Das Schufa-Urteil des EuGH führt dazu, dass mehr Dienste als bisher dem Verbot automatisierter Verarbeitungen nach Art. 22 DSGVO unterfallen dürften.
Zahlreiche Unternehmen fragen vor einem Vertragsschluss mit Neukunden* deren Schufa-Score ab – teilweise, um über die Konditionen des Vertrages zu entscheiden, teilweise aber auch, um zu entscheiden, ob überhaupt ein Vertrag geschlossen werden soll oder nicht. Beim Schufa-Score handelt es sich um einen von der Kreditauskunftei Schufa gebildeten Wahrscheinlichkeitswert, der durch Zuordnung einer Person zu einer Gruppe von Personen mit ähnlichen Merkmalen gebildet wird und eine Aussage über die Wahrscheinlichkeit der Erfüllung zukünftiger Zahlungsverpflichtungen trifft. Vergleichbare Dienste werden auch von anderen Unternehmen angeboten.
Wenn die Entscheidung über den Vertragsschluss allerdings maßgeblich auf einem solchen automatisiert erstellen Score beruht, ist bereits die Ermittlung desselben – ohne das Vorliegen weiterer Rechtfertigungstatbestände – verboten. So sieht es jedenfalls der Europäische Gerichtshof (EuGH) in seiner Entscheidung vom 7. Dezember 2023 (Rechtssache C‑634/21).
Grundsätzliches Verbot automatisierter Entscheidungen
Art. 22 Abs. 1 der Europäischen Datenschutz-Grundverordnung (DSGVO) legt fest, dass die betroffene Person, d.h. derjenige, dessen personenbezogenen Daten verarbeitet werden, das Recht hat,
nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Die Schufa hatte in dem zugrundeliegenden Verfahren argumentiert, dass Art. 22 DSGVO keine Anwendung auf sie finde, weil sie keine Entscheidung treffe, sondern lediglich automatisiert den Score ermittele und diesen ihren Kunden zur Verfügung stelle. Die Entscheidung würde dann erst im Nachgang von ihren Kunden getroffen.
Dass der EuGH dies anders sah, mag angesichts des Wortlauts zunächst verwundern, ist allerdings insoweit einleuchtend, als Art. 22 DSGVO ansonsten nur denjenigen Verantwortlichen betreffen würde, der unmittelbar selbst eine automatisierte Entscheidung trifft, nicht aber denjenigen, der eine Entscheidung auf Grundlage einer von einem Dritten automatisiert erstellen Bewertung trifft. Würde man dies annehmen, wären die besonderen Anforderungen des Art. 22 DSGVO, die den Schutz der Betroffenen bezwecken, einfach zu umgehen. Erforderlich ist allerdings, dass die nachfolgende Entscheidung „maßgeblich“ auf Grundlage der zuvor automatisiert erstellen Bewertung beruht; denn nur in diesem Fall ist davon auszugehen, dass der Score die nachfolgende Entscheidung gleichsam vorwegnimmt.
Die Folge der Anwendbarkeit von Art. 22 DSGVO ist, dass solche Entscheidungen nicht erfolgen dürfen, wenn sie nicht für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, mit der ausdrücklichen Einwilligung der betroffenen Person erfolgen oder von Rechtsvorschriften der Union oder Mitgliedsstaaten erlaubt werden.
Weniger weitreichende Folgen als zunächst angenommen
Das zunächst als Reaktion auf das Urteil von einigen heraufbeschworene Ende des Bonitätsscorings oder sogar der Schufa selbst scheint jedoch überzogen. Die Schufa geht davon aus, dass die meisten ihrer Kunden ihre Entscheidungen schon nicht „maßgeblich“ auf den Schufa-Score stützen; Art. 22 DSGVO wäre in diesen Fällen bereits nicht anwendbar.
