Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Bonität entscheidet heute in Sekunden über Kredit, Wohnung oder Mobilfunkvertrag. Und doch bleibt für Betroffene oft unsichtbar, warum sie als risikoreich gelten. Was lange als technisches Hintergrundrauschen akzeptiert wurde, rückt nun ins Zentrum des Datenschutzrechts: der Schufa-Score. Gerichte und Aufsichtsbehörden schauen genauer hin, wenn Algorithmen über wirtschaftliche Teilhabe entscheiden, ohne dass nachvollziehbar erklärt wird, wie diese Entscheidungen zustande kommen.
Mit den jüngsten Urteilen auf europäischer und nationaler Ebene gerät das bisherige Selbstverständnis von Auskunfteien wie der Schufa ins Wanken. Scoring ist kein neutraler Service mehr, sondern ein rechtlich relevanter Vorgang mit klaren Transparenz- und Auskunftspflichten.
Dieser Beitrag ordnet die aktuelle Rechtslage ein, erklärt die entscheidenden Urteile und zeigt, welche Rechte Betroffene heute tatsächlich haben. Welche neuen Maßstäbe gelten für Transparenz und Auskunft?
Ausgangspunkt der aktuellen Debatte sind mehrere Verfahren, in denen Betroffene wissen wollten, wie ihr Schufa-Score zustande kommt und welche rechtlichen Folgen diese Bewertung tatsächlich auslöst. In den zugrunde liegenden Fällen führte ein negativer oder unklarer Score dazu, dass Verträge nicht abgeschlossen wurden oder wirtschaftliche Nachteile entstanden, ohne dass die Betroffenen nachvollziehen konnten, welche Daten oder Berechnungslogiken hierfür ausschlaggebend waren.
Im Zentrum stand dabei das Zusammenspiel zwischen der Schufa als Auskunftei und den Unternehmen, die den Score nutzen. Der Score wurde formal als Wahrscheinlichkeitswert dargestellt, faktisch aber als maßgebliche Entscheidungsgrundlage verwendet. Genau an diesem Punkt setzte die rechtliche Auseinandersetzung an. Die Gerichte mussten klären, ob ein solches Scoring lediglich eine unverbindliche Information darstellt oder ob es als automatisierte Entscheidung mit erheblichen Auswirkungen auf die betroffene Person einzuordnen ist.
Der Europäische Gerichtshof befasste sich dabei mit der Frage, ob das automatisierte Erstellen und Weitergeben eines Score-Werts, der regelmäßig zur Ablehnung von Verträgen führt, unter die Schutzmechanismen der DSGVO fällt. Parallel dazu beurteilten deutsche Gerichte, ob Datenschutzaufsichtsbehörden verpflichtet sind, gegen Auskunfteien einzuschreiten, wenn Betroffene keine ausreichenden Auskünfte über die Entstehung ihres Score-Werts erhalten.
Gemeinsam ist diesen Verfahren, dass sie das bisherige Verständnis von Bonitätsscoring grundlegend infrage stellen. Der Schufa-Score wird nicht mehr nur als statistische Kennzahl betrachtet, sondern als rechtlich relevanter Vorgang, der Transparenz verlangt und individuelle Rechte auslöst. Damit wurde der Grundstein für eine neue Bewertung von Scoring-Modellen gelegt, die weit über den Einzelfall hinausreicht.
Der Schufa-Score ist ein rechnerisch ermittelter Wahrscheinlichkeitswert, der ausdrücken soll, wie hoch das Risiko ist, dass eine Person ihren vertraglichen Zahlungsverpflichtungen nachkommt. Grundlage sind personenbezogene Daten, die von Vertragspartnern der Schufa gemeldet und statistisch ausgewertet werden. Der Score selbst trifft keine Entscheidung, beeinflusst aber maßgeblich, ob Banken, Vermieter oder andere Unternehmen Verträge abschließen oder ablehnen.
Rechtlich handelt es sich beim Schufa-Score um ein personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung. Er entsteht vollständig automatisiert und basiert auf einer Vielzahl von Faktoren, deren konkrete Gewichtung für Betroffene lange nicht transparent war. Gerade weil der Score im Wirtschaftsleben regelmäßig als Entscheidungsgrundlage genutzt wird, kommt ihm eine erhebliche rechtliche Bedeutung zu.
