Das Verwaltungsgerichts Wiesbaden hat sich in einem weiteren Urteile mit der Schufa beschäftigt.
Bereits am 27.09.2021 (Az. 6 K 549/21.WI) gab es ein Urteil zum SCHUFA-Negativeintrag (Löschung; Verpflichtung des HBDI zum aufsichtsbehördlichen Einschreiten). Daneben gab es mehrere Verfahren, die teilweise durch Beschlüsse eingestellt wurden.
In dem aktuellen Urteil vom 19.11.2025 (Az.: 6 K 788/20.WI) verpflichtet das VG den Hessischen Beauftragten für Datenschutz und Informationsfreiheit gegenüber der SCHUFA mit behördlichen aufsichtsrechtlichen Mitteln im gegenständlichen Fall einzuschreiten, denn diese sei einem DSGVO-Auskunftsbegehren zur Berechnung des persönlichen Bonitätsscore-Wertes einer betroffenen Person nicht umfassend nachgekommen.
Im Verfahren ging es darum, dass eine Klägerin nach einem (abgelehnten) Vertrags-/Kreditanbahnungsprozess wissen wollte, wie ihr SCHUFA-Score zustande gekommen ist und weshalb er bei ihr als erhöhtes Risiko bewertet wurde. Vor der Ablehnung hatte die SCHUFA Holding AG dieser Bank zur Klägerin einen automatisiert erstellten Bonitätsscore von 85,96 % übermittelt und dabei das Risiko eines Kreditausfalls als deutlich erhöht bis hoch eingestuft. Sie verlangte von der SCHUFA nähere, nachvollziehbare Erläuterungen zur Score-Bildung und erhielt dazu zwar mehrere Antwortschreiben, hielt diese aber für zu allgemein und nicht ausreichend nachvollziehbar.
Daraufhin legte sie Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ein und rügte eine unzureichende Auskunft nach DSGVO-Maßstäben. Der HBDI lehnte ein aufsichtsbehördliches Einschreiten gegen die SCHUFA ab, weil er die erteilten Informationen für ausreichend hielt.
Die Klägerin griff diese Ablehnung gerichtlich an und begehrte, dass der HBDI mit Aufsichtsmitteln tätig wird, damit die SCHUFA eine aussagekräftigere Auskunft über die „involvierte Logik“, Tragweite und Auswirkungen der automatisierten Score-Erstellung erteilt. Das VG Wiesbaden behandelte die Score-Erstellung als ausschließlich automatisierte Verarbeitung/Profiling-Konstellation und damit als auskunftsrelevant nach Art. 15 Abs. 1 lit. h DSGVO; Streitpunkt im Kern war also, ob die SCHUFA-Auskunft schon „verständlich und individualisiert“ genug war oder ob der HBDI ein Nachbessern anordnen muss.
Konkret drehte sich der Sachverhalt um das Informationsdefizit der Betroffenen: Welche personenbezogenen Daten bei ihr tatsächlich genutzt wurden (und welche ggf. zwar erhoben, aber nicht verwendet), wie diese Faktoren gewichtet wurden und warum das Ergebnis bei ihr als „deutlich erhöhtes bis hohes Risiko“ eingeordnet wurde.
Jeder, der schon einmal einen Ablehnung eines Kreditkartenantrages bekommen hat, kann das vermutlich nachvollziehen. Mit dem was man an Informationen von der Bank und der Schufa bekommt, kann man praktisch nichts anfangen (damit meine ich natürlich nicht die Personen, die Positiveinträge haben, aber darum geht es ja in diesem Verfahren auch nicht). Man kann ja schon gar nicht sicher sein, dass die Ablehnung überhaupt was mit dem gelieferten Score zu tun hat.
In der Sache hat das VG Wiesbaden entschieden, das der Umfang der Information, wie allgemeine und abstrakte Erklärungen, wie sie die SCHUFA der Klägerin zur Verfügung gestellt habe, nicht ausreichten. Der Anspruch aus Art. 15 Abs. 1 Buchst. h DSGVO ist daher nicht durch die der Klägerin erteilten Auskünfte erfüllt worden. Es verweist hier auch auf EuGH Urteil vom 27.02.2025 (Az.: C-203/22: Der EuGH hat in C‑203/22 (Urt. v. 27.02.2025) im Kern entschieden, dass der Auskunftsanspruch nach Art. 15 Abs. 1 lit. h DSGVO bei automatisierter Entscheidungsfindung/Scoring „aussagekräftige Informationen über die involvierte Logik“ umfasst und nicht mit einem pauschalen Verweis auf Geschäftsgeheimnisse oder den Schutz des Algorithmus vollständig „leer laufen“ darf. In den Randnummern 43 ff. arbeitet der Gerichtshof heraus, dass bei der Auskunftserteilung zwar Rechte und Freiheiten Dritter sowie der Schutz von Geschäftsgeheimnissen zu berücksichtigen sind, diese Erwägungen aber nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.
Die SCHUFA sei nach dem VG also zwar nicht verpflichtet, ihren Algorithmus offenzulegen, müsse aber so individualisiert darlegen, welche Verfahren und Grundsätze bei der Erstellung des Score-Werts konkret angewandt wurden, um für die Betroffene nachvollziehbar zu machen, welche personenbezogenen Daten auf welche Art verwendet worden seien. Konkret müsse die SCHUFA auf die folgenden Fragen eingehen:
“· Welche personenbezogen Daten der Klägerin und Kriterien sie für die Erstellung des Score konkret genutzt hat.
· Warum die einzelnen konkret verwendeten Daten für das Profiling der Klägerin relevant und aussagekräftig sind.
· Sind Informationen in die Scorewertberechnung eingeflossen, die nicht unmittelbar aus den über die Klägerin gespeicherten Informationen abgeleitet werden und wenn ja, welche? (etwa: Sind auch Daten aus dem Wohnumfeld bzw. der Nachbarschaft der Klägerin zur Berechnung der Scores herangezogen worden?
· Die zur Berechnung genutzten Daten sind in absteigender Reihenfolge ihrer Bedeutung (Ranking) für das berechnete Ergebnis darzustellen, beginnend mit dem personenbezogenen Datum, das im vorliegenden Fall den errechneten Scorewert am stärksten beeinflusst hat.
· Die Klägerin ist darüber zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte: Wie wirken sich die Änderungen der gespeