SCHUFA-Auskünfte und die Grundlagen des Scorings für Bonitätsauskünfte sind datenschutzrechtlich seit jeher höchst umstritten. Angesichts der erheblichen Folgen (falscher) negativer Bonitätsauskünfte für die Betroffenen liegt dies auf der Hand. Schon das BDSG alt enthielt daher Sonderregelungen für das Scoring. Was unter der DSGVO gilt, hat nun der EuGH konkretisiert.
Scoring
Das sog. „Scoring“ war Gegenstand eines aktuell vom EuGH entschiedenen Vorabentscheidungsverfahrens (Rs. C‑634/21). Dabei handelt es sich um eine Methode, mit deren Hilfe die Wahrscheinlichkeit eines künftigen Verhaltens (bspw. die Rückzahlung eines Kredits) vorhergesagt werden kann. Das „Scoring“ wurde nun vom EuGH als eine „automatisierte Entscheidung im Einzelfall“ bewertet, die von der DSGVO grundsätzlich verboten ist (Art. 22 DSGVO). Das allerdings unter der Voraussetzung, dass Banken dem „Score-Wert“ eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen, denn nach Art. 22 DSGVO sind automatisierte Entscheidungen nur dann verboten, wenn sie auch rechtlich erheblich sind für die Betroffenen.
Informationen über Restschuldbefreiung dürfen nur begrenzt gespeichert werden
Laut EuGH (verb. Rs. C-26/22, C-64/22) widerspricht es der DSGVO, wenn private Auskunfteien (wie die SCHUFA) Daten über die Erteilung einer Restschuldbefreiung länger speichern als das öffentliche Insolvenzregister. Solche Informationen haben stets negative Auswirkungen auf die Bewertung der Kreditwürdigkeit einer Person und somit existenzielle Bedeutung. In Deutschland ist die Speicherung der Daten für sechs Monate erlaubt, eine längere Speicherung ist rechtswidrig und die Informationen müssen gelöscht werden.
Die Bewertung, ob die parallele Speicherung der Daten bei der SCHUFA während der genannten sechs Monate überhaupt rechtmäßig ist, überlässt der EuGH dem vorlegenden Gericht. Auch dies steht mithin noch zur Debatte.