Zentraler Punkt der gerichtlichen Auseinandersetzungen war die Einordnung des Schufa-Scorings als automatisierte Entscheidung im Sinne des Datenschutzrechtes und der Datenschutz-Grundverordnung. Nach Art. 22 DSGVO unterliegen Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Auswirkungen entfalten, besonderen Schutzanforderungen.
Der Europäische Gerichtshof stellte klar, dass es nicht allein auf die formale Darstellung ankommt, sondern auf die tatsächliche Wirkung des Scorewerts. Wird ein Schufa-Score von Vertragspartnern regelmäßig und maßgeblich herangezogen, um über den Abschluss oder die Ablehnung eines Vertrags zu entscheiden, verliert er den Charakter einer bloßen Information. In diesem Fall wirkt der Score faktisch entscheidend auf die wirtschaftliche Situation der betroffenen Person ein.
Wesentlich ist dabei, dass die Bewertung vollständig automatisiert erfolgt und die betroffene Person keinen realen Einfluss auf das Ergebnis nehmen kann. Auch wenn die eigentliche Vertragsentscheidung formal von einem Dritten getroffen wird, kann das Scoring dennoch als automatisierte Entscheidung gelten, wenn der Score diese Entscheidung in der Praxis vorgibt oder prägt. Genau diese Konstellation sah der EuGH beim Schufa-Scoring als gegeben an.
Damit unterliegt das Scoring den besonderen Vorgaben der DSGVO. Betroffene haben Anspruch auf Transparenz, auf aussagekräftige Informationen zur Logik der Verarbeitung und auf einen wirksamen Schutz vor intransparenten algorithmischen Bewertungen, die ihre wirtschaftliche Handlungsfreiheit erheblich beeinflussen.
Die rechtliche Neubewertung des Schufa-Scores geht im Kern auf zwei zentrale Entscheidungen zurück, die ineinandergreifen und die Auskunfts- und Transparenzpflichten deutlich geschärft haben.
Der Europäische Gerichtshof hat mit Urteil vom 7. Dezember 2023 (Rs. C-634/21) entschieden, dass das automatisierte Erstellen eines Score-Werts durch eine Auskunftei eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO darstellen kann. Maßgeblich ist dabei nicht die formale Einordnung als Wahrscheinlichkeitswert, sondern die tatsächliche Praxis. Wird der Score von Vertragspartnern regelmäßig genutzt, um Verträge abzulehnen oder nur zu schlechteren Konditionen abzuschließen, entfaltet er eine erhebliche Wirkung auf die betroffene Person. Der EuGH stellte klar, dass Betroffene in solchen Fällen Anspruch auf weitreichende Transparenz haben und nicht mit pauschalen Erläuterungen abgespeist werden dürfen.
An diese Linie knüpft die Entscheidung des Verwaltungsgerichts Wiesbaden an. Das Gericht verpflichtete die zuständige Datenschutzbehörde, gegen die Schufa einzuschreiten, weil die erteilten Auskünfte nicht den Anforderungen der DSGVO genügten. Nach Auffassung des Gerichts müssen Betroffene nachvollziehen können, welche personenbezogenen Daten, welche Kategorien von Faktoren und welche Bedeutung diese für die konkrete Bewertung hatten. Allgemeine Hinweise auf statistische Verfahren oder Geschäftsgeheimnisse reichen dafür nicht aus. Die Datenschutzaufsicht darf sich nicht auf ein bloßes Ermessen zurückziehen, sondern ist bei festgestellten Verstößen zum Handeln verpflichtet.
Art. 15 Abs. 1 lit. h DSGVO gibt betroffenen Personen ein besonderes Auskunftsrecht, wenn ihre personenbezogenen Daten für automatisierte Entscheidungen genutzt werden. Danach besteht ein Anspruch auf aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung.
Gemeint ist keine Offenlegung des Algorithmus oder der konkreten Berechnungsformel. Die Norm verlangt jedoch eine verständliche und individuelle Erklärung, die es der betroffenen Person ermöglicht, nachzuvollziehen, warum eine bestimmte Bewertung zustande gekommen ist. Dazu gehören insbesondere die Art der verwendeten Daten, die wesentlichen Einflussfaktoren und deren Bedeutung für das konkrete Ergebnis.
Gerade beim Scoring bedeutet dies, dass allgemeine Textbausteine oder abstrakte Beschreibungen statistischer Methoden nicht ausreichen. Die Auskunft muss sich auf die konkrete Person beziehen und nachvollziehbar machen, welche Umstände ihren Score-Wert geprägt haben. Art. 15 Abs. 1 lit. h DSGVO stärkt damit gezielt die Transparenz und Kontrollmöglichkeiten gegenüber automatisierten Bewertungsprozessen.
Das Verwaltungsgericht Wiesbaden hat die Vorgaben des Europäischen Gerichtshofs konsequent aufgegriffen und auf die Praxis der Datenschutzaufsicht übertragen. Gegenstand des Verfahrens war nicht unmittelbar die Schufa selbst, sondern die Frage, ob die zuständige Datenschutzbehörde ausreichend gegen aus Sicht des Klägers unzureichende Auskünfte zum Schufa-Score eingeschritten war.
Das Gericht stellte klar, dass sich die Datenschutzaufsicht nicht auf eine zurückhaltende Rolle beschränken darf, wenn gewichtige Anhaltspunkte für einen Verstoß gegen die DSGVO vorliegen. Erhält eine betroffene Person lediglich pauschale oder abstrakte Informationen zur Funktionsweise des Scorings, genügt dies den Anforderungen an den Auskunftsanspruch nicht. In einem solchen Fall ist die Behörde verpflichtet, tätig zu werden und die Einhaltung der datenschutzrechtlichen Pflichten durchzusetzen.
Besonders deutlich betonte das VG Wiesbaden, dass Betroffene einen Anspruch auf konkrete und verständliche Informationen haben, die sich auf ihre individuelle Bewertung beziehen. Hinweise auf statistische Verfahren oder den Schutz von Geschäftsgeheimnissen rechtfertigen keine Verkürzung des Auskunftsrechts. Die DSGVO verlangt eine effektive Kontrolle automatisierter Datenverarbeitungen, und diese Kontrolle setzt voraus, dass die betroffene Person die Bewertung in ihren wesentlichen Zügen nachvollziehen kann.
Mit dieser Entscheidung wurde der Fokus deutlich verschoben. Nicht nur Auskunfteien, sondern auch Datenschutzaufsichtsbehörden stehen in der Verantwortung, Transparenz bei Scoring-Verfahren sicherzustellen. Das Urteil stärkt damit die Rechtsposition von Betroffenen und erhöht zugleich den Druck auf Aufsichtsbehörden, Beschwerden ernsthaft zu prüfen und gegebenenfalls durchzugreifen.
Die Entscheidungen von EuGH und VG Wiesbaden haben den Auskunftsanspruch gegenüber der Schufa deutlich konkretisiert und erweitert. Betroffene können sich nicht mehr mit allgemeinen Erläuterungen zur Funktionsweise des Scorings zufriedengeben, sondern haben Anspruch auf inhaltlich belastbare und personenbezogene Informationen.
Zum Auskunftsanspruch gehört zunächst die Offenlegung der konkret verarbeiteten personenbezogenen Daten, die in das Scoring eingeflossen sind. Betroffene müssen erkennen können, welche Datenbasis verwendet wurde und ob diese Daten aktuell, richtig und vollständig sind. Darüber hinaus umfasst der Anspruch Informationen über die wesentlichen Faktoren, die den Score beeinflusst haben, sowie deren Bedeutung für das individuelle Ergebnis.
Nicht verlangt wird die Preisgabe des Algorithmus oder einzelner Rechenformeln. Die Rechtsprechung stellt jedoch klar, dass der Schutz von Geschäftsgeheimnissen nicht dazu führen darf, den Auskunftsanspruch leerlaufen zu lassen. Erforderlich ist eine Erklärung, die es der betroffenen Person ermöglicht, die Logik der Bewertung im Grundsatz nachzuvollziehen und die Auswirkungen des Scores auf ihre wirtschaftliche Situation zu verstehen.
