Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart
(1) In einem Fall, in welchem eine die Gewährung eines Kredites beantragende Person aufgrund eines dem Kreditinstitut durch die Schufa übermittelten „schlechten“ Scoring-Werts (hierbei handelt es sich um die automatisierte Ermittlung eines Wahrscheinlichkeitswerts in Bezug auf die Fähigkeit einer Person, ihren Zahlungsverpflichtungen in der Zukunft nachzukommen) den begehrten Kredit nicht bekommen hatte und in welchem der Kunde daraufhin den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) verpflichten wollte, dass Kreditinstitut zur Löschung der fehlerhaften Eintragung sowie zur umfassenden Auskunftserteilung zu bewegen, was der HBDI ablehnte, hat das VG Wiesbaden, welches über die dann erfolgte Klage des Verbrauchers gegen den HBDI zu entscheiden hatte, die Rechtsauffassung vertreten, dass im Hinblick darauf, dass angeblich die Übermittlung eines „schlechten“ Wahrscheinlichkeitswerts (Scorewert) durch die Schufa an ein Kreditinstitut in nahezu allen Fällen dazu führt, dass die Bank die Gewährung des beantragten Kredits abgelehnt, ein Verstoß gegen Art. 22 Abs. 1 DSGVO vorliegt. Dies deshalb, weil nach Auffassung des VGs Wiesbaden aufgrund des Einflusses des Scorewertes der Schufa auf die Kreditentscheidung der Bank allein in der Bildung des Wahrscheinlichkeitswertes (Scorewert) durch die Schufa eine automatisierte Entscheidung i. S. v. Art. 22 DSGVO vorliegt mit der Konsequenz, dass die Schufa in einem solchen Fall nicht nur der umfassenden Auskunftspflicht nach Art. 15 Abs. 1 h DSGVO unterliegen würde, sondern zudem die durch die Schufa vorgenommene Scorewert-Bildung grundsätzlich verboten wäre (vgl. hierzu VG Wiesbaden, Beschluss vom 01.10.2021, 6K 788/20; WI, BeckRS 2021,30719, Rn. 16, 35 und 42; zur vermeintlichen Maßgeblichkeit des übermittelten Score-Wertes auf die Kreditentscheidung des Instituts vgl. Rn. 25).
Vor diesem Hintergrund legte das VG Wiesbaden dem EuGH im Kern die Frage zur Entscheidung vor, ob das Scoring der Schufa bereits eine ausschließlich auf eine automatisierte Verarbeitung beruhende Entscheidung i. S. v. Art. 22 DSGV darstellt, wenn der Dritte – wie das Kreditinstitut im konkreten Fall – den Score seiner Entscheidung über die Begründung eines Vertragsverhältnisses mit der betroffenen Person – im konkreten Fall die Gewährung des Kredites – maßgeblich zugrunde legt.
(2) Was diese Vorlagefrage des VG Wiesbaden anbelangt, so gelangt der EuGH in seinem Urteil vom 07.12.2023, C-634/21 (WM 2023, 23 12; vgl. hierzu auch die beiden Stellungnahmen der Prozessvertreter Prof. Dr. Gregor Thüsing sowie RA Dr. Raphael Rohrmoser in Legal Tribune Online – LTO) zum Ergebnis, dass der Begriff der automatisierten Entscheidung i. S. v. Art. 22 Abs. 1 DSGVO dahingehend weit auszulegen ist, dass eine „automatisierte Entscheidung“ im Einzelfall i. S. v. Art. 22 Abs. 1 DSGVO bereits dann vorliegt, „wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet“ (Rn. 44 ff., 50).
Dies wiederum hat nach Auffassung des EuGH zur Konsequenz, dass die automatisierte Ermittlung eines Wahrscheinlichkeitswertes durch die Schufa bei dessen Maßgeblichkeit für die Kreditentscheidung grundsätzlich verboten ist, es sei denn, eine nationale Rechtsvorschrift erlaubt den Erlass einer solchen automatisierten Entscheidung (so EuGH, a. a. O., Rn. 53 f., 64–68) und die besonderen Voraussetzungen von Art. 22 Abs. 3 u. 4 DSGV sind erfüllt (Rn. 64).
Nachdem das VG Wiesbaden in seiner Vorlageentscheidung vom 01.10.2021 (a. a. O.) selbst ausgeführt hatte, dass als eine solche nationale Rechtsvorschrift nur § 31 BDSG in Betracht kommt (so EuGH, a. a. O., Rn. 71), stellt der EuGH hiervon ausgehend klar, dass es nunmehr dem vorlegenden Gericht obliegt zu prüfen, ob § 31 BDSG als solche nationale rechtswirksame Rechtsvorschrift i. S. v. Art. 22 Abs. 2 b DSGVO qualifiziert werden kann, nach welcher es zulässig ist, eine ausschließlich auf eine automatisierte Verarbeitung beruhende Entscheidung zu erlassen (Rn. 72). In diesem Zusammenhang weist der EuGH das VG Wiesbaden noch daraufhin, dass hierbei auch berücksichtigt werden muss, dass die nationale Rechtsvorschrift, die den Erlass einer automatisierten Entscheidung im Einzelfall erlaubt, angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthält (Rn. 65). Insbesondere müsse die Rechtsvorschrift „die Verpflichtung des Verantwortlichen umfassen, geeignete mathematische oder statistische Verfahren zu verwenden, technische und organisatorische Maßnahmen zu treffen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird und Fehler korrigiert werden, und personenbezogene Daten in einer Weise zu sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und insbesondere zu verhindern, dass es ihr gegenüber zu diskriminierenden Wirkungen kommt“ (Rn. 66).
