EuGH, Urt. 7.12.2023 - C-634/21
Score-Berechnung als automatisierte Einzelfallentscheidung gem. Art. 22 DSGVO
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 02/2024
Aus: IT-Rechtsberater, Heft 02/2024
Eine „automatisierte Entscheidung im Einzelfall“ i.S.v. Art. 22 Abs. 1 DSGVO liegt vor, wenn ein Wahrscheinlichkeitswert für die Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen aus personenbezogenen Daten durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern maßgeblich auf seiner Grundlage ein Dritter ein Vertragsverhältnis mit der betroffenen Person begründet, durchführt oder beendet.
VO (EU) 2016/679 Artt. 5, 6, 22; BDSG § 31
Nachteilige Entscheidung aufgrund automatisierter Verarbeitung: Bereits aus dem Wortlaut der Vorschrift ergebe sich, dass sich der Begriff der Entscheidung auch auf Handlungen mit beeinträchtigender Wirkung beziehe, die einer rechtlichen ähnlich seien. Umfasst seien i.S.d. Erwgrd. 71 der DSGVO etwa Online-Einstellungsverfahren oder die Ablehnung eines Online-Kreditantrags ohne jedes menschliche Eingreifen. Da der Begriff unterschiedlich beeinträchtigende Handlungen umfassen könne, könne er die Berechnung des Score-Wertes einschließen. Die Tätigkeit der SCHUFA erfülle als Profiling i.S.v. Art. 4 Nr. 4 DSGVO die Voraussetzung automatisierter Verarbeitung. Nach den Sachverhaltsfeststellungen des vorlegenden Gerichts führe im Fall eines vom Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Score-Wert in nahezu allen Fällen zu dessen Ablehnung (Rz. 44–49).
Verbot mit Vorbehalt von Erlaubniskategorien: In Rede stehende automatische Entscheidungen seien nach Art. 22 Abs. 2 lit. a–c DSGVO ausnahmsweise zulässig, wenn sie für Vertragsabschluss oder -erfüllung erforderlich seien, aufgrund von Rechtsvorschriften zulässig seien oder mit ausdrücklicher Einwilligung erfolgten (Rz. 52 f.).
Erhöhter Grundrechtsschutz durch Verfahren: Außerdem sehe Art. 22 Abs. 2 lit. b, Abs. 3 DSGVO vor, dass angemessene Schutzmaßnahmen vorgesehen werden müssten und in den Fällen des Art. 22 Abs. 2 lit. a und c DSGVO der Verantwortliche mindestens Betroffenenrechte auf manuelle Überprüfung, Anhörung und Entscheidungsanfechtung gewähre. Nach Art. 22 Abs. 4 DSGVO dürften nur unter besonderen Voraussetzungen sensible Daten nach Art. 9 Abs. 1 DSGVO zugrunde gelegt werden. Schließlich unterliege der Verantwortliche zusätzlichen Informationspflichten nach Artt. 13 Abs. 2 lit. f, 14 Abs. 2 lit. g DSGVO und stehe dem Betroffenen nach Art. 15 Abs. 1 lit. h DSGVO ein Auskunftsrecht zu, das insb. „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ der Verarbeitung betreffe. Diese höheren Rechtfertigungsanforderungen dienten dem Zweck, Personen vor den besonderen Risiken aus der automatisierten Verarbeitung von Personenbewertungen, bspw. zu Arbeitsleistung, Wirtschaftslage, Gesundheit, Interessen, Zuverlässigkeit oder Ortswechseln, zu schützen. Daher solle i.S.v. Erwgrd. 71 der DSGVO eine faire und transparente Verarbeitung gewährleistet werden (Rz. 54–59).
Vermeidung von Schutzlücken: Wäre die Score-Berechnung eine nur von Art. 22 Abs. 1 DSGVO nicht erfasste Vorbereitungshandlung, würden die besonderen Anforderungen von Art. 22 Abs. 2-4 DSGVO trotz Automatisierung und erheblicher Beeinträchtigung wegen der maßgeblichen Handlungsleitung des Datenempfängers nicht gelten. Außerdem könnte gegenüber der Wirtschaftsauskunftei das Auskunftsrecht i.S.v. Art. 15 Abs. 1 lit. h DSGVO nicht geltend gemacht werden, während der Empfänger mangels Verfügungsgewalt nicht zur Auskunft in der Lage wäre (Rz. 61 ff.)
