EuGH-Vorlage zu Score-Werten der SCHUFA

Das VG Wiesbaden hat eine Vorlage an den EuGH gerichtet bzgl. des von der SCHUFA Holding AG erstellten "Score-Wertes". Gegenstand des Verfahrens ist eine Klage mit dem Begehren, eine möglicherweise falsche Eintragung bei der SCHUFA zu löschen und Auskunft über die dort gespeicherten Daten zu erlangen.

Der Sachverhalt:
Die SCHUFA, eine private Wirtschaftsauskunftei, versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sog. Score-Werte. Für die Ermittlung dieses Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale als auch das mathematisch-statistische Verfahren werden von der SCHUFA nicht offengelegt. Diese beruft sich darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen.

Die Klägerin wandte sich in Bezug auf die von ihr begehrte Auskunft und Löschung an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde. Dieser lehnte das Begehren der Klägerin jedoch ab, da die SCHUFA bei der Berechnung des Bonitätswertes den im BDSG detailliert geregelten Anforderungen in der Regel genüge und im hiesigen Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Das VG setzte das Verfahren aus und legte dem EuGH zwei Fragen zur Klärung vor.

Die Gründe:
Zum einen soll geklärt werden, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte über betroffene Personen zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (z.B. Banken) zu übermitteln, die dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Falls ja, ist diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DSGVO zulässig ist. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DSGVO bestehen aber durchgreifende Bedenken. Die SCHUFA würde dann rechtsgrundlos handeln, und die Klägerin hätte zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.

Die Erstellung von Score-Werten ist nicht lediglich ein die Entscheidung des dritten Verantwortlichen (z.B. einer Bank) vorbereitendes Profiling (siehe Art. 4 DSGVO), sondern gerade eine selbstständige "Entscheidung" i.S.d. Art. 22 Abs. 1 DSGVO. Es bestehen gewichtige Anhaltspunkte dafür, dass die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung ist. Zwar können jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, weil zu diesem Stadium des Entscheidungsprozesses eine menschlich gesteuerte Einzelfallentscheidung grundsätzlich noch möglich ist. Diese Entscheidung wird praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Der aufgrund automatisierter Verarbeitung erstellte Score-Wert ist eigentlich das entscheidende Kriterium über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person.

Der dritte Verantwortliche muss seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tut es in aller Regel jedoch maßgeblich. Eine Kreditvergabe mag zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden. Ein nicht ausreichender Score-Wert hingegen wird jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheint. Score-Werten kommt bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle zu. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform soll Art. 22 Abs. 1 DSGVO die betroffene Person aber gerade schützen.

Zudem legte das VG eine Frage vor, für den Fall, dass die erste Vorlagefrage verneint wird. In § 31 BDSG trifft der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DSGVO fällt, so ist die allgemeine Vorschrift des Art. 6 DS-GVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpft, spezifiziert er die Regelungsmaterie über die Vorgaben der DSGVO hinaus. Dafür fehlt ihm jedoch die Regelungsbefugnis. Dies ändert den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese hat dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DSGVO zu messen. Es ist also durch den EuGH zu klären, ob die DSGVO der Regelung des § 31 BDSG entgegensteht.