EuGH-Urteil SCHUFA-Scoring: Strengere DSGVO-Transparenzpflichten - 1

EuGH-Urteil: SCHUFA-Scoring ist automatisierte Entscheidung im Sinne der DSGVO

Facebook
LinkedIn
WhatsApp

Der Europäische Gerichtshof (EuGH) stuft das SCHUFA-Scoring als automatisierte Entscheidung nach Artikel 22 DSGVO ein. Unternehmen müssen jetzt strenge Datenschutz-, Compliance- und Transparenzanforderungen erfüllen, um Datenschutzkonformität sicherzustellen und Rechtsrisiken zu vermeiden.

 

Warum das EuGH-Urteil zum SCHUFA-Scoring fĂĽr Unternehmen relevant ist

Am 7. Dezember 2023 hat der EuGH ein Urteil zum SCHUFA-Scoring gefällt, das den europäischen Datenschutz neu definiert und viele Branchen betrifft. Im Mittelpunkt steht das automatisierte SCHUFA-Scoring – die Berechnung von Bonitätswerten auf Basis personenbezogener Daten. Der EuGH stuft dieses Verfahren nun als „automatisierte Entscheidung im Einzelfall“ gemäß der DSGVO ein.
Für Unternehmen bedeutet das: Transparenzpflichten, Rechenschaftspflichten und technische Sicherheitsmaßnahmen werden deutlich verschärft. Betroffen sind nicht nur Banken und Kreditinstitute, sondern auch E‑Commerce, Versicherungen, Personalabteilungen und jede Branche, in der algorithmische Systeme maßgeblich Vertragsentscheidungen beeinflussen.

 

Hintergrund des EuGH-Urteils: SCHUFA-Scoring und DSGVO

Das SCHUFA-Scoring ist ein statistisches Verfahren, das anhand verschiedener Daten einen Bonitätsscore berechnet. Unternehmen nutzen diesen Wert oft als Grundlage für Kreditentscheidungen, Zahlungsziele oder Vertragsabschlüsse.
Bisher wurde oft argumentiert, dass der Score nur ein vorbereitender Schritt sei und die eigentliche Entscheidung von einem Menschen getroffen werde. Der EuGH hat diese Sicht nun verworfen: Bestimmt der Score maßgeblich das Ergebnis, gilt er selbst als automatisierte Entscheidung – und fällt unter die strengen Vorgaben der DSGVO.

 

EuGH-Urteil SCHUFA-Scoring: Der Fall OQ gegen das Land Hessen

Ausgangspunkt des EuGH-Urteils zum SCHUFA-Scoring war eine Klage einer Privatperson, der nach einem negativen Bonitätsscore ein Kredit verweigert wurde. Die SCHUFA legte nur den Score-Wert und eine grobe Erklärung der Berechnung offen, verweigerte aber Details zu Datenquellen und Gewichtungen – unter Hinweis auf Geschäftsgeheimnisse.
Der Hessische Datenschutzbeauftragte sah darin keinen VerstoĂź, doch das Verwaltungsgericht Wiesbaden legte dem EuGH die Frage vor, ob die Berechnung bereits eine automatisierte Entscheidung ist.
Der EuGH entschied: Ja, wenn der Score die Vertragsentscheidung faktisch bestimmt liegt eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO vor.

 

Kernaussagen des EuGH-Urteils zum SCHUFA-Scoring

FĂĽr die Einordnung als automatisierte Entscheidung im Sinne von Art. 22 DSGVO mĂĽssen laut EuGH-Urteil drei Kriterien erfĂĽllt sein:

  1. Entscheidung mit rechtlichen oder erheblichen Auswirkungen
  2. Vollständige Automatisierung ohne menschliches Eingreifen
  3. MaĂźgeblicher Einfluss auf das Ergebnis

Damit verliert das SCHUFA-Scoring seinen rein unterstützenden Charakter und wird zur automatisierten Entscheidung im Sinne von Art. 22 DSGVO – laut dem EuGH-Urteil. Unternehmen müssen daher:

  • die Logik der Bewertungsverfahren beim SCHUFA-Scoring offenlegen
  • technische und organisatorische MaĂźnahmen zum Schutz Betroffener umsetzen im Sinne der DSGVO
  • Rechte wie Widerspruch und menschliches Eingreifen praktisch gewährleisten

 

Neue Pflichten und Compliance-Anforderungen nach dem EuGH-Urteil zum SCHUFA-Scoring

Die DSGVO-Pflichten betreffen alle Unternehmen, die Scoring- oder ähnliche Bewertungsverfahren wie die SCHUFA nutzen.

 

Checkliste zur Umsetzung der DSGVO-Pflichten:

  1. Datenquellen offenlegen
  2. Gewichtungen transparent machen
  3. Einfluss des Scores dokumentieren
  4. Prozesse zur Anfechtung einrichten
  5. Menschliche PrĂĽfmechanismen integrieren

Geschäftsgeheimnisse können diese Transparenzpflichten nicht mehr vollständig aushebeln. Betroffene müssen Entscheidungen anfechten und eine menschliche Überprüfung im Sinne der DSGVO verlangen können.

