Der EuGH verkündete am 07.12.2023 gleich drei Urteile, die für das Auskunfteienwesen in Deutschland von hoher Relevanz sind. In diesem Beitrag wird die Entscheidung C-634/22 besprochen. Eine Analyse der beiden anderen Entscheidungen (C-26/22, C-64/22) findet sich hier.
Hintergrund des Verfahrens
In der Rechtssache C-634/21 ging es im Kern um die Frage der Reichweite von Transparenzpflichten für Auskunfteien. Dem durch das VG Wiesbaden initiierten Vorlageverfahren lag folgender Sachverhalt zugrunde: Einem Betroffenen war ein begehrter Kredit durch eine Bank nicht gewährt worden, nachdem ein durch die Bank bei der Schufa angefragter Scorewert auf eine nicht hinreichende Bonität des Betroffenen schließen ließ. Der Betroffene wandte sich an die Schufa und verlangte Auskunft über die zu seiner Person gespeicherten Daten und Löschung von nach seiner Auffassung unrichtigen Daten. Die Schufa informierte daraufhin über die Höhe des Scorewerts, legte jedoch lediglich „in groben Zügen“ dar, wie die Scorewerte berechnet werden. Details zur Scorewertberechnung wurden unter Verweis auf Betriebs- und Geschäftsgeheimnisse nicht preisgegeben. Mit hoher Wahrscheinlichkeit stützte sich die Schufa hierbei auf ein Urteil des BGH aus dem Jahr 2014 (VI ZR 156/13) wonach durch Auskunfteien die Scoreformel, also die abstrakte Methode der Scorewertberechnung, nicht offengelegt werden musste.
In der DSGVO findet sich nun mit Art. 15 Abs. 1 lit. h DSGVO eine Norm, wonach Betroffenen im Falle des Bestehens einer sog. automatisierten Entscheidungsfindung gemäß Art. 22 DSGVO „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ auf Antrag darzustellen sind. Für die Frage, ob die Schufa dieser Auskunftspflicht unterliegt, war also vorab die Frage zu klären, ob durch Auskunfteien durchgeführte Scorewertberechnungen dem Anwendungsbereich von Art. 22 DSGVO unterfallen. Wäre dem nicht so, hätte nach Auffassung des vorlegenden Gerichts für Betroffene eine Rechtsschutzlücke bestanden. Die Schufa wäre mangels Anwendbarkeit von Art. 22 DSGVO nicht Adressatin der Auskunftspflicht. Und auch das die Schufa beauftragende Unternehmen könnte dem Auskunftsersuchen nicht nachkommen, da es allein einen Scorewert übermittelt bekomme, nicht aber zugleich die der Scorewertberechnung zugrundeliegenden Faktoren kenne.
Anwendbarkeit von Art. 22 DSGVO auf Scorewertberechnungen von Auskunfteien
Gemäß Art. 22 Abs. 1 DSGVO hat eine betroffene Person „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Die Norm enthält also folgende Tatbestandsvoraussetzungen:
- automatisierte Verarbeitung
- Entscheidung
- Ausschließlichkeit der automatisierten Verarbeitung für die Entscheidung
- rechtliche oder ähnlich erheblich beeinträchtigende Wirkung der Entscheidung
Der EuGH fasst die Tatbestandsvoraussetzungen 1 und 3 zu einem einheitlichen Merkmal zusammen (Rn. 43 des Urteils). Im Einzelnen:
Scorewertberechnungen sind auch nach der Auffassung des EuGH automatisierte Verarbeitungen. Eine Tätigkeit wie die der SCHUFA entspreche der Definition des „Profiling“ in Art. 4 Nr. 4 DSGVO (Rn. 47 des Urteils). Dass Scoringverfahren heutzutage automatisiert durchgeführte Profilbildungen sind, gilt dabei unabhängig von der Frage, ob der Scorewert extern durch eine Auskunftei oder intern, entlang von dem verantwortlichen Unternehmen vorliegenden Informationen über den Betroffenen ermittelt wird.
