I. Hintergründe

Die Schufa-Holding GmbH („Schufa“), eine private Wirtschaftsauskunftei, versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sog. Score-Werte. Für die Ermittlung dieses Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Diese, sowohl positiven (z.B. der vertragsgemäße Ausgleich einer Forderung) als auch negativen Merkmale (z.B. Zahlungsverzug) werden seitens der Vertragspartner zu ihren Kunden an die Schufa gemeldet.

Das Verwaltungsgericht Wiesbaden hatte im Jahr 2021 mehrfach über Löschungs- und Auskunftsbegehren von Privatpersonen zu befinden, die die Schufa verweigerte. Diese Verweigerung wurde vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde für zulässig befunden.

In zwei dieser Verfahren äußerte das Verwaltungsgericht grundlegende Zweifel an der Vereinbarkeit der Geschäftspraxis der Schufa mit der VERORDNUNG (EU) 2016/679 des EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, „DSGVO“), setzte die Verfahren daher aus und legte diverse Fragen dem Europäischen Gerichtshof („EuGH“) zur Entscheidung vor.

II. Sachverhalt in der Rechtssache C-634/21

Eines dieser Vorabentscheidungsersuchen ist die Rechtssache C-634/21 und betrifft einen Rechtsstreit zwischen einer Bürgerin (Klägerin) und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit („HBDI“) (VG Wiesbaden – 6 K 788/20.WI). Die Schufa unterstützt den HBDI als Streithelferin. Nach der vorstehend beschriebenen Tätigkeit der Schufa lieferte diese einem Kreditinstitut einen Score-Wert für die Klägerin, der als Grundlage für die Verweigerung eines von dieser beantragten Kredits diente. Die Klägerin forderte die Schufa auf, die darauf bezogene Eintragung zu löschen und ihr Zugang zu den entsprechenden Daten zu gewähren. Letztere teilte ihr jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihr keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde, und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Die Fragen, die das Verwaltungsgericht Wiesbaden dem EuGH zur Vorabentscheidung vorgelegt hat, lauten sinngemäß wie folgt:

1. Ist Art. 22 Abs. 1 DSGVO dahin gehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt?

2. Falls die erste Vorlagefrage zu verneinen ist: Sind Art. 6 Abs. 1 und Art. 22 der DSGVO dahingehend auszulegen, dass sie einer innerstaatlichen Regelung entgegenstehen, nach der die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) unter gewissen zusätzlichen Voraussetzungen zulässig ist?

Am 16.03.2023 hat der Generalanwalt, Priit Pikamäe, seine Schlussanträge zur Würdigung der vorstehenden Fragen vorgelegt, die einen zum Teil doch etwas verwundert zurücklassen.

III. Zur ersten Vorlagefrage

Art. 22 DSGVO

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

1. Art. 22 DSGVO

a) Vermeintlich zu erster Vorlagefrage, vom Wortlaut dieser jedoch nicht erfasst, positioniert sich der Generalanwalt zunächst zu der unter Berücksichtigung der im Falle einer automatisierten Datenverarbeitung „gemäß Artikel 22 Absätze 1 und 4“ gewährten Auskunftsrechte und bestehenden Informationspflichten mittlerweile durchaus differenziert betrachteten Frage, ob Art. 22 DSGVO ein Verbot mit Erlaubnisvorbehalt normiert oder bloß ein Widerspruchsrecht des Betroffenen begründet:

„Art. 22 Abs. 1 DSGVO weist eine Besonderheit gegenüber den anderen Beschränkungen der Datenverarbeitung in dieser Verordnung auf, da er ein „Recht“ der betroffenen Person verankert, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Ungeachtet der verwendeten Terminologie erfordert die Anwendung von Art. 22 Abs. 1 DSGVO nicht, dass sich die betroffene Person aktiv auf das Recht beruft. Denn eine Auslegung im Licht des 71. Erwägungsgrundes dieser Verordnung und unter Berücksichtigung der Systematik dieser Bestimmung, insbesondere ihres Abs. 2, in dem die Fälle aufgeführt sind, in denen eine automatisierte Verarbeitung ausnahmsweise zulässig ist, lässt den Schluss zu, dass diese Bestimmung ein allgemeines Verbot der Entscheidungen der oben beschriebenen Art aufstellt. […]“

b) Ausgehend von einem allgemeinen Verbot der automatischen Datenverarbeitung widmet sich der Generalanwalt dann der Frage, ob der vorliegende Fall unter die Voraussetzungen aus Art. 22 Abs. 1 DSGVO zu subsumieren ist.

