Skip to content

EuGH: Längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister durch SCHUFA verstößt gegen DSGVO

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.


Den Volltext der Entscheidung finden Sie hier:

EuGH: SCHUFA-Scoring ist eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO soweit Score maßgeblich für Kreditgewährung oder Vertragsschluss ist

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)


Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]


Den Volltext der Entscheidung finden Sie hier:

BlnBDI: 300.000 EURO Bußgeld gegen Bank wegen mangelnder Transparenz bei automatisierter Ablehnung eines Kreditantrags

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.

Die Pressemitteilung der BlnBDI:
300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.

In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.

Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“

Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.



LG München: Weitergabe von Positivdaten an SCHUFA durch Telekommunikationsanbieter Telefonica / O2 verstößt gegen Art. 5 und Art. 6 DSGVO und ist rechtswidrig

LG München
Urteil vom 25.04.2023
33 O 5976/22


Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

EuGH-Generalanwalt: SCHUFA-Scoring ist Profiling im Sinne der DSGVO und zur Speicherung der Restschuldbefreiung über 6 Monate hinaus

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)


Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.


Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden

OLG Schleswig-Holstein
Urteil vom 03.06.2022
17 U 5/22


Das OLG Schleswig-Holstein hat abermals entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden. Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:

Der 17. Zivilsenat hält daran fest, dass dem Insolvenzschuldner regelmäßig ein Löschungsanspruch gegen die Schufa Holding AG zusteht, wenn diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Auch bei der Berechnung eines Score-Wertes darf die Schufa die Daten zum Insolvenzverfahren danach nicht mehr berücksichtigen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und am 25. März 2020 wurde das Verfahren durch Beschluss des Amtsgerichts aufgehoben. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa pflegte diese Daten von dort in ihren Datenbestand ein, um diese ihren Vertragspartnern bei laufenden Vertragsbeziehungen und Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte Ende 2020 die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne u.a. nur noch gegen Vorkasse bestellen und keine neue Wohnung anmieten.

Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Schufa und ihre Vertragspartner von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Unterlassung der Verarbeitung der Informationen zu seinem Insolvenzverfahren sechs Monate nach Aufhebung des Insolvenzverfahrens verlangen. Nach Ablauf dieser Frist überwiegen die Interessen und Grundrechte des Klägers gegenüber den berechtigten Interessen der Schufa und ihrer Vertragspartner an einer Verarbeitung, so dass sich die Verarbeitung nicht mehr als rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung darstellt.

Es ist eine konkrete Abwägung zwischen den Interessen der Schufa und ihrer Vertragspartner an der Verarbeitung der Daten und den durch die Verarbeitung berührten Grundrechten und Interessen des Klägers anzustellen. Der Kläger hat ein Interesse daran, möglichst ungehindert am wirtschaftlichen Leben teilnehmen zu können, nachdem die Informationen über sein Insolvenzverfahren aus dem Insolvenzbekanntmachungsportal gelöscht worden sind. Dieses Interesse geht dem eigenen wirtschaftlichen Interesse der Schufa als Anbieterin von bonitätsrelevanten Informationen vor. Auch gegenüber typisierend zu betrachtenden Interessen der Vertragspartner sind die Interessen des Klägers vorrangig, da keine besonderen Umstände in der Person des Klägers oder seines Insolvenzverfahrens erkennbar sind, die eine Vorratsdatenspeicherung bei der Schufa über den Zeitraum der Veröffentlichung im Insolvenzbekanntmachungsportal hinaus rechtfertigen könnten.

Die Schufa kann sich nicht auf die in den Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien genannte Speicherfrist von drei Jahren berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers. Sie vermögen auch keine Abwägung der Interessen vorzuzeichnen oder zu ersetzen. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 3. Juni 2022, Az. 17 U 5/22, Revision ist zugelassen)



Bundeskartellamt: Sektoruntersuchung zum Scoring beim Online-Shopping eingeleitet

Das Bundeskartellamt hat eine Sektoruntersuchung zum Scoring beim Online-Shopping eingeleitet.

