Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der ZFR erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Auslegung des Verbots der automatisierten Entscheidung im Rahmen der EuGH-E C-634/21, SCHUFA Holding (Scoring)
Der EuGH hat in der E C-634/21, SCHUFA Holding (Scoring), festgestellt, dass bereits die Ermittlung eines Wahrscheinlichkeitswerts - im konkreten Fall des Bonitäts-Score - unter das Verbot einer automatisierten Entscheidungsfindung gem Art 22 Abs 1 DSGVO fallen kann. Demnach hat eine betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Der Begriff "Entscheidung" iSd Art 22 Abs 1 DSGVO muss laut EuGH in diesem Zusammenhang weit ausgelegt werden, um die Gefahr einer Umgehung der Schutzwirkungen von Art 22 DSGVO zu vermeiden.1 Dies sei insb in Konstellationen wichtig, in denen mehrere Akteure zusammenspielen, um Rechtsschutzlücken zu verhindern, die durch eine beschränkte Anwendbarkeit der Anforderungen an technische und organisatorische Maßnahmen gem Art 22 Abs 3 DSGVO und von zusätzlichen Informations- und Auskunftspflichten entstehen würden. Der EuGH übersieht dabei jedoch, dass sich diese Anforderungen und die Informations- und Auskunftspflichten einerseits für Kreditauskunfteien in sehr ähnlicher Weise auch aus den allgemeinen Bestimmungen der DSGVO ergeben und daher auch für "normales" Profiling iSv Art 4 Z 4 DSGVO - also Profiling ohne darauf basierende automatische Entscheidungsfindung - vorliegen und andererseits auch durch die Kunden der Kreditauskunftei - sogar besser - erfüllt werden können. Der VwGH hat die weite Auslegung der "Entscheidung" in der sog "AMAS"-E bereits übernommen und äußert sich in dieser - anders als der EuGH - zu den möglichen Kriterien für die Erreichung der "Maßgeblichkeit" des errechneten Wahrscheinlichkeitswerts für die nachgelagerte Entscheidung, die für deren Einstufung als automatisierte Entscheidung iSd Art 22 Abs 1 DSGVO relevant ist.2
Kreditauskunfteien erstellen in Ausübung ihrer Geschäftstätigkeit Wahrscheinlichkeitswerte, die auf mathematisch-statistischer Grundlage Prognosen über die Wahrscheinlichkeit eines zukünftigen Verhaltens, wie bspw die Rückzahlung eines Kredits, darstellen ("Score-Werte"). Im Rahmen des vorliegenden Vorabentscheidungsverfahrens sollte der EuGH beurteilen, ob bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts als "ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung" iSd Art 22 DSGVO zu qualifizieren ist, wenn der von der Kreditauskunftei ermittelte Score-Wert an einen weiteren Verantwortlichen (Kunden der Kreditauskunftei) übermittelt wird und dieser den Score-Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
Laut EuGH ist der Begriff der "Entscheidung" iSd Art 22 DSGVO weit auszulegen, um insb in Fällen, in denen drei Akteure beteiligt sind - wie dies im Verhältnis zwischen der Kreditauskunftei, ihrem Kunden und dessen (potenziellen) Geschäftspartnern (= den betroffenen Personen) der Fall ist -, die Gefahr einer Umgehung der Schutzwirkung von Art 22 DSGVO zu verhindern. Der EuGH zieht daraus den Schluss, dass bereits die Ermittlung eines Wahrscheinlichkeitswerts vom Anwendungsbereich des Art 22 DSGVO erfasst sein kann und in diesem Fall grds verboten ist, wenn nicht eine der in Art 22 Abs 2 DSGVO genannten Ausnahmen anwendbar ist und die Anforderungen an die technischen und organisatorischen Maßnahmen nach Art 22 Abs 3 und 4 DSGVO erfüllt sind.3 Eine enge Auslegung, nach der die Ermittlung des Wahrscheinlichkeitswerts nur als vorbereitende Handlung anzusehen ist, könnte laut EuGH hingegen zu einer Rechtsschutzlücke führen, weil die besonderen Anforderungen des Art 22 Abs 2-4 DSGVO sowie die erweiterten Informations-
pflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO und die Auskunftspflichten nach Art 15 Abs 2 lit h DSGVO nicht erfüllt werden müssten, auch wenn das Handeln des Dritten - also des Kunden der Kreditauskunftei - die betroffene Person erheblich beeinträchtigen könnte.4
