• Home
  • Datenschutz
  • EuGH C‑634/21: Kre­dit­s­core (der SCHUFA) als auto­ma­ti­sier­te Entscheidung

EuGH C‑634/21: Kre­dit­s­core (der SCHUFA) als auto­ma­ti­sier­te Entscheidung

Der EuGH hat am 7. Dezem­ber 2023 in der Rechts­sa­che C‑634/21 zum Scoring der SCHUFA sei­nen Ent­scheid gefällt. Nach Ansicht des EuGH unter­steht das Scoring der SCHUFA Art. 22 DSGVO über auto­ma­ti­sier­te Ent­schei­dun­gen, sofern vom Kre­dit­s­core mass­geb­lich abhängt, ob das Finanz­in­sti­tut ein Ver­trags­ver­hält­nis mit der betrof­fe­nen Per­son begrün­det, durch­führt oder been­det. Damit folgt der EuGH wenig über­ra­schend den Schluss­an­trä­gen des Gene­ral­an­walts (wir haben dazu berich­tet).

Aus­gangs­la­ge

Die SCHUFA, die bedeu­tend­ste Aus­kunf­tei Deutsch­lands, sam­melt über Unter­neh­men und Pri­vat­per­so­nen boni­täts­re­le­van­te Daten und über­mit­telt sie gegen Ent­gelt u.a. Finanz­in­sti­tu­ten für die Beur­tei­lung der Kre­dit­wür­dig­keit kre­dit­in­ter­es­sier­ter Per­so­nen. Um die­se Beur­tei­lung zu ver­ein­fa­chen, berech­net sie gestützt auf mathe­ma­tisch-sta­ti­sti­sche Ver­fah­ren auto­ma­ti­siert Wahr­schein­lich­keits­wer­te über die Kre­dit­fä­hig­keit (Kre­dit­s­core).

Einer kre­dit­in­ter­es­sier­ten Per­son, OQ, wur­de gestützt auf den Kre­dit­s­core ein Kre­dit­ver­trag ver­sagt, wor­auf sie ein Löschungs- und Aus­kunfts­be­geh­ren bei der SCHUFA stell­te. Die SCHUFA teil­te OQ ihren Score­wert und in all­ge­mei­ner Form des­sen Berech­nungs­me­tho­de mit, ver­wei­ger­te aber offen­zu­le­gen, wel­che Daten sie für die Berech­nung des Kre­dit­s­cores her­an­ge­zo­gen und wie sie die­se gewich­tet hat­te. Sie wen­de­te insb. ein, dass sie kei­ne auto­ma­ti­sier­ten Ent­schei­dun­gen i.S.v. Art. 22 DSGVO fäl­le, wes­halb ihr gegen­über kein Anspruch auf Aus­kunft über die invol­vier­te Logik bestehe (vgl. Art. 15 Abs. 1 lit. h DSGVO).

Befasst mit einer Kla­ge von OQ hat das Ver­wal­tungs­ge­richt Wies­ba­den dem EuGH u.a. die fol­gen­de Fra­ge zur Vor­ab­ent­schei­dung vor­ge­legt: Stellt bereits die auto­ma­ti­sier­te Erstel­lung eines Kre­dit­s­cores, den Drit­te einer Ent­schei­dung bspw. über die Begrün­dung eines Ver­trags­ver­hält­nis­ses mass­geb­lich zugrun­de legen, eine auto­ma­ti­sier­te Ent­schei­dung dar?

Kre­dit­s­core als auto­ma­ti­sier­te Entscheidung 

Art. 22 Abs. 1 DSGVO kennt gemäss dem EuGH drei kumu­la­ti­ve Vor­aus­set­zun­gen, die zunächst nach dem Wort­laut aus­zu­le­gen sei­en: Erfor­der­lich sei (i) eine Ent­schei­dung, die (ii) aus­schliess­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung beru­he und (iii) gegen­über der betrof­fe­nen Per­son recht­li­che Wir­kung ent­fal­te oder sie in ähn­li­cher Wei­se erheb­lich beein­träch­ti­ge. Der Begriff der Ent­schei­dung sei in der DSGVO nicht defi­niert. EG 71 DSGVO, wonach eine Ent­schei­dung auch eine Mass­nah­me ein­schlie­ssen kann, bestä­ti­ge aber die wei­te Bedeu­tung des Begriffs. Als Bei­spie­le nen­ne der Erwä­gungs­grund die auto­ma­ti­sche Ableh­nung eines Online-Kre­dit­an­trags oder Online-Ein­stel­lungs­ver­fah­ren ohne jeg­li­ches mensch­li­che Eingreifen.

