Der Europäische Gerichtshof (EuGH) hat in diesem Jahr gleich mehrfach zur DSGVO geurteilt und sich dabei insbesondere mit dem Schmerzensgeld nach Datenschutzverstößen gem. Art. 82 DSGVO beschäftigt – mit teilweise dramatischen Haftungsrisiken für Unternehmer.
Mit den „SCHUFA“ Urteilen des EuGH vom 07.12.2023 – der EuGH hat zwei Urteile zu insgesamt drei Vorlagen entschieden – setzt der EuGH zusätzliche Leitplanken für die automatisierte Entscheidungsfindung, die auch Auswirkungen für den Einsatz von KI-Lösungen wie ChatGPT in Unternehmen haben.
Wir erklären, worauf Unternehmen aufgrund des SCHUFA Urteils nun im Arbeitsalltag achten müssen.
Wenn Algorithmen entscheiden
Der Sachverhalt des ersten SCHUFA Verfahrens ist einfach:
Die unfreiwilligen „Kunden“ der SCHUFA verlangten die Löschung ihrer Bonitätsdaten, hier hinsichtlich der s.g. Restschuldbefreiung nach einem Insolvenzverfahren, was die SCHUFA verweigerte.
Auch die Landesdatenschutzbehörde war der Auffassung, dass die Verarbeitung durch die SCHUFA nicht rechtswidrig war. Hiergegen gingen die Betroffenen gerichtlich vor. Das zuständige Verwaltungsgericht legte die rechtlichen Grundsatzfragen hinsichtlich der DSGVO dem EuGH vor.
Dabei ging es um zwei zentrale Punkte:
- Durfte die SCHUFA Informationen aus öffentlichen Registern über Schuldnerdaten länger speichern, als das Register selbst?
- Darf die SCHUFA derartige Daten „auf Vorrat“ speichern, um diese bei einer Bonitätsabfrage dann zur Verfügung zu stellen?
In der zweiten Entscheidung des EuGH vom 07.12.2023, C‑634/21, zur SCHUFA wurde dem Betroffenen aufgrund einer „negativen SCHUFA“ ein Kredit verwehrt.
Auch hier wurde die Landesdatenschutzbehörde eingeschaltet – auch hier ohne Erfolg.
Dabei ging es um die Frage:
- Liegt eine automatisierte Entscheidung gem. Art. 22 DSGVO vor, wenn der automatisiert erstellte SCHUFA-Score durch die anfragenden Unternehmen wie Banken faktisch ohne weitere Prüfung übernommen werden?
- Ist dies rechtlich zulässig?
EuGH: Datenschutz first
Der EuGH stellte in der ersten Entscheidung fest, dass die Daten nicht länger in eigenen Datenbanken gespeichert werden dürfen, als dies in öffentlichen Registern zulässig sei. Andernfalls könne der Schutzzweck eines finanziellen „Neustarts“ nicht gewährleistet werden.
Die SCHUFA hatte bereits Monate vor dem Urteil angekündigt, diese Daten zu löschen – eine Reaktion auf die Schlussanträge des Generalanwalts.
An dem automatisierten Scoring hielt die SCHUFA jedoch fest. Es sei keine automatisierte Entscheidungsfindung, denn man liefere den Unternehmen nur eine automatisiert erstellte Einschätzung zur Bonität an, auf der Grundlage jedes Unternehmen dann eigenständig und damit nicht automatisiert entscheide, ob ein Kredit vergeben werde oder ein Mobilfunkvertrag abgeschlossen wird.
Doch der EuGH stellte fest:
„Eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“
Denn Art. 22 Abs. 1 DSGVO sieht vor, dass die betroffene Person das Recht hat, nicht
- einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die
- ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Dies gilt auch dann, wenn eine dritte Person den automatisierten Scoring-Wert einsetzen und hiervon das Eingehen von Verträgen abhängig machen wollen.
Ob für die Auskunftei eine deutsche Vorschrift in der BDSG ausnahmsweise doch eine rechtmäßige Datenverarbeitung ermöglicht, musste der EuGH offen lassen, hat aber bemerkenswert deutliche Zweifel angemerkt.
