Ist der Schufa-Score zulässig? Nun soll der EuGH helfen

Der umstrittene Schufa-Score beschäftigt Rechtsexperten seit geraumer Zeit. Nun hat sich das Verwaltungsgericht Wiesbaden Unterstützung beim höchsten Gericht Europas geholt, um endgültig Gewissheit zu haben. Die brennende Frage: Verstößt der Schufa-Score gegen die europaweit geltende Datenschutzgrundverordnung (DSGVO).

Hilfe vom höchsten Gericht

Sicherlich bist auch du schon einmal mit dem Schufa-Score in Berührung gekommen. Spätestens bei der Bewerbung um eine neue Mietwohnung wird dieser Punktestand vom potentiellen Vermieter verlangt, um deine Bonität zu prüfen. Auch, wenn man sich um einen Kredit für eine größere Anschaffung bemüht, wird der Schufa-Score in der Regel abgefragt. Doch was ist das überhaupt? Deine „Schufa-Punkte“ werden durch eine Art Wahrscheinlichkeitsrechnung ermittelt. Hierbei werden eventuell verzögerte Zahlungen oder gar Schulden berücksichtigt. Auch laufende Ratenzahlungen wirken sich auf deinen Punktestand aus.

Ziel ist es, dem Kreditgeber, Vermieter oder einem anderen langandauernden Vertragspartner zu zeigen, wie wahrscheinlich Bonitätsprobleme sind. Derzeit beschäftigt sich das Verwaltungsgericht Wiesbaden mit dem umstrittenen Schufa-Score. Und dabei scheinen sich einige grundsätzliche Fragezeichen ergeben zu haben. Das Verwaltungsgericht der hessischen Landeshauptstadt wendet sich nun an die oberste Stelle. Schließlich drehen sich die Probleme allen voran um die DSGVO. Zwei schwerwiegende Fragen sollen Dreh- und Angelpunkt der Anfrage an das oberste europäische Gericht sein. Am wichtigsten ist dabei die Frage, ob der Schufa-Score in den Wirkungsbereich der DSGVO fällt.

möglicher Verstoß gegen Artikel 22 DSGVO

Im Fokus der Juristen steht der Artikel 22 DSGVO. Dieser untersagt, dass Personen einer „ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterwerfen werden.“ Von einem Verstoß spricht man dann, wenn die Entscheidung der Person „gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Doch wie so oft bei europäischen Verordnungen, wird auch hier den einzelnen Mitgliedsstaaten eine gewisse Freiheit eingeräumt. So entfaltet das Verbot aus Artikel 22 nur dann Wirkung, wenn nationales Recht keine ausdrückliche Erlaubnis vorsieht. Auch dann, wenn ein Vertragspartner entsprechende Punkte für Vertragsabschluss oder Vertragserfüllung erfordert, greift die Klausel nicht. Selbiges gilt, wenn die betroffene Person ausdrücklich ihre Einwilligung gegeben hat.

Recht auf Anfechtung automatischer Beschlüsse

Wenn der EuGH nun zum Urteil kommen sollte, dass die DSGVO auch den Schufa-Score umfasst, wären die Folgen schwerwiegend. Das Verwaltungsgericht Wiesbaden erklärt diesbezüglich, dass die Berechnung der Schufa-Punkte unter Paragraph 31 Bundesdatenschutzgesetz (BDSG) fallen. Ziel dieser Vorschrift sei das Aufrechterhalten des Wirtschaftsverkehrs durch die Legalität von Bonitätsauskünften. Nun heißt es aber seitens der Richter aus Wiesbaden, dass es fraglich sei, ob die Vorschrift aus dem BDSG überhaupt mit dem Artikel 22 der DSGVO in Einklang steht. Diese „durchgreifenden Bedenken“ seitens des Gerichts gehen sogar soweit, dass sie sagen, dass die Schufa ansonsten „rechtsgrundlos handeln“ würde.

Neben der Frage, ob der Schufa-Score von der DSGVO umfasst wird, soll durch den EuGH geklärt werden, ob Paragraph 31 BDSG im Einklang mit geltendem Europarecht steht. Gemäß dieser Vorschrift kann man den Schufa-Score als Unterform des Profilings ansehen. Mit Blick auf Artikel 22 DSGVO schießt das BDSG in diesem Fall also „mit weitergehenden inhaltlichen Zulässigkeitsvoraussetzungen“ über die Datenschutzgrundverordnung hinaus. Die Verwaltungsrichter aus Wiesbaden sind der Meinung, dass eine entsprechende Befugnis hierfür nicht bestehe. Sollte dies der Fall sein, dürfte die Schufa in Zukunft nur noch einen eingeschränkten Prüfungsspielraum haben.

Der geheimnisvolle Scoring-Algorithmus

Wirft man einen Blick in die DSGVO wird klar, dass „jede Art der automatisierten Verarbeitung personenbezogener Daten“ nur unter bestimmten Voraussetzungen erlaubt ist. Hierunter fällt ganz klar das Erstellen von Profilen, wie es beim Schufa-Score Gang und Gäbe ist. Die europaweit geltende Datenschutzvorschrift hat dabei vor allem Profilerstellungen unter Zuhilfenahme von Eigenschaften wie Arbeitsleistung, Gesundheitszustand und gegenwärtige wirtschaftliche Lage im Hinterkopf. Wirft man einen Blick ins BDSG klingt das alles ein wenig liberaler. So ist eine entsprechende Punktevergabe wie beim Schufa-Score dann zulässig, wenn drei Voraussetzungen eingehalten werden.

Zum einen muss das geltende Datenschutzrecht eingehalten werden. Das bedeutet, dass die Daten wohl behütet und verschlüsselt bleiben müssen. Des weiteren müssen die Daten „unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens“ auch eine gewisse Relevanz haben. Das bedeutet, dass bloße Anschriften von Personen nicht für die Punktevergabe der Schufa herangezogen werden dürfen. Die Schufa selbst scheint indes sehr stolz auf ihren hauseigenen Algorithmus für den Schufa-Score zu sein. Selbiger wird seit Jahren unter Verschluss gehalten.