auf eine Grundlage ihrer Scoreberechnung verzichten. Sie könnte zwar weiterhin Scores erstellen, diese verlören aber eine wichtige Variable. Das Ergebnis könnten Scores sein, mit denen faktisch weniger kreditwürdige Personen an Kredite kämen – oder eigentlich kreditwürdige Personen Kredite erhalten, die bisher nicht zum Zuge kamen.
Die Urteile werden im Lauf des Jahres oder Anfang 2024 erwartet.
Quelle; heise
Du musst Regestriert sein, um das angehängte Bild zusehen.
Das klassische Geschäftsmodell von Auskunfteien gerät in Zeiten der Europäischen Datenschutzgrundverordnung (DSGVO) unter Druck. Mit Spannung beobachtet die Branche zwei Verfahren, die am Donnerstag vor dem Europäischen Gerichtshof (EuGH) in Luxemburg begonnen haben. Darin geht es um die deutsche Schufa, das berüchtigte "Scoring" und die Frage, wie lange Auskunfteien sensible Daten eigentlich vorhalten dürfen.
Im ersten Verfahren geht es um die Frage, ob die Ablehnung eines Antrags aufgrund des Schufa-Scores eine nach Artikel 22 der DSGVO verbotene automatisierte Entscheidung darstellt. In einem anderen Verfahren sollen die EuGH-Richter klären, wie lange Auskunfteien einen Eintrag über die Restschuldbefreiung einer Person nach einem Privatinsolvenzverfahren speichern dürfen. Während öffentliche Schuldnerverzeichnisse dieses Merkmal nach sechs Monaten löschen, bleibt es bei der Schufa bis zu drei Jahre im Datensatz einer Person.
Automatisiertes Scoring
Bevor jemand einen Kredit erhält, einen Laufzeitvertrag abschließt oder auch Onlinebestellungen auf Rechnung tätigen kann, fragen Banken oder Händler ebenso wie Telekommunikationsdienste oder Energieversorger häufig erst Auskunfteien wie die Schufa nach der Kreditwürdigkeit (Bonität) dieser Person. Die Schufa schickt dann zusätzlich zu allen relevanten Einträgen in ihrer Datenbank einen "Score" genannten Wert. Dieser soll die Wahrscheinlichkeit widerspiegeln, ob der Kunde seinen Zahlungsverpflichtungen nachkommt oder Ausfälle drohen.
Die Auskunfteien machen aus der Berechnung ihrer Score-Werte ein Geschäftsgeheimnis. Der Score werde aus den Einträgen in ihrer Datenbank berechnet, sagt die Schufa. Dabei trägt der Score zur Entscheidungsfindung des Kreditgebers zumindest bei – und bei Handyverträgen wird eine Bestellung schon mal abgelehnt, wenn der Score zu niedrig ist.
Im ersten Fall hatte sich eine Verbraucherin, der ihre Bank unter Verweis auf einen niedrigen Schufa-Score einen Kredit verweigert hatte, zunächst bei der Schufa eine Auskunft eingefordert. Außerdem forderte sie die Schufa auf, den relevanten Eintrag zu löschen. Die allgemeinen Informationen, die die Schufa ihr zur Berechnung des Scores lieferte, reichten ihr jedoch nicht aus. Daher beschwerte sie sich beim hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) – der Sitz der Schufa befindet sich in Wiesbaden. Der argumentierte, dass die Schufa in ihrer Arbeitsweise das Bundesdatenschutzgesetz einhalte und es keine Hinweise gebe, dass sie dagegen verstoßen habe.
Daraufhin reichte die Klägerin vor dem zuständigen Verwaltungsgericht (VG) Wiesbaden Klage ein. Das VG machte während des Verfahrens von seinem Recht Gebrauch, zwecks grundsätzlicher Klärung den EuGH anzurufen. Konkret sollten die Richter in Luxemburg darüber befinden, ob die Schufa gegen das Verbot automatisierter Entscheidungen nach Artikel 22 Absatz 1 der DSGVO verstößt.
