Der EuGH läutet nicht das Ende der Schufa ein. Sein Urteil könnte aber KI-basierte Entscheidungen stark beschränken – zu stark. Der Gesetzgeber muss handeln, meint Gregor Thüsing, selbst Prozessvertreter der Schufa vor dem EuGH.
Das am Donnerstag veröffentlichte Urteil des Europäischen Gerichtshofs (EuGH) zu den SCHUFA-Scores (Urt. v. 07.12.2023, Az. C-634/21) hat ein breites mediales Echo erfahren. Noch am Tag der Entscheidung gab es bereits die ein oder andere Wortmeldung, die das endgültige, vollumfängliche und sofortige Ende der SCHUFA und aller anderen Kreditauskunfteien herbeischworen.
Nach nüchterner Analyse der Urteilsgründe wundert man sich freilich über solch vollmundige Prophezeiungen. Der EuGH kommt zu dem Schluss, dass das Scoring bei der SCHUFA bereits eine "ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung" darstellt, wenn der Dritte den Score seiner Entscheidung über die Begründung eines Vertragsverhältnisses mit der betroffenen Person "maßgeblich" zugrunde legt. Ein Datenverarbeitungsvorgang, der unter diese Kategorie fällt, bedarf nach der Datenschutzgrundverordnung (DSGVO) einer besonderen Legitimation (Art. 22 DSGVO).
Die DSGVO sieht vor, dass eine solche "ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung" ohne gesetzgeberische Erlaubnis oder Einwilligung des Betroffenen regelmäßig unzulässig ist.
Die Kreditauskunfteien werden sich wohl darauf einstellen können, etwa indem sie künftig verstärkt mit Einwilligungen arbeiten, oder aber die Banken verpflichten, weitere Daten bei der Kreditvergabe zu berücksichtigen.
Kreditauskunfteien sind wichtig
Das wäre ggf. ein Mehraufwand, vielleicht auch ein erheblicher, aber nicht das Ende – ein Ende überdies, dass auch der EuGH nicht will. So betont das Gericht auch, dass die Kreditauskunfteien für ein funktionierendes Kreditwesen erforderlich sind. Ebenso macht er ausdrücklich deutlich, dass eine Übertragung bestimmter Befugnisse auf einen externen Dienstleistungserbringer bei der Analyse von Daten keinen Bedenken begegnet. In der Sache wird sich also wohl am bisherigen Verfahren nicht allzu viel ändern.
Offen bleibt aber die Frage: Wann beeinflusst ein Score maßgeblich die Kreditvergabe, und wann nicht? Der EuGH schafft hier eine neue Begrifflichkeit, die er nicht genau definiert. Hier ist nun das ja abschließend zuständige nationale Gericht aufgefordert, Klarheit zu schaffen.
Luxemburg locuta – causa finita. Wichtig aber ist der Blick nach vorne. Was folgt aus der Entscheidung? Der gewaltige Sieg des Verbraucherschutzes, der auch zuweilen verkündet wird, ist nicht erkennbar. Man müsste sich außerdem fragen, ob ein Ende der Bonitätsbewertung durch die Schufa tatsächlich dem Verbraucherschutz dienen würde. Denn die Bonitätsbewertung durch Auskunfteien ermöglicht die Kreditvergabe mit geringen Transaktionskosten und macht dadurch die Kreditvergabe günstiger, weil Risikoaufschläge minimiert werden können. Außerdem objektiviert sie die Entscheidungsparameter. All das stellt eben auch der EuGH nicht in Frage.
Ist die deutsche Regelung unwirksam?
Entscheidend ist die Feststellung des EuGH, er habe "durchgreifende Bedenken" an der Wirksamkeit des § 31 Bundesdatenschutzgesetz (BDSG). Diese Norm regelt, in welchen Fällen Scoring zulässig ist. Die Bedenken des EuGH sind juristisch nachvollziehbar und wohl auch richtig, denn eine Öffnungsklausel für Scoring enthält die DSGVO nicht. Aber sie enthält eine Öffnungsklausel zur Rechtfertigung einer ausschließlich automatisierten Entscheidung im Einzelfall, Art. 22 Abs. 2 lit. b) DSGVO.
Der deutsche Gesetzgeber sollte eine Reform des § 31 BDSG jetzt angehen, will er nicht dem Verbraucherschutz einen empfindlichen Rückschlag zumuten. Denn sollte die Norm wegfallen, dann mag es zwar weniger ausschließlich automatisierte Entscheidungen bei der Scorenutzung geben. Aber wenn der Score nicht maßgeblich der Entscheidung zugrunde gelegt wird (und das werden wohl die meisten Fälle sein), dann fehlt es an den wichtigen Einschränkungen, die aktuell die Scoreerstellung und -verwendung binden.
