Urteil : Besondere datenschutzrechtliche Voraussetzungen des SCHUFA-Scorings : aus der RDV 1/2024, Seite 46-48
(EuGH, Urteil vom 7. Dezember 2023 – C-634/21 –)
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Zu den Vorlagefragen:
Zur ersten Vorlagefrage:
[…]
Was erstens die Voraussetzung des Vorliegens einer Entscheidung betrifft, ist festzustellen, dass der Begriff „Entscheidung“ im Sinne von Art. 22 Abs. 1 DS-GVO in dieser Verordnung nicht definiert wird. Bereits aus dem Wortlaut dieser Bestimmung ergibt sich jedoch, dass sich dieser Begriff nicht nur auf Handlungen bezieht, die rechtliche Wirkung gegenüber der betroffenen Person entfalten, sondern auch auf Handlungen, die diese Person in ähnlicher Weise erheblich beeinträchtigen.
Die weite Bedeutung des Begriffs „Entscheidung“ wird durch den 71. Erwägungsgrund der DS-GVO bestätigt, wonach eine Entscheidung zur Bewertung persönlicher Aspekte, die eine Person betreffen, „eine Maßnahme einschließen [kann]“, die entweder „rechtliche Wirkung für die betroffene Person“ entfaltet oder „sie in ähnlicher Weise erheblich beeinträchtigt“, wobei die betroffene Person das Recht haben sollte, einer solchen Entscheidung nicht unterworfen zu werden. Nach diesem Erwägungsgrund umfasst der Begriff „Entscheidung“ bspw. die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Da der Begriff „Entscheidung“ im Sinne von Art. 22 Abs. 1 DS-GVO somit, wie der Generalanwalt in Nr. 38 seiner Schlussanträge ausgeführt hat, mehrere Handlungen umfassen kann, die die betroffene Person in vielerlei Weise beeinträchtigen können, ist dieser Begriff weit genug, um das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts mit einzuschließen.
Was zweitens die Voraussetzung angeht, dass die Entscheidung im Sinne von Art. 22 Abs. 1 DS-GVO „ausschließlich auf einer automatisierten Verarbeitung, – einschließlich Profiling – [beruhen]“ muss, steht, wie der Generalanwalt in Nr. 33 seiner Schlussanträge ausgeführt hat, fest, dass eine Tätigkeit wie die der SCHUFA der Definition des „Profiling“ in Art. 4 Nr. 4 DS-GVO entspricht und dass diese Voraussetzung somit im vorliegenden Fall erfüllt ist; der Wortlaut der ersten Vorlagefrage bezieht sich im Übrigen ausdrücklich auf die automatisierte Erstellung eines auf personenbezogene Daten zu einer Person gestützten Wahrscheinlichkeitswerts hinsichtlich deren Fähigkeit, künftig einen Kredit zu bedienen.
Was drittens die Voraussetzung betrifft, dass die Entscheidung gegenüber der betroffenen Person „rechtliche Wirkung“ entfalten oder sie „in ähnlicher Weise erheblich“ beeinträchtigen muss, ergibt sich bereits aus dem Inhalt der ersten Vorlagefrage, dass das Handeln des Dritten, dem der Wahrscheinlichkeitswert übermittelt wird, „maßgeblich“ von diesem Wert geleitet wird. So führt nach den Sachverhaltsfeststellungen des vorlegenden Gerichts im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen dazu, dass die Bank die Gewährung des beantragten Kredits ablehnt.
Folglich ist davon auszugehen, dass auch die dritte Voraussetzung, von der die Anwendung von Art. 22 Abs. 1 DS-GVO abhängt, erfüllt ist, da ein Wahrscheinlichkeitswert wie der im Ausgangsverfahren fragliche die betroffene Person zumindest erheblich beeinträchtigt.
Daher ist unter Umständen wie jenen des Ausgangsverfahrens, unter denen der von einer Wirtschaftsauskunftei ermittelte und einer Bank mitgeteilte Wahrscheinlichkeitswert eine maßgebliche Rolle bei der Gewährung eines Kredits spielt, die Ermittlung dieses Wertes als solche als Entscheidung einzustufen, die im Sinne von Art. 22 Abs. 1 DS-GVO gegenüber einer betroffenen Person „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. […]
Insoweit ist darauf hinzuweisen, dass, wie der Generalanwalt in Nr. 31 seiner Schlussanträge festgestellt hat, Art. 22 Abs. 1 DS-GVO der betroffenen Person das „Recht“ verleiht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Diese Bestimmung stellt ein grundsätzliches Verbot auf, dessen Verletzung von einer solchen Person nicht individuell geltend gemacht zu werden braucht.
Wie sich nämlich aus Art. 22 Abs. 2 DS-GVO in Verbindung mit dem 71. Erwägungsgrund dieser Verordnung ergibt, ist der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung nur in den in Art. 22 Abs. 2 DS-GVO genannten Fällen zulässig, d.h., wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist (Buchst. a), wenn sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist (Buchst. b) oder wenn sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Buchst. c).
Außerdem sieht Art. 22 Abs. 2 Buchst. b) und Abs. 3 DS-GVO vor, dass angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorgesehen werden müssen. In den in Art. 22 Abs. 2 Buchst. a) und c) dieser Verordnung genannten Fällen gewährt der Verantwortliche der betroffenen Person mindestens das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
Ferner dürfen nach Art. 22 Abs. 4 DS-GVO automatisierte Entscheidungen im Einzelfall im Sinne von diesem Art. 22 nur in bestimmten Sonderfällen auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 dieser Verordnung beruhen.
