Prozessvertreter der Schufa-Verfahren schreiben auf LTO zu den Folgen des EuGH-Urteils. Verbraucheranwalt Raphael Rohrmoser meint, der Mensch darf nicht zum Objekt eines Algorithmus degradiert werden. Alltagsgeschäfte seien nicht in Gefahr.
Jeder Mensch hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht, wenn diese nicht besonders legitimiert ist. Der EuGH hat in dem Schufa-Verfahren vom 07.12.2023 (Az.: C-634/21) entschieden, dass dieser gesetzliche Grundsatz auch für die Schufa und die Berechnung von Scorewerten gilt. Der Grundsatz ergibt sich aus Art. 22 Abs. 1, 2 der Datenschutz-Grundverordnung (DSGVO). Nach Ansicht des EuGH ist bereits die Erstellung des Schufa-Scores europarechtswidrig, wenn der Score ohne Legitimation etwa bei der Kreditvergabe "maßgeblich" zugrunde gelegt wird.
"Maßgeblich" ist, was der Mensch nicht kippen kann
Wie der Prozessvertreter auf Schufa-Seite, Gregor Thüsing, in seinem LTO-Kommentar noch zutreffend schreibt, hat der EuGH das Merkmal "maßgeblich" nicht näher definiert. Allerdings hat das Verwaltungsgericht Wiesbaden in seinem Vorlagebeschluss bereits deutlich gemacht, was es unter "maßgeblich" versteht, ohne dass der EuGH dem widersprochen hätte.
Es ging konkret um die Konstellation, dass ein Verbraucherdarlehen bei einem schlechten Score regelmäßig abgelehnt wird, obwohl eine Investition seitens der Bank eigentlich lohnenswert wäre. Mit anderen Worten: Eine "maßgebliche" Berücksichtigung liegt vor, wenn der Vertragspartner dem Schufa-Score eine überbordende Rolle beimisst, die der Mensch nicht kippen kann. Bislang ändert menschliches Eingreifen bei der Kreditvergabe regelmäßig nichts, wenn der zuvor beauskunftete Schufa-Scorewert schlecht ist. Dies muss sich nach dem Urteil des EuGH nun ändern.
Entgegen der Behauptung von Thüsing, argumentiert der EuGH jedoch nicht mit "durchgreifenden Bedenken" an der Wirksamkeit des § 31 Bundesdatenschutzgesetzes (BDSG), der die Zulässigkeit des Scorings bisher regelt. Diese Bedenken haben vielmehr nur der Generalanwalt und das Verwaltungsgericht geäußert, der EuGH selbst positioniert sich zu dieser Frage nicht sondern verweist lediglich auf das Verwaltungsgericht und dessen Bedenken. Auch wenn ich diese Bedenken teile, geht die Analyse von Thüsing an der tatsächlichen Aussage des EuGH vorbei. Dieser lässt vielmehr offen, ob auch eine europarechtskonforme Auslegung des § 31 BDSG in Betracht kommt.
Weitreichende Folgen?
Soweit Thüsing kritisiert, der EuGH habe die weitreichenden Folgen seines Urteils nicht bedacht, ist zunächst klarzustellen, dass der Gerichtshof nach Art. 267 AEUV schlicht über die Auslegung der Verträge zu entscheiden hat. Über politische oder wirtschaftliche Folgen nachzudenken ist nicht seine Aufgabe, sondern die des Normgebers.
Vor allem sind die von Thüsing an die Wand gemalten gravierenden Folgen überhaupt nicht zu erwarten. Er meint, das EuGH-Urteil erfasse auch menschliche Entscheidungen. Genauer sei es bereits unzulässig, wenn die automatisierte Verarbeitung einen "nicht unwesentlichen Einfluss auf die spätere menschliche Entscheidung" habe.
