alt text
alt text

Bereits registriert? Hier einloggen.

Kostenfrei starten
  • Blog
  • SCHUFA: EuGH entscheidet, dass Kreditvermittlungsverfahren gegen GDPR verstoßen

Hallo! Wir experimentieren derzeit mit Tools, die unsere englischen Inhalte automatisch übersetzen. Der Inhalt, den Sie gerade sehen, wurde von den genannten Tools automatisch übersetzt. Wenn Sie das Gefühl haben, dass die Übersetzung von geringer Qualität ist, würden wir uns über Ihr Feedback freuen! Sie können auch zum originalen englischen Inhalt wechseln.

Kategorien

SCHUFA: EuGH sieht Verstoß gegen GDPR

Simon Coulthard Dezember 11, 2023

4 Minütige Lektüre
DSGVO & Datenschutzgesetze
INHALT
SCHUFA-EJC-Regeln-Kreditbewertungsunternehmen-könnten-GDPR-verletzen

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Datenpraktiken der SCHUFA Holding AG - einem führenden deutschen Unternehmen für Verbraucherkredite - möglicherweise gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen.

Diese Entscheidung hat weitreichende Auswirkungen und setzt die Unternehmen unter Druck, ihre Kreditentscheidungspraxis an die Anforderungen der DSGVO anzupassen.

SCHUFA - GDPR-Nachrichten - TWIPLA

Erschließen Sie Ihr volles Potenzial

Unsere fortschrittliche Website-Intelligence-Lösung ermöglicht es jedem, seine Website schnell zu erweitern und gleichzeitig die Rechte der Besucherdaten zu schützen. Melden Sie sich noch heute kostenlos an, entfernen Sie Ihr hässliches Cookie-Banner und optimieren Sie die Datenerfassung!

ANFANGENcircle-arrow-right.svg

Wer ist die SCHUFA?

SCHUFA - Datenschutz - GDPR

DieSCHUFA ist die größte Auskunftei Deutschlands. Sie verfügt über die Daten von 68 Millionen Menschen und sechs Millionen Unternehmen und führt jedes Jahr 165 Millionen Kreditprüfungen durch. Die Abkürzung steht für " Schutzgemeinschaft für allgemeine Kreditsicherung".

Die SCHUFA bewertet die Kreditwürdigkeit mit einem so genannten Scoring, einem mathematisch-statistischen Verfahren, das die Wahrscheinlichkeit des zukünftigen Verhaltens einer Person vorhersagt. Dazu nutzt das Unternehmen Daten zum Zahlungsverhalten, die es von den Unternehmen des Kreditschutznetzes erhält.

All dies geschieht hinter den Kulissen und ohne die ausdrückliche Zustimmung der betroffenen Personen, weshalb dieser EuGH-Fall für die gesamte Branche der Auskunfteien, Finanzdienstleistungen und darüber hinaus von Bedeutung ist.

Ein niedriger SCHUFA-Score ist ein Hindernis für viele wichtige Dienstleistungen im deutschen Leben. Er kann zum Beispiel verhindern, dass Menschen eine Wohnung mieten, eine Kreditkarte bekommen oder einen Breitbandvertrag abschließen können.

Verwaltungsgericht Wiesbaden

Was hat der EuGH entschieden?

Letzte Woche (7. Dezember) fällte der EuGH ein Urteil in zwei Verfahren(C-634/21 und verbundene Rechtssachen C-26/22 und C-64/22), die Auswirkungen auf die Geschäftspraktiken im Zusammenhang mit dem Scoring durch Auskunfteien haben. Dabei ging es um zwei wesentliche Rechtsfragen zur SCHUFA:

  1. Die "verlängerte" Datenspeicherung des Unternehmens: Die SCHUFA speichert historische Finanzdaten in ihren eigenen Datenbanken drei Jahre lang - länger als die sechsmonatige Aufbewahrungsfrist des deutschen Insolvenzrechts.
  2. die Frage, ob die SCHUFA das Recht hat, automatisch Bonitätsauskünfte zu erteilen, obwohl die Datenschutzgrundverordnung diese Verfahren einschränkt, wenn das Ergebnis erhebliche Auswirkungen auf EU-Bürger haben kann.

Ursprung des Verfahrens gegen die SCHUFA

Das Urteil gegen die SCHUFA geht auf einen Streit zwischen dem Unternehmen und einer Person (OQ) zurück, der aufgrund ihrer Bonitätsbewertung ein Kredit verweigert wurde. OQ verlangte, dass die SCHUFA alle über ihn gespeicherten Daten auswertet und einige angeblich unrichtige Informationen löscht. Die SCHUFA weigerte sich daraufhin, offenzulegen, welche Informationen zur Berechnung der Kreditwürdigkeit und der Gewichtung verwendet wurden.

Von zentraler Bedeutung in diesem Fall war die Frage, ob die Verfahren der SCHUFA zur Erstellung von Kreditwürdigkeitsprüfungen für Verbraucher eine "automatisierte Entscheidung" gemäß Artikel 22 der Datenschutz-Grundverordnung darstellen. Es ging auch um die Frage der Verantwortlichkeit, da nicht die SCHUFA selbst die Entscheidung trifft, sondern die Drittunternehmen, bei denen die Menschen einen Antrag stellen.

