Als privatwirtschaftliches Unternehmen sammelt die Schufa Informationen über fast alle Erwachsenen in Deutschland und urteilt über deren Kreditwürdigkeit. Doch wie ihr mächtigstes Werkzeug, der Schufa-Score, berechnet wird, bleibt ihr Geschäftsgeheimnis.

Manche Faktoren, die den Score bewegen, erscheinen allerdings absurd: So wirken sich häufige Umzüge grundsätzlich negativ auf den Score aus – egal ob Mieter:innen immer pünktlich gezahlt haben oder nicht. Und wer einen Kredit zurückzahlt, wird besser bewertet als jemand, der gar keinen Kredit nötig hat.

In dem Verfahren vor dem Europäischen Gerichtshof (EuGH) ging es aber nicht um die konkrete Gewichtung der Faktoren, sondern um die Frage, ob die automatisierte Erstellung und die Datensammelei der Schufa gegen das europäische Datenschutzrecht verstößt. Zudem musste das Gericht darüber entscheiden, ob private Wirtschaftsauskunfteien Daten aus öffentlichen Verzeichnissen auch noch speichern dürfen, nachdem sie aus diesen Verzeichnissen gelöscht worden sind.

In einem konkreten Fall aus Deutschland hatte eine Frau geklagt, die keinen Kredit bekam, weil ihr Score zu schlecht war. Sie verlangte daraufhin, den Eintrag zu löschen und ihr Zugang zu all ihren Daten zu gewähren. Dieser Art des Profilings eines Menschen hat der EuGH nun einen Riegel vorgeschoben. Laut der Datenschutz-Grundverordnung (DSGVO) sind automatisierte Einzelfallentscheidungen verboten.

Der Schufa-Score wird von vielen Banken, Telekommunikations­diensten oder Energieversorgern genutzt, um die Kreditwürdigkeit von Kund:innen einschätzen zu können. Menschen mit schlechter Bonität werden dann häufig schlechtere Vertragkonditionen angeboten als denen, die als kreditwürdiger gelten.

Die Datensammlung der Schufa geht allerdings sehr weit. Im November 2021 hatten Recherchen des NDR und der Süddeutschen Zeitung offengelegt, dass die Schufa und andere Wirtschaftsauskunfteien Handyvertragsdaten von Millionen Verbraucher:innen ohne deren Einwilligung eingeholt und gespeichert hatten. Das ist nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar.

In seinem heutigen Urteil hat der EuGH die Nutzung des Schufa-Scores wesentlich eingeschränkt. Unternehmen dürfen nicht ausschließlich auf Grundlage des automatisierten Scores entscheiden, ob sie Verträge mit Kund:innen abschließen. Das ist nur unter bestimmten Voraussetzungen zulässig.

Die Schufa selbst begrüßte in einer Erklärung das Urteil. Es sorge für Klarheit, wie die Scores in den Entscheidungsprozessen von Unternehmen im Sinne der DSGVO verwendet werden dürfen. „Das weit überwiegende Feedback unserer Kunden lautet, dass Zahlungsprognosen in Form des Schufa-Scores für sie zwar wichtig, aber in aller Regel nicht allein entscheidend für einen Vertragsabschluss sind“, teilte die Schufa nach dem Urteil mit.

Noch während des Prozesses hatte die Schufa Firmen angeschrieben, um sich bestätigen zu lassen, dass der Score nicht wesentlich für ihre Entscheidung sei.

Firmen, die den Schufa-Score nutzen, dürften ihn nach dem EuGH-Urteil nicht mehr so einsetzen, dass er eine maßgebliche Rolle im Rahmen der Kredit- oder Vertragsgewährung spielt. Das Verwaltungsgericht Wiesbaden muss nun entscheiden, ob das deutsche Bundesdatenschutzgesetz eine gültige Ausnahme von diesem Verbot ist, die im Einklang mit der Datenschutz-Grundverordnung steht.

Das Urteil könnte nicht nur Auswirkung für die Schufa und andere Auskunfteien haben, die sich jetzt überlegen müssen, wie ihre automatisierte Datensammlung in Einklang mit der DSGVO gebracht werden kann.

Auch Unternehmen, die den Schufa-Score nutzen, werden sich überlegen, ob sie ihn wie gehabt einsetzen wollen. Vor allem vollkommen automatisiert erstellte Scores, wie sie etwa bei Energieversorgern oder Mobilfunkanbietern eingesetzt werden, dürften mit dem Urteil der Vergangenheit angehören. Sie könnten aber auch dazu übergehen, die Zustimmung der Verbraucher:innen für die Einbeziehung des Scores einzuholen.

