Der EuGH hat in seinem Urteil vom 07.12.2023 festgestellt, dass es sich bei dem Schufa-Score um eine automatische Entscheidungsfindung im Sinne von Art. 22 DSGVO handelt. Die Folge ist, dass diese grunds?tzlich verboten ist, wenn nicht einer der engen Ausnahmetatbest?nde des Art. 22 DSGVO greift.
Nach Art. 22 Abs. 1 DSGVO hat jede Person das Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden, die eine rechtliche Wirkung oder sonstige Benachteiligung für sie zur Folge hat. Strittig war vorliegend, ob der Schufa-Score hierunter f?llt, da die Schufa selbst keine eigenen Entscheidungen trifft, sondern der Score vielmehr von Dritten genutzt wird, die anhand des Wertes eine Folge daraus ableiten. Beispielsweise kann der Wert bei der Entscheidung für die Kreditvergabe oder einen Mietvertrag eine Rolle spielen.
Der EuGH hat festgestellt, dass der Begriff der ?Entscheidung“ vorliegend weit auszulegen ist, damit der Schutzzweck der Norm erfüllt wird. Es k?nne nicht sein, dass der Schutz vor automatisierten Entscheidungen durch ein Drei-Parteien-Verh?ltnis umgangen wird. Die Erstellung des Schufascores und dessen Anwendung f?llt danach unter Art. 22 Abs. 1 DSGVO, vor allem auch da das Handeln von Dritten ma?geblich von dem Score geleitet wird und tats?chlich keine eigene Einsch?tzung der Kreditwürdigkeit der betroffenen Person erfolgt.
Soweit eine automatisierte Entscheidungsfindung dann unter den hohen Hürden des Art. 22 DSGVO zul?ssig ist, treffen den Verantwortlichen zus?tzliche Pflichten. Unter anderem muss er auch nach Art. 13 Abs. 2 lit. f DSGVO ausführlich über die involvierte Logik, sowie die Tragweite und Auswirkungen für die betroffene Person informieren. Zudem steht der betroffenen Person regelm??ig mindestens ein Recht auf eine menschliche ?berprüfung der Entscheidung, auf Darlegung des eigenen Standpunktes und Anfechtung der Entscheidung zu.
Da auch KI-Systeme ?hnlich wie Auskunfteien aktuell und zukünftig Analysen erstellen, die Entscheidungen vorbereiten, ist auch hier stets zu prüfen, inwieweit eine automatisierte Entscheidungsfindung nach oben genannten Grunds?tzen erfolgt. Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit sieht hier schon in einigen Verfahren eine ?hnliche Eingriffstiefe, beispielsweise wenn Bewerbungen durch eine KI vorsortiert werden oder Patienten bezüglich der Geeignetheit des Einschlusses in eine medizinische Studie. Für den zul?ssigen Einsatz einer KI ist es daher entscheidend, dass die Logik und Arbeitsweise der KI nachvollzogen werden kann. Die Menschen, die letztendlich die Entscheidung unter Zugrundelegung des KI-Ergebnisses treffen, müssen ausreichend Zeit und Fachkompetenz besitzen, um eine eigene Einsch?tzung vorzunehmen.
Presseerkl?rung HambBfDI: https://datenschutz-hamburg.de/news/auswirkungen-des-schufa-urteil-auf-ki-anwendungen (externer Link, ?ffnet neues Fenster)