Die Schufa und der Datenschutz
Mit der Schufa hatte wohl jeder schon einmal zu tun. Wer die Kreditwürdigkeit eines Vertragspartners überprüfen möchte, wendet sich häufig an die größte Wirtschaftsauskunftei Deutschlands. Hierfür sammelt die Schufa, wie andere Auskunfteien auch, möglichst viele Daten, die dann ausgewertet werden – und stehen dadurch immer wieder im Fokus der Datenschützer. Jetzt soll der Europäische Gerichtshof (EuGH) entscheiden, ob die Datenverarbeitung der Schufa – und damit die Kerntätigkeit aller Wirtschaftsauskunfteien – unzulässig ist.
Problematik
Wirklich interessant ist für die Kunden der Schufa wohl hauptsächlich der Score-Wert – ein Wert, der mit einer mathematischen Formel berechnet wird, die auf diversen Daten beruhen soll, welche die Schufa zum Betroffenen gesammelt hat. Wie diese Formel jedoch genau aussieht, teilt die Schufa dem Betroffenen nicht mit – die Ermittlung des Scores kann daher für Betroffene nur bedingt nachvollzogen werden. Die Schufa begründet das damit, dass die Entscheidung, z.B. ob jemand einen Kredit erhält oder nicht, letztlich nicht von der Schufa, sondern von der Bank, die den Kredit vergibt, getroffen wird. Ein Auskunftsanspruch hinsichtlich der Entscheidungsfindung könnte dem Betroffenen daher nur gegenüber der Bank zustehen – die ihre Entscheidung wiederum auf den Score-Wert stützt, zu dessen Berechnung sie aber nichts sagen kann, da dieser von der Schufa ermittelt wird. Trifft also faktisch die Schufa die Entscheidung? Diese Frage muss der EuGH nun entscheiden.
Rechtslage in Deutschland
Die Tätigkeiten der Wirtschaftsauskunfteien werden in Deutschland durch § 31 Bundesdatenschutzgesetz (BDSG) geregelt und das Scoring unter bestimmten Voraussetzungen erlaubt. Wenn jedoch im aktuellen Fall, zu dem das Verwaltungsgericht Wiesbaden den EuGH befragt hat, entschieden werden sollte, dass das Scoring nach der DSGVO unter die Voraussetzungen des Art. 22 Abs. 1 DSGVO fällt, könnte das den § 31 BDSG zu Fall bringen – und das Geschäft der Wirtschaftsauskunfteien erheblich durcheinanderbringen.
Aussichten
Es bleibt abzuwarten, ob der EuGH die Bedenken des VG Wiesbaden teilt. Der Fall zeigt aber, dass selbst Gerichte bei der Auslegung der DSGVO noch immer Schwierigkeiten haben und auch das Bundesdatenschutzgesetz nicht in Stein gemeißelt ist. In den nächsten Jahren werden mit Sicherheit noch einige richtungsweisende Entscheidungen in Justiz und Politik Unternehmer und Datenschützer ordentlich auf Trab halten.