Vor diesem Hintergrund wurde der Fall vom Verwaltungsgericht Wiesbade dem EuGH zur Vorabentscheidung vorgelegt, insbesondere im Hinblick auf die Rechte und den Schutz natürlicher Personen vor automatisierter Entscheidungsfindung und Profiling nach der DSGVO.

EuGH-Urteil gegen SCHUFA

Rechtmäßige Dauer der Datenspeicherung

Der EuGH entschied, dass die verlängerte Speicherung von Daten im Zusammenhang mit der Erteilung der Restschuldbefreiung gegen die DSGVO verstößt. Er entschied, dass es "gegen die DSGVO verstößt, wenn private Agenturen solche Daten länger als das öffentliche Insolvenzregister [sechs Monate] aufbewahren".

Und danach dürfen Auskunfteien diese Daten nur dann weiter speichern, wenn sie ein berechtigtes Interesse gemäß Artikel 6 Absatz 1 DSGVO nachweisen können.

Es stellte fest, dass Betroffene das Recht haben, ihre Daten auf Antrag löschen zu lassen, und dass die SCHEFA dann verpflichtet ist, diesem Antrag nachzukommen und diese Daten so schnell wie möglich zu löschen.

Das Gericht entschied auch, dass eine Auskunftei Daten aus öffentlich zugänglichen Quellen nicht länger verarbeiten darf, als die Daten aus dieser Quelle noch verfügbar sind.

Recht auf automatische Ausstellung von Kredit-Scores

Der EuGH entschied, dass das Bonitätsbewertungssystem der SCHUFA eine "automatisierte Einzelentscheidung" darstellt, die "grundsätzlich durch die DSGVO verboten ist, soweit die Kunden der SCHUFA, wie z. B. Banken, ihr eine entscheidende Rolle bei der Kreditvergabe zuweisen".

Anders ausgedrückt: Das Gericht hat entschieden, dass jede Art der automatisierten Bewertung rechtswidrig ist, wenn sie sich erheblich auf das Leben der Betroffenen auswirkt - wie es bei der Kreditbewertung der Fall ist.

Andere Urteile

Das Gericht entschied auch, dass das Verwaltungsgericht Wiesbaden (VGW) nun klären muss, ob das deutsche Recht eine zulässige Ausnahme für Scoring vorsieht. Dieses Gericht ist Teil des deutschen Justizsystems und auf die Bearbeitung von Fällen im Zusammenhang mit dem Verwaltungsrecht spezialisiert.

Sollte dies der Fall sein, erklärte der EuGH, dass die ACW prüfen müsse, ob die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt sind, zum Beispiel, dass die Betroffenen auf ihr Recht hingewiesen wurden, einer automatisierten Entscheidung zu widersprechen und stattdessen eine menschliche Entscheidung zu erhalten. Er stellte auch fest, dass betroffene Personen bei Auskunfteien das Recht haben, auf Anfrage eine Begründung für ihre Bonitätsbewertung zu erhalten.

Zweitens unterstrich der EuGH auch die Verantwortung der nationalen Gerichte, eine "vollständige Überprüfung" aller rechtsverbindlichen Entscheidungen ihrer Datenschutzbehörde vorzunehmen.

Weitergehende Auswirkungen auf die Wirtschaft

Diese Entscheidung ist das erste Urteil zur automatisierten individuellen Entscheidungsfindung seit der Einführung der DSGVO im Jahr 2018 und hat weitreichende Auswirkungen, die über die SCHUFA und die gesamte Kreditwürdigkeitsprüfungsbranche hinausgehen:

  • Der Prozess des Scorings durch Auskunfteien ist nun nach der DSGVO illegal, was bedeutet, dass Unternehmen ihre Systeme überprüfen und anpassen müssen.
  • Die Daten, die zur Erstellung von Kreditscores verwendet werden, müssen auf ihre Rechtmäßigkeit hin überprüft werden, unabhängig davon, ob eine automatisierte Entscheidungsfindung eingesetzt wird.
  • Jede Zustimmung, die zur Absicherung kreditbasierter Entscheidungen erforderlich ist, muss auf ihre Rechtmäßigkeit überprüft werden. Und bei einer automatisierten Entscheidungsfindung ist die Einwilligung nur dann wirksam, wenn die korrekte Entscheidung von der Einwilligung abgedeckt ist, falls dies zutrifft.
  • Score-Werte, die nicht mehr aktuell sind oder bei denen die Gefahr besteht, dass sie unrechtmäßig berechnet wurden, müssen gelöscht werden.
  • Unternehmen können Kreditscores bei der Überprüfung der Kreditwürdigkeit von Bewerbern verwenden, aber nur, wenn dies nicht die einzige Grundlage für ihre Entscheidung ist.
SCHUFA - GDPR - TWIPLA website intelligence

Über TWIPLA

TWIPLA ist ein führender Anbieter von datenschutzfreundlicher Analytik mit einer kompletten Web-Intelligence-Lösung mit fortschrittlichen Funktionen. Unsere Plattform erfüllt standardmäßig alle datenschutzrechtlichen Anforderungen und ermöglicht es 2,5 Millionen Nutzern, mehr Daten mit höherer Genauigkeit zu sammeln, ohne dass ein Cookie oder ein Zustimmungsbanner erforderlich ist.

Kostenlos einsteigen

Gewinnen Sie erstklassige Einblicke und bieten Sie innovativen Datenschutz und Sicherheit

Kategorien
up-arrow.svg