EuGH-Urteil SCHUFA-Scoring: Strengere DSGVO-Transparenzpflichten - 1

EuGH-Urteil SCHUFA-Scoring und Art. 22 DSGVO

Facebook
LinkedIn
WhatsApp

Der Europäische Gerichtshof (EuGH) stuft im EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO das SCHUFA-Scoring als automatisierte Entscheidung nach Artikel 22 DSGVO ein. Unternehmen müssen jetzt strenge Datenschutz-, Compliance- und Transparenzanforderungen erfüllen, um Datenschutzkonformität sicherzustellen und Rechtsrisiken zu vermeiden. Das Urteil hat nicht nur Auswirkungen auf klassische Bonitätsprüfungen, sondern auf sämtliche algorithmische Entscheidungen und Formen der automatisierten Entscheidungsfindung, die in Unternehmen eingesetzt werden.

 

Warum das EuGH-Urteil zum SCHUFA-Scoring für Unternehmen relevant ist

Am 7. Dezember 2023 hat der EuGH ein Urteil zum SCHUFA-Scoring gefällt, das den europäischen Datenschutz neu definiert und viele Branchen betrifft. Im Mittelpunkt steht das automatisierte SCHUFA-Scoring – die Berechnung von Bonitätswerten auf Basis personenbezogener Daten. Der EuGH stuft dieses Verfahren nun als „automatisierte Entscheidung im Einzelfall“ gemäß der DSGVO ein.
Für Unternehmen bedeutet das: Transparenzpflichten, Rechenschaftspflichten und technische Sicherheitsmaßnahmen werden deutlich verschärft. Betroffen sind nicht nur Banken und Kreditinstitute, sondern auch E-Commerce, Versicherungen, Personalabteilungen und jede Branche, in der algorithmische Entscheidungen maßgeblich Vertragsentscheidungen beeinflussen oder Scoring-Systeme DSGVO-konform ausgestaltet werden müssen.

 

SCHUFA-Scoring als automatisierte Entscheidung nach DSGVO

Das SCHUFA-Scoring ist ein statistisches Verfahren, das anhand verschiedener Daten einen Bonitätsscore berechnet. Unternehmen nutzen diesen Wert oft als Grundlage für Kreditentscheidungen, Zahlungsziele oder Vertragsabschlüsse.
Bisher wurde oft argumentiert, dass der Score nur ein vorbereitender Schritt sei und die eigentliche Entscheidung von einem Menschen getroffen werde. Der EuGH hat diese Sicht nun verworfen: Bestimmt der Score maßgeblich das Ergebnis, gilt er selbst als automatisierte Entscheidung – und fällt unter die strengen Vorgaben der DSGVO zur automatisierten Entscheidungsfindung.

 

EuGH-Urteil SCHUFA-Scoring: Der Fall OQ gegen das Land Hessen

Ausgangspunkt des EuGH-Urteils zum SCHUFA-Scoring war eine Klage einer Privatperson, der nach einem negativen Bonitätsscore ein Kredit verweigert wurde. Die SCHUFA legte nur den Score-Wert und eine grobe Erklärung der Berechnung offen, verweigerte aber Details zu Datenquellen und Gewichtungen – unter Hinweis auf Geschäftsgeheimnisse.
Der Hessische Datenschutzbeauftragte sah darin keinen Verstoß, doch das Verwaltungsgericht Wiesbaden legte dem EuGH die Frage vor, ob die Berechnung bereits eine automatisierte Entscheidung ist.
Der EuGH entschied: Ja, wenn der Score die Vertragsentscheidung faktisch bestimmt liegt eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO vor.

 

Kernaussagen zum EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO

Für die Einordnung als automatisierte Entscheidung im Sinne von Art. 22 DSGVO müssen laut EuGH-Urteil drei Kriterien erfüllt sein:

  1. Entscheidung mit rechtlichen oder erheblichen Auswirkungen
  2. Vollständige Automatisierung ohne menschliches Eingreifen
  3. Maßgeblicher Einfluss auf das Ergebnis

Damit verliert das SCHUFA-Scoring seinen rein unterstützenden Charakter und wird zur automatisierten Entscheidung im Sinne von Art. 22 DSGVO – laut dem EuGH-Urteil. Unternehmen müssen daher:

  • die Logik der Bewertungsverfahren beim SCHUFA-Scoring offenlegen
  • technische und organisatorische Maßnahmen zum Schutz Betroffener umsetzen im Sinne der DSGVO
  • Rechte wie Widerspruch und menschliches Eingreifen praktisch gewährleisten

 

Art. 22 DSGVO und neue Compliance-Pflichten

Die DSGVO-Pflichten betreffen alle Unternehmen, die Scoring- oder ähnliche Bewertungsverfahren wie die SCHUFA nutzen – auch moderne, KI-basierte Scoring-Systeme, die zunehmend auf algorithmische Entscheidungen setzen.

