Automatisiertes Scoring verstößt gegen Datenschutz
Das Landgericht Bamberg hat in einer aktuellen Entscheidung (Az.: 41 O 749/24) entschieden, dass die automatisierte Erstellung und Weitergabe von Bonitätsscores durch eine Auskunftei rechtswidrig ist, wenn diese ohne menschliches Zutun erfolgt und sich maßgeblich auf die wirtschaftlichen Chancen der betroffenen Person auswirkt.
Im konkreten Fall wurde der Kläger durch automatisiert generierte Wahrscheinlichkeitswerte bewertet, die Auskunft über seine Kreditwürdigkeit geben sollten. Diese sogenannten Socres wurden daraufhin an mehrere Banken auf deren Nachfrage hin übermittelt. Das Gericht sah hierin einen Verstoß gegen Art. 22 Abs. 1 DSGVO, der automatisierte Entscheidungen mit erheblicher Wirkung für die betroffene Person grundsätzlich untersagt.
Nach Ansicht des Gerichts liege eine „automatisierte Entscheidung“ bereits dann vor, wenn die Bonitätsbewertung vollständig ohne menschliches Eingreifen erstellt werde und in der Folge Einfluss auf wesentliche Lebensbereiche wie den Zugang zu Krediten nehme. Entscheidend war dabei, dass die Auskunftei die Scorewerte in einem vollständig automatisierten Verfahren erzeugt und diese sodann entgeltlich an Vertragspartner – insbesondere Banken – weitergegeben hatte. Dies sei geeignet, Kreditentscheidungen entscheidend zu beeinflussen. Dass weitere Faktoren wie Einkommen oder Vermögen ebenfalls berücksichtigt würden, ändere nichts an der rechtlichen Bewertung. Die Bonitätsscores stellen ein zentrales, wirtschaftlich relevantes Kriterium dar. Dass Banken für diese Informationen bezahlen, sei ein weiteres Indiz für deren Relevanz im Entscheidungsprozess.
Ein Rückgriff auf die in Art. 22 Abs. 2 DSGVO vorgesehenen Ausnahmen scheitere bereits daran, dass zwischen dem Kläger und der Auskunftei gar kein Vertragsverhältnis bestand. Auch eine gesetzliche Grundlage, die solch eine Verarbeitung erlauben würde, erkannte das Gericht nicht. Insbesondere § 31 BDSG sei als Ausnahmeregelung eng auszulegen und gestatte lediglich die Verwendung, nicht aber die automatisierte Berechnung eines Scores.
Auf Grundlage dieses Datenschutzverstoßes sprach das Gericht dem Kläger zudem einen immateriellen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu. Es stellte klar, dass für einen solchen Anspruch nicht nur ein Rechtsverstoß, sondern auch ein tatsächlich eingetretener Schaden erforderlich sei. Das Gericht sah diesen Schaden insbesondere in dem Kontrollverlust über personenbezogene Daten und der dadurch ausgelösten Beeinträchtigung der wirtschaftlichen Handlungsfreiheit. Die rechtswidrig übermittelten Scorewerte beeinträchtigten nachweislich die wirtschaftlichen Aussichten des Klägers. Im Unterschied zu Fällen, in denen ein Betroffener freiwillig Informationen in sozialen Netzwerken teile, läge hier ein besonders gravierender Eingriff vor, da die Daten ohne Wissen und Mitwirkung des Betroffenen generiert und übermittelt wurden.
© Juni 2025, Svea Klinger, Stefan Müller-Römer