 

Nationale Rechtslage beim SCHUFA-Scoring: Konflikt mit § 31 BDSG

Besonders brisant beim EuGH-Urteil zum SCHUFA-Scoring: § 31 BDSG erlaubt unter bestimmten Bedingungen den Einsatz von Wahrscheinlichkeitswerten zur Bonitätsbewertung. Der EuGH stellt jedoch klar, dass dies nicht automatisch eine automatisierte Entscheidung im Sinne der DSGVO legitimiert. Denn § 31 BDSG regelt die Nutzung von Scores, nicht aber deren automatisierte Erstellung. Sollte sich die vom Verwaltungsgericht Wiesbaden vertretene Auffassung durchsetzen, müssten Unternehmen ihre Verfahren grundlegend überarbeiten, um rechtssicher zu bleiben und die Anforderungen des EuGH-Urteils zum SCHUFA-Scoring zu erfüllen.

 

EuGH-Urteil zum SCHUFA-Scoring: Risiken von Diskriminierung und Grundrechtseingriffen

Das EuGH-Urteil zum SCHUFA-Scoring hat auch eine wichtige ethische Dimension: Der EuGH weist auf die Gefahr hin, dass automatisierte Entscheidungen gem. Art. 22 DSGVO wie beim SCHUFA-Scoring zu Diskriminierungen führen können. Solche Risiken entstehen etwa, wenn der Wohnort, der sozioökonomische Status oder Merkmale wie Alter, Geschlecht oder Herkunft in die Berechnung einfließen und zu systematischen Benachteiligungen bestimmter Gruppen führen. Unternehmen sind deshalb gefordert, Verfahren zu entwickeln, die auf statistisch validierten Methoden beruhen und Verzerrungen vermeiden. Regelmäßige Überprüfungen – sogenannte Bias-Audits – und die Schulung von Fachabteilungen in Fragen algorithmischer Fairness sind aus Sicht des EuGH zentrale Bausteine einer verantwortungsvollen Datenverarbeitung im Sinne der DSGVO. So können auch die Anforderungen des EuGH-Urteils zum SCHUFA-Scoring umgesetzt werden.

 

Auswirkungen des EuGH-Urteils zum SCHUFA-Scoring auf weitere Branchen

Auch wenn der Fall zum SCHUFA-Scoring aus dem Kreditwesen stammt, betrifft das EuGH-Urteil zahlreiche weitere Bereiche. Versicherungen, Versandhändler, Personalabteilungen, Marketingabteilungen und Social-Media-Plattformen setzen zunehmend auf automatisierte Systeme, um Entscheidungen vorzubereiten oder zu treffen. Ob es um die Bewerberauswahl, die Risikoeinstufung, personalisierte Werbung oder die Filterung von Inhalten geht – immer dann, wenn diese Prozesse erheblichen Einfluss auf die Betroffenen haben, kann das Verbot automatisierter Entscheidungen aus Art. 22 DSGVO greifen. Unternehmen müssen daher sehr genau prüfen, ob ihre Systeme lediglich unterstützen oder faktisch automatisierte Entscheidungen gemäß der DSGVO treffen – wie es bei der SCHUFA der Fall war.

 

Handlungsempfehlungen fĂĽr Unternehmen nach dem EuGH-Urteil zum SCHUFA-Scoring

  • Scoringverfahren inventarisieren und dokumentieren
  • Automatisierte Entscheidungen gem. Art. 22 DSGVO identifizieren
  • Datenquellen, Gewichtungen und Logik erfassen
  • Interne Richtlinien fĂĽr automatisierte Entscheidungen gem. Art. 22 DSGVO erstellen
  • Echten menschlichen Eingriff in Entscheidungsprozesse integrieren

 

Fazit zum EuGH-Urteil SCHUFA-Scoring

Das EuGH-Urteil zum SCHUFA-Scoring markiert einen Wendepunkt im europäischen Datenschutzrecht. Es verschiebt die Beweislast auf die Unternehmen und macht deutlich, dass automatisierte Entscheidungen gemäß der DSGVO nur unter strengen Voraussetzungen zulässig sind. Transparenz, Nachvollziehbarkeit und die Achtung der Grundrechte der Betroffenen werden zu zentralen Kriterien der rechtlichen Zulässigkeit. Für Unternehmen bedeutet das, ihre technischen Systeme und organisatorischen Abläufe anpassen zu müssen, um nicht nur DSGVO-konform, sondern auch ethisch verantwortungsvoll zu handeln. Wer jetzt handelt, kann Risiken minimieren und gleichzeitig das Vertrauen von Kunden, Partnern und Aufsichtsbehörden stärken.

 

Sie haben Fragen zum Urteil oder zu automatisierten Entscheidungen im Sinne von Art. 22 DSGVO? Unsere spezialisierten Anwälte im IT- und Datenschutzrecht beraten Sie gerne! Hier können Sie einen Termin vereinbaren.

