Art. 22 Abs. 1 der Datenschutz-Grundverordnung ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet. (Leitsatz des EuGH, nach Rn. 75).

Die Reichweite des Artikel 22 Absatz 1 der DSGVO ist maßgeblich für die Beantwortung der Frage, ob und unter welchen Voraussetzungen das Scoring der Schufa zulässig ist. Diese Frage hatte das Verwaltungsgericht Wiesbaden dem EuGH vorgelegt und der Gerichtshof hat sich für eine weite Auslegung dieser Schutzvorschrift entschieden.

Nach Art. 22 Abs. 1 DSGVO hat eine von einer Datenverarbeitung betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Laut EuGH ist die Erstellung des Score-Wertes durch die Schufa
als eine „Entscheidung“ im Sinn dieser Regelung zu werten. Damit sind das Scoring und der davon getrennte Vertragsabschluss durch Dritte (Banken, Vermieter, Energieversorger) datenschutzrechtlich eng verbunden. Der Score-Wert kann über die Frage der Kreditgewährung entscheiden.

Die Schufa argumentiert zwar, ihre Score-Bewertungen seien nicht maßgeblich für die Entscheidung von Unternehmen, beispielsweise Kredite zu vergeben. Das VG Wiesbaden geht aber vom Gegenteil aus: Im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags führe ein unzureichender Wahrscheinlichkeitswert in „nahezu allen Fällen“ dazu, dass die Bank die Gewährung des beantragten Kredits ablehne (vgl. Rn. 48).

Das bedeutet: Für das Scoring ist eine gesetzliche Grundlage erforderlich, Art. 22 Abs. 2 Buchstabe b DSGVO. Im vorliegenden Fall weist das VG Wiesbaden darauf hin, dass nur § 31 Bundesdatenschutzgesetz (BDSG) eine solche darstellen könnte. Diese ist aber nach Meinung des VG mit dem Unionsrecht unvereinbar (vgl. Rn. 25, 71).

Der EuGH folgert daraus: Sollte § 31 BDSG als mit dem Unionsrecht unvereinbar angesehen werden, würde die SCHUFA nicht nur ohne Rechtsgrundlage handeln, sondern verstieße gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot. Sollte hingegen § 31 BDSG als Rechtsgrundlage unionsrechtskonform sein, so müssten zusätzlich weitere datenschutzrechtliche Anforderungen erfüllt werden, insbesondere aus Art. 6 DSGVO (Rn 69 ff,; zur notwendigen Interessensabwägung verweist der EuGH auf sein weiteres Urteil vom 07.12.2023 (dort in Rn. 79), Rn. 70) An diese wäre auch der nationale Gesetzgeber gebunden. Die Fragen wird nun zunächst das VG Wiesbaden entscheiden.
Pressemitteilung des EuGH vom 07.12.2023
EuGH, Urteil vom 07.12.2023 – C-634/21 – SCHUFA Holding (Scoring)