Dies erforderte nach bisherigem Verständnis eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung, der der Betroffene unterworfen wird und die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt. Wie von Schulz, in Gola/Heckmann, Daten-schutzgrundverordnung – Bundesdatenschutzgesetz, 3. Aufl. 2022 unter Rn. 11 überzeu-gend präzisiert,

„verlangt Art. 22 das Vorliegen einer durch Mensch oder Maschine automatisch ausgeführten Entscheidung auf Grundlage einer automatisierten maschinellen Verarbeitung (Automated Decision Making). Eine solche automatisierte Entscheidung liegt jedenfalls vor, wenn maschinell verarbeitete Daten unmittelbar zu einer computergestützten, d.h. durch Datenverarbeitungsanlagen getroffenen, Entscheidung führen, die einer auch nur teilweisen Bewertung bzw. Mitbestimmung durch eine natürliche Person entzogen ist. Die automatisierte Entscheidung muss also aus-schließlich maschinell erfolgen. Der Vorschlag des Europäischen Parlaments, auch „vorrangig“ automatisierte Entscheidungen vom Anwendungsbereich des Art. 22 zu erfassen, hat sich nicht durchgesetzt.“

Dies vorausgeschickt, ist die Schlussfolgerung des Generalanwalts in Rn. 33 der Schlussanträge, dass das von SCHUFA durchgeführte „Scoring“ personenbezogene Daten maschinell verarbeitet und unter die Legaldefinition des „Profiling“ in Art. 4 Nr. 4 DSGVO falle, nicht zu beanstanden.

Statt sich im Anschluss mit der logischen Folgefrage zu befassen, ob nun das „Scoring“ auch eine „automatisierte Entscheidung“ darstellt, prüft der Generalanwalt jedoch die Frage, ob „die“ Entscheidung gegenüber der betroffenen Person rechtliche Wirkung ent-faltet oder die Person in ähnlicher Weise erheblich beeinträchtigt und führt hierzu Fol-gendes aus:

„Zwar werden in der DSGVO weder die „rechtliche Wirkung“ noch die Formulierung „in ähnlicher Weise erheblich beeinträchtigt“ näher definiert; allerdings wird anhand der Wortwahl klar, dass diese Bestimmung nur schwerwiegende Auswirkungen abdeckt. Insoweit ist zunächst darauf hinzuweisen, dass der 71. Erwägungsgrund der DSGVO ausdrücklich die „automatische Ablehnung eines Online-Kreditantrags“ als typisches Beispiel einer Entscheidung nennt, die die betroffene Person „erheblich“ beeinträchtigt.“

Sodann ist zum einen zu berücksichtigen, dass, da die Bearbeitung eines Kreditantrags ein dem Abschluss eines Darlehensvertrags vorausgehender Schritt ist, die Ablehnung eines solchen Antrags „rechtliche Wirkung“ für die betroffene Person haben kann, da sie nicht mehr in den Genuss einer vertraglichen Beziehung mit dem in Rede stehenden Finanzinstitut kommen kann. Zum anderen ist darauf hinzuweisen, dass sich eine solche Ablehnung auch auf die finanzielle Situation der betroffenen Person auswirken kann. Daher ist der Schluss logisch, dass diese Person jedenfalls im Sinne dieser Bestimmung „in ähnlicher Weise“ beeinträchtigt sein wird. […]“

Für sich genommen mag die Ablehnung eines Kreditantrags rechtliche Wirkung entfalten oder in ähnlicher Weise erheblich beeinträchtigen und die automatische Ablehnung eines Online-Kreditantrags in den Anwendungsbereich des Art. 22 Abs. 1 DSGVO fallen. Beide Konstellationen betreffen jedoch nicht den hier relevanten Fall, bei dem die automatisiert, maschinell verarbeitende Stelle und die kreditgewährende Stelle auseinanderfallen.

Der im Rahmen des Art. 22 DSGVO zu fordernde und von Schulz zutreffend dargelegte Grundsatz, dass die maschinell verarbeiteten Daten unmittelbar zu einer computergestützten Entscheidung führen, wird so nicht gewahrt.

Entsprechend wurde bislang auch überzeugend vertreten, dass Bonitätsauskünfte einer Auskunftei für sich betrachtet zwar auf einem automatisierten Verarbeitungsprozess basieren mögen, jedoch keine automatisierten Entscheidungen i.S.v. Art. 22 DSGVO darstellen. Es fehlt insoweit an dem einer Entscheidung zugrundeliegenden Gestaltungsakt hinsichtlich verschiedener Handlungsalternativen mit abschließender Wirkung.

Die unter Rn. 37 der Schlussanträge seitens des Generalanwalts in diesem Zusammenhang angeführten Begrifflichkeiten wie eine „Auffassung“ oder „Stellungnahme“ „zu einem bestimmten Sachverhalt“ füllen daher bereits den Tatbestand einer Entscheidung in diesem Kontext nicht aus.