Über die Frage, ob ein von einer Auskunftei ermittelter Scorewert eine „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO darstelle, geht der EuGH rasch hinweg. Der Begriff sei weit genug, um das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts mit einzuschließen (Rn. 46 des Urteils). Auch beruhe die Entscheidung der Auskunftei, d.h. die Bildung des Scorewertes, ausschließlich auf der durch diese vorgenommenen automatisierten Verarbeitung (Rn. 47 des Urteils).
Unter Zugrundelegung der Annahme, dass es sich bei der Ermittlung des Scorewerts durch eine Auskunftei um eine Entscheidung handele, die ausschließlich auf Grundlage einer automatisierten Verarbeitung erfolgt, sei „nach den Sachverhaltsfeststellungen“ auch die „rechtliche Wirkung“ bzw. die „in ähnlicher Weise erhebliche Beeinträchtigung“ schnell belegt. Hiernach führe „ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen dazu, dass die Bank die Gewährung des beantragten Kredits ablehnt“ (Rn. 48 des Urteils).
Die durch den EuGH vorgenommene Auslegung führt also zu einer Vorverlagerung des Merkmals „Entscheidung“ in die Sphäre der Auskunftei. Eine solche Sichtweise hat mit der Praxis nichts zu tun. Die Erstellung des Scorewertes selbst ist offenkundig noch keine Entscheidung, die gegenüber den Betroffenen irgendwelche Wirkungen entfaltet. Dass einer betroffenen Person ein Scorewert X zugewiesen wird, ist kein gestaltender Akt. Ein solcher ist aber prägend für das Merkmal „Entscheidung“. Auskunfteien treffen mit der Erstellung von Scorewerten aber gerade keine gestaltenden Entscheidungen etwa über die Vergabe eines Bankdarlehens, die Gewähr von Bezahlverfahren mit kreditorischen Risiken, z.B. Kauf auf Rechnung oder die Zahlung per SEPA-Mandat, das Einräumen von Ratenlieferungsverträgen, die Konditionen im Zusammenhang mit dem Abschluss von Telekommunikationsverträgen usw. Das ist weder das Geschäft der Auskunftei noch haben Auskunfteien ein auch nur mittelbares Interesse an derartigen Risikoentscheidungen. Die durch solche geschäftlichen Entscheidungen geschützten Rechtsgüter sind nicht solche der Auskunftei, sondern ausnahmslos solche des den Vertrag eingehenden Unternehmens: der Bank, des Onlinehändlers, des Telekommunikationsanbieters usw. Nur diese müssen sich vor kreditorischen Risiken schützen.
Das alles ficht den EuGH nicht an. Art. 22 Abs. 1 DSGVO sei auch bereits auf die Erstellung eines Scorewerts durch eine Auskunftei anwendbar, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Die Vorverlagerung der Anwendbarkeit von Art. 22 DSGVO bereits auf durch Auskunfteien vorgenommene Scorewertberechnungen hat weitreichende Folgen, auf die auch der EuGH hinweist. Infolge des in Art. 22 Abs. 1 DSGVO normierten grundsätzlichen Verbots der Vornahme automatisierter Entscheidungen auf Grundlage automatisierter Verarbeitungen ist es nun Sache der den Scorewert berechnenden Auskunftei, zu belegen, dass eine der in Art. 22 Abs. 2 DSGVO geregelten Ausnahmen greift. Hiernach kann von dem grundsätzlichen Verbot des Abs. 1 nur abgewichen werden, wenn die Entscheidung
- für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
- mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Da die Auskunftei weder Vertragspartnerin der betroffenen Person ist (Var. 1 ) noch eine Einwilligung der betroffenen Person in die automatisierte Entscheidung vorliege (Var. 3), komme nur die in Var. 2 genannte gestattende Rechtsvorschrift in Betracht. Eine solche Regelung könne nach den Angaben des vorlegenden Gerichts nur § 31 BDSG sein (Rn. 71 des Urteils).
Schon dem Wortlaut der Norm ist zu entnehmen, dass dieser nur die „Verwendung“ von (durch Auskunfteien) erstellten Scorewerten adressiert, nicht aber auch den hier betrachteten Fall der Erstellung solcher Scorewerte. Es sei nun Sache des vorlegenden Gerichts zu prüfen, ob § 31 BDSG als Rechtsgrundlage im Sinne von Art. 22 Abs. 2 lit. b DSGVO qualifiziert werden könne. Bestätigten sich die durch das vorlegende Gericht geäußerten „durchgreifenden Bedenken“ an der Unionsrechtskonformität von § 31 BDSG verstoße die Erstellung von Scorewerten durch die Schufa „ipso iure“ gegen das in Art. 22 Abs. 1 DSGVO normierte Verbot. Das damit nicht nur für die Schufa, sondern alle Auskunfteien verbundene Haftungs- und Sanktionsrisiko wäre enorm.
Bewertung und Auswirkungen auf die Praxis
Bereits ein durch eine Auskunftei ermittelter Scorewerte kann nach Einschätzung des EuGH eine „Entscheidung“ im Sinne des Art. 22 Abs. 1 DSGVO sein. Vorzugswürdig wäre es gewesen, wenn der EuGH seinem Urteil die tatsächlichen praktischen Abläufe zugrundegelegt hätte und nicht die Auskunftei, sondern das letztlich vertragsabschließende Unternehmen als die „Entscheidung“ vornehmende Instanz in die Pflicht genommen hätte. Jenen Akteuren hätte der EuGH eine Verpflichtung auferlegen können, über vertragliche Regelungen mit den Auskunfteien im Falle von Auskunftsersuchen Betroffener hinreichend mit Informationen im Sinne von Art. 15 Abs. 1 lit. h DSGVO versorgt zu werden. Das durch das vorlegende Gericht beklagte Transparenzdefizit hätte so ohne Weiteres bereinigt werden können.
Zu beachten ist zudem, dass das Urteil nur einen sehr begrenzten Anwendungsfall erfasst. Die zweifellos den EuGH lenkende Wirkung des durch das VG Wiesbaden dargestellten Sachverhaltes verbietet eine holzschnittartige Übertragung der Wertungen des EuGH auch auf andere Sachverhalte mit Bezug zu Auskunfteien.
Erstens erging das Urteil allein zu Kreditentscheidungen. Scorewertberechnungen, besser: Schwellwertermittlungen, von Auskunfteien finden in der Praxis aber noch in zahlreichen anderen Bereichen Einsatz, etwa dem Identitätsmanagement oder der Betrugsprävention. Auf solche Ermittlungen kann das Urteil keine unmittelbare Anwendung finden. Dies gilt erst recht, wenn von Auskunfteien schon keine Scorewerte, sondern lediglich Einzelangaben (hard facts) abgefragt werden.
Zweitens wurde durch den EuGH die für die Anwendbarkeit von Art. 22 Abs. 1 DSGVO erforderliche „rechtliche“ bzw. in „ähnlicher Weise erhebliche Beeinträchtigung“ nur entlang des durch das VG Wiesbaden vorgelegten Sachverhalts, namentlich der Ablehnung einer Kreditanfrage bei einer Bank, bejaht. Das ist weder überraschend noch zu kritisieren. Dass eine im Wege einer automatisierten Entscheidung verwehrte Kreditanfrage bei einer Bank als Anwendungsfall von Art. 22 Abs. 1 DSGVO gewertet werden muss, ist durch Erwägungsgrund 71 DSGVO klar vorgegeben. Der Verordnungsgeber berücksichtigt an dieser Stelle zutreffend den Umstand, dass Entscheidungen über die Vergabe von Darlehen eine erhebliche sozioökonomische Relevanz haben können. Insoweit war es noch nie zu erklären, warum Verbraucher explizit nur bei „Online“-Kreditanträgen den besonderen Schutz von Art. 22 DSGVO beanspruchen können, nicht aber auch bei Anträgen, die „offline“ in der Bankfiliale automatisch abgelehnt werden. Bei Anwendung von Art. 22 DSGVO wird man hier keine Unterschiede machen dürfen. Aber wohlgemerkt: Die beeinträchtigende Wirkung im Sinne von Art. 22 Abs. 1 DSGVO tritt auch bei abgelehnten Bankdarlehen nur dann ein, wenn der durch die Auskunftei ermittelte Scorewert zumindest „maßgeblich“ in die Entscheidung der Bank einfließt. Treten weitere Erwägungen der Bank hinzu, ist der Scorewert also nur ein Kriterium unter mehreren, verbietet sich die Anwendung von Art. 22 DSGVO auf die Phase der Scorewertermittlung durch die Auskunftei.
Dass der durch den EuGH zu betrachtende Sachverhalt durch das vorlegende Gericht so eng definiert wurde, führt zudem dazu, dass sich das Urteil nicht auch automatisch auf andere Szenarien, in denen durch Auskunfteien ermittelte Scorewerte bei kreditorischen Entscheidungen Berücksichtigung finden, übertragen werden kann. So bewirken etwa die bloße Verweigerung eines Vertragsabschlusses oder das Verwehren bestimmter Vertragskonditionen in anderen Branchen weder zwingend eine Rechtsfolge, noch ist die betroffene Person hierdurch zwingend in einer einer Rechtsfolge vergleichbaren Weise erheblich beeinträchtigt. Der Grundsatz der Privatautonomie und hier insbesondere die Freiheit, Verträge nur unter Zugrundelegung einseitig definierter Modalitäten abzuschließen, würde faktisch ausgehebelt, führte man über den Umweg des Art. 22 DSGVO ein hierauf gerichtetes Verbot ein. Entsprechend wird man allein im Falle der Verweigerung des Vertragsabschlusses durch Anbieter aus monopolartigen Strukturen der Daseinsfürsorge (Gas, Wasser, Strom, ÖPNV etc.) von einer erheblichen Beeinträchtigung ausgehen können. Abseits der Grundversorgung herrscht Kontrahentenfreiheit. Hierauf und auf die Gestaltung von Verträgen gerichtete Verbote sind in der Regel grundrechtswidrig. Fernliegend wäre die Annahme einer erheblichen Beeinträchtigung zudem in Fällen, in denen Verbrauchern der Vertragsabschluss nur unter Gewährung bestimmter Bezahlverfahren, etwa solchen, die für den Händler kein kreditorisches Risiko mit sich bringen, angeboten wird (zwar Nachnahme oder Vorkasse, nicht aber Kauf auf Rechnung). In solchen Konstellationen geht es gerade nicht um das Ausschlagen eines Vertragsangebots oder um eine Diskriminierung des Verbrauchers, sondern um eine im Sinne beider Vertragsparteien erfolgenden geringfügigen Angebotsmodifikation durch den Händler im Rahmen seiner unternehmerischen Freiheit, aber auch Pflicht. Soweit dem Verbraucher andere zumutbare Bezahlverfahren verbleiben, erreicht das subjektiv empfundene Störpotenzial nicht die in Art. 22 Abs. 1 DSGVO verlangte Schwelle der „erheblichen“ Beeinträchtigung. Bloße als Unbequemlichkeit empfundene Folgen sollen gerade nicht erfasst werden.
Ob § 31 BDSG mit der DSGVO vereinbar ist, hat nun das vorlegende Gericht zu klären. Zumindest mit Blick auf Absatz 1 der Norm bestanden hieran (auch für den Verfasser) seit jeher Zweifel. Sollte die Norm in der aktuellen Form nicht fortbestehen können, wäre es alternativ denkbar, Scorewertberechnungen durch Auskunfteien künftig als Auftragsverarbeitung auszugestalten. Als Folge dessen wäre allein das den Scorewert verwendende Unternehmen für die Erstellung und Verwendung des Scorewertes verantwortlich. Die nach Art. 15 Abs. 1 lit. h DSGVO erforderliche Transparenz würde über die Offenlegung der mit der Auskunftei vereinbarten Scorecard gewährleistet. Ein Anspruch des Petenten bestünde jedoch nur, wenn tatsächlich alle Voraussetzungen des Art. 22 DSGVO vorlägen. Solche Modelle, in denen ein und derselbe Akteur sowohl als Auftragsverarbeiter als auch – für den eigens vorgehaltenen Datenbestand – als datenschutzrechtlich Verantwortlicher in Erscheinung tritt, sind datenschutzrechtlich zwar möglich, wollen aber gut dokumentiert und über strenge technisch-organisatorische Maßnahmen abgesichert werden.