Autor

Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

Salary Partner

Read More
Autor

Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

Salary Partner

Read More

7. Dezember 2023

Scoring nur noch eingeschränkt zulässig

Der EuGH entschied am heutigen 7. Dezember 2023 in gleich zwei Verfahren (C-634/21 sowie die verbundenen Rechtssachen C-26/22 und C-64/22) über Rechtsfragen in Bezug auf Geschäftspraktiken beim sog. Kreditscoring durch Wirtschaftsauskunfteien.

Nach Ansicht des Gerichts stellt bereits die Berechnung des Scorewertes durch die Wirtschaftsauskunftei eine grundsätzlich verbotene automatisierte Entscheidungsfindung im Einzelfall dar, wenn sich die Kunden der Wirtschaftsauskunftei bei ihren Entscheidungen maßgeblich auf diesen Scorewert verlassen. Ob das deutsche Recht eine zulässige Ausnahme für das Scoring vorsieht, muss nun das Verwaltungsgericht Wiesbaden klären.

Außerdem darf eine Auskunftei Daten aus öffentlich verfügbaren Quellen nicht länger verarbeiten, als die Daten in dieser Quelle noch verfügbar sind. Und schließlich sind alle Beschlüsse von Datenschutzaufsichtsbehörden durch Gerichte inhaltlich vollständig überprüfbar.

Zum Hintergrund

Gegenstand der verbundenen Rechtssache C-26/22 und C-64/22 ist die Frage, ob eine Wirtschaftsauskunftei für das Scoring Informationen aus öffentlich verfügbaren Quellen auf Basis ihres berechtigten Interesses erheben und auch nach Löschung der Informationen in der öffentlichen Quelle weiter speichern und verarbeiten darf. Scoring meint dabei ein mathematisch-statistisches Verfahren, um die Wahrscheinlichkeit eines künftigen Verhaltens einer natürlichen Person vorherzusagen. Ferner musste das Gericht klären, ob sich Betroffene, die sich mit einer Beschwerde an eine Datenschutzaufsichtsbehörde gewandt haben, gegen eine von der Aufsichtsbehörde daraufhin getroffene Entscheidung inhaltlich wehren können oder nur dagegen, dass eine Behörde auf ihre Beschwerde hin nicht tätig wird.

Gegenstand des Verfahrens C-634/21 ist die Frage, ob bei der Kreditvergabe der berechnete Scorewert bereits die automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO darstellt oder nicht. Ferner musste das Gericht klären, ob die Rechtsgrundlagen für das Kreditscoring im deutschen Recht mit der DSGVO vereinbar sind oder nicht.

Zur Entscheidung

In der verbundenen Rechtssache C-26/22 und C-64/22 entschied der EuGH, dass Wirtschaftsauskunfteien personenbezogene Daten, die sie aus öffentlichen Registern erheben, löschen müssen, wenn diese Informationen in den öffentlichen Registern nach Zeitablauf nicht mehr verfügbar sind. Nach Ansicht des EuGH kann eine solche Speicherung der Daten durch die Wirtschaftsauskunftei ausschließlich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Jedoch bestehen seitens des EuGH Bedenken, ob eine solche „Schattendatenbank“ mit Informationen aus dem öffentlichen Register (im vorliegenden Fall Insolvenzbekanntmachungen) mit dem Grundsatz der Datenminimierung im Einklang stehen. Jedenfalls nach sechs Monaten, wenn die Informationen aus dem öffentlichen Register gelöscht werden, müssen auch die Einträge bei der Wirtschaftsauskunftei gelöscht werden, so der EuGH. Das vorlegende Verwaltungsgericht Wiesbaden wird abschließend prüfen müssen, ob die Wirtschaftsauskunfteien überhaupt solche Schattendatenbanken führen dürfen oder nicht das Vorhalten der Daten alleine in den öffentlichen Registern zulässig ist.

