LG Bamberg: SCHUFA-Scoring verstößt gegen DSGVO – Was das Urteil bedeutet

Am 26. März 2025 hat das Landgericht Bamberg (Az. 41 O 749/24 KOIN) ein wegweisendes Urteil gefällt, das nicht nur Datenschützer aufhorchen lässt: Die automatisierte Bonitätsbewertung durch die SCHUFA – das sogenannte Scoring – wurde in seiner bisherigen Form für rechtswidrig erklärt.

Das Urteil beruft sich auf die Datenschutz-Grundverordnung (DSGVO), insbesondere auf Art. 22 DSGVO, und setzt damit eine bedeutende Entscheidung des Europäischen Gerichtshofs (EuGH) vom 7. Dezember 2023 konsequent in nationales Recht um. Was bedeutet das für Verbraucher, Unternehmen und Auskunfteien? Und wie sollte jetzt reagiert werden?

Der Fall: Was hat das LG Bamberg entschieden?

Im Kern ging es in dem Verfahren darum, dass ein Verbraucher sich dagegen wehrte, wie die SCHUFA Holding AG seinen sogenannten Score-Wert berechnet hatte. Dieser Score beeinflusst maßgeblich, ob jemand einen Kredit bekommt, einen Handyvertrag abschließen oder einen Mietvertrag unterschreiben kann.

Das Landgericht Bamberg urteilte:

Die SCHUFA hat gegen die DSGVO verstoßen, weil der Bonitäts-Score automatisiert und ohne ausreichende menschliche Prüfung erstellt wurde.

Die wichtigsten Punkte aus dem Urteil:

• Die automatisierte Entscheidung über die Kreditwürdigkeit eines Menschen ohne menschlichen Eingriff ist unzulässig.
• Es mangelte an Transparenz, wie der Score zustande kam.
• Die Verarbeitung personenbezogener Daten war nicht rechtmäßig im Sinne der DSGVO.
• Der Kläger erhielt 1.000 Euro immateriellen Schadensersatz gemäß Art. 82 DSGVO.

Rechtlicher Hintergrund: DSGVO und EuGH-Urteil

Art. 22 DSGVO: Automatisierte Entscheidungen

Die Datenschutz-Grundverordnung schützt Betroffene davor, dass allein aufgrund automatisierter Datenverarbeitung Entscheidungen gefällt werden, die sie rechtlich oder ähnlich erheblich betreffen. Solche Systeme sind nur zulässig, wenn:

• sie erforderlich für einen Vertrag sind,
• ausdrücklich eingewilligt wurde oder
• Rechtsvorschriften dies erlauben.

Die SCHUFA nutzt ein vollautomatisiertes Scoring-Modell, das ohne menschliches Zutun über die Kreditwürdigkeit von Personen urteilt – oft mit gravierenden Konsequenzen.

Der EuGH hatte am 7. Dezember 2023 bereits entschieden, dass genau diese Art von Scoring unter Art. 22 DSGVO fällt und daher strengen Regeln unterliegt.

Das LG Bamberg überträgt diese Vorgaben nun auf die deutsche Rechtsprechung – mit Signalwirkung für die gesamte Wirtschaft.

Was bedeutet das für Verbraucher?

a) Mehr Transparenz

Verbraucher können sich künftig auf Art. 15 DSGVO berufen und genaue Auskunft darüber verlangen, wie der Score zustande kam:

• Welche Daten wurden verwendet?
• Wie wurden sie gewichtet?
• Welche mathematischen Modelle kamen zum Einsatz?

Die Zeit der Blackbox-Scores ist vorbei.

b) Recht auf menschliche Prüfung

Wurde eine Vertragsentscheidung allein wegen eines Scores getroffen, etwa eine Kreditablehnung, können Verbraucher auf eine manuelle Prüfung bestehen. Das bedeutet:

Ein Mensch muss die Entscheidung nachvollziehen, prüfen und gegebenenfalls korrigieren können.

c) Löschung von Daten

Verbraucher haben das Recht, unzulässig gespeicherte Score-Daten löschen zu lassen (Art. 17 DSGVO). Wer ohne Rechtsgrundlage Daten verarbeitet, riskiert nicht nur Bußgelder, sondern muss auch mit gerichtlicher Löschung rechnen.

d) Schadenersatzanspruch

Wer durch ein fehlerhaftes oder rechtswidriges Scoring benachteiligt wurde, kann künftig immateriellen Schadensersatz verlangen – wie im Fall vor dem LG Bamberg.

Was bedeutet das für Unternehmen?

Auch wenn sich das Urteil auf eine Privatperson bezieht – die mittelbaren Folgen für Unternehmen sind enorm:

a) Überprüfung von Bonitätsprüfungen

Unternehmen, die Kunden oder Geschäftspartner auf ihre Bonität prüfen, etwa:

• Banken
• Versicherungen
• Telekommunikationsanbieter
• Online-Händler

… müssen jetzt sicherstellen, dass sie keine vollautomatisierten Scorings ohne menschliche Prüfung nutzen.

b) Vertragsprüfung mit Auskunfteien

Wer mit SCHUFA, CRIF Bürgel, Creditreform & Co. zusammenarbeitet, sollte seine Verträge genau prüfen:

• Werden die Daten DSGVO-konform verarbeitet?
• Findet eine menschliche Entscheidung statt?
• Ist die Betroffeneninformation transparent?

c) Haftungsrisiko

Unternehmen haften bei Datenschutzverstößen – auch bei fehlerhaftem Scoring durch Dritte. Das LG Bamberg-Urteil macht deutlich:

Wer blind auf ein automatisiertes Ergebnis vertraut, handelt grob fahrlässig.

Bonitätsbewertung bei Unternehmen: Auch Geschäftsführer betroffen?

Spannend: Auch die Bonitätsprüfung juristischer Personen kann problematisch sein – wenn personenbezogene Daten einfließen.

Beispiele:

• Der Geschäftsführer einer GmbH wird in das Unternehmens-Scoring einbezogen.
• Die private Kreditwürdigkeit eines Gesellschafters beeinflusst den Score des Unternehmens.

Folge: Auch hier kann Art. 22 DSGVO greifen – und eine menschliche Überprüfung wird notwendig. Unternehmen sollten:

• ihre Bewertungssysteme auf personenbezogene Daten prüfen,
• Transparenz sicherstellen,
• ihre Bewertungsmodelle dokumentieren.

Fazit: Ein Urteil mit Signalwirkung

Das Urteil des LG Bamberg bringt frischen Wind in den Datenschutz – und setzt klare Grenzen für algorithmische Entscheidungen.

Für Verbraucher bedeutet es:
Mehr Rechte, mehr Transparenz, mehr Kontrolle.

Für Unternehmen heißt es:
Umschalten auf DSGVO-konforme Prozesse, sonst drohen Haftung, Bußgelder und Klagen.

Unsere Empfehlung:
Nehmen Sie dieses Urteil zum Anlass, Ihre Bonitätsprüfungen rechtlich und technisch auf den Prüfstand zu stellen – bevor es die Aufsichtsbehörde oder ein Gericht tut.