1. Hintergrund
Ob Verbraucher in Deutschland einen Kredit bekommen oder Produkte und Dienstleistungen „auf Rechnung“ erwerben können, hängt in vielen Fällen (auch) von ihrem „Schufa-Score“ ab.
Diesen errechnet die Schufa auf Basis einer Vielzahl personenbezogener Daten. Wie genau das geschieht, teilt das Unternehmen jedoch nicht mit.
Das ist nicht nur für Menschen interessant, die als Verbraucher einen Kredit bekommen oder eben auch nicht. Das Thema interessiert auch Datenschützer.
Der EuGH hat nun untersucht, ob diese Scoring-Praktiken sowie der Einsatz der Score-Werte durch andere Unternehmen mit der Datenschutzgrundverordnung (DSGVO) vereinbar sind.
2. Das Urteil
Der EuGH sagt: Unternehmen dürfen den Score nicht als alleinige oder maßgebliche Grundlage für eine Vertragsentscheidung heranziehen. Der Grund ist, dass dann bereits die Errechnung des Bonitäts-Score-Werts eine sogenannte „automatisierte Entscheidung im Einzelfall“ wäre, die nach DSGVO nicht zulässig ist. Sowohl die Unternehmen als auch Verbraucher können nämlich nicht nachvollziehen, wie dieser Wert zustande kommt.
3. Was müssen Unternehmen beachten?
Ob das SCHUFA-Scoring zulässig ist, hängt also davon ab, wie Unternehmen mit den Score-Werten weiter umgehen. Wird die Entscheidung über Vertragsabschlüsse „maßgeblich“ auf den jeweiligen Schufa-Score gestützt, ist dies laut EuGH nicht DSGVO-konform.
Die Feststellungen des EuGH gelten formal zwar nur für die SCHUFA, können jedoch auf alle Auskunfteien übertragen werden, die solche Bonitäts-Scores anbieten. Wer also Bonitäts-Scores als Entscheidungsgrundlage im Rahmen von Vertragsschlüssen heranzieht, sollte sicherstellen, dass dieser Wert nachweislich nur eines von mehreren Kriterien ist und die finale Entscheidung von Mitarbeitenden getroffen wird.
Im Falle der Verwendung von Bonitäts-Scores empfiehlt es sich deshalb, verbindliche Kriterien für solche Entscheidungsprozesse in Form einer Richtlinie oder eines Leitfadens für Mitarbeitende zu schaffen und dies zusätzlich in der eigenen Datenschutzdokumentation (z.B. in foxondo) festzuhalten.
4. Ausblick
Die Auskunfteien berufen sich bei ihrer Scoring-Praxis bisher auf eine Ausnahmeregelung in § 31 Bundesdatenschutzgesetz, deren Rechtmäßigkeit momentan deutsche Gerichte prüfen. Die Bundesregierung hat bereits eine Neuregelung im BDSG angekündigt, um die Voraussetzungen für eine europarechtskonforme Scoring-Praxis zu schaffen. Wir beobachten das Thema und informieren Sie, wenn es dazu Neuigkeiten gibt.
Zusammenfassung
Automatisierte Einzelentscheidungen mit Rechtsfolgen für Betroffene sind laut DSGVO nicht zulässig. Unternehmen sollten ihre Entscheidungen über die Vergabe von Krediten oder den Kauf auf Rechnung daher nicht allein vom Schufa-Score eines Kunden abhängig machen. Bei Fragen hierzu steht fox-on gerne zur Verfügung.