Den Spielraum für die weite Auslegung des Begriffs der "Entscheidung" sieht der EuGH aufgrund von ErwGr 71 DSGVO gegeben, in dem die automatische Ablehnung eines Online-Kreditantrags ohne jegliches menschliche Eingreifen als Beispiel eines Anwendungsfalles des Art 22 DSGVO genannt wird.5 UE soll dieses Beispiel allerdings die "erhebliche Beeinträchtigung" der betroffenen Person durch die getroffene Entscheidung verdeutlichen.6 Eine Bedeutung für die Auslegung des Begriffs der "Entscheidung" ist aus diesem ErwGr aber nicht ersichtlich. Vielmehr spricht das Beispiel sogar von der "Ablehnung" eines Online-Kreditantrags, also von einer konkret getroffenen Wahl aus den vorhandenen potenziellen Handlungsalternativen - Annahme oder Ablehnung des Kreditantrags -, wobei die Ablehnung als Entscheidung in diesem Fall automatisch von einem System getroffen wird.
Auch der Generalanwalt weist darauf hin, dass die Verwendung des Wortes "Entscheidung" eine "Auffassung" oder "Stellungnahme" zu einem bestimmten Sachverhalt impliziert und zudem "verbindlich" sein muss, um sich von einer "Empfehlung" zu unterscheiden.7 Die "verbindliche" Entscheidung über die Annahme oder Ablehnung eines Kreditantrags trifft allerdings nicht die Kreditauskunftei, sondern treffen ihre Kunden, die den Score-Wert dafür heranziehen. Der Score-Wert dient dabei als Instrument zur Entscheidungsfindung, kann aber nicht die Entscheidung durch den Kunden ersetzen; diese muss er selbst treffen. Hinzu kommt, dass die Kreditauskunftei gar nicht weiß, wofür ihre (zahlreichen und unterschiedlichen) Kunden den angefragten Score-Wert heranziehen, ob am Ende eine Entscheidung getroffen wird, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, und wenn ja, ob die Entscheidung ausschließlich oder maßgeblich vom Score-Wert abhängt. In aller Regel hat der Kunde der Kreditauskunftei dieser "lediglich" sein berechtigtes Interesse am Erhalt des Score-Werts zu bescheinigen und im Fall der diesbezüglichen Überprüfung durch die Kreditauskunftei im Einzelfall nachzuweisen, nicht aber der Kreditauskunftei proaktiv den konkreten Zweck seiner Verwendung zu nennen. Unserer Meinung nach kann daher die Verarbeitung als Erstellung des Score-Werts durch Kreditauskunfteien zwar als Profiling iSd Art 4 Z 4 DSGVO qualifiziert werden, allerdings nicht als automatisierte Entscheidung iSd Art 22 Abs 1 DSGVO.
Automatisierte Entscheidungen iSd Art 22 DSGVO sind grds verboten, wenn nicht eine der Voraussetzungen in Art 22 Abs 2 DSGVO vorliegt, nämlich:
| - | Im Falle der Erforderlichkeit für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen (lit a); |
| - | wenn die Verarbeitung aufgrund von Rechtsvorschriften der EU oder eines Mitgliedstaates (MS), denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten (lit b) oder |
| - | im Falle der ausdrücklichen Einwilligung der betroffenen Person (lit c). |
Art 22 DSGVO ist dem Verarbeitungsverbot besonderer Kategorien von personenbezogenen Daten gem Art 9 DSGVO sehr ähnlich; auch enthält Art 22 Abs 1 DSGVO ein grundsätzliches Verarbeitungsverbot, das in den Ausnahmefällen des Abs 2 durchbrochen werden kann. Daraus folgt, dass auch bei Vorliegen eines Ausnahmetatbestandes iSd Art 22 Abs 2 lit b DSGVO zusätzlich die grundlegenden Verarbeitungsprinzipien nach Art 5 DSGVO sowie eine Rechtsgrundlage nach Art 6 DSGVO als Zulässigkeitsvoraussetzungen vorliegen müssen.8
Sollte bereits die Kreditauskunftei dem grundsätzlichen Verbot der Erstellung des Score-Werts gem Art 22 Abs 1 DSGVO unterworfen werden, kann sie sich nach aktueller Rechtslage faktisch nur auf den Ausnahmebestand der Einwilligung stützen.9 Die Einwilligung müsste wohl faktisch durch den Kunden der Kreditauskunftei als deren Auftragsverarbeiter eingeholt werden, weil die Kreditauskunftei regelmäßig gar nicht in Kontakt mit der betroffenen Person tritt.
