EuGH mit Urteil über die Arbeitsweise von Auskunfteien

Der Europäische Gerichtshof (EuGH) hat in den Verfahren C-26/22, C-64/22 und C-634/21 wichtige Urteile im Bereich Datenschutz und Wirtschaftsauskunfteien gefällt. Diese Entscheidungen betreffen die Zulässigkeit von Datenerhebungen aus öffentlichen Registern, die Speicherdauer dieser Daten sowie die Übermittlung und Verwendung von Scorewerten. Darüber hinaus hat der EuGH auch den Charakter von Beschwerden an Datenschutzaufsichtsbehörden und datenschutzrechtliche Verhaltensregeln von Wirtschaftsverbänden behandelt.

Die wichtigsten Details dieser Urteile wirken sich spürbar auf die Arbeitsweise von Wirtschaftsauskunfteien aus und stärken die Rechte betroffener EU-Bürger. Hier die Kernaussagen in den Urteilen.

Datenzugriff auf öffentliche Register

Prinzipiell dürfen Auskunfteien Daten aus öffentlichen Registern einsehen, beispielsweise das Insolvenzregister. Für die Erhebung von Daten zur Restschuldbefreiung und die Speicherung dieser Daten wurde vom EuGH entschieden, dass private Auskunfteien solche Daten nicht länger speichern dürfen als das öffentliche Insolvenzregister, also nicht länger als sechs Monate. Als Begründung wurde angeführt, dass erteilte Restschuldbefreiung existenzielle Bedeutung für die betroffene Person hat. Ferner sind Daten, die rechtswidrig gespeichert wurden, umgehend zu löschen.

Beurteilung der Kreditwürdigkeit durch Score-Werte

Die bisherige Praxis, bei der Wirtschaftsauskunfteien die Kreditwürdigkeit von Kreditnehmern auf Basis der gespeicherten Daten durch Bonitäts-Scores an potenzielle Kreditgeber weitergegeben haben, ist so nicht mehr gestattet. Bisherige Praxis war, dass Wirtschaftsauskunfteien auf der Grundlage der von ihnen gespeicherten Daten die Kreditwürdigkeit von Kreditnehmern mit einer Wahrscheinlichkeit dafür bewerteten, ob und wann der Kredit rechtzeitig und vollständig zurückbezahlt wird. Nach Ansicht der Richter ist die Erstellung und somit auch die Verwendung dieser Scores eine „automatisierte Entscheidung“. Diese ist allerdings gemäß DSGVO nicht rechtens und darf so nicht mehr praktiziert werden. Automatisierte Entscheidungen dürfen ausschließlich aufgrund einer Einwilligung der Betroffenen oder aufgrund einer gesetzlichen Erlaubnis erfolgen.

Beschwerden rechtlich verankert

Personen, die von Datenverarbeitungen durch Wirtschaftsauskunfteien betroffen sind, können bei der Datenschutzaufsichtsbehörde eine Beschwerde einreichen, wenn sie der Meinung sind, dass die Verarbeitung ihrer Daten unzulässig ist. Die Datenschutzaufsichtsbehörde ist verpflichtet, diesen Beschwerden nachzugehen und Entscheidungen im Einzelfall zu treffen. Weiter heißt es im Urteil: „Gegen diese Entscheidung kann die betroffene Person Klage vor dem Verwaltungsgericht erheben“. Bis zur Entscheidung des EuGH war der Charakter der Beschwerde und des Beschwerdeverfahrens ebenso umstritten wie die Prüfungsbefugnis der Gerichte. Hierzu stellt der EuGH fest, dass die Entscheidung der Datenschutzaufsichtsbehörde einer vollständigen inhaltlichen Kontrolle durch das zuständige Gericht unterliegt. Allerdings kommt der Aufsichtsbehörde ein Ermessensspielraum zu, wie sie das Beschwerdeverfahren durchführt und welche Maßnahmen sie trifft. Hierzu Hessens oberster Datenschutzbeauftragter Prof. Dr. Alexander Roßnagel: „Diese Feststellung des EuGH ist zu begrüßen. Sie entspricht der Praxis der Aufsichtsbehörden und der überwiegenden Praxis der Gerichte. Sie bietet Rechtssicherheit hinsichtlich der Aufgaben der Aufsichtsbehörden und des Prüfungsumfangs der Gerichte“.

Verhaltensregeln von Wirtschaftsverbänden müssen rechtlich überprüft werden

Gemäß der Datenschutz-Grundverordnung (DSGVO) haben Wirtschaftsverbände die Befugnis, Verhaltensregeln zu erstellen. Diese Regeln sollen dazu dienen, für ihre Mitglieder mehr Rechtssicherheit im Umgang mit den abstrakten Vorgaben der DSGVO zu schaffen. Allerdings sind diese Verhaltensregeln nur dann wirksam, wenn sie von der zuständigen Datenschutzaufsichtsbehörde genehmigt wurden.

Ein konkretes Beispiel hierfür sind die Verhaltensregeln des Verbands der Wirtschaftsauskunfteien. In diesen Regeln wurden unter anderem die Speicherdauern für bestimmte Daten festgelegt. Die Frage, welche Bedeutung solche Verhaltensregeln haben, war umstritten.

Der Europäische Gerichtshof (EuGH) hat dazu Folgendes klargestellt: Verhaltensregeln dürfen die Vorgaben der DSGVO auslegen, jedoch nicht verändern. Insbesondere in Bezug auf die Zulässigkeit der Datenverarbeitung aufgrund überwiegender berechtigter Interessen nach Art. 6 Abs. 1 Buchst. f der DSGVO sind Verhaltensregeln bindend. Speicherdauern, die über das Datum der Restschuldbefreiung hinausgehen, sind daher unzulässig und unwirksam.