Puan: Adalet Divanı önünde Schufa ve Avrupa veri koruması
Klasik kredi bürosu iş modeli, Avrupa Genel Veri Koruma Yönetmeliği (GDPR) günlerinde baskı altındadır. Sektör, Lüksemburg’da Avrupa Adalet Divanı’nda (AAD) Perşembe günü başlayan iki davayı hevesle izliyor. Bu, Alman Schufa, rezil “skor” ve kredi kuruluşlarının hassas verileri gerçekte ne kadar süre tutabileceği sorusuyla ilgili.
İlk prosedür, Schufa puanına dayalı bir başvurunun reddedilmesinin GDPR’nin 22. Maddesi tarafından yasaklanan otomatik bir karar teşkil edip etmediği sorusuyla ilgilidir. Başka bir prosedürde, Avrupa Adalet Divanı yargıçlarının, kredi kuruluşlarının kişisel bir iflas davasından sonra bir kişinin ödenmemiş borcunun ödenmesine ilişkin bir kaydı ne kadar süreyle tutabileceklerini netleştirmesi bekleniyor. Kamu borçlu sicilleri bu özelliği altı ay sonra silerken, Schufa’da bir kişinin veri sicilinde üç yıla kadar kalır.
Otomatik puanlama
Birisi kredi çekmeden, belirli vadeli bir sözleşmeye girmeden veya hesaba çevrimiçi sipariş vermeden önce, bankalar veya tüccarlar ve ayrıca telekomünikasyon hizmetleri veya enerji tedarikçileri genellikle Schufa gibi kredi kuruluşlarından kredi değerliliği bilgilerini (kredi puanı) ister. bu kişi. Schufa daha sonra veritabanındaki tüm ilgili girişlere ek olarak “Puan” adlı bir değer gönderir. Bu, müşterinin ödeme yükümlülüklerini yerine getirme olasılığını veya bir temerrüt riski olup olmadığını yansıtmalıdır.
Kredi büroları, puan değerlerinin hesaplanmasını ticari sır olarak yaparlar. Schufa, puanın veri tabanlarındaki girişlerden hesaplandığını, bu nedenle puanın en azından borç verenin karar verme sürecine katkıda bulunduğunu ve cep telefonu anlaşmalarında, puan çok düşükse bazen bir siparişin reddedildiğini söylüyor.
İlk durumda, düşük Schufa puanı nedeniyle bankası tarafından kredisi reddedilen bir tüketici, başlangıçta Schufa’dan bilgi istedi. Ayrıca Schufa’dan söz konusu girişi silmesini istedi. Ancak Schufa’nın skoru hesaplamak için verdiği genel bilgiler onun için yeterli değildi. Bu nedenle, Hessian Veri Koruma ve Bilgi Özgürlüğü Komiseri’ne (HBDI) şikayette bulundu – Schufa’nın merkezi Wiesbaden’de. Schufa’nın çalışma şeklinin federal veri koruma yasasına uygun olduğunu ve bunu ihlal ettiğine dair hiçbir belirti olmadığını savundu.
Davacı daha sonra Wiesbaden’deki yetkili idare mahkemesinde (VG) dava açtı. Yargılama sırasında İdare Mahkemesi, temel açıklamalar için Adalet Divanına başvurma hakkını kullanmıştır. Özellikle, Lüksemburg’daki hakimler, Schufa’nın GDPR’nin 22(1) Maddesi kapsamındaki otomatik karar yasağını ihlal edip etmediğine karar vermelidir.
Schufa: Biz sadece değer sunuyoruz
Schufa gibi kredi büroları, yalnızca başvuran bir şirkete ilettikleri bir kredi değerliliği rakamı belirlediklerini iddia ediyor. Bu daha sonra, etkilenen müşterilerinden aldığı ek verilere dayanarak karar verir. VG Wiesbaden, birçok şirketin fiili olarak Schufa tarafından otomatik olarak belirlenen puana göre karar verdiğine veya en azından belirleyici bir rol oynadığına karşı çıktı.
Prosedür, GDPR’nin 15. Maddesi kapsamındaki bilgi edinme hakkını da dolaylı olarak etkiler: şu anda veri sahipleri, karar vermek için kullandıkları prosedür hakkında yalnızca bankalarından veya perakendecilerinden bilgi talep edebilir. Ancak bu noktada, Schufa puanlama formülünü herkese açık yapmadığından, bunların kısmen veya tamamen eşleşmesi gerekir. Federal Adalet Divanı bunu 2014 yılında doğruladı.
Ayrıca, Schufa lehine bir karar verilmesi durumunda VG Wiesbaden, çalışmalarının profil çıkarma olup olmadığını bilmek ister – bu durumda, yasa koyucunun bu durumda önceliği olduğundan Federal Veri Koruma Yasasının (BDSG) değiştirilmesi gerekebilir. Avrupalı.
Ödenmemiş borç erteleme için tutma süresi
Federal Adalet Divanı’nın şu anda benzer şekilde müzakere ettiği ikinci Adalet Divanı prosedürü, kişisel iflaslardan sonra ödenmemiş borç erteleme verilerinin silinme dönemleriyle ilgilidir. Her vatandaş bu özel iflasları kamu borçluları listelerinde görebilir. Özel iflas işlemleri, örneğin ödenmemiş borcun tasfiyesi ile sonuçlandırılırsa, bölge mahkemeleri kaydı altı ay sonra iptal eder. Sorun: GDPR herhangi bir son tarih belirtmiyor. Schufa, bunları Alman kredi kuruluşları arasındaki gönüllü bir anlaşma temelinde üç yıl daha tutar ve skora dahil eder.
Alt örnekler – özellikle VG Wiesbaden ve OLG Schleswig – 2021’de bağımsız olarak bunun kabul edilemez olduğuna karar verdi. Onlara göre, GDPR’nin 17(1) Maddesi, bu girişlerin aynı anda silinmesini gerektiriyor. Buna göre, bir kurum, işlemenin hukuka uygun olmaması, işleme amacına göre artık gerekli olmaması veya ilgili kişinin kişisel durumu nedeniyle ortadan kaldırılmasının gerekmesi durumunda verileri silmek zorundadır.
Schufa bunu, bazılarının önemli ölçüde daha uzun iptal süreleri olan (İrlanda’da 12 yıla kadar) diğer Avrupa ülkelerindeki yasal uygulamalarla karşılaştırır. Bu nedenle, bu davada temyize gitti ve bunun üzerine VG Wiesbaden, davayı ilke olarak açıklığa kavuşturmak için Adalet Divanına başvurdu.
VG Wiesbaden’in argümanları doğru olsaydı, Schufa puanlama için bir temele dayanmak zorunda kalacaktı. Puan oluşturmaya devam edebilir, ancak önemli bir değişkeni kaybeder. Sonuç, daha az itibarlı insanlara kredi verebilecekleri veya daha önce krediye erişimi olmayan, gerçekten itibarlı insanlara borç verebilecekleri puanlar olabilir.
Kararların bu yılın sonlarında veya 2024’ün başlarında çıkması bekleniyor.
(Pzt)
Haberin Sonu