Schufa und die DSGVO
Betroffenenschutz (nicht) um jeden Preis?
Die Schufa Holding AG trifft als sogenannte Auskunftei aufgrund der Zahlungszuverlässigkeit von Verbrauchern in der Vergangenheit und weiterer Faktoren Aussagen über die Zahlungswahrscheinlichkeit in der Zukunft. Diese generierten, sogenannten Scores können von kooperierenden Händlern abgefragt werden. Nicht nur der europäische Gesetzgeber trifft hierzu datenschutzrechtliche Regelungen in Art. 22 DSGVO, sondern auch der deutsche Gesetzgeber in § 31 BDSG. Durch den Vorlagebeschluss des VG Wiesbaden (Beschl. v. 01.10.2021 – 6 K 788/20.WI) wird der EuGH nun Gelegenheit haben, nicht nur diese datenschutzrechtlichen Anforderungen an das Scoring zu konkretisieren, sondern zugleich auch Stellung zu nehmen zu der Frage, inwieweit dem nationalen Gesetzgeber unter der DSGVO im Bereich des Scoring überhaupt ein Gestaltungsspielraum – für § 31 BDSG – verbleibt.
Im Kern stellen sich im Rahmen des Verfahrens zunächst zwei Fragen:
- Wird die Tätigkeit der Schufa – die Berechnung und Übermittlung von Werten über die (Rück-)Zahlungswahrscheinlichkeit – adressiert in
(i) Art. 22 DSGVO (s. erste Vorlagefrage des VG) und/oder
(ii) § 31 BDSG (zu entscheiden durch das VG)? - Darf der nationale Gesetzgeber eigenständig und über die DSGVO hinaus Anforderungen an das sogenannte Scoring regeln? (s. zweite Vorlagefrage des VG)
Der Vorlagebeschluss selbst leidet an mehreren Mängeln. Er bietet dem EuGH aber die Möglichkeit, den Anwendungsvorrang des Europarechts auch mit Blick auf die DSGVO zu betonen und § 31 BDSG dementsprechend aufgrund der Unionsrechtswidrigkeit einen (substanziellen) Anwendungsbereich abzusprechen – auch wenn der § 31 BDSG die Rechte betroffener Personen stärken mag.
Hintergrund
Die Auskunftei Schufa ist bekannt als das Scoring-Unternehmen in Deutschland. Auf Grundlage von Meldungen ausstehender Zahlungen kooperierender Unternehmen (sog. Negativeinträge) sowie weiterer Faktoren, wie etwa der Vertragshistorie, werden individuelle Werte über die Wahrscheinlichkeit (sog. Scores) gebildet, mit der die betroffene Person ihren (Rück-)Zahlungsverpflichtungen nachkommen wird. Diese Werte werden im Einzelfall von kooperierenden Unternehmen abgefragt, beispielsweise im Zusammenhang mit einer „Zahlung auf Raten“ oder anderen Kreditmodellen.
Bei all diesen Vorgängen werden Informationen verarbeitet, die Rückschlüsse auf die bewerteten, natürlichen Personen zulassen. Es kommt mithin zu Verarbeitungen personenbezogener Daten, die jeweils eines Rechtfertigungsgrunds bedürfen (Art. 6 Abs. 1 DSGVO, vgl. auch das „Profiling“ in Art. 4 Nr. 4 DSGVO). Zu nennen sind hier etwa die Einwilligung, die Erforderlichkeit im Zusammenhang mit einem Vertragsschluss oder eine spezielle Rechtsgrundlage. Eine auf dieser Grundlage automatisiert getroffene Entscheidung mit rechtlicher oder Beeinträchtigungswirkung, wie etwa die Versagung eines Kreditvertragsabschlusses, erfordert zusätzlich eine besondere Rechtfertigung nach Art. 22 Abs. 2 DSGVO. Insoweit kommt neben der Einwilligung oder Erforderlichkeit im Zusammenhang mit einem Vertragsschluss nur eine unionsrechtliche oder mitgliedstaatliche Rechtsgrundlage in Betracht. Außerdem ist die betroffene Person über die „involvierte Logik“ zu informieren (Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g, Art. 15 Abs. 1 lit. h DSGVO).
