EuGH-Urteil zum Datenschutz: Automatisiertes Kreditscoring darf nicht maßgeblich für eine Kreditverweigerung sein

Rechtsanwälte Graz – Immobilienrecht, Baurecht & Arbeitsrecht

EuGH-Urteil zum Datenschutz: Automatisiertes Kreditscoring darf nicht maßgeblich für eine Kreditverweigerung sein

Jetzt anfragen

1. Einleitung

In seinem Urteil vom 07.12.2023 im Vorabentscheidungsverfahren zur GZ C-634/21 setzte sich der EuGH mit der datenschutzrechtlichen Zulässigkeit von Kreditvergaben auf Basis von automatisiert erstellten Bonitätscores auseinander und entschied, dass die Verweigerung eines Kredits allein aufgrund eines unzureichenden Kreditscores unzulässig ist, wenn keine besondere Ausnahmelegitimation vorliegt. Ein Kreditscore ist in diesem Zusammenhang das Ergebnis der automatisierten Erstellung eines auf personenbezogene Daten zu einer Person gestützten Wahrscheinlichkeitswerts hinsichtlich deren Fähigkeit, künftig einen Kredit zu bedienen (vgl „Profiling“ Art 4 Z 4 DSGVO – Datenschutzgrundverordnung). Obwohl sich der zugrundeliegende Sachverhalt in Deutschland ereignet hat und die deutsche Rechtslage in diesem Punkt etwas anders ist als die österreichische Rechtslage, wirkt sich die Entscheidung des EuGH auch hierzulande maßgeblich auf die Erstellung und Verwendung von Bonitätscores der heimischen Kreditauskunfteien aus.

2. Zur Entscheidung EuGH 07.12.2023, C-634/21

Richter, Hammer, Auktionshammer, Auktion2.1 Allgemeines

Im gegenständlichen Fall hatte eine deutsche Bankkundin einen Kredit beantragt, der von der Bank jedoch abgelehnt wurde. Die Kundin wandte sich im Anschluss an die SCHUFA Holding AG, die bekannteste deutsche Kreditauskunftei, und beantragte Auskunft über die gespeicherten Daten sowie folglich die Löschung von Ihrer Ansicht nach unrichtigen Daten. Die SCHUFA berief sich auf die Bestimmung des § 31 BDSG (deutsches Bundesdatenschutzgesetz), die sowohl Kreditscoring (Absatz 1) als auch die Verwendung von Kreditscores (Absatz 2) (eingeschränkt) erlaubt, aber an bestimmte Voraussetzungen knüpft (eine dieser Bestimmung entsprechende Vorschrift gibt es im österreichischen Recht nicht). Die SCHUFA brachte unter anderem vor, dass sie nur den sogenannten „Score-Wert“ berechnen würde, sämtliche Entscheidungen zur Kreditvergabe jedoch die Bank treffe und die SCHUFA selbst daher nicht verpflichtet sei, eine Auskunft über die bei der Berechnung der Score-Werte berücksichtigten Einzelinformationen sowie deren Gewichtung offenzulegen. Diese Ansicht teile der EuGH nicht.

2.2 Urteil

Der EuGH stellte in seinem Urteil klar, dass auch die Erstellung eines Kreditscores eine grundsätzlich verbotene automatisierte Entscheidung im Sinne des Art 22 DSGVO darstellt und daher einer besonderen Legitimation bedarf (Art 22 Abs 2 bis 4 DSGVO) sowie weitgehende Auskunfts- und Interessenwahrungspflichten begründet, wenn Dritte (zB Banken) diesen Score ihrer Entscheidung über die Begründung eines Vertragsverhältnisses mit der betroffenen Person (zB Kreditvertrag) „maßgeblich“ zugrunde legen. Wann bzw unter welchen Voraussetzungen Kreditscores eine „maßgebliche“ Rolle bei der Gewährung von Krediten spielen, führte der EuGH in seiner Entscheidung zwar nicht explizit aus; unter Bezugnahme auf den Ausgangsfall erläuterte er aber, dass im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Wahrscheinlichkeitswert (dh Kreditscore) in nahezu allen Fällen dazu führe, dass die Bank die Gewährung des beantragten Kredits ablehne (EuGH 07.12.2023, SCHUFA Holding, C-634/21 Rz 48).

2.3 Implikationen

Aus dem Urteil des EuGH lässt sich schlussfolgern, dass sowohl die automatisierte Erstellung von Kreditscores durch Kreditauskunfteien selbst als auch maßgeblich darauf basierende Kreditentscheidungen von Banken dem Art 22 DSGVO unterliegen und daher ohne gesetzgeberische Erlaubnis oder ausdrückliche Einwilligung des Betroffenen unzulässig sind. Daraus folgt zudem, dass Kreditauskunfteien und Banken angemessene Maßnahmen treffen müssen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Personen zu wahren, was unter anderem impliziert, dass den betroffenen Personen im Rahmen einer Auskunftserteilung gemäß Art 15 DSGVO aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen der automatisierten Datenverarbeitung bzw Score-Berechnung zur Verfügung gestellt werden müssen (EuGH 07.12.2023, SCHUFA Holding, C-634/21 Rz 56).

3. Bedeutung der Entscheidung für Kreditscoring in Österreich

Die gegenständliche Entscheidung ist über die deutschen Staatsgrenzen hinaus relevant, da auch österreichische Kreditauskunfteien gemäß § 152 GewO zur Erteilung von Auskünften über bonitätsrelevante Verhältnisse berechtigt sind und deren Kreditscores regelmäßig von österreichischen Banken im Rahmen von Kreditvergaben herangezogen werden. Banken sind gemäß § 7 VKrG (Verbraucherkreditgesetz) verpflichtet, die Kreditwürdigkeit von Verbrauchern anhand ausreichender Informationen zu prüfen, wobei diese Informationen sowohl von den Verbrauchern selbst als auch aus Datenbanken stammen können. § 7 Abs 4 VKrG normiert in diesem Zusammenhang nur, dass Kreditgeber die Verbraucher unverzüglich und unentgeltlich zu informieren haben, wenn ein Kreditantrag aufgrund einer Datenbankabfrage abgelehnt wird. Diese Bestimmung lässt die Regelungen der DSGVO jedoch unberührt und lässt sich auch aus dem Gesetzeswortlaut nicht ableiten, dass die Kreditverweigerung in diesem Fall maßgeblich bzw ausschließlich auf einer automatisierten Datenbankabfrage im Sinne des Art 22 DSGVO basiert.

Im Ergebnis besteht im innerstaatlichen materiellen Recht (noch) keine gesetzliche Grundlage für Banken, Kreditvergaben ausschließlich aufgrund eines negativen Bonitätscores abzulehnen. Die Verweigerung eines Kredits allein aufgrund eines unzureichenden Score-Wertes ist nach der DSGVO daher aktuell nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat.

Jetzt anfragen

Consent Management Platform von Real Cookie Banner