Die Pressemitteilung des Bundeskartellamtes:
Bundeskartellamt leitet Sektoruntersuchung zum Scoring beim Online-Shopping ein

Das Bundeskartellamt hat eine verbraucherrechtliche Sektoruntersuchung zum „Scoring“ beim Online-Shopping eingeleitet. Hierbei geht es um die Vorgehensweisen von Händlern zur Überprüfung der Bonität, d. h. der Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern beim Online-Shopping.

Andreas Mundt, Präsident des Bundeskartellamtes: „Vielen Verbraucherinnen und Verbrauchern ist nicht bewusst, dass ihre Bonität beim Online-Shopping unter Zuhilfenahme sogenannter Score-Werte geprüft wird, vor allem beim beliebten „Kauf auf Rechnung“. In unserer Sektoruntersuchung werden wir untersuchen, ob und in welcher Form die Online-Händler hierüber informieren, wie die Prüfungen ablaufen und welche Kriterien der Bonitätsprüfung eigentlich zugrunde liegen. Dabei beziehen wir Unternehmen ein, die für das Scoring relevant sein könnten, z.B. auch Wirtschaftsauskunfteien, die mit der Erstellung von Score-Werten einen wesentlichen Faktor für die Bonitätsprüfungen an die Online-Händler zuliefern.“

Bonitätsprüfungen dienen der Risikominimierung und sollen Vertragspartnern Aufschluss darüber geben, ob eine Person ihren Zahlungsverpflichtungen nachkommen kann. Grundlage für Bonitätsprüfungen bilden dabei häufig individuelle Score-Werte, die von Wirtschaftsauskunfteien unter Berücksichtigung personenbezogener Daten ermittelt werden und ausdrücken, mit welcher Wahrscheinlichkeit eine Käuferin oder ein Käufer die Rechnung bezahlen wird. Die Durchführung von Bonitätsprüfungen ist an enge datenschutzrechtliche Voraussetzungen, wie z. B. eine freiwillige Einwilligung der betroffenen Person, in die Datenverarbeitung geknüpft.

Die Praxis bei der Bestellung von Waren über den Online-Handel ist diesbezüglich uneinheitlich und in vielen Fällen für Verbraucherinnen und Verbraucher nicht ohne Weiteres nachvollziehbar. Transparenz- und Einwilligungsdefizite könnten Verbrau-cherrechtsverstöße auslösen.

Nach Vorgesprächen mit Expertinnen und Experten und Interessenvertretungen wird das Bundeskartellamt zeitnah schriftliche Befragungen von rund 50 ausgewähl-ten Online-Händlern und großen Wirtschaftsauskunfteien durchführen. Die Ergebnisse der Sektoruntersuchung werden nach Abschluss der Ermittlungen in einem Bericht veröffentlicht.

Die vorliegende Sektoruntersuchung Scoring beim Online-Shopping ist die sechste verbraucherrechtliche Sektoruntersuchung des Bundeskartellamts. Das Bundeskartellamt kann verbraucherrechtliche Verstöße feststellen, verfügt aber nicht über Befugnisse, etwaige Verstöße zu ahnden.



VG Wiesbaden legt EuGH vor: Vereinbarkeit des SCHUFA-Scorings mit der DSGVO und § 31 BDSG

VG Wiesbaden
Beschluss vom 01.10.2021
6 K 788/20.WI


Das VG Wiesbaden hat dem EuGH zur Vereinbarkeit des SCHUFA-Scorings mit der DSGVO und § 31 BDSG zu Entscheidung vorgelegt.

Die Pressemitteilung des Gerichts:
Vorlage zum Europäischen Gerichtshof bezüglich des von der SCHUFA Holding AG erstellten „Score-Wertes“

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren der Klägerin, ihrer Auffassung nach falsche Eintragungen bei der SCHUFA zu löschen und ihr Auskunft über die dort gespeicherten Daten zu erteilen.

