Kreditwürdigkeitsunternehmen, die in der Europäischen Union tätig sind, könnten nach einem heutigen Urteil des Gerichtshofs (EuGH) mit strengeren Beschränkungen aufgrund der Datenschutzgesetze der Union konfrontiert sein. Die Vorlage bezieht sich auf Beschwerden gegen die Praktiken eines deutschen Kreditbewertungsunternehmens namens Schufakönnte aber für Kreditauskunfteien, die in der Region tätig sind, in der die Datenschutz-Grundverordnung (DSGVO) gilt, von größerer Bedeutung sein.
Eine Beschwerde, mit der sich der EuGH befasste, konzentrierte sich auf einen Fall der „längeren“ Datenspeicherung von Informationen im Zusammenhang mit der Erteilung einer Restschuldbefreiung durch das Kreditauskunfteiunternehmen, die nur sechs Monate lang im deutschen Insolvenzregister gespeichert werden. Allerdings sieht ein Verhaltenskodex für deutsche Auskunfteien eine Aufbewahrungsfrist von drei Jahren für die eigenen Datenbanken vor. Und die Hessische Datenschutzbehörde hatte die Beschwerde gegen die Vorratsdatenspeicherung abgewiesen; Außerdem wollte das örtliche Gericht argumentieren, dass es seine Entscheidung nicht überprüfen könne. Der EuGH war anderer Meinung.
„Das Gericht ist der Ansicht, dass es gegen die DSGVO verstößt, wenn private Agenturen solche Daten länger aufbewahren als im öffentlichen Insolvenzregister“, heißt es in einer Pressemitteilung zum Fall C-634/21 (sowie den verbundenen Rechtssachen C-26/22 und C-26/22). C-64/22). „Die Restschuldbefreiung soll dem Betroffenen den Wiedereinstieg in das Wirtschaftsleben ermöglichen und ist daher für ihn von existenzieller Bedeutung.“ Diese Informationen werden immer noch als negativer Faktor bei der Beurteilung der Zahlungsfähigkeit der betroffenen Person herangezogen. Für diesen Fall sieht der deutsche Gesetzgeber eine Datenspeicherung von sechs Monaten vor. Sie geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person Vorrang vor denen der Öffentlichkeit haben, Zugang zu diesen Informationen zu erhalten.“
„Soweit die Speicherung der Daten unrechtmäßig ist, wie dies über sechs Monate hinaus der Fall ist, hat die betroffene Person ein Recht auf Löschung der Daten und die Behörde ist verpflichtet, die Daten schnellstmöglich zu löschen“, fügte das Gericht hinzu.
Der EuGH entschied auch über eine zweite Beschwerde, die für Kreditscoring-Unternehmen ziemlich existenziell erscheint – nämlich die Frage, ob die Schufa automatisch Kreditscores ausstellen kann, da die DSGVO Schutz für Einzelpersonen bietet, die ausschließlich automatisierten Entscheidungen unterliegen, die rechtliche oder erhebliche Auswirkungen auf sie haben. Im Wesentlichen müssen sie daher möglicherweise die ausdrückliche Zustimmung der Personen zur Bonitätsprüfung einholen.
Das Gericht entschied, dass die Kreditwürdigkeitsprüfung der Schufa als „automatisierte Einzelentscheidung“ anzusehen sei, die laut Pressemitteilung „durch die DSGVO grundsätzlich verboten ist, sofern Schufa-Kunden, beispielsweise Banken, ihr eine entscheidende Rolle zuschreiben.“ die Gewährung von Krediten.“
Wenn diese Art der Bonitätsbewertung beispielsweise die Grundlage für die Entscheidung einer Bank ist, einer Einzelperson den Kredit zu verweigern, besteht die Gefahr, dass sie gegen die EU-Datenschutzvorschriften verstößt.
Allerdings wird es im konkreten Fall Sache des Verwaltungsgerichts Wiesbaden sein, zu beurteilen, ob das Bundesdatenschutzgesetz eine gültige Ausnahme von dem Verbot nach der DSGVO enthält. Und wenn ja, prüfen Sie, ob die in der DSGVO festgelegten allgemeinen Bedingungen für die Datenverarbeitung erfüllt sind – wie z. B. sicherzustellen, dass Einzelpersonen sich ihres Widerspruchsrechts bewusst sind und menschliches Eingreifen verlangen (und erhalten) können Auf Anfrage können wir Ihnen aussagekräftige Auskunft über die Logik des Bonitätsscorings geben.
„Gerichtliche Überprüfung“ von DPA-Entscheidungen
In einem weiteren wichtigen Urteil stellte der EuGH auch klar, dass nationale Gerichte in der Lage sein müssen, eine „vollständige Überprüfung“ über jede rechtsverbindliche Entscheidung einer Datenschutzbehörde auszuüben, wie es in seiner PR heißt.
