EuGH: Der Arbeit von Auskunfteien werden Grenzen gesetzt

An der Arbeit von SCHUFA, Creditreform und anderen Auskunfteien wird immer wieder – gerade im Hinblick auf den Datenschutz – Kritik geübt. Das darf nicht überraschen. Denn hier wird das Spannungsfeld zwischen Nutzen und Risiken, den Chancen und Grenzen der Verarbeitung personenbezogener Daten besonders plastisch. Da ist auf der einen Seite das Interesse etwa von Finanzdienstleistern, Versorgern, Vermieter*innen, Online-Händler*innen und anderen Unternehmen. Diese wollen sich darauf verlassen können, ja vielleicht müssen sie es sogar, dass ihre Kund*innen zahlungsfähig und zahlungsbereit sind. Dies gilt umso mehr dann, wenn es um hohe Kreditsummen oder um wiederkehrende Leistungen geht (z.B. Stromlieferungen, Bereitstellung einer Wohnung, etc.), die nicht kurzfristig – im Falle eines Zahlungsausfalls – verweigert werden dürfen. Auf der anderen Seite steht das absolut berechtigte Interesse der Kund*innen, einer überbordenden Datensammlung, Profilbildung und unter Umständen auch falschen Daten entgegenzuwirken und die Kontrolle über die eigenen personenbezogenen Daten zu haben.

Um die Kreditwürdigkeit beispielsweise der Kund*innen und Mieter*innen einschätzen zu können, bedienen sich die Unternehmen der angesprochenen Auskunfteien. Diese – das ist die andere Seite, an der die Kritik ansetzt – verfügen häufig über sehr viele Daten zu den einzelnen betroffenen Personen und werten diese aus. Soweit es sich bei diesen betroffenen Personen um natürliche Personen handelt, handelt es sich bei den Daten um personenbezogene Daten im Sinne der DSGVO. Darunter fallen etwa solche über laufende Kredite, Verträge, Insolvenzen, Titel, Bankverbindungen, aber auch Alter und Wohnort sowie über einen auf der Grundlage der o.g. Daten ausgerechneten „Score“, der die eigentliche Kreditbewertung darstellt und auf den wir in unserem Artikel im weiteren Verlauf noch genauer eingehen werden. Es ist mittlerweile ein offenes Geheimnis, dass sich die Wohnadresse, also der Stadtteil, in der eine Person lebt, auf die Einschätzung ihrer Bonität auswirken und ggf. über einen Vertragsabschluss bzw. die Vertragskonditionen entscheiden kann.

Je nach Ergebnis der Einschätzung wird dies die betroffenen Personen mal mehr, mal weniger stören. Vielen Menschen wird gar nicht bewusst sein, was SCHUFA und Co. genau tun und dass es sich bei ihnen um keine staatlichen Stellen, sondern um privatwirtschaftlich organisierte Unternehmen mit Profit-Interesse handelt, die jede Menge über die betroffenen Personen wissen. Und nach einer Einwilligung bzgl. der Verarbeitung der Daten werden die betroffenen Personen auch nicht gefragt, da es eine andere Rechtsgrundlage für die Verarbeitung gibt, so dass sie in der Regel auch nicht wissen, welches Unternehmen ihre Daten zur Auswertung der Kreditwürdigkeit verarbeitet, es sei denn die betroffene Person stellt aktiv einen Antrag auf Auskunft gem. Art. 15 DSGVO. Das machen aber wohl eher doch die wenigsten.

Das Recht einer Person, grundsätzlich selbst zu bestimmen, wer was über sie weiß, ist indessen der Kerngehalt des Grundrechts auf Schutz personenbezogener Daten nach Art. 8 Abs. 1 EU-Grundrechtecharta. Es dient der Abwehr von Fremdbestimmung und Manipulation, was in Zeiten zunehmender Digitalisierung und KI umso wichtiger wird. Das „Verbot mit Erlaubnisvorbehalt“, das in der Datenschutzgrundverordnung verankert ist, ist aus diesem Grundrecht abgeleitet und besagt: Die Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie wird an anderer Stelle erlaubt. Dies ist beispielsweise immer dann der Fall, wenn es für die Verarbeitung eine gesetzliche Grundlage gibt oder die Person in die Verarbeitung ihrer Daten eingewilligt hat. Jede Verarbeitung personenbezogener Daten ohne Rechtsgrundlage stellt eine unrechtmäßige, die Verarbeitung mit einer Rechtsgrundlage die rechtmäßige Verletzung dieses Grundrechts dar.