Wenn eine dieser Ausnahmen vorliegt, müssen gem Art 22 Abs 3 DSGVO Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden, worunter auch die Rechte auf Erwirkung des Eingreifens einer Person und auf Anfechtung der Entscheidung fallen. ErwGr 71 DSGVO konkretisiert diese Maßnahmen als technische und organisatorische Maßnahmen, mit denen in geeigneter Weise sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, sowie dass Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen und verhindert wird, dass es zu Diskriminierungen kommt. Unter dem Recht auf "Erwirkung des Eingreifens einer Person" ist wohl ein Eingreifen im Rahmen der Entscheidungsfindung ge-
meint. Da die Entscheidung allerdings nicht von der Kreditauskunftei getroffen wird und diese idR auch nicht weiß, wozu der Score-Wert genutzt wird, ist ein solcher Eingriff durch die Kreditauskunftei nicht sinnvoll, weil diese selbst bei der Entscheidung nicht involviert ist, sondern kann nur ein solcher Eingriff durch den Kunden der Kreditauskunftei zu einem Erfolg für die betroffene Person führen. Anders als in den Schlussanträgen ausgeführt, hat der Kunde der Kreditauskunftei sehr wohl die Möglichkeit, die Bewertung der Kreditwürdigkeit des Antragstellers im Fall der Anfechtung der Entscheidung zu überprüfen, weil er in diesem Fall zusätzlich zum Score-Wert weitere Informationen über die Kreditwürdigkeit einholen und die Entscheidung so überprüfen kann.10 Zudem müssen auch beim schon oben angeführten "normalen" Profiling iSv Art 4 Z 4 DSGVO die Anforderungen der DSGVO erfüllt werden, wozu die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen gem Art 32 DSGVO zählt. Nach ErwGr 75 DSGVO müssen bei der für die Auswahl der geeigneten technischen und organisatorischen Maßnahmen erforderlichen Bewertung die Risiken für die betroffene Person, das sind ua Diskriminierung, finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile, einbezogen werden. Ebenso müssen die Risiken bei der Bewertung persönlicher Aspekte, wie die Zuverlässigkeit oder das Verhalten zur Erstellung von persönlichen Profilen, bei der Wahl der technischen und organisatorischen Maßnahmen berücksichtigt werden.11 Darüber hinaus hat die betroffene Person das Recht auf Berichtigung ihrer personenbezogenen Daten gem Art 16 DSGVO und uU das Recht auf Löschung ihrer personenbezogenen Daten gegenüber der Kreditauskunftei, wodurch das Risiko von Fehlern genauso eingedämmt werden und eine Überprüfung des Score-Werts durch die Kreditauskunftei von der betroffenen Person erzwungen werden kann. Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen, die - wie die Berechnung des Wahrscheinlichkeitswerts - aufgrund von Art 6 Abs 1 lit f DSGVO erfolgt. Auch dieses Recht besteht unabhängig davon, ob es sich um "normales" Profiling iSv Art 4 Z 4 DSGVO oder um "qualifiziertes" Profiling iSv Art 22 DSGVO handelt. Das Argument des EuGH, es bestehe das Risiko, dass keine faire, transparente und nicht diskriminierende Verarbeitung durch die Kreditauskunftei gewährleistet wäre, weil die technischen und organisatorischen Maßnahmen nach ErwGr 71 Satz 6 DSGVO nicht anwendbar wären (dieser ErwGr bezieht sich auf Art 22 DSGVO), geht daher ins Leere.12