Da der Begriff „Ent­schei­dung“ im Sin­ne von Art. 22 Abs. 1 DSGVO somit, […] meh­re­re Hand­lun­gen umfas­sen kann, die die betrof­fe­ne Per­son in vie­ler­lei Wei­se beein­träch­ti­gen kön­nen, ist die­ser Begriff weit genug, um das Ergeb­nis der Berech­nung der Fähig­keit einer Per­son zur Erfül­lung künf­ti­ger Zah­lungs­ver­pflich­tun­gen in Form eines Wahr­schein­lich­keits­werts mit einzuschließen.

Die zwei­te Vor­aus­set­zung sei im vor­lie­gen­den Fall erfüllt, nach­dem eine Tätig­keit wie die der SCHUFA der Defi­ni­ti­on des Pro­fil­ing in Art. 4 Ziff. 4 DSGVO ent­spre­che. Zudem bezie­he sich die Vor­la­ge­fra­ge aus­drück­lich auf die auto­ma­ti­sier­te Erstel­lung eines Wahr­schein­lich­keits­werts. Auch die drit­te Vor­aus­set­zung sei gege­ben. Der Drit­te, etwa eine Bank, las­se sein Han­deln (gemäss Vor­la­ge­fra­ge) mass­geb­lich vom von der SCHUFA berech­ne­ten Wahr­schein­lich­keits­wert lei­ten. Ein unzu­rei­chen­der Kre­dit­s­core füh­re in nahe­zu allen Fäl­len zur Ableh­nung des bean­trag­ten Kre­dits, so dass der Kre­dit­s­core die betrof­fe­ne Per­son zumin­dest erheb­li­che beein­träch­ti­ge. Vor die­sem Hin­ter­grund gelangt der EuGH zum Schluss, dass die Ermitt­lung eines Kre­dit­s­cores durch eine Aus­kunf­tei als Ent­schei­dung ein­zu­stu­fen sei, sofern der Kre­dit­s­core eine mass­geb­li­che Rol­le bei der Gewäh­rung eines Kre­dits spielt.

Um die Aus­le­gung wei­ter zu stüt­zen, zieht der EuGH den Zusam­men­hang, in dem Art. 22 Abs. 1 DSGVO steht, sowie den Zweck und die Zie­le der DSGVO her­an. Der von Art. 22 ver­folg­te Zweck bestehe dar­in, Per­so­nen vor den beson­de­ren Risi­ken für ihre Rech­te und Frei­hei­ten zu schüt­zen, die mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten – ein­schliess­lich Pro­fil­ing – und der damit ein­her­ge­hen­den Bewer­tung per­sön­li­cher Aspek­te ver­bun­den sei. Die­se beson­de­ren Risi­ken sei­en geeig­net die Inter­es­sen und Rech­te der betrof­fe­nen Per­son zu beein­träch­ti­gen, insb. durch etwa­ige dis­kri­mi­nie­ren­de Wir­kun­gen. Die zuvor dar­ge­leg­te Aus­le­gung und gera­de die wei­te Bedeu­tung des Begriffs Ent­schei­dung ver­stär­ke den wirk­sa­men Schutz, auf den die Bestim­mung abziele.

Wür­de hin­ge­gen eine enge Aus­le­gung vor­ge­zo­gen, wonach das Kre­dit­s­coring als vor­be­rei­ten­de Hand­lung ange­se­hen wür­de, so bestün­de Umge­hungs­ge­fahr und eine Rechts­schutz­lücke. In die­sem Fall wür­de die Ermitt­lung eines Wahr­schein­lich­keits­werts nicht den beson­de­ren Anfor­de­run­gen von Art. 22 Abs. 2 und 4 DSGVO unter­lie­gen, obwohl das Ver­fah­ren auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung beru­he und eine erheb­li­che Beein­träch­ti­gung zei­ti­ge, da das Han­deln des Kre­dit­in­sti­tuts vom über­mit­tel­ten Wahr­schein­lich­keits­wert mass­geb­lich gelei­tet sei.

