Am 16. März 2023 hat der Generalanwalt (GA) des EuGH, Priit Pikamäe, in der Rechtssache C‑634/21 seine Schlussanträge vorgelegt. Das Verfahren betrifft den Anwendungsbereich von Art. 22 DSGVO über automatisierte Entscheidungen und den Regelungsspielraums von EU-Mitgliedstaaten beim Scoring. Der GA äusserte sich aber auch zu zwei weiteren, viel diskutierten Fragen zu automatisierten Entscheidungen.
Ausgangslage
Die SCHUFA, die bedeutendste Auskunftei Deutschlands, sammelt über Unternehmen und Privatpersonen bonitätsrelevante Daten und übermittelt sie gegen Entgelt u.a. Finanzinstituten für die Beurteilung der Kreditwürdigkeit kreditinteressierter Personen. Um diese Beurteilung zu vereinfachen, berechnet sie gestützt auf mathematisch-statistische Verfahren automatisiert Wahrscheinlichkeitswerte über die Kreditfähigkeit (Kreditscore).
Einer kreditinteressierten Person, «OQ», wurde gestützt auf den Kreditscore ein Kreditvertrag versagt, worauf sie ein Löschungs- und Auskunftsbegehren bei der SCHUFA stellte. Die SCHUFA teilte OQ ihren Scorewert und in allgemeiner Form dessen Berechnungsmethode mit, verweigerte aber offenzulegen, welche Daten sie für die Berechnung des Kreditscores herangezogen und wie sie diese gewichtet hatte. Sie berief sich dabei auf Geschäftsgeheimnisse und wendete ein, dass sie keine automatisierten Entscheidungen i.S.v. Art. 22 DSGVO fälle, sondern lediglich Finanzinstituten Informationen für deren Entscheidungsfällung bereitstelle. Darum bestehe ihr gegenüber kein Anspruch auf Auskunft über die involvierte Logik (vgl. Art. 15 Abs. 1 lit. h DSGVO).
Befasst mit einer Klage von OQ hat das Verwaltungsgericht Wiesbaden dem EuGH zwei Fragen zur Vorabentscheidung vorgelegt:
- Stellt bereits die automatisierte Erstellung eines Kreditscores, den Dritte einer Entscheidung bspw. über die Begründung eines Vertragsverhältnisses massgeblich zugrunde legen, eine automatisierte Entscheidung dar?
- Darf der Gesetzgeber eines EU-Mitgliedstaats über die DSGVO hinausgehende Anforderungen an das Scoring stellen (vorliegend mit § 31 des deutschen BDSG, der die Verwendung eines Wahrscheinlichkeitswertes regelt)?
Kreditscore als automatisierte Entscheidung
Zur Klärung der ersten Frage unterteilte der GA Art. 22 Abs. 1 DSGVO (auf etwas sonderbare Weise) in drei Voraussetzungen:
- Zunächst müsse eine automatisierte Verarbeitung personenbezogener Daten vorliegen, wovon das Profiling eine Unterkategorie bilde. Wenig überraschend (und zu Recht) qualifizierte der GA das Scoring der SCHUFA als Profiling.
- Sodann sei eine Rechtsfolge oder erhebliche Beeinträchtigung der betroffenen Person erforderlich, wobei Art. 22 DSGVO «nur schwerwiegende Auswirkungen» abdecke. In der Situation von OQ bestehe, wie der GA etwas vorschnell schliesst, eine erhebliche Beeinträchtigung, zumal Erwägungsgrund (EG) 71 der DSGVO die automatische Ablehnung eines Online-Kreditantrags als typisches Beispiel einer automatisierten Entscheidung nenne.
- Die dritte und vorliegend zentrale Voraussetzung erfordere erstens eine Entscheidung und zweites, dass diese ausschliesslich auf einer automatisierten Verarbeitung beruhe. Die ausschliessliche Automatisierung sei beim Kreditscoring der SCHUFA gegeben, es stelle sich aber die Frage, wo die Entscheidung zu verorten sei.
Eine Entscheidung impliziert gem. GA eine Stellungnahme zu einem bestimmten Sachverhalt und müsse – anders als eine Empfehlung – verbindlich sein. Der Begriff sei weit zu verstehen, weil es an einer Legaldefinition fehle. Eine Qualifikation als Entscheidung setze sodann eine Einzelfallprüfung u.a. der Schwere der Auswirkungen auf die betroffene Person voraus.
Welche Handlung in Konstellationen wie der vorliegenden die relevante Entscheidung sei – Gewährung oder Ablehnung eines Kredits durch das Finanzinstitut oder Scoring durch die SCHUFA – sei vom Einzelfall abhängig. Massgeblich sei, ob die Entscheidung des Finanzinstituts faktisch vom Scoring vorbestimmt sei, also ob es in seiner Entscheidungsfindung dem Kreditscore grösste Bedeutung zumesse.
Dies hängt von den internen Regeln und Praktiken des fraglichen Finanzinstituts ab, die diesem im Allgemeinen keinen Handlungsspielraum bei der Anwendung des Score-Wertes auf einen Kreditantrag lassen dürfen.
Es handle sich dabei um eine Tatsachenfrage, die besser das nationale Gericht beurteile. Angesichts der Sachverhaltsdarstellung des vorlegenden Gerichts, wonach das Finanzinstitut die Entscheidung zwar nicht allein vom Kreditscore abhängig machen müsse, dies in aller Regel jedoch massgeblich tue, schätzte der GA den Kreditscore allerdings als «Entscheidung» ein.
Eine andere Auslegung würde zu einer Rechtsschutzlücke führen:
Die Auskunftei, von der die für die betroffene Person erforderlichen Informationen zu erlangen wären, ist nach Art. 15 Abs. 1 Buchst. h DSGVO nicht auskunftsverpflichtet, weil sie vorgeblich keine eigene «automatisierte Entscheidungsfindung» im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO betreibt, und das Finanzinstitut, das seiner Entscheidungsfindung den automatisiert erstellten Score-Wert zugrunde legt und nach Art. 15 Abs. 1 Buchst. h DSGVO auskunftsverpflichtet ist, kann die erforderlichen Informationen nicht bereitstellen, weil es über sie nicht verfügt.
Folglich könne das Finanzinstitut das Kreditscoring im Falle der Entscheidungsanfechtung nicht überprüfen (vgl. Art. 22 Abs. 3 DSGVO) oder eine faire, transparente und nicht diskriminierende Verarbeitung durch geeignete mathematische oder statistische Verfahren gewährleisten (vgl. EG 71 DSGVO). Auch könne nur die Auskunftei den übrigen Betroffenenrechten, z.B. dem Berichtigungs- oder Löschungsrecht, nachkommen.
Anmerkungen
Bereits die Ausführungen zum Begriff der Entscheidung überzeugen nicht. Zunächst ist der Schluss des GA nur von der fehlenden Legaldefinition auf ein weites Begriffsverständnis falsch. Sodann vermengt der GA die Voraussetzung der Entscheidung mit der bereits bejahten erheblichen Beeinträchtigung, wenn er für die Entscheidung eine Einzelfallprüfung der Schwere der Auswirkungen verlangt. Und schliesslich bleibt unklar, inwiefern der Kreditscore die zuvor verlangte Verbindlichkeit aufweisen und nicht bloss eine Empfehlung sein soll.