Diesbezüglich bleibt abzuwarten, wie die nationalen Gerichte den – nicht definierten – Begriff der „Maßgeblichkeit“ auslegen. Der EuGH äußert sich hierzu nicht, verweist aber auf die Ausführungen des vorlegenden Gerichts, nach denen ein unzureichender Score-Wert in nahezu allen Fällen dazu führt, dass Banken die Gewährung eines von einem Verbraucher beantragten Kredits ablehnen. Sollten die nationalen Gerichte in ihrer Auslegung diesen Überlegungen folgen, wäre eine Maßgeblichkeit wohl jedenfalls dann anzunehmen, wenn bei Vorliegen bestimmter, negativer Bewertungen eine Entscheidung praktisch durchweg ebenfalls negativ ausfallen würde, ohne dass andere – positive – Gesichtspunkte dies noch entscheidend beeinflussen könnten.
Da zwischen der Schufa selbst und den betroffenen Personen, also den (potenziellen) Kunden ihrer Kunden, kein Vertragsverhältnis vorliegt, welches das Scoring rechtfertigen könnte, bliebe im Falle des Vorliegens der geforderten Maßgeblichkeit nur das Einholen einer Einwilligung der Betroffenen –was mangels direkter Beziehung zwischen Schufa und den Betroffenen wiederum nur durch die Kunden der Schufa möglich wäre – oder die Berufung auf die nationale Rechtsgrundlage des § 31 Bundesdatenschutzgesetz (BDSG). Dieser enthält spezielle Regelungen für Scoring, an seiner Vereinbarkeit mit der DSGVO wurde jedoch vom vorlegenden Gericht und dem Generalanwalt Zweifel angemeldet. Einer möglichen Erklärung der Europarechtswidrigkeit der Regelung will der Bundesgesetzgeber nun zuvorgekommen, indem er im Rahmen der neuen BDSG-Novelle auch eine neue Regelung für Scoring vorgeschlagen hat.
Bedeutung für Anbieter von KI-Systemen
Neben der Schufa selbst oder anderen Kreditauskunfteien hat das Urteil potenziell auch Einfluss auf andere Unternehmen, die Bewertungen durchführen und die Ergebnisse Dritten zur Verfügung stellen. Insbesondere Anbieter Künstlicher Intelligenz (KI) dürften häufig unter die neue Auslegung des Art. 22 DSGVO fallen.
Beispielhaft sei hier die Vorsortierung von Bewerbungen durch KI-Systeme oder die Nutzung automatisierter Plagiatssoftware genannt. Auch in diesen Fällen wird häufig davon auszugehen sein, dass im Falle einer negativen Bewertung wie dem Nichtvorhandenseins bestimmter, geforderter Qualifikationen oder des Vorliegens von Anzeichen für ein Plagiat eine Entscheidung zulasten des Betroffenen ausfallen dürfte, ohne dass andere Gesichtspunkte diese Entscheidung regelmäßig noch wesentlich beeinflussen dürften.
Praktisches Vorgehen und neue Regelung zum Scoring im BDSG
All diese Anbieter sollten zunächst überprüfen, ob Entscheidungen ihrer Kunden voraussichtlich „maßgeblich“ auf der Bewertung beruhen, die von den durch sie eingesetzten Systemen erstellen werden. Wenn dies möglicherweise der Fall ist, muss in einem nächsten Schritt geprüft werden, ob vertragliche Regelungen mit den Kunden ggf. Abhilfe schaffen können – beispielsweise durch die Verpflichtung, auch andere Gesichtspunkte in die Entscheidung einzubeziehen oder aber durch die Verpflichtung, die Einwilligung der Betroffenen einzuholen.
Daneben können Unternehmen sowie Verbraucher hoffen, dass die Neuregelung des Scoring durch den Bundesgesetzgeber für mehr Rechtssicherheit sorgt. Für Unternehmen lägen die Vorteile einer solchen Regelung auf der Hand – sie könnten, wenn auch im Rahmen der gesetzlichen Voraussetzungen, weiterhin ihre (KI-gestützten) Bewertungen durchführen und Kunden zur Verfügung stellen. Aber auch Verbraucher würden hiervon profitieren, weil die durch erhöhte Dokumentationspflichten oder den Abschluss neuer Verträge verursachten Kosten der Umsetzung der neuen EuGH-Rechtsprechung ansonsten möglicherweise an Verbraucher weitergegeben werden.
Bleiben Sie mit unserem Blog und unserem Newsletter zu datenschutzrechtlichen Themen auf dem Laufenden.
This article is also available in English.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.