Spezifische Maßnahmen der Öffnungsklausel: Bereits aus dem Wortlaut des Art. 22 Abs. 2 lit. b DSGVO ergebe sich, dass die nationalen Erlaubnisnormen angemessene Schutzmaßnahmen enthalten müssten. Im Licht des Erwgrd. 71 der DSGVO seien insb. geeignete mathematisch-statistische Berechnungsverfahren, technisch-organisatorische Fehlerminimierung, Datensicherung gegen potentielle Bedrohungen und insb. Diskriminierungsvorsorge vorzusehen. Dies umfasse außerdem mindestens das Betroffenenrecht auf menschliche Überprüfung beim Verantwortlichen, Anhörung und Entscheidungsanfechtung (Rz. 64 ff.).
Allgemeine Grundsätze der Datenverarbeitung: Jede Datenverarbeitung – auch aufgrund vorliegender Öffnungsklausel – müsse im Einklang insb. mit Art. 5 Abs. 1 lit. a DSGVO eine der Bedingungen des Art. 6 DSGVO erfüllen, was vom Verantwortlichen nach Art. 5 Abs. 2 DSGVO nachzuweisen sei (EuGH v. 20.10.2022 – C-77/21 – Digi Rz. 24, 49 m.w.N., K&R 2022, 822). Aus dem Umkehrschluss zu Art. 6 Abs. 3 DSGVO ergebe sich, dass die Mitgliedstaaten nicht zu ergänzenden Vorschriften bzgl. der hier einschlägigen Bedingungen gem. Art. 6 Abs. 1 Unterabs. 1 lit. a, b und f DSGVO befugt seien. Hinsichtlich lit. f der Vorschrift seien zudem die Anforderungen aus der EuGH-Entscheidung „Restschuldbefreiung“ vom gleichen Tag die SCHUFA betreffend zu beachten (EuGH v. 7.12.2023 – C-26/22 u.a., WM 2023, 2316 = CR 2024, 34) und dürfe insb. das Ergebnis der Interessenabwägung nicht vorweggenommen werden (Rz. 67–70 m.w.N.).
Ausstehende Prüfung der Rechtsgrundlage: Bzgl. der vom vorlegenden Gericht zu prüfenden Vereinbarkeit der allein in Betracht kommenden Grundlage gem. § 31 BDSG mit dem Unionsrecht bestünden durchgreifende Bedenken (Rz. 71 f.).
VO (EU) 2016/679 Artt. 5, 6, 22; BDSG § 31
Das Problem
Die SCHUFA prognostiziert für ihre Kunden die Kreditwürdigkeit insb. von Verbrauchern aus bestimmten Personenmerkmalen aufgrund mathematisch-statistischer Verfahren (Score-Wert). Nach Aufforderung durch einen Betroffenen, dem wegen Negativauskunft der SCHUFA eine Kreditierung verweigert wurde, informierte die SCHUFA über die Höhe des Score-Werts und legte grob die Berechnungsmethode dar, verweigerte jedoch unter Hinweis auf Geschäftsgeheimnisse berücksichtigte Einzelinformationen und Details ihrer Gewichtung, zumal die Vertragspartner die eigentlichen Vertragsentscheidungen träfen. Die Ablehnung des Antrags des Betroffenen beim hessischen Datenschutzbeauftragten (HBDI) auf Verfügung von Auskunft und Löschung wurde mit nicht erwiesenem Verstoß gegen § 31 BDSG begründet.Die Entscheidung des Gerichts
Auf die Berechnung des Score-Werts finde Art. 22 Abs. 1 DSGVO Anwendung, wonach Entscheidungen grundsätzlich untersagt seien, die ausschließlich auf einer automatisierten Verarbeitung – inklusive Profiling – beruhten und rechtlich oder in ähnlicher Weise erheblich beeinträchtigten.Nachteilige Entscheidung aufgrund automatisierter Verarbeitung: Bereits aus dem Wortlaut der Vorschrift ergebe sich, dass sich der Begriff der Entscheidung auch auf Handlungen mit beeinträchtigender Wirkung beziehe, die einer rechtlichen ähnlich seien. Umfasst seien i.S.d. Erwgrd. 71 der DSGVO etwa Online-Einstellungsverfahren oder die Ablehnung eines Online-Kreditantrags ohne jedes menschliche Eingreifen. Da der Begriff unterschiedlich beeinträchtigende Handlungen umfassen könne, könne er die Berechnung des Score-Wertes einschließen. Die Tätigkeit der SCHUFA erfülle als Profiling i.S.v. Art. 4 Nr. 4 DSGVO die Voraussetzung automatisierter Verarbeitung. Nach den Sachverhaltsfeststellungen des vorlegenden Gerichts führe im Fall eines vom Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Score-Wert in nahezu allen Fällen zu dessen Ablehnung (Rz. 44–49).
Verbot mit Vorbehalt von Erlaubniskategorien: In Rede stehende automatische Entscheidungen seien nach Art. 22 Abs. 2 lit. a–c DSGVO ausnahmsweise zulässig, wenn sie für Vertragsabschluss oder -erfüllung erforderlich seien, aufgrund von Rechtsvorschriften zulässig seien oder mit ausdrücklicher Einwilligung erfolgten (Rz. 52 f.).
