EUGH weist Kreditauskunftei Schufa in die Schranken
Wien, 7. Dezember 2023
Der Europäische Gerichtshof (EUGH) hat heute 2 wegweisende Urteile in Verfahren gegen die deutsche Wirtschaftsauskunftei Schufa gefällt, die in Deutschland bisher große Freiheiten genossen hat. Das Unternehmen mussaus dem Insolvenzregister erhobene Daten künftig deutlich früher löschen. Der EUGH bestätigt zusätzlich, dass nationale Gerichte umfassende Möglichkeiten zur Kontrolle der Datenschutzbehörden haben und stärkt damit die Rechte der Betroffenen
Hintergrund
Datenlöschung und automatisierter Kreditscore. Ausgangspunkt für die nun entschiedenen EUGH Verfahren waren zwei Beschwerden gegen die Schufa vor der hessischen Datenschutzbehörde (HBDI). In einem Fall (C 634/21) ging es um die Frage, ob die Schufa überhaupt automatisch Kreditscores ausstellen darf – oder ob diese eine in der #DSGVO weitgehend verbotene »automatisierte Entscheidung im Einzelfall« darstellt.
Im 2. Fall (Verbundene Rechtssachen C 26/22 und C 64/22) hatte der Betroffene die Löschung von Insolvenzdaten aus der Datenbank der Schufa verlangt, nachdem diese bereits aus dem öffentlichen Insolvenzregister gelöscht wurde.
Das Urteil im Fall C 634/21
Verheerende Folgen für das Auskunfteigeschäft. Mit seinem #Urteil im Fall C 634/21 bringt der EUGH das gesamte Geschäftsmodell der Schufa (und anderer Auskunfteien) ins Wanken: Die vollautomatisierte Berechnung der vermeintlichen Kreditwürdigkeit anhand undurchsichtiger Algorithmen fällt unter den besonderen Schutz des Artikel 22 DSGVO. Diese Bestimmung verbietet die Verwendung personenbezogener Daten für vollautomatische Entscheidungen, die eine »erhebliche Beeinträchtigung« für betroffene Personen nach sich ziehen. Mit anderen Worten: Entscheidungen von einer gewissen Tragweite sollen nicht allein von Algorithmen getroffen werden.
Automatisiertes Kreditscoring verboten. Die Auskunfteienbranche hat bisher vehement den Standpunkt vertreten, dass auch ein grottenschlechter Score, mit dem einer betroffenen Person eine Vielzahl an Vertragsabschlüssen (wie Kredite, Versicherungen, Miete oder Stromlieferverträge) sicherlich verwehrt bleiben, keine »negative Entscheidung« sei. Die finale Entscheidung treffe ja schlussendlich das jeweilige Unternehmen. Der #EUGH sieht das anders und hat nun entschieden, dass häufig bereits die Zuschreibung der Bonität eine Entscheidung nach Artikel 22 DSGVO darstellt. Damit ist das automatisierte Kreditscoring in der jetzigen Form verboten; und zwar für Auskunfteien im ganzen EU Raum. Will die #Schufa künftig die Kreditwürdigkeit von Menschen berechnen, braucht sie deren ausdrückliche Einwilligung. Darüber hinaus muss es betroffenen Personen künftig möglich sein, einen Kreditscore anzufechten.
Marco Blocher: »Bürgern einfach irgendwelche Kreditscores zu geben und dann automatisch Verträge zu verweigern ist mit dem EUGH Urteil in der gesamten #EU #Geschichte.«
Das Urteil im verbundenen Fall C 26/22 und C 64/22
Datensammlung zusammengestutzt. Um die Kreditwürdigkeit von Menschen zu berechnen, sammeln Auskunfteien kontinuierlich persönliche Daten. Obwohl seit 2016 europaweit die DSGVO gilt, wurde vor allem in Deutschland nationalen Traditionen weiter gefolgt und die DSGVO ignoriert. Die Schufa durchsucht so etwa automatisiert das deutsche Insolvenzregister. Dort müssen Einträge gemäß den Gesetzen aber binnen sechs Monaten gelöscht werden, wenn ein Insolvenzverfahren beendet wurde.
»Neustart« von Schufa verunmöglicht. Die Löschung der Insolvenzdaten soll Betroffenen den wirtschaftlichen Neustart ermöglichen. Zumindest theoretisch. Denn die Schufa und andere Auskunfteien haben diese Daten bisher für bis zu 3 Jahre, und damit über die gesetzliche Löschfrist hinaus, gespeichert, Das kann Betroffenen finanzielle Probleme bescheren. Die Auskunfteien stufen Betroffene aufgrund der überstandenen Insolvenz regelmäßig als kreditunwürdig ein.
Weitreichende Auswirkungen auf »Negativdaten«. Der EUGH hat nun entschieden, dass die Schufa aus dem Insolvenzregister abgegriffene Daten (ebenso wie der Staat) nach sechs Monaten löschen muss. Sogenannte »Negativdaten« wie Insolvenzen müssen damit deutlich schneller gelöscht werden und dürfen den Schufa Score nicht mehr beeinflussen.
Marco Blocher, Datenschutzjurist bei Noyb: »Mit der EUGH Entscheidung ist klar, dass Daten, die aus guten Gründen aus öffentlichen Registern gelöscht werden müssen, nicht einfach in privaten Datenbanken endlos weiterleben dürfen.«
Folgen für andere »Negativdaten«. Die Auswirkungen des Urteils werden sich allerdings nicht auf Insolvenzdaten beschränken: Auskunfteien müssen nun auch überprüfen, ob sie andere »Negativdaten« – zum Beispiel unbezahlte Rechnungen – deutlich früher löschen müssen. Wenn sogar überstandene Insolvenzen nach 6 Monaten zu löschen sind, stellt sich die Frage ob minimale finanzielle Versäumnisse viel länger gespeichert werden dürfen.
Marco Blocher: »Das Urteil ist auch richtungsweisend für andere negative Informationen die oft trotz minimalen Zahlungsverzug lange gespeichert werden.«
Foto: Georg Molterer, Informationen zu Creative Commons (CC) Lizenzen
Gütsel Webcard, mehr …
Noyb, European Center for Digital Rights
Goldschlagstraße 172/4/2
1140 Wien, Austria
E-Mail info@noyb.eu
www.noyb.eu