Zu Hauptinhalt springen
Kontakt Impressum Datenschutz
Startseite UR

Aktuelles

EuGH stuft Schufa-Score als automatische Entscheidungsfindung ein – Auswirkungen auch auf KI-Anwendugen

20.12.2023 | Susanne Stingl

Der EuGH hat in seinem Urteil vom 07.12.2023 festgestellt, dass es sich bei dem Schufa-Score um eine automatische Entscheidungsfindung im Sinne von Art. 22 DSGVO handelt. Die Folge ist, dass diese grundsätzlich verboten ist, wenn nicht einer der engen Ausnahmetatbestände des Art. 22 DSGVO greift.


Nach Art. 22 Abs. 1 DSGVO hat jede Person das Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden, die eine rechtliche Wirkung oder sonstige Benachteiligung für sie zur Folge hat. Strittig war vorliegend, ob der Schufa-Score hierunter fällt, da die Schufa selbst keine eigenen Entscheidungen trifft, sondern der Score vielmehr von Dritten genutzt wird, die anhand des Wertes eine Folge daraus ableiten. Beispielsweise kann der Wert bei der Entscheidung für die Kreditvergabe oder einen Mietvertrag eine Rolle spielen.


Der EuGH hat festgestellt, dass der Begriff der „Entscheidung“ vorliegend weit auszulegen ist, damit der Schutzzweck der Norm erfüllt wird. Es könne nicht sein, dass der Schutz vor automatisierten Entscheidungen durch ein Drei-Parteien-Verhältnis umgangen wird. Die Erstellung des Schufascores und dessen Anwendung fällt danach unter Art. 22 Abs. 1 DSGVO, vor allem auch da das Handeln von Dritten maßgeblich von dem Score geleitet wird und tatsächlich keine eigene Einschätzung der Kreditwürdigkeit der betroffenen Person erfolgt.


Soweit eine automatisierte Entscheidungsfindung dann unter den hohen Hürden des Art. 22 DSGVO zulässig ist, treffen den Verantwortlichen zusätzliche Pflichten. Unter anderem muss er auch nach Art. 13 Abs. 2 lit. f DSGVO ausführlich über die involvierte Logik, sowie die Tragweite und Auswirkungen für die betroffene Person informieren. Zudem steht der betroffenen Person regelmäßig mindestens ein Recht auf eine menschliche Überprüfung der Entscheidung, auf Darlegung des eigenen Standpunktes und Anfechtung der Entscheidung zu.


Da auch KI-Systeme ähnlich wie Auskunfteien aktuell und zukünftig Analysen erstellen, die Entscheidungen vorbereiten, ist auch hier stets zu prüfen, inwieweit eine automatisierte Entscheidungsfindung nach oben genannten Grundsätzen erfolgt. Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit sieht hier schon in einigen Verfahren eine ähnliche Eingriffstiefe, beispielsweise wenn Bewerbungen durch eine KI vorsortiert werden oder Patienten bezüglich der Geeignetheit des Einschlusses in eine medizinische Studie. Für den zulässigen Einsatz einer KI ist es daher entscheidend, dass die Logik und Arbeitsweise der KI nachvollzogen werden kann. Die Menschen, die letztendlich die Entscheidung unter Zugrundelegung des KI-Ergebnisses treffen, müssen ausreichend Zeit und Fachkompetenz besitzen, um eine eigene Einschätzung vorzunehmen.

Quelle:
EuGH-Urteil: https://curia.europa.eu/juris/document/document.jsf?docid=280426&mode=req&pageIndex=1&dir=&occ=first&part=1&text=schufa&doclang=DE&cid=5065583#ctx1


Presseerklärung HambBfDI: https://datenschutz-hamburg.de/news/auswirkungen-des-schufa-urteil-auf-ki-anwendungen

Lisa Braese - 20.12.2023 13:29

Elena Kellinghaus - 06.11.2023 07:39

  1. Universität

Informationssicherheit

IT-Sicherheit

Datenschutz