Wegweisende Datenschutz-Urteile: Geschäftsmodell der SCHUFA in Trümmern
Die SCHUFA ist eine „ privatwirtschaftliche deutsche Wirtschaftsauskunftei“ (Wikipedia) und berechnet mithilfe eines unbekannten Algorithmus für jede Juristische Person einen Score, der die Kreditwürdigkeit der Person widerspiegeln soll. Die Berechnung erfolgt automatisch und die zugrunde liegenden Daten werden aus diversen Quellen, wie zum Beispiel aus dem öffentlichen Insolvenzregister, aber auch privaten Unternehmen, herangezogen und teils jahrelang gespeichert.
An der Genauigkeit des Scores, den Folgen für Personen mit niedrigem Score und damit einer vermeintlich schlechten Bonität, fehlerhafte Daten, Datenschutz und dem Umgang mit den Daten wurde immer wieder Kritik laut. Da viele Unternehmen vor einem Vertragsabschluss (z.B. Handy, aber auch Mietverträge) eine SCHUFA-Auskunft verlangen oder anfragen, kann ein schlechter Score sehr negative Auswirkungen für die Betroffenen haben. Diese reichen bis zu Wohnungslosigkeit aufgrund von SCHUFA-Einträgen.
In dem Gerichtsverfahren ging es im Wesentlichen um zwei Punkte: Erstens, ob die SCHUFA überhaupt die Kreditwürdigkeit einer Person berechnen darf, da dies quasi eine „automatisierte Entscheidung im Einzelfall“ darstellt, was laut DSGVO eigentlich verboten ist.
In der zweiten Entscheidung ging es darum, dass die SCHUFA Insolvenzdaten jahrelang gespeichert hatte, obwohl diese Daten im öffentlichen Insolvenzregister, aus dem die SCHUFA diese Daten bezieht, schon nach 6 Monaten gelöscht werden müssen.
In beiden Fällen entschied der EuGH im Sinne der Betroffenen. Beide Urteile dürften erhebliche Folgen für das Geschäftsmodell der SCHUFA und anderer Auskunfteien haben. Der EuGH urteilte im ersten Fall, dass personenbezogene Daten bis auf wenige Ausnahmen nicht für vollautomatische Entscheidungen (wie der automatischen Berechnung eines Bonitätsscores), die eine „erhebliche Beeinträchtigung“ für betroffene Personen bedeuten können, verwendet werden dürfen. Damit wäre das automatische Kreditscoring im ganzen EU-Raum verboten, die Auskunfteien müssten zukünftig die Einwilligung aller Personen vorher einholen.
Im zweiten Fall entschied das Gericht, dass die SCHUFA Insolvenzeinträge mindestens genauso schnell löschen müssten wie die öffentlichen Stellen, in diesem Fall also nach 6 Monaten. Solche sogenannten „Negativdaten“ müssten generell früher von der SCHUFA gelöscht werden. Nun stellt sich noch die Frage, ob dies auch für deutlich kleinere finanzielle Versäumnisse gilt, wenn schon Insolvenzdaten nach 6 Monaten gelöscht werden müssen (z.B. bei minimalem Zahlungsverzug).