Hintergrund
ǀ Mehrere Datenschutzverfahren befinden sich derzeit in Vorlage beim Europäischen Gerichtshof (EuGH). In den zwei pressekundig gewordenen Entscheidungen – eine des Bundesarbeitsgerichts (BAG) und eine des Verwaltungsgerichts Wiesbaden (VG Wiesbaden) – stehen zwei verschiedene Aspekte des Datenschutzes und die Vereinbarkeit von nationalem Datenschutzrecht mit der Datenschutz-Grundverordnung (DSGVO) zur Debatte.
Die Entscheidungen des EuGH werden Auswirkungen auf künftige Bestellungen von Datenschutzbeauftragten (DSB) und die Verwendung der durch die SCHUFA ermittelten Score-Werte durch Banken haben.
Abberufung des Datenschutzbeauftragten – Aspekt der Interessenkollision, BAG vom 27. April 2021, Az. 9 AZR 383/19
Bei der BAG-Entscheidung geht es um den Betriebsratsvorsitzenden eines Konzerns, der gleichzeitig DSB bei der Konzernmutter und einigen Tochtergesellschaften war. Nachdem die Konzernmutter den DSB mit der Begründung der Interessenkollision gem. Art. 38 Abs. 4 DSGVO und damit wegen der Unvereinbarkeit von Betriebsratstätigkeit und DSB-Funktion abberief, klagte der Betriebsratsvorsitzende mit der Begründung, dass dies kein wichtiger Grund für eine Abberufung nach Datenschutz- und Zivilrecht sei. Die Vorinstanzen gaben ihm recht.
In der Revision entschied das BAG, dass zwei Dinge unterschieden werden müssen, die der EuGH nun klären soll:
- Erstens komme es auf die Frage an, ob das deutsche, strengere Bundesdatenschutzrecht (hier: §§ 38, 6 Abs. 4 BDSG) anwendbar sei und insoweit strikter als die DSGVO sein kann, die keine derartige Regelung enthält – nämlich das Vorsehen eines wichtigen Grunds für die Abberufung eines DSB. Für den Fall, dass das nationale Recht nicht strikter als die DSGVO sein kann, würde die DSGVO vorgehen.
- Es müsste dann zweitens die Frage geklärt werden, ob die Tätigkeit eines Betriebsrats(vorsitzenden) mit der eines DSB vereinbar ist oder ob hier eine Interessenkollision von Aufgaben gemäß Art. 38 Abs. 6 DSGVO vorliegt. Diese würde eine Abberufung bzw. Nichtbestellung zum DSB nach sich ziehen (können).
Man darf gespannt sein, wie der EuGH hier entscheidet. Jedenfalls wird es eine weitreichende Entscheidung sein, die Kreditinstitute und andere Unternehmen künftig bei der Auswahl und Bestellung ihrer DSB zu beachten haben.
Score-Werte der SCHUFA – Beschluss des VG Wiesbaden vom 1. Oktober 2021, Az. 6 K 788/20
Im zweiten Fall handelt es sich um ein Verfahren vor dem VG Wiesbaden, in dem zu entscheiden war, ob die Score-Werte der SCHUFA, einer privaten Wirtschaftsauskunftei, über die Kreditwürdigkeit einzelner Personen – für zum Beispiel Kreditentscheidungen bei Banken und Kreditinstituten – ohne Weiteres übernommen werden können. Geklagt hatte eine Verbraucherin, die Auskunft über die Speicherung und Löschung ihrer (falschen) Daten verlangt hatte.
Score-Werte werden anhand von besonderen persönlichen Merkmalen einer Person (z. B. Wohnort, Beruf, Alter, Konsum- und Bezahlverhalten u. v. m.) durch mathematisch-statistische Verfahren gewonnen. Aus diesen wird die künftige Zahlungsfähigkeit bzw. das Zahlungsverhalten für eine Kreditvergabe prognostiziert. Weder die Merkmale noch die mathematisch-statistischen Verfahren werden von der SCHUFA unter Verweis auf Betriebs- und Geschäftsgeheimnisse offengelegt.
Das VG Wiesbaden legte dem EuGH zwei Fragen vor:
- Fallen Score-Verfahren und -Werte und deren unkommentierte Übermittlung beispielsweise an Banken als „ausschließlich automatisierte Entscheidungen“ unter den Anwendungsbereich des Art. 22 DSGVO und wären somit verboten bzw. nur in den Ausnahmefällen des Abs. 2 zulässig, z. B. bei Einwilligung des Betroffenen oder Vorliegen eines nationalen Ausnahmetatbestands wie dem § 31 BDSG (Schutz des Wirtschaftsverkehrs, Scoring)?
- Wird die erste Frage verneint, schließe sich nach Ansicht des VG Wiesbaden die weitere Frage an, ob der § 31 BDSG, der das Scoring als Unterfall des Profilings behandelt und detailliertere Regelungen als die DSGVO enthält, der DSGVO als höherrangiger Norm widerspräche. Dies könnte den Gesetzgeber zu einer Neuregelung veranlassen.
Beide Urteile des EuGH zu den vorgelegten Fragenkomplexen werden die Entscheidungen der Fachöffentlichkeit, insbesondere aber von Kreditinstituten und anderen Unternehmen, zukünftig maßgeblich mitbestimmen. Eine Änderung des BDSG scheint nicht ausgeschlossen.
Handlungsbedarf
- Analyse, ob Interessenkollisionen in der Person des DSB im Unternehmen vorliegen können („Ämterhäufung“)
- Beobachtung der EuGH-Rechtsprechung, insbesondere im Hinblick auf die (datenschutzrechtliche) Zulässigkeit von Übernahmen extern ermittelter Score-Werte für Kreditentscheidungen sowie Vorbereitung alternativer Strategien und Verfahren