EuGH: Maschinen dürfen nicht über Menschen richten – auch nicht indirekt bei der Schufa

Der Europäische Gerichtshof hat Anfang Dezember 2023 ein lang erwartetes Datenschutz-Urteil zur Schufa gefällt: Nach Artikel 22 der DSGVO darf man nicht ohne Eingreifen eines Menschen einer automatisiert getroffenen Entscheidung unterworfen werden, die rechtliche Wirkung entfaltet oder einen in ähnlicher Weise erheblich beeinträchtigt. Dies zielt auf automatisiertes Profiling ab und soll vor Diskriminierung und ungerechten Auswirkungen von automatisierten Entscheidungsfindungen schützen. Und dies gilt auch für die Schufa bzw. deren Kunden wie Banken und Mobilfunkunternehmen, die sich maßgeblich auf den Schufa-Score stützen.

Im konkreten Fall war einer Frau ein Kredit aufgrund ihres schlechten Schufa-Scores verwehrt worden. Auf ihre Anfrage nach Art. 15 DSGVO bei der Schufa, verbunden mit der Bitte, fehlerhafte Eintragungen zu löschen und ihr Zugang zu den Berechnungsdaten zu gewähren, bekam sie von dort nur ihren Score-Wert und allgemeine Hinweise zu dessen Berechnung, nicht aber wie genau der schlechte Wert nun zustande gekommen war. Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Berechnung ist laut Schufa ein Geschäftsgeheimnis, über welches man keine Auskunft geben müsse. In diesem Punkt hatte der Bundesgerichtshof im Jahr 2014 der Schufa auch recht gegeben.

Daraufhin beschwerte sich die Frau beim Hessischen Datenschutzbeauftragten, jedoch erfolglos. Auf dessen abschlägigen Bescheid hin verklagte sie das Land Hessen vor dem Verwaltungsgericht Wiesbaden, wo die Schufa ihren Sitz hat. Im Verfahren war die Schufa daher Beigeladene. Auch das Gericht war skeptisch, ob die Geschäftspraxis der Schufa mit EU-Datenschutzstandards vereinbar ist und legte das Verfahren dem EuGH vor. Denn den individuellen Score berechnet diese anhand der von ihr gespeicherten Daten vollständig automatisiert. Laut Schufa würde zwar letztendlich das anfragende Unternehmen die Entscheidung treffen, ob es einen Vertrag mit der betroffenen Person eingehen wolle – auch wenn die Schufa selbst es eher so bewirbt, dass man sich nur auf sie verlassen soll.

Die Schlussanträge des EuGH-Generalanwalts, denen die Richter meist folgen, waren bereits seit Mai 2023 bekannt – und so bat die Schufa im Sommer ihre Geschäftskunden, schriftlich zu bestätigen, dass der Score eine „Vertragsentscheidung nicht bereits vorwegnimmt“, „kein k.o.-Kriterium für die Begründung eines Vertragsverhältnisses“ sei und „nicht zu einer automatischen Ablehnung eines Vertragsabschlusses“ führe. Zumindest einige reagierten irritiert – gerade bei Neukunden kann sich ein Unternehmen nur auf die Einschätzung der Schufa verlassen. Denn die Schufa („Schutzgemeinschaft für allgemeine Kreditsicherung“) verfügt über einen Datenpool mit über 943 Millionen Einzeldaten zu 67,9 Millionen natürlichen Personen und zu 6 Millionen Unternehmen in Deutschland. Sie gehört mehrheitlich den Sparkassen und Volksbanken. Ihre 900 Mitarbeiter beantworten jeden Tag mehr als 300.000 Anfragen von Unternehmen – mehr als 40 pro Mitarbeiter pro Stunde. Das geht wohl nicht ohne Automatisierung.

Deshalb hatte EuGH-Anwalt Priit Pikamäe den Schufa-Score auch als unzulässiges „Profiling“ eingestuft, empfahl aber, auf den jeweiligen Einzelfall abzustellen: Je nachdem wie sehr die Bewertung des anfragenden Unternehmens vom Schufa-Score abhänge, umso eher läge eine automatisierte Entscheidung vor. Wenn dieses keinen eigenen Handlungsspielraum habe, sondern ein schlechter Score automatisch zu einer Ablehnung des Vertrags führe, dann sei das automatisierte Verfahren Teil der von der DSGVO geregelten „automatisierten Entscheidungsfindung“. Betroffene sollen nach dessen Ansicht die Möglichkeit haben, sowohl ihr Auskunftsrecht zur Überprüfung der Daten als auch Berichtigungs- und Löschansprüche direkt gegenüber der Schufa geltend zu machen. Und die Schufa sollte verpflichtet werden, unter Wahrung ihrer Geschäftsgeheimnisse, leicht verständliche und hinreichend detaillierte Erläuterungen für die Berechnung des Score-Wertes bereitzustellen und auch die Gründe zu nennen, die zu einem bestimmten Ergebnis geführt haben.

Die vom Auskunftsrecht nach Artikel 15 DSGVO umfassten Informationen sollen auch die berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene beinhalten, denn die Bank, die die finale Entscheidung trifft, kann mangels Einsicht in das mathematisch-statistische Verfahren der Schufa diese Auskunft ja auch nicht erteilen. Und nur mit ausreichend detaillierten Informationen lässt sich eine automatisierte Entscheidung nachvollziehen und ihr widersprechen.

