Das Gericht erklärte die automatisierte Bonitätsbewertung (Scoring) der SCHUFA für rechtswidrig, da diese gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Besonders betont wurde dabei, dass automatisierte Entscheidungen ohne menschliche Überprüfung und ohne ausreichende Transparenz zu einer Verletzung der Rechte betroffener Personen führen können.
Das Gericht gab dem klagenden Verbraucher 1.000 € immateriellen Schadensersatz und stellte fest, dass der Score, der über die Kreditwürdigkeit einer Person entscheidet, maßgeblich und unzulässig ist, wenn keine menschliche Entscheidung im Verlauf des Prozesses stattfindet.
Dieses Urteil setzt den EuGH-Urteil vom 7. Dezember 2023 um, in dem der Europäische Gerichtshof bereits klargestellt hatte, dass automatisierte Bonitätsbewertungen, die eine wichtige Grundlage für Verträge (z. B. Kredite) darstellen, automatisch unter Art. 22 DSGVO fallen.
Das Landgericht Bamberg bestätigte diese Rechtsauffassung nun auf nationaler Ebene und forderte die SCHUFA und andere Auskunfteien zu einer umfassenden Überarbeitung ihrer Verfahren auf.
Auswirkungen für natürliche Personen
Das Urteil betrifft direkt und unmittelbar den Schutz natürlicher Personen nach der DSGVO.
Verbraucher, deren Bonitätswert automatisiert ermittelt und zur Ablehnung von Krediten oder anderen Verträgen geführt hat, können jetzt Ansprüche auf Schadenersatz geltend machen.
Die DSGVO schützt natürliche Personen vor automatisierten Entscheidungen, die rechtsverbindliche Folgen haben, wenn diese Entscheidungen auf Daten basieren, die ohne menschliche Überprüfung verarbeitet werden.
Die Kernpunkte des Urteils lauten:
- Transparenzrechte: Verbraucher können nach Art. 15 DSGVO nun Auskunft über die Berechnung ihres Scores verlangen. Die Auskunfteien müssen detailliert darlegen, wie der Score berechnet wird und welche Daten berücksichtigt wurden.
- Recht auf menschliche Prüfung: Wurde ein Kredit aufgrund eines automatisierten Scores abgelehnt, so haben Verbraucher das Recht auf eine manuelle Prüfung der Entscheidung. Dies bedeutet, dass die Bank oder das Unternehmen den Score nicht als alleinigen Entscheidungsfaktor verwenden darf, ohne die Möglichkeit eines menschlichen Eingriffs.
- Löschung von Daten: Verbraucher haben das Recht, unrechtmäßig gespeicherte Score-Daten nach Art. 17 DSGVO löschen zu lassen, falls die automatisierte Verarbeitung unzulässig war.
- Schadenersatzanspruch: Bei unzulässiger Verarbeitung können Schadenersatzansprüche geltend gemacht werden, sowohl für materielle als auch für immaterielle Schäden, die durch die falsche oder fehlerhafte Bonitätsbewertung verursacht wurden.
Das Urteil stärkt die Verbraucherrechte und macht deutlich, dass die automatisierte Bonitätsbewertung nur unter strengen Bedingungen zulässig ist – und dass die Verbraucher ausreichend über ihre Daten und deren Nutzung informiert werden müssen.
Mittelbare Auswirkungen auf Unternehmen
Obwohl das Urteil des LG Bamberg direkt auf natürliche Personen angewendet wird, sind die Auswirkungen auf Unternehmen ebenfalls nicht zu unterschätzen. Gerade Unternehmen, die Bonitätsprüfungen für ihre Kunden oder Geschäftspartner durchführen (etwa Banken, Versicherungen, Telekommunikationsanbieter), müssen ihre Prozesse anpassen, um den Anforderungen der DSGVO gerecht zu werden.
Bonitätsbewertungen für Unternehmen
Das Urteil betrifft nicht nur Kredite für Privatpersonen, sondern auch die Bonitätsbewertung von Unternehmen. Viele Wirtschaftsauskunfteien – wie Creditreform, CRIF Bürgel und Co. – nutzen ähnliche automatisierte Verfahren zur Bonitätsbewertung von Unternehmen.
