Aufgepasst! Sascha Kremer beschäftigt sich in seinem neusten Aufsatz, in der aktuellsten Ausgabe der Computer und Recht vom Januar 2024 mit dem EuGH Urteil zur SCHUFA (C‑634/21), automatisierten Entscheidung im Einzelfall, Profiling und Scoring. Dabei zeigt er auf, welche erheblichen Feststellungen der EUGH in diesem Urteil getroffen hat und geht ausführlich auf die folgende Frage ein: Wie wirkt sich das SCHUFA-Urteil eigentlich auf die Affinitätenanalyse, Kundensegmentierung und KI aus?
I. Das Urteil des EuGH zum Schufa-Scoring – worum geht es?
Im SCHUFA-Urteil ging es zusammenfassend darum, dass der betroffenen Person kein Kredit durch seine Bank gewährt wurde, da die SCHUFA einen negativen Scorewert an das Kreditinstitut übermittelt hatte.
Weil der Antrag auf Auskunft und Löschung an die SCHUFA nach Art. 15 und 17 DSGVO keinen Erfolg hatte und die Reaktion des HDBI für die betroffene Person unbefriedigend war, wendete sich diese an das VG Wiesbaden.
Hier stellten sich allerdings einige Fragen: Ist der Anwendungsbereich von Art. 22 Abs. 1 DSGVO bereits bei der automatisierten Ermittlung eines Wahrscheinlichkeitswerts unter Einbeziehung personenbezogener Daten eröffnet, wenn dieser Wahrscheinlichkeitswert später maßgeblich für das Zustandekommen eines Vertragsverhältnisses mit einem Dritten ist? Und ist § 31 BDSG überhaupt europarechtskonform? Auf Grund der Bedeutsamkeit dieser Rechtsfragen leitete das VG Wiesbaden die Sache an den EuGH zur Vorabentscheidung weiter.
II. Was sind Scoring, Profiling und Co.?
Um vorab Klarheit über die Begrifflichkeiten zu schaffen, erläutert Sascha Kremer in seinem Aufsatz zunächst, was eigentlich hinter den Begriffen Scoring, Scorewert, Profiling und ADM steckt.
1. Das Scoring und Scorewerte:
Das Scoring wird in § 31 Abs. 1 BDSG definiert und basiert allgemein auf der Annahme, dass Personen mit vergleichbaren Merkmalen sich auch gleichartig verhalten werden.
Der Scorewert ist damit im Endeffekt ein Wahrscheinlichkeitswert, der das Verhalten einer Person aufgrund des vergleichbaren Verhaltens anderer vorauszusehen versucht.
Zurück zum Scoring: § 31 BDSG erlaubt in seinen Absätzen 1 und 2 die Verwendung des Wahrscheinlichkeitswerts. Dabei regelt Abs. 2 explizit die Verwendung zur Feststellung der Zahlungsfähig- und Zahlungswilligkeit einer Person und stellt damit einen Sonderfall dar. § 31 BDSG legt demnach fest: liegen alle Bedingung aus Abs. 1 und Abs. 2 vor, darf der Wahrscheinlichkeitswert verwendet werden. Liegen die Bedingungen nicht vor, so ist die Verarbeitung der Daten rechtswidrig, auch wenn eine Bedingung aus Art. 6 DSGVO für die Rechtmäßigkeit der Verarbeitung erfüllt ist.
2. Das Profiling:
Das Profiling ist in der Datenschutzgrundverordnung legaldefiniert in Art. 4 Nr. 4 DSGVO und es zeigt sich, letztlich ist das Scoring eine Form des Profilings.
3. Automatisierte Entscheidungen im Einzelfall:
Art. 22 Abs. 1 DSGVO regelt das sog. Automated Decision Making, kurz „ADM”, und enthält die Rechte betroffener Personen bei Entscheidungen auf Grund automatisierten Verarbeitungen, inklusive Profilings.
Grundsätzlich legt Art. 22 Abs. 1 DSGVO dabei eine harte Grenze fest. Allerdings finden sich in Art. 22 Abs. 2, Abs. 3 DSGVO drei Ausnahmen: Erforderlichkeit zur Begründung, Durchführung oder Beendigung eines Vertrags, Vorliegen einer Einwilligung der betroffenen Person oder Gestaltung durch eine Rechtsvorschrift der Union oder eines Mitgliedstaats, welcher der Verantwortliche unterliegt.
