Die Auswirkungen des SCHUFA-Urteils für Banken und andere Kreditgeber
Voll automatisierte Vertragsabschlüsse und Kreditentscheidungen auf Basis des SCHUFA Scores sind grundsätzlich laut Datenschutzgrundverordnung (DSGVO) verboten wenn SCHUFA-Kunden wie Banken und andere Kreditgeber dem Score eine entscheidende Rolle zuschreiben. Diese Entscheidung des europäischen Gerichtshofs (EuGH) hat in der Branche für einigen Wirbel gesorgt.
Der Hintergrund
Mehrere Bürger aus Deutschland, denen ein Kredit mangels ausreichender SCHUFA-Bonität verwehrt wurde, hatten geklagt. Das Verwaltungsgericht Wiesbaden hatte schließlich den Fall einer Kundin beim Europäischen Gerichtshof (EuGH) eingereicht. Die Frau hatte die SCHUFA dazu aufgefordert, einen Eintrag zu löschen und ihr Zugang zu den gespeicherten Daten zu gewähren. Das Ziel des Verwaltungsgerichts war nun, dass der EuGH grundlegende Klarstellungen zum Verhältnis zwischen der SCHUFA und der Datenschutzgrundverordnung (DSGVO) trifft.
Das Urteil
Das EuGH hat am 7. Dezember sinngemäß verkündet: Das „Scoring“ müsse als eine „automatisierte individuelle Entscheidung“ betrachtet werden, die grundsätzlich durch die DSGVO untersagt sei, soweit SCHUFA-Kunden wie Banken ihm eine bestimmende Rolle bei der Kreditvergabe zuschreiben (siehe Art. 22 DSGVO, 1) und er dementsprechend als Kriterium „maßgeblich“ ist.
Nach Ansicht des Verwaltungsgerichts Wiesbaden sei dies im verhandelten Fall so.
Einschränkend heißt es dann im Gesetz aber, dass die Entscheidung nicht gelte, wenn:
- Es nationale Gesetze gibt, die eine entsprechende Vorgehensweise erlauben (Art. 22. DSGVO 2b); in dem Fall müssten diese Gesetze dafür Sorge tragen, dass die Rechte und Freiheiten der betroffenen Person geschützt werden (Art. 22 DSGVO, 3). Das EuGH hat damit den Ball an das Verwaltungsgericht Wiesbaden zurückgespielt. Es muss nun auf Basis des Bundesdatenschutzgesetzes (BDSG) den Sachverhalt erneut bewerten. In 31 des BDSG ist geregelt, inwieweit die Verwendung eines Wahrscheinlichkeitswertes (Scores) über ein zukünftiges Verhalten einer Person zulässig ist.
- Eine ausdrückliche Einwilligung der betroffenen Person erfolgt (Art. 22 DSGVO, 2c) und der Score für den Abschluss des Vertrags erforderlich ist (Art. 22 DSGVO 2a).
Aryza-Einschätzung
Aus jetziger Sicht – und bis zum Urteil des Verwaltungsgerichts Wiesbaden – ergeben sich aus unserer Sicht zwei Optionen, um sich auf die neue Situation einzustellen.
- Banken und Kreditgeber müssen sicherstellen, dass ein Score bei der Kreditentscheidung nicht „maßgeblich“ ist. Hintergrund ist, dass nicht allein auf Basis des SCHUFA-Scores entschieden werden soll, ob jemand einen Kredit erhält oder nicht. D.h. es ist wichtig, dass der SCHUFA-Score nur einen Faktor für den Gesamtscore darstellt und nicht z. B. alleinig in einer Ja/Nein-Entscheidung über die Ablehnung entscheidet. Das wäre zum Beispiel über die verwendete Scorecard regelbar.
- Banken und Kreditgeber können neben der automatischen Bewertung manuelle Prüfungen vornehmen.
Das sagt die SCHUFA
Die SCHUFA begrüßt nach eigener Angabe das EuGH-Urteil zum Scoring. Nach ihrer Ansicht ist der Score für ihre Kunden zwar wichtig, aber nicht allein entscheidend für Vertragsabschlüsse. Bei „maßgeblicher“ Rolle des Bonitäts-Scores müssten Unternehmen allerdings Anpassungen vornehmen. Das Geschäftsmodell der SCHUFA bleibe unbeeinträchtigt, das Unternehmen werde die schriftlichen Urteile des EuGH im Detail analysieren.
Fazit
Bis das Verwaltungsgericht in Wiesbaden eine finale Entscheidung getroffen hat, gibt es noch einen zeitlichen Spielraum. Banken und Kreditgebern ist dennoch angeraten, sich frühzeitig mit den möglichen Auswirkungen zu beschäftigen. Es ist davon auszugehen, dass das Urteil auch Auswirkungen auf andere Auskunfteien am Markt hat. Gerne helfen wir als Aryza Ihnen bei der Umsetzung eines gesetzeskonformen Scorings.
Sie benötigen Informationen zu unseren Forderungsmanagement Software-Lösungen?