SCHUFA-Scoring-Urteil des EuGH: Was es für KI-Nutzer bedeutet

Das Wichtigste in Kürze: Der Europäische Gerichtshof hat am 7. Dezember 2023 in der Rechtssache C-634/21 entschieden, dass das automatisierte Scoring durch Auskunfteien wie die SCHUFA eine automatisierte Einzelentscheidung nach Art. 22 DSGVO darstellt -- sofern sich ein Dritter (z. B. eine Bank) maßgeblich auf den Score-Wert stützt. Das Urteil hat fundamentale Konsequenzen weit über das klassische Kredit-Scoring hinaus: Jedes KI-System, das Entscheidungen über Menschen vorbereitet oder beeinflusst, muss die strengen Anforderungen des Art. 22 DSGVO erfüllen. Ein bloßer „Human in the Loop" reicht nicht mehr als Rechtfertigung. Unternehmen, die KI-gestütztes Scoring, Profiling oder automatisierte Vorauswahl einsetzen, müssen jetzt handeln.

Am 7. Dezember 2023 hat der EuGH ein Urteil gefällt, das die Rechtslandschaft für automatisierte Entscheidungssysteme in Europa grundlegend verändert. Was als Streit einer Privatperson mit der SCHUFA begann, ist zu einer Leitentscheidung für den gesamten Bereich der KI-gestützten Entscheidungsfindung geworden. Wer heute KI-Systeme einsetzt, die Menschen bewerten, klassifizieren oder über sie entscheiden, muss dieses Urteil kennen.

Der Fall: Wie eine SCHUFA-Auskunft vor den EuGH kam

Der Sachverhalt

Eine Verbraucherin in Deutschland beantragte einen Kredit, der abgelehnt wurde. Die Bank stützte ihre Entscheidung maßgeblich auf den SCHUFA-Score -- einen Wahrscheinlichkeitswert, der die Kreditwürdigkeit einer Person auf einer Skala ausdrückt. Die Betroffene wandte sich an die SCHUFA und verlangte Auskunft darüber, welche Daten in die Berechnung eingeflossen waren und wie der Score zustande kam. Die SCHUFA teilte ihr den Score-Wert und allgemeine Informationen zur Berechnungsmethode mit, verweigerte aber die Offenlegung der konkreten Berechnungslogik -- unter Verweis auf das Geschäftsgeheimnis.

Die Betroffene legte Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ein. Dieser sah keinen Verstoß, weil die SCHUFA selbst keine Entscheidung über die Kreditvergabe treffe -- das tue allein die Bank.

Der Weg zum EuGH

Das Verwaltungsgericht Wiesbaden, vor dem die Betroffene gegen den HBDI klagte, legte die Sache dem EuGH vor. Die zentrale Frage: Stellt die Erstellung eines Score-Werts durch eine Auskunftei bereits eine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 DSGVO dar -- auch wenn die eigentliche Kreditentscheidung formal durch einen Menschen bei der Bank getroffen wird?

Zusätzlich fragte das Gericht, ob die damals geltende deutsche Regelung in § 31 BDSG a. F. (Bundesdatenschutzgesetz, alte Fassung) das Scoring durch Auskunfteien von den Anforderungen des Art. 22 DSGVO ausnehmen durfte.

Warum die SCHUFA als Testfall so bedeutsam ist

Die SCHUFA verfügt über Daten zu rund 68 Millionen natürlichen Personen und rund 6 Millionen Unternehmen in Deutschland. Ihr Scoring beeinflusst täglich Kreditvergaben, Mietvertragsabschlüsse, Mobilfunkverträge und Versicherungsentscheidungen. Die Berechnungsmethode basiert auf statistisch-mathematischen Verfahren, die eine Form des automatisierten Profilings im Sinne von Art. 4 Nr. 4 DSGVO darstellen. Was der EuGH für die SCHUFA entscheidet, gilt erst recht für KI-gestützte Scoring-Systeme, die noch komplexere und intransparentere Algorithmen verwenden.

Was hat der EuGH entschieden?

Das Urteil enthält drei zentrale Feststellungen, die jede für sich weitreichende Folgen hat.

1. Score-Wert = automatisierte Einzelentscheidung nach Art. 22 DSGVO

Der EuGH hat klargestellt, dass die Erstellung eines Score-Werts durch eine Auskunftei selbst schon eine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 DSGVO darstellt -- und zwar dann, wenn ein Dritter (z. B. eine Bank) diesen Score-Wert maßgeblich zur Grundlage seiner eigenen Entscheidung macht.