Außer­dem könn­te die betrof­fe­ne Per­son, […] zum einen bei der Wirt­schafts­aus­kunf­tei, die den sie betref­fen­den Wahr­schein­lich­keits­wert ermit­telt, ihr Recht auf Aus­kunft über die in Art. 15 Abs. 1 Buchst. h DSGVO genann­ten spe­zi­fi­schen Infor­ma­tio­nen nicht gel­tend machen, wenn kei­ne auto­ma­ti­sier­te Ent­schei­dungs­fin­dung durch die­ses Unter­neh­men vor­liegt. Zum ande­ren wäre der Drit­te […] nicht in der Lage, die­se spe­zi­fi­schen Infor­ma­tio­nen vor­zu­le­gen, weil er dar­über im All­ge­mei­nen nicht verfügt.

Anmer­kun­gen

Die Begrün­dung des EuGH fällt ange­sichts der Trag­wei­te des Ent­scheids für die Aus­kunf­tei­en und ande­re Akteu­re, die Ent­schei­dungs­grund­la­gen für Drit­te zur Ver­fü­gung stel­len, dünn und wenig über­zeu­gend aus. Wie­so sich etwa aus einem womög­lich breit zu ver­ste­hen­den Begriff der Ent­schei­dung erge­ben soll, dass die­ser meh­re­re Hand­lun­gen umfas­sen kann, erklärt der EuGH nicht. Offen­bar soll nicht nur der Kre­dit­s­core, son­dern (zugleich) auch die anschlie­ssen­de Kre­dit­ver­wei­ge­rung eine Ent­schei­dung dar­stel­len. Nach einer Ent­schei­dung, die ihren Namen ver­dient, ver­bleibt indes für eine wei­te­re Ent­schei­dung über den­sel­ben Gegen­stand der erfor­der­li­che Spiel­raum nicht mehr.

Die Ent­schei­dung sodann bei der Aus­kunf­tei zu ver­or­ten, ist insb. des­halb pro­ble­ma­tisch, weil es nicht im Macht­be­reich der Aus­kunf­tei liegt, ob die Vor­aus­set­zun­gen von Art. 22 DSGVO vor­lie­gen. Das Finanz­in­sti­tut bestimmt, ob ein Mensch zusätz­li­che Kri­te­ri­en prüft, also kei­ne aus­schliess­li­che Auto­ma­ti­sie­rung vor­liegt, und ob – je nach Anknüp­fung am Score­wert – die Kre­dit­ent­schei­dung posi­tiv oder nega­tiv aus­fällt und mit­hin eine rele­van­te Aus­wir­kung besteht. Die Ent­schei­dung bei der Aus­kunf­tei zu ver­or­ten, führt zum bedenk­li­chen Ergeb­nis, dass die­ser abhän­gig vom Ver­hal­ten Drit­ter straf­be­wehr­te Pflich­ten, insb. zur Infor­ma­ti­on und Aus­kunft, auf­er­legt wer­den. Kommt dazu, dass die Aus­kunf­tei viel­fach nicht weiss, ob das Finanz­in­sti­tut mass­geb­lich auf den Kre­dit­s­core abstellt und damit bereits das Kre­dit­s­coring Art. 22 DSGVO untersteht.

Zudem gibt es die ange­spro­che­ne Rechts­schutz­lücke nicht. Fällt näm­lich das Finanz­in­sti­tut (gestützt auf den Kre­dit­s­core) eine auto­ma­ti­sier­te Ent­schei­dung, trägt es die damit ver­bun­de­nen Pflich­ten, insb. die­je­ni­ge, Aus­kunft über die invol­vier­te Logik zu ertei­len. Das Finanz­in­sti­tut kann und muss sich also die für die Erfül­lung des Aus­kunfts­an­spruchs erfor­der­li­chen Infor­ma­tio­nen von der Aus­kunf­tei beschaf­fen. Erteilt das Finanz­in­sti­tut kei­ne Aus­kunft, ris­kiert es eine Geld­bu­sse. Dies wird für Finanz­in­sti­tu­te Anreiz genug sein, sich den Zugriff auf die­se Infor­ma­tio­nen von der Aus­kunf­tei ver­trag­lich zusi­chern zu lassen.