Diese Definitionssicherheit verwundert schon deswegen, weil Thüsing selbst zuvor ausgeführt hat, das Merkmal der "Maßgeblichkeit" müsse noch definiert werden. Erstaunlich ist die Darstellung aber vor allem, weil in dem Urteil weder das Wort "unwesentlich" noch das Wort "Einfluss" und schon gar nicht die Kombination aus beiden vorkommt.
Maßgeblich vs. Nicht unwesentlich
Würde man nun, wie Thüsing, eine nicht unwesentliche Auswirkung auf menschliche Entscheidungen für die Unzulässigkeit für ausreichend erachten, wären in der Tat derart viele Fallkonstellationen erfasst, dass für automatisierte Entscheidungen nahezu kein Raum mehr bliebe. Thüsings Argumentation erscheint hier allerdings wie ein Ablenkungsmanöver mit dem Ziel, potenziell alle automatisierten Vorgänge unter das Urteil zu quetschen, sodass dieses als Fehlurteil erscheint und in der Rechtsprechung kaum umgesetzt werden könnte.
Der Sache nach ist für die Thüsingsche Auslegung nichts ersichtlich. So heißt es im Erwägungsgrund 71 Satz 1 DSGVO, dass der Mensch das Recht hat, keiner Entscheidung unter ausschließlich automatisierter Verarbeitung "ohne jegliches menschliche Eingreifen" unterworfen zu werden. Eine wesentliche Beeinflussung des Menschen unter Berücksichtigung einer automatisierten Berechnung ist hingegen nicht verboten. Auch im EuGH-Urteil wird dargestellt, dass jeder Person das Recht zustehen muss, ihren eigenen Standpunkt darzustellen, die Entscheidung anzufechten, und dass bei der verantwortlichen Stelle eine Person eingreifen können muss.
Diese Ausführungen verdeutlichen, dass es nicht auf die wesentliche Beeinflussung durch das Scoring ankommt, sondern auf die Stärkung des Faktors Mensch. Kann ein Mensch die Entscheidungen einer Maschine oder auch einer KI überstimmen, liegt kein Verstoß gegen Art. 22 DSGVO vor. Problematisch im Schufa-Verfahren ist jedoch, dass die Mitarbeiter einer Bank oftmals genau diese Möglichkeit nicht haben. An dieser Stelle muss der deutsche Gesetzgeber nun eine entsprechende Regelung schaffen, um den Mitarbeitern diese Möglichkeit einzuräumen.
Fehlerhafte Beispiele
Die von Thüsing sodann gewählten Beispiele für die angeblich weitreichenden Folgen des Urteils in anderen Bereichen nähren den Verdacht einer Panikmache zur Diskreditierung des EuGH-Urteils, stellen sie doch alltägliche Situationen dar, in denen Verarbeitungsvorgänge automatisiert erfolgen. Die Konstellationen sind jedoch nicht übertragbar. Eine maßgebliche automatisierte Beeinflussung, die der Mensch nicht übergehen kann, liegt in keinem der Beispiele vor:
Wenn der Vermieter einen Mietinteressenten gegoogelt hat, liegt weder eine automatisierte Verarbeitung vor, noch ergeht die Entscheidung ohne menschliches Zutun. Das Googeln ist nicht auschlaggebend, sondern es werden menschliche Schlussfolgerungen aus den Suchergebnissen gezogen.
Wenn Konten aufgrund eines automatischen Abgleichs mit der Terrorliste eingefroren werden, dürfte dieser Vorgang nach EU-Recht gesondert und ausreichend legitimiert sein. Im Übrigen wäre in diesem Beispiel wohl die vorläufige Einfrierung, die menschlich überprüft werden kann, das entscheidende Wort.
KI-Anwendungen bleiben möglich
Auch die Entscheidung eines Taxifahrers, einen Stau aufgrund eines Navigationshinweises zu umfahren, wäre keine solche automatisierte Entscheidung, sondern eine erlaubte menschliche Entscheidung, die zudem auf den Wunsch des Kunden hin getroffen wird. Wegen der minutengenauen Abrechnung würde wohl jeder Taxifahrer freiwillig in einen Stau fahren, wenn der Fahrgast dies ausdrücklich wünschte. Auch hier wäre der menschliche Aspekt entscheidend.
