Am 07.12.2023 hat der EuGH in der Rechtssache C-634/21 – SCHUFA Holding (Scoring) entschieden, dass schon die Ermittlung des SCHUFA-Scores und seine Weitergabe durch die SCHUFA an Dritte eine automatisierte Einzelfallentscheidung nach Art. 22 Abs. 1 DSGVO darstellt, wenn der Score letztlich über die Vergabe eines Kredits an den Dritten entscheidend ist. Damit interpretiert der EuGH den Begriff der automatisierten Einzelfallenscheidung sehr weit und weicht insbesondere das Erfordernis der „Ausschließlichkeit“ auf.

Worum geht es?

Nach Art. 22 Abs. 1 DSGVO hat eine von einer Datenverarbeitung betroffene Person „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Bereits vor dem Urteil des EuGH war weitgehend anerkannt, dass der von der SCHUFA zu einer Person ermittelte Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen eine automatisierte Verarbeitung darstellt.

Der EuGH hat nun zu der Frage, wann eine automatisierte Einzelfalle Entscheidung vorliegt, Position bezogen:

• Die automatisierte Entscheidung i.S.d. Art. 22 Abs. 1 DSGVO kann auch schon in der Ermittlung des SCHUFA-Score („Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts“) durch die SCHUFA liegen, nicht nur in der späteren Ablehnung des Kreditantrages durch die Bank. Für die Annahme einer automatisierten Einzelfallentscheidung bereits durch die SCHUFA genügt es, wenn die spätere Entscheidung der Bank „maßgeblich“ von dem SCHUFA-Score abhängt. Es bedürfe einer „Gesamtbetrachtung“ der Handlungen der Bank und der SCHUFA. Im Rahmen dieser treffe auch die SCHUFA selbst bereits eine automatisierte Einzelfallentscheidung, obwohl das Rechtsverhältnis, in dem sich die rechtliche Wirkung bzw. ähnliche Beeinträchtigung ergibt, zwischen dem Betroffenen und der Bank besteht. Das wurde bisher verbreitet anders gesehen.

• Im Hinblick auf die Voraussetzungen des „Beruhens“ auf der automatisierten Verarbeitung bzw. der „erheblichen Beeinträchtigung“ ähnlich einer rechtlichen Wirkung gegenüber dem Betroffenen lässt es der EuGH genügen, dass ein niedriger SCHUFA-Score „in nahezu allen Fällen“ dazu führe, dass die Bank eine Kreditvergabe ablehne. Es genüge letztlich, dass der SCHUFA-Score eine „maßgebliche“ Rolle bei der Entscheidung der Bank spiele – diese Entscheidung muss aber wohl nicht in allen Fällen allein nach diesem getroffen werden. Damit wird das eigentlich recht klare Kriterium „ausschließlich“ durch ein schwammiges „maßgeblich“ ersetzt. Damit wird das Urteil in vielen Praxiskonstellationen, bei denen Art. 22 DSGVO bislang klar ausgeschlossen werden könnte, zu Unsicherheit führen.

Damit gilt vereinfacht gesprochen: Geklärt ist damit, dass die Entscheidung über den Abschluss von Verträgen wie Online-Kreditanträgen auf Basis von „Scoring-Verfahren“ im Regelfall eine automatisierte Einzelfallentscheidung darstellt – auch wenn das Scoring von einem Dienstleister durchgeführt wird.

Zudem haben EuGH und Generalanwalt offenkundig erhebliche Zweifel, ob die bisher im BDSG enthaltene Regelung zu Scoring und Bonitätsauskünften mit den europarechtlichen Vorgaben vereinbar ist.

Ist die Verwendung von SCHUFA-Scores damit unzulässig?

Nicht entschieden hat der EuGH, ob die Verwendung von SCHUFA-Scores generell unzulässig ist. Das Urteil wirft allerdings Fragen auf, inwiefern für die genannten Fälle, in denen die Entscheidung „maßgeblich“ vom SCHUFA-Score abhängt, weiterhin von der datenschutzrechtlich erforderlichen Rechtsgrundlage ausgegangen werden kann:

• Bisher ging man jedenfalls bei Eingehung eines Vertrages mit „kreditorischem Risiko“ (d.h. Ausfallrisiko für den Unternehmer) davon aus, dass die Zulässigkeit sich aus einem Zusammenspiel aus Art. 6 Abs. 1 lit. b, f DSGVO für die „allgemeine Datenverarbeitung“ und – was die Zulässigkeit einer automatisierten Einzelfallentscheidung anging – überwiegend aus § 31 BDSG ergab. Hierbei bestand zudem weitgehende Einigkeit, dass bei kreditorischem Risiko die Entscheidung maßgeblich auf Grund eines SCHUFA-Scores, auch wenn es § 31 BDSG nicht gäbe, nach Art. 22 Abs. 1 lit. a DSGVO als „erforderliche vorvertragliche Maßnahme“ zulässig wäre.

• Nun lassen sowohl Generalanwalt als auch EuGH durchaus Zweifel erkennen, ob § 31 BDSG sich innerhalb der „Öffnungsklauseln“ der DSGVO hält. Im Ergebnis zu beurteilen ist dies jedoch anhand der vom EuGH vorgegebenen Kriterien durch die nationalen Gerichte.

• Sollten deutsche Gerichte § 31 BDSG für unanwendbar halten, muss dies indes nicht notwendigerweise das Ende der Verwendung von SCHUFA-Scores bedeuten. Im Gegenteil, § 31 BDSG schränkt Scoring tendenziell sogar weiter ein als Art. 22 DSGVO, da es keine Entscheidung „ausschließlich“ auf dessen Grundlage erfordert und z.B. auch weitergehend „qualitative Anforderungen“ zwingend vorschreibt.

