Der EUGH zu Scoring und automatisierten Entscheidungen
Mit zwei Urteilen entschied der EuGH am 7.12.2023 über die Zulässigkeit der Erhebung und Speicherung von personenbezogenen Daten aus öffentlichen Registern und über die automatisierte Erstellung von Scorewerten und damit über wichtige Fragen zur Arbeitsweise von Auskunfteien. Daneben entschied der EuGH auch über den Charakter von Beschwerden und Verhaltensregeln. Beide Entscheidungen haben weit über Auskunfteien hinaus Auswirkungen.
I. EuGH-Urteil zur Speicherung von Daten aus öffentlichen Registern
In der Entscheidung C-26/22 und C-64/22¹ hatte sich der EuGH mit fünf Vorlagefragen des Verwaltungsgerichts Wiesbaden zu befassen. Im Ausgangsverfahren ging es darum, ob Auskunfteien Daten zu einer Restschuldbefreiung für drei Jahre speichern dürfen, die sie aus dem Insolvenzregister übernommen haben.
1. Berechtigte Interesse
Maßstab für den EuGH war Art. 6 UAbs. 1 Buchst. f DSGVO. Diesen Erlaubnistatbestand prüfte der EuGH in drei Stufen. In der ersten Stufe bejaht er die berechtigten Interessen der Auskunftei und der Kreditwirtschaft. Hierfür nahm er Bezug auf EU-Regelungen zu Verbraucherschutz und Immobilienkrediten und auf das „reibungslose Funktionieren des gesamten Kreditsystems“ (Rn. 83 – 86). Für die zweite Stufe verweist der EuGH darauf, dass die Datenverarbeitung auf das unbedingt Notwendige zur Verwirklichung des berechtigten Interesses zu beschränken ist (Rn. 87). Die Prüfung der Erforderlichkeit verbindet er mit der dritten Stufe, der Abwägung der gegensätzlichen Interessen.
2. Interessenabwägung
Zugunsten der Auskunfteien ist im Rahmen der Abwägung der Interessen zu berücksichtigen, dass die objektive und zuverlässige Bewertung der Kreditwürdigkeit es der Auskunftei ermöglicht „Informationsunterschiede auszugleichen und damit Betrugsrisiken und andere Unsicherheiten zu verringern“ (Rn. 93). Aber auch das Insolvenzregister zielt auf „eine bessere Information der betroffenen Gläubiger und Gerichte“ ab (Rn. 96), was das Interesse an einer zusätzlichen Speicherung reduziert.
Für die Bewertung der Auswirkungen der Speicherung der Daten in der Auskunftei sind dem EuGH zwei Aspekte wichtig. Erstens führt es zu einer Vervielfältigung des Grundrechtseingriffs, dass die Daten nicht nur im öffentlichen Register, sondern auch in den Datenbanken mehrerer Auskunfteien gespeichert werden. Zweitens erfolgt diese Speicherung nicht aus konkretem Anlass, sondern auf Vorrat für den Fall, dass Vertragspartner der Auskunfteien Auskünfte anfragen (Rn. 89). Vor allem aber ist zu berücksichtigen, dass die „Verarbeitung von Daten über eine Restschuldbefreiung, wie etwa die Speicherung, Analyse und Weitergabe dieser Daten an einen Dritten“, „einen schweren Eingriff in die Grundrechte der betroffenen Person“ darstellt (Rn. 94). Solche Daten dienen als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person und stellen daher sensible Informationen über ihr Privatleben dar. Die „Verarbeitung kann den Interessen der betroffenen Person beträchtlich schaden und die Ausübung ihrer Freiheiten erheblich erschweren, insbesondere wenn es darum geht, Grundbedürfnisse zu decken“. Die negativen Folgen für die betroffene Person sind „umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die Daten durch Wirtschaftsauskunfteien gespeichert werden“ (Rn. 95).
Gewichtung der Interessen
Bei der Gewichtung der entgegengesetzten Interessen nimmt der EuGH Bezug auf die Regelung in § 3 InsBekV², die für das öffentliche Register eine Speicherdauer von nur sechs Monaten vorsieht. Der deutsche Gesetzgeber geht „davon aus, dass nach Ablauf einer Frist von sechs Monaten die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen“ (Rn. 97). Für den EuGH ist entscheidend, dass die Restschuldbefreiung es dem Begünstigten ermöglicht, sich erneut am Wirtschaftsleben zu beteiligen. Die Verwirklichung dieses Ziels wäre jedoch gefährdet, wenn Auskunfteien zur Beurteilung der wirtschaftlichen Situation einer Person Daten über eine Restschuldbefreiung für einen Bonitätsscore verwenden könnten, nachdem sie aus dem öffentlichen Insolvenzregister gelöscht worden sind (Rn. 98). Der EuGH stellt daher fest, dass die Interessen des Kreditsektors, über Informationen hinsichtlich einer Restschuldbefreiung zu verfügen, keine Verarbeitung dieser Daten nach Ablauf der Frist für ihre Speicherung im öffentlichen Insolvenzregister rechtfertigen können. Eine Speicherung dieser Daten durch eine Auskunftei kann nach der Löschung dieser Daten aus einem öffentlichen Insolvenzregister nicht auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO gestützt werden (Rn. 99).