Die Verarbeitung personenbezogener Daten durch Auskunfteien gilt als rechtlich zulässig und wird regelmäßig auf Art. 6 Abs. 1 lit. f DSGVO gestützt, weshalb es, wie ausgeführt in der Regel auch keiner Einwilligung der betroffenen Person bedarf. Die Norm erlaubt die Verarbeitung personenbezogener Daten, wenn sie im überwiegenden berechtigten Interesse des Verantwortlichen – hier also SCHUFA & Co – oder eines Dritten erforderlich ist. Voraussetzung ist, dass dieses berechtigte Interesse in einem erforderlichen Abwägungsprozess als mindestens ebenso gewichtig anerkannt werden muss, wie die Grundfreiheiten und Rechte der betroffenen Personen. Wir denken an das Wörtchen „überwiegende“. Vorliegend ist es in der Regel auch nicht ein überwiegendes berechtigtes Interesse von SCHUFA & Co., sondern das berechtigte Interesse derjenigen Unternehmen, die sich bei ihnen nach der Bonität ihrer (potenziellen) Kund*innen/Mieter*innen, etc. erkundigen.

Die rechtmäßige Verarbeitung personenbezogener Daten ist an strenge Bedingungen geknüpft. Diese werden in den Grundsätzen der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) normiert. Danach sind die Daten nicht nur vor unbefugtem Zugriff und vor Manipulation zu schützen, sondern nur soweit zu verarbeiten, wie dies zum Erreichen des beabsichtigten Zwecks (unbedingt) erforderlich ist. Die Speicherzeit ist auf den Zeitraum zu begrenzen, für den die Daten benötigt werden. Dabei dürfen auch gesetzliche Aufbewahrungspflichten berücksichtigt werden. Die Verarbeitung muss transparent erfolgen und in der Regel den betroffenen Personen mitgeteilt werden (daher die Informationspflichten nach Artt. 1214 DSGVO).

Zudem müssen die Daten, die verarbeitet werden, korrekt sein. Wie wichtig dieser Grundsatz ist, lässt sich ebenfalls im Kontext der Bonitätsprüfung gut erfassen. Ein falsches Adressdatum oder eine unzutreffende Information über einen Vertrag, der in Wahrheit nie zustande gekommen ist, können hier dramatische Auswirkungen haben und im Extremfall über Existenzen entscheiden: Wenn Gewerbetreibenden oder Freiberufler*innen der Leasingvertrag für das unbedingt benötigte Fahrzeug versagt wird, weil eine Information in der Datenbank der Auskunftei nicht stimmte, ist das nicht nur ärgerlich, sondern womöglich existenzbedrohend.

Mit dem Auskunftsrecht nach Art. 15 DSGVO wurde den betroffenen Personen ein Instrument an die Hand gegeben, mit dem sie die Verarbeitung sie betreffender Daten kontrollieren können. Mit dem Recht auf Berichtigung gem. Art. 16 DSGVO und dem Recht auf Löschung gem. Art. 17 DSGVO stehen ihnen noch zwei weitere Mittel zu, mit denen sie direkt Einfluss auf die Verarbeitung ihrer personenbezogenen Daten nehmen können.

