Mehrfach ausgezeichnet.

Focus Markenrecht
en

Von Daten und Automaten: Zur Schutzlücke der DSGVO bezüglich SCHUFA und Creditreform

Ihr Ansprechpartner
Schufa DSGVO
Photo by Markus Spiske on Unsplash

Die seit Mai 2018 anwendbare Datenschutzgrundverordnung der EU (DSGVO) hat Anlass zu vielen kontroversen Debatten gegeben.

Verabschiedet, um den Missbrauch von persönlichen Daten vor allem im Internet einzudämmen, stellte ihre konkrete Umsetzung viele Institutionen vor Herausforderungen. Überall muss der Bürger nun auf eigens erstellten Formularen unterschreiben, dass er der Verwendung seiner Daten zustimmt. Suggeriert wird ihm: „Du hast die Kontrolle!“

Daten geschützt? Nicht überall!

Doch: Stimmt das? Nicht immer! Auf eine eklatante Lücke stießen Datenschützer bei der Schufa (ein ähnliches Unternehmen ist die Creditreform), mit der wohl jeder schon Kontakt hatte.

Die Schufa Holding AG ist ein privatwirtschaftliches Unternehmen, das Informationen zur Kreditwürdigkeit von Personen anbietet, damit vor Vertragsabschluss (etwa bei einer Wohnungsmiete) die Bonität des Verbrauchers und das Risiko eines Zahlungsausfalls eingeschätzt werden kann. Der Schufa-Algorithmus berechnet dazu einen Punktwert („Schufa-Score“). Die Daten für die Berechnung (etwa zum Umgang mit bestehenden Zahlungsverpflichtungen aus Krediten) werden dabei automatisch verarbeitet. Am Ende steht eine Kennzahl, die den Kandidaten zum Vertragsabschluss führt oder durchfallen lässt. Soweit zum Sachverhalt.

Nun heißt es in  Art. 22 Abs. 1 DSGVO:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Genau das aber ist die Definition des Schufa-Geschäftsmodells. Nach Art. 15 Abs. 1 lit. h) DSGVO besteht ferner das Recht auf Auskunft über zu diesem Zweck verarbeitete personenbezogene Daten. Allerdings kann die betroffene Person die Schutzwirkung des Art. 22 Abs. 1 DSGVO selbst aufheben, indem sie dem Verfahren der Schufa und der damit determinierten Entscheidung zustimmt (Art. 22 Abs. 2 lit. c) DSGVO). Unter dem Druck der Marktmacht wird sie das regelmäßig tun. Datenschutz wird bei der Wohnungssuche zur Nebensache.

Der Algorithmus, bei dem ein jeder mit muss

Um so wichtiger zu wissen, wie es denn zu dem wesentlich zur Entscheidung über den Vertragsabschluss beisteuernden „Schufa-Score“ kommt. Wie funktioniert die Berechnung? Was fließt mit welcher Größe in das kritische Kalkül ein?

Darüber muss die Schufa aber keine Auskunft erteilen, weil sie ja das Ergebnis der Berechnung nicht selbst nutzt, da sie die Entscheidung nicht trifft. Sie bietet den Entscheidern (also etwa einer Hausverwaltung, die den Eigentümer einer Wohnung im Zusammenhang mit deren Vermietung vertritt) mit dem „Schufa-Score“ lediglich eine Entscheidungsgrundlage. Die Schufa selbst ist also nicht verpflichtet, aufgrund des gesetzlichen Auskunftsanspruch aus Art. 15 Abs. 1 h DSGVO ihre Berechnungsformeln offenzulegen, da sie selbst keine automatisierten Einzelfallentscheidungen im Sinne des Art. 22 Abs. 1 DSGVO durchführt. So sieht es wohl auch der Bundesgerichtshof, der vor sechs Jahren eine ganz ähnliche Regelung zu bewerten hatte (BGH, Urteil v. 28.1.2014, Az. VI ZR 156/13).

Wenn also die Schufa mangels Entscheidung keine Offenlegungspflicht hat, dann vielleicht der Entscheider, also das Unternehmen, das den „Schufa-Score“ nutzt? Nein, denn erstens ist das gar nicht möglich, weil der Algorithmus ein Betriebsgeheimnis der Schufa Holding AG ist. Zweitens handelt es sich ja nicht um eine „automatisierte Entscheidung“, wenn ein Mitarbeiter des Unternehmens die Entscheidung trifft – unabhängig davon, ob und wieweit er dabei an den „Schufa-Score“ als Entscheidungsgrundlage gebunden ist. Auch, wenn das Unternehmen seine Mitarbeiter in der Praxis zur quasi-automatischen Negativ-Auswahl von Kandidaten auf Basis dieser Kennzahl anhält, liegen also die Voraussetzungen von Art. 15 Abs. 1 h DSGVO nicht vor.

DSGVO unzureichend

Fazit: Die DSGVO erweist sich an dieser Stelle als unwirksam. Weder wird durch die neue Norm der Schutz des Einzelnen faktisch und spürbar verbessert, noch der Prozess seiner Bewertung transparenter.

Gerade wichtige (Lebens-)Entscheidungen wie die Vergabe von Krediten oder von Wohnraum brauchen Offenheit und Klarheit für alle Beteiligten, um das Vertrauen in unsere  Wirtschaftsordnung nicht zu gefährden. Wenn zunehmend die unbestechliche Logik des Algorithmus herrscht, aber am Ende niemand weiß, wie, dann kann von Datenschutz im Sinne des Verbrauchers keine Rede sein. Das Schufa-Problem zeigt zu Beginn des zweiten DSGVO-Jahres erheblichen Nachbesserungsbedarf.

Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe “Berichte aus der Parallelwelt”. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beiträge betrachten, anders als unsere sonstigen Fachbeiträge Begebenheiten und Rechtsfälle daher auch nicht juristisch, sondern aus einem völlig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser überlassen bleiben. Interessant wird es, wie wir meinen, allemal.

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht