Schufa-Urteil des EuGH: Auswirkungen auf den Umgang von Unternehmen mit Scoring-Werten

S
Download PDF

„Die Schufa begrüßt das Urteil des Europäischen Gerichtshofs (EuGH) zum Thema Scoring.“

Nur kurze Zeit nach dem Urteil des EuGH vom 7.12.2023 (Az. C-634/21) konnte man auf der Website der bekanntesten deutschen Auskunftei diesen Satz lesen. Er wirkt, als hätte die Schufa einen juristischen Sieg errungen. Das Gegenteil trifft es jedoch eher.

Auslöser war der Datenschutz

„Stellt die Erstellung eines Score-Werts durch Auskunfteien wie der Schufa eine automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO dar?“ Diese beinahe unschuldig daherkommende Frage, die dem Urteil zugrunde lag, hat es in sich, denn solche automatisierten Entscheidungen sind datenschutzrechtlich grundsätzlich unzulässig.

Geben Bürger*innen ihre Daten ab oder werden ihre Daten im täglichen wirtschaftlichen Verkehr auf die eine oder andere Art gesammelt, kann das bereits bei vielen Personen Unbehagen hervorrufen. Geht es jedoch so weit, dass diese Daten genutzt werden, um ein Profil von einer Person zu erstellen, anhand dessen eine Maschine eine bestimmte Entscheidung treffen kann und wird, ohne dass ein Mensch nochmals drüber geschaut hat, würden sich die allermeisten Betroffenen ein anderes Vorgehen wünschen.

Dass diese Möglichkeit schon längst keine dystopische Zukunftsvision mehr ist, dürfte vielen Menschen klar sein. Wie ist jedoch das Schufa-Scoring in dieser Hinsicht zu beurteilen? Die Schufa ist ein privatwirtschaftliches Unternehmen, das zunächst Informationen für andere Wirtschaftsunternehmen als Produkt bereitstellt. Die Schufa entscheidet beispielsweise gerade nicht für ein Energieversorgungsunternehmen, ob dieses einen Vertrag mit einem Kunden abschließen möchte oder nicht. Somit bedarf es grundsätzlich noch immer Mitarbeitenden im Unternehmen, die final ihr O. K. zum Vertragsschluss geben. Lässt man diese Einflussnahme genügen, würde es dazu führen, dass Auskunfteien grundsätzlich nie automatisierte Entscheidungen treffen bzw. vorbereiten könnten. Dieser Rechtsauffassung wurde bislang in weiten Teilen der deutschen Literatur und Rechtsprechung gefolgt.

Dennoch gab es schon länger Kritik an dieser sehr engen Auslegung der zugrunde liegenden datenschutzrechtlichen Regelung. Meist wurde die berechtigte Frage gestellt, worin denn der Unterschied bestehe zwischen einer „wirklich“ automatisierten Entscheidung und einer Entscheidung eines Angestellten, die sich ausschließlich nach dem Score-Wert der Schufa richtet. Das neue Urteil des EuGH verspricht nun Klarheit.

EuGH macht Vorgaben für das Schufa-Scoring

Erwartungsgemäß schloss sich der EuGH in seiner Entscheidung den Ausführungen des Generalanwalts an. Die Entscheidung war demnach zwar keine große Überraschung, die praktischen Auswirkungen sind dennoch weitreichend. Dem Urteil des EuGH lässt sich die klare Aussage entnehmen, dass eine Entscheidung allein aufgrund eines durch einen Algorithmus erstellten Score-Werts nicht dazu führen darf, dass ein Vertrag mit einem potenziellen Kunden zustande bzw. nicht zustande kommt. Dabei ist es unwesentlich, ob der Score-Wert direkt zur Entscheidung führt oder ob der Score-Wert erst infolge geschickter Arbeitsteilung diese Wirkung entfaltet.

Welche Handlungspflichten ergeben sich für Unternehmen?

Es bleibt die Frage, wie in Zukunft mit dem Urteil umzugehen sein wird. Während sich die Auswirkungen für Verbraucher voraussichtlich mittelbar bemerkbar machen, müssen sich Unternehmen, die Leistungen von Auskunfteien wie der Schufa in Anspruch nehmen, gegebenenfalls schon jetzt auf Änderungen einstellen. Um sicherzugehen, dass potenzielle Kunden nicht lediglich zum Spielball von Algorithmen werden, müssen die Kunden von Auskunfteien möglicherweise ernstlich vertraglich dazu verpflichtet werden, Mechanismen einzuführen, die menschliche Entscheidungen im nötigen Umfang ermöglichen. Perspektivisch wird dabei die Frage beantwortet werden müssen, wie viel Input eines Menschen nun ausreicht, damit ein automatisierter Vorgang nicht länger als automatisiert gilt. Unternehmen, die Scoring-Werte verwenden, müssen in besonderem Maße überprüfen, unter welchen Voraussetzungen dies möglich ist, um nicht gegen datenschutzrechtliche Vorgaben zu verstoßen.

Ansprechpartner: Markus Ladenburger, Dr. Maximilian Festl-Wietek, Sascha Vogel

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender