SCHUFA-Scoring verstößt gegen die Datenschutz-Grundverordnung (DSGVO)

Eine Klägerin aus Deutschland hatte wegen eines niedrigen SCHUFA-Scores keinen Kredit bei der Bank bekommen. Daraufhin verlangte sie von der Schufa Auskunft über die Daten, die über sie gespeichert sind, sowie die Löschung ihres Eintrags. Die SCHUFA teilte der Klägerin jedoch nur sehr eingeschränkte Informationen mit, unter anderem nicht über die genaue Berechnungsmethode. Eine anschließende Beschwerde beim Hessischen Datenschutzbeauftragten blieb ebenfalls erfolglos, sodass sie vor dem Verwaltungsgericht Wiesbaden gegen das Land Hessen klagte - mit der Begründung, dass die Geschäftspraxis der SCHUFA gegen die DSGVO verstöße. Das Verwaltungsgericht legte das Verfahren dem EuGH vor. 

Der EuGH entschied, dass die Scoring-Praxis der SCHUFA jedenfalls dann als eine verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie
beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Es obliegt nun dem Verwaltungsgericht Wiesbaden zu klären, ob das deutsche Bundesdatenschutzgesetz eine gültige Ausnahme im Einklang mit der DSGVO enthalte und die allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt seien.

In einem anderen Verfahren urteilte der EuGH über die Speicherung von Informationen zur Restschuldbefreiung nach einer Privatinsolvenz. Die SCHUFA speicherte die Daten über die Restschuldbefreiung drei Jahre lang, obwohl diese Informationen nur sechs Monate lang auf einem amtlichen Internetportal veröffentlicht werden. Der EuGH entschied, dass private Auskunfteien solche Daten nicht länger speichern dürfen als das öffentliche Insolvenzregister selbst.