Im vorliegenden Fall wurde der Klägerin durch ein Unternehmen ein Kreditvertrag verweigert. Das besagte Unternehmen hatte zuvor einen entsprechenden Score bei der Schufa abgefragt. Die Klägerin wandte sich darauffolgend an die Schufa und verlangte unter anderem Auskunft über die sie betreffenden personenbezogenen Daten und das angewandte Scoring (Art. 15 DSGVO). Die Schufa beschränkte ihre Auskunft auf die grundsätzliche Funktionsweise des Algorithmus, ohne konkrete Kriterien und deren Gewichtung offenzulegen. Zudem verwies die Schufa darauf, dass die eigentliche Entscheidung über den Vertragsschluss durch das kooperierende Unternehmen getroffen worden sei. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HDI) lehnte ein weiteres Vorgehen gegen die Schufa ab, woraufhin die Betroffene vor dem VG Wiesbaden klagte. Die Schufa ist Beigeladene des Verfahrens, das das VG ausgesetzt hat, um dem EuGH gemäß Art. 267 AEUV zwei Fragen zur Vorabentscheidung vorzulegen.
(Hypothetische) Bewertung ausschließlich nach der DSGVO
Betrachtet man zunächst die Rechtslage ausschließlich nach der DSGVO, sind maßgeblich die Vorgaben aus Art. 6, 22 DSGVO zu beachten. Als Rechtsgrundlage für die Verarbeitung nach Art. 6 DSGVO stützt sich die Schufa auf eine Einwilligung und/oder ein berechtigtes Interesse.
Im Mittelpunkt steht aber vielmehr die Frage nach der Reichweite des Art. 22 DSGVO. Nur wenn bereits die Schufa mit der Berechnung (und Übermittlung) des Scorewerts eine Entscheidung trifft, die der betroffenen Person „gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“, bedarf es nach Art. 22 Abs. 2 DSGVO einer weiteren, speziellen Rechtsgrundlage. Diese Rechtsgrundlage ist dann bereits für die Tätigkeit der Schufa erforderlich und nicht bloß auf Seiten des Unternehmens, das den Scorewert anschließend abfragt.
Angesichts des Wortlauts des Art. 22 Abs. 1 DSGVO sind durchaus Zweifel angebracht. Die finale Entscheidung über einen Vertragsschluss wird schließlich durch das kooperierende Unternehmen gefällt. Die Beispiele in den Erwägungsgründen scheinen dies zu bestätigen (z.B. die „automatische Ablehnung eines Online-Kreditantrags“ in Erwägungsgrund 71 S. 1 DSGVO). Das hebt auch die Schufa in ihrer Datenschutzerklärung hervor: „Wichtig zu wissen: Die SCHUFA selbst trifft keine Entscheidungen“.
Das VG identifiziert hier ein Dilemma: Nur die Schufa verfügt über Informationen zur „involvierte[n] Logik“ im Fall einer automatisierten Entscheidung nach Art. 22 DSGVO. Unterfallen die Tätigkeiten der Schufa nicht dem Art. 22 DSGVO, muss die Schufa diese Informationen nicht bereitstellen und das kooperierende Unternehmen kann sie mangels Kenntnis nicht bereitstellen. Gestützt auf die Notwendigkeit eines effektiven Rechtschutzes und auf weitere Erwägungen geht das VG letztlich davon aus, dass Art. 22 DSGVO auf die Tätigkeiten der Schufa Anwendung findet. Die erste Vorlagefrage bietet dem EuGH nun die Möglichkeit, sich dem anzuschließen. Angesichts der „datenschutzfreundlichen“ Rechtsprechung des EuGH in der Vergangenheit erscheint dies nicht unwahrscheinlich. Der Gerichtshof hat schließlich in zahlreichen Verfahren den Grundrechten der betroffenen Personen einen besonderen Stellenwert eingeräumt (vgl. nur EuGH, Urt. v. 29.07.2019 – C‑40/17, Rn. 65 m.w.N.).
Eine solche Auslegung hätte zur Konsequenz, dass die Schufa ihre „Entscheidung“ wohl entweder auf eine Einwilligung oder eine spezielle Rechtsgrundlage (womöglich § 31 BDSG – dazu sogleich) im Sinne des Art. 22 Abs. 2 DSGVO stützen müsste. Im Fall der Einwilligung stehen betroffenen Personen zudem nach Art. 22 Abs. 3 DSGVO weitere Rechte zu, wie etwa das Recht auf menschliches Eingreifen.
