Ausgangssituation

Einem Betroffenen wurde aufgrund einer negativen SCHUFA-Auskunft ein Kredit verweigert, woraufhin der Betroffene Auskunft über und Löschung der (seiner Meinung nach) unrichtigen Daten verlangte. Da die SCHUFA dieser Aufforderung nur unvollständig nachkam und zudem auch der mittlerweile eingeschaltete Landesdatenschutzbeauftragten den Antrag auf Erlass einer entsprechenden Verfügung gegen die Auskunftei ablehnte, erhob der Betroffene Klage beim Verwaltungsgericht Wiesbaden.

Das Verwaltungsgericht Wiesbaden leitete die Angelegenheit zwecks Klärung der Frage, „…ob die Ermittlung eines Wahrscheinlichkeitswerts (Score-Wertes) (…) eine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO darstellt“ an den EuGH weiter.

Feststellungen des EuGH

Der EuGH stellte fest, dass der Art. 22 Abs. 1 DSGVO auf Tätigkeiten von Gesellschaften wie der SCHUFA anwendbar ist und das somit die Ermittlung eines auf früheren Verhaltensweisen und auf der Berechnung zukünftig wahrscheinlicher Verhaltensweisen basierenden Score-Wertes eine automatisierte Entscheidung darstellt.

Ferner stellte der EuGH fest,

• dass nur der § 31 BDSG eine nationale Rechtsgrundlage i.S.v. Art. 22 Abs. 2 lit. b DSGVO darstellen könne und
• dass das den Fall vorlegende Verwaltungsgericht zu prüfen habe, ob § 31 BDSG als Rechtsgrundlage qualifiziert werden könne und
• dass er (der EuGH) durchgreifende Bedenken habe, hinsichtlich der Vereinbarkeit des § 31 BDSG mit dem Unionsrecht und
• sofern das nationale Gericht zu dem Schluss käme, dass § 31 BDSG eine (qualifizierte) Rechtsgrundlage darstellt, es noch zu prüfen hätte, ob die in Art. 22 Abs. 2 Buchst. b und Abs. 4 DSGVO und in den Art. 5 und 6 DSGVO aufgestellten Anforderungen im vorliegenden Fall erfüllt sind.

(Mögliche) Folgen des EuGH-Urteils für Verantwortliche (Unternehmen)

Ungeachtet der noch ausstehenden auferlegten Prüfungen durch das Verwaltungsgericht sollten Verantwortliche, die Ihre Geschäftsentscheidungen in der Vergangenheit ausschließlich auf die von Auskunfteien mathematisch-statistisch ermittelte Score-Werte (Bonitäts-Indices) Betroffener gestützt haben ab sofort davon ausgehen, dass diese Vorgehensweise nicht mit den Vorgaben der Datenschutzgrundverordnung vereinbar ist. Unternehmen sollten nicht zuletzt zwecks Vermeidung möglicher Betroffenenbeschwerden, Bußgeldern und Schadenersatzforderungen nicht ausschließlich auf Grundlage einer automatisierten Bewertung der Kreditwürdigkeit entscheiden, ob sie Verträge mit Kunden abschließen.

Bei allen Fragen zu diesem Thema steht Ihnen wie immer Ihr Datenschutzbeauftragter gerne zur Verfügung.