Schufa: Wir liefern nur einen Wert
Auskunfteien wie die Schufa argumentieren, dass sie lediglich einen Bonitätswert ermitteln, den sie einem anfragenden Unternehmen übermitteln. Dieses treffe dann auf Basis weiterer Daten, die es von seinem interessierten Kunden habe, die Entscheidung. Das VG Wiesbaden hielt dem entgegen, dass viele Unternehmen de facto eben doch nach dem automatisch ermittelten Score der Schufa entscheiden – oder er zumindest eine maßgebliche Rolle spiele.
In dem Verfahren geht es mittelbar auch um das Recht auf Auskunft nach Artikel 15 DSGVO: Aktuell können Betroffene nur von ihrer Bank oder ihrem Händler eine Auskunft einfordern, nach welchem Verfahren diese entscheiden. An dieser Stelle müssen diese aber teilweise oder ganz passen, da die Schufa die Berechnungsformel für den Score nicht offenlegt. Darin hat sie bereits 2014 der Bundesgerichtshof bestätigt.
Außerdem will das VG Wiesbaden für den Fall einer Entscheidung pro Schufa wissen, ob es sich bei ihrer Arbeit um ein Profiling handele – in diesem Fall könnte es sein, dass das Bundesdatenschutzgesetz (BDSG) geändert werden muss, da in diesem Fall der europäische Gesetzgeber Vorrang hat.
Speicherfrist für Restschuldbefreiuungen
Das zweite EuGH-Verfahren, das vergleichbar auch der Bundesgerichtshof gerade verhandelt, dreht sich um Löschfristen für Daten zu Restschuldbefreiungen nach Privatinsolvenzen. Solche Privatinsolvenzen kann jede Bürgerin und jeder Bürger in öffentlichen Schuldnerverzeichnissen einsehen. Endet das Privatinsolvenzverfahren, zum Beispiel mit einer Restschuldbefreiung, löschen die Amtsgerichte den Eintrag nach sechs Monaten. Das Problem: Die DSGVO schreibt keine Fristen vor. Die Schufa speichert sie auf Basis einer freiwilligen Vereinbarung deutscher Auskunfteien noch drei Jahre lang und bezieht sie in den Score mit ein.
Untere Instanzen – im Einzelnen das VG Wiesbaden und das OLG Schleswig – hatten 2021 unabhängig voneinander entschieden, dass dies unzulässig sei. Aus ihrer Sicht verlangt die DSGVO in Artikel 17 Absatz 1, dass solche Einträge zeitgleich zu löschen seien. Danach muss eine Institution Daten löschen, wenn die Verarbeitung nicht mehr rechtmäßig, nach dem Zweck der Verarbeitung nicht mehr erforderlich oder aufgrund der persönlichen Situation des oder der Betroffenen entfernt werden muss.
Die Schufa hält dem unter anderem die Rechtspraxis in anderen europäischen Ländern entgegen, in denen zum Teil deutlich längere Löschfristen (bis zu 12 Jahre in Irland) gelten. Daher hat sie in diesem Fall Berufung eingelegt, woraufhin das VG Wiesbaden den EuGH angerufen hat, um den Fall grundsätzlich zu klären.
Bekäme die Argumentation des VG Wiesbaden Recht, müsste die Schufa auf eine Grundlage ihrer Scoreberechnung verzichten. Sie könnte zwar weiterhin Scores erstellen, diese verlören aber eine wichtige Variable. Das Ergebnis könnten Scores sein, mit denen faktisch weniger kreditwürdige Personen an Kredite kämen – oder eigentlich kreditwürdige Personen Kredite erhalten, die bisher nicht zum Zuge kamen.
Die Urteile werden im Lauf des Jahres oder Anfang 2024 erwartet.
Quelle; heise