Unter Scoring versteht man die “Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person” (§ 31 Abs. 1 BDSG). Überschrieben ist dieser Paragraph mit “Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften”, was letztlich ein Offenbarungseid ist: nicht die betroffene Person soll geschützt werden, sondern der Wirtschaftsverkehr vor allzu viel Datenschutz. Wäre ja auch blöd, wenn die Geschäftsgrundlage von SCHUFA, Creditreform und wie wie alle heißen, plötzlich wegbrechen würde.
Ein Bürger wollte vom Hessischen Landesdatenschutzbeauftragten (HDSB) erreichen, dass dieser aufsichtsbehördlich gegen die SCHUFA vorgeht, da das von der SCHUFA durchgeführte Scoring rechtswidrig sei. Der HDSB lehnte ab, dagegen klagte der Bürger vor dem zuständigen Verwaltungsgericht (VG) Wiesbaden. Mit Beschluss vom 01.10.2021, der jetzt bekannt wurde, hat das VG Wiesbaden das Verfahren ausgesetzt und dem EuGH zwei Fragen zur Vereinbarkeit von § 31 BDSG mit der DSGVO vorgelegt:
Dem EuGH wird die Frage zur Entscheidung vorgelegt, ob Art. 22 Abs. 1 DS-GVO dahingehend auszulegen ist, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhende Entscheidung ist, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wahrscheinlichkeitswert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
Es bestehen erhebliche Zweifel an der Vereinbarkeit von § 31 BDSG mit Art. 22 DS-GVO, weil der deutsche Gesetzgeber lediglich die “Verwendung” des “Wahrscheinlichkeitswertes” regelt, nicht aber die Erstellung des Wahrscheinlichkeitswerts selbst.
Scheint eine interessante Geschichte zu sein - leider versteht ein Normalbürger das juristische Geschwurbel nicht. Wird Schufa dann verboten? Wie soll denn dann eine Kreditwürdigkeitsprüfung in Zukunft funktionieren?
Bestimmt gibt es hier auch findige Kollegen, die das verstanden haben und hier in normaler Sprache mal erklären können?
Schufa & Co. sind ja nicht erst seit der DSGVO im Kreuzfeuer. Was sich diese privatwirtschaftlichen Unternehmen herausnehmen dürfen, passt sicherlich nicht mit der DSGVO zusammen und befindet sich meiner Meinung nach in einer Grauzone. Da braucht man sich nur einmal Erwägungsgrund 75 zur DSGVO durchzulesen. Dabei ist nicht einmal die Tätigkeit von Schufa & Co. im Mittelpunkt, sondern welche Daten diesen Firmen geliefert werden. Experimentell habe ich dazu einmal Tests gemacht und dabei festgestellt, dass z.B. Banken hingehen, nicht abgeschlossene Online-Kreditanfragen (z.B. bei einem Kreditvergleich) der Schufa mitteilen und diese zu einem schlechteren Scoring führen. So manche Bank ist da der Meinung, wenn du bei mir keinen Kredit abschließt, sorge ich dafür, dass du anderswo keinen bekommst. Und genau hier kommt dann die DSGVO im Spiel. Ein weiteres Problem ist ja, dass in aller Regelmäßigkeit Schufa & Co. garnicht mitbekommen, dass einer Forderung widersprochen wurde oder gar Klageverfahren gegen z.B. einem Leistungserbringer erfolgt, denn der Gläubiger teilt das Schufa & Co. nicht mit. Der Gläubiger sagt nur: Ich bekomme Geld vom Schuldner. Daraus resultiert häufig ein schlechteres Scoring. Eine ganz besondere Tragweite hat das im Factoring. Hier werden Forderungen an einen Dritten verkauft, egal ob sachlich und rechnerisch korrekt. Sehr problematisch z.B. bei medizinischen Leistungen, die angezeweifelt werden. Es ist ja auch nicht selten, dass ein Gläubiger mit “Schufa-Eintrag” droht. Wenn da nicht Rechte und Freiheiten im Sinne der DSGVO engeschränkt werden?
Solange die Hessischen Landesdatenschutzbeauftragten (HDSB) ihre schützenden Hände über die Schufa halten, wird die Schufa eine suspekte black box bleiben.
Wir Datenschützer diskutieren seit Jahren, warum wohl die Kollegen und Kolleginnen in Irland nicht mit Elan an die Themen bei den Datenkraken gehen. Ich vermute mal. “Das hat was mit Politik zu tun”.
Und genau so verhält es sich in der BRD auch. In diesem Fall kann man, mit dem Finger nach Hessen zeigen und erreicht auch nix.
Und bevor mir jemand pauschales HDSB Bashing unterstellt. Ich hab das alles selbst erlebt und schwarz auf weiß zu Hause. Würde nur eben jetzt meinen Feierabend sprengen.
Mittlerweile hat, soweit ich mich entsinne, die Führung ja gewechselt. Aber wenn die Prozesse und Verfahren noch die gleichen sind, dann kann zumindest ich für meinen Teil, den HDSB eines von beiden unterstellen
A) Mangelnde Kompetenz und Sachkenntnis
oder
B) Die Motivation seinen Job zu machen.
Und solange es solche Kolleginnen und Kollegen Datenschützer gibt, entscheidet die Legislative der Länder über die Wirkung gültiger Rechtsnormen. Nein, ich nehme die Schufa hierfür nicht als Synonym für alle Auskunfteien. Aber als Anfang allen Übels.
Hessen macht sich selbst zu einem leichten Ziel, was Bashing angeht. War nicht nach Einführung der DSGVO der Umfang der Auskunft gemäß Art. 15 DSGVO durch die Schufa mit Rückendeckung des LfD Hessen sogar reduziert worden im Vergleich zum Niveau nach BDSG? Frage mich, ob er Zustand angesichts der weit überwiegenden auskunftsfreundlichen Rechtsprechung noch immer anhält. Habe selbst schon lange keine Schufa-Auskunft mehr erfragt.