Ferner hat der EuGH entschieden, dass Betroffene, die sich mit einer Beschwerde an eine Datenschutzaufsichtsbehörde wenden, die daraufhin ergehende Entscheidung der Aufsichtsbehörde gerichtlich auch inhaltlich überprüfen lassen können. Allerdings steht den Aufsichtsbehörden ein weites Ermessen zu, welche Maßnahmen sie aufgrund einer Beschwerde gegen Verantwortliche oder Auftragsverarbeiter ergreifen. Die gerichtliche Überprüfung reduziert sich insoweit auf Fälle, in den Aufsichtsbehörden etwa ihr Ermessen nicht ausüben.

In der Rechtssache C-634/21 entschied der EuGH, dass das sogenannte Scoring eine automatisierte Entscheidungsfindung im Einzelfall darstellt. Streitig war bislang, ob die Entscheidungsfindung bei der Wirtschaftsauskunftei getroffen wurde, die den Scorewert berechnet, oder dem Kunden der Wirtschaftsauskunftei, der anhand des Scorewertes eine Entscheidung etwa über die Gewährung oder Versagung eines Kredits trifft. Der EuGH hat die Entscheidungsfindung bei der Wirtschaftsauskunftei selbst verortet, jedenfalls dann, wenn der Kunde der Wirtschaftsauskunftei maßgeblich seine Entscheidung wiederum von dem Ergebnis der Scorewertberechnung abhängig macht. Ohne entsprechende Rechtsgrundlage, die eine solche automatisierte Entscheidungsfindung ausdrücklich zulässt, müsste die Wirtschaftsauskunftei mangels Vertrags mit dem Betroffenen die ausdrückliche Einwilligung für eine Scorewertberechnung einholen. Ob die deutschen Regelungen in § 31 BDSG eine solche Rechtsgrundlage darstellen kann, muss nun das Verwaltungsgericht Wiesbaden klären.

Auswirkung der Entscheidungen auf die Praxis

Die Entscheidungen des EuGH haben mehrere relevante Konsequenzen, die über die Kreditbranche hinausgehen:

  • Die Scorewertberechnung durch Wirtschaftsauskunfteien in der bisherigen Form wird es künftig nicht mehr geben. Prozesse, die sich auf Scorewerte stützen (etwa bei der Auswahl von Bezahlarten etc.) müssen überprüft und angepasst werden.
  • Eigene Scores, die Unternehmen berechnen, müssen auf ihre konkreten Auswirkungen geprüft werden. Basieren Entscheidungen maßgeblich auf diesen Scorewerten, die für die Betroffenen erhebliche Auswirkungen haben, dann ist bereits die Scorewertberechnung eine unzulässige automatisierte Entscheidungsfindung.
  • Die für die Scorewertberechnung verwendeten Daten müssen auf ihre Rechtmäßigkeit geprüft werden, unabhängig davon, ob eine automatisierte Entscheidungsfindung vorliegt. Insbesondere bei Negativmerkmalen muss geprüft werden, ob noch ein berechtigtes Interesse besteht, diese weiter zu verwenden.
  • Einwilligungen, die die Entscheidung auf Basis eines Scorewertes absichern sollen, müssen auf ihre Rechtmäßigkeit geprüft werden. Eine Einwilligung in eine automatisierte Entscheidungsfindung ist nur dann wirksam, wenn die richtige Entscheidung von der Einwilligung abgedeckt wird, d.h. ggf. bereits die Scorewertberechnung.
  • Scorewerte, die nicht mehr aktuell sind oder bei denen das Risiko besteht, dass sie rechtswidrig berechnet wurden, müssen gelöscht werden.
Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Technology, Media & Communications

IAB Transparency and Consent Framework muss nachgebessert werden

8. März 2024

von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

Klicken Sie hier für Details
Healthtech & Digital Health

EuGH-Vorlage zur Verfolgung von Verstößen gegen das Datenschutzrecht auf der Grundlage des Wettbewerbsrechts und zur Auslegung des Begriffs der Gesundheitsdaten

27. Januar 2023
Briefing

von Dr. Daniel Tietjen und Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Zusammenfassung der wesentlichen Regelungen

18. Juli 2022
Briefing

von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

Klicken Sie hier für Details