Wenn bei der Bonitätsbewertung von juristischen Personen (z. B. einer GmbH oder einer AG) personenbezogene Daten (z. B. von Geschäftsführern, Gesellschaftern oder leitenden Organen) verarbeitet werden, könnten auch diese Bewertungen unter die Vorgaben der DSGVO fallen.
- Personenbezogene Daten in Unternehmensbewertungen: Wird bei der Unternehmensbewertung der Score von Geschäftsführern oder Gesellschaftern einbezogen, dann sind auch diese Bewertungen datenschutzrechtlich zu prüfen. Sollte ein Score für ein Unternehmen zu einer Entscheidung führen, die auf personenbezogenen Daten basiert, könnte dies ebenfalls eine menschliche Prüfung erforderlich machen, um den Anforderungen der DSGVO gerecht zu werden.
- Auswirkungen auf Geschäftsführungs- und Inhaberbewertungen: Wenn bei der Bonitätsprüfung von Unternehmen auf personenbezogene Daten zugegriffen wird, etwa durch die Auskunfteien, dann gilt auch für diese automatisierte Scoring-Modelle: Sie müssen den Transparenz- und Prüfpflichten der DSGVO entsprechen, wenn sie personenbezogene Daten verarbeiten, selbst bei juristischen Personen.
Haftungsrisiken für Unternehmen
Unternehmen, die automatisierte Scoring-Verfahren ohne menschliche Kontrolle einsetzen, laufen Gefahr, gegen die DSGVO zu verstoßen, was Bußgelder oder Schadenersatzansprüche nach sich ziehen könnte. Um möglichen Haftungsrisiken vorzubeugen, sollten Unternehmen:
- Menschliche Entscheidungsprozesse in ihren Bonitätsprüfungsmodellen einbauen und sicherstellen, dass eine menschliche Instanz bei entscheidungsrelevanten Scores eingreift.
- Verträge mit Auskunfteien überprüfen, um sicherzustellen, dass diese ebenfalls DSGVO-konform arbeiten und die Transparenzanforderungen erfüllen.
- Die Einwilligung der betroffenen Personen für automatisierte Bonitätsbewertungen einholen oder zumindest alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass der Score nur als zusätzlicher Faktor in die Entscheidungsfindung einfließt.
Fazit und Handlungsempfehlungen
Das Urteil des LG Bamberg ist ein wichtiger Meilenstein in der Entwicklung des Datenschutzes und hat erhebliche Auswirkungen auf alle, die mit automatisierten Bonitätsbewertungen arbeiten – sowohl für Verbraucher als auch für Unternehmen.
Für Verbraucher bedeutet das Urteil, dass sie jetzt mehr Kontrolle über ihre Daten und deren Nutzung haben, insbesondere im Bereich der Bonitätsbewertung. Sie können Schadenersatz einfordern, die Löschung von fehlerhaften Daten verlangen und eine menschliche Überprüfung bei automatisierten Entscheidungen einfordern.
Für Unternehmen und Auskunfteien wird es nun notwendig, ihre automatisierten Scoring-Verfahren auf die Vorgaben der DSGVO abzustimmen. Besonders wichtig ist, dass personenbezogene Daten bei Unternehmensbonitätsbewertungen berücksichtigt werden und menschliche Prüfprozesse eingeführt werden, um den Anforderungen der DSGVO gerecht zu werden. Diese Änderungen werden nicht nur den Datenschutz verbessern, sondern auch zu mehr Transparenz und Fairness im Umgang mit Bonitätsbewertungen führen.
Unternehmen sollten daher umgehend ihre Prozesse überprüfen, ihre Verträge mit Auskunfteien anpassen und sicherstellen, dass ihre Bonitätsprüfungen menschliche Überprüfungen beinhalten. Nur so können sie sicherstellen, dass sie den neuen datenschutzrechtlichen Anforderungen entsprechen und Haftungsrisiken vermeiden.
Ähnliche Artikel
