Schlagwort: Auskunftei
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
9. Juni 2020
Neben den vielfach genutzten und in der öffentlichen Berichterstattung präsenten Geldbußen, enthält die DSGVO noch weitere Sanktionsmöglichkeiten. Dazu gehört unter anderem die Verwarnung des Verantwortlichen gemäß Art. 58 Abs. 2 lit. b) DSGVO.
Die Verwarnung wird als “Gelbe Karte” angesehen. Sie soll den Verantwortlichen darauf aufmerksam machen, dass er durch eine spezielle Datenverarbeitung gegen die Voraussetzungen der DSGVO verstoßen hat. Gemäß Erwägungsgrund 148 S. 1 und 2 zur DSGVO soll die Verwarnung “anstelle einer Geldbuße” verhängt werden. Damit hat sie also, genau wie die Geldbuße, repressiven Charakter und knüpft an einen Verstoß an. Dieser Verstoß wird von der Aufsichtsbehörde aber nicht als so gravierend angesehen, dass eine Geldbuße angezeigt wäre.
Im vorliegenden Fall hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden Württemberg (LfDI BW), Stefan Brink, eine gebührenpflichtige Verwarnung gegen eine Wirtschaftsauskunftei ausgesprochen. Die Höhe der Gebühr wurde nicht veröffentlicht.
Grundlage für die Verwarnung war die Bildung des sogenannten “Scorewertes”. Der Scorewert wird von Kreditgebern herangezogen, um die Kreditwürdigkeit eines potentiellen Kreditnehmers zu beurteilen. Der Stein des Anstoßes und damit Grundlage für den Ausspruch der Verwarnung ist, dass die Auskunfteien, sofern sie keine Daten über den potentiellen Kreditnehmer finden, diesen automatisch als weniger kreditwürdig eingestufen. Dies hat Auswirkungen auf die Höhe des Kreditrahmens. In der Konsequenz kann dies dazu führen, dass Unternehmen oder Privatpersonen einen geringeren oder auch keinen Kredit bekommen. Darüberhinaus könnte der Eindruck entstehen, dass die niedrige Kreditwürdigkeit darauf beruht, dass es in der Vergangenheit zu Zahlungsrückständen kam, führt der LfDI BW aus.
Der LfDI BW Brink stellt zudem klar, dass “eine Bewertung der Kreditwürdigkeit nur rechtmäßig ist, wenn diese Bewertung auf einer ausreichenden und zutreffenden Tatsachengrundlage beruht.”
Aufgrund mangelnder Transparenz hinsichtlich der Bildung des Scorewerts waren Auskunfteien schon häufiger in der Kritik. Unter anderem die Schufa musste diesbezüglich in der Vergangenheit bereits Kritik einstecken.
12. Mai 2016
Wie Recherchen des SWR ergeben haben, übermittelt die Deutsche Bahn personenbezogene Daten ihrer Kunden an eine Auskunftei.
Hintergrund ist Folgender: Wird ein Fahrgast ohne vermeintlich gültigen Fahrschein vom Schaffner kontrolliert, nimmt der Schaffner die Daten des Fahrgasts auf, welche anschließend an die Fahrpreisnachermittlungsstelle der Deutschen Bahn zum Zwecke der Begleichung der offenen Forderungen der Bahn gegen den Fahrgast übermittelt werden.
Hinter der Fahrpreisnachermittlungsstelle steht jedoch nicht die Deutsche Bahn, sondern nach Angaben des SWR das zum Bertelsmann-Konzern gehörende Unternehmen Avarto Infoscore. Dies wird dem betroffenen Fahrgast jedoch nicht erkennbar mitgteilt.
Dass ein externer Dienstleister – wie in dem vorliegenden Falle mit der Zahlungsabwicklung – beauftragt wird und, dass in diesem Zusammenhang personenbezogene Daten weitergegeben werden, ist zunächst nicht per se datenschutzrechtlich unzulässig. Die Deutsche Bahn versäumt jedoch, ihre Kunden auf die Weitergabe der Daten hinzuweisen und, dass es sich bei dem Unternehmen Avarto Infoscore um eine Auskunftei handelt. Damit verstößt die Deutsche Bahn zum einen gegen das im Datenschutzrecht geltende Transparenzgebot. Außerdem ist die Übermittlung von personenbezogenen Daten an Auskunfteien an strenge gesetzliche Voraussetzungen geknüpft, die pauschal nicht für alle Fälle von Schwarzfahrten vorliegen. Betroffenen Fahrgästen droht durch den geschilderten Umgang mit ihren Daten eine negative Bewertung ihrer Kreditwürdigkeit.