Zuletzt würde auch die angeführte ärztliche Diagnose, die auf einer durch KI ausgewerteten Studie basiert, nicht unter die Norm fallen. Weder die KI-Auswertung noch die Studie selbst (die im Übrigen regelmäßig keinen Personenbezug aufweisen dürfte), sondern ein Arzt stellt unter Berücksichtigung der Studie die Diagnose. Zudem liegt in der Diagnose keine rechtliche Entscheidung.
Thüsings Schwarzmalerei im Hinblick auf KI-Entscheidungen findet also im Urteil keine Stütze. Der EuGH verdeutlicht lediglich, dass automatisierten Verarbeitungen ein Risiko inne liegt, welches kontrolliert werden muss, bevor die automatisierten Verarbeitungen uns kontrollieren. Ebenso wie die Bank den Schufa-Score als einen Teil der Entscheidungsgrundlage nutzen darf, darf auch KI-basiert entschieden werden. Es dürfen dabei nur keine unumstößlichen Fakten getroffen werden. Taxifahrer, Ärzte, Vermieter und Banken dürfen daher weiterhin KI-basierte Hilfsmittel oder solche mit automatisierter Verarbeitung nutzen, solange sie selbst die endgültige Entscheidung treffen.
Keine Degradierung zum Objekt eines Algorithmus
Entgegen der Annahme von Thüsing liegt im Urteil ein großer Sieg für den Verbraucherschutz.:
Der Mensch darf auch bei geschickter Arbeitsteilung nicht zum Objekt eines Algorithmus degradiert werden. Eine Abschaffung des Scorings geht damit in der Tat nicht einher, doch der Einsatz solcher Verfahren wird erheblich eingezäunt. Die Auskunfteien müssen ihren Vertragspartnern entsprechende Verpflichtungen auferlegen, die eine menschliche Entscheidung ermöglichen. Die Konsequenz aus der Entscheidung ist also eindeutig: Ein Teil der Vormachtstellung der Schufa bröckelt, da die Banken und andere Vertragspartner nicht mehr blind und ohne weitere Prüfung auf den Score vertrauen dürfen.
In der öffentlichen Darstellung werden zudem die am gleichen Tag entschiedenen, von mir geführten, Parallelverfahren (C-26/22 und C-64/22) übersehen, in denen der EuGH ebenfalls klarstellt, dass Entscheidungen der Datenschutzbehörden vollständig überprüfbar sind, die Schufa keinesfalls Daten aus öffentlichen Verzeichnissen exzessiv speichern und verarbeiten darf und wirtschaftliche Interessenverbände die Betroffenenrechte nicht durch selbst aufgestellte Regeln einschränken dürfen.
All dies sind wegweisende und für die Praxis notwendige Entscheidungen des Gerichtshofs. Der EuGH gibt den Verbrauchern rechtsstaatliche Mittel an die Hand, um sich gegen Entscheidungen zu wehren. Gerade in diesen Aspekten liegt ein großer Sieg für den Verbraucherschutz, auch wenn offenbar der Versuch unternommen wird, von den tatsächlichen Konsequenzen des Urteils abzulenken.
Der Autor Rechtsanwalt Dr. Raphael Rohrmoser ist Rechtsanwalt und Partner in der Kanzlei AdvoAdvice in Berlin. Er war Prozessvertreter der Kläger in den beiden weiteren Schufa-Urteilen zur Restschuldbefreiung, die gleichzeitig zum Scoring-Verfahren verkündet wurden.
EuGH-Urteile zur Schufa: . In: Legal Tribune Online, 13.12.2023 , https://www.lto.de/persistent/a_id/53407 (abgerufen am: 23.11.2024 )
Infos zum Zitiervorschlag