Der EuGH hat am 7. Dezember 2023 in der Rechtssache C‑634/21 zum Scoring der SCHUFA seinen Entscheid gefällt. Nach Ansicht des EuGH untersteht das Scoring der SCHUFA Art. 22 DSGVO über automatisierte Entscheidungen, sofern vom Kreditscore massgeblich abhängt, ob das Finanzinstitut ein Vertragsverhältnis mit der betroffenen Person begründet, durchführt oder beendet. Damit folgt der EuGH wenig überraschend den Schlussanträgen des Generalanwalts (wir haben dazu berichtet).
Ausgangslage
Die SCHUFA, die bedeutendste Auskunftei Deutschlands, sammelt über Unternehmen und Privatpersonen bonitätsrelevante Daten und übermittelt sie gegen Entgelt u.a. Finanzinstituten für die Beurteilung der Kreditwürdigkeit kreditinteressierter Personen. Um diese Beurteilung zu vereinfachen, berechnet sie gestützt auf mathematisch-statistische Verfahren automatisiert Wahrscheinlichkeitswerte über die Kreditfähigkeit (Kreditscore).
Einer kreditinteressierten Person, „OQ“, wurde gestützt auf den Kreditscore ein Kreditvertrag versagt, worauf sie ein Löschungs- und Auskunftsbegehren bei der SCHUFA stellte. Die SCHUFA teilte OQ ihren Scorewert und in allgemeiner Form dessen Berechnungsmethode mit, verweigerte aber offenzulegen, welche Daten sie für die Berechnung des Kreditscores herangezogen und wie sie diese gewichtet hatte. Sie wendete insb. ein, dass sie keine automatisierten Entscheidungen i.S.v. Art. 22 DSGVO fälle, weshalb ihr gegenüber kein Anspruch auf Auskunft über die involvierte Logik bestehe (vgl. Art. 15 Abs. 1 lit. h DSGVO).
Befasst mit einer Klage von OQ hat das Verwaltungsgericht Wiesbaden dem EuGH u.a. die folgende Frage zur Vorabentscheidung vorgelegt: Stellt bereits die automatisierte Erstellung eines Kreditscores, den Dritte einer Entscheidung bspw. über die Begründung eines Vertragsverhältnisses massgeblich zugrunde legen, eine automatisierte Entscheidung dar?
Kreditscore als automatisierte Entscheidung
Art. 22 Abs. 1 DSGVO kennt gemäss dem EuGH drei kumulative Voraussetzungen, die zunächst nach dem Wortlaut auszulegen seien: Erforderlich sei (i) eine Entscheidung, die (ii) ausschliesslich auf einer automatisierten Verarbeitung beruhe und (iii) gegenüber der betroffenen Person rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige. Der Begriff der Entscheidung sei in der DSGVO nicht definiert. EG 71 DSGVO, wonach eine Entscheidung auch „eine Massnahme einschliessen kann“, bestätige aber die „weite Bedeutung des Begriffs“. Als Beispiele nenne der Erwägungsgrund die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Da der Begriff „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO somit, […] mehrere Handlungen umfassen kann, die die betroffene Person in vielerlei Weise beeinträchtigen können, ist dieser Begriff weit genug, um das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts mit einzuschließen.
Die zweite Voraussetzung sei im vorliegenden Fall erfüllt, nachdem eine Tätigkeit wie die der SCHUFA der Definition des Profiling in Art. 4 Ziff. 4 DSGVO entspreche. Zudem beziehe sich die Vorlagefrage ausdrücklich auf die automatisierte Erstellung eines Wahrscheinlichkeitswerts. Auch die dritte Voraussetzung sei gegeben. Der Dritte, etwa eine Bank, lasse sein Handeln (gemäss Vorlagefrage) massgeblich vom von der SCHUFA berechneten Wahrscheinlichkeitswert leiten. Ein unzureichender Kreditscore führe in nahezu allen Fällen zur Ablehnung des beantragten Kredits, so dass der Kreditscore die betroffene Person zumindest erhebliche beeinträchtige. Vor diesem Hintergrund gelangt der EuGH zum Schluss, dass die Ermittlung eines Kreditscores durch eine Auskunftei als Entscheidung einzustufen sei, sofern der Kreditscore eine massgebliche Rolle bei der Gewährung eines Kredits spielt.
Um die Auslegung weiter zu stützen, zieht der EuGH den Zusammenhang, in dem Art. 22 Abs. 1 DSGVO steht, sowie den Zweck und die Ziele der DSGVO heran. Der von Art. 22 verfolgte Zweck bestehe darin, Personen vor den besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten – einschliesslich Profiling – und der damit einhergehenden Bewertung persönlicher Aspekte verbunden sei. Diese besonderen Risiken seien geeignet die Interessen und Rechte der betroffenen Person zu beeinträchtigen, insb. durch etwaige diskriminierende Wirkungen. Die zuvor dargelegte Auslegung und gerade die weite Bedeutung des Begriffs „Entscheidung“ verstärke den wirksamen Schutz, auf den die Bestimmung abziele.
Würde hingegen eine „enge Auslegung“ vorgezogen, wonach das Kreditscoring als vorbereitende Handlung angesehen würde, so bestünde Umgehungsgefahr und eine Rechtsschutzlücke. In diesem Fall würde die Ermittlung eines Wahrscheinlichkeitswerts nicht den besonderen Anforderungen von Art. 22 Abs. 2 und 4 DSGVO unterliegen, obwohl das Verfahren auf einer automatisierten Verarbeitung beruhe und eine erhebliche Beeinträchtigung zeitige, da das Handeln des Kreditinstituts vom übermittelten Wahrscheinlichkeitswert massgeblich geleitet sei.
Außerdem könnte die betroffene Person, […] zum einen bei der Wirtschaftsauskunftei, die den sie betreffenden Wahrscheinlichkeitswert ermittelt, ihr Recht auf Auskunft über die in Art. 15 Abs. 1 Buchst. h DSGVO genannten spezifischen Informationen nicht geltend machen, wenn keine automatisierte Entscheidungsfindung durch dieses Unternehmen vorliegt. Zum anderen wäre der Dritte […] nicht in der Lage, diese spezifischen Informationen vorzulegen, weil er darüber im Allgemeinen nicht verfügt.
Anmerkungen
Die Begründung des EuGH fällt angesichts der Tragweite des Entscheids für die Auskunfteien und andere Akteure, die Entscheidungsgrundlagen für Dritte zur Verfügung stellen, dünn und wenig überzeugend aus. Wieso sich etwa aus einem womöglich breit zu verstehenden Begriff der Entscheidung ergeben soll, dass dieser mehrere Handlungen umfassen kann, erklärt der EuGH nicht. Offenbar soll nicht nur der Kreditscore, sondern (zugleich) auch die anschliessende Kreditverweigerung eine Entscheidung darstellen. Nach einer Entscheidung, die ihren Namen verdient, verbleibt indes für eine weitere Entscheidung über denselben Gegenstand der erforderliche Spielraum nicht mehr.
Die Entscheidung sodann bei der Auskunftei zu verorten, ist insb. deshalb problematisch, weil es nicht im Machtbereich der Auskunftei liegt, ob die Voraussetzungen von Art. 22 DSGVO vorliegen. Das Finanzinstitut bestimmt, ob ein Mensch zusätzliche Kriterien prüft, also keine ausschliessliche Automatisierung vorliegt, und ob – je nach Anknüpfung am Scorewert – die Kreditentscheidung positiv oder negativ ausfällt und mithin eine relevante Auswirkung besteht. Die Entscheidung bei der Auskunftei zu verorten, führt zum bedenklichen Ergebnis, dass dieser abhängig vom Verhalten Dritter strafbewehrte Pflichten, insb. zur Information und Auskunft, auferlegt werden. Kommt dazu, dass die Auskunftei vielfach nicht weiss, ob das Finanzinstitut massgeblich auf den Kreditscore abstellt und damit bereits das Kreditscoring Art. 22 DSGVO untersteht.
Zudem gibt es die angesprochene Rechtsschutzlücke nicht. Fällt nämlich das Finanzinstitut (gestützt auf den Kreditscore) eine automatisierte Entscheidung, trägt es die damit verbundenen Pflichten, insb. diejenige, Auskunft über die involvierte Logik zu erteilen. Das Finanzinstitut kann und muss sich also die für die Erfüllung des Auskunftsanspruchs erforderlichen Informationen von der Auskunftei beschaffen. Erteilt das Finanzinstitut keine Auskunft, riskiert es eine Geldbusse. Dies wird für Finanzinstitute Anreiz genug sein, sich den Zugriff auf diese Informationen von der Auskunftei vertraglich zusichern zu lassen.
Weniger von Bedeutung für die hier interessierende Vorlagefrage, aber dennoch bemerkenswert sind auch die folgenden Punkte:
- Der EuGH erachtet eine ausschliessliche Automatisierung, die Voraussetzung (ii), auch als gegeben, weil die SCHUFA ein Profiling vornehme. Dies erstaunt, nachdem zumindest gem. herrschender Lehre ein Profiling eben gerade nicht ausschliesslich automatisiert erfolgen muss. Weshalb nun jedes Profiling diese Voraussetzung erfüllen soll, der Hinweis auf das Profiling in Art. 22 Abs. 1 DSGVO also mehr als nur ein Beispiel für eine automatisierte Verarbeitung darstellen soll, hätte zumindest einer eigenen Begründung bedurft.
- Ferner leitet der EuGH aus EG 71 DSGVO ab, dass eine ausschliesslich automatisierte Verarbeitung – einschliesslich Profiling – die Bewertung persönlicher Aspekte in Bezug auf die betroffene Person erfordere. Damit scheint sich der EuGH auf den in der Literatur umstrittenen Standpunkt zu stellen, dass Art. 22 Abs. 1 DSGVO die Bewertung persönlicher Aspekte voraussetzt. Diese Haltung ist abzulehnen, u.a. weil ihr eine Grundlage im Wortlaut fehlt. Freilich dürften aber die meisten automatisierten Entscheidungen ohnehin mit der Bewertung persönlicher Aspekte einhergehen.
