Artikel vom 12.11.2021

Der Computer sagt Nein! Sind automatisierte Bonitätschecks DSGVO-fest? EuGH prüft

Schlechter Schufa Score, kein Kredit - ein Automatismus? Eine Verbraucherin wollte das nicht hinnehmen und klagte. Jetzt muss sich der Europäische Gerichtshof mit der Frage beschäftigen: Ist es mit der Datenschutzgrundverordnung (DSGVO) zu vereinbaren, dass auf Basis automatisiert ermittelter Werte über Bonität entschieden wird?

Wer entscheidet, wie kreditwürdig ich bin? Oft nur der Computer

Denn der Schufa-Score von 0 bis 100 wird automatisiert kalkuliert. Anschließend versperrt ein zu schlechter Scoring-Wert nur zu häufig den Weg zum Darlehen, zum Handyvertrag oder vorteilhaften Zahloptionen wie Rechnung statt Vorkasse. Datenschützer bemängeln solche Automatismen schon länger. Zum Hintergrund: Die Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) ist eine von mehreren privaten Wirtschaftsauskunfteien, die ihre Vertragspartner - wie Banken, Online-Händler oder Energieversorger - mit Informationen zur Kreditwürdigkeit von Verbrauchern versorgt. Dazu erreichnet die Schufa auf Basis mathematisch-statistischer Verfahren Scores, die zeigen sollen: So wahrscheinlich ist es, dass Frau A ihren Kredit nicht bedienen kann - oder Herr B seine Stromrechnung nicht zahlt.

Kredit abgelehnt: Kundin klagt gegen den Beauftragten für Datenschutz

Für die Bankkundin im aktuellen Fall eine nicht hinnehmbare Situation. Auf der Suche nach mehr stichfesten Informationen im Kontext der Ablehnung Ihres Kreditwunsches stellte sie einen Antrag auf Selbstauskunft. Außerdem reichte sie dort einen Löschantrag ein, um ihrer Meinung nach falsche Einträge entfernen zu lassen. Die Selbstauskunft der Schufa jedoch war dünn: Sie wies lediglich den Schufa-Scorewert aus, ergänzt um allgemeine Erläuterungen zur Berechnung. Unbefriedigend, urteilte die Verbraucherin, und beschwerte sich beim Beauftragten für Datenschutz und Informationsfreiheit (BfDI) ihres Bundeslandes Hessen. Doch dieser sah keinen Handlungsbedarf. Begründung: Die Scoreberechnung erfülle die Bundesdatenschutzgesetz-Anforderungen; für Verstöße lägen im Fall der Bankkundin keine Anhaltspunkte vor. So klagte die Frau vor dem Verwaltungsgericht Wiesbaden (VG) gegen den BfDI Hessen.

DSGVO soll Verbraucher vor automatisierten Entscheidungen schützen

Das VG entschied: Es ist Sache des Europäischen Gerichtshofs (EuGH) zu überprüfen, ob das Scoring-Vorgehen rechtlich wasserdicht ist und fragt: Inwiefern fällt das Prozedere automatisierten Scorings unter die europäische Datenschutzgrundverordnung - wird hier gegen Art. 22 DSGVO verstoßen? Danach dürfen weitreichende (Kreditvertrags-)Entscheidungen nämlich nicht allein auf automatisiert errechneten Score-Werten einschließlich Profiling fußen. Insofern darf kein Kunde einer Entscheidung unterworfen werden, die so zustandekommt - es sei denn, er gibt seine "ausdrückliche Einwillung". Denn eine solche Entscheidung - wie die Kreditablehnung im konkreten Fall - entfaltet gegenüber einer Person "rechtliche Wirkung" bzw. beeinträchtigt diese "in ähnlicher Weise erheblich". Entsprechend bereite das Generieren von Scorewerten die Entscheidung einer Bank nicht nur vor, sondern komme einer selbstständigen Entscheidung gleich. Das VG sieht gewichtige Anhaltspunkte, dass Entscheidungen in der Praxis erheblich durch die Score-Werte der Wirtschaftsauskunfteien bestimmt werden. Eine Automation, vor der die DSGVO Verbraucher eigentlich schützen soll!

Auskunfteien: Unser Score allein begründet keinen Vertragsschluss

Wie kann es sein, dass diese Vorgehensweise der Scoring-Firmen bislang so ungehindert akzeptiert wurde? Diese hatten bislang damit argumentiert, der Scorewert allein begründe noch keine Entscheidung für oder gegen einen Vertragsschluss. Vielmehr entschieden erst die konkreten Anbieter - wie z. B. Bankberater der Geldinstitute als Kunden der Wirtschaftsauskunfteien - über die Kreditwürdigkeit im Einzelfall. Für das VG Wiesbaden greifen solche Argumente zu kurz, weil sie an der Realität vorbeigehen. Denn tatsächlich träfen nicht die Schufa-Partner wie etwa Banken bzw. deren Angestellte solche Entscheidungen, sondern der - automatisch generierte - Scoring-Wert gebe die Marschrichtung vor. In der Praxis entscheidet der Schufa-Score noch immer darüber, ob der Bankberater den Daumen hebt oder senkt.

Was die Bank nicht weiß, kann sie nicht erläutern

Mehr noch: Das Hessische VG legt den Finger auf eine mögliche Lücke im Gesetz. Denn betroffene Verbraucher haben gar nicht das Recht auf eine Erläuterung der konkreten Bonitätsberechung durch eine Auskunftei. Insofern ist Art. 15 Abs. 1 lit. h DSGVO ein stumpfes Schwert: Dort steht, dass die Bank ihren Kunden zur Auskunft verpflichtet ist, wie die Entscheidungsfindung - z. B. auf dem Weg zur Kreditablehnung - zustande kam. Das Problem: Gründet diese auf dem Schufa-Score, erfährt der Verbraucher auch von seiner Bank nichts Substanzielles. Weil die Bank nicht erfährt, wie die Schufa eine Bonität im Detail berechnet - denn das ist weiter Geschäftsgeheimnis der Auskunftei als privatwirtschaftliches Unternehmen! Mit richterlichem Okay, wie der Bundesgerichtshof 2014 entschied.

VG Wiesbaden: Zweifel auch an BDSG-Score-Parametern

Diese Entscheidung des EuGH konnte spannend werden - und weitreichende Verbesserungen für europäische Verbraucher bringen. Könnte, denn es ist nicht ausgeschlossen, dass der EuGH Scoring nicht mit Blick auf Aspekte des Art. 22 DSGVO einordnet, womit Scoring in Ordnung wäre. Aber auch daran hat das VG Wiesbaden gedacht, das auch Zweifel an der Rechtmäßigkeit von § 31 Bundesdatenschutzgesetz (BDSG) für angebracht hält: Sind die Parameter, die laut BDSG in der Score-Kalkulation zum Einsatz kommen, überhaupt mit der DSGVO vereinbar? Auch darauf muss der Europäische Gerichtshof demnächst eine Antwort geben.