Das Credit Scoring Unternehmen muss die betroffenen Personen informieren

(Übersetzt von DeepL)

Auch wenn das Unternehmen, das das Credit Scoring (Bonitätsprüfung) durchführt, nicht das Unternehmen ist, das letztendlich über die Gewährung eines Darlehens entscheidet, trifft es eine automatisierte Einzelentscheidung und muss somit die betroffene Person darüber informieren (Urteil des EuGH vom 7. Dezember 2023 in der Rechtssache C-634/21, SCHUFA Holding AG).

Nachdem eine Bank die Gewährung eines Darlehens abgelehnt hatte, ersuchte ein deutscher Staatsangehöriger die SCHUFA, das führende deutsche Unternehmen, das Bonitätsprüfungen durchführt, um verschiedene Informationen. Die Ablehnung des Darlehens sei aufgrund von Negativauskünften der SCHUFA, die an die Bank weitergeleitet wurden, gerechtfertigt gewesen. Der Antragsteller möchte insbesondere wissen, welche Informationen bei der Berechnung seines Bonitätsscores berücksichtigt werden und wie diese gewichtet werden. Die SCHUFA lehnt dies mit der Begründung ab, dass die Bank und nicht die SCHUFA die Entscheidung über die Kreditvergabe trifft. Das Verwaltungsgericht Wiesbaden, das mit dem Fall befasst ist, legt dem EuGH eine Frage zur Vorabentscheidung vor, um zu klären, ob die SCHUFA dem Rechtsregime der Automatisierten Einzelentscheidung (AEE) unterliegt.

Die AEE ist in Art. 22 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) geregelt. Drei kumulative Bedingungen müssen erfüllt sein, damit diese Bestimmung Anwendung findet. Erstens muss eine „Entscheidung“ vorliegen. Zweitens muss diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen“. Drittens muss die Entscheidung „Rechtswirkungen [in Bezug auf die betroffene Person]“ erzeugen oder sie „in ähnlicher Weise erheblich beeinträchtigen“.

In Bezug auf die erste Bedingung stellt der EuGH fest, dass der Begriff „Entscheidung“ einen weiten Anwendungsbereich haben muss. Insbesondere Erwägungsgrund 71 der DSGVO nennt als Beispiele für eine „Entscheidung“ die automatische Ablehnung eines Online-Kreditantrags oder Online-Rekrutierungspraktiken ohne jegliches menschliches Eingreifen.

In Bezug auf die zweite Voraussetzung erfüllt die Tätigkeit der SCHUFA die Definition von „Profiling“. Tatsächlich nimmt die SCHUFA die automatisierte Erstellung eines Wahrscheinlichkeitswertes einer Person und ihrer Fähigkeit, in Zukunft einen Kredit zu bedienen, vor. Damit ist die zweite Voraussetzung erfüllt.

Schließlich ist der EuGH der Ansicht, dass dieser Wahrscheinlichkeitswert die betroffene Person in erheblicher Weise beeinträchtigt.

Somit trifft die SCHUFA tatsächlich automatisierte Einzelentscheidungen.

Der EuGH erinnert dann an die Folgen des Vorliegens einer AEE. Art. 22 Abs. 1 DSGVO führt ein grundsätzliches Verbot von AEEs ein. Der für die Verarbeitung Verantwortliche muss daher nachweisen, dass er sich in der Ausnahmeregelung befindet, die in Art. 22 Abs. 2 DSGVO vorgesehen ist. Demnach kann er eine AEE erlassen, wenn sie für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist (Buchstabe a), wenn sie nach dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, zulässig ist (Buchstabe b) oder wenn sie auf der ausdrücklichen Einwilligung der betroffenen Person beruht (Buchstabe c).

Daher kommt der Gerichtshof zu dem Schluss, dass das deutsche Gericht prüfen muss, ob sich die SCHUFA tatsächlich auf eine Ausnahme berufen kann, um AEEs zu erlassen.

In seinem Urteil begründet der Gerichtshof seine Argumentation mit einem weiteren Argument. Seiner Ansicht nach bestünde die Gefahr einer Umgehung von Art. 22 DSGVO, wenn eine restriktive Auslegung dieser Bestimmung gewählt würde, d. h. dass die Ermittlung des Wahrscheinlichkeitswerts, der in casu von SCHUFA festgelegt wurde, lediglich als Vorbereitungshandlung anzusehen ist und nur die von der dritten Partei, in casu der Bank, angenommene Handlung als „Entscheidung“ bezeichnet werden kann. Dem EuGH zufolge wird die Entscheidung der Bank, nämlich einen Kredit zu gewähren, maßgeblich von diesem Wahrscheinlichkeitswert geleitet. Darüber hinaus sei die Bank nicht in der Lage, die nach Art. 22 DSGVO geschuldeten spezifischen Informationen bereitzustellen, da sie in der Regel nicht über solche Informationen verfügt.

Diese Argumentation ist nicht überzeugend. Nach dieser Logik würde jedes Unternehmen, das eine automatisierte Kundenklassifizierung vornimmt, die dann für einen Vertragspartner ausschlaggebend wäre, um über die Gewährung einer Leistung zu entscheiden, bereits eine AEE vornehmen. Das Unternehmen sollte daher die betroffenen Personen direkt darüber informieren, auch wenn es der Partner ist, der letztendlich die Entscheidung über sie trifft.

Es ist jedoch der Partner, in casu die Bank, der frei über die Gewährung eines Darlehens entscheidet. Wenn er sich nur auf die Einstufung des Dritten stützt, nimmt er eine AEE vor. Er kann sich dann nicht von seinen Informationspflichten befreien, indem er sich darauf beruft, dass er sich auf Informationen stützt, die von einem Dritten übermittelt wurden, oder dass er nicht über die relevanten Informationen verfügt, um die Auskunftsanträge der von der Entscheidung betroffenen Personen zu beantworten (Art. 15 Abs. 1 Buchst. h DSGVO). Er muss notwendigerweise vertraglich den Zugang zu den Informationen vorsehen, die er benötigt, um seinen gesetzlichen Pflichten nachzukommen.

Wie sieht es in der Schweiz aus ?

Der schweizerische Gesetzgeber hat denselben Begriff der AEE übernommen, wie er oben erörtert wurde. Diese Rechtsprechung könnte somit für die Bestimmung, ob eine AEE nach Art. 22 DSG vorliegt, relevant sein. Abgesehen davon vertritt der Bundesrat, wie von Simon Henseler hervorgehoben, die Auffassung, dass „[d]ie Berechnung eines Bonitätsscores durch eine Auskunftei keine automatisierte Einzelentscheidung im Sinne des nDSG darstellt, sondern eine Entscheidungshilfe, sofern die tatsächliche Entscheidung (z. B. Ablehnung einer Zahlung auf Rechnung) beim Kunden der Gesellschaft liegt“ (Bericht des Bundesrates in Erfüllung des Postulats 16.3682 Schwaab vom 21. September 2016, S. 25).

In der Praxis müssten Schweizer Gesellschaften, die Kreditscoring betreiben, künftig die rechtliche Regelung der AEE in Art. 22 DSG beachten, bis eine Klärung durch die Rechtsprechung erfolgt ist. Insbesondere wird die vorsätzliche oder eventualvorsätzliche Verletzung der Informationspflicht im Falle einer AEE strafrechtlich geahndet, und zwar zu Lasten der verantwortlichen natürlichen Person (Art. 60 Abs. 1 Bst. b Ziff. 2 DSG).