• Vielmehr wären automatisierte Einzelfallentscheidungen nach den Regelungen der „DSGVO pur“ grundsätzlich weiterhin möglich. Gewisse Fragen wirft allerdings auf, dass weder EuGH noch Generalanwalt darauf verweisen, dass bei Vorliegen eines „kreditorischen Risikos“ die Entscheidung maßgeblich auf Grund eines SCHUFA-Scores nach Art. 22 Abs. 1 lit. a DSGVO als „erforderliche vorvertragliche Maßnahme“ zulässig wäre.

• Denkbar ist außerdem als alternative Ausgestaltung – im Zusammenspiel mit SCHUFA und ggf. weiteren Dienstleistern – der Wechsel der Rechtsgrundlage auf eine Einwilligungslösung (vgl. Art. 22 Abs. 2 lit. c DSGVO).

Insofern sollte die weitere Entwicklung beobachtet werden.

Hoffnung macht, dass der Generalanwalt die Verarbeitung von Daten bei kreditorischem Risiko zumindest als nach Art. 6 Abs. 1 lit. b DSGVO zulässige vorvertragliche Maßnahme einordnet.

In Fällen, in denen der SCHUFA-Score die Entscheidung über die Kreditvergabe nicht maßgeblich determiniert, stellt sich die Frage der Zulässigkeit zunächst nicht erneut – eher könnte sich hier die Frage stellen, ob bei Unanwendbarkeit von § 31 BDSG sogar großzügigere Standards gelten. Dann dürften ggf. auch automatisierte Entscheidungen auf Basis von Scores, die weder rechtliche Wirkung entfalten noch den Betroffenen in ähnlicher Weise beeinträchtigen, (noch eher) zulässig sein.

Gibt es weitere Auswirkungen jenseits Bonitätsscores?

Die Ausweitung der automatisierten Einzelfallentscheidungen kann erhebliche Auswirkungen über Bonitätsscores hinaus haben. Dies zeigt Gregor Thüsing in einem Beitrag für LTO auf. Er befürchtet u.a. ungewollte Beschränkungen von KI-basierten Entscheidungen. Dies ist sicherlich nicht unberechtigt:

• Genügt, dass Entscheidungen „maßgeblich“ (aber eben nicht mehr „ausschließlich“) auf automatisierter Entscheidung beruhen, führt dazu, dass in vielen Fällen, in denen ein Mensch Entscheidungen auf Basis von KI-Vorschlägen trifft, eine automatisierte Einzelentscheidung vorliegen wird, wenn diese Entscheidungen rechtliche Wirkung haben oder eine ähnliche Beeinträchtigung darstellen.

• Zudem handelt es sich dann möglicherweise (jedenfalls auch) zugleich um automatisierte Einzelfallentscheidungen der Anbieter von KI – ähnlich wie der EuGH in der Entscheidung die automatisierte Einzelfallentscheidung bereits auf den Dienstleister SCHUFA ausgedehnt hat.

Was müssen Unternehmen tun?

Folgende Maßnahmen bieten sich an:

• Anpassung bisher identifizierter automatisierter Einzelfallentscheidungen / Anwendungsfälle von § 31 BDSG: Soweit Unternehmen heute bereits automatisierte Einzelfallentscheidungen bzw. andere Anwendungsfälle von § 31 BDSG identifiziert haben, bietet es sich an, Vorsorge für eine etwaige Unanwendbarkeit von § 31 BDSG zu treffen. Dies bedeutet insb.
  • eigenständige Maßnahmen nach Art. 22 Abs. 3 DSGVO vorsorglich einzurichten und diese zu dokumentieren sowie
  • ggf. vorsorglich Transparenz über die mögliche Unanwendbarkeit von § 31 BDSG zu schaffen.

• Überprüfung, ob ggf. weitere „automatisierte Einzelfallentscheidungen“ nach dem weiten Verständnis des EuGH vorliegen: Unternehmen müssen überprüfen, wo sie Entscheidungen von „Scoring-Werten“ abhängig machen – und nun zwar auch dann, wenn diese durch Auskunfteien bzw. durch weitere eingebundene Dienstleister zur Verfügung gestellt werden und die Scores nur einen „maßgeblichen“ Einfluss auf eine rechtliche Entscheidung (z.B. Abschluss eines Vertrages) haben.

Sollte dies der Fall sein, sind diese als automatisierte Einzelfallentscheidungen zu behandeln, d.h. neben der – vorsorglichen – Einhaltung von § 31 BDSG sollten auch die Anforderungen des Art. 22 DSGVO eingehalten werden, namentlich

• Information über das Bestehen einer automatisierten Entscheidungsfindung inkl. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (vgl. Art. 13 Abs. 2 lit. f DSGVO, Art. 14 Abs. 2 lit. g DSGVO) vorhalten. Dieselben Informationen sollten – möglichst zeitnah – im Rahmen der Ausübung von Betroffenenrechten verfügbar sein, insbesondere im Rahmen eines Auskunftsanspruchs nach Art. 15 Abs. 1 lit. h DSGVO.
• Vorsorglich sowohl die Anforderungen von § 31 BDSG als auch von Art. 22 Abs. 3 DSGVO einhalten.
• Transparenz über die Rechtsgrundlagen schaffen – und ggf. im Zusammenspiel mit der jeweiligen Auskunftei bzw. dem Dienstleister – Alternativen prüfen. Im Kontext der Entscheidung wird bereits vermehrt über eine Ausgestaltung in Form einer ausdrücklichen Einwilligung, Art. 6 Abs. 1 lit. a DSGVO gesprochen.

In jedem Fall sollte die weitere (nationale) Rechtsprechung und behördliche Praxis beobachtet werden.

---