Auch die Verortung der «Entscheidung» bei der Auskunftei wirft Fragen auf. Wie der Hinweis auf die internen Regeln und Praktiken des Finanzinstituts zeigt, liegt es nicht im Machtbereich der Auskunftei, ob eine Entscheidung Art. 22 DSGVO unterliegt. Das Finanzinstitut bestimmt, ob ein Mensch zusätzliche Kriterien prüft, also keine ausschliessliche Automatisierung vorliegt, und ob – je nach Anknüpfung am Scorewert – die Kreditentscheidung positiv oder negativ ausfällt und mithin eine relevante Auswirkung besteht. Die Entscheidung bei der Auskunftei zu verorten, führt zum problematischen Ergebnis, dass dieser abhängig vom Verhalten Dritter strafbewehrte Pflichten, insb. zur Information und Auskunft, auferlegt werden. Erschwerend kommt hinzu, dass die Auskunftei diese internen Vorgaben der Finanzinstitute vielfach nicht kennen wird.
Ausserdem gibt es die angesprochene Rechtsschutzlücke nicht. Fällt nämlich das Finanzinstitut (gestützt auf den Kreditscore) eine automatisierte Entscheidung, trägt es die damit verbundenen Pflichten, insbesondere Auskunft über die involvierte Logik zu erteilen. Eine Ausnahme wegen Unmöglichkeit sieht Art. 15 DSGVO nicht vor. Das Finanzinstitut kann und muss sich also die für die Erfüllung des Auskunftsanspruchs erforderlichen Informationen von der Auskunftei beschaffen. Erteilt das Finanzinstitut keine Auskunft, riskiert es entsprechend eine erhebliche Geldbusse. Dies wird für Finanzinstitute auch Anreiz genug sein, sich den Zugriff auf diese Informationen von der Auskunftei vertraglich zusichern zu lassen. Noch viel weniger besteht ferner eine Rechtsschutzlücke bei den vom GA angesprochenen Rechten auf Berichtigung und Löschung, welche die betroffene Person ohnehin gegenüber der Auskunftei geltend machen kann.
Im Gegenteil öffnet erst die vom GA vorgeschlagene Rechtsprechung eine Rechtsschutzlücke. Stehen der betroffenen Person nämlich die Rechte auf Überprüfung und auf Anfechtung (vgl. Art. 22 Abs. 3 DSGVO) gegenüber der Auskunftei zu und nicht gegenüber dem Finanzinstitut, kann sie zwar allenfalls die Änderung des Kreditscores erwirken, verliert aber eine Einflussmöglichkeit auf die für sie wohl relevantere Kreditentscheidung.
Immerhin ist der vom GA implizit geäusserten Ansicht beizupflichten, dass Art. 22 Abs. 1 DSGVO nicht schon das Profiling (das eine Rechtsfolge oder eine erhebliche Beeinträchtigung verursacht) erfasst, wie dies die Lehre zuweilen vertritt. Ansonsten hätte er sich sparen können, die Entscheidung zu verorten, nachdem er das Kreditscoring als Profiling qualifiziert und eine erhebliche Beeinträchtigung bejaht hatte.
Europarechtskonformität von § 31 BDSG
Im Rahmen der zweiten Vorlagefrage prüfte der GA relativ umfassend, ob eine Öffnungsklausel vorliegt, also eine Rechtsgrundlage für den Erlass einer nationalen Bestimmung wie § 31 BDSG.
Art. 22 Abs. 2 lit. b DSGVO erlaube zwar eine Ausnahme der Beschränkungen bei automatisierten Entscheidungen «aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten». Die Bestimmung könne aber nicht als Rechtsgrundlage dienen, da § 31 BDSG differenzierungsfrei «auch nicht automatisierte Entscheidungen» erfasse und die «Verwendung», nicht die «Erstellung» eines Wahrscheinlichkeitswertes regle.
Eine Öffnungsklausel könne sich aus Art. 6 Abs. 2 oder Abs. 3 DSGVO ergeben, bei deren Betrachtung der GA zum Schluss gelangt,
dass die Mitgliedstaaten spezifischere Bestimmungen erlassen können, wenn die Verarbeitung «zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt», oder «für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde». Diese Bedingungen bewirken eine enge Begrenzung der Regelungsbefugnis der Mitgliedstaaten und schließen damit einen willkürlichen Rückgriff auf die in der DSGVO vorgesehenen Öffnungsklauseln aus, der das Ziel der Harmonisierung des Rechts im Bereich des Schutzes personenbezogener Daten vereiteln könnte.
