Pressemitteilung
EuGH-Urteil zum Scoring: Eine Ohrfeige nicht nur für die Schufa
Das Urteil des Europäischen Gerichtshofs zum Scoring und zur Datenverarbeitung der Schufa ist eine Ohrfeige – aber nicht nur für die Schufa, sondern auch für ihre Geschäftspartner, für den Hessischen Datenschutzbeauftragten und den Gesetzgeber.
Vor inzwischen mehr als vier Jahren haben wir mit unserer Untersuchung OpenSCHUFA offengelegt, dass die Schufa intransparent und fehlerhaft arbeitet. Bereits damals war offensichtlich: Nicht nur die Schufa versagt dabei, Menschen in Deutschland vor Ungerechtigkeiten zu bewahren, sondern auch die Aufsichtsbehörden und der Gesetzgeber.
Diese Auffassung hat nun auch der Europäischen Gerichtshof (EuGH) bestätigt. Der Rechtsstreit, der zu entscheiden war, begann damit, dass der Hessische Datenschutzbeauftragte sich auf die Seite der Schufa gestellt hatte, mit der Einschätzung, dass ihr Scoring keine automatisierte Entscheidung im Sinne des Artikels 22 der EU-Datenschutzgrundverordnung (DSGVO) darstelle und daher zum einen erlaubt sei, zum anderen die Schufa nicht zu Auskunft und Löschung von Daten verpflichtet sei, wenn betroffene Personen dies verlangten.
Damit blieb die Behörde ihrer Linie Schufa-freundlicher Entscheidungen treu. 2018 hatte sie nach Inkrafttreten der DSGVO, die zuvor bereits zwei Jahre lang angekündigt gewesen war, der Schufa gestattet, sieben weitere Monate lang nicht der gesetzlichen Pflicht nachzukommen, Auskünfte über gespeicherte Daten elektronisch zur Verfügung stellen. Wir hatten bereits damals festgestellt, dass der Hessische Datenschutzbeauftragte offenbar wenig motiviert war, Recht und Gesetz gegen die Schufa durchzusetzen.
Nach dem gestrigen Urteil des EuGH ist nun entschieden, dass es als automatisierte Entscheidung zu gelten hat, wenn der Schufa-Score einer Person eine maßgebliche Rolle bei der Entscheidung eines Unternehmens spielt. Dies ist also etwa dann der Fall, wenn aufgrund des Scores eine Bank entscheidet, einen Kredit zu gewähren, oder ein Energieversorger eine Neukundin ablehnt. Damit legt der EuGH den Finger in dieselbe Wunde, die wir im Mai 2019 in unseren Forderungen an den Gesetzgeber adressiert hatten: Der deutsche Gesetzgeber muss die Regelungslücke schließen, nach der die Schufa und ihre Kunden – also nicht die vom Score Betroffenen, sondern die Unternehmen, die den Score verwenden – behaupten können, ihre Entscheidungsverfahren seien nicht automatisiert und fielen deshalb nicht unter Artikel 22 der DSGVO.
In bewährter Manier versucht die Schufa nun, die Entscheidung des EuGH als Erfolg zu verkaufen, indem sie darauf hinweist, dass das Gericht „Scores nur in bestimmten Fällen als automatisierte Entscheidung“ bewerte und den Gesetzgeber auffordert, „im Rahmen der anstehenden Novellierung des Bundesdatenschutzgesetzes die Vorschrift“ zu klären, um „schnelle und sichere Geschäftsabschlüsse weiter zu ermöglichen“.
Diese Darstellung stellt die Situation auf den Kopf und ist der dreiste Versuch, den Gesetzgeber dazu zu bringen, die ohnehin schon Schufa-freundliche Regelung im deutschen Datenschutzgesetz noch stärker vom eigentlichen Anliegen der DSGVO zu entfernen. Der Hessische Datenschutzbeauftragte und die Bundesregierung sollten den genau gegenteiligen Weg einschlagen und das Urteil als Aufforderung verstehen, Menschen vor den Scoring-Fantasien der Schufa und ihrer Geschäftspartner zu bewahren, die uns am liebsten vollständig durchleuchten würden, um ihre wirtschaftlichen Interessen zu schützen.
Kontakt:
Matthias Spielkamp, Geschäftsführer, AlgorithmWatch
spielkamp@algorithmwatch.org | +49 (0)30 99 40 49 001