Rechtsnatur von Art. 22 Abs. 1 DSGVO
Ohne Not und echte Begründung spricht sich der EuGH zudem über die in der Lehre umstrittenen Frage aus, ob Art. 22 Abs. 1 DSGVO ein allgemeines Verbot oder ein Widerspruchsrecht vorsieht:
Insoweit ist darauf hinzuweisen, dass, […] Art. 22 Abs. 1 DSGVO der betroffenen Person das „Recht“ verleiht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Diese Bestimmung stellt ein grundsätzliches Verbot auf, dessen Verletzung von einer solchen Person nicht individuell geltend gemacht zu werden braucht. Wie sich nämlich aus Art. 22 Abs. 2 DSGVO in Verbindung mit dem 71. Erwägungsgrund dieser Verordnung ergibt, ist der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung nur in den in Art. 22 Abs. 2 genannten Fällen zulässig […].
Diese Ansicht entspricht zwar der wohl überwiegenden Lehre, wurde aber in der Literatur zuletzt verschiedentlich und zu Recht in Frage gestellt. Freilich hält EG 71 DSGVO fest, dass eine automatisierte Entscheidung „allerdings erlaubt sein [sollte]“, wenn einer der Fälle von Art. 22 Abs. 2 DSGVO vorliegt. Diese Formulierung ergibt nur Sinn, wenn solche Entscheidungen grundsätzlich verboten sind. Dieses Verständnis des EG 71 DSGVO findet aber keine Grundlage im Wortlaut von Art. 22 Abs. 1 DSGVO; ein rechtlich unverbindlicher Erwägungsgrund vermag den verfügenden Teil der DSGVO nicht zu übersteuern. Neben dem Wortlaut spricht auch etwa die Systematik gegen ein Verbot. Die Informationspflichten, die auf Art. 22 Abs. 1 DSGVO verweisen, würden bei einem allgemeinen Verbot keinen Sinn machen: Sie würden den Verantwortlichen zu einer Information über eine verbotene Tätigkeit verpflichten. Zudem spricht auch die Anknüpfung des Gesetzgebers am Vorgängererlass der DSGVO, der ein Betroffenenrecht vorsah, für eine Kontinuität dieser Rechtsnatur. Diese und weitere Argumente zugunsten eines Widerspruchsrechts blendet der EuGH gewohnt ergebnisorientiert aus.
Schlussbemerkungen
Der Entscheid des EuGH dürfte über das Kreditscoring hinaus Bedeutung erlangen, insb. für die Verwendung von (auf Künstlicher Intelligenz beruhenden) automatisierten Vorbereitungs- und Empfehlungssystemen. Wie der Hamburgische Datenschutzbeauftragte festhält, können nach den Massstäben des EuGH computergenerierte Vorschläge, etwa eine Vorsortierung von Bewerbungen, bereits als Entscheidung einzustufen sein, wenn sie im Entscheidungsprozess eine massgebliche Rolle spielen.
Auch für die Schweiz ist der Entscheid nicht unbedeutend. Mit dem per 1. September 2023 in Kraft getretenen DSG unterwirft nunmehr auch das schweizerische Recht erstmals automatisierte Entscheidungen privater Verantwortlicher besonderen Regeln. Für die Auslegung insb. von Art. 21 DSG, der Informationspflicht bei automatisierten Entscheidungen, ist der Entscheid des EuGH zwar nicht ohne weiteres massgeblich. Jedoch formulieren DSG und DSGVO den Begriff der automatisierten Entscheidung bloss geringfügig abweichend und hat sich der Gesetzgeber (wie die Materialien zeigen) begrifflich an der DSGVO orientiert. Deshalb lässt sich die Rechtsprechung auch für das schweizerische Recht nicht ausblenden.
Allerdings überzeugt die dürftige Begründung aus den genannten Gründen auch für das schweizerische Recht nicht und ist daher zu hoffen, dass die schweizerische Gerichts- und Behördenpraxis vom EuGH-Entscheid abweicht. Immerhin hat auch bereits der Bundesrat in seinem Bericht zum Rechtsrahmen der Praktiken von Wirtschaftsauskunfteien zu dieser Frage abweichend und insoweit treffend Stellung genommen:
Die Bonitätsberechnung der Wirtschaftsauskunfteien stellt grundsätzlich noch keine automatisierte Einzelentscheidung im Sinne des nDSG, sondern eine Entscheidhilfe dar, sofern die eigentliche Entscheidung (z.B. das Verweigern eines Kaufs auf Rechnung) erst durch die Kundinnen und Kunden der Wirtschaftsauskunfteien erfolgt.
Zum Schluss sei noch bemerkt, dass der EuGH gleichentags auch seinen Entscheid in den ebenfalls die SCHUFA betreffenden Rechtssachen C‑26/22 und C‑64/22 fällte. Dieses Verfahren betrifft insb. die Zulässigkeit der Vorratsdatenspeicherung von Daten aus öffentlichen Registern durch eine Auskunftei.