Weni­ger von Bedeu­tung für die hier inter­es­sie­ren­de Vor­la­ge­fra­ge, aber den­noch bemer­kens­wert sind auch die fol­gen­den Punkte:

  • Der EuGH erach­tet eine aus­schliess­li­che Auto­ma­ti­sie­rung, die Vor­aus­set­zung (ii), auch als gege­ben, weil die SCHUFA ein Pro­fil­ing vor­neh­me. Dies erstaunt, nach­dem zumin­dest gem. herr­schen­der Leh­re ein Pro­fil­ing eben gera­de nicht aus­schliess­lich auto­ma­ti­siert erfol­gen muss. Wes­halb nun jedes Pro­fil­ing die­se Vor­aus­set­zung erfül­len soll, der Hin­weis auf das Pro­fil­ing in Art. 22 Abs. 1 DSGVO also mehr als nur ein Bei­spiel für eine auto­ma­ti­sier­te Ver­ar­bei­tung dar­stel­len soll, hät­te zumin­dest einer eige­nen Begrün­dung bedurft.
  • Fer­ner lei­tet der EuGH aus EG 71 DSGVO ab, dass eine aus­schliess­lich auto­ma­ti­sier­te Ver­ar­bei­tung ein­schliess­lich Pro­fil­ing die Bewer­tung per­sön­li­cher Aspek­te in Bezug auf die betrof­fe­ne Per­son erfor­de­re. Damit scheint sich der EuGH auf den in der Lite­ra­tur umstrit­te­nen Stand­punkt zu stel­len, dass Art. 22 Abs. 1 DSGVO die Bewer­tung per­sön­li­cher Aspek­te vor­aus­setzt. Die­se Hal­tung ist abzu­leh­nen, u.a. weil ihr eine Grund­la­ge im Wort­laut fehlt. Frei­lich dürf­ten aber die mei­sten auto­ma­ti­sier­ten Ent­schei­dun­gen ohne­hin mit der Bewer­tung per­sön­li­cher Aspek­te einhergehen.

Rechts­na­tur von Art. 22 Abs. 1 DSGVO

Ohne Not und ech­te Begrün­dung spricht sich der EuGH zudem über die in der Leh­re umstrit­te­nen Fra­ge aus, ob Art. 22 Abs. 1 DSGVO ein all­ge­mei­nes Ver­bot oder ein Wider­spruchs­recht vorsieht:

Inso­weit ist dar­auf hin­zu­wei­sen, dass, […] Art. 22 Abs. 1 DSGVO der betrof­fe­nen Per­son das „Recht“ ver­leiht, nicht einer aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung – ein­schließ­lich Pro­fil­ing – beru­hen­den Ent­schei­dung unter­wor­fen zu wer­den. Die­se Bestim­mung stellt ein grund­sätz­li­ches Ver­bot auf, des­sen Ver­let­zung von einer sol­chen Per­son nicht indi­vi­du­ell gel­tend gemacht zu wer­den braucht. Wie sich näm­lich aus Art. 22 Abs. 2 DSGVO in Ver­bin­dung mit dem 71. Erwä­gungs­grund die­ser Ver­ord­nung ergibt, ist der Erlass einer aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung beru­hen­den Ent­schei­dung nur in den in Art. 22 Abs. 2 genann­ten Fäl­len zulässig […].

Die­se Ansicht ent­spricht zwar der wohl über­wie­gen­den Leh­re, wur­de aber in der Lite­ra­tur zuletzt ver­schie­dent­lich und zu Recht in Fra­ge gestellt. Frei­lich hält EG 71 DSGVO fest, dass eine auto­ma­ti­sier­te Ent­schei­dung aller­dings erlaubt sein [soll­te], wenn einer der Fäl­le von Art. 22 Abs. 2 DSGVO vor­liegt. Die­se For­mu­lie­rung ergibt nur Sinn, wenn sol­che Ent­schei­dun­gen grund­sätz­lich ver­bo­ten sind. Die­ses Ver­ständ­nis des EG 71 DSGVO fin­det aber kei­ne Grund­la­ge im Wort­laut von Art. 22 Abs. 1 DSGVO; ein recht­lich unver­bind­li­cher Erwä­gungs­grund ver­mag den ver­fü­gen­den Teil der DSGVO nicht zu über­steu­ern. Neben dem Wort­laut spricht auch etwa die Syste­ma­tik gegen ein Ver­bot. Die Infor­ma­ti­ons­pflich­ten, die auf Art. 22 Abs. 1 DSGVO ver­wei­sen, wür­den bei einem all­ge­mei­nen Ver­bot kei­nen Sinn machen: Sie wür­den den Ver­ant­wort­li­chen zu einer Infor­ma­ti­on über eine ver­bo­te­ne Tätig­keit ver­pflich­ten. Zudem spricht auch die Anknüp­fung des Gesetz­ge­bers am Vor­gän­ger­er­lass der DSGVO, der ein Betrof­fe­nen­recht vor­sah, für eine Kon­ti­nui­tät die­ser Rechts­na­tur. Die­se und wei­te­re Argu­men­te zugun­sten eines Wider­spruchs­rechts blen­det der EuGH gewohnt ergeb­nis­ori­en­tiert aus.

Schluss­be­mer­kun­gen

Der Ent­scheid des EuGH dürf­te über das Kre­dit­s­coring hin­aus Bedeu­tung erlan­gen, insb. für die Ver­wen­dung von (auf Künst­li­cher Intel­li­genz beru­hen­den) auto­ma­ti­sier­ten Vor­be­rei­tungs- und Emp­feh­lungs­sy­ste­men. Wie der Ham­bur­gi­sche Daten­schutz­be­auf­trag­te fest­hält, kön­nen nach den Mass­stä­ben des EuGH com­pu­ter­ge­nerier­te Vor­schlä­ge, etwa eine Vor­sor­tie­rung von Bewer­bun­gen, bereits als Ent­schei­dung ein­zu­stu­fen sein, wenn sie im Ent­schei­dungs­pro­zess eine mass­geb­li­che Rol­le spielen.

Auch für die Schweiz ist der Ent­scheid nicht unbe­deu­tend. Mit dem per 1. Sep­tem­ber 2023 in Kraft getre­te­nen DSG unter­wirft nun­mehr auch das schwei­ze­ri­sche Recht erst­mals auto­ma­ti­sier­te Ent­schei­dun­gen pri­va­ter Ver­ant­wort­li­cher beson­de­ren Regeln. Für die Aus­le­gung insb. von Art. 21 DSG, der Infor­ma­ti­ons­pflicht bei auto­ma­ti­sier­ten Ent­schei­dun­gen, ist der Ent­scheid des EuGH zwar nicht ohne wei­te­res mass­geb­lich. Jedoch for­mu­lie­ren DSG und DSGVO den Begriff der auto­ma­ti­sier­ten Ent­schei­dung bloss gering­fü­gig abwei­chend und hat sich der Gesetz­ge­ber (wie die Mate­ria­li­en zei­gen) begriff­lich an der DSGVO ori­en­tiert. Des­halb lässt sich die Recht­spre­chung auch für das schwei­ze­ri­sche Recht nicht ausblenden.

Aller­dings über­zeugt die dürf­ti­ge Begrün­dung aus den genann­ten Grün­den auch für das schwei­ze­ri­sche Recht nicht und ist daher zu hof­fen, dass die schwei­ze­ri­sche Gerichts- und Behör­den­pra­xis vom EuGH-Ent­scheid abweicht. Immer­hin hat auch bereits der Bun­des­rat in sei­nem Bericht zum Rechts­rah­men der Prak­ti­ken von Wirt­schafts­aus­kunf­tei­en zu die­ser Fra­ge abwei­chend und inso­weit tref­fend Stel­lung genommen:

Die Boni­täts­be­rech­nung der Wirt­schafts­aus­kunf­tei­en stellt grund­sätz­lich noch kei­ne auto­ma­ti­sier­te Ein­zel­ent­schei­dung im Sin­ne des nDSG, son­dern eine Ent­scheid­hil­fe dar, sofern die eigent­li­che Ent­schei­dung (z.B. das Ver­wei­gern eines Kaufs auf Rech­nung) erst durch die Kun­din­nen und Kun­den der Wirt­schafts­aus­kunf­tei­en erfolgt.

Zum Schluss sei noch bemerkt, dass der EuGH glei­chen­tags auch sei­nen Ent­scheid in den eben­falls die SCHUFA betref­fen­den Rechts­sa­chen C‑26/22 und C‑64/22 fäll­te. Die­ses Ver­fah­ren betrifft insb. die Zuläs­sig­keit der Vor­rats­da­ten­spei­che­rung von Daten aus öffent­li­chen Regi­stern durch eine Auskunftei.