PRAXISTIPP
(1) Für die Praxis ist ganz entscheidend hervorzuheben, dass der EuGH das Scoring der Schufa nur dann als unter Art. 22 Abs. 1 DSGVO fallend angesehen hat, wenn Kreditinstitute dem ihnen durch die Schufa übersandten Score-Wert bei ihrer Kreditentscheidung „eine maßgebliche Rolle" beimessen. Diesbezüglich hatte bereits das VG Wiesbaden ausgeführt, dass man von der Maßgeblichkeit des Score-Wertes auf die Kreditentscheidung erst dann sprechen kann, wenn diese „Entscheidung praktisch in so erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert determiniert (wird), dass jener gleichsam durch die Entscheidung des dritten Verantwortlichen durchschlägt. Anders gewendet: Eigentlich entscheidet über das ob und wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person letztlich doch der aufgrund automatisierter Verarbeitung von der Wirtschaftsauskunft erstellte Score-Wert“ (so VG Wiesbaden, a. a. O., Rn. 25). Der Generalanwalt beim EuGH knüpft wiederum in seinem Schlussantrag vom 16.03.2023 (BeckRS 2023, 4643, Rn. 46) zwar an diese Ausführungen des VG Wiesbaden an, meint jedoch vor dem Hintergrund des Wortlauts des Art. 22 Abs. 1 DSGVO, wonach die Entscheidung „ausschließlich“ auf einer automatisierten Verarbeitung beruhen muss, „dass die automatisierte Verarbeitung der einzige Aspekt (bleiben muss), der den Ansatz des Finanzinstituts gegenüber dem Kreditantragsteller rechtfertigt. Dies wäre der Fall, wenn im Rahmen des Verfahrens ein Mensch beteiligt wäre, ohne jedoch in der Lage zu sein, den Kausalzusammenhang zwischen der automatisierten Verarbeitung und der endgültigen Entscheidung zu beeinflussen. Die Auskunft müsste de facto die endgültige Entscheidung treffen“ (Rn. 44).
Bedenkt man dies und berücksichtigt man wiederum, dass die Schufa als Reaktion auf vorstehende EuGH-Entscheidung bereits hat mitteilen lassen, dass das weit überwiegende Feedback ihrer Kunden dahingehend lautet, dass Zahlungsprognosen in Form des Schufa-Scores für sie zwar wichtig seien, aber in aller Regel nicht allein entscheidend für einen Vertragsschluss sind, dann dürften, sollte die dahingehende Positionierung der Schufa tatsächlich zutreffend und belegbar sein, wofür einiges spricht, ganz erhebliche Zweifel an der Erfüllung der vom EuGH für das Eingreifen von Art. 22 Abs. 1 DSGVO als zwingend angesehene Voraussetzung der „Maßgeblichkeit" des Score-Werts der Schufa für die Kreditentscheidung der Bank bestehen mit der Konsequenz, dass das Scoring der Schufa nach wie vor grundsätzlich zulässig wäre, weil das Scoring dann gerade nicht unter Art. 22 Abs. 1 DSGVO fällt. Dies gilt erst recht, wenn man die strenge Definition des Generalanwalts „einziger Aspekt“ sowie „Beeinflussung des Kausalzusammengangs“ berücksichtigt und weiter bedenkt, dass der Gesetzgeber den Kreditinstituten in §§ 18, 18a KWG sowie in §§ 505a ff. BGB konkrete Anforderungen für eine Kreditwürdigkeit vorgibt, wobei ein Kriterium von Vielen für die Kreditwürdigkeitsprüfung auch Schufa-Auskünfte sein können/müssen (§ 505b Abs. 1 BGB). Jedenfalls muss nunmehr das VG Wiesbaden prüfen, ob die in Rn. 25 seines Vorlagebeschlusses vom 01.10.2021 erfolgte Feststellung nach wie vor richtig ist, wonach den Score-Werten der Schufa bei der Kreditvergabe „in fast jedem Fall“ die „Maßgeblichkeit“ i. S. d. EuGH-Entscheidung i. d. S. zukommt, dass der Score-Wert der Schufa bei der Entscheidung über die Kreditvergabe tatsächlich den „einzigen Aspekt“ darstellt oder ob es in der Realität nicht doch noch so ist, dass der mit der Kreditentscheidung befasste Mensch den Kausalzusammenhang „schlechter Score-Wert/negative Kreditentscheidung“ jederzeit durchbrechen kann, wofür vieles spricht. Dies gilt vor allem dann, wenn die Kreditentscheidung nicht vollständig KI-automatisiert erfolgt, sondern letztlich ein Mensch die Kreditentscheidung trifft.
Nach den üblichen prozessualen Grundsätzen ist es hiervon unabhängig jedenfalls so, dass es dem potentiellen Kreditnehmer/Betroffenen obliegt darzulegen und auch zu beweisen, dass der der Bank durch die Schufa übermittelte Score-Wert der allein maßgebliche Aspekt für die Entscheidung darüber gewesen ist, ihm keinen Kredit zu gewähren. Damit darf das VG Wiesbaden nach hier vertretener Auffassung – anders als bisher geschehen – nicht allein aufgrund von Vermutungen und Unterstellungen die Maßgeblichkeit des Score-Werts für die Kreditentscheidung bejahen/unterstellen, sondern muss, gegebenenfalls beraten durch einen Sachverständigen und/oder durch Zeugenbeweis, konkret prüfen, ob der übermittelte Score-Wert im konkret betroffenen Einzelfall maßgeblich i. S. d. EuGH für die Kreditentscheidung gewesen ist. Zur Verschaffung einer besseren Beweissituation könnte sich die Schufa daher bereits jetzt vorsorglich von den Kreditinstituten und auch von ihren anderen Partnern schriftlich zusichern lassen, dass der diesen übermittelte Score-Wert einer von mehreren Kriterien darstellt, anhand welchen das Institut letztendlich seine Kreditentscheidung trifft, wozu das Kreditinstitut, wie dargestellt, sowohl aufsichtsrechtlich als auch zivilrechtlich verpflichtet ist. Mit einer solchen schriftlichen Bestätigung dürfte es dann den Gerichten noch schwerer fallen, entsprechend dem VG Wiesbaden die „Maßgeblichkeit“ schlichtweg zu unterstellen.
(2) Bejaht das VG Wiesbaden die Maßgeblichkeit des Score-Werts im Einzelfall, dann müsste es hieran anschließend prüfen, ob aufgrund der seiner Meinung nach allein in Betracht kommenden Legitimationsgrundlage der nationalen Vorschrift des § 31 BDSG der Erlass der ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung der Schufa, der Score-Wert, nicht doch ausnahmsweise zulässig i. S. v. Art. 22 Abs. 2 DSGVO ist, was bisher immer so gesehen wurde und wovon auch der deutsche Gesetzgeber bisher ausgegangen ist (so Zahrte, in Ellenberger/Bunte, Bankrechts-Handbuch, 6. Aufl. 2022, § 10 Auskunfteien, Rn. 48).
Vor dem Hintergrund der geäußerten Wirksamkeitsbedenken des VG Wiesbaden in Bezug auf diese Norm sollte allerdings der Gesetzgeber schnellstmöglich durch Änderung oder Anpassung der Norm des § 31 BDSG, dies auch unter Berücksichtigung der Vorgaben des EuGH in seiner Entscheidung vom 07.12.2023, klarstellen, dass es nach dieser Norm zulässig ist, eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung i. S. d. Schufa-Scoring zu treffen. Denn dass ein zwingendes Bedürfnis dafür besteht, die Bonität und Kreditwürdigkeit von Personen und Institutionen zu erfassen, zu bewerten und diese in einen Score-Wert zusammenzufassen, ist offenkundig und dient den einen solchen Wert abfragenden Unternehmen zur Vermeidung wirtschaftlicher Risiken und Kreditausfällen. Dabei ist ebenso offenkundig, dass der Score-Wert einer Person für den Vertragspartner, dem es aufgrund der Privatautonomie freisteht zu entscheiden, ob und mit wem er einen Vertrag abschließt, eine ganz entscheidende Information darstellt, die ihm nicht ohne Grund vorenthalten werden darf. Immerhin obliegt es auch dem Verantwortungsbereich eines jeden einzelnen Verbrauchers, für seine eigene gute Kreditwürdigkeit und Bonität zu sorgen. Schließlich darf nicht unberücksichtigt bleiben, dass die Zurverfügungstellung von Score-Werten nicht nur die wirtschaftlichen Verhältnisse der Unternehmen schützt, die kreditrelevante Verträge eingehen wollen, sondern zudem ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft bildet (so EuGH, Urteil v. 07.12.2023, C-26/23 u. 69/22, WM 2023, 2316, 2321, Rn. 82, nachfolgend besprochenes Urteil). Schließlich möge der Gesetzgeber bedenken, dass ohne eine entsprechende gesetzliche Legitimation eine ausschließlich KI-generierte (Kredit-)Entscheidung z. B. bei der Gewährung von Kleinkrediten kaum möglich sein dürfte, ohne gegen die DSGVO zu verstoßen.
Beitragsnummer: 22433