Von diesen Rechten suchte eine Frau Gebrauch zu machen, die sich von der SCHUFA schlecht bewertet fühlte. Wegen ihres schlechten „Scores“ wurde ihr ein Kredit verweigert. Was genau der SCHUFA-Score bei Privatpersonen ist, erklärt die SCHUFA z.B. in den FAQ mit weiteren Nachweisen unter „FRAGEN ZUM SCORING“ hier und/oder hier. Die Frau bat bei der SCHUFA AG um Auskunft, und es stellte sich heraus, dass dort Daten von ihr über eine Restschuldbefreiung gespeichert waren. Sie verlange erfolglos die Löschung dieses Eintrags. Daraufhin reichte sie gemäß Art. 77 DSGVO Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit ein. Der hielt die Verfahrensweise der SCHUFA AG allerdings für rechtmäßig und wies die Beschwerde ab. Ein weiteres Betroffenenrecht ist das Recht auf gerichtlichen Rechtsbehelf nach Art. 78 DSGVO. Darauf basierend erhob die Petentin Klage beim Verwaltungsgericht Wiesbaden. Diese richtete sich gegen die Ablehnung ihrer Beschwerde durch die Hessische Aufsichtsbehörde.

Die Klägerin erstritt einen wichtigen Teilerfolg. Das VG Wiesbaden teilte ihre Zweifel an der Rechtmäßigkeit der Datenverarbeitung. Es wandte sich mit einem Vorlagebeschluss an den EuGH. Das Verwaltungsgericht interessierte die Frage, ob „ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“ Das Verwaltungsgericht nahm dies an.

Die Frage ist relevant, weil Art. 22 DSGVO einer betroffenen Person das Recht einräumt, „nicht ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“ (vgl. Art. 22 Abs. 1 DSGVO). Ausnahmen definiert Art. 22 Abs. 2 DSGVO: Das Verbot gilt nicht, wenn die Entscheidung für den Abschluss oder zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen besteht. Das kommt im vorliegenden Kontext nicht in Betracht, weil Betroffene regelmäßig keinen Vertrag mit SCHUFA & Co. abschließen. Die zweite Ausnahmegrund liegt vor, wenn die Entscheidung, der die betroffene Person unterworfen wird, „aufgrund von Rechtsvorschriften zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten“ (vgl. Art. 22 Abs. 2 lit. b DSGVO). Sollte auch diese Ausnahme nicht greifen, verbliebe nur noch die Einwilligung der betroffenen Person (vgl. Art. 22 Abs. 2 lit. c DSGVO), um eine solche Verarbeitung zu ermöglichen.

Trifft die Einschätzung des Verwaltungsgerichts zu, könnte die vollautomatisierte Berechnung des „Scores“ grundsätzlich verboten sein, sofern von ihm maßgeblich abhängt, ob ein Vertrag zustande kommt oder nicht. Nur einer der drei in Art. 22 Abs. 2 DSGVO definierten Ausnahmetatbestände könnte diese Art der Verarbeitung dann noch ermöglichen. Tatsächlich hat der EuGH die Rechtsauffassung des VG Wiesbaden in seiner aktuellen Entscheidung (Urteil in der Rechtssache C‑634/21 vom 07.12.2023) bestätigt.

Die erste Ausnahme ist mangels abgeschlossenen Vertrags mit der SCHUFA regelmäßig versagt, die Einwilligung dürfte zumindest sehr häufig verweigert werden, und ob mit § 31 BDSG oder sonst irgendeiner Norm eine Rechtsvorschrift vorliegt, die die zweite Ausnahmeregelung begründet, ist offen und muss nun vom VG Wiesbaden geklärt werden.

Weil sich die oben genannte Entscheidung des EuGH bereits vor mehreren Monaten durch eine sehr ähnliche Stellungnahme des Generalanwalts des EuGH anbahnte, schlug die SCHUFA einen eher sehr ungewöhnlichen Weg zur Rettung ihres Geschäftsmodells ein. Wie aktuellen Berichten zu entnehmen ist (beispielsweise dem Online-Bericht der Süddeutschen Zeitung vom 04.12.2023), wandte sie sich mit einem Schreiben an ihre Kunden mit der Bitte, sie mögen bestätigen, dass der SCHUFA-Score für ihre Entscheidungen nicht bestimmend wäre. Eine Annahme, die, darauf weist der Hessische Beauftragte für Datenschutz und Informationsfreiheit hin, zumindest für den Online-Handel fraglich ist.