Aber welche der Ausnahmen nach Art. 22 DSGVO war im konkreten Fall einschlägig? Hier kam lediglich § 31 BDSG als nationale Rechtsvorschrift zur Rechtfertigung für die Handlung der SCHUFA in Frage. Aber ist § 31 BDSG überhaupt europarechtskonform, wenn nur er regelt, wann ein Scoring rechtmäßig und die Regeln der DSGVO damit beiseite lässt?
III. Was hat der EuGH genau entschieden?
Der EuGH entscheidet in seinem Schufa-Urteil nicht nur über einen Streitpunkt, sondern gleich über mehrere. Um für Übersichtlichkeit zu sorgen, teilt Sascha Kremer die EuGH Entscheidungen in seinem Aufsatz in drei Abschnitte ein. Dabei beginnt er zunächst mit den Entscheidungen zur Wirkung und Auslegung des Art. 22 DSGVO. Er Geht dann auf die Beantwortung der Frage ein, ob nationale Rechtsvorschriften automatisierte Entscheidungen gestatten dürfen und führt zuletzt auf, wie der EuGH zur Europarechtswidrigkeit des § 31 BDSG entschieden hat.
1. Die Wirkung und Auslegung des Art. 22 DSGVO
Zusammenfassend entscheidet der EuGH zu Art. 22 DSGVO folgendes:
- in Art. 22 Abs. 1 DSGVO findet sich ein zwingendes Verarbeitungsverbot. Dieses gilt unmittelbar, wenn alle drei Voraussetzungen vorliegen. Die Voraussetzungen erfordern: Das vorliegen einer (1) Entscheidung, welche (2) ausschließlich auf einer automatisierten Verarbeitung beruht und (3) eine Wirkung gegenüber der betroffenen Person entfaltet.
- Der Begriff der „Entscheidung“ ist weit auszulegen. Damit ist auch das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts von dem Begriff der Entscheidung und damit auch von Art. 22 Abs. 1 DSGVO erfasst.
- Das Profiling i.S.v. Art. 4 Nr. 4 DSGVO ist ein Unterfall der automatisierten Verarbeitung, sodass das Profiling immer Art. 22 Abs. 1 DSGVO unterfällt, wenn die restlichen Voraussetzungen aus Art. 22 Abs. 1 DSGVO auch vorliegen.
- Die Ablehnung eines Kredits auf Basis des Kreditscorings stellt eine erhebliche Beeinträchtigung der betroffenen Person dar.
- Bereits die Ermittlung des Wahrscheinlichkeitswerts fällt in den Anwendungsbereich des Art. 22 Abs. 1 DSGVO, zumindest wenn der Anwendende sich später „maßgeblich“ von diesem beeinflussen lässt.
2. Nationale Rechtsvorschriften zur Gestattung automatisierter Entscheidung
In Bezug auf die Frage, ob nationale Rechtsvorschriften automatisierte Entscheidungen gestatten dürfen, entschied der EuGH:
- Es dürfen keine ergänzenden Vorschriften in nationalen Regelungen für die Anwendung von Art. 6 Abs. 1 Satz 1 Buchst. a, Buchst. b oder Buchst. f DSGVO enthalten sein.
- Beim Erlass einer nationalen Vorschrift, die eine Ausnahme zu Art. 22 Abs. 1 DSGVO darstellt, müssen i.S.v. Art. 22 Abs. 2 DSGVO die Grundsätze aus Art. 5 DSGVO, sowie die in Art. 6 DSGVO enthaltenen Bedingungen erfüllt sein. Es müssen insbesondere angemessene Schutzmaßnahmen für die betroffenen Personen im Gesetz festgelegt sein.
3. Europarechtswidrigkeit von § 31 BDSG
Zuletzt ging der EuGH auf die Europarechtswidrigkeit von § 31 BDSG ein:
- Es bestehen erhebliche Zweifel, ob § 31 BDSG mit den Vorgaben aus Art. 22 Abs. 2 Buchst. b DSGVO in Einklang steht. Grund dafür ist, dass die Bedingungen für eine rechtmäßige Verarbeitung abschließend in Art. 6 DSGVO geregelt sind. Der nationale Gesetzgeber ist nicht dazu befugt eigene Rechtsgrundlagen zu erlassen, die denen der DSGVO entgegenstehen.
IV. Welche Auswirkungen hat das Urteil auf den E-Commerce?
Insbesondere auf die Anwendung von Kundensegmentierung und Affinitätsanalyse, sowie die Erstellung der Zuordnung für Affinitätsanalyse und Kundensegmentierung haben die Entscheidungen des EuGH erheblichen Einfluss.
In seinem Aufsatz erläutert Sascha Kremer zunächst, was überhaupt hinter den Begriffen Affinitätsanalyse und Kundensegmentierung steckt. Zur Kundensegmentierung sagt Kremer: „Es handelt sich … bei der Kundensegmentierung um ein Profiling mit einer dem Scoring zumindest vergleichbaren Wirkung.“ Die Affinitätsanalyse definiert er dagegen als: „Die Vorhersagen mittels der Affinitätsanalyse sind letztlich nichts anderes als ein Wahrscheinlichkeitswert dafür, ob Ereignis A auch zu Ereignis B führt oder doch eher zu Ereignis C.“
In Bezug auf die Anwendung von Kundensegmentierung und Affinitätsanalyse wirkt sich das Urteil des EuGH wie folgt aus:
Werden durch eine Art von Vorselektion Segmente oder Affinitäten zugeordnet, die die Grundrechtsausübung der betroffenen Person beschränken, kann eine erhebliche Beeinträchtigung gem. Art. 22 Abs. 1 DSGVO vorliegen, sodass der Anwendungsbereich von Art. 22 Abs. 1 DSGVO eröffnet ist.
In Bezug auf die Erstellung der Zuordnung für Affinitätsanalyse und Kundensegmentierung stellte sich der EuGH die folgende Frage:
Verlagert sich der Zeitpunkt des Anwendungsbereichs von Art. 22 Abs. 1 DSGVO vor, wenn die Ermittlung und Festlegung von Affinitätsanalyse und Kundensegmentierung durch einen Dritten und nicht durch den Verantwortlichen erfolgt? Die Antwort ist ja, wenn der Anwendende später keine eigenen Entscheidungen trifft und damit die Festlegung des Dritten maßgeblich war. Dann findet das Verbot aus Art. 22 Abs. 1 DSGVO Anwendung.
V. Welche Bedeutung hat das Urteil für KI-Systeme?
Auch auf KI-Systeme wirkt sich das Urteil des EuGH aus. Dabei ist ein KI-System vereinfacht ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann, und dass für explizite oder implizite Ziele Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das physische oder virtuelle Umfeld beeinflussen (ISO/IEC 22989:2022). Eine finale Definition im AI Act (KI Gesetz) der EU steht derzeit leider noch aus.
Da KI-Systeme grundsätzlich immer Wahrscheinlichkeitswerte ermitteln, müssen sie an Art. 22 Abs. 1 DSGVO gemessen werden, wenn sie sich auf bestimmte persönliche Aspekte einer natürlichen Person beziehen und damit Profiling betreiben. Allerdings steht auch hier fest: eine Vorverlagerung des Verbots aus Art. 22 Abs. 1 DSGVO ist nur möglich, wenn die Ermittlung oder Anwendung des Wahrscheinlichkeitswerts gegenüber der betroffenen Person eine rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt und die spätere Anwendung maßgeblich durch die vorherige Ermittlung beeinflusst ist.
VI. Fazit
Sascha Kremer erläutert in seinem Aufsatz explizit, was hinter all den Begrifflichkeiten, wie Profiling, Scoring, Affinitätsanalyse, sowie Kundensegmentierung etc. steckt. Damit arbeitet er auf verständliche, aber detaillierte Weise auf, was das EuGH-Urteil beinhaltet und welche Folgen dieses Urteil mit sich zieht. Auch erfährt man, welche Fragen trotz des EuGH-Urteils weiterhin offen bleiben. Der EuGH entschied nämlich z.B., dass die Ablehnung eines Kredits auf Grundlage des Kreditscorings eine erhebliche Beeinträchtigung der betroffenen Person darstellt, er legte jedoch nicht fest, wann eine Entscheidung überhaupt eine rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder diese in ähnlicher Weise beeinträchtigt.
Den Link zum Aufsatz finden Sie hier (Achtung: Paywall).