Zwei Praktiken der SCHUFA Holding verstoßen gegen die Datenschutzgrundverordnung (DSGVO). Erfahren Sie, warum „Scoring“ nun in Frage gestellt wird und wie die Speicherung von Restschuldbefreiungsinformationen betroffen ist.
Die DSGVO hat in den letzten Jahren die Art und Weise, wie Unternehmen personenbezogene Daten verarbeiten, grundlegend verändert. In zwei Verfahren, über die der Europäische Gerichtshof (EuGH) jetzt gemeinsam entschieden hat, wurden nun zwei Praktiken der SCHUFA Holding, einer der führenden privaten Wirtschaftsauskunfteien in Deutschland, erheblich eingeschränkt (EuGH, Rechtssachen C-634/21; C-26/22; C-64/22).
„Scoring“ unter der Lupe
Das aktuelle Urteil betrifft das sogenannte „Scoring“, ein mathematisch-statistisches Verfahren, das verwendet wird, um die Wahrscheinlichkeit zukünftigen Verhaltens vorherzusagen. Wirtschaftsauskunfteien wie die SCHUFA nutzen dies insbesondere, um das Rückzahlungsverhalten von Krediten vorherzusagen. Der EuGH stufte dieses Verfahren nun als eine „automatisierte Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO ein, die grundsätzlich verboten ist. Dies ist vor allem dann zutreffend, wenn Banken und andere Kunden der SCHUFA diesem Scoring eine maßgebliche Rolle bei der Kreditvergabe zuschreiben.
Die ursprüngliche Instanz, das Verwaltungsgericht (VG) Wiesbaden, muss nun bewerten, ob das deutsche Bundesdatenschutzgesetz eine gültige Ausnahme von diesem Verbot enthält und ob die allgemeinen Voraussetzungen für die Datenverarbeitung nach der DSGVO erfüllt sind. Diese Entscheidung wird entscheidende Auswirkungen auf die Verwendung von „Scoring“ in der Kreditbranche haben.
Speicherung von Restschuldbefreiungsinformationen
Ein weiterer Aspekt des Urteils betrifft die Speicherung von Informationen über die Erteilung einer Restschuldbefreiung. Laut EuGH steht es im Widerspruch zur DSGVO, wenn private Auskunfteien wie die SCHUFA solche Daten länger speichern als das öffentliche Insolvenzregister. Dies gilt insbesondere auch, da die SCHUFA diese Daten gerade aus dem Insolvenzregister bezieht und somit bisher dessen gesetzliche Löschfrist faktisch umgangen hat.
Nicht länger als 6 Monate
Das deutsche Recht sieht normalerweise eine sechsmonatige Speicherung der Daten vor. Nach Ablauf dieser Frist sollen die Rechte und Interessen der betroffenen Person Vorrang vor der Verfügbarkeit dieser Informationen für die Öffentlichkeit haben. Denn die Restschuldbefreiung ist für betroffene Personen von existenzieller Bedeutung, da sie diesen ermöglicht, sich erneut am Wirtschaftsleben zu beteiligen.
Die Datenschutz-NGO noyb des österreichischen Juristen Max Schrems ordnet das Urteil so ein, dass dies sich jedoch nicht nur auf Informationen aus dem Insolvenzverzeichnis beschränkt. Vielmehr werde die SCHUFA womöglich alle Negativinformationen über Schuldner bereits nach sechs Monaten zu löschen haben.
Ausblick
Die EuGH-Entscheidung verdeutlicht, dass die DSGVO von Behörden und Gerichten ernst genommen wird und auch über fünf Jahre nach ihrem in Kraft treten noch Neuerungen für Unternehmen mit sich bringt. Wenn die Speicherung von Daten nicht rechtmäßig ist, haben betroffene Personen das Recht, die Löschung Ihrer Daten zu verlangen. Unternehmen, die zur Beurteilung der Kreditwürdigkeit ihrer Kundinnen und Kunden bisher auf SCHUFA-Scores zurückgegriffen haben, werden hierauf möglicherweise schon in naher Zukunft verzichten müssen.
In Bezug auf die parallele Speicherung von Informationen während der sechsmonatigen Frist liegt es am vorlegenden Gericht, die Rechtmäßigkeit dieser Speicherung zu beurteilen. Betroffene Personen haben dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen und auf deren Löschung zu bestehen, es sei denn, die Auskunftei kann zwingende schutzwürdige Gründe nachweisen.
Fazit: Datenschutz im Wandel
Diese Entscheidungen des EuGH betonen erneut die Bedeutung des Datenschutzes und könnten die Praktiken von Wirtschaftsauskunfteien in Deutschland nachhaltig beeinflussen. Für Unternehmen ist es wichtig, die Entwicklungen im Bereich des Datenschutzes aufmerksam zu verfolgen und die daraus resultierenden Compliance-Anforderungen im Blick zu behalten.
Bildnachweis für diesen Beitrag © bluedesign stock.adobe.com