Schufa-Scoring als grundsätzlich verbotene automatisierte Entscheidung
Nach Auffassung des EuGH steht die DSGVO zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen.
In dem ersten Vorabentscheidungsersuchen des Verwaltungsgericht Wiesbaden ging es um die Frage, ob die Bonitätseinstufungen der Schufa als grundsätzlich unzulässige automatisierte Einzelfallentscheidungen (Art. 22 DSGVO) anzusehen sind. Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Der EuGH erkannte mit Urteil vom 07.12.2023 (Rs. C-634/21, Schufa Holding, ZIP 2023, S. 2687) einen Verstoß gegen die DSGVO, wenn das von der Schufa vorgenommene Scoring eine maßgebliche Rolle bei der Entscheidung über einen Vertragsschluss, im konkreten Fall der Kreditvergabe, spielt. Das vorlegende Gericht müsse nun prüfen, ob das deutsche Bundesdatenschutzgesetz eine gültige Ausnahme im Einklang mit der DSGVO enthalte und die allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt seien.
Die zweite Vorlagefrage betraf die Speicherung von Informationen zur Restschuldbefreiung nach einer Privatinsolvenz. Während Insolvenzgerichte öffentliche Informationen bereits nach sechs Monaten löschen, hielt die Schufa die Daten bisher bis zu drei Jahre vor. Laut EuGH (Urteil vom 07.12.2023, Rs. C-26/22 und C-64/22, ZIP 2023, S. 2680) speicherte die Schufa diese Daten zu lange. Der Restschuldbefreiung komme eine „existenzielle Bedeutung" zu. Bei Bonitätsprüfungen gingen entsprechende Informationen regelmäßig zu Lasten der betroffenen Personen. Eine Speicherung über den Zeitraum hinaus, in dem die Informationen im öffentlichen Insolvenzregister vorgehalten werden, stehe im Widerspruch zur DSGVO.