Der Gerichtshof der Europäischen Union (EuGH) entschied am Donnerstag (7. Dezember), dass die Entscheidungsfindung durch Scoring-Systeme, die personenbezogene Daten verwenden, rechtswidrig ist, ein Urteil, das erhebliche Spillover-Effekte für Sozialversicherungs- und Kreditauskunfteien haben könnte.
Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der EU erließ der Gerichtshof der Europäischen Union (EuGH) sein erstes Urteil zum Artikel zur automatisierten Entscheidungsfindung im Einzelfall.
„Diese Entscheidung des EuGH stellt klar, dass die DSGVO ein Verbot enthält, Menschen einer automatisierten Entscheidungsfindung mit erheblichen Auswirkungen auf sie zu unterwerfen“, erklärte Gabriela Zanfir-Fortuna, Vizepräsidentin für globale Privatsphäre beim Future of Privacy Forum, gegenüber Euractiv.
Zwischen 2018 und 2021 kam es in den Niederlanden zu einem Skandal, der schließlich zum Rücktritt der dritten Regierung von Mark Rutte führte. Grund dafür war ein fehlerhafter Risikobewertungsalgorithmus, der dazu führte, dass die Steuerbehörden Tausende von Menschen fälschlicherweise des Betrugs eines Kinderbetreuungsgeldsystems beschuldigten.
Am Donnerstag entschied das Gericht, dass jede Art automatisierter Bewertung verboten ist, wenn sie das Leben von Menschen erheblich beeinträchtigt. Das Urteil bezieht sich auf die SCHUFA, Deutschlands größte private Kreditauskunftei, die Menschen anhand eines Scores nach ihrer Bonität bewertet.
Dem Urteil zufolge verstößt das Scoring der SCHUFA gegen die DSGVO, wenn Kunden der SCHUFA – etwa Banken – ihm eine „entscheidende“ Rolle bei ihren Vertragsentscheidungen zuschreiben.
Diese Entscheidung könnte weitreichende Folgen haben. In Frankreich nutzt der Nationale Familienbeihilfefonds (CNAF) seit 2010 einen automatisierten Risikobewertungsalgorithmus, um Hausinspektionen bei potenziellem Betrugsverdacht einzuleiten.
Le Monde Und Leuchtturmberichte berichtete, dass der Data-Mining-Algorithmus des CNAF monatlich 13,8 Millionen Haushalte analysiert und bewertet, um Kontrollen zu priorisieren.
Der Data-Mining-Algorithmus von CNAF verwendet rund 40 Kriterien auf der Grundlage personenbezogener Daten, denen ein Risikokoeffizient zugeordnet wird, und bewertet alle Begünstigten jeden Monat zwischen 0 und 1. Je näher der Wert der Begünstigten bei 1 liegt, desto größer sind die Chancen auf eine Hausinspektion.
Bastien Le Querrec, Rechtsexperte der Interessenvertretung La Quadrature du Net, sagte gegenüber Euractiv: „Die Tatsache, dass der National Family Allowance Fund ein automatisches Bewertungssystem für alle seine Leistungsempfänger verwendet, und angesichts der entscheidenden Bedeutung dieser Bewertung im nachfolgenden Prozess ist diese Bewertung nach Ansicht des Quadratur des Netzeshat erhebliche Auswirkungen auf das Leben der Menschen und sollte daher in den Geltungsbereich der EuGH-Entscheidung fallen.“
Mit anderen Worten: Das Bewertungssystem wäre illegal, wenn es nicht ausdrücklich durch französisches Recht erlaubt wäre und die EU-Datenschutzvorschriften strikt eingehalten würden.
Philippe Latombe, Abgeordneter der französischen Mitte und Mitglied der französischen Datenschutzbehörde CNIL, erklärte gegenüber Euractiv, dass er den Algorithmus von CNAF lediglich für ein Risikobewertungssystem betrachte, das Menschen auf der Grundlage ihrer Daten filtere und dabei persönliche Daten manipuliere, und zwar aus Gründen des Zwecks der Organisation: der Bereitstellung von Berechtigungen Bedürftige.
„Wenn jedes einzelne Kriterium für die Betrugsbekämpfung logisch erscheint, könnte die Summe der Kriterien diskriminierend sein, wenn sie korrelieren“, fuhr Latombe fort.