Zudem haben sich Prozessfinanzierer wie die Europäische Gesellschaft für Datenschutz (EuGD) im Vorfeld des erwarteten EuGH-Urteils bereits darauf vorbereitet, eine Prozesslawine gegen die Schufa loszutreten. Sie versprechen klagewilligen Kund:innen Schadensersatz, wenn diese ihre Ansprüche gegen die Auskunftei geltend machen wollen.

Der Hamburger Datenschutzbeauftragte hat zudem darauf hingewiesen, dass auch KI-Systeme ähnlich wie Auskunfteien eingesetzt werden, um vorbereitende Entscheidungsgrundlagen zu entwerfen, beispielsweise wenn Bewerbungen vorsortiert werden. „Wenn diese vorbereitenden Darstellungen aber auf Basis kaum nachvollziehbarer, von der KI eigenständig entwickelter Kriterien entstanden sind, ist die Nähe zur Wirkweise einer Auskunfteienbewertung im Sinne des EuGH-Urteils groß“, schreibt er. Dem Urteil entsprechend müssten solche KI-basierten Bewertungen daher aus seiner Sicht mit einer menschlichen Beurteilung verknüpft werden.

Seitdem die Datenschutzvorfälle bekannt geworden sind, versucht die Schufa, ihr Image mit einer Transparenzkampagne aufzubessern. So legte sie beispielsweise sieben wichtige Faktoren, die den Schufa-Score beeinflussen, offen. Über einen Simulator kann nun jede:r sehen, wie sich der Score verändert, wenn die Angaben in diesen sieben Kategorien verändern werden.

Außerdem hat die Schufa eine Tochterfirma, über die sie die App Bonify anbietet. Mit ihr können Nutzer:innen neuerdings ihren Basisscore bei der Schufa online einsehen. Bislang konnte man lediglich einmal im Jahr einen Papierausdruck der eigenen Schufa-Daten beantragen. Seit dem Start im Juli sollen sich bereits 80.000 Nutzer:innen bei Bonify registriert haben.

Doch die App ist umstritten. Nutzer:innen sollen der Schufa darüber einen tieferen Einblick in ihre finanzielle Lage gewähren, indem sie den Zugriff auf ihre Kontodaten erlauben. Diese Zusatzinformationen können dann zu einer besseren Kreditwürdigkeit führen.

Verbraucherschützer:innen sehen bereits den Registrierungsvorgang kritisch, weil die App dabei zur Identifikation nach dem Personalausweis oder dem Kontozugang fragt. Nutzen die Verbraucher:innen den Kontozugang zur Identifikation, gewähren sie damit dauerhaft die Einsicht in die Umsätze der letzten 90 Tage. Zwar darf die Schufa diese Daten aktuell nicht zur Bewertung der Kreditwürdigkeit nutzen, jedoch ist die größte Hürde durch die Hinterlegung der Kontodaten bereits genommen.

Die Schufa bewirbt Bonify mit dem Versprechen, die App sei eine kostenlose digitale Übersicht, wobei Nutzer:innen selbst entscheiden, welche Daten sie preisgeben. „Aber Nutzer:innen zahlen mit hochsensiblen Daten und bekommen dann vielleicht gerade keine Verträge oder Kredite mehr“, warnt etwa die Verbraucherzentrale Nordrhein-Westfalen.

Auch die Bürgerinitiative Finanzwende trommelt seit Längerem öffentlich gegen die Pläne der Schufa: Ihre Kampagne unter dem Slogan „Finger weg von unseren Bankkonten!“ wird bereits von 330.000 Menschen unterstützt. Sie finden: Die App setzt Menschen unter Druck, ihre Daten zu teilen. Wer nur mit verbesserter Bewertung Chancen auf eine Wohnung hat, habe bei der Datenweitergabe keine echte Wahl. Die Schufa hingegen gewinne auf diesem Weg wertvolles Wissen. Die Schufa selbst sieht das neue Angebot als Chance für Menschen mit schlechter Kreditwürdigkeit, ihre Bonität zu verbessern.

Im Juli dieses Jahres machte ein Hack der Bonify-App Schlagzeilen. Die Sicherheitsaktivistin Lilith Wittmann hatte auf Twitter den Bonitäts-Score von CDU-Politiker Jens Spahn veröffentlicht. Sie behauptete, durch eine Sicherheitslücke im Authentifizierungsverfahren unberechtigt Zugriff auf Mietbonitäts­bescheinigungen anderer Menschen bekommen zu haben.

Den umfassenderen Kredit-Score der Schufa, bei dem auch Handyverträge, Kredite, Kreditkarten­aktivitäten, Bankkonten und andere Daten erfasst werden, konnte sie hingegen nicht einsehen.