25.07.2024

Bonitätsprüfung und Zusammenarbeit mit Auskunfteien nach der SCHUFA-Entscheidung des EuGH

In Reaktion auf das EuGH-Urteil zur datenschutzrechtlichen Zulässigkeit der Berechnung von Kreditscores durch Wirtschaftsauskunfteien (EuGH-Urteil, 7.12.2023 – C-634/21) findet eine Umstellung der Prozesse und Geschäftsmodelle der Auskunfteien statt. Dies trifft insbesondere auch Unternehmen, die Kreditscores zum Beispiel für die Entscheidung über einen Vertragsabschluss, zur Berechnung von Kündigungswahrscheinlichkeiten oder für die Ermittlung von Premium-Kunden heranziehen.

Unverbindliches Erstgespräch vereinbaren

Unternehmen müssen Prüfprozesse anpassen

Ende 2023 hatte der EuGH den Anwendungsbereich der strengen Regelungen zu automatisierten Einzelerscheinungen gemäß Art. 22 DSGVO auf das Scoring durch Auskunfteien ausgeweitet, jedoch nur, soweit die spätere Entscheidung durch die Unternehmen „maßgeblich“ vom Scoring der Auskunfteien abhängt. Da die Auskunfteien jedoch die Voraussetzungen von Art. 22 DSGVO selbst kaum erfüllen können, insbesondere weil sie kein Vertragsverhältnis zu den Endkunden haben, müssen die Geschäftsmodelle angepasst werden, um eine maßgebliche Beeinflussung der Entscheidungsfindung durch die Unternehmen zu vermeiden. Am Markt lassen sich 2024 zwei Lösungsansätze beobachten:

Anpassung der Prüfprozesse vor der automatisierten Entscheidung

Eine Lösung besteht darin, dass Unternehmen, die Auskunfteien nutzen, sicherstellen und den Auskunfteien versichern, dass der bereitgestellte Kreditscore nicht entscheidend ist. Dies bedeutet für die Unternehmen jedoch, dass sie ihre Entscheidungsprozesse um eigene Prüfschritte erweitern müssen, sodass sich der Kreditscore der Auskunftei nur ein nicht-maßgeblicher Baustein bleibt. Dies führt zu einem erheblichen Mehraufwand für die Unternehmen, die auf Scores von Auskunfteien zurückgreifen wollen und führt das Geschäftsmodell „Scoring-as-service“ grundsätzlich in Frage.

Anpassung der Prüfprozesse nach der automatisierten Entscheidung

Eine andere Lösungsvariante ist, dass sich Kunden von Auskunfteien als alleinige Verantwortliche für die Entscheidungsfindung ausweisen. Die Auskunfteien werden dann lediglich als sogenannter Auftragsverarbeiter im Sinne des Art. 28 DSGVO eingebunden. Dies setzt voraus, dass Unternehmen, die Kreditscores zur Entscheidungsfindung heranziehen, sich als Alleinverantwortliche auf eine der engen Ausnahmen in Art. 22 Abs. 2 DSGVO stützen können (zum Beispiel, weil das Scoring zum Vertragsabschluss erforderlich ist). Die Auskunftei agiert somit nur als verlängerter Arm des Unternehmens, dass die Entscheidung eigenständig trifft.

Dadurch wird die Auskunftei aus der datenschutzrechtlichen Verantwortlichkeit entlassen und das Unternehmen muss trotzdem keinen eigenen Entscheidungsfindungsprozess entwickeln wie bei der ersten Lösungsvariante. Jedoch müssen die Unternehmen dann auch die Anforderungen des Art. 22 Abs. 3 und 4 DSGVO (Anfechtbarkeit und Überprüfbarkeit der automatisierten Entscheidung) erfüllen. Somit entsteht auch in dieser Lösungsvariante in der Regel ein Mehraufwand für die Unternehmen, der vor der Schufa-Entscheidung des EuGH, so nicht angefallen ist.

Welche Lösung ist die beste?

Wenn das Geschäftsmodell der Auskunfteien weiterhin legal umgesetzt werden soll, entstehen bei beiden Lösungsvarianten zusätzliche Aufwände für Unternehmen, die auf Scoring setzen. Diese Mehrkosten werden in der Regel nicht von den Auskunfteien getragen, sondern auf die Unternehmen abgewälzt, die Scoring nutzen wollen. Positiver gesellschaftlicher Effekt ist zwar, dass die automatisierte Entscheidungsfindung für die Betroffenen in beiden Varianten transparenter und einfacher überprüfbar wird. Unternehmen müssen jedoch ihre Prozesse sorgsam prüfen und ergänzen, was regelmäßig mit Kosten verbunden ist. Dies führt zu einer Belastung der Gesamtwirtschaft, die auf Scoring durch Auskunfteien angewiesen ist, um bei Dauerschuldverhältnissen Ausfallrisiken angemessen zu reduzieren.

Beide Lösungsvarianten sind mit Vor- und Nachteilen verbunden. Die zweite Lösungsvariante mag für Unternehmen zunächst attraktiv erscheinen. Sie erspart den Unternehmen zu erklären, dass ihre Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO nicht maßgeblich auf den durch Wirtschaftsauskunfteien zur Verfügung gestellten Kreditscores basiert und die Prozesse vor (!) der Entscheidungsfindung tatsächlich anzupassen. Gerade wenn die Heranziehung von Kreditscores bislang den Kern der Entscheidungsfindung bildet, würde eine entsprechende Umstellung der Prozesse einen erheblichen Mehraufwand bedeuten, was gegen Variante 1 spricht.

Sind Unternehmen allein Verantwortliche, müssen Sie allerdings auch allein die Voraussetzungen des Art. 22 Abs. 3 und 4 DSGVO umsetzen. Dies setzt etwa voraus, dass Unternehmen ihre Entscheidungen überprüfbar machen, um sie auf Antrag von Betroffenen auch tatsächlich überprüfen zu können. Diese Überprüfbarkeit nach (!) der Entscheidung zu ermöglichen ist ebenfalls aufwendig, weshalb die zweite Lösungsvariante nicht in jedem Fall vorzuziehen ist. Wir unterstützen Sie dabei, die für sie passende und ökonomisch attraktivste Variante zu finden!

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Welche Unternehmen sind von den Entwicklungen betroffen?

Wenn Unternehmen aktuell Bonitätsdaten von Wirtschaftsauskunfteien in automatisierte Entscheidungsprozesse einbeziehen, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder die Person in ähnlicher Weise erheblich beeinträchtigen, müssen sie sich darauf einstellen, dass sich der Prozess der Datenbereitstellung seit 2024 maßgeblich ändert.

So können wir betroffene Unternehmen unterstützen

Unabhängig von der konkreten Umsetzung des SCHUFA-Urteils des EuGH durch Wirtschaftsauskunfteien entsteht ein Umsetzungsbedarf bei Unternehmen. Bei der Entwicklung neuer und Umstellung bereits bestehender Prozesse unterstützen wir Sie gerne, um die komplexen datenschutzrechtlichen Anforderungen an automatisierte Entscheidungsfindung, insbesondere unter Berücksichtigung der jüngsten Rechtsprechung einzuhalten. Wir setzen für Unternehmen die neuen Anforderungen effizient, kostenschonend und rechtssicher um.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte rechnen Sie 9 plus 1.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Weitere Neuigkeiten