Welche Schlüsse können wir nun aus der EuGH-Entscheidung ziehen?

Zunächst einmal wurden die Rechte der betroffenen Personen gestärkt. Der Schutz vor automatisierten Entscheidungen, an denen kein Mensch mehr beteiligt ist, liegt im Interesse aller. Die ausschließlich automatisierte Verarbeitung personenbezogener Daten, aus denen sich Rechtswirkungen oder ähnlich gewichtige Konsequenzen ergeben können, müssen die Ausnahme bleiben und dürfen nur unter besonderen Schutzvorkehrungen statthaft sein.

Ob die Vorgaben des Ausnahmetatbestands nach Art. 22 Abs. 2 lit. b DSGVO in Deutschland erfüllt sind, wird das VG Wiesbaden und gegebenenfalls höherrangige Gerichte klären müssen. Vorerst wird aber das Berechnen von Wahrscheinlichkeiten der Kreditwürdigkeit durch Auskunfteien rechtlich als zulässig angesehen. Unternehmen, die sich dieser Werte bedienen, tun jedoch gut daran, möglichst weitere Kriterien zur Beurteilung der Kreditwürdigkeit zu berücksichtigen und über die endgültige Entscheidung, insbesondere bei Negativ-Entscheidungen, noch einmal manuell drüber zu schauen..

Die Entscheidung des EuGH ist auch eine Korrektur des Hessischen Beauftragten für Datenschutz und Informationsfreiheit, der die Beschwerde der Petentin abwies, weil er keine Bedenken gegen die SCHUFA-Praxis hatte – anders als die Klägerin, das VG Wiesbaden und der EuGH sowie zahlreiche weitere Datenschutzexperten.

Auswirkungen hat die EuGH-Rechtsprechung zum SCHUFA-Score aber auch – darauf macht der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ganz besonders aufmerksam – auf KI-basierte Entscheidungen. Er sagt in seiner Pressemitteilung vom 07.12.2023 Folgendes:

Ähnlich wie Auskunfteien werden auch KI-Systeme häufig eingesetzt, um vorbereitende Entscheidungsgrundlagen zu entwerfen. Diese computergenerierten Vorschläge können nach den Maßstäben des EuGH bereits als eigenständig einzustufen sein, wenn sie im Entscheidungsprozess eine maßgebliche Rolle spielen. Wird künstliche Intelligenz beispielsweise eingesetzt, um Bewerbungen vorzusortieren oder um für medizinische Einrichtungen zu analysieren, welche Patien:innen sich besonders für eine Studie eignen, sind die Ergebnisse nur auf den ersten Blick reine Vorschläge.

Wenn diese vorbereitenden Darstellungen aber auf Basis kaum nachvollziehbarer, von der KI eigenständig entwickelter Kriterien entstanden sind, ist die Nähe zur Wirkweise einer Auskunfteien-Bewertung im Sinne des EuGH-Urteils groß. Was also für Schufa-Scores gilt, gilt dann auch für den Output einer künstlichen Intelligenz. Dem Urteil entsprechend müssen solche KI-basierte Bewertungen mit einer menschlichen Beurteilung verknüpft werden.

Das stellt Anwendende vor einige Herausforderungen, denn die letztentscheidende Person benötigt Sachkunde und genug Zeit, um die maschinelle Vorentscheidung hinterfragen zu können. Nach den neuen Maßstäben des EuGH ist genau das aber jetzt essenziell: die involvierte Logik nachvollziehen und gegebenenfalls übersteuern zu können, die hinter dem computergenerierten Vorschlag steckt.

Damit sei allen Unternehmen, öffentlichen und sonstigen Institutionen, die KI zur Entscheidungsfindung einsetzen, anempfohlen sich mit der EuGH-Entscheidung auseinanderzusetzen, in laufende und künftige Entscheidungen und Projekte einzubeziehen und insbesondere die weitere Entwicklung – insbesondere die Rechtsprechung des VG Wiesbaden – zu beobachten.