Die SCHUFA, eine private Wirtschaftsauskunftei, versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sog. Score-Werte. Für die Ermittlung dieses Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale als auch das mathematisch-statistische Verfahren werden von der SCHUFA nicht offengelegt. Diese beruft sich darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen. Die Klägerin wandte sich in Bezug auf die von ihr begehrte Auskunft und Löschung an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde. Dieser lehnte das Begehren der Klägerin jedoch ab, da die SCHUFA bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und im hiesigen Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.10.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) zwei Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte über betroffene Personen zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, die dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 Datenschutzgrundverordnung (DS-GVO) unterfällt. Falls ja, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DS-GVO zulässig sei. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DS-GVO bestünden aber durchgreifende Bedenken. Die SCHUFA würde dann rechtsgrundlos handeln, und die Klägerin habe zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.

Die Erstellung von Score-Werten sei nicht lediglich ein die Entscheidung des dritten Verantwortlichen (beispielsweise einer Bank) vorbereitendes Profiling (siehe Art. 4 DS-GVO), sondern gerade eine selbstständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DS-GVO. Es bestünden gewichtige Anhaltspunkte dafür, dass die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung sei. Zwar könnten jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, weil zu diesem Stadium des Entscheidungsprozesses eine menschlich gesteuerte Einzelfallentscheidung grundsätzlich noch möglich sei. Diese Entscheidung werde praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Der aufgrund automatisierter Verarbeitung erstellte Score-Wert sei eigentlich das entscheidende Kriterium über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person. Der dritte Verantwortliche müsse seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tue es in aller Regel jedoch maßgeblich. Eine Kreditvergabe möge zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden. Ein nicht ausreichender Score-Wert hingegen werde jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheine. Score-Werten komme bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle zu. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DS-GVO die betroffene Person aber gerade schützen.

Zudem legte die 6. Kammer eine Frage vor, die dann zu beantworten sei, wenn die 1. Vorlagefrage verneint werde. In § 31 BDSG treffe der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DS-GVO falle, so sei die allgemeine Vorschrift des Art. 6 DS-GVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DS-GVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DS-GVO zu messen. Es sei also durch den EuGH zu klären, ob die DS-GVO der Regelung des § 31 BDSG entgegenstehe.
Der Vorlagebeschluss (Az.: 6 K 788/20.WI) ist unanfechtbar.

Anhang
Artikel 4 DS-GVO - Begriffsbestimmungen
(Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[…]

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Art. 6 DS-GVO – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Art. 22 DS-GVO – Automatisierte Entscheidung im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

§ 31 BDSG (Bundesdatenschutzgesetz) – Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn

die Vorschriften des Datenschutzrechts eingehalten wurden,
die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,

die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
die der Schuldner ausdrücklich anerkannt hat,
bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist. Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.



OLG Schleswig-Holstein: Verstoß gegen DSGVO wenn Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden dürfen

OLG Schleswig-Holstein
Urteil vom 02.07.2021
17 U 15/21


Das OLG Schleswig-Holstein hat entschieden, dass ein Verstoß gegen die DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet, als sie im Insolvenzbekanntmachungsportal nach der InsoBekVO veröffentlicht werden dürfen

Die Pressemitteilung des Gerichts:

Die Schufa darf Daten eines Insolvenzschuldners nicht länger verwerten als sie im "Insolvenzbekanntmachungsportal" veröffentlicht sein dürfen

Ein Insolvenzschuldner hat einen Löschungsanspruch gegen die Schufa Holding AG, wenn sie diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und schließlich wurde ihm am 11. September 2019 durch das Amtsgericht die Restschuldbefreiung erteilt. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa kopierte die Daten von dort und pflegte sie in ihren Datenbestand ein, um Vertragspartnern diese Daten bei Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne aufgrund des Eintrags kein Darlehen aufnehmen, keinen Mietkauf tätigen und keine Wohnung anmieten. Derzeit könne er nicht einmal ein Bankkonto eröffnen. Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Vertragspartner der Schufa von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Löschung der Daten sechs Monate nach Rechtskraft der Entscheidung des Amtsgerichts über die Restschuldbefreiung verlangen. Nach Ablauf dieser Frist steht die weitere Verarbeitung durch die Schufa im Widerspruch zu § 3 Abs. 2 InsoBekVO und ist daher nicht mehr rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung. Werden die Daten des Klägers unrechtmäßig verarbeitet, kann er die Löschung dieser Information nach Art. 17 Abs. 1 lit. d) Datenschutz-Grundverordnung von der Schufa verlangen und hat einen Anspruch auf künftige Unterlassung dieser Datenverarbeitung.

