Der Europäische Gerichtshof (EuGH) hat heute in den Verfahren C-26/22, C-64/22 und C-634/21 wichtige Entscheidungen über die Zulässigkeit von Datenerhebungen aus öffentlichen Registern, der Speicherdauer dieser Daten sowie der Übermittlung und Verwendung von Scorewerten und damit über die Arbeitsweise von Wirtschaftsauskunfteien getroffen. Daneben entschied er auch über den Charakter von Beschwerden an die Datenschutzaufsichtsbehörden und von datenschutzrechtlichen Verhaltensregeln von Wirtschaftsverbänden.
1. Auskunfteien erheben Daten aus öffentlichen Registern, insbesondere dem Insolvenzregister. Im konkreten Verfahren ging es um die Erhebung von Daten über eine Restschuldbefreiung und deren Speicherung für drei Jahre. Im Insolvenzregister werden diese Daten nur sechs Monate abrufbar gehalten. Der EuGH hat nun entscheiden, dass private Auskunfteien solche Daten jedenfalls nicht länger speichern dürfen als das öffentliche Insolvenzregister, also nicht länger als sechs Monate. „Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung“, so der EuGH. Jedenfalls nach Ablauf der sechs Monate überwiegen die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen. Ob dies auch für die parallele Speicherung in den ersten sechs Monaten gilt, muss das Verwaltungsgericht Wiesbaden entscheiden. Rechtswidrig gespeicherte Daten sind zu löschen. Hierzu stellt der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, fest: „Diese Entscheidung liegt im Interesse der betroffenen Personen und gibt ihnen früher die Möglichkeit eines wirtschaftlichen Neuanfangs. Für Auskunfteien und Datenschutzaufsichtsbehörden schafft sie Klarheit und allen Beteiligten Rechtssicherheit.“
2. Wirtschaftsauskunfteien bewerten auf der Grundlage der von ihnen gespeicherten Daten die Kreditwürdigkeit von Kreditnehmern und übermitteln die ermittelte Wahrscheinlichkeit, dass der Kredit rechtzeitig und vollständig zurückbezahlt wird, als Bonitätsscore an Kreditgeber. Die Erstellung und Verwendung eines solchen Scores hat der EuGH als automatisierte Entscheidung über den Kredit angesehen, sofern ihm die Kreditgeber „eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen“. Eine automatisierte Entscheidung ist nach Art. 22 DSGVO grundsätzlich unzulässig und darf nur aufgrund einer Einwilligung oder einer gesetzlichen Erlaubnis getroffen werden. Prof. Roßnagel zu dieser Entscheidung: „Ihre Auswirkungen werden entscheidend von der Tatsachenfrage abhängen, ob die von Kreditgebern getroffene Ablehnung eines Kredits „maßgeblich“ vom Scorewert der Auskunftei abhängig ist. Eine Bank hat aufgrund ihrer Geschäftsbeziehungen zu dem Antragsteller und aufgrund ihres ‚angemessenen und wirksamen Risikomanagements‘, das sie nach § 25a KWG haben muss, viel mehr Informationen über den Kreditnehmer, als dem Scorewert zugrunde liegen. Daher dürfte sie eigentlich ihre Entscheidung nicht maßgeblich auf den Bonitätsscore einer Auskunftei stützen. Bei Online-Krediten könnte dagegen der Score für die Kreditentscheidung maßgeblich sein. Die Interpretation des Begriffs ‚automatisierte Entscheidung‘ durch den EuGH könnte aber auch – weit über Auskunfteien hinaus – Auswirkungen auf viele Entscheidungsunterstützungssysteme haben, die mit Künstlicher Intelligenz Entscheidungen vorbereiten.“
3. Von Datenverarbeitungen betroffene Personen können bei der Datenschutzaufsichtsbehörde eine Beschwerde einreichen, wenn sie der Meinung sind, dass die Verarbeitung ihrer Daten unzulässig ist. Die Datenschutzaufsichtsbehörde muss dieser Beschwerde nachgehen und über sie entscheiden. Gegen diese Entscheidung kann die betroffene Person Klage vor dem Verwaltungsgericht erheben. Bis zur Entscheidung des EuGH war der Charakter der Beschwerde und des Beschwerdeverfahrens ebenso umstritten, wie die Prüfungsbefugnis der Gerichte. Hierzu stellt der EuGH fest, dass die Entscheidung der Datenschutzaufsichtsbehörde einer vollständigen inhaltlichen Kontrolle durch das zuständige Gericht unterliegt. Allerdings kommt der Aufsichtsbehörde ein Ermessensspielraum zu, wie sie das Beschwerdeverfahren durchführt und welche Maßnahmen sie trifft. Hierzu Roßnagel: „Diese Feststellung des EuGH ist zu begrüßen. Sie entspricht der Praxis der Aufsichtsbehörden und der überwiegenden Praxis der Gerichte. Sie bietet Rechtssicherheit hinsichtlich der Aufgaben der Aufsichtsbehörden und des Prüfungsumfangs der Gerichte“.
4. Nach der DSGVO dürfen Wirtschaftsverbände Verhaltensregeln aufstellen, die hinsichtlich der abstrakten Vorgaben der DSGVO für ihre Mitglieder mehr Rechtssicherheit schaffen sollen. Diese Verhaltensregeln sind nur wirksam, wenn sie von der zuständigen Datenschutzaufsichtsbehörde genehmigt worden sind. In den Verhaltensregeln des Verbands der Wirtschaftsauskunfteien waren unter anderem die Speicherdauern für bestimmte Daten geregelt. Umstritten war, welche Bedeutung solche Verhaltensregeln haben. Hierzu stellt der EuGH fest: Verhaltensregeln können nur die Vorgaben der DS-GVO auslegen, sie dürfen sie jedoch nicht verändern. Dies gilt insbesondere für die Zulässigkeit der Datenverarbeitung aufgrund überwiegender berechtigter Interessen nach Art. 6 Abs. 1 Buchstabe f DSGVO. Insofern sind Speicherdauern, die für das Datum der Restschuldbefreiung über die zulässige Speicherung hinausgehen, unzulässig und unwirksam. Diese Feststellung des EuGH kommentiert Roßnagel: „Auch die Ausführungen des EuGH zu Verhaltensregeln sind zu begrüßen, weil sie klarstellen, dass Verbände nicht wie Gesetzgeber die Grenzen zulässiger Datenverarbeitung verschieben können. Sie bieten dadurch für die Praxis Rechtssicherheit. Die Verhaltensregeln des Verbands der Wirtschaftsauskunfteien können keinen Bestand haben und müssen überarbeitet werden.“
Zum Hintergrund:
Diesen Verfahren vor dem EuGH lagen Beschwerden von betroffenen Personen beim HBDI zugrunde, die sich gegen die Speicherung ihrer Daten über Restschuldbefreiungen durch die Schufa AG wehrten. Der HBDI hat die Beschwerden abgelehnt, weil die Schufa sich an die Vorgaben der genehmigten Verhaltensregeln gehalten hat. Dagegen haben die betroffenen Personen vor dem Verwaltungsgericht Wiesbaden geklagt. Das Gericht sah sich nicht in der Lage, ohne Klärung von mehreren Rechtsfragen zur DSGVO zu entscheiden und legte diese Fragen Ende 2021 und Januar 2022 dem EuGH zur Beantwortung vor. Der EuGH verhandelte diese Fragen am 26.1.2023. Am 16.3.2013 legte der Generalanwalt Pritt Pikamäe seine Schlussanträge vor, denen der EuGH in seinen Entscheidungen heute weitgehend gefolgt ist.