 

Checkliste zur Umsetzung der DSGVO-Pflichten:

  1. Datenquellen offenlegen
  2. Gewichtungen transparent machen
  3. Einfluss des Scores dokumentieren
  4. Prozesse zur Anfechtung einrichten
  5. Menschliche Prüfmechanismen integrieren

Geschäftsgeheimnisse können diese Transparenzpflichten nicht mehr vollständig aushebeln. Betroffene müssen Entscheidungen anfechten und eine menschliche Überprüfung im Sinne der DSGVO verlangen können.

 

Nationale Rechtslage beim SCHUFA-Scoring: Konflikt mit § 31 BDSG

Besonders brisant beim EuGH-Urteil zum SCHUFA-Scoring: § 31 BDSG erlaubt unter bestimmten Bedingungen den Einsatz von Wahrscheinlichkeitswerten zur Bonitätsbewertung. Der EuGH stellt jedoch klar, dass dies nicht automatisch eine automatisierte Entscheidung im Sinne der DSGVO legitimiert. Denn § 31 BDSG regelt die Nutzung von Scores, nicht aber deren automatisierte Erstellung. Sollte sich die vom Verwaltungsgericht Wiesbaden vertretene Auffassung durchsetzen, müssten Unternehmen ihre ihre Bewertungs- und Scoring-Verfahren neu ausrichten, um künftig DSGVO-konforme Scoring-Systeme sicherzustellen.

 

Risiken automatisierter Entscheidungen und Diskriminierung 

Das EuGH-Urteil zum SCHUFA-Scoring hat auch eine wichtige ethische Dimension: Der EuGH weist auf die Gefahr hin, dass automatisierte Entscheidungen gem. Art. 22 DSGVO wie beim SCHUFA-Scoring zu Diskriminierungen führen können. Solche Risiken entstehen etwa, wenn der Wohnort, der sozioökonomische Status oder Merkmale wie Alter, Geschlecht oder Herkunft in die Berechnung einfließen und zu systematischen Benachteiligungen bestimmter Gruppen führen. Unternehmen sind deshalb gefordert, Verfahren zu entwickeln, die auf statistisch validierten Methoden beruhen und Verzerrungen vermeiden. Regelmäßige Überprüfungen – sogenannte Bias-Audits – und die Schulung von Fachabteilungen in Fragen algorithmischer Fairness sind aus Sicht des EuGH zentrale Bausteine einer verantwortungsvollen Datenverarbeitung im Sinne der DSGVO. So können auch die Anforderungen des EuGH-Urteils zum SCHUFA-Scoring umgesetzt werden.

 

Auswirkungen des EuGH-Urteils auf weitere Branchen

Auch wenn der Fall zum SCHUFA-Scoring aus dem Kreditwesen stammt, betrifft das EuGH-Urteil zahlreiche weitere Bereiche. Versicherungen, Versandhändler, Personalabteilungen, Marketingabteilungen und Social-Media-Plattformen setzen zunehmend auf automatisierte Systeme, um Entscheidungen vorzubereiten oder zu treffen. Ob es um die Bewerberauswahl, die Risikoeinstufung, personalisierte Werbung oder die Filterung von Inhalten geht – immer dann, wenn diese Prozesse erheblichen Einfluss auf die Betroffenen haben, kann das Verbot automatisierter Entscheidungen aus Art. 22 DSGVO greifen. Unternehmen müssen daher sehr genau prüfen, ob ihre Systeme lediglich unterstützen oder faktisch automatisierte Entscheidungen gemäß der DSGVO treffen – wie es bei der SCHUFA der Fall war.