Weiters besteht laut EuGH die Gefahr, dass die zusätzlichen Informationspflichten nach Art 13 Abs 2 lit f und Art 14 Abs 2 lit g DSGVO sowie das Auskunftsrecht der betroffenen Person gem Art 15 Abs 1 lit h DSGVO, die insb aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person betreffen,13 nicht ausreichend gewahrt werden könnten bzw den Auskunftsansprüchen nicht entsprochen werden kann, wenn der von der Kreditauskunftei ermittelte Score-Wert nicht bereits unter Art 22 DSGVO zu subsumieren ist.14 Insb die Informationspflichten können idR durch die Kunden der Kreditauskunftei, die in Kontakt mit den betroffenen Personen stehen, deutlich einfacher erfüllt werden. Zwar mag es stimmen, dass der Kunde der Kreditauskunftei grds nicht über die Informationen über die involvierte Logik sowie über deren Tragweite verfügt. Allerdings bestehen diese Informations- und Auskunftspflichten "zumindest" in den Fällen des Art 22 Abs 1 und 4 DSGVO, weshalb es für den EuGH leicht gewesen wäre, die Verpflichtung auch auf das Profiling iSv Art 4 Z 4 DSGVO auszudehnen, das nicht unter die Qualifizierung iSv Art 22 DSGVO fällt.
Der EuGH erschließt aus dem Umstand, dass der Kunde der Kreditauskunftei bei seiner Entscheidung durch den übermittelten Score-Wert "maßgeblich" geleitet wird - dies wurde bereits vom vorlegenden Gericht festgestellt und in die Vorlagefrage einbezogen -, zumindest eine erhebliche Beeinträchtigung der betroffenen Person durch den Score-Wert, weil - ebenfalls laut vorgelegtem Sachverhalt - ein unzureichender Score-Wert "in nahezu allen Fällen dazu führt, dass die Bank (Kunde der Kreditauskunftei) die Gewährung des beantragten Kredits ablehnt".15 Laut EuGH ist daher die automatisierte Ermittlung des Score-Werts jedenfalls dann als Entscheidung iSd Art 22 Abs 1 DSGVO einzustufen, wenn dieser eine maßgebliche Rolle bei der endgültigen Entscheidung gegenüber der betroffenen Person (durch einen Dritten) spielt und diese Entscheidung die betroffene Person erheblich beeinträchtigt, was zumindest bei Ablehnung eines Kreditantrags der Fall ist.
Der Generalanwalt weist in seinen Schlussanträgen mehrfach darauf hin, dass die Einstufung, ob bereits die Ermittlung eines Wahrscheinlichkeitswerts als "Entscheidung" iSd Art 22 DSGVO angesehen wird, einer Einzelfallprüfung bedarf, in der das Verfahren der Entscheidungsfindung und daher der Maßgeblichkeit der automatisierten Verarbeitung für die Entscheidung beurteilt werden muss.16 Dies wird auch von der E 6 Ob 38/23s gestützt, in der der OGH über eine Verbandsklage gem § 28a KSchG zu entscheiden hatte. Der VKI begehrte die Unterlassung, im geschäftlichen Verkehr mit Verbrauchern iZm Verbraucherkreditverhältnissen die Bonitätsprüfung anhand eines "Scoring" vorzunehmen, ohne dem Verbraucher das Recht einzuräumen, seinen eigenen Standpunkt darzulegen und seine Einstufung anzufechten. Der OGH konnte aus der Verwendung des Wortes "Scoring"
jedoch keine tatsächliche Verhaltensweise erkennen, die zu einem Unterlassungsanspruch führen kann.17
Die Aussage in der E des EuGH muss daher wohl auf den - durch die sehr spezifische Vorlagefrage - eingeschränkten Sachverhalt begrenzt werden, wonach laut dem vorlegenden Gericht der Score-Wert über das "Ob und Wie der Vertragseingehung" entscheidet.18 Es ist daher im Rahmen einer Einzelfallprüfung zu beurteilen, ob der Kunde der Kreditauskunftei den Score-Wert der Kreditauskunftei seiner Entscheidung maßgeblich zugrunde legt.