Für die parallele Speicherung der Daten zur Restschuldbefreiung während ihrer Veröffentlichung im Insolvenzregister trifft der EuGH keine so klare Feststellung. Einerseits sind „die Auswirkungen einer parallel erfolgenden Speicherung zwar als weniger schwerwiegend an(zu)sehen als nach Ablauf der sechs Monate“. Andererseits stellt diese Speicherung einen Eingriff in die in den Art. 7 und 8 der Charta verankerten Rechte dar. Sie verstärkt den Eingriff in das Recht der Person auf Achtung des Privatlebens (Rn. 100). Daher hat das vorlegende Verwaltungsgericht Wiesbaden zu prüfen, ob die Vorratsspeicherung dieser Daten durch die Auskunftei auf das zur Verwirklichung des berechtigten Interesses unbedingt Erforderliche beschränkt ist, obwohl die fraglichen Daten im öffentlichen Register abgerufen werden können und ohne dass ein Wirtschaftsunternehmen in einem konkreten Fall um Auskunft ersucht hat (Rn. 91).
4. Bedeutung von Verhaltensregeln nach Art. 40 DS-GVO
Die Auskunftei hatte sich für die dreijährige Speicherung der Daten zur Restschuldbefreiung auf die genehmigten Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien“ gemäß Art. 40 DSGVO berufen. Zu solchen Verhaltensregeln stellt der EuGH nur fest, dass sie die Bedingungen der Rechtmäßigkeit der Datenverarbeitung nicht verändern, sondern nur für ihren Anwendungsbereich konkretisieren können. Daraus schließt er: „Verhaltensregeln, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO ergibt, (können) bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden“ (Rn. 101 – 105).
5. Ermessen im Beschwerdeverfahren
Der EuGH hatte auch über den Charakter des Beschwerdeverfahrens zu entscheiden, der von deutschen Gerichten unterschiedlich beurteilt wurde. Nach Art. 78 Abs. 1 DSGVO unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde über eine Beschwerde einer vollständigen inhaltli- chen Überprüfung durch das Gericht (Rn. 70). Diese betrifft die Feststellung des Sachverhalts und seine datenschutz- rechtliche Bewertung. Dagegen geht der EuGH davon aus, dass die Datenschutzaufsichtsbehörde „hinsichtlich der in Art. 58 Abs. 2 DSGVO aufgezählten Abhilfebefugnisse über ein Ermessen in Bezug auf die geeigneten und erforderlichen Mittel verfügt“ (Rn. 68). Daher erfordert „die Gewährleistung eines wirksamen gerichtlichen Rechtsschutzes nicht, dass (das Gericht) befugt wäre, seine Beurteilung der Wahl der geeigneten und erforderlichen Abhilfebefugnisse an die Stelle der Beurteilung dieser Behörde zu setzen, sondern verlangt, dass dieses Gericht prüft, ob die Aufsichtsbehörde die Grenzen ihres Ermessens eingehalten hat“ (Rn. 69).
II. EuGH-Urteil zur automatisierten Entscheidungsfindung durch Scoring
In der Entscheidung C-634/21³ befasst sich der EuGH mit einer weiteren Vorlagefrage des Verwaltungsgerichts Wiesbaden. Dieses wollte wissen, ob die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, und die Übermittlung dieses Werts an ein Kreditinstitut, das über eine Kreditanfrage zu entscheiden hat, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung im Sinn des Art. 22 Abs. 1 DSGVO darstellt.
Für den EuGH hängt Art. 22 Abs. 1 DSGVO in seiner Anwendbarkeit von drei kumulativen Voraussetzungen ab. Es muss erstens eine „Entscheidung“ vorliegen, zweitens muss diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – (beruhen)“ und drittens muss sie „gegenüber (der betroffenen Person) rechtliche Wirkung entfalten“ oder sie „in ähnlicher Weise erheblich“ beeinträchtigen (Rn. 43).
Der Begriff „Entscheidung“ ist nach dem EuGH weit auszulegen. Bereits aus dem Wortlaut des Art. 22 DSGVO ergibt sich, dass dieser Begriff sich nicht nur auf Handlungen bezieht, die rechtliche Wirkung gegenüber der betroffenen Person entfalten, sondern auch auf Handlungen, die diese Person in ähnlicher Weise erheblich beeinträchtigen (Rn. 44). Die weite Bedeutung des Begriffs „Entscheidung“ wird von Erwägungsgrund 71 unterstützt. Danach umfasst der Begriff Entscheidung beispielsweise die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahrens ohne jegliches menschliche Eingreifen. Die Entscheidung kann aus einer Kette von mehreren Maßnahmen bestehen, nicht nur aus der diese Kette abschließenden Handlung. Entscheidend ist, ob auf die untersuchte Maßnahme die beiden anderen Voraussetzungen zutreffen.
