EuGH-Entscheidung vom 7.12.2023, verbundene Rechtssachen C‑26/22 und C‑64/22
Sachverhalt:
Im Rahmen der sie betreffenden Insolvenzverfahren wurde den Klägern mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Die öffentliche Bekanntmachung dieser Beschlüsse im öffentlichen Insolvenzregister im Internet wurde nach sechs Monaten gelöscht. Die SCHUFA ist eine private Wirtschaftsauskunftei, die in ihren eigenen Datenbanken Informationen aus öffentlichen Registern erfasst und speichert, insbesondere solche über Restschuldbefreiungen. Sie löscht letztere Informationen nach Ablauf einer Frist von drei Jahren.
Die Kläger wandten sich an die SCHUFA, um bei dieser die Löschung der Eintragungen in Bezug auf die sie betreffenden Beschlüsse über die Restschuldbefreiung zu erwirken. Die SCHUFA lehnte ihre Anträge ab. Die Kläger erhoben daraufhin jeweils Beschwerde beim HBDI (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit) als zuständiger Aufsichtsbehörde. Der HBDI vertrat die Auffassung, dass die Datenverarbeitung durch die SCHUFA rechtmäßig sei. Die Kläger erhoben daraufhin beim Verwaltungsgericht Wiesbaden Klage gegen den Bescheid des HBDI. Das Verwaltungsgericht Wiesbaden legte die verfahren dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Der EuGH hielt zunächst fest, dass die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im vorliegenden Fall allein im Licht von Art. 6 Abs. 1 Buchst. f DSGVO zu beurteilen ist. Demnach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Somit ist die Verarbeitung personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig:
- Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden,
- zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und
- drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.
Im vorliegenden Fall macht die SCHUFA hinsichtlich der Verfolgung eines berechtigten Interesses geltend, dass die Kreditauskunfteien Daten verarbeiteten, die zur Beurteilung der Bonität von Personen oder Unternehmen erforderlich seien, um diese Informationen ihren Vertragspartnern zur Verfügung stellen zu können. Diese Tätigkeit schütze nicht nur die wirtschaftlichen Interessen der Unternehmen, sondern die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilde auch ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft.
Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. f der DSGVO hat der EuGH bereits entschieden, dass diese Bestimmung dahin auszulegen ist, dass eine Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist.
Zur Interessenabwägung hielt der EuGH fest, dass die Analyse einer Wirtschaftsauskunftei als objektive und zuverlässige Bewertung der Kreditwürdigkeit potenzieller Kunden Betrugsrisiken und andere Unsicherheiten verringern kann. Die Verarbeitung von Daten über die Erteilung einer Restschuldbefreiung, wie etwa die Speicherung, Analyse und Weitergabe dieser Daten an einen Dritten, durch eine Wirtschaftsauskunftei stellt jedoch einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar (Recht auf Privat- und Familienleben, Recht auf Schutz personenbezogener Daten). Solche Daten dienen nämlich als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person und stellen daher sensible Informationen über ihr Privatleben dar. Die Folgen für die betroffenen Person sind umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die fraglichen Daten durch Wirtschaftsauskunfteien gespeichert werden.
Im vorliegenden Fall sieht der deutsche Gesetzgeber vor, dass die Information über die Erteilung einer Restschuldbefreiung im Insolvenzregister nur sechs Monate lang gespeichert wird. Unter diesen Umständen können die Interessen des Kreditsektors keine längere Verarbeitung bzw. Speicherung personenbezogener Daten als im öffentlichen Insolvenzregister rechtfertigen, sofern die Speicherung nicht auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gestützt werden kann.
Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten. Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach.
***
EuGH-Entscheidung vom 7.12.2023, Rechtssache C‑634/21
Sachverhalt:
Die SCHUFA prognostiziert aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens („Score-Wert“), wie beispielsweise die Rückzahlung eines Kredits. Die Erstellung von Score-Werten („Scoring“) basiert auf der Annahme, dass durch die Zuordnung einer Person zu einer Gruppe anderer Personen mit vergleichbaren Merkmalen, die sich in einer bestimmten Weise verhalten haben, ein ähnliches Verhalten vorausgesagt werden kann. Dem Kläger wurde durch die SCHUFA eine negative Auskunft erteilt, woraufhin ihm ein Kredit verweigert wurde.
Das Verwaltungsgericht Wiesbaden legte den Fall dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Gemäß Art. 22 Abs. 1 DSGVO hat eine betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Anwendbarkeit dieser Bestimmung hängt somit von drei kumulativen Voraussetzungen ab, nämlich davon, dass erstens eine „Entscheidung“ vorliegen muss, zweitens diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung, – einschließlich Profiling – [beruhen]“ muss und drittens sie „gegenüber [der betroffenen Person] rechtliche Wirkung“ entfalten oder sie „in ähnlicher Weise erheblich“ beeinträchtigen muss.
Der EuGH hielt fest, dass bei einem solchen „Scoring“ alle drei Voraussetzungen erfüllt sind. Art. 22 Abs. 1 DSGVO verleiht der betroffenen Person das „Recht“, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Diese Bestimmung stellt ein grundsätzliches Verbot auf, dessen Verletzung von einer solchen Person nicht individuell geltend gemacht zu werden braucht. Der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung ist nur in den in Art. 22 Abs. 2 genannten Fällen zulässig. Der Verantwortliche unterliegt auch zusätzlichen Informationspflichten nach Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g DSGVO. Der betroffenen Person steht nach Art. 15 Abs. 1 Buchst. h DSGVO ein Auskunftsrecht gegenüber dem Verantwortlichen zu, das insbesondere „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ betrifft.
Der EuGH kam schlussendlich zu dem Ergebnis, dass „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Es obliegt dem vorlegenden Verwaltungsgericht Wiesbaden zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.