Warum die EuGH-Urteile zur SCHUFA auch KI betreffen

Unternehmen müssen Scoring-Verfahren und automatisierte Entscheidungen neu beurteilen und möglicherweise anpassen.

Unternehmen, die sich auf Scoring-Verfahren und damit verbundene automatisierte Entscheidungen stützen, müssen nach entsprechenden Urteilen des Europäischen Gerichtshofes (EuGH) ihre Verarbeitungsprozesse überprüfen. Denn der EuGH hat solche Praktiken nur unter engen Voraussetzungen für zulässig erklärt. Grundsätzlich verboten ist, dass sich Unternehmen als Kunden von Wirtschaftsauskunfteien maßgeblich und allein auf die eingekauften Score-Werte verlassen. Für viele Unternehmen dürfte das Urteil in Zeiten von künstlicher Intelligenz (KI) von besonderem Interesse sein, da sich die Argumente auf Verarbeitungen mit KI-Systemen übertragen lassen können. So dürften Verarbeitungen im (teilweise) autonom agierenden Teil der KI-Systeme als auch der Output dieser Systeme regelmäßig entsprechende datenschutzrechtliche Probleme aufwerfen und müsste den engen Bedingungen des EuGH nach Art. 22 Datenschutz-Grundverordnung (DSGVO) entsprechen. Auch sind Unternehmen gehalten, ihren Löschanforderungen nachzukommen, wenn sie (noch) Daten aus öffentlichen Registern in ihren internen Datenbanken speichern, die nicht mehr in den Registern verfügbar sind. 

Der Sachverhalt

Der EuGH entschied am 7. Dezember 2023 in zwei Verfahren, C-634/21 sowie den verbundenen Rechtssachen C-26/22 und C-64/22, über Rechtsfragen zum Scoring von Krediten durch Wirtschaftsauskunfteien und zur Speicherung von Daten aus öffentlichen Registern. Im Ergebnis entschied der EuGH Folgendes:

• Scoring ist als automatisierte Einzelfallentscheidung einzuordnen. Das hat zur Folge, dass Unternehmen nicht ausschließlich auf der Grundlage von Scorings, beispielsweise der SCHUFA, entscheiden dürfen, ob sie Verträge mit Kunden abschließen.

• Es besteht eine Löschpflicht für gespeicherte Daten aus öffentlich zugänglichen Registern, sobald diese Daten dort entfernt werden.

In der Rechtssache C-634/21 befasste sich der EuGH mit einem Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden. Dabei ging es um die Geschäftspraktiken von Wirtschaftsauskunfteien im Kontext der Kreditwürdigkeitsbewertung. Konkret klagte eine Person, die eine negative Kreditauskunft erhalten hatte, was zur Ablehnung eines Kredits führte, gegen die SCHUFA Holding AG. Dazu entschied der EuGH, dass schon das Scoring bei der SCHUFA als eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO einzuordnen ist und nicht nur die spätere Ablehnung des Kreditantrags durch die Bank. Demnach genügt es, wenn die spätere Entscheidung der Bank „maßgeblich“ davon abhängt, wie wahrscheinlich es ist, dass ein Dritter ein Vertragsverhältnis mit dieser Person begründen, durchführen oder beenden wird. Eine genaue Definition für „maßgeblich“ ließ der EuGH offen. Demnach ist für jede menschliche Entscheidung, die maßgeblich auf einer automatisierten Entscheidung beruht, eine gesetzliche Rechtsgrundlage bzw. eine Einwilligung erforderlich. Zudem hat das EuGH-Urteil für Wirtschaftsauskunfteien zur Folge, dass diese ohne entsprechende Rechtsgrundlage eine ausdrückliche Einwilligung für eine Score-Wert-Berechnung einholen müssen, sofern keine nationale Rechtsgrundlage besteht. Ob die deutsche Regelung in § 31 Bundesdatenschutzgesetz (BDSG) eine solche Rechtsgrundlage darstellen kann, muss nun das Verwaltungsgericht Wiesbaden klären. Darüber hinaus hat das Bundeskabinett am 7. Februar 2024 einen Entwurf zur Änderung des BDSG beschlossen. Als Reaktion auf das EuGH-Urteil ist eine Neuregelung der Rechtsgrundlage für das Scoring vorgesehen, die Verbraucherinnen und Verbraucher besser schützen soll.

Autor:innen: Eric Meyer & Madeleine Marianne Huber