Die zweite Voraussetzung ist, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruht. Die Datensammlung der Auskunftei und die Erstellung des Wahrscheinlichkeitswerts erfüllen die Definition des „Profiling“ in Art. 4 Nr. 4 DSGVO und damit auch die zweite Voraussetzung (Rn. 47).
Drittens muss die Entscheidung gegenüber der betroffenen Person „rechtliche Wirkung entfalten“, oder sie „in ähnlicher Weise erheblich“ beeinträchtigen. Entscheidend ist für den EuGH, ob das Handeln des Dritten, dem der Wahrscheinlichkeitswert übermittelt wird, „maßgeblich“ von diesem Wert geleitet wird. Sofern der von einer Wirtschaftsauskunftei ermittelte und einer Bank mitgeteilte Wahrscheinlichkeitswert eine maßgebliche Rolle bei der Gewährung eines Kredits spielt ist die Ermittlung dieses Werts als solche als Entscheidung einzustufen, die im Sinne von Art. 22 Abs. 1 DSGVO gegenüber einer Person „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“ (Rn. 50). Der EuGH stellt zusätzlich zu der Interpretation des Art. 22 Abs. 1 DSGVO zwei systematische Überlegungen an, um sein Ergebnis zu rechtfertigen.
Zum einen problematisiert er, dass Regelungen des Art. 22 DSGVO leerlaufen können, wenn nur die letzte Handlung in einer Entscheidungskette berücksichtigt würde, Entscheidungen in der Praxis aber in mehreren Schritten und arbeitsteilig getroffen werden. Er verweist dabei auf Abs. 2 (Voraussetzung für Aufhebung des Verbots), Abs. 3 (Garantien, wie das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung) und Abs. 4 (keine besonderen Kategorien) (Rn. 53 – 55). Zum anderen verweist er auf Art. 13, 14 und 15 DS-GVO, nach denen „aussagekräftige Informationen über die involvierte Logik“ zu geben sind, wenn eine Entscheidung nach Art. 22 Abs. 1 DSGVO vorliegt. Nur wenn „Entscheidung“ so weit verstanden wird, wie der EuGH dies tut, greifen diese Regelungen. Ansonsten würde die Auskunftei keine Entscheidung treffen und das Kreditinstitut keine automatisierte Verarbeitung durchführen. Keiner von beiden müsste über die „involvierte Logik“ informieren. Daher bestünde „die Gefahr einer Umgehung von Art. 22 DSGVO und folglich eine Rechtsschutzlücke“ (Rn. 61). „In diesem Fall würde nämlich die Ermittlung eines Wahrscheinlichkeitswerts nicht den besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DSGVO unterliegen, obwohl dieses Verfahren auf einer automatisierten Verarbeitung beruht und Wirkungen entfaltet, welche die betroffene Person erheblich beeinträchtigen, da das Handeln des Dritten (Bank), dem dieser Wahrscheinlichkeitswert übermittelt wird, von diesem maßgeblich geleitet ist.“ (Rn. 62).
Eine automatisierte Entscheidung ist nach Art. 22 Abs. 1 DSGVO grundsätzlich unzulässig und darf nur aufgrund einer Einwilligung oder einer gesetzlichen Erlaubnis getroffen werden. Nach Art. 22 Abs. 2 Buchst. b DSGVO kann das Scoring durch nationale Vorschriften gerechtfertigt sein. Der EuGH setzt sich mit den Anforderungen an die nationalen Vorschriften intensiv auseinander und betont insbesondere die Einhaltung von Art. 5 und 6 DS-GVO (Rn. 65 – 70). Bezüglich der Vereinbarkeit des § 31 BDSG mit dem Unionsrecht bestehen durchgreifende Bedenken.
Sollte diese Bestimmung als mit dem Unionsrecht unvereinbar angesehen werden, würden die Auskunfteien nicht nur ohne Rechtsgrundlage handeln, sondern verstießen ipso iure gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot (Rn. 71). Es ist nun „Sache des vorlegenden Gerichts, zu prüfen, ob § 31 BDSG als Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO qualifiziert werden kann. Sollte das vorlegende Gericht zu dem Schluss kommen, dass § 31 eine solche Rechtsgrundlage darstellt, hätte es noch zu prüfen, ob die in Art. 22 Abs. 2 Buchst. b und Abs. 4 DSGVO und in den Art. 5 und 6 DSGVO aufgestellten Anforderungen im vorliegenden Fall erfüllt sind.“ Die Bundesregierung hat die Kritik aus der Entscheidung bereits aufgenommen und im Entwurf eines Änderungsgesetzes zum BDSG § 31 gestrichen und dafür einen neuen § 37a aufgenommen, der Erlaubnistatbestände im Sinn des Art. 22 Abs. 2 Buchst. b DS-GVO enthält. Damit wäre das Scoring als automatisierte Entscheidung erlaubt.
Während dadurch die Entscheidung des EuGH im Ergebnis für die Tätigkeit der Auskunfteien keine großen Auswirkungen hat, dürfte sie für alle Entscheidungsunterstützungssysteme – insbesondere für den Einsatz von Systemen der Künstlichen Intelligenz – noch von großer Bedeutung sein.
