EuGH fällt Grundsatzurteil zu Wirtschafts-Auskunfteien

Immer wieder wurde von Datenschützern die Praktiken von der Schufa und anderen Auskunfteien infrage gestellt. Der Europäische Gerichtshof (EuGH) hat in den Verfahren C-26/22, C-64/22 und C-634/21 wichtige Urteile im Bereich Datenschutz und Wirtschaftsauskunfteien gefällt.

Diese Entscheidungen betreffen die Zulässigkeit von Datenerhebungen aus öffentlichen Registern, die Speicherdauer dieser Daten sowie die Übermittlung und Verwendung von Scorewerten. Darüber hinaus hat der EuGH auch den Charakter von Beschwerden an Datenschutzaufsichtsbehörden und datenschutzrechtliche Verhaltensregeln von Wirtschaftsverbänden behandelt. Dabei sind Urteile herausgekommen, die den Bürgern in der EU mehr Rechte einräumen.

Die zentralen Aspekte dieser Gerichtsurteile haben einen deutlichen Einfluss auf die Arbeitspraxis von Wirtschaftsauskunfteien und stärken die Rechte der betroffenen EU-Bürger. Im Folgenden finden Sie die Hauptpunkte aus den Urteilen.

Datenzugriff auf öffentliche Register

Nach bisheriger Rechtsprechung war es statthaft, dass sich Auskunfteien Daten aus öffentlichen Registern zugänglich machen, etwa Informationen aus dem Insolvenzregister. Für die Erhebung von Daten zur Restschuldbefreiung und die Speicherung dieser Daten wurde vom EuGH entschieden, dass private Auskunfteien solche Daten nicht länger speichern dürfen als das öffentliche Insolvenzregister, also nicht länger als sechs Monate. Als Begründung wurde angeführt, dass erteilte Restschuldbefreiung existenzielle Bedeutung für die betroffene Person hat. Außerdem hat das Gericht entschieden, dass alle Daten umgehend zu löschen sind, die ohne rechtliche Grundlage gespeichert worden sind.

Score-Bewertungen sind nicht mehr generell erlaubt

Die bisherige Vorgehensweise, bei der Wirtschaftsauskunfteien die Kreditwürdigkeit von Kreditnehmern anhand der gespeicherten Daten mithilfe von Bonitäts-Scores an potenzielle Kreditgeber weitergegeben haben, ist nicht mehr erlaubt. Bisherige Praxis war, dass Wirtschaftsauskunfteien auf der Grundlage der von ihnen gespeicherten Daten die Kreditwürdigkeit von Kreditnehmern mit einer Wahrscheinlichkeit dafür bewerteten, ob und wann der Kredit rechtzeitig und vollständig zurückbezahlt wird. Nach Ansicht der Richter ist die Erstellung und somit auch die Verwendung dieser Scores eine „automatisierte Entscheidung“. Diese ist allerdings gemäß DSGVO nicht rechtens und darf so nicht mehr praktiziert werden. Automatisierte Entscheidungen dürfen nur dann getroffen werden, wenn sie entweder auf der Zustimmung der betroffenen Person oder auf einer gesetzlichen Grundlage beruhen.

Recht auf Beschwerde deutlich ausgeweitet

Eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde steht künftig allen betroffenen Personen zu, die der Auffassung sind, dass die Verarbeitung ihrer personenbezogenen Daten nicht zulässig ist. Die Datenschutzaufsichtsbehörde ist verpflichtet, diesen Beschwerden nachzugehen und Entscheidungen im Einzelfall zu treffen. Weiter heißt es im Urteil: „Gegen diese Entscheidung kann die betroffene Person Klage vor dem Verwaltungsgericht erheben“. Bis zur Entscheidung des EuGH war der Charakter der Beschwerde und des Beschwerdeverfahrens ebenso umstritten wie die Prüfungsbefugnis der Gerichte. Hierzu stellt der EuGH fest, dass die Entscheidung der Datenschutzaufsichtsbehörde einer vollständigen inhaltlichen Kontrolle durch das zuständige Gericht unterliegt. Allerdings kommt der Aufsichtsbehörde ein Ermessensspielraum zu, wie sie das Beschwerdeverfahren durchführt und welche Maßnahmen sie trifft. Hierzu Hessens oberster Datenschutzbeauftragter Prof. Dr. Alexander Roßnagel: „Diese Feststellung des EuGH ist zu begrüßen. Sie entspricht der Praxis der Aufsichtsbehörden und der überwiegenden Praxis der Gerichte. Sie bietet Rechtssicherheit hinsichtlich der Aufgaben der Aufsichtsbehörden und des Prüfungsumfangs der Gerichte“. Damit bestätigt Hessens oberster Datenschützer, dass eine gesetzliche Neuregelung längst überfällig war.

Wirtschaftsverbände dürfen nur noch bedingt Verhaltensregeln definieren

Die DSCGVO gestattet es wirtschaftlichen Organisationen und Verbänden prinzipiell, Verhaltensregeln für ihre Mitglieder zu definieren. Diese Regeln sollen dazu dienen, für ihre Mitglieder mehr Rechtssicherheit im Umgang mit den abstrakten Vorgaben der DSGVO zu schaffen. Allerdings sind diese Verhaltensregeln nur dann wirksam, wenn sie von der zuständigen Datenschutzaufsichtsbehörde genehmigt wurden.

Ein konkretes Beispiel hierfür sind die Verhaltensregeln des Verbands der Wirtschaftsauskunfteien. In diesen Regeln wurde unter anderem die Speicherdauer für bestimmte Daten festgelegt. Doch diese Regelungen wurden nicht in jedem Fall im Einklang mit den Vorschriften der DSGVO verfasst.

Auch dazu haben die EuGH-Richter nun juristische Klarheit geschaffen und wie folgt entschieden: „Verhaltensregeln dürfen die Vorgaben der DSGVO auslegen, jedoch nicht verändern. Insbesondere in Bezug auf die Zulässigkeit der Datenverarbeitung aufgrund überwiegender berechtigter Interessen nach Artikel 6 Absatz 1 Buchstabe f der DSGVO sind Verhaltensregeln bindend. Speicherdauern, die über das Datum der Restschuldbefreiung hinausgehen, sind daher unzulässig und unwirksam.“