Eine Verpflichtung zur Erstellung eines Score-Wertes bestehe im nationalen Recht nicht. Zwar handle eine Auskunftei auch im öffentlichen Interesse, indem sie etwa zum Schutz der Verbraucher vor Überschuldung, der Stabilität des Finanzsystems und zur Verbesserung des Zugangs zu Krediten beitrage. Jedoch gehe es hier nicht (wie erforderlich wäre) um Zwecke des Gemeinwohls wie öffentliche Gesundheit oder soziale Sicherheit, also klassische Aufgaben des Staates. Diese Öffnungsklauseln seien daher ebenfalls nicht einschlägig.
Art. 6 Abs. 1 lit. f DSGVO, die Rechtsgrundlage für Datenverarbeitungen gestützt auf ein berechtigtes Interesse, enthalte sodann keine Öffnungsklausel und erlaube den Mitgliedstaaten nicht, das berechtigte Interesse, wie dies durch § 31 BDSG erfolge, zu präzisieren.
Nach Ansicht des GA ist daher davon auszugehen, dass nationale Bestimmungen wie § 31 BDSG nicht mit der DSGVO vereinbar sind. Dies ist eine vertretbare Haltung, die sich auch in der deutschen Lehre findet. Trotz der allfälligen Unanwendbarkeit von § 31 BDSG ist zu vermuten, dass dessen Wertentscheidungen bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO (in der deutschen Praxis) weiterhin eine wichtige Rolle spielen werden.
Obiter dicta
Rechtsnatur von Art. 22 Abs. 1 DSGVO
Beiläufig und ohne Not spricht sich der GA zudem zur in der Lehre umstrittenen Frage aus, ob Art. 22 Abs. 1 DSGVO ein allgemeines Verbot oder ein Widerspruchsrecht vorsieht:
Ungeachtet der verwendeten Terminologie erfordert die Anwendung von Art. 22 Abs. 1 DSGVO nicht, dass sich die betroffene Person aktiv auf das Recht beruft. Denn eine Auslegung im Licht des 71. Erwägungsgrundes dieser Verordnung und unter Berücksichtigung der Systematik dieser Bestimmung, insbesondere ihres Abs. 2, in dem die Fälle aufgeführt sind, in denen eine automatisierte Verarbeitung ausnahmsweise zulässig ist, lässt den Schluss zu, dass diese Bestimmung ein allgemeines Verbot der Entscheidungen der oben beschriebenen Art aufstellt.
Diese Ansicht entspricht zwar der (noch) überwiegenden Lehre, wurde aber kürzlich in der Literatur zu Recht in Frage gestellt. Grund dafür ist nicht nur der Wortlaut, der auch in anderen Sprachfassungen für ein Betroffenenrecht – und kein Verbot – spricht. Die Informationspflichten, die auf Art. 22 Abs. 1 DSGVO verweisen, würden bei einem allgemeinen Verbot keinen Sinn machen: Sie würden den Verantwortlichen zu einer Information über eine verbotene Tätigkeit verpflichten. Zudem streitet auch die Anknüpfung des Gesetzgebers am Vorgängererlass der DSGVO, der ein Betroffenenrecht vorsah, für eine Kontinuität dieser Rechtsnatur. Schliesslich lassen sich weitere Argumente zugunsten eines Widerspruchsrechts aus dem Zweck von Art. 22 Abs. 1 DSGVO gewinnen, die der GA hier ausblendete.
Umfang des Auskunftsrechts betreffend automatisierte Entscheidungen
Ebenfalls ohne Not äusserte sich der GA zum Umfang des Auskunftsrechts in Art. 15 Abs. 1 lit. h DSGVO, insbesondere zur Bedeutung von aussagekräftigen Informationen über die involvierte Logik:
Meines Erachtens ist diese Bestimmung dahin auszulegen, dass sie grundsätzlich auch die Berechnungsmethode erfasst, die von einer Auskunftei zur Ermittlung eines Score-Wertes verwendet wird, sofern keine schutzwürdigen widerstreitenden Interessen bestehen.
