Datenschutz / Informationssicherheit

EuGH fällt Urteil zu SCHUFA-Bewertungen

EuGH fällt Urteil zu SCHUFA-Bewertungen

Scoring verstößt als automatisierte Entscheidung gegen EU-Recht, sofern dieser Wert für Unternehmen eine maßgebliche Rolle spielt.

Die SCHUFA erhielt letzte Woche eine deutliche Rüge aus Luxemburg. Das Sammeln und Bewerten von Kundendaten, wie es die SCHUFA seit Jahren schon automatisiert praktiziert, verstößt gegen europäisches Datenschutzrecht. So entschied der Europäische Gerichtshof am 07 Dezember 2023. Jedenfalls dann, wenn die Bewertung, das so genannte „Scoring“, ein entscheidendes Kriterium dafür ist, ob ein Kunde einen Vertrag wie z.B. einen Kredit oder einen neuen Stromvertrag bekommt.

Die SCHUFA stand schon öfter in der Kritik was die Datensammlung, Speicherung und Verarbeitung der ihr zur Verfügung gestellten Daten betrifft. Insbesondere die Undurchsichtigkeit der abgegebenen Beurteilungen und die langen Speicherdaten waren schon oft ein Streitpunkt bei den Verbrauchern.

Im konkreten Fall hatte das Verwaltungsgericht Wiesbaden dem obersten EU-Gericht den Fall einer Kundin vorgelegt, die keinen Kredit bekommen hatte, weil ihr Score bei der SCHUFA zu schlecht war.

Die SCHUFA teilte der Klägerin unter Berufung auf das Geschäftsgeheimnis nur sehr eingeschränkte Informationen mit. Auch eine anschließende Beschwerde der Frau beim Hessischen Datenschutzbeauftragten blieb erfolglos.

Die Klägerin rief deshalb das Verwaltungsgericht an. Da diese Zweifel hatten, ob die Geschäftspraxis der SCHUFA mit europäischen Datenschutzstandards vereinbar ist, legte es das Verfahren dem Europäische Gerichtshof (EuGH) vor. Das Ziel: Der EuGH sollte grundsätzlich klären, wie sich die SCHUFA zur Datenschutzgrundverordnung (DSGVO) verhält. Die Frau hatte die SCHUFA aufgefordert, einen Eintrag zu löschen und ihr Auskunft über ihre Daten zu erteilen. Die SCHUFA teilte ihr ihren Score-Wert und allgemeine Informationen zur Berechnung mit, nicht aber die genaue Berechnungsmethode.

Die Auskunft der EU-Richter: In diesem konkreten Fall müsse davon ausgegangen werden, dass alles vom Score der Kundin abhänge. Dann sei die automatisierte Datensammlung verboten. Denn ein solches "Profiling" könne Menschen diskriminieren. Die Kunden der Schufa dürften dem Score also keine entscheidende Rolle bei der Kreditvergabe beimessen. Das Verwaltungsgericht Wiesbaden muss nun entscheiden, ob das deutsche Bundesdatenschutzgesetz eine wirksame Ausnahme von diesem Verbot enthält, die mit der Datenschutzgrundverordnung vereinbar ist.

In einer ersten Reaktion auf das Urteil erklärte die SCHUFA, dass sie sich nun durch das Urteil in ihrer Arbeit nicht eingeschränkt sehe und begrüßte das Urteil sogar. Denn für Banken und andere Unternehmen, die Kundenbewertungen abfragen, sei das Scoring nicht der alleinige Grund dafür, ob Kunden bestimmte Verträge bekommen oder nicht.

Der Streit geht noch weiter. Die Signale aus Luxemburg sind aber mehr als nur eindeutig: Das Sammeln und Bewerten von Daten ist nur unter sehr engen Voraussetzungen erlaubt!