Darüber hinaus unterliegt im Fall einer automatisierten Entscheidungsfindung wie jener im Sinne von Art. 22 Abs. 1 DS-GVO zum einen der Verantwortliche zusätzlichen Informationspflichten nach Art. 13 Abs. 2 Buchst. f) und Art. 14 Abs. 2 Buchst. g) dieser Verordnung. Zum anderen steht der betroffenen Person nach Art. 15 Abs. 1 Buchst. h) DS-GVO ein Auskunftsrecht gegenüber dem für die Verarbeitung Verantwortlichen zu, das insbesondere „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ betrifft. […]
Hingegen bestünde unter Umständen wie jenen des Ausgangsverfahrens, an denen drei Akteure beteiligt sind, die Gefahr einer Umgehung von Art. 22 DS-GVO und folglich eine Rechtsschutzlücke, wenn einer engen Auslegung dieser Bestimmung der Vorzug gegeben würde, nach der die Ermittlung des Wahrscheinlichkeitswerts nur als vorbereitende Handlung anzusehen ist und nur die vom Dritten vorgenommene Handlung gegebenenfalls als „Entscheidung“ im Sinne von Art. 22 Abs. 1 dieser Verordnung eingestuft werden kann.
In diesem Fall würde nämlich die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden nicht den besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DS-GVO unterliegen, obwohl dieses Verfahren auf einer automatisierten Verarbeitung beruht und Wirkungen entfaltet, welche die betroffene Person erheblich beeinträchtigen, da das Handeln des Dritten, dem dieser Wahrscheinlichkeitswert übermittelt wird, von diesem maßgeblich geleitet ist.
Außerdem könnte die betroffene Person, wie der Generalanwalt in Nr. 48 seiner Schlussanträge ausgeführt hat, zum einen bei der Wirtschaftsauskunftei, die den sie betreffenden Wahrscheinlichkeitswert ermittelt, ihr Recht auf Auskunft über die in Art. 15 Abs. 1 Buchst. h) DS-GVO genannten spezifischen Informationen nicht geltend machen, wenn keine automatisierte Entscheidungsfindung durch dieses Unternehmen vorliegt. Zum anderen wäre der Dritte – unter der Annahme, dass die von ihm vorgenommene Handlung unter Art. 22 Abs. 1 DS-GVO fiele, da sie die Voraussetzungen für die Anwendung dieser Bestimmung erfüllte – nicht in der Lage, diese spezifischen Informationen vorzulegen, weil er darüber im Allgemeinen nicht verfügt. […]
Was insbesondere Art. 22 Abs. 2 Buchst. b) DS-GVO betrifft, auf den das vorlegende Gericht Bezug nimmt, ergibt sich bereits aus dem Wortlaut dieser Bestimmung, dass die nationalen Rechtsvorschriften, die den Erlass einer automatisierten Entscheidung im Einzelfall erlauben, angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten müssen.
Im Licht des 71. Erwägungsgrundes der DS-GVO müssen solche Maßnahmen insbesondere die Verpflichtung des Verantwortlichen umfassen, geeignete mathematische oder statistische Verfahren zu verwenden, technische und organisatorische Maßnahmen zu treffen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird und Fehler korrigiert werden, und personenbezogene Daten in einer Weise zu sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und insbesondere zu verhindern, dass es ihr gegenüber zu diskriminierenden Wirkungen kommt. Diese Maßnahmen umfassen außerdem mindestens das Recht der betroffenen Person auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der gegen sie erlassenen Entscheidung. […]
Ist nach den Rechtsvorschriften eines Mitgliedstaats gemäß Art. 22 Abs. 2 Buchst. b) DS-GVO der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zulässig, muss diese Verarbeitung somit nicht nur die in der letztgenannten Bestimmung und in Art. 22 Abs. 4 DS-GVO aufgestellten Voraussetzungen erfüllen, sondern auch die Anforderungen in den Artt. 5 und 6 dieser Verordnung. Folglich dürfen die Mitgliedstaaten keine Rechtsvorschriften nach Art. 22 Abs. 2 Buchst. b) DS-GVO erlassen, nach denen ein Profiling unter Missachtung der Anforderungen dieser Art. 5 und 6 in deren Auslegung durch die Rechtsprechung des Gerichtshofs zulässig ist. […]
Im vorliegenden Fall weist das vorlegende Gericht darauf hin, dass nur § 31 BDSG eine nationale Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b) DS-GVO darstellen könnte. Bezüglich der Vereinbarkeit dieses § 31 BDSG mit dem Unionsrecht bestehen für dieses Gericht aber durchgreifende Bedenken. Sollte diese Bestimmung als mit dem Unionsrecht unvereinbar angesehen werden, würde die SCHUFA nicht nur ohne Rechtsgrundlage handeln, sondern verstieße ipso iure gegen das in Art. 22 Abs. 1 DS-GVO aufgestellte Verbot.
Insoweit ist es Sache des vorlegenden Gerichts, zu prüfen, ob § 31 BDSG als Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b) DS-GVO qualifiziert werden kann, nach der es zulässig wäre, eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung zu erlassen. Sollte das vorlegende Gericht zu dem Schluss kommen, dass § 31 eine solche Rechtsgrundlage darstellt, hätte es noch zu prüfen, ob die in Art. 22 Abs. 2 Buchst. b) und Abs. 4 DS-GVO und in den Art. 5 und 6 DS-GVO aufgestellten Anforderungen im vorliegenden Fall erfüllt sind. […]