Insoweit ist auf den 63. Erwägungsgrund der DSGVO zu verweisen, aus dem u. a. hervorgeht, dass «[das Auskunftsr]echt … die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen [sollte]».
Damit stellt sich der GA gegen den Europäischen Datenschutzausschuss, der in seiner Leitlinie zum Auskunftsrecht den Vorbehalt von Geschäftsgeheimnissen und Immaterialgüterrechten nur hinsichtlich des Rechts auf Kopie gelten lassen will (vgl. 15 Abs. 4 DSGVO). Da dieser Vorbehalt aber gerade bei der Information über die involvierte Logik sinnvoll erscheint, ist dem GA in diesem Punkt zuzustimmen.
Der Vorbehalt erfordere eine Abwägung, wobei der betroffenen Person ein Minimum an Informationen geliefert werden müsse. Der Schutz des Geschäftsgeheimnisses oder des geistigen Eigentums stelle für eine Auskunftei grundsätzlich einen berechtigten Grund dar, die Offenlegung des zur Berechnung des Score-Wertes der betroffenen Person verwendeten Algorithmus zu verweigern.
Die Auskunftei schulde daher:
hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen […], die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von «Entscheidungen» im Sinne von Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind.
Was dies bedeutet, bleibt unklar. Wenn die Auskunftei bloss allgemeine Informationen zu den berücksichtigten Faktoren schuldet, muss sie wohl nicht sämtliche Faktoren nennen. Auch die «Gewichtungen auf aggregierter Ebene» lässt Interpretationsspielraum: Die Auskunftei wird zwar Aussagen zur Gewichtung machen müssen, muss sie allerdings nicht konkret angeben. Da der GA den Algorithmus bzw. die Scoreformel schützen will, dürfte die Angabe ausreichen, welchen Faktoren bzw. Faktorenkategorien mehr oder eben weniger Gewicht zukommt.
Schlussbemerkungen
Schlussanträge eines GA sind unverbindlich. Deshalb bleibt die Hoffnung, dass der EuGH insb. in der ersten Vorlagefrage die vom GA unbeachteten Gesichtspunkte würdigen und anders entscheiden wird. Regelmässig folgt der EuGH indes den Schlussanträgen des GA, was gerade vorliegend nicht überraschend wäre. Ein entsprechender Entscheid des EuGH würde sich nahtlos in die bisherige, sehr datenschutzfreundliche Rechtsprechung des EuGH einreihen.
Der Ausgang des Verfahrens wird auch für das schweizerische Recht bedeutsam sein, weil das per 1. September 2023 in Kraft tretende nDSG erstmals automatisierte Entscheidungen privater Verantwortlicher besonderen Regeln unterwirft. Die Erwägungen des GA und der ausstehende Entscheid des EuGH dürfen zwar nicht unbesehen auf Art. 21 nDSG übertragen werden. Nachdem aber DSG und DSGVO den Begriff der automatisierten Entscheidung bloss geringfügig abweichend formulieren und sich der Gesetzgeber (wie sich in den Materialien zeigt) begrifflich an der DSGVO orientiert hat, dürfte die europäische Rechtsprechung auch das Verständnis im schweizerischen Recht beeinflussen.
Zum Schluss sei bemerkt, dass der GA gleichentags auch seine Schlussanträge in den ebenfalls die SCHUFA betreffenden Rechtssachen C‑26/22 und C‑64/22 vorgelegt hat. Die in diesen Vorabentscheidungsverfahren zu beantwortenden Fragen betreffen insbesondere die Zulässigkeit der Vorratsdatenspeicherung von Daten aus öffentlichen Registern durch eine Auskunftei.