{"id":51135,"date":"2020-01-09T19:40:39","date_gmt":"2020-01-09T18:40:39","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=51135"},"modified":"2020-01-09T19:42:42","modified_gmt":"2020-01-09T18:42:42","slug":"von-daten-und-automaten-zur-schutzluecke-der-dsgvo-bezueglich-schufa-und-creditreform","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/von-daten-und-automaten-zur-schutzluecke-der-dsgvo-bezueglich-schufa-und-creditreform\/","title":{"rendered":"Von Daten und Automaten: Zur Schutzl\u00fccke der DSGVO bez\u00fcglich SCHUFA und Creditreform"},"content":{"rendered":"
\"Schufa
Photo by Markus Spiske on Unsplash<\/figcaption><\/figure>\n

Die seit Mai 2018 anwendbare Datenschutzgrundverordnung der EU (DSGVO)<\/a> hat Anlass zu vielen kontroversen Debatten gegeben.<\/p>\n

Verabschiedet, um den Missbrauch von pers\u00f6nlichen Daten vor allem im Internet einzud\u00e4mmen, stellte ihre konkrete Umsetzung viele Institutionen vor Herausforderungen. \u00dcberall muss der B\u00fcrger nun auf eigens erstellten Formularen unterschreiben, dass er der Verwendung seiner Daten zustimmt. Suggeriert wird ihm: \u201eDu hast die Kontrolle!\u201c<\/p>\n

Daten gesch\u00fctzt? Nicht \u00fcberall!<\/h2>\n

Doch: Stimmt das? Nicht immer! Auf eine eklatante L\u00fccke stie\u00dfen Datensch\u00fctzer bei der Schufa (ein \u00e4hnliches Unternehmen ist die Creditreform), mit der wohl jeder schon Kontakt hatte.<\/p>\n

Die Schufa Holding AG ist ein privatwirtschaftliches Unternehmen, das Informationen zur Kreditw\u00fcrdigkeit von Personen anbietet, damit vor Vertragsabschluss (etwa bei einer Wohnungsmiete) die Bonit\u00e4t des Verbrauchers und das Risiko eines Zahlungsausfalls eingesch\u00e4tzt werden kann. Der Schufa-Algorithmus berechnet dazu einen Punktwert (\u201eSchufa-Score\u201c). Die Daten f\u00fcr die Berechnung (etwa zum Umgang mit bestehenden Zahlungsverpflichtungen aus Krediten) werden dabei automatisch verarbeitet. Am Ende steht eine Kennzahl, die den Kandidaten zum Vertragsabschluss f\u00fchrt oder durchfallen l\u00e4sst. Soweit zum Sachverhalt.<\/p>\n

Nun hei\u00dft es in\u00a0 Art. 22 Abs. 1 DSGVO<\/a>:<\/p>\n

\u201eDie betroffene Person hat das Recht, nicht einer ausschlie\u00dflich auf einer automatisierten Verarbeitung \u2013 einschlie\u00dflich Profiling \u2013 beruhenden Entscheidung unterworfen zu werden, die ihr gegen\u00fcber rechtliche Wirkung entfaltet oder sie in \u00e4hnlicher Weise erheblich beeintr\u00e4chtigt.\u201c<\/p><\/blockquote>\n

Genau das aber ist die Definition des Schufa-Gesch\u00e4ftsmodells. Nach Art. 15 Abs. 1 lit. h) DSGVO<\/a>\u00a0besteht ferner das Recht auf Auskunft \u00fcber zu diesem Zweck verarbeitete personenbezogene Daten. Allerdings kann die betroffene Person die Schutzwirkung des Art. 22 Abs. 1 DSGVO<\/a> selbst aufheben, indem sie dem Verfahren der Schufa und der damit determinierten Entscheidung zustimmt (Art. 22 Abs. 2 lit. c) DSGVO<\/a>). Unter dem Druck der Marktmacht wird sie das regelm\u00e4\u00dfig tun. Datenschutz<\/a> wird bei der Wohnungssuche zur Nebensache.<\/p>\n

Der Algorithmus, bei dem ein jeder mit muss<\/h2>\n

Um so wichtiger zu wissen, wie es denn zu dem wesentlich zur Entscheidung \u00fcber den Vertragsabschluss beisteuernden \u201eSchufa-Score\u201c kommt. Wie funktioniert die Berechnung? Was flie\u00dft mit welcher Gr\u00f6\u00dfe in das kritische Kalk\u00fcl ein?<\/p>\n

Dar\u00fcber muss die Schufa aber keine Auskunft erteilen, weil sie ja das Ergebnis der Berechnung nicht selbst nutzt, da sie die Entscheidung nicht trifft. Sie bietet den Entscheidern (also etwa einer Hausverwaltung, die den Eigent\u00fcmer einer Wohnung im Zusammenhang mit deren Vermietung vertritt) mit dem \u201eSchufa-Score\u201c lediglich eine Entscheidungsgrundlage. Die Schufa selbst ist also nicht verpflichtet, aufgrund des gesetzlichen Auskunftsanspruch aus Art. 15 Abs. 1 h DSGVO<\/a> ihre Berechnungsformeln offenzulegen, da sie selbst keine automatisierten Einzelfallentscheidungen im Sinne des Art. 22 Abs. 1 DSGVO<\/a> durchf\u00fchrt. So sieht es wohl auch der Bundesgerichtshof, der vor sechs Jahren eine ganz \u00e4hnliche Regelung zu bewerten hatte (BGH, Urteil v. 28.1.2014, Az. VI ZR 156\/13<\/a>).<\/p>\n

Wenn also die Schufa mangels Entscheidung keine Offenlegungspflicht hat, dann vielleicht der Entscheider, also das Unternehmen, das den \u201eSchufa-Score\u201c nutzt? Nein, denn erstens ist das gar nicht m\u00f6glich, weil der Algorithmus ein Betriebsgeheimnis der Schufa Holding AG ist. Zweitens handelt es sich ja nicht um eine \u201eautomatisierte Entscheidung\u201c, wenn ein Mitarbeiter des Unternehmens die Entscheidung trifft \u2013 unabh\u00e4ngig davon, ob und wieweit er dabei an den \u201eSchufa-Score\u201c als Entscheidungsgrundlage gebunden ist. Auch, wenn das Unternehmen seine Mitarbeiter in der Praxis zur quasi-automatischen Negativ-Auswahl von Kandidaten auf Basis dieser Kennzahl anh\u00e4lt, liegen also die Voraussetzungen von Art. 15 Abs. 1 h DSGVO<\/a> nicht vor.<\/p>\n

DSGVO unzureichend<\/strong><\/h2>\n

Fazit: Die DSGVO erweist sich an dieser Stelle als unwirksam. Weder wird durch die neue Norm der Schutz des Einzelnen faktisch und sp\u00fcrbar verbessert, noch der Prozess seiner Bewertung transparenter.<\/p>\n

Gerade wichtige (Lebens-)Entscheidungen wie die Vergabe von Krediten oder von Wohnraum brauchen Offenheit und Klarheit f\u00fcr alle Beteiligten, um das Vertrauen in unsere\u00a0 Wirtschaftsordnung nicht zu gef\u00e4hrden. Wenn zunehmend die unbestechliche Logik des Algorithmus herrscht, aber am Ende niemand wei\u00df, wie, dann kann von Datenschutz im Sinne des Verbrauchers keine Rede sein. Das Schufa-Problem zeigt zu Beginn des zweiten DSGVO-Jahres erheblichen Nachbesserungsbedarf.<\/p>\n

Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe \u201cBerichte aus der Parallelwelt\u201d. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beitr\u00e4ge betrachten, anders als unsere sonstigen Fachbeitr\u00e4ge Begebenheiten und Rechtsf\u00e4lle daher auch nicht juristisch, sondern aus einem v\u00f6llig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser \u00fcberlassen bleiben. Interessant wird es, wie wir meinen, allemal.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Die seit Mai 2018 anwendbare Datenschutzgrundverordnung der EU (DSGVO) hat Anlass zu vielen kontroversen Debatten gegeben. Verabschiedet, um den Missbrauch von pers\u00f6nlichen Daten vor allem im Internet einzud\u00e4mmen, stellte ihre konkrete Umsetzung viele Institutionen vor Herausforderungen. \u00dcberall muss der B\u00fcrger nun auf eigens erstellten Formularen unterschreiben, dass er der Verwendung seiner Daten zustimmt. Suggeriert wird […]<\/p>\n","protected":false},"author":74,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[15936,17191],"class_list":["post-51135","post","type-post","status-publish","format-standard","hentry","category-datenschutzrecht","tag-schufa","tag-dsgvo"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/51135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=51135"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/51135\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=51135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=51135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=51135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}