Einbeziehung des – wohl unionsrechtswidrigen – § 31 BDSG
Der deutsche Gesetzgeber hat sich dafür entschieden, in § 31 BDSG besondere Anforderungen an das Scoring zu stellen. § 31 Abs. 1 BDSG verlangt für die Verwendung eines Scorewerts für Vertragsentscheidungen im Allgemeinen unter anderem, dass (deklaratorisch) „die Vorschriften des Datenschutzrechts eingehalten wurden“, ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren zum Einsatz kommt und nicht ausschließlich Anschriftendaten verwendet werden. § 31 Abs. 2 BDSG stellt im Fall der Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts außerdem erhöhte Anforderungen an die Einbeziehung von den Negativeinträgen – Informationen über ausgebliebene Zahlungen – über den Verzug hinaus (z.B. rechtskräftiges Urteil oder durch den Schuldner ausdrücklich anerkannte Forderung). Der HDI berief sich unter anderem darauf, dass die Schufa „in aller Regel“ die Anforderungen des § 31 BDSG erfülle. Es sind erhebliche Zweifel angebracht, dass dies mit Blick auf Art. 6, 22 DSGVO ausreichend ist.
Die Vorschrift ist mitnichten eine Meisterleistung des deutschen Gesetzgebers (s. schon zuvor an dieser Stelle m.w.N.). Wie es auch das VG mit Verweis auf die Gesetzesbegründung (vgl. bspw. BT-Drucks. 18/11325, S. 101) impliziert, kann die Vorschrift als Versuch gesehen werden, in Deutschland vor Inkrafttreten der DSGVO geltende Scoring-Vorschriften auch im DSGVO-Zeitalter zu bewahren. Pikant hierbei: Die Vorschrift regelt nur die „Verwendung“ eines Scorewerts für Vertragsentscheidungen. Die Verwendung erfolgt allerdings durch das kooperierende Unternehmen und nicht durch die Schufa. Es bleibt das Geheimnis des VG, inwieweit die Vereinbarkeit der Vorschrift mit der DSGVO (s. zweite Vorlagefrage) im vorliegenden Fall mit Blick auf die Tätigkeiten der Schufa von Relevanz ist. Zumindest bedarf es eines Begründungsaufwands, um § 31 BDSG mittels weiter Auslegung auf die Tätigkeiten der Schufa zu erstrecken. Es wird zudem dann nicht klar, warum diese zweite Vorlagefrage nach Ansicht des VG nur für den Fall zu beantworten sein soll, dass Art. 22 Abs. 1 DSGVO die Tätigkeiten der Schufa nicht erfasst. Gerade dann, wenn Art. 22 Abs. 1 DSGVO Anwendung auf die Tätigkeiten der Schufa findet, wäre die Frage nach zusätzlichen Voraussetzungen aus § 31 BDSG neben Art. 22 DSGVO umso drängender. Die Pressemitteilung lässt sich ebenfalls in diese vorzugswürdige Richtung verstehen. Nachfolgend wird die Anwendbarkeit der Art. 22 DSGVO, § 31 BDSG auf die Tätigkeiten der Schufa unterstellt und die Regelung des § 31 BDSG und dessen Vereinbarkeit mit der DSGVO untersucht.
Vereinbarkeit von § 31 BDSG mit Unionsrecht
Ignoriert man die Ungereimtheiten im Vorlagebeschluss, bietet sich dem EuGH also die begrüßenswerte Gelegenheit, über die Vereinbarkeit von § 31 BDSG mit Unionsrecht zu entscheiden. Die DSGVO gilt als Verordnung im Sinne des Art. 288 UA 2 AEUV unmittelbar in den Mitgliedstaaten und genießt Anwendungsvorrang gegenüber konfligierenden mitgliedstaatlichen Regelungen. Die DSGVO verfolgt grundsätzlich den Anspruch einer Vollharmonisierung (vgl. bspw. Erwägungsgrund 10 DSGVO sowie die zahlreichen Öffnungsklauseln). Diese Annahme ist mit Blick auf die jeweilige Materie und zugehörigen Vorschriften zu überprüfen (vgl. unter der Datenschutz-Richtlinie 95/46/EG EuGH Urt. v. 19.10.2016 – C‑582/14, Rn. 62). Auch unter der DSGVO kann dem europäischen Gesetzgeber schließlich nicht unterstellt werden, jedes zivil- oder verwaltungsrechtliche Randgebiet abschließend regeln zu wollen – ungeachtet der Frage nach der Kompetenz.
Man könnte zunächst daran denken, § 31 BDSG als spezielle Rechtsgrundlage im Sinne des Art. 22 Abs. 2 lit. b DSGVO anzusehen, soweit sich die Anwendungsbereiche beider Vorschriften überschneiden. Angesichts des Fokus auf die „Entscheidung“ auf Grundlage automatisierter Verarbeitungen (Art. 22 Abs. 2 lit. b DSGVO) beziehungsweise die „Verwendung“, gleich ob automatisiert oder nicht (§ 31 BDSG), meldet das VG hier zurecht Bedenken an. Der Wortlaut des § 31 Abs. 1 BDSG („ist nur zulässig“, Hervorhebung durch den Autor) lässt ebenfalls zweifeln, ob der § 31 BDSG tatsächlich zu Entscheidungen im Sinne des Art. 22 DSGVO ermächtigen soll. Geht man dementsprechend davon aus, dass in § 31 BDSG keine Rechtsgrundlage im Sinne des Art. 22 Abs. 2 lit. b DSGVO zu sehen ist, bestehen erhebliche Zweifel an der Anwendbarkeit des § 31 BDSG.
§ 31 BDSG stellt keine Anforderungen an die Automatisierung. Insoweit sind Sachverhalte denkbar, in denen § 31 BDSG greift, nicht aber der Art. 22 DSGVO, der eine automatisierte Verarbeitung voraussetzt. Für derartige Sachverhaltskonstellationen könnte man also die Anwendbarkeit des § 31 BDSG annehmen, da er insoweit auf dem ersten Blick nicht in Widerspruch zu Art. 22 DSGVO steht. Praktisch werden solche nicht-automatisierten Entscheidungen aber kaum vorkommen (man denke etwa an die in der Regel automatisiert stattfindenden Vertragsentscheidungen im Onlinehandel). Zumindest soweit es sich um teilautomatisierte Verarbeitungen handelt, findet die DSGVO außerdem insgesamt Anwendung. Ihr ist insoweit die Wertung zu entnehmen, dass Entscheidungen und Vorbereitungshandlungen auf Grundlage einer teilautomatisierten Verarbeitung ungeachtet des Art. 22 DSGVO grundsätzlich keinen weiteren Anforderungen unterliegen sollen. Die in Art. 6 DSGVO enthaltenen Öffnungsklauseln für Verarbeitungen beziehen sich dementsprechend nur auf die Verarbeitungen selbst und nicht auf derartige Entscheidungen und Vorbereitungshandlungen. Die weitgehende Öffnungsklausel in Art. 23 Abs. 1 lit. j DSGVO, die auf Erleichterungen zur Durchsetzung zivilrechtlicher Ansprüche abzielt, erscheint nicht einschlägig.
So sehr der § 31 BDSG auch im Sinne des Betroffenenschutzes (vgl. Art. 1 Abs. 2 DSGVO, Art. 8 Abs. 1 GRCh) wirken und einen erhöhten Schutzstandard in Scoringsachverhalten schaffen mag – für die Vorschrift verbleibt mit Blick auf die DSGVO wohl kein nennenswerter Anwendungsbereich. Mit Spannung bleibt abzuwarten, ob sich der EuGH dem anschließen wird, oder überraschend den Mitgliedstaaten einen Regelungsspielraum zugestehen wird.
Schlussbetrachtung
Es sei abschließend noch einmal darauf hingewiesen, dass die die Scorewerte verwendenden Unternehmen – ungeachtet der Schufa – eigenständig die Anforderungen aus Art. 6, 22 DSGVO für ihre Verarbeitung und Entscheidung zu beachten haben.
Der Vorlagebeschluss wirft im Übrigen weitaus mehr als nur die zwei Vorlagefragen auf. Er bietet dem EuGH gleichwohl die Gelegenheit, die Anforderungen des Art. 22 DSGVO zugunsten einer weiten Auslegung zu konkretisieren und den missglückten § 31 BDSG als solchen zu benennen. Der EuGH kann insoweit zuvor unter der Datenschutz-Richtlinie 95/46/EG entwickelte Grundsätze weiterentwickeln und mit Blick auf die DSGVO mit erhöhtem Harmonisierungsniveau konkretisieren.