Mit diesem Urteil vom 7. Dezember 2023 stellt der Europäische Gerichtshof (EuGH) klar, dass das Geschäftsmodell von Wirtschaftsauskunfteien wie der SCHUFA, aber auch allen anderen Wirtschaftsauskunfteien in Europa in all den Fällen in Frage steht, in denen der - zweifelsohne automatisiert erstellte - Scorewert - wie fast immer - maßgeblich ist für eine Kreditgewährung oder den Abschluss sonstiger Verträge wie etwa Leasing-, Mobilfunk-, Strom oder Gasverträge sowie beim Kauf auf Rechnung ist.

Betroffen davon sind auch Tierärzte, die Wirtschaftsauskunfteien in Anspruch nehmen, um im Vorfeld der Gewährung eines Zahlungsziels Informationen über die Bonität von Tierhaltern zu bekommen.

Das „Scoring" ist ein mathematisch-statistisches Verfahren, das es ermöglichen soll, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits oder die Begleichung einer Telefonrechnung vorauszusagen.

Scoring - ja aber...

Artikel 22 DSGVO jedoch räumt einer betroffenen Person das Recht ein, „nicht einer ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt“.

In seinem Urteil hat der EuGH konsequent hergeleitet, dass das Scoring der Auskunfteien als eine automatisierte Entscheidung gemäß Artikel 22 DSGVO zu werten ist.

Bedingungslos untersagt hat er das Scoring jedoch nicht. Vielmehr hat er das Verbot seiner Anwendung an drei Kriterien geknüpft:

1. Es muss eine „Entscheidung“ vorliegen,
2. diese Entscheidung muss „ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen“, und
3. sie muss „gegenüber der betroffenen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen“.

Eine besondere Bedeutung kommt dem Punkt 2 zu, weil der EuGH hierzu die Maßgeblichkeit ins Spiel bringt, sprich: Die Praxis der Bonitätsbewertung verstößt gegen die DSGVO, wenn die Entscheidung maßgeblich vom Scorewert abhängt.

In der Praxis bedeutet dies, dass beispielsweise Banken ihre Praxis bei Kreditentscheidungen nicht ändern müssen, weil sie in der Regel selbst noch weitere Informationen wie z.B. Vermögenswerte und Einkommensinformationen der betroffenen Person in ihre Entscheidung einfließen lassen kann und die Entscheidung dann eben nicht maßgeblich vom Scoringwert abhängt.

Viele andere Unternehmen - und hierunter fallen auch Tierärzte – werden ihre Entscheidung, ob sie Tierhaltern Zahlungsziele einräumen, zukünftig vermutlich nicht mehr ausschließlich auf eine Bonitätsprüfung stützen können. Und das bedeutet? Richtig. Mehr Aufwand. Denn die Entscheidungsgrundlagen müssen im Zweifelsfall individuell nachgewiesen werden.

Weshalb „vermutlich“?

„Vermutlich“ deshalb, weil der Spruch des EuGH noch keine direkte Rechtsverbindlichkeit auslöst. Das Urteil dient vielmehr dem Verwaltungsgericht Wiesbaden, welches den EuGH mit der Bitte um Klärung angerufen hat, als Richtlinie für den von ihm verhandelten konkreten Fall, in dem eine betroffene Person gegen die hessische Datenschutzaufsichtsbehörde klagt. Die Person wendet sich gegen eine Entscheidung der Datenschutzaufsichtsbehörde, welche die Praxis der SCHUFA als gesetzeskonform bewertet hatte.

Bei dem Verfahren wird das Verwaltungsgericht auch noch das nationale Bundesdatenschutzgesetz (BDSG) – im Besonderen § 31 „Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“ berücksichtigen müssen. Dieses wurde vom EuGH, der vorwiegend die DSGVO betrachtet, nur am Rande berücksichtigt.

Somit wird erst das Urteil des VG Wiesbaden in allen Punkten abschließende Klarheit bringen.

„Vermutlich“ auch deshalb, weil es von verschiedenen Seiten, und da gehören die Wirtschaftsauskunfteien selbstverständlich auch dazu, Bestrebungen gibt, im Rahmen der wohl im nächsten Jahr anstehenden BDSG-Novelle auch den § 31 BDSG entsprechend zu überarbeiten. Der EuGH hatte in seinem Urteil Bedenken angemeldet, dass der Paragraph der DSGVO in Teilen widerspreche und deshalb nicht anwendbar sei. Weiterhin werden auch im Bereich der Künstlichen Intelligenz (KI) zukünftig vielfältige Entscheidungsprozesse mit Auswirkungen auf Personen vollständig automatisiert durchgeführt werden. Auch diese Fälle wären von dem Urteil betroffen und es zeigt sich, dass § 31 BDSG hier nicht zeitgemäß ist.

Wie geht es nun weiter?

Das Verwaltungsgericht Wiesbaden wird nun auf Grundlage des EuGH-Urteils sein Urteil in dem anhängigen Verfahren fällen. Da der EuGH nicht explizit formuliert hat, was er genau unter „maßgeblich“ versteht, wird hier das VG Wiesbaden konkreter werden müssen. Und auch zu der Frage, wie die "durchgreifenden Bedenken" des EuGH an der Wirksamkeit des § 31 BDSG zu werten sind, wird sich das Gericht zu äußern haben.

Mittelfristig wird eine Reform des § 31 BDSG notwendig sein, denn zum einen wird er in Anbetracht des EuGH-Urteils bei den zukünftigen Fragestellungen, die sich durch die KI-Anwendungen ergeben werden, seiner ursprünglichen Aufgabe nicht mehr gerecht werden und zum anderen ist die Bedeutung der Wirtschaftsauskunfteien für den Geschäftsverkehr zu bedeutend.

Inwieweit dies die Wirtschaftsauskunfteien dazu verpflichten wird, zukünftig transparenter auf Auskunftsanfragen gemäß Artikel 15 DSGVO zu antworten, indem sie auch offenlegen, wie die Bewertung im Detail zustande kam, wird sich in der Praxis zeigen müssen. Auch hierzu hat der EuGH in seinem Urteil aufgefordert. Allerdings war deren Willezur Transparenz bislang nicht besonders ausgeprägt. Und würde man die Frage, ob sich dies bei den Wirtschaftsauskunfteien in Zukunft ändern wird, mit einem automatisierten Scoring der Vergangenheitserfahrungen beantworten, würde dieses Scoring mit einer hohen Wahrscheinlichkeit negativ ausfallen…

Es bleibt spannend, ob die DSGVO auch in diesem sensiblen Bereich Verbraucherrechte nachhaltig durchsetzen kann. Wir halten Sie auf dem Laufenden.