SCHUFA: Wahrscheinlichkeitsberechnung zur Kreditwürdigkeit ist Profiling i.S.d. DSGVO
EuGH, C-634/21 u.a.: Schlussanträge des Generalanwalts vom 16.3.2023
Der Sachverhalt:
+++ C-634/21 +++
Der klagende Bürger wendet sich mit seiner Klage gegen das Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die beigeladene SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf den Kläger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von ihm beantragten Kredits. Der Kläger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrundeliegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.
Soweit der Kläger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der EuGH vorliegend vom VG Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die DSGVO der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der EuGH wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.
+++ C-26/22 und C-64/22 +++
Das VG Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt. Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei klagenden Bürgern und dem beklagten Land Hessen, vertreten durch den HBDI, über Anträge der Kläger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der die Kläger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom VG gestellten Fragen betreffen u.a. die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.
Die Gründe:
+++ C-634/21 +++
Die DSGVO verankert ein Recht der betroffenen Person, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden. Die Voraussetzungen, denen dieses Recht unterliege, sind erfüllt, da das fragliche Verfahren ein Profiling darstellt, die Entscheidung rechtliche Wirkungen gegenüber dem Kläger entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtiget und schließlich davon auszugehen ist, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht. Die Bestimmung der DSGVO, in der dieses Recht vorgesehen ist, ist somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.
Der Kläger hat nach einer anderen Bestimmung der DSGVO das Recht, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für den Kläger. Die Verpflichtung, aussagekräftige Informationen über die involvierte Logik bereitzustellen, ist dahin zu verstehen, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von Entscheidungen i.S.d. Bestimmung der DSGVO, in der das Recht verankert ist, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich sind.
Diese Bestimmung ist dahin auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
+++ C-26/22 und C-64/22 +++
Die Rechtmäßigkeit der Verarbeitung muss sich aus einer Abwägung der verschiedenen betroffenen Interessen ergeben, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssen. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln hat, muss prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt sind. Sollte diese Person schließlich gem. der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliegt es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde unterliegt einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet wird.
Die Verarbeitung personenbezogener Daten ist nach der DSGVO unter drei kumulativen Voraussetzungen zulässig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben wird, scheinen gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen. In diesem Kontext ist hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden sind.
Die Speicherung der Daten durch eine private Wirtschaftsauskunftei kann nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden sind. Hinsichtlich des Zeitraums von sechs Monaten, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar sind, ist es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig ist. Schließlich sieht die DSGVO vor, dass die betroffene Person das Recht hat, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlegt und wenn diese Daten unrechtmäßig verarbeitet worden sind. Die betroffene Person hat in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gibt.
Mehr zum Thema:
Rechtsprechung:
Speicherungen von Daten in Wirtschaftsauskunftei nach Forderungstilgung
OLG Frankfurt vom 18.01.2023 - 7 U 100/22
Auch abrufbar im Aktionsmodul Gesellschaftsrecht:
Mit dem Aktionsmodul stehen dem umfassend tätigen Gesellschaftsrechtler fünf Module zur Verfügung. Inklusive Beratermodul ZIP. Zahlreiche, bewährte Formulare mit LAWLIFT bearbeiten! Neuauflage Scholz GmbHG Kommentar ist hier topaktuell online! Wichtige Gesetzesänderungen wie die im August 2022/2023 in Kraft tretenden DiRUG und DiREG sind ausführlich kommentiert. 4 Wochen gratis nutzen!
EuGH PM Nr. 25 vom 9.2.2023
+++ C-634/21 +++
Der klagende Bürger wendet sich mit seiner Klage gegen das Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die beigeladene SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf den Kläger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von ihm beantragten Kredits. Der Kläger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrundeliegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.
Soweit der Kläger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der EuGH vorliegend vom VG Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die DSGVO der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der EuGH wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.
+++ C-26/22 und C-64/22 +++
Das VG Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt. Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei klagenden Bürgern und dem beklagten Land Hessen, vertreten durch den HBDI, über Anträge der Kläger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der die Kläger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom VG gestellten Fragen betreffen u.a. die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.
Die Gründe:
+++ C-634/21 +++
Die DSGVO verankert ein Recht der betroffenen Person, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden. Die Voraussetzungen, denen dieses Recht unterliege, sind erfüllt, da das fragliche Verfahren ein Profiling darstellt, die Entscheidung rechtliche Wirkungen gegenüber dem Kläger entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtiget und schließlich davon auszugehen ist, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht. Die Bestimmung der DSGVO, in der dieses Recht vorgesehen ist, ist somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.
Der Kläger hat nach einer anderen Bestimmung der DSGVO das Recht, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für den Kläger. Die Verpflichtung, aussagekräftige Informationen über die involvierte Logik bereitzustellen, ist dahin zu verstehen, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von Entscheidungen i.S.d. Bestimmung der DSGVO, in der das Recht verankert ist, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich sind.
Diese Bestimmung ist dahin auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
+++ C-26/22 und C-64/22 +++
Die Rechtmäßigkeit der Verarbeitung muss sich aus einer Abwägung der verschiedenen betroffenen Interessen ergeben, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssen. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln hat, muss prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt sind. Sollte diese Person schließlich gem. der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliegt es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde unterliegt einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet wird.
Die Verarbeitung personenbezogener Daten ist nach der DSGVO unter drei kumulativen Voraussetzungen zulässig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben wird, scheinen gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen. In diesem Kontext ist hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden sind.
Die Speicherung der Daten durch eine private Wirtschaftsauskunftei kann nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden sind. Hinsichtlich des Zeitraums von sechs Monaten, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar sind, ist es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig ist. Schließlich sieht die DSGVO vor, dass die betroffene Person das Recht hat, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlegt und wenn diese Daten unrechtmäßig verarbeitet worden sind. Die betroffene Person hat in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gibt.
Rechtsprechung:
Speicherungen von Daten in Wirtschaftsauskunftei nach Forderungstilgung
OLG Frankfurt vom 18.01.2023 - 7 U 100/22
Auch abrufbar im Aktionsmodul Gesellschaftsrecht:
Mit dem Aktionsmodul stehen dem umfassend tätigen Gesellschaftsrechtler fünf Module zur Verfügung. Inklusive Beratermodul ZIP. Zahlreiche, bewährte Formulare mit LAWLIFT bearbeiten! Neuauflage Scholz GmbHG Kommentar ist hier topaktuell online! Wichtige Gesetzesänderungen wie die im August 2022/2023 in Kraft tretenden DiRUG und DiREG sind ausführlich kommentiert. 4 Wochen gratis nutzen!