âť“FAQ EuGH-Urteil SCHUFA-Scoring, automatisierte Entscheidung & DSGVO

Der Europäische Gerichtshof (EuGH) hat am 7. Dezember 2023 entschieden, dass das SCHUFA-Scoring eine automatisierte Entscheidung im Einzelfall nach Artikel 22 DSGVO darstellt, wenn der Score maßgeblich für Vertragsentscheidungen ist. Unternehmen müssen daher strenge Transparenz- und Datenschutzpflichten im Sinne der DSGVO erfüllen.

Das EuGH-Urteil zum SCHUFA-Scoring betrifft nicht nur Banken und Kreditinstitute, sondern auch:

  • E-Commerce
  • Versicherungen
  • Personalabteilungen (HR)
  • Marketingabteilungen
  • Social-Media-Plattformen
    Kurz: Jede Branche, in der algorithmische Systeme maßgeblich über Verträge, Angebote oder Zugang zu Leistungen entscheiden kann vom EuGH-Urteil zum SCHUFA-Scoring betroffen sein und muss entsprechende Anforderungen der DSGVO erfüllen.

Informieren Sie sich auch über weitere Pflichten der DSGVO in unserer DSGVO Sprechstunde oder unserem Webinar zum Thema DSGVO Auskunftsbegehren und Datenschutzvorfälle!

Unternehmen mĂĽssen laut dem EuGH-Urteil zum SCHUFA-Scoring:

  • Datenquellen offenlegen
  • Gewichtungen transparent machen
  • Einfluss des Scores dokumentieren
  • Prozesse zur Anfechtung von Entscheidungen anbieten
  • Menschliche PrĂĽfmechanismen in Entscheidungsprozesse integrieren

Nur so können die Anforderungen der DSGVO, insbesondere von Art. 22 DSGVO erfüllt werden.

Das EuGH-Urteil zum SCHUFA-Scoring verschärft die Transparenzpflichten im Sinne der DSGVO. Unternehmen müssen nachvollziehbar erklären können:

  • Welche Daten verwendet werden
  • Wie diese gewichtet werden
  • Welche Rolle der Score in der Entscheidung spielt

Verstöße können hohe DSGVO-Bußgelder nach sich ziehen. Schulen Sie Ihre Mitarbeiter und buchen Sie unsere DSGVO-Schulung!

Automatisierte Verfahren im Sinne von Art. 22 DSGVO bergen das Risiko von:

  • Diskriminierung (z. B. nach Alter, Geschlecht, Wohnort)
  • Fehlerhaften Bewertungen
  • Intransparenz fĂĽr Betroffene

Der EuGH empfiehlt Bias-Audits und statistisch validierte Verfahren, um Verzerrungen zu vermeiden.

WeiterfĂĽhrende Themen

Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO

Datenschutz schlägt SCHUFA-Interesse

„Einmal SCHUFA, immer SCHUFA?“ Nicht mehr! Das OLG Köln hat entschieden: Bezahlte Schulden dürfen nicht jahrelang gespeichert bleiben. Datenschutz schlägt SCHUFA-Interesse – was das für Verbraucher, Kreditvergabe und Bonität bedeutet, erfahren Sie in unserem Beitrag.

Weiterlesen »
Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO - 1

Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO

Automatisierte Entscheidungen treffen immer häufiger über unser Leben – doch was passiert im Hintergrund? Der EuGH schafft Klarheit zur Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO. Erfahre, was Unternehmen offenlegen müssen, welche Rechte Betroffene haben – und wie der Spagat zwischen Datenschutz und Geschäftsgeheimnissen gelingt. Jetzt weiterlesen!

Weiterlesen »

*Rechtlicher Hinweis

Dieser Beitrag dient ausschlieĂźlich der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Inhalte wurden mit größter Sorgfalt und nach bestem Wissen erstellt. Dennoch kann keine Gewähr fĂĽr Richtigkeit, Vollständigkeit und Aktualität ĂĽbernommen werden. 

Der Beitrag wurde am 29. Oktober 2025 aktualisiert.

Ă„nderungen der Rechtslage oder der Rechtsprechung, die nach diesem Datum erfolgt sind, sind nicht berĂĽcksichtigt. Bitte wenden Sie sich fĂĽr eine individuelle rechtliche Beratung an einen Rechtsanwalt.

Kontaktieren Sie uns!

Haben Sie Fragen oder benötigen Sie rechtliche Unterstützung? Unser Team steht Ihnen zur Verfügung!

Haben Sie eine Rechtsfrage? Dann klicken Sie hier.

Haben Sie eine allgemeine Frage, fĂĽllen Sie das Formular unten aus.

Kontaktformular

Nachricht senden

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Firma
Name(erforderlich)
Telefon
E-Mail
Nachricht *
Einwilligung(erforderlich)
Anmelden
Anmelden
Nach oben scrollen