Der EuGH folgte den Schlussanträgen wie erwartet, machte aber auch klar, dass Ausnahmen von Artikel 15 DSGVO möglich sein können, z.B. wenn der nationale Gesetzgeber eine solche Ausnahmevorschrift erlässt. In Deutschland gibt es eine solche im Bundesdatenschutzgesetz. Gleichzeitig halten sie es aber für sehr gut möglich, dass das deutsche Gesetz hier gegen europäisches Recht verstößt, weil es die Menschen nicht genug schützt. Die endgültige Entscheidung im konkreten Fall muss wieder das Verwaltungsgericht Wiesbaden treffen, und von dort könnte es dann hoch bis zum Bundesverwaltungsgericht gehen. Bis zur abschließenden Klärung durch deutsche Gerichte können weitere Jahre vergehen – und so lange darf die Schufa weiter die Zahlungsfähigkeit von Kunden bewerten wie bisher.

Da die Schufa seit einer Weile aber oft bereits proaktiv in vorauseilendem Gehorsam aktiv wird, ist eher damit zu rechnen, dass es für viele Verbraucher tatsächlich komplizierter wird. Denn die Schufa wird über kurz oder lang sicherstellen müssen, dass ihre Kunden auch andere Daten nutzen, um die Kreditwürdigkeit eines Verbrauchers zu beurteilen. Dieser „freiwillig bereitgestellte“ Daten-Mix dürfte vielen schon von der Wohnungssuche bekannt sein – viele Vermieter fordern, dass man eine (selbst eingeholte, kostenpflichtige) Schufa-Auskunft, mitunter auch Arbeitsvertrag, Lohnabrechnungen, eine Bescheinigung vom vorherigen Vermieter und Kontoauszüge vorlegt und eine Selbstauskunft ausfüllt.

Praktischerweise hat die Schufa Mitte 2023 die App „Bonify“ aufgekauft (die dann prompt gehackt wurde) – dort soll der Schufa-Score durchgehend kostenlos angezeigt werden, nachdem man sich mit dem Personalausweis oder dem Bankkonto (!) registriert hat. Auf dem Bankkonto kann man dann auch 90 Tage lang seine Finanzdaten analysieren lassen: das Ausgabeverhalten, die Ersparnisse und das Gehalt, alles wird mit Optimierungsvorschlägen versehen. Verbraucherschützer sorgen sich, dass die Schufa künftig „Bonify“-Kunden dazu bringen könnte, ihre Bankdaten auch gegenüber der Schufa offenzulegen.

Laut Schufa sollen die Daten der beiden Unternehmen allerdings nicht automatisch ausgetauscht werden – obwohl „Bonify“ den Schufa-Basis-Score ja direkt von der Schufa erhalten muss. Und obendrein wirbt „Bonify“ damit, Kredite auch an Kunden zu vermitteln, deren Schufa-Score so niedrig ist, dass sie eigentlich keinen Kredit bekommen würden. Die Nutzung der App soll zudem den eigenen Score verbessern. Verbraucherschützer fürchten, dass Menschen mit einem niedrigen Score nur Kredite mit hohen Zinsen angezeigt werden könnten – so droht eine Endlos-Schuldenfalle. Und andererseits kann der wichtige Score durch freiwillige Bereitstellung weiterer Daten aufgewertet werden. Ein Schelm, wer Böses dabei denkt.

Zurück zu den Folgen des EuGH-Urteils: Auch überall, wo im Internet im Hintergrund während eines Bestellvorgangs Schufa-Daten abgefragt werden, könnte die Portale deutlich mehr Daten verlangen, um sich ein Bild von der Zahlungskraft des neuen Kunden zu machen. So wird das Ganze zwar transparenter, aber auch deutlich unkomfortabler. Besser könnte es werden für Menschen mit einem schlechten Score, egal ob gerechtfertigt oder nicht. Diese wurden durch die Automatisierung aus manchen Bereichen des Lebens und der Vertragswelt regelrecht ausgeschlossen und haben so theoretisch eine bessere Chance auf Teilhabe. Und sie können bei der Schufa anfragen, auf welchen Daten ihre Bonitätseinschätzung basiert. Und auch Unternehmen können und müssen ihre Entscheidung erklären, da sie ihre Entscheidungen ja nicht mehr einfach auf die Schufa schieben können.

Der EuGH verband die Klage mit einer weiteren, wo es um die Speicherfrist der sogenannten Restschuldbefreiung ging: Diese bekommt man, wenn man nach einer Privatinsolvenz innerhalb eines bestimmten Zeitraums einen Teil seiner Schulden zurückgezahlt hat. Insolvenzgerichte machen diese Informationen im Internet öffentlich, löschen sie aber nach einem halben Jahr schon wieder. Die Schufa hat diese Einträge bisher bis zu drei Jahre lang gespeichert – was dem Ziel der Restschuldbefreiung zuwiderläuft, dass die Betroffenen wieder regulär am Wirtschaftsleben teilnehmen können. Denn mit einem niedrigem Schufa-Score stehen die Chancen schlecht, eine Mietwohnung zu bekommen, einen Kredit, einen Handyvertrag oder sogar das Deutschland-Ticket.

Ende März 2023 gab die Schufa plötzlich bekannt, dass sie nun die Daten zur Restschuldbefreiung von 250.000 Verbrauchern gelöscht habe. Offiziell, um schneller Klarheit für Verbraucher zu schaffen – inoffiziell handelte es sich wohl eher um vorauseilenden Gehorsam, da man wohl einsah, die lange Speicherfrist nicht vor Gericht rechtfertigen zu können. Erwartungsgemäß hat der EuGH der Schufa nun auch untersagt, die Daten länger als das Insolvenzregister zu speichern, da die Interessen der betroffenen Person gegenüber denjenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen. Der EuGH hat darüber hinaus aber ausdrücklich offengelassen, ob auch schon die parallele Speicherung während der sechs Monate eventuell unzulässig ist. Auch darüber muss das Verwaltungsgericht Wiesbaden unter Berücksichtigung der EuGH-Entscheidung final urteilen.