Der EuGH hatte kürzlich ein neues Vorabentscheidungsverfahren aus Deutschland zu entscheiden. Obwohl die Rechtslage in Österreich etwas anders ist, hat diese Entscheidung auch hier Auswirkungen auf die Verwendung von Daten von Kreditauskunfteien. Aufgrund der DSGVO ist Kreditscoring nämlich nur eingeschränkt möglich.
Schlechtes Kreditscoring führte zur Ablehnung des Kredits
In einem Ausgangsfall hatte eine Bankkundin einen Kredit beantragt. Der Antrag wurde von der Bank abgelehnt. Die Kundin wandte sich im Anschluss an die Schufa, die bekannteste deutsche Kreditauskunftei, und beantragte Auskunft über die gespeicherten Daten und die Löschung, da die Daten aus ihrer Sicht unrichtig seien. Die Schufa berief sich auf § 31 BDSG. Eine direkte Entsprechung zu dieser Vorschrift gibt es im österreichischen Recht nicht - die Vorschrift erlaubt Kreditscoring in gewissen Grenzen. Außerdem berief sich die Schufa darauf, dass von ihr nur der sogenannte Scorewert berechnet werden würde. Alle Entscheidungen zur Kreditvergabe treffe die Bank. Der EuGH hielt fest, dass "Entscheidung" weit auszulegen sei. Es kommt also nicht darauf an, ob die Bank oder die Schufa letztlich der Entscheidungsträger ist.
Ob ein Scoring für einen Kredit im Einzelfall zulässig ist, bestimmt sich nach Art 22 Abs 2 bis 4 DSGVO. Ob § 31 BDSG eine taugliche Rechtsgrundlage darstellt, muss das vorlegende Gericht (in dem Fall das Verwaltungsgericht Wiesbaden) entscheiden.
Weiters ist zu beachten, dass eine Speicherung von Daten, über die Speicherdauer öffentlicher Register hinaus, nicht zulässig ist. Die Schufa hatte nämlich die Daten zur Restschuldbefreiung länger gespeichert als im Insolvenzregister. Schließlich haben diese Daten auch existenzielle Bedeutung für die Betroffenen.
Bedeutung der Vorgaben der DSGVO für Kreditscoring in Österreich
Auch aus österreichischer Sicht sind die Entscheidungen interessant. Zwar gibt es keine Entsprechung zum § 31 BDSG, sodass nicht darüber nachgedacht werden muss, ob eine Norm des nationalen Rechts den europarechtlichen Vorgaben entspricht, aber es kommen auch bei österreichischen Banken Kreditscorings zum Einsatz. Kreditauskunfteien dürfen keineswegs ewig historische Daten vorhalten, die in öffentlichen Registern gar nicht mehr verfügbar sind. Kreditauskunfteien sind zwar in § 152 GewO geregelt, dieser enthält aber nur rudimentäre Regelungen.
Einen Anknüpfungspunkt gibt es lediglich in § 7 VKrG (Vebraucherkreditgesetz). Banken sind gesetzlich verpflichtet, die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen zu prüfen (§ 7 Abs 1 VKrG). Diese Informationen können vom Verbraucher selbst oder aus Datenbanken stammen. § 7 Abs 4 VKrG geht in seinem Wortlaut davon aus, dass ein Kreditantrag aufgrund einer Datenbankabfrage abgelehnt wird und in diesem Fall der Verbraucher zu informieren ist. Die Vorschrift lässt aber Normen der DSGVO unberührt. Daher kann die Vorschrift nicht so verstanden werden, dass eine Abfrage allein zur Ablehnung führt. Wenn die Abfrage aber einen der Gründe darstellt, weswegen die Ablehnung erfolgte, ist der Kunde hierüber zu informieren.
In diesem Zusammenhang muss also sichergestellt werden, dass nicht aus dem Scoring unmittelbar die Einräumung oder Nicht-Einräumung eines Kredits folgt, denn nur dieser Fall ist von Art 22 DSGVO tatsächlich umfasst. Kreditauskunfteien und vor allem Banken müssen ihre Prozesse hier ggf entsprechend anpassen.
Sie haben weitere Fragen im Datenschutzrecht oder Bankenrecht?
Sie benötigen Hilfe bei einer Datenschutzverletzung oder möchten sich in anderen Bereichen des Datenschutzrechts oder Bankenrechts durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf diese und weitere Rechtsgebiete spezialisiert. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.
Quellen:
EuGH, C‑26/22 und C‑64/22
EuGH, C‑634/21