Hinweis: Die Urteile wurde nicht von noyb erwirkt.
EuGH weist Kreditauskunftei SCHUFA in die Schranken
Der Europäische Gerichtshof (EuGH) hat heute zwei wegweisende Urteile in Verfahren gegen die deutsche Wirtschaftsauskunftei SCHUFA gefällt. Diese hat in Deutschland bisher große Freiheiten genossen. Das Unternehmen muss aus dem Insolvenzregister erhobene Daten künftig deutlich früher löschen. Der EuGH bestätigt zusätzlich, dass nationale Gerichte umfassende Möglichkeiten zur Kontrolle der Datenschutzbehörden haben und stärkt damit die Rechte der Betroffenen.
- Stellungnahme des Rechtsanwalts, der einen Kläger gegen die SCHUFA vertreten hat
- Presseupdates des EuGH
Hintergrund: Datenlöschung und automatisierter Kreditscore. Ausgangspunkt für die nun entschiedenen EuGH-Verfahren waren zwei Beschwerden gegen die SCHUFA vor der hessischen Datenschutzbehörde (HBDI).
Im ersten Fall (C-634/21) ging es um die Frage, ob die SCHUFA überhaupt automatisch Kreditscores ausstellen darf – oder ob diese eine in der DSGVO weitgehend verbotene “automatisierte Entscheidung im Einzelfall” darstellt.
Im zweiten Fall (Verbundene Rechtssachen C-26/22 und C-64/22) hatte der Betroffene die Löschung von Insolvenzdaten aus der Datenbank der SCHUFA verlangt, nachdem diese bereits aus dem öffentlichen Insolvenzregister gelöscht wurde.
Das Urteil im Fall C-634/21 (Link)
Verheerende Folgen für das Auskunfteigeschäft. Mit seinem Urteil im Fall C-634/21 bringt der EuGH das gesamte Geschäftsmodell der SCHUFA (und anderer Auskunfteien) ins Wanken: Die vollautomatisierte Berechnung der vermeintlichen Kreditwürdigkeit anhand undurchsichtiger Algorithmen fällt unter den besonderen Schutz des Artikel 22 DSGVO. Diese Bestimmung verbietet mit wenigen Ausnahmen die Verwendung personenbezogener Daten für vollautomatische Entscheidungen, die eine “erhebliche Beeinträchtigung” für betroffene Personen nach sich ziehen. Mit anderen Worten: Entscheidungen von einer gewissen Tragweite sollen nicht allein von Algorithmen getroffen werden.
Automatisiertes Kreditscoring verboten. Die Auskunfteienbranche hat bisher vehement den Standpunkt vertreten, dass auch ein grottenschlechter Score, mit dem einer betroffenen Person eine Vielzahl an Vertragsabschlüssen (wie Kredite, Versicherungen, Miete oder Stromlieferverträge) sicherlich verwehrt bleiben, keine “negative Entscheidung” sei. Die finale Entscheidung treffe nach der Ansicht der Auskunfteien das jeweilige Unternehmen. Die Verantwortlichkeit wurde zwischen Auskunfteien und Unternehmen hin und her geschoben Der EuGH sieht das anders und hat nun entschieden, dass häufig bereits die Zuschreibung der Bonität eine Entscheidung nach Artikel 22 DSGVO darstellt. Damit ist das automatisierte Kreditscoring in der jetzigen Form verboten; und zwar für Auskunfteien im ganzen EU-Raum. Will die SCHUFA künftig die Kreditwürdigkeit von Menschen berechnen, braucht sie deren ausdrückliche Einwilligung. Darüber hinaus muss es betroffenen Personen künftig möglich sein, einen Kreditscore anzufechten.
Marco Blocher, Datenschutzjurist bei noyb: “Bürgern einfach irgendwelche Kreditscores zu geben und dann automatisch Verträge zu verweigern ist mit dem EuGH-Urteil in der gesamten EU Geschichte.”
Das Urteil im verbundenen Fall C-26/22 und C-64/22 (Link)
Datensammlung zusammengestutzt. Um die Kreditwürdigkeit von Menschen zu berechnen, sammeln Auskunfteien kontinuierlich persönliche Daten. Obwohl seit 2016 europaweit die DSGVO gilt, wurde vor allem in Deutschland weiter nationalen Traditionen gefolgt und das Datenschutzgesetz ignoriert. Die SCHUFA durchsucht so etwa automatisiert das deutsche Insolvenzregister. Dort müssen Einträge gemäß den Gesetzen aber binnen sechs Monaten gelöscht werden, wenn ein Insolvenzverfahren beendet wurde.
Finanzieller “Neustart” von SCHUFA verunmöglicht. Die Löschung der Insolvenzdaten soll Betroffenen den wirtschaftlichen Neustart ermöglichen. Zumindest theoretisch. Denn die SCHUFA und andere Auskunfteien haben diese Daten bisher für bis zu drei Jahre, und damit über die gesetzliche Löschfrist hinaus, gespeichert. Das kann Betroffenen finanzielle Probleme bescheren. Die Auskunfteien stufen Betroffene aufgrund der überstandenen Insolvenz regelmäßig als kreditunwürdig ein.
Weitreichende Auswirkungen auf “Negativdaten”. Der EuGH hat nun entschieden, dass die SCHUFA aus dem Insolvenzregister abgegriffene Daten (ebenso wie der Staat) nach sechs Monaten löschen muss. Sogenannte “Negativdaten” wie Insolvenzen müssen damit deutlich schneller gelöscht werden und dürfen den SCHUFA-Score nicht mehr beeinflussen.
Raphael Rohrmoser, Anwalt des Klägers in diesem Verfahren: "Der Europäische Gerichtshof hat die Rechte der betroffenen Personen massiv gestärkt, da eine Speicherung von Daten aus öffentlichen Registern nicht länger als im Register selbst erlaubt ist."
Folgen für andere “Negativdaten”. Die Auswirkungen des Urteils werden sich allerdings nicht auf Insolvenzdaten beschränken: Auskunfteien müssen nun auch überprüfen, ob sie andere “Negativdaten” – zum Beispiel unbezahlte Rechnungen – deutlich früher löschen müssen. Wenn sogar überstandene Insolvenzen nach sechs Monaten zu löschen sind, stellt sich die Frage, ob minimale finanzielle Versäumnisse viel länger gespeichert werden dürfen.
Marco Blocher: “Das Urteil ist auch richtungsweisend für andere negative Informationen, die oft trotz minimalen Zahlungsverzug lange gespeichert werden.”
Betroffenenrechte gestärkt. Der EuGH stärkt auch die Rechte von Betroffenen gegenüber Datenschutzbehörden. Die Gerichte können deren Arbeit (oder Untätigkeit) vollständig überprüfen. Das ist vor allem in Ländern mit untätigen Behörden sehr relevant.
Raphael Rohrmoser, Anwalt des Klägers in diesem Verfahren: "Es ist nicht zu unterschätzen, dass Betroffene jetzt regelmäßig gegen behördliche Entscheidungen vorgehen können. Dies wird die Durchsetzung der DSGVO-Rechte mit Sicherheit stärken."