Die Schufa muss Auskünfte nun so gestalten, dass sie über abstrakte Beschreibungen hinausgehen und einen echten Erkenntnisgewinn schaffen. Der Auskunftsanspruch dient nicht nur der Information, sondern der Kontrolle automatisierter Bewertungen und eröffnet Betroffenen die Möglichkeit, fehlerhafte oder unverhältnismäßige Scoring-Ergebnisse gezielt anzugreifen.
Die Rechtsprechung stärkt Verbraucher spürbar, da sie erstmals einen effektiven Einblick in die Funktionsweise individueller Score-Werte erhalten und diese rechtlich überprüfen können. Wer etwa wegen eines negativen Scores keinen Kredit, keinen Mobilfunkvertrag oder keine Wohnung erhält, kann nun nachvollziehen, welche Faktoren dafür ausschlaggebend waren und ob diese rechtmäßig verarbeitet wurden. Zugleich steigt der Druck auf Wirtschaftsauskunfteien erheblich. Sie müssen ihre Auskunftssysteme so ausgestalten, dass individuelle, verständliche und DSGVO-konforme Erklärungen möglich sind, ohne sich pauschal auf Geheimnisschutz zurückzuziehen.
Für Unternehmen, die Schufa-Scores einsetzen, bedeutet dies ebenfalls ein Umdenken. Automatisierte Entscheidungen dürfen nicht blind übernommen werden, sondern müssen datenschutzrechtlich eingehegt und gegebenenfalls durch menschliche Prüfungen ergänzt werden. Insgesamt verschiebt sich das Kräfteverhältnis zugunsten der Betroffenen und zwingt datengetriebene Geschäftsmodelle zu mehr Transparenz, Nachvollziehbarkeit und rechtlicher Absicherung.
Die aktuellen Entscheidungen markieren einen Wendepunkt im Umgang mit Scoring-Systemen. Der Schufa-Score ist nicht länger eine intransparente Blackbox, sondern ein rechtlich überprüfbares Instrument, das sich an den Maßstäben der DSGVO messen lassen muss. Eine zentrale neue Erkenntnis liegt dabei weniger im „Ob“ der Auskunft, sondern im „Wie“: Es genügt künftig nicht mehr, abstrakte Kriterien oder statistische Kategorien zu benennen. Gefordert ist eine individuelle, nachvollziehbare Erklärung, die es Betroffenen tatsächlich ermöglicht, die Entscheidung zu verstehen und anzufechten.
Damit verändert sich auch die Rolle der Unternehmen, die solche Scores einsetzen. Sie geraten stärker in eine Mitverantwortung für die datenschutzrechtliche Zulässigkeit der Entscheidungsgrundlagen, selbst wenn die Bewertung von einer externen Auskunftei stammt. Wer automatisierte Scores ohne eigene Prüfung übernimmt, riskiert künftig nicht nur datenschutzrechtliche Beanstandungen, sondern auch Reputationsschäden und Haftungsfragen. Transparenz wird damit vom formalen Auskunftsthema zum zentralen Compliance-Faktor datenbasierter Geschäftsmodelle.
Nutzen auch Sie Scoring-Systeme, automatisierte Bewertungen oder datenbasierte Entscheidungsprozesse in Ihrem Unternehmen? Oder sind Sie als Verbraucher von einem negativen Score betroffen und fragen sich, welche Informationen Ihnen tatsächlich zustehen und wie Sie Ihre Rechte wirksam durchsetzen können?
Wir unterstützen Sie umfassend im Datenschutzrecht. Dazu zählen die Erstellung maßgeschneiderter Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte, die Abwehr von Abmahnungen und einstweiligen Verfügungen sowie die Vertretung in behördlichen Bußgeldverfahren. Wir begleiten unternehmerische Einzelmaßnahmen in der Öffentlichkeitsarbeit, beraten zu datenschutzrechtlichen Fragen im Online-Business und prüfen Vertragsbeziehungen auf DSGVO-Konformität. Darüber hinaus übernehmen wir Audits zur Datenschutz-Compliance – auch gemeinsam mit der SBS Data GmbH –, sichern internationalen Datentransfer rechtlich ab, gestalten AV-Verträge und Joint-Controller-Agreements, erstellen Einwilligungstexte und Compliance-Richtlinien und beraten zur Bestellung von Datenschutzbeauftragten. Auch Verpflichtungen von Arbeitnehmern im Datenschutz gehören zu unserem Leistungsspektrum.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?