Gruppe für Datenschutzrechte noybdas mehrfach mit Datenschutzbehörden in Konflikt geraten ist, weil diese Beschwerden nicht bearbeitet (geschweige denn durchgesetzt) haben, hat dies als besonders bedeutsam erachtet und es als „vollständige gerichtliche Überprüfung“ der Datenschutzbehörden bezeichnet.
„Das EuGH-Urteil hat den Druck auf die Datenschutzbehörden massiv erhöht. In einigen EU-Mitgliedsstaaten, darunter auch Deutschland, geht man bislang davon aus, dass es sich bei einer DSGVO-Beschwerde von Betroffenen lediglich um eine Art „Petition“ handelt. In der Praxis hat dies dazu geführt, dass die deutschen Datenschutzbehörden trotz eines Jahresbudgets von 100 Millionen Euro viele Beschwerden mit bizarren Begründungen abgelehnt haben und Verstöße gegen die DSGVO nicht weiter verfolgt wurden. In Ländern wie Irland wurden mehr als 99 % der Beschwerden nicht bearbeitet und in Frankreich wurde den Betroffenen jegliches Recht auf Beteiligung am Verfahren über ihre eigenen Rechte verweigert. Auch einige Datenschutzbehörden, wie im vorliegenden Fall die hessische Behörde, haben argumentiert, dass es den Gerichten untersagt sei, ihre Entscheidungen im Detail zu überprüfen“, hieß es in einer Pressemitteilung zum Urteil.
„Der EuGH hat diesem Vorgehen nun ein Ende gesetzt. Es hat entschieden, dass Artikel 77 der DSGVO als Mechanismus zum wirksamen Schutz der Rechte und Interessen der betroffenen Personen konzipiert ist. Darüber hinaus hat das Gericht entschieden, dass Artikel 78 der DSGVO den nationalen Gerichten eine umfassende Überprüfung der Entscheidungen der Datenschutzbehörde ermöglicht. Dazu gehört auch die Beurteilung, ob die Behörden im Rahmen ihres Ermessens gehandelt haben.“
Drohen auch höhere DSGVO-Bußgelder?
Die beiden bedeutenden Urteile folgen auf ein anderes, das der EuGH gestern erließ (teilweise auch durch eine erneute Verweisung eines deutschen Falles), das laut Rechtsexperten zu deutlich höheren Strafen für Verstöße gegen die DSGVO führen könnte, da es die Anforderungen für die Verhängung von Geldbußen senkt Rechtspersonen.
Während das Gericht in diesem Fall (C-807/21) entschied, dass ein rechtswidriges Verhalten für die Verhängung einer Geldbuße erforderlich ist – das heißt, dass ein Verstoß gegen die DSGVO „vorsätzlich oder fahrlässig“ begangen worden sein muss –, urteilt das Gericht ebenfalls Wenn es sich bei einem für die Verarbeitung Verantwortlichen um eine juristische Person handelt, ist es nicht erforderlich, dass der Verstoß von seinem Leitungsorgan begangen wurde, und es ist auch nicht erforderlich, dass dieses Organ Kenntnis von dem Verstoß hatte.
Sie legten außerdem fest, dass die Aufsichtsbehörde bei der Berechnung einer Geldbuße den Begriff „ein ‚Unternehmen‘ im Sinne des Wettbewerbsrechts“ zugrunde legen muss (d. h. laut PR des Gerichtshofs muss „der Höchstbetrag der Geldbuße berechnet werden“) auf der Grundlage eines Prozentsatzes des gesamten weltweiten Jahresumsatzes des betreffenden Unternehmens als Ganzes im vorangegangenen Geschäftsjahr“ – oder im Grunde genommen, dass der Umsatz einer gesamten Unternehmensgruppe zur Berechnung einer DSGVO-Strafe herangezogen werden kann ein von einer einzelnen Einheit dieser Gruppe begangener Verstoß).
Jan Spittka, Partner der Anwaltskanzlei Clyde & Co., prognostizierte, dass es zu höheren DSGVO-Bußgeldern kommen könnte. „Der Gesamtzusammenhang der Entscheidung wird es den Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten deutlich erleichtern, juristische Personen zu sanktionieren und dürfte auch zu deutlich höheren Bußgeldern im Durchschnitt führen“, hieß es in einer Stellungnahme.
„Vor dem Hintergrund dieses Standards kann nur ein detailliertes und streng überwachtes Datenschutz-Compliance-System eine juristische Person in die Lage versetzen, zu argumentieren, dass sie sich der Rechtswidrigkeit ihres Verhaltens im Hinblick auf DSGVO-Verstöße eines Mitarbeiters nicht bewusst war“, fügte er hinzu sagte. „Darüber hinaus kann sich eine juristische Person entlasten, wenn Vertreter oder Mitarbeiter völlig außerhalb ihrer Aufgabenbeschreibung handeln, z. B. wenn sie personenbezogene Daten für private Zwecke missbrauchen.“