Bundesministerin Lembke hat daher bereits im Deutschlandfunk angekündigt: "Wir werden nun zeitnah entsprechende Regelungen prüfen". Das ist gut so. Eine BDSG-Novelle steht ja ohnehin aktuell an. Da kann das gut eingefügt werden.
EuGH hat die weitreichenden Folgen nicht bedacht
Ebenso wichtig an dem Urteil sind die über den Einzelfall hinausgehenden Folgen. Denn der Bereich der vollständig automatisierten Entscheidung, vor dem die DSGVO den Betroffenen schützen will, wird erheblich ausgeweitet – mit solch weitreichenden Konsequenzen, dass man die Sinnhaftigkeit hinterfragen kann. Denn der EuGH verlagert den Zeitpunkt der Entscheidung nicht unerheblich nach vorne: Die automatisierte Entscheidung über einen Kreditantrag treffe nicht (allein) das Kreditinstitut auf Grundlage des Score-Wertes, sondern bereits die Kreditauskunftei durch die Berechnung des Score-Wertes, wenn das Kreditinstitut den Score-Wert seiner Entscheidung "maßgeblich zugrunde legt".
Grundsätzlich bedeutet "ausschließlich automatisiert" aber "ohne jegliches menschliches Eingreifen". Wenn es laut dem EuGH reicht, dass eine automatisierte Datenverarbeitung bereits dann ausschließlich automatisiert ergeht, wenn sie einen nicht unwesentlichen Einfluss auf die spätere menschliche Entscheidung hat, dann vervielfältigen sich die Fallgestaltungen: Erstens bedürfte jede automatisierte Datenverarbeitung, auf die Entscheidungen maßgeblich gestützt werden, der besonderen gesetzlichen Legitimation bzw. Einwilligung. Zweitens bedürfte auch jede menschliche Entscheidung, die maßgeblich auf einer automatisierten Datenverarbeitung beruht, einer solchen gesetzlichen Legitimation bzw. Einwilligung.
Um es plastisch zu machen: Lehnt ein Vermieter einen Mieter ab, weil er ihn gegoogelt hat, dann stützt er sich auf eine ausschließlich automatisierte Datenverarbeitung. Gleicht eine Bank Kontodaten eines Kunden mit den sog. Terrorlisten automatisiert ab und friert nach einem Treffer die Guthaben vorläufig ein, dann wäre dies, trotz menschlicher Entscheidung, von den besonderen Regeln vollständig automatisierter Verarbeitung erfasst, weil eben der Abgleich einen wesentlichen Einfluss hat.
Jede ärztliche Diagnose, die maßgeblich auf Datenverarbeitungen z.B. in großen Kohortenstudien beruht, die mittels künstlicher Intelligenz ausgewertet werden, wäre ebenso eine automatisierte Entscheidung, wie die zugrundeliegende Datenverarbeitung. Selbst der Umweg des Taxifahrers, der nach Navi fährt, wäre eine automatisierte Entscheidung, die nach der DSGVO unzulässig wäre, sofern sie dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt.
Wegweisendes Urteil für KI-basierte Entscheidungen
All das wird künftig wohl eine sehr viel weitgehender Dimension erhalten. Zurecht erfolgte ein Hinweis des Hamburger Datenschutzbeauftragten noch am Tag der Entscheidung: "Urteil von wegweisender Bedeutung auch für KI-basierte Entscheidungen". In der Tat: Dass das Ergebnis einer KI am Ende den Entscheidungsprozess maßgeblich beeinflusst, wird viel häufiger sein, als dass sie ihn ausschließlich bestimmt. Dann aber bedarf es auch hier jeweils ausdrücklicher gesetzlicher Ermächtigung. Wie dies angesichts der Vielgestalt möglicher KI-Anwendungen gelingen kann, ist offen. Dies wird eine weitere große Herausforderung künftiger Rechtsentwicklung sein. Die Rechtsprechung des EuGH muss bei der weiteren Diskussion der KI-Verordnung berücksichtigt werden.
Der EuGH wirft also seine Netze weit aus – wohl zu weit, wenn man die möglichen Folgen bedenkt. Es bleibt abzuwarten, ob der EuGH seine Position in zukünftigen Entscheidungen noch präzisieren wird.
Der Autor Prof. Dr. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn. Er war selbst Prozessvertreter vor dem EuGH für die SCHUFA.
Schufa-Urteil zum Datenschutz: . In: Legal Tribune Online, 10.12.2023 , https://www.lto.de/persistent/a_id/53380 (abgerufen am: 02.12.2024 )
Infos zum Zitiervorschlag