Anders als der EuGH konnte sich der VwGH in seiner E Ro 2021/04/0010 näher mit dem Kriterium der Maßgeblichkeit auseinandersetzen. In der E sollte die Zulässigkeit der Nutzung des Arbeitsmarktchancen-Assistenzsystems ("AMAS") durch Berater des AMS geprüft werden. Der VwGH ging zunächst davon aus, dass bei Anwendung des AMAS eine Entscheidung iSd Art 22 Abs 1 DSGVO vorliegen kann, konnte die Einstufung jedoch aufgrund von Feststellungsmängeln nicht beurteilen. Spannend ist in diesem Zusammenhang, dass der VwGH die Feststellung des BVwG als unzureichend erachtet, wonach aufgrund von Handlungsanleitungen und Schulungen sichergestellt worden sei, dass die Berater des Arbeitsmarktservices ("AMS") das Ergebnis des AMAS nicht unhinterfragt übernehmen würden, weil diese Feststellung die Maßgeblichkeit der automatisierten Verarbeitung für die Entscheidung nicht ausschließt.19 Das BVwG hat laut VwGH für die Beurteilung der Maßgeblichkeit der automatisierten Verarbeitung für die Entscheidung insb Feststellungen zu weiteren Parametern zu treffen und zu ermitteln, in welchem Ausmaß diese Parameter Berücksichtigung in der Entscheidung finden und welche Vorgangsweise bei der Verwertung der Ergebnisse des AMAS vorgesehen ist.20
Aus dieser VwGH-E kann abgeleitet werden, dass der VwGH bei der Beurteilung der Maßgeblichkeit des automatisierten Verarbeitungsergebnisses für die Entscheidung eine genaue und umfangreiche Sachverhaltsfeststellung als notwendig erachtet und der Verantwortliche bei einer Überprüfung daher konkret darlegen muss, wieso keine Maßgeblichkeit des automatisiert erstellten Ergebnisses für die Entscheidung vorliegt, wenn er das Vorliegen einer automatisierten Entscheidung iSd Art 22 DSGVO widerlegen möchte. Der Einfluss einer Person muss daher ein gewisses Ausmaß erreichen. Nach den Schlussanträgen muss gewährleistet sein, dass die an der Entscheidungsfindung beteiligte Person in der Lage ist, den Kausalzusammenhang zwischen der automatisierten Verarbeitung und der endgültigen Entscheidung zu beeinflussen. Relevant sind dabei die internen Regeln und Praktiken des Kunden der Kreditauskunftei, die einen Spielraum bei der Anwendung des Score-Werts auf die abschließende Entscheidung zulassen müssen.21 Anhaltspunkte bietet auch die Art-29-Datenschutzgruppe, deren Leitlinien von den nationalen Behörden und Gerichten zur Auslegung der DSGVO herangezogen werden, wonach es sich bei der Einbeziehung der Person in die Entscheidungsfindung nicht um eine symbolische Geste handeln darf, sondern die Entscheidung einer echten Aufsicht unterliegt und die Person zu einer Änderung derselben befugt und befähigt ist.22 Leider trifft der EuGH dazu aber keine Aussage, weshalb die Abgrenzung von der bloß entscheidungsunterstützenden Tätigkeit zur tatsächlichen Entscheidung iSd Art 22 Abs 1 DSGVO offenbleibt.23
Die Auslegung des EuGH und die daraus folgenden Anforderungen, die der VwGH bestätigt hat, können zwar überwunden werden, sind aber wohl mit einem erheblichen Zeit- und damit Kostenaufwand verbunden. Ob die vermutlich dahinterstehende Intention des EuGH der "betroffenen" und damit verbraucherfreundlichen Auslegung tatsächlich zu einem Vorteil für die Verbraucher im Allgemeinen führt, ist fraglich. Die höheren Kosten im Verfahren der Kreditvergabe oder bei der Beurteilung der Gewährung bestimmter Zahlungsmodalitäten werden wohl schlussendlich auf den Konsumenten überwälzt, wodurch Kredite teurer werden oder der Abschluss eines Kreditvertrags erheblich erschwert und verlängert wird. Zudem könnte daraus auch ein Rückgang von Angeboten über bestimmte Zahlungsmodalitäten, wie Zahlungen auf Rechnung oder Zahlung in Raten, folgen, der dazu führt, dass gewisse Finanzierungsmöglichkeiten auch für (nicht oder zumindest weit weniger schutzbedürftige) Kunden mit eigentlich positivem Bonitäts-Score entfallen. Sollte sich die Kreditauskunftei dazu entschließen, Score-Werte nur noch mit einer ausdrücklichen Einwilligung der betroffenen Personen zu ermitteln, würde dies wohl zu keiner Besserstellung der Allgemeinheit führen. Sollte die betroffene Person nämlich keine Einwilligung erteilen, wird sie wohl nicht in den Genuss bestimmter Zahlungsmodalitäten kommen und ihr nur ein Kredit mit sehr umfangreichen Sicherheiten und schlechten Konditionen gewährt werden. Auch das Unterbleiben der Ermittlung eines Score-Werts kann ein Nachteil sein, wenn daraus folgt, dass bestimmte Zahlungsmodalitäten nicht - oder unter anderen Konditionen - zur Verfügung stehen.
Da der EuGH "durchgreifende Bedenken" an der Wirksamkeit des deutschen § 31 BDSG erhoben hat, wurde der deutsche Ge-
setzgeber bereits zwei Monate nach der EuGH-E tätig und hat einen Gesetzesentwurf über einen neuen § 37a BDSG verabschiedet. Der deutsche Gesetzgeber hat dabei die ersten Zweifel des Generalanwalts berücksichtigt und sowohl den Anwendungsbereich der Bestimmung auf Art 22 Abs 2 lit b DSGVO (Ausnahme des Verbots aufgrund von Rechtsvorschriften) eingeschränkt als auch die "Verwendung" um die "Erstellung" des Wahrscheinlichkeitswerts ergänzt.24 Er will damit eine rechtliche Grundlage für das Kredit-Scoring schaffen und sieht insb Beschränkungen für jene Kriterien vor, die in den Wahrscheinlichkeitswert einfließen dürfen. Personenbezogene Daten iSd Art 9 DSGVO, Informationen aus sozialen Netzwerken oder über Zahlungseingänge und -ausgänge von Bankkonten sowie Anschriftendaten dürfen im Score nicht berücksichtigt werden. Zudem dürfen nur Forderungen herangezogen werden, die den Anforderungen des § 37a Abs 3 BDSG entsprechen. Daraus folgt, dass ein unternehmensintern erstellter Score, der auf Art 22 Abs 2 lit a DSGVO (Ausnahme vom Verarbeitungsverbot aufgrund einer vertraglichen Erforderlichkeit) beruht, oder ein Score, der auf einer ausdrücklichen Einwilligung gem Art 22 Abs 2 lit c DSGVO basiert, einer anderen Score-Formel unterliegen darf als ein Score, der aufgrund einer Rechtsvorschrift gem Art 22 Abs 2 lit b DSGVO erstellt oder verwendet wird.
Es ist zwar grds zu begrüßen, dass der deutsche Gesetzgeber so rasch tätig wurde und damit zeigt, dass die Tätigkeit von Kreditauskunfteien für die Gesellschaft sehr wichtig ist. Allerdings ist der Generalanwalt im Rahmen einer umfangreichen Prüfung zu dem Schluss gekommen, dass zumindest der alte § 31 BDSG in Ermangelung einer Öffnungsklausel keine Rechtsgrundlage iSd Art 6 Abs 1 DSGVO für die Verarbeitung iSd Art 22 DSGVO darstellen kann.25 Auch der EuGH weist darauf hin, dass bei jeder Verarbeitung auch die Anforderungen in den Art 5 und 6 DSGVO erfüllt sein müssen, die MS allerdings nicht befugt sind, ergänzende Vorschriften für die Rechtsgrundlagen in Art 6 Abs 1 lit a, b und f DSGVO - die für die Tätigkeit der Kreditauskunftei in Betracht kommen - zu erlassen.26 Es bestehen daher auch bei der neuen Regelung des § 37a BDSG Zweifel, ob den "durchgreifenden Bedenken" des EuGH dadurch Rechnung getragen werden kann. Die Beurteilung liegt beim nationalen Gericht. Sollte den Schlussanträgen gefolgt werden, müsste das nationale Gericht allerdings uE zu dem Schluss kommen, dass § 37a BDSG keine geeignete Rechtsgrundlage iSd Art 6 Abs 1 DSGVO sein kann.
Nach der Rsp des EuGH fällt bereits die Ermittlung eines Wahrscheinlichkeitswerts unter das Verbot der automatisierten Entscheidung iSd Art 22 Abs 1 DSGVO, wenn der von einem Verantwortlichen automatisiert ermittelte und an einen weiteren Verantwortlichen weitergeleitete Wert eine maßgebliche Rolle bei der endgültigen Entscheidung gegenüber der betroffenen Person spielt. Daraus folgt, dass Kreditauskunfteien oder deren Kunden im Namen der Kreditauskunfteien in Zukunft entweder eine ausdrückliche Einwilligung der betroffenen Personen für die Erstellung des Score-Werts einholen müssen oder die Kunden der Kreditauskunfteien dafür sorgen müssen, dass der Score-Wert keine maßgebliche Rolle bei der endgültigen Entscheidung spielt. Die konkrete Ausgestaltung des Eingriffs in die Entscheidung durch eine Person wurde durch den EuGH leider nicht behandelt. Aus einer E des VwGH und den Ausführungen des Generalanwalts kann jedoch geschlossen werden, dass die Person jedenfalls in der Lage sein muss, die Entscheidung zu beeinflussen.27 Zudem sollten die Regeln und Praktiken der Kunden der Kreditauskunftei intern festgelegt werden, die auch konkrete Parameter festlegen, die (zusätzlich zum Score-Wert) in die Entscheidung einfließen sollen.
EuGH 7. 12. 2023, C-634/21, SCHUFA Holding (Scoring) ZFR 2024/51, 124 (in diesem Heft).
Rn 64 der EuGH-E.
Rn 61 f der EuGH-E.
Rn 45 der EuGH-E.
Rn 37 der Schlussanträge.
Ähnlich auch Rn 68 der EuGH-E. Grundlegend bereits EuGH 21. 12. 2023, C-667/21, Krankenkasse Nordrhein, Rn 79.
Vgl Zavadil/Rohner, Auswirkungen der SCHUFA Urteile auf Kreditauskunfteien und Bonitätsbewertungen, Dako 2024/8.
Rn 49 der Schlussanträge.
ErwGr 75 DSGVO.
Rn 59 und 66 der EuGH-E.
Die Frage nach dem Umfang dieser Auskunftspflicht wurde dem EuGH vom VwG Wien vorgelegt (C-203/22), aber von diesem noch nicht beantwortet.
Rn 56 und 63 der EuGH-E.
Rn 48 der EuGH-E.
Rn 39 ff der Schlussanträge.
OGH 17. 1. 2024, 6 Ob 38/23s ZFR 2024/63, 146 (in diesem Heft).
Rn 46 der Schlussanträge.
Rn 44 der Schlussanträge.
Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP 251rev.01, 22.
Vgl Kern, Automatisierte Entscheidungsfindung nach Art 22 DSGVO bei bloß entscheidungsunterstützenden Systemen wie zB Scoring, ecolex 2024/112.
Rn 60 f der Schlussanträge.
Rn 62 ff der Schlussanträge.
Rn 68 f der EuGH-E
Rn 44 der Schlussanträge; VwGH 21. 12. 2023, Ro 2021/04/0010, Rn 80 f.