 

Handlungsempfehlungen für Unternehmen nach dem EuGH-Urteil zum SCHUFA-Scoring

  • Scoringverfahren inventarisieren und dokumentieren
  • Automatisierte Entscheidungen gem. Art. 22 DSGVO identifizieren
  • Datenquellen, Gewichtungen und Logik erfassen
  • Interne Richtlinien für automatisierte Entscheidungen gem. Art. 22 DSGVO erstellen
  • Echten menschlichen Eingriff in Entscheidungsprozesse integrieren

 

Fazit zum EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO

Das EuGH-Urteil zum SCHUFA-Scoring markiert einen Wendepunkt im europäischen Datenschutzrecht. Es verschiebt die Beweislast auf die Unternehmen und macht deutlich, dass automatisierte Entscheidungen gemäß der DSGVO nur unter strengen Voraussetzungen zulässig sind. Transparenz, Nachvollziehbarkeit und die Achtung der Grundrechte der Betroffenen werden zu zentralen Kriterien der rechtlichen Zulässigkeit. Für Unternehmen bedeutet das, ihre technischen Systeme und organisatorischen Abläufe anpassen zu müssen, um nicht nur DSGVO-konform, sondern auch ethisch verantwortungsvoll zu handeln. Wer jetzt handelt, kann Risiken minimieren und gleichzeitig das Vertrauen von Kunden, Partnern und Aufsichtsbehörden stärken.

 

Fragen zu DSGVO-Compliance, SCHUFA-Scoring oder automatisierten Entscheidungen?

Wenn Sie Fragen zum SCHUFA-Urteil des EuGH, zu automatisierten Entscheidungen nach Art. 22 DSGVO oder zu KI-gestützten Bewertungsverfahren haben, unterstützen wir Sie gerne. Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht beraten Sie zu Scoring-Verfahren, Transparenzpflichten und Betroffenenrechten.

Vereinbaren Sie gerne einen Beratungstermin!

❓FAQ EuGH-Urteil SCHUFA-Scoring, automatisierte Entscheidung & DSGVO

Der EuGH entschied am 7. Dezember 2023, dass das SCHUFA-Scoring eine automatisierte Entscheidung nach Art. 22 DSGVO darstellt, wenn der Score maßgeblich Vertragsentscheidungen beeinflusst. Unternehmen müssen deshalb Transparenz schaffen, Betroffenenrechte gewährleisten und menschliche Eingriffe ermöglichen.

Eine automatisierte Entscheidung liegt vor, wenn eine Entscheidung vollständig automatisiert erfolgt und rechtliche oder erhebliche Auswirkungen auf eine Person hat, ohne dass ein Mensch maßgeblich eingreift. Das EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO konkretisiert diese Voraussetzungen für Scoring-Verfahren.

Ja, aber laut dem EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO nur unter strengen Voraussetzungen. Unternehmen müssen Transparenz schaffen, menschliche Überprüfungen ermöglichen und Betroffenenrechte nach Art. 22 DSGVO umsetzen.

Ja. Das EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO betrifft alle algorithmischen und KI-gestützten Systeme, die Entscheidungen maßgeblich beeinflussen oder automatisiert treffen.

Verstöße gegen die Vorgaben aus dem EuGH-Urteil SCHUFA-Scoring Art. 22 DSGVO können zu hohen DSGVO-Bußgeldern, Untersagungen von Verfahren und erheblichen Reputationsschäden führen.

Weiterführende Themen

Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO

Datenschutz schlägt SCHUFA-Interesse

„Einmal SCHUFA, immer SCHUFA?“ Nicht mehr! Das OLG Köln hat entschieden: Bezahlte Schulden dürfen nicht jahrelang gespeichert bleiben. Datenschutz schlägt SCHUFA-Interesse – was das für Verbraucher, Kreditvergabe und Bonität bedeutet, erfahren Sie in unserem Beitrag.

Weiterlesen »
EuGH-Urteil SCHUFA-Scoring: Strengere DSGVO-Transparenzpflichten - 1

EuGH-Urteil SCHUFA-Scoring und Art. 22 DSGVO

Der EuGH stuft das SCHUFA-Scoring als automatisierte Entscheidung nach Art. 22 DSGVO ein. Unternehmen müssen Transparenz, menschliche Eingriffe und Compliance sicherstellen. Das Urteil betrifft Banken, E-Commerce, HR und alle Branchen mit algorithmischen Entscheidungen.

Weiterlesen »

*Rechtlicher Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden. 

Der Beitrag wurde am 22. Januar 2026 aktualisiert.

Änderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berücksichtigt. Bitte wenden Sie sich für eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, füllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Firma
Name(erforderlich)
Telefon
E-Mail
Nachricht *
Einwilligung(erforderlich)
Anmelden
Anmelden
Nach oben scrollen