Die Schufa kann sich nicht darauf berufen, dass die Datenverarbeitung rechtmäßig sei, da sie ihren oder den berechtigten Interessen von Dritten diene. Ein Interesse kann nur dann berechtigt sein, wenn es nicht im Widerspruch zur Rechtsordnung oder den Grundsätzen von Treu und Glauben steht. Die Verarbeitung durch die Schufa steht aber nach Ablauf der gesetzlichen Löschungsfrist im Widerspruch zur gesetzlichen Wertung von § 3 Abs. 2 InsoBekVO, wonach die Information zur Entscheidung über die Restschuldbefreiung nur sechs Monate im Internetportal zu veröffentlichen ist. Die Verarbeitung und Weitergabe dieser Information an eine breite Öffentlichkeit durch die Beklagte kommt einer Veröffentlichung im Internet gleich und ist daher nach Ablauf der gesetzlichen Löschungsfrist zu unterlassen.

Die Schufa kann sich nicht auf die Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers und stehen im Widerspruch zur gesetzlichen Wertung.

(Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021, Az. 17 U 15/21, Revision ist zugelassen)



OLG Frankfurt: Unternehmen hat Unterlassungsanspruch gegen Ratingagentur bei unberechtigter schlechter Bewertung der Bonität - Scoring

OLG Frankfurt am Main
Urteil vom 07.04.2015
24 U 82/14


Das OLG Frankfurt hat völlig zu Recht einer Ratingagentur untersagt, einem Unternehmen eine schlechte Bewertung über die Bonität (Scoring) zu erteilen, wenn die Bewertung ohne sachliche Grundlage erfolgt. Das Unternehmen hat in einem solchen Fall einen entsprechenden Unterlassungsanspruch gegen die Ratingagentur. Zudem besteht ein Anspruch auf Schadensersatz.

Die Pressemitteilung des OLG Frankfurt:

"Oberlandesgericht Frankfurt am Main verurteilte Ratingagentur zur Unterlassung schlechten Scorings eines Unternehmens

Mit einem am 07.04.2015 verkündeten und heute in schriftlicher Form vorliegenden Urteil hat das Oberlandesgericht Frankfurt am Main (OLG) einer Ratingagentur untersagt, über ein im Rhein-Main-Gebiet ansässiges Unternehmen eine schlechte Bewertung (Scoring) zu erteilen.

Die Klägerin betreibt seit den 1990er-Jahren ein Unternehmen im Bereich der Luftfahrtindustrie. Eine Insolvenz oder Zahlungsausfälle sind bei ihr bisher nicht vorgekommen. Die Beklagte betreibt eine Wirtschaftsauskunftei, in der sie Informationen und Analysen über Unternehmen sammelt und hieraus Bonitätsauskünfte erstellt, die auf Anfrage Dritten zur Verfügung gestellt werden.

Die Klägerin wurde von der Beklagten mit dem "Risikoindikator 4", dem schlechtesten von vier Werten angegeben. Ferner heißt es in der Bewertung der Klägerin "Das Ausfallrisiko wird als hoch eingestuft" sowie "Sicherheiten empfohlen“.
Die Klägerin, die auf die schlechte Bewertung durch eine ihrer Kundinnen aufmerksam gemacht wurde, wandte sich durch einen Anwalt an die Beklagte und forderte Aufklärung. Die Beklagte stufte die Klägerin danach eine Stufe besser mit "3" und das Ausfallrisiko mit "überdurchschnittlich" ein.

Die Klägerin erhob hierauf Klage gegen die Beklagte mit dem Antrag, es zu unterlassen, gegenüber Dritten eine schlechte Risikoeinschätzung der Klägerin abzugeben und ihr Ausfallrisiko als hoch einzustufen.
Das in erster Instanz zuständige Landgericht folgte der Verteidigung der Beklagten und wies die Klage ab, weil es sich bei den Bewertungen lediglich um Werturteile handele, die - anders als Tatsachenbehauptungen - einer exakten Nachprüfung nicht zugänglich seien. Auf die hierauf von der Klägerin eingelegte Berufung kassierte das OLG das Urteil des Landgerichts und verurteilte die Beklagte antragsgemäß.

