Sind die Datenverarbeitungen der SCHUFA Holding AG mit dem europäischen Datenschutzrecht vereinbar? Mit dieser Frage befasst sich derzeit der Europäische Gerichtshof (EuGH) im Rahmen mehrerer Vorabentscheidungsfragen (Rechtssache C-634/21 sowie in den verbundenen Rechtssachen C-26/22 und C-64/22). Am 16. März 2023 wurden nun die Schlussanträge des Generalanwalts veröffentlicht. Auch wenn der EuGH an diese nicht gebunden ist, geben sie jedoch Aufschluss darüber, in welche Richtung die Entscheidung des Gerichts letztendlich gehen könnte.
Hintergrund
Der Rechtssache C-634/21 liegt folgender Sachverhalt zugrunde: Eine Privatperson wandte sich nach der Ablehnung eines Kredits an die SCHUFA und verlangte Auskunft über die verarbeiteten Daten sowie Löschung eines entsprechenden Eintrags. Die SCHUFA kam dieser Aufforderung jedoch nur dahingehend nach, dass sie der betroffenen Person ausschließlich den Score-Wert und lediglich allgemeine Informationen zur Berechnung dieses Wertes mitteilte. Die betroffene Person wandte sich daraufhin mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), der jedoch mit Verweis auf § 31 Bundesdatenschutzgesetz (BDSG) keinen datenschutzrechtlichen Verstoß feststellen konnte. Die Regelung des § 31 BDSG regelt den Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften unter Berücksichtigung der Anforderungen der Datenschutz-Grundverordnung. Der Petent reichte daraufhin Klage beim Verwaltungsgericht Wiesbaden ein, welches wiederum den Fall dem EuGH vorlegte, um das Verhältnis zu den einschlägigen europäischen Normen klären zu lassen.
Gegenstand der Rechtssachen C-26/22 sowie C-64/22 ist hingegen die grundlegende Frage nach den seitens der SCHUFA praktizierten Löschfristen: Werden Informationen zu Restschuldbefreiungen nach einer Insolvenz durch die Insolvenzgerichte grundsätzlich nach einem halben Jahr gelöscht, erfolgt eine Löschung auf Seiten der SCHUFA erst nach bis zu drei Jahren.
Auffassungen des Generalanwaltes
Die Regelung des Art. 22 DS-GVO sieht vor, dass eine betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wobei grundsätzlich Ausnahmen nach Art. 22 Abs. 2 DS-GVO vorgesehen sind. Der Generalanwalt hält in diesem Zusammenhang fest, dass diese Anforderungen auf das Verfahren der SCHUFA Anwendung finden. Dies wiederum zieht im Rahmen des Auskunftsersuchens der betroffenen Person die Anwendbarkeit des Art. 15 Abs. 1 lit. h) DS-GVO nach sich.
Gemäß Art. 15 Abs. 1 lit. h) DS-GVO hat die betroffene Person das Recht Informationen über das Bestehen einer automatisierten Entscheidungsfindung i.S.d. Art. 21 Abs. 1 und 4 DS-GVO sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu erhalten. Der Generalanwalt führt in diesem Zusammenhang aus, „dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen ist, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von „Entscheidungen“ im Sinne von Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind.“ Insofern würde dies für Wirtschaftsauskunfteien das Bestehen deutlich erhöhter Transparenzanforderungen bedeuten.
Weiterhin befasst sich der Generalanwalt mit der Frage, ob der nationale Gesetzgeber die Norm des § 31 BDSG in der vorliegenden Form europarechtskonform im nationalen Recht verankern konnte: „In den vorstehenden Nummern habe ich die Frage geprüft, ob die Art. 6 und 22 DSGVO als Rechtsgrundlage für den Erlass einer nationalen Bestimmung wie § 31 BDSG dienen können, um die Rechtmäßigkeit der Erstellung von Score-Werten im Rahmen der Tätigkeiten von Wirtschaftsauskunfteien zu rechtfertigen. […] Zusammenfassend bin ich der Ansicht, dass in Ermangelung von Öffnungsklauseln oder Ausnahmen, […] davon auszugehen ist, dass eine solche nationale Bestimmung nicht mit der DSGVO vereinbar ist.“ Folgt der EuGH dieser Auffassung des Generalanwaltes, kann dies dazu führen, dass die Norm des § 31 BDSG – vergleichbar zu § 4 BDSG bezüglich Videoüberwachungen – zukünftig nicht weiter als Rechtsgrundlage herangezogen werden darf.
Hinsichtlich der Frage der Aufbewahrung fällt die Einschätzung des Generalanwaltes ebenfalls zugunsten der betroffenen Personen aus: „In diesem Kontext ist hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen. […] Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht wurden.“ Im Ergebnis zweifelt der Generalanwalt die Legitimität der Datenverarbeitung auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO hinsichtlich der weiteren Speicherung der personenbezogenen Daten durch eine private Wirtschaftsauskunftei nach der Löschung aus öffentlichen Registern an.
Fazit
Die Praxis von Wirtschaftsauskunfteien wie der SCHUFA werden bereits seit vielen Jahren mit Verweis auf die einschlägigen datenschutzrechtlichen Normen kritisch betrachtet. Rechtsunsicherheiten bestanden darüber hinaus in der Anwendung des § 31 BDSG. Die Schlussanträge des Generalanwaltes lassen auf eine zukünftige klare Abgrenzung datenschutzkonformer Verarbeitungen sowie hinsichtlich der nationalen Regelungsbefugnis hoffen. Insofern darf mit Spannung die Entscheidung des EuGH erwartet werden.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