Art. 22 Abs. 1 DSGVO bestimmt:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung -- einschließlich Profiling -- beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt."

Der Gerichtshof legte den Begriff „Entscheidung" weit aus: Es kommt nicht darauf an, dass die Auskunftei selbst die finale Entscheidung (Kreditvergabe ja/nein) trifft. Entscheidend ist, dass der Score-Wert als maßgeblicher Zwischenschritt die Entscheidung des Dritten determiniert. Wenn eine Bank den Kreditantrag primär wegen eines schlechten SCHUFA-Scores ablehnt, ist der Score selbst die eigentliche Entscheidung -- die Bank vollzieht sie nur noch.

2. „Human in the Loop" schützt nicht automatisch vor Art. 22

Dies ist die wohl wichtigste Erkenntnis für den KI-Bereich: Der EuGH hat dem Argument eine Absage erteilt, dass Art. 22 DSGVO nicht greift, solange ein Mensch formal die letzte Entscheidung trifft. Der Gerichtshof betonte, dass der Schutzzweck von Art. 22 DSGVO unterlaufen würde, wenn Unternehmen die Vorschrift dadurch umgehen könnten, dass sie die automatisierte Entscheidungsfindung auf einen Vordienstleister (die Auskunftei) auslagern und die finale Entscheidung formal durch einen Mitarbeiter abzeichnen lassen.

Ein „Human in the Loop" schützt also nur dann vor der Anwendung von Art. 22, wenn der Mensch die automatisiert erzeugte Empfehlung tatsächlich eigenständig prüft, hinterfragt und gegebenenfalls abweicht -- nicht aber, wenn er den Score-Wert faktisch ungeprüft übernimmt.

3. Nationales Recht kann Art. 22 DSGVO nicht aushebeln

Der EuGH hat festgestellt, dass § 31 BDSG a. F. nicht als wirksame Rechtsgrundlage für das Scoring durch Auskunfteien dienen konnte. Die Vorschrift erlaubte das Scoring unter bestimmten Bedingungen, ohne die strengen Anforderungen des Art. 22 Abs. 2 und 3 DSGVO (Einwilligung oder gesetzliche Erlaubnis mit angemessenen Schutzmaßnahmen) vollständig umzusetzen. Der Gerichtshof stellte klar, dass die DSGVO als europäische Verordnung unmittelbar gilt und mitgliedstaatliche Regelungen, die den Schutz des Art. 22 absenken, unionsrechtswidrig sind.

Der deutsche Gesetzgeber hat darauf reagiert: § 31 BDSG wurde durch das Erste Gesetz zur Änderung des Bundesdatenschutzgesetzes am 26. März 2024 aufgehoben. Scoring durch Auskunfteien unterliegt seither vollständig den Anforderungen des Art. 22 DSGVO.

Warum ist dieses Urteil so wichtig für KI?

Das SCHUFA-Urteil geht weit über das klassische Kredit-Scoring hinaus. Es definiert den rechtlichen Rahmen für jede Form der automatisierten Bewertung und Entscheidungsvorbereitung durch KI-Systeme neu. Hier sind die fünf wichtigsten Konsequenzen.

1. KI-gestütztes Scoring und Profiling fällt unter Art. 22

Wenn bereits ein vergleichsweise einfaches statistisches Scoring-Verfahren wie das der SCHUFA als automatisierte Einzelentscheidung qualifiziert wird, gilt dies erst recht für komplexere KI-Modelle. Machine-Learning-Algorithmen, die Bewerberprofile bewerten, Versicherungsrisiken einschätzen oder Kunden klassifizieren, sind von der Logik des Urteils zweifelsfrei erfasst.

Profiling im Sinne von Art. 4 Nr. 4 DSGVO umfasst jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, bestimmte persönliche Aspekte einer Person zu bewerten -- insbesondere die Analyse oder Vorhersage von Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel. Nahezu jedes KI-System, das personenbezogene Daten auswertet, um Prognosen oder Bewertungen über Personen zu erstellen, führt ein Profiling durch.

2. „Human in the Loop" allein reicht nicht

Viele Unternehmen setzen auf ein einfaches Konzept: Die KI gibt eine Empfehlung, ein Mensch entscheidet. Das SCHUFA-Urteil zeigt, dass dieses Modell nur dann vor Art. 22 DSGVO schützt, wenn der menschliche Entscheider eine echte, qualifizierte Prüfung vornimmt.

In der Praxis bedeutet das: Wenn ein HR-Mitarbeiter 200 KI-bewertete Bewerbungen am Tag sichten soll und faktisch nur die Top-30-Empfehlungen der KI weiterleitet, liegt eine automatisierte Einzelentscheidung vor -- unabhängig davon, ob formell ein Mensch auf „Weiterleiten" klickt. Der „Human in the Loop" muss über die Kompetenz, die Zeit und die Informationen verfügen, um die KI-Empfehlung tatsächlich kritisch zu hinterfragen und begründet abzuweichen.

3. Transparenzpflichten auch für vorbereitende KI-Entscheidungen

Art. 22 Abs. 3 DSGVO verlangt, dass der Verantwortliche angemessene Maßnahmen trifft, um die Rechte und Freiheiten der betroffenen Person zu schützen -- mindestens das Recht auf Eingreifen einer Person, das Recht auf Darlegung des eigenen Standpunkts und das Recht auf Anfechtung der Entscheidung.

Für KI-Systeme folgt daraus: Auch wenn das KI-System „nur" eine Vorauswahl trifft oder eine Empfehlung ausspricht, müssen die betroffenen Personen darüber informiert werden, dass eine automatisierte Verarbeitung stattfindet. Dies ergänzt die allgemeinen Informationspflichten nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO, wonach bei automatisierten Einzelentscheidungen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen" mitzuteilen sind.

4. Auskunftsrecht über die Scoring-Logik

Der EuGH hat bekräftigt, dass betroffene Personen ein Recht auf nachvollziehbare Erklärung der Entscheidungslogik haben. Für KI-Systeme bedeutet dies: Das Argument „Das ist ein neuronales Netz, das können wir nicht erklären" (die sogenannte „Black Box"-Problematik) ist keine rechtlich tragfähige Verteidigung. Unternehmen müssen in der Lage sein, die wesentlichen Faktoren und deren Gewichtung in verständlicher Form darzulegen -- auch wenn die vollständige mathematische Formel als Geschäftsgeheimnis geschützt sein mag.

In der Praxis erfordert dies den Einsatz von Explainable AI (XAI) -- also Methoden, die die Entscheidungen eines KI-Modells nachvollziehbar machen. Techniken wie SHAP-Werte (Shapley Additive Explanations) oder LIME (Local Interpretable Model-agnostic Explanations) können helfen, die Einflussfaktoren einer konkreten Einzelentscheidung offenzulegen.

5. Automatisierte HR-Entscheidungen besonders betroffen

Das Urteil hat besondere Brisanz für den Bereich der KI-gestützten Personalentscheidungen. Der AI Act (VO (EU) 2024/1689) stuft KI-Systeme im Beschäftigungskontext in Anhang III Nr. 4 als Hochrisiko ein -- darunter fallen insbesondere:

• KI-Systeme zur Bewerbungsvorauswahl (Screening, Ranking)
• KI-Systeme zur Leistungsbewertung
• KI-Systeme für Beförderungs- und Kündigungsentscheidungen
• KI-Systeme zur Aufgabenzuweisung auf Grundlage individueller Merkmale

Durch die Kombination aus Art. 22 DSGVO (nach der Auslegung des EuGH) und den Hochrisiko-Anforderungen des AI Act entsteht ein doppelter Regulierungsrahmen für HR-KI: Die DSGVO verlangt eine Rechtsgrundlage, Transparenz und Anfechtungsmöglichkeiten für jede automatisierte Einzelentscheidung. Der AI Act verlangt zusätzlich ein Risikomanagementsystem, eine Konformitätsbewertung, Datenqualitätsstandards, technische Dokumentation und menschliche Aufsicht.

Betroffene KI-Anwendungen und was sich ändert

Was müssen Unternehmen jetzt tun?

Das SCHUFA-Urteil erfordert konkretes Handeln. Hier sind die fünf wichtigsten Schritte, die Unternehmen jetzt umsetzen sollten.

Schritt 1: Bestandsaufnahme aller automatisierten Entscheidungssysteme

Erstellen Sie ein vollständiges Verzeichnis aller Systeme, die automatisiert Entscheidungen über Personen treffen oder vorbereiten. Berücksichtigen Sie dabei nicht nur offensichtliche KI-Systeme, sondern auch regelbasierte Automatisierungen, Scoring-Modelle und algorithmische Entscheidungshilfen. Für jedes System sollten Sie dokumentieren:

• Welche personenbezogenen Daten werden verarbeitet?
• Welche Art von Entscheidung wird vorbereitet oder getroffen?
• Wie stark beeinflusst die automatisierte Empfehlung die finale Entscheidung?
• Findet eine echte menschliche Prüfung statt?

Schritt 2: Rechtsgrundlage nach Art. 22 Abs. 2 DSGVO prüfen

Für jedes System, das unter Art. 22 DSGVO fällt, brauchen Sie eine der drei in Art. 22 Abs. 2 genannten Rechtsgrundlagen:

• Art. 22 Abs. 2 lit. a: Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich.
• Art. 22 Abs. 2 lit. b: Die Entscheidung ist aufgrund von Rechtsvorschriften der EU oder eines Mitgliedstaats zulässig (mit angemessenen Schutzmaßnahmen).
• Art. 22 Abs. 2 lit. c: Die Entscheidung beruht auf der ausdrücklichen Einwilligung der betroffenen Person.

Dokumentieren Sie die gewählte Rechtsgrundlage und die zugehörige Interessenabwägung sorgfältig.

Schritt 3: „Human in the Loop" qualifizieren

Überprüfen Sie kritisch, ob die menschliche Aufsicht in Ihren Prozessen tatsächlich substanziell ist. Stellen Sie sicher, dass die verantwortlichen Mitarbeiter:

• Zugang zu allen relevanten Informationen haben -- nicht nur zum Score-Wert, sondern auch zu den Eingangsdaten und den wesentlichen Einflussfaktoren
• Ausreichend Zeit für eine qualifizierte Prüfung haben -- wer 500 Entscheidungen pro Tag abzeichnen muss, kann nicht eigenständig prüfen
• Die Befugnis und Bereitschaft haben, von der KI-Empfehlung abzuweichen -- es darf keinen impliziten oder expliziten Druck geben, dem Score zu folgen
• Geschult sind, die Grenzen und Fehlerquellen des KI-Systems zu verstehen

Schritt 4: Transparenz- und Auskunftsprozesse einrichten

Implementieren Sie Prozesse, um die Anforderungen des Art. 22 Abs. 3 DSGVO zu erfüllen:

• Proaktive Information: Informieren Sie betroffene Personen bereits bei der Datenerhebung darüber, dass eine automatisierte Entscheidungsfindung stattfindet (Art. 13 Abs. 2 lit. f DSGVO).
• Erklärbarkeit sicherstellen: Setzen Sie Technologien ein, die die Entscheidungslogik nachvollziehbar machen (XAI). Halten Sie für jede automatisierte Einzelentscheidung eine verständliche Erklärung bereit.
• Widerspruchsverfahren: Richten Sie einen klaren Prozess ein, über den betroffene Personen eine menschliche Überprüfung verlangen, ihren Standpunkt darlegen und die Entscheidung anfechten können.
• Reaktionszeiten: Definieren Sie verbindliche Fristen für die Bearbeitung von Widersprüchen. Die DSGVO sieht in Art. 12 Abs. 3 eine Frist von einem Monat vor.

Schritt 5: Datenschutz-Folgenabschätzung durchführen

Art. 35 Abs. 3 lit. a DSGVO schreibt eine Datenschutz-Folgenabschätzung (DSFA) ausdrücklich vor für die „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten".

Das beschreibt exakt die Situation, die der EuGH im SCHUFA-Urteil adressiert hat. Führen Sie für jedes KI-System, das unter Art. 22 DSGVO fällt, eine DSFA durch. Diese muss nach Art. 35 Abs. 7 DSGVO mindestens enthalten:

• Eine systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
• Die vorgesehenen Abhilfemaßnahmen und Sicherheitsvorkehrungen

Häufig gestellte Fragen

Betrifft das SCHUFA-Urteil nur Auskunfteien?

Nein. Das Urteil betrifft grundsätzlich alle Unternehmen, die automatisierte Bewertungen oder Entscheidungen über Personen treffen oder vorbereiten. Der EuGH hat zwar über den konkreten Fall der SCHUFA entschieden, aber die Grundsätze gelten für jedes automatisierte Scoring- und Profiling-System -- unabhängig von der Branche. KI-Systeme, die Bewerber bewerten, Versicherungsrisiken berechnen oder Kunden klassifizieren, sind gleichermaßen betroffen.

Reicht es, wenn ein Mitarbeiter die KI-Entscheidung formal bestätigt?

Nein. Der EuGH hat klargestellt, dass eine bloß formale menschliche Beteiligung nicht ausreicht, um Art. 22 DSGVO zu umgehen. Der Mensch muss die automatisiert erzeugte Empfehlung tatsächlich eigenständig prüfen, alle relevanten Informationen berücksichtigen können und die reale Möglichkeit haben, abweichend zu entscheiden. Ein „Rubber Stamping" -- also das ungeprüfte Abzeichnen einer KI-Empfehlung -- erfüllt diese Anforderung nicht.

Müssen wir die vollständige KI-Logik offenlegen?

Nicht im Detail, aber in nachvollziehbarer Form. Art. 15 Abs. 1 lit. h DSGVO verlangt „aussagekräftige Informationen über die involvierte Logik". Der EuGH hat im SCHUFA-Urteil betont, dass betroffene Personen die wesentlichen Faktoren und deren Gewichtung verstehen können müssen. Eine vollständige Offenlegung des Algorithmus oder Quellcodes ist nicht erforderlich -- wohl aber eine verständliche Erklärung, welche Datentypen in die Bewertung einfließen, wie sie gewichtet werden und welche Auswirkungen sie auf das Ergebnis haben.

Wie verhält sich das Urteil zum AI Act?

Das Urteil ergänzt den AI Act und verschärft die Anforderungen für KI-Systeme, die Entscheidungen über Personen beeinflussen. Während der AI Act (VO (EU) 2024/1689) produktbezogene Anforderungen an KI-Systeme stellt (Risikoklassifizierung, Konformitätsbewertung, technische Dokumentation), regelt Art. 22 DSGVO die verarbeitungsbezogenen Rechte der betroffenen Personen. Beide Regelwerke gelten parallel. Insbesondere für KI-Systeme, die nach Anhang III des AI Act als Hochrisiko eingestuft sind und gleichzeitig automatisierte Einzelentscheidungen nach Art. 22 DSGVO treffen, entsteht ein doppelter Pflichtenkatalog.

Welche Bußgelder drohen bei Verstößen gegen Art. 22 DSGVO?

Verstöße gegen Art. 22 DSGVO fallen unter Art. 83 Abs. 5 DSGVO und können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden -- je nachdem, welcher Betrag höher ist. Zusätzlich können betroffene Personen nach Art. 82 DSGVO Schadensersatzansprüche geltend machen. Die Aufsichtsbehörden haben nach dem SCHUFA-Urteil eine verstärkte Prüfungspraxis angekündigt, insbesondere für KI-gestützte Scoring- und Profiling-Systeme.

Fazit: Das Urteil als Wegweiser für verantwortungsvolle KI

Das SCHUFA-Scoring-Urteil des EuGH ist mehr als eine Entscheidung über Kreditauskunfteien. Es ist ein Grundsatzurteil über die Grenzen automatisierter Entscheidungsfindung in Europa. Die Botschaft ist klar: Wer KI-Systeme einsetzt, die Menschen bewerten, klassifizieren oder über sie entscheiden, muss die Rechte der Betroffenen nach Art. 22 DSGVO respektieren -- unabhängig davon, ob am Ende noch ein Mensch formal auf den Bestätigungsknopf drückt.

Für Unternehmen bedeutet das nicht, auf KI verzichten zu müssen. Es bedeutet, KI verantwortungsvoll und rechtskonform einzusetzen: mit einer soliden Rechtsgrundlage, echten menschlichen Kontrollmechanismen, transparenten Erklärungen und funktionierenden Widerspruchsverfahren.

---

Sie setzen KI-Systeme ein, die Entscheidungen über Menschen beeinflussen? Mit KI Comply schulen Sie Ihre Mitarbeiter gezielt zu den rechtlichen Anforderungen an automatisierte Entscheidungssysteme -- von Art. 22 DSGVO bis zu den Hochrisiko-Anforderungen des AI Act. Jetzt kostenlos testen und Ihre KI-Compliance auf ein solides Fundament stellen.