Zur Begründung führt das OLG aus: Die von der Beklagten abgegebene äußerst negative Bewertung der Kreditwürdigkeit der Klägerin sei ohne jegliche sachliche Basis. Das Vorgehen der Beklagten bei der Abgabe ihrer verschiedenen Bewertungen sei von einer verantwortungslosen Oberflächlichkeit geprägt und verletze das Recht der Klägerin, keine rechtswidrigen Eingriffe in ihren Gewerbebetrieb erleiden zu müssen. Maßstab für das Ratingagenturen erlaubte Verhalten sei § 28 b Bundesdatenschutzgesetz. Nach dieser Vorschrift dürfe ein "Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten erhoben oder verwendet werden, wenn die zur Berechnung des Wahrscheinlichkeitswertes genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind". Zwar seien die sog. "Scoreformeln" selbst sowie die Basisdaten nach dem Urteil des Bundesgerichtshofes vom 14.1.2014, VI ZR 156/13 als geschütztes Geschäftsgeheimnis der Ratingagentur anzusehen. Vorliegend erwecke die Beklagte bei ihren Kunden aus der Wirtschaft aber den Eindruck einer umfassenden Verwertung der verschiedensten Variablen über das bewertete Unternehmen. Genauer betrachtet stütze sie die schlechte Bewertung der Klägerin jedoch einzig und allein darauf, dass es sich bei der Klägerin nicht um eine Kapitalgesellschaft, sondern einen eingetragenen Einzelkaufmann handele. Das reiche nicht aus, da die Verwertung dieses Einzelfaktors dem Maßstab einer komplexen, auf statistischen und wissenschaftlichen Algorithmen beruhenden Bewertung nicht genüge.

Gegen die Entscheidung kann Nichtzulassungsbeschwerde beim BGH eingelegt werden.

OLG Frankfurt am Main, Urteil vom 7.4.2015, Aktenzeichen 24 U 82/14 (vorausgehend: LG Darmstadt, Urteil vom 31.1.2014, Aktenzeichen 10 O 37/13)"



BGH: Gespeicherte Daten: Ja - Merkmale zur Scoreberechnung und Gewichting: Nein - Zum Umfang einer von der SCHUFA zu erteilenden Auskunft

BGH
Urteil vom 28.01.2014
VI ZR 156/13
Schufa


Die Pressemitteilung des BGH:

"Bundesgerichtshof entscheidet über Umfang einer von der SCHUFA zu erteilenden Auskunft

Die Klägerin hat gegen die beklagte Wirtschaftsauskunftei SCHUFA einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht.

Die Beklagte sammelt und speichert im Rahmen ihrer Tätigkeit personenbezogene Daten, die für die Beurteilung der Kreditwürdigkeit der Betroffenen relevant sein können. Darüber hinaus erstellt sie, u.a. auch unter Berücksichtigung der hinsichtlich des jeweiligen Betroffenen vorliegenden Daten, sog. Scorewerte. Ein Score stellt einen Wahrscheinlichkeitswert über das künftige Verhalten von Personengruppen dar, der auf der Grundlage statistisch-mathematischer Analyseverfahren berechnet wird. Die von der Beklagten ermittelten Scores sollen aussagen, mit welcher Wahrscheinlichkeit der Betroffene seine Verbindlichkeiten vertragsgemäß erfüllen wird. Ihren Vertragspartnern stellt die Beklagte diese Scorewerte zur Verfügung, um ihnen die Beurteilung der Bonität ihrer Kunden zu ermöglichen.

Nachdem die Finanzierung eines Automobilkaufs der Klägerin zunächst aufgrund einer unrichtigen Auskunft der Beklagten gescheitert war, wandte sich die Klägerin an die Beklagte. Diese übersandte ihr nachfolgend eine Bonitätsauskunft sowie mehrfach eine "Datenübersicht nach § 34 Bundesdatenschutzgesetz". Die Klägerin ist der Ansicht, die von der Beklagten erteilte Auskunft genüge nicht den gesetzlichen Anforderungen.

Das Amtsgericht hat die Klage im Wesentlichen abgewiesen. Die Berufung der Klägerin beim Landgericht blieb ohne Erfolg.

Mit ihrer vom Landgericht zugelassenen Revision hat die Klägerin ihr Begehren weiterverfolgt, ihr hinsichtlich einzelner Scorewerte Auskunft darüber zu erteilen, welche Merkmale zur Scoreberechnung in welcher Gewichtung eine Rolle spielen. Der für Ansprüche nach dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofs hat die Revision zurückgewiesen.

Allerdings hat die Beklagte Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte eingeflossen sind. Diese Auskunft hat die Beklagte gegenüber der Klägerin (teilweise erst im vorliegenden Verfahren) erteilt. Ihr wurden alle bei der Beklagten zu ihrer Person gespeicherten Daten übermittelt. Ferner wurde sie über die in den letzten zwölf Monaten an Dritte übermittelten und die aktuell berechneten Wahrscheinlichkeitswerte sowie über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten informiert. Die Einzelheiten wurden in einem Merkblatt erläutert.

Einen darüber hinausgehenden Auskunftsanspruch der Klägerin hat das Berufungsgericht zu Recht verneint. Die von ihr beanspruchten konkreten Angaben zu Vergleichsgruppen zählen nicht zu den Elementen des Scoringverfahrens, über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG Auskunft zu erteilen ist. Gleiches gilt für die Gewichtung der in den Scorewert eingeflossenen Merkmale. Dem Auskunftsanspruch des § 34 Abs. 4 BDSG liegt die gesetzgeberische Intention zugrunde, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sog. Scoreformel, zu schützen. Die Auskunftsverpflichtung soll dazu dienen, dass der Betroffene den in die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren kann. Hierzu bedarf es keiner Angaben zu Vergleichsgruppen und zur Gewichtung einzelner Elemente. Das gesetzgeberische Ziel eines transparenten Verfahrens wird dadurch erreicht, dass für den Betroffenen ersichtlich ist, welche konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Wahrscheinlichkeitswerts eingeflossen sind. Dieses Ziel wird durch die der Klägerin erteilten Auskünfte erreicht.

Karlsruhe, den 28. Januar 2014 - VI ZR 156/13"




LG Stuttgart: Wettbewerbswidrige Lockvogelangebote von Banken für Sofortkredite, wenn in der Werbung nur der Mindestzinssatz und nicht leicht erkennbar die Zinsspanne angegeben wird

LG Stuttgart
Urteil vom 22.09.2011
17 O 165/11

Das LG Stuttgart hat entschieden, dass ein wettbewerbswidriges Lockvogelangebot von Banken für Sofortkredite vorliegt, wenn in der Werbung nur der Mindestzinssatz und nicht leicht erkennbar die mögliche Zinsspanne angegeben wird.

In der Pressemitteilung des Verbraucherzentrale Bundesverbandes heißt es:
"Kunden zahlen oft mehr als das Doppelte des Topzinssatzes
Die CreditPlus Bank hatte im Internet für einen "Sofortkredit ab 3,59 % effekt. Jahreszins" geworben. Erst durch Klick auf das darunter befindliche Zeichen "(i)" öffnete sich ein weiteres Fenster mit dem repräsentativen Beispiel. Dafür gab die Bank einen Effektivzins von 8,99 Prozent an. Außerdem ging erst aus der Zusatzinformation hervor, dass der Effektivzins für den Kredit sogar bis zu 12,99 Prozent betragen kann.

Bank muss Zinsspanne angeben
Die Richter sahen in der Werbung einen Verstoß gegen die Preisangabenverordnung. Eine effektive Information des Verbrauchers sei nur gewährleistet, wenn dieser nicht nur den niedrigsten, sondern auch den höchsten Effektivzins für den angebotenen Kredit kennt. Die Bank dürfe daher nicht mit einem "Ab-Zinssatz" werben. Sie müsse vielmehr die Spanne der Effektivzinssätze angeben"


Die Entscheidung ist nicht rechtskräftig.

Die vollständige Pressemitteilung des vzbv finden Sie hier: