Sogenannte Score-Werte spielen für Verbraucher häufig eine entscheidende Rolle bei der Kreditvergabe – das Verwaltungsgericht Wiesbaden will nun vom Europäischen Gerichtshof (EuGH) in Luxemburg klären lassen, inwiefern das Erstellen von Score-Werten der privaten Auskunftei Schufa unter die europäische Datenschutz-Grundverordnung (DSGVO) fällt. Wie das Gericht am Montag mitteilte, entschied die sechste Kammer des Verwaltungsgerichts Anfang Oktober, dem EuGH zwei Fragen vorzulegen. (Az.: 6 K 788/20.WI)
Hintergrund ist ein Verfahren vor dem Verwaltungsgericht. Darin will die Klägerin nach Angaben des Gerichts Eintragungen bei der Schufa löschen lassen, die ihrer Auffassung nach falsch sind, und Auskunft über die dort gespeicherten Daten haben. Die Klägerin hatte sich diesbezüglich demnach an den hessischen Beauftragten für Datenschutz gewandt, dieser argumentierte jedoch, dass die Schufa bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz geregelten Anforderungen “in der Regel genüge” und im vorliegenden Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.
Das Verwaltungsgericht Wiesbaden möchte nun zum einen vom Europäischen Gerichtshof geklärt wissen, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte zu erstellen und diese “ohne weitergehende Empfehlung oder Bemerkung an Dritte” wie beispielsweise Banken zu übermitteln, unter Artikel 22 der DSGVO fällt. Dieser besagt, dass Betroffene nicht Entscheidungen unterworfen werden dürfen, die “ausschließlich auf einer automatisierten Verarbeitung” beruhen; vorgesehen sind aber auch Ausnahmen davon, etwa bei “ausdrücklicher Einwilligung”.
Falls das Erstellen von Score-Werten unter den entsprechenden DSGVO-Artikel falle, sei “diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst”, führte das Verwaltungsgericht weiter aus.
Zu Begründung erläuterte das Wiesbadener Gericht, dass das Erstellen von Score-Werten nicht lediglich die Entscheidung etwa einer Bank vorbereite, sondern gerade eine selbstständige “Entscheidung” im Sinne des entsprechenden DSGVO-Artikels sei. Hierfür gebe es “gewichtige Anhaltspunkte”. Zwar könnten jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung “über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen”, diese Entscheidung werde “praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt”.
Ein nicht ausreichender Score-Wert werde im Bereich der Verbraucherdarlehen in fast jedem Fall “zur Versagung eines Kredits führen”, vor den Gefahren “dieser rein auf Automation gründenden Entscheidungsform” solle die DSGVO aber gerade schützen, erklärte das Verwaltungsgericht. Falls der EuGH die erste Frage verneine, solle der Europäische Gerichtshof zudem prüfen, ob die DSGVO Regelungen des Bundesdatenschutzgesetzes zu Scoring und Bonitätsauskünften entgegenstehe.
Die Schufa versorgt als private Wirtschaftsauskunftei Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck auf der Grundlage mathematisch-statistischer Verfahren die Score-Werte. Diese sollen dann die Wahrscheinlichkeit beispielsweise eines künftigen Kreditausfalls widerspiegeln. Die genaue Berechnungsmethode legt die Schufa aber nicht offen und beruft sich hierbei auf das Geschäftsgeheimnis. Der Bundesgerichtshof (BGH) hatte dies im Jahr 2014 für zulässig befunden.
Quelle: AFP