Vereinfacht bedeutet dies: eine automatisierte Entscheidung, die durch Dritte weiterverwendet wird, um eine rechtliche Entscheidung (z.B. über einen Vertragsschluss) zu treffen, kann „zusammengezogen“ und insgesamt als automatisierte Entscheidung betrachtet werden, die grundsätzlich unzulässig ist.
EuGH Urteil als PDF herunterladen
Den Volltext des Urteils können Sie in deutscher Sprache herunterladen (C‑634/21 vom 07.12.2023, ECLI:EU:C:2023:957)
Praxisprobleme ohne Ende
Was die im Sinne der „Effektivität“ der DSGVO getroffene Entscheidung des EuGH zur SCHUFA fernab von Bonitätsfragen im Alltag von Unternehmen bedeutet, wird schmerzlich anhand einfacher Beispiele deutlich:
- Ein Kunde stellt eine Anfrage. Der Account-Manager lehnt die Anfrage nach einer kurzen Google Suche ab.
- Mit ChatGPT sollen Kundenanfragen mithilfe von Formulierungsvorschlägen beantwortet werden.
- Ein Algorithmus soll finanz- und versicherungsrelevante Daten zur Bestimmung der Versicherungsprämie ermitteln.
Eigentlich würde man bei all diesen Beispielen intuitiv einwenden, dass die Ergebnisse – ob Google Recherche, Formulierungsvorschlag oder Prämienberechnung – noch einmal durch einen Menschen genutzt wird und deshalb keine grundsätzlich unzulässige automatisierte Entscheidung mit rechtlicher Wirkung vorliegt.
Der EuGH sieht dies aber anders, wenn der Mensch nur ein automatisiert erstelltes Endergebnis weiterverwendet.
Hierzu hat sich auch der Hamburger Datenschutzbeauftragte geäußert und genau diese Ableitungen für KI Lösungen in der taggleichen Pressemitteilung unterstrichen:
„Wird künstliche Intelligenz beispielsweise eingesetzt, um Bewerbungen vorzusortieren oder um für medizinische Einrichtungen zu analysieren, welche Patien:innen sich besonders für eine Studie eignen, sind die Ergebnisse nur auf den ersten Blick reine Vorschläge.
Wenn diese vorbereitenden Darstellungen aber auf Basis kaum nachvollziehbarer, von der KI eigenständig entwickelter Kriterien entstanden sind, ist die Nähe zur Wirkweise einer Auskunfteien-Bewertung im Sinne des EuGH-Urteils groß. Was also für Schufa-Scores gilt, gilt dann auch für den Output einer künstlichen Intelligenz. Dem Urteil entsprechend müssen solche KI-basierte Bewertungen mit einer menschlichen Beurteilung verknüpft werden.
Das stellt Anwendende vor einige Herausforderungen, denn die letztentscheidende Person benötigt Sachkunde und genug Zeit, um die maschinelle Vorentscheidung hinterfragen zu können. Nach den neuen Maßstäben des EuGH ist genau das aber jetzt essenziell: die involvierte Logik nachvollziehen und gegebenenfalls übersteuern zu können, die hinter dem computergenerierten Vorschlag steckt.“
Was Unternehmen jetzt tun müssen
Unternehmen müssen reagieren und die eigenen Datenverarbeitungsprozesse überprüfen. Hierzu empfiehlt sich ein interdisziplinärer Datenschutzaudit um rechtliche und technische Aspekte gemeinsam berücksichtigen zu können.
Hierbei von hoher Bedeutung: Eine ausführliche Dokumentation und eine differenzierte Abwägung der Prozesse.
Zusätzlich müssen wirksame ausdrückliche Einwilligungen erfasst, formuliert, dokumentiert und gespeichert werden, da dies gem. Art. 22 Abs. 2 lit. c) DSGVO noch Grundlage einer automatisierten Entscheidungsfindung sein kann.
Unternehmen, die trotz der EuGH Rechtsprechung automatisierte Entscheidungsfindungen rechtswidrig betreiben, müssen wegen eines anderen EuGH Urteils mit massenhaften Schadenersatzansprüchen nach einem Datenschutzverstoß rechnen.
