EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring)
Automatisierte Entscheidungen und Profiling nach Art. 22 DSGVO; Grenzen mitgliedstaatlicher Ausgestaltung nach Art. 22 Abs. 2 lit. b DSGVO; keine Vorwegnahme der Interessenabwägung.
1 Kurzübersicht
Ein Verbraucher wurde aufgrund eines SCHUFA-Scoringwerts ein Kreditantrag abgelehnt. Er verlangte unter Berufung auf Art. 15 DSGVO Informationen über die Logik des Verfahrens und eine Löschung. Das VG Wiesbaden legte dem EuGH Fragen zur Auslegung des Art. 22 DSGVO vor, insbesondere dazu, ob die Erstellung des Scorewerts durch die Auskunftei eine automatisierte Entscheidung darstellt.
2 Leitsätze
Die Erstellung eines automatisierten Wahrscheinlichkeitswerts zur Zahlungsfähigkeit einer Person durch eine Wirtschaftsauskunftei ist eine „automatisierte Entscheidung im Einzelfall" im Sinne von Art. 22 Abs. 1 DSGVO, wenn das weitere Handeln eines Dritten (hier: der Bank) maßgeblich von diesem Wert abhängt (Rn. 48 ff.).
Art. 22 Abs. 1 DSGVO enthält ein grundsätzliches Verbot; die Rechtswidrigkeit der Verarbeitung kann vom Betroffenen geltend gemacht werden, ohne dass er sich auf eine konkrete Ausnahme berufen müsste (Rn. 52).
Mitgliedstaaten dürfen zwar nach Art. 22 Abs. 2 lit. b DSGVO Sonderregelungen treffen. Sie dürfen dabei aber nicht die Ergebnisse der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO endgültig vorwegnehmen (Rn. 70).
3 Bedeutung
Die Entscheidung zeigt die Grenzen der Nutzung von Art. 6 Abs. 1 lit. f DSGVO im Bereich automatisierter Entscheidungen. Art. 6 Abs. 1 lit. f ist keine „Rechtsvorschrift" im Sinne von Art. 22 Abs. 2 lit. b DSGVO und ermächtigt daher nicht zu automatisierten Einzelentscheidungen. Eine Verarbeitung, die in Form des Profiling abläuft, aber nicht zu einer automatisierten Entscheidung im Sinne des Art. 22 DSGVO führt, ist hingegen grundsätzlich über lit. f prüfbar.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke
Bestelldaten für apothekenpflichtige Arzneimittel sind Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO; Zulässigkeit nationaler Klagebefugnisse von Mitbewerbern nach Lauterkeitsrecht.
EuGH, Urt. v. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond
Kommerzielles Interesse als berechtigtes Interesse iSd Art. 6 Abs. 1 lit. f DSGVO; Rechtmäßigkeit des Interesses; Abwägung bei Übermittlung von Mitgliederdaten an Dritte.