Hinsichtlich der entscheidenden Frage, wo nun in der vorliegenden Konstellation die maßgebliche Entscheidung, basierend auf ausschließlich automatisierter Verarbeitung, zu verorten sei (nämlich die Gewährung oder Ablehnung des Kredits durch das Kreditinstitut oder das Scoring durch die Schufa), verweist der Generalanwalt immerhin auf eine Prüfung des Einzelfalls. Hierzu käme der Art und Weise, in der das Verfahren der Entscheidungsfindung zur Kreditgewährung strukturiert sei, wesentliche Bedeutung zu. Es handele sich demnach grundsätzlich um eine von den nationalen Gerichten zu würdigende Tatsachenfrage.

„Erfahrungen aus der behördlichen Datenschutzaufsicht“ sollen jedoch gezeigt haben, dass „Score-Werten bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle“ zukomme. Entsprechend heißt es im Ergebnis relativierend unter Rn. 47 der Schlussanträge:

„Die vorstehenden Erwägungen scheinen mir vorbehaltlich der Würdigung des Sachverhalts, die jedem nationalen Gericht in jedem Einzelfall obliegt, darauf hinzuweisen, dass der von einer Auskunftei erstellte und einem Finanzinstitut übermittelte Score-Wert im Allgemeinen die Entscheidung des Letzteren über die Gewährung oder Versagung des Kredits für die betroffene Person so vorbestimmen soll, dass davon auszugehen ist, dass diese Stellungnahme im Rahmen des Verfahrens nur rein formalen Charakter hat(20). Daraus folgt, dass der Score-Wert selbst als „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO anzusehen ist.“

Ist die Entscheidung des Finanzinstituts über die Gewährung oder Ablehnung des Kredits durch das von der Auskunftei durchgeführte Scoring bereits vorbestimmt, sei davon auszugehen, dass es sich bei dem Scoring selbst um die „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO handelt.

Diese Schlussfolgerung sei vernünftig, da jede andere Auslegung das vom Unionsgesetzgeber mit dieser Bestimmung verfolgte Ziel, die Rechte der Betroffenen zu schützen, in Frage stellen würde.

Nach diesseits vertretener Auffassung besteht für diese Schlussfolgerung und die Befürchtung einer Regelungslücke bei konsequenter Anwendung des Art. 22 DSGVO und der gebotenen Trennung zwischen maschineller Verarbeitung und der eigentlichen Entscheidung – ob nun durch Mitbestimmung einer natürlichen Person oder automatisiert – keine Veranlassung.

2. Auskunftsanspruch nach Art. 15 Abs. 1 lit. h) DSGVO

Art. 15 DSGVO

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

[…]

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige

Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Vom Gegenstand der Vorlagefrage ebenfalls nicht berührt, befasst sich der Generalanwalt in der Folge noch mit dem Umfang des Auskunftsanspruchs nach Art. 15 Abs. 1 lit. h) DSGVO im Falle einer automatisierten Datenverarbeitung und hält fest:

„Da SCHUFA es abgelehnt hat, der Klägerin bestimmte Informationen über die Berechnungsmethode mitzuteilen, weil es sich dabei um Geschäftsgeheimnisse handele, erscheint es sachdienlich, den Umfang des in Art. 15 Abs. 1 Buchst. h) DSGVO vorgesehenen Auskunftsrechts zu präzisieren, insbesondere was die Verpflichtung betrifft, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen. Meines Erachtens ist diese Bestimmung dahin auszulegen, dass sie grundsätzlich auch die Berechnungsmethode er-fasst, die von einer Auskunftei zur Ermittlung eines Score-Wertes verwendet wird, sofern keine schutzwürdigen widerstreitenden Interessen bestehen. Insoweit ist auf den 63. Erwägungsgrund der DSGVO zu verweisen, aus dem u.a. hervorgeht, dass „[das Aus-kunfts]recht … die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen [sollte]“

Als Ergebnis der Abwägung der widerstreitenden Interessen müsse zur Berechnungsmethode jedenfalls ein Minimum an Informationen geliefert werden, damit der Wesensgehalt des Rechts auf Schutz personenbezogener Daten nicht beeinträchtigt werde.

Hinsichtlich der zu erteilenden Informationen unternimmt der Generalanwalt einen Präzisierungsversuch dahingehend,

„dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von „Entscheidungen“ im Sinne von Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind.“

Während „aussagekräftige Informationen über die involvierte Logik“ es durchaus rechtfertigen, dass die Berechnungsmethode zum Score-Wert vom Auskunftsrecht des Betroffenen eingeschlossen wird, bleibt mit den vorstehenden Ausführungen doch viel Raum zur Interpretation.

Danach scheint es zu genügen, dass die Schufa die in die Ermittlung des Score-Werts grundsätzlich einfließenden Parameter sowie deren allgemeine Gewichtung offenlegt. Ein konkreter Bezug zum Auskunftsersuchenden muss offenbar nicht hergestellt werden.

IV. Zur zweiten Vorlagefrage

§ 31 BDSG

Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften

(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung,

Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn

1. die Vorschriften des Datenschutzrechts eingehalten wurden,

2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,

3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und

4. im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.

(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden, […]

Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.

Art. 6 Abs. 1 DSGVO

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. […]

1. Im Rahmen der zweiten Vorlagefrage prüft der Generalanwalt zunächst, ob gemäß Art. 22 Abs. 2 lit. b) DSGVO eine Ausnahme von dem angenommenen Verbot der automatisierten Datenverarbeitung gemacht werden könne, sofern sich der EuGH der Schlussfolgerung des Generalanwalts, dass das Scoring unter Art. 22. Abs. 1 DSGVO fällt, anschließen sollte. Nach dieser Bestimmung gilt das Verbot nicht, „wenn die Entscheidung […] aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist“.

Der Generalanwalt gelangt zu dem Schluss, dass Art. 22 Abs. 2 lit. b) nicht als Rechtsgrundlage für § 31 BDSG herangezogen werden könne, da die nationale Vorschrift undifferenziert auch Regelungen für aus dem Anwendungsbereich des Art.

22 DSGVO fallende, nicht automatisierte Entscheidungen treffe und lediglich die Verwendung von Wahrscheinlichkeitswerten durch die Wirtschaftsteilnehmer, nicht jedoch deren Erstellung regele.

Regelt § 31 BDSG damit einen von Art. 22 Abs. 1 DSGVO abweichenden sachlichen Anwendungsbereich, scheidet auch Art. 22 Abs. 2 lit. b) DSGVO als Rechtsgrundlage für den Erlass dieser Vorschrift aus.

2. Bleiben die Vorschriften aus der DSGVO selbst, die den Mitgliedstaaten gewisse Regelungsbefugnisse verleihen.

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten unter den dort genannten und abschließenden Gründen zulässig. Nach § 6 Abs. 2 DSGVO sind die Mitgliedstaaten befugt, spezifischere Bestimmungen zur Anpassung der Verwendung der DSGVO-Vorschriften beizubehalten oder einzuführen, jedoch nur zur Erfüllung der in Abs. 1 lit. c) und lit. e) genannten Gründe.

Während Art. 6 Abs. 1 lit. b) DSGVO das Auskunftsersuchen eines Kreditinstituts an die Auskunftei zum Zwecke der Bonitätsprüfung legitimiert, gibt die Vorschrift für die Erfassung und die Art und Weise der Verarbeitung personenbezogener Daten auf Seiten der Schufa nach den zutreffenden Feststellungen des Generalanwalts wenig her. Auch erfolgt die „Erstellung“ eines Score-Werts nicht im Rahmen einer der Schufa auferlegten „rechtlichen Verpflichtung“ (vgl. Art. 6 Abs. 1 lit. c) DSGVO). Diese trage zwar mit der Zurverfügungstellung von Informationen über die Kredit-würdigkeit bestimmter Personen im öffentlichen Interesse zum Schutz der Verbraucher und zur Stabilität des Finanzsystems bei, die Erstellung eines Score-Werts sei zur Erfüllung dieser Aufgabe jedoch nicht erforderlich.

Fehlt es danach im vorliegenden Fall an einer Öffnungsklausel, die es den Mitgliedstaaten erlaubt, die DSGVO-Vorschriften – wie durch § 31 BDSG erfolgt – zu konkretisieren, ist davon auszugehen, dass § 31 BDSG nicht mit der DSGVO vereinbar ist. Die entsprechende Schlussfolgerung des Generalanwalts scheint insoweit vertretbar.

V. Schlussbemerkung

Die Schlussanträge des Generalanwalts sind für den EuGH nicht bindend. Aufgabe der Generalanwältin oder des Generalanwalts ist es, dem Gerichtshof in völliger Unabhängigkeit einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten.

Vor diesem Hintergrund wäre zu wünschen, dass der EuGH insbesondere im Hinblick auf Art. 22 DSGVO zu einem abweichenden Ergebnis gelangt. Die Vergangenheit hat jedoch gezeigt, dass sich der EuGH selten weit von den Feststellungen des Generalanwalts entfernt.

Ein Verkündungsdatum wurde noch nicht veröffentlicht.

Nicht nur die Schufa wäre daher gut beraten, die Zeit bis zu einer Entscheidung des EuGH sinnvoll zu nutzen, auch die Vertragspartner der Schufa täten gut daran, ihre Prozesse im Rahmen der Bonitätsprüfung noch einmal kritisch zu überprüfen.

Wir beraten Sie hierzu gerne.