Erhöhter Grundrechtsschutz durch Verfahren: Außerdem sehe Art. 22 Abs. 2 lit. b, Abs. 3 DSGVO vor, dass angemessene Schutzmaßnahmen vorgesehen werden müssten und in den Fällen des Art. 22 Abs. 2 lit. a und c DSGVO der Verantwortliche mindestens Betroffenenrechte auf manuelle Überprüfung, Anhörung und Entscheidungsanfechtung gewähre. Nach Art. 22 Abs. 4 DSGVO dürften nur unter besonderen Voraussetzungen sensible Daten nach Art. 9 Abs. 1 DSGVO zugrunde gelegt werden. Schließlich unterliege der Verantwortliche zusätzlichen Informationspflichten nach Artt. 13 Abs. 2 lit. f, 14 Abs. 2 lit. g DSGVO und stehe dem Betroffenen nach Art. 15 Abs. 1 lit. h DSGVO ein Auskunftsrecht zu, das insb. „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ der Verarbeitung betreffe. Diese höheren Rechtfertigungsanforderungen dienten dem Zweck, Personen vor den besonderen Risiken aus der automatisierten Verarbeitung von Personenbewertungen, bspw. zu Arbeitsleistung, Wirtschaftslage, Gesundheit, Interessen, Zuverlässigkeit oder Ortswechseln, zu schützen. Daher solle i.S.v. Erwgrd. 71 der DSGVO eine faire und transparente Verarbeitung gewährleistet werden (Rz. 54–59).
Vermeidung von Schutzlücken: Wäre die Score-Berechnung eine nur von Art. 22 Abs. 1 DSGVO nicht erfasste Vorbereitungshandlung, würden die besonderen Anforderungen von Art. 22 Abs. 2-4 DSGVO trotz Automatisierung und erheblicher Beeinträchtigung wegen der maßgeblichen Handlungsleitung des Datenempfängers nicht gelten. Außerdem könnte gegenüber der Wirtschaftsauskunftei das Auskunftsrecht i.S.v. Art. 15 Abs. 1 lit. h DSGVO nicht geltend gemacht werden, während der Empfänger mangels Verfügungsgewalt nicht zur Auskunft in der Lage wäre (Rz. 61 ff.)
Spezifische Maßnahmen der Öffnungsklausel: Bereits aus dem Wortlaut des Art. 22 Abs. 2 lit. b DSGVO ergebe sich, dass die nationalen Erlaubnisnormen angemessene Schutzmaßnahmen enthalten müssten. Im Licht des Erwgrd. 71 der DSGVO seien insb. geeignete mathematisch-statistische Berechnungsverfahren, technisch-organisatorische Fehlerminimierung, Datensicherung gegen potentielle Bedrohungen und insb. Diskriminierungsvorsorge vorzusehen. Dies umfasse außerdem mindestens das Betroffenenrecht auf menschliche Überprüfung beim Verantwortlichen, Anhörung und Entscheidungsanfechtung (Rz. 64 ff.).
Allgemeine Grundsätze der Datenverarbeitung: Jede Datenverarbeitung – auch aufgrund vorliegender Öffnungsklausel – müsse im Einklang insb. mit Art. 5 Abs. 1 lit. a DSGVO eine der Bedingungen des Art. 6 DSGVO erfüllen, was vom Verantwortlichen nach Art. 5 Abs. 2 DSGVO nachzuweisen sei (EuGH v. 20.10.2022 – C-77/21 – Digi Rz. 24, 49 m.w.N., K&R 2022, 822). Aus dem Umkehrschluss zu Art. 6 Abs. 3 DSGVO ergebe sich, dass die Mitgliedstaaten nicht zu ergänzenden Vorschriften bzgl. der hier einschlägigen Bedingungen gem. Art. 6 Abs. 1 Unterabs. 1 lit. a, b und f DSGVO befugt seien. Hinsichtlich lit. f der Vorschrift seien zudem die Anforderungen aus der EuGH-Entscheidung „Restschuldbefreiung“ vom gleichen Tag die SCHUFA betreffend zu beachten (EuGH v. 7.12.2023 – C-26/22 u.a., WM 2023, 2316 = CR 2024, 34) und dürfe insb. das Ergebnis der Interessenabwägung nicht vorweggenommen werden (Rz. 67–70 m.w.N.).
Ausstehende Prüfung der Rechtsgrundlage: Bzgl. der vom vorlegenden Gericht zu prüfenden Vereinbarkeit der allein in Betracht kommenden Grundlage gem. § 31 BDSG mit dem Unionsrecht bestünden durchgreifende Bedenken (Rz. 71 f.).