Opmerking: De arresten houden geen verband met noyb-zaken
Belangrijke uitspraken HvJEU over "kredietrangschikking" en herziening van DPA's
Het Europese Hof van Justitie (HvJEU) heeft vandaag twee richtinggevende uitspraken gedaan in een procedure tegen het Duitse kredietinformatiebureau SCHUFA, dat voorheen aanzienlijke vrijheid genoot in Duitsland. Het HvJEU bevestigde dat nationale rechtbanken uitgebreide bevoegdheden hebben om gegevensbeschermingsautoriteiten te controleren, waardoor de rechten van betrokkenen worden versterkt. Bovendien oordeelde de rechtbank dat het toekennen van automatisch berekende kredietscores niet in overeenstemming is met de GDPR.
- Verklaring van de advocaat die een van de eisers tegen SCHUFA vertegenwoordigde
- Persbericht van het HvJEU
Wat is er aan de hand met credit rankings? Bedrijven zoals SCHUFA zijn zogenaamde kredietreferentiebureaus. Ze verzamelen enorme hoeveelheden persoonlijke gegevens om mensen een vermeende kredietwaardigheid toe te kennen. Deze score wordt door banken en bedrijven gebruikt om te beoordelen of iemand een lening of mobieletelefooncontract moet krijgen.
Achtergrond: Verwijdering van gegevens en geautomatiseerde kredietscores. Uitgangspunt voor de nu besloten HJEU-procedure waren twee klachten tegen SCHUFA bij de Hessische autoriteit voor gegevensbescherming (HBDI). In de ene zaak (gevoegde zaken C-26/22 en C-64/22) had de betrokkene verzocht om verwijdering van insolventiegegevens uit de SCHUFA-database, nadat deze al waren verwijderd uit het openbare insolventieregister, waar ze door SCHUFA uit waren gehaald en verder waren opgeslagen. Het HBDI verwierp niet alleen de zaak, maar voerde zelfs aan dat de bevoegde rechtbank haar beslissing niet ten gronde kan toetsen. De tweede zaak (C-634/21) ging over de vraag of SCHUFA überhaupt automatisch kredietscores mag afgeven - of dat dit een "geautomatiseerd besluit in individuele gevallen" is, wat grotendeels verboden is door de GDPR.
Het arrest in de gevoegde zaken C-26/22 en C-64/22(Link)
Volledige rechterlijke toetsing van gegevensbeschermingsautoriteiten. De uitspraak van het HvJEU heeft de druk op gegevensbeschermingsautoriteiten enorm verhoogd. In sommige EU-lidstaten, waaronder Duitsland, zijn ze er tot nu toe van uitgegaan dat een GDPR-klacht van betrokkenen slechts een soort "verzoekschrift" is. In de praktijk heeft dit ertoe geleid dat de Duitse gegevensbeschermingsautoriteiten, ondanks een jaarlijks budget van 100 miljoen euro, veel klachten met bizarre motiveringen hebben afgewezen en dat GDPR-overtredingen niet zijn vervolgd. In landen als Ierland werd meer dan 99% van de klachten niet behandeld en in Frankrijk werd elk recht van de betrokkenen om deel te nemen aan de procedure over hun eigen rechten ontzegd. Sommige gegevensbeschermingsautoriteiten, zoals de Hessische autoriteit in het onderhavige geval, hebben ook aangevoerd dat de rechter hun beslissingen niet in detail mag toetsen.
Meer rechten voor betrokkenen. Het HvJEU heeft nu een einde gemaakt aan deze aanpak. Het heeft geoordeeld dat artikel 77 van de GDPR is ontworpen als een mechanisme om de rechten en belangen van betrokkenen effectief te waarborgen. Daarnaast heeft het Hof bepaald dat artikel 78 van de GDPR nationale rechtbanken toestaat om besluiten van de gegevensbeschermingsautoriteiten volledig te toetsen. Dit omvat de beoordeling of de autoriteiten binnen de grenzen van hun discretionaire bevoegdheid hebben gehandeld.
Raphael Rohrmoser, advocaat voor de eiser in deze zaak: "Het Europees Hof van Justitie heeft de rechten van de betrokkenen massaal versterkt. Het opslaan van gegevens uit openbare registers is niet langer toegestaan dan in het register zelf."
Het arrest in zaak C-634/21(Link)
Kredietbeoordelingssector op wankele grond. Maar dat is nog niet alles. Met het arrest in zaak C-634/21 zet het HvJEU het hele bedrijfsmodel van SCHUFA (en andere kredietbureaus) op zijn kop: de volledig geautomatiseerde berekening van veronderstelde kredietwaardigheid met behulp van ondoorzichtige algoritmen valt onder de bijzondere bescherming van artikel 22 GDPR. Deze bepaling verbiedt het gebruik van persoonsgegevens voor volledig geautomatiseerde beslissingen die "aanzienlijke nadelige gevolgen" hebben voor de betrokkenen. Met andere woorden, beslissingen van een bepaalde omvang mogen niet alleen door algoritmes worden genomen.
Marco Blocher: "Burgers simpelweg een onbegrijpelijke kredietscore toekennen en vervolgens automatisch contracten weigeren behoort dankzij de uitspraak van het HvJEU tot het verleden."
Een verbod op geautomatiseerde kredietscores. De sector van de kredietagentschappen heeft tot nu toe geargumenteerd dat zelfs een vreselijke kredietscore, die iemand zeker zou verhinderen om een groot aantal contracten af te sluiten (zoals leningen, verzekeringen, huur- of elektriciteitsleveringscontracten), geen "negatieve beslissing" is. Volgens hen wordt de uiteindelijke beslissing genomen door het bedrijf dat de score gebruikt. Het HvJEU is een andere mening toegedaan en heeft nu geoordeeld dat het toekennen van kredietwaardigheid al een beslissing kan zijn onder artikel 22 GDPR. Dit betekent dat geautomatiseerde kredietscores in hun huidige vorm verboden zijn voor kredietbureaus in de hele EU. Als SCHUFA in de toekomst de kredietwaardigheid van mensen wil berekenen, heeft het hun uitdrukkelijke toestemming nodig. Daarnaast moet het voor betrokkenen mogelijk zijn om een kredietscore aan te vechten.
Raphael Rohrmoser, advocaat voor de eiser in deze zaak: "Het mag niet worden onderschat dat de betrokkenen nu regelmatig juridische stappen kunnen ondernemen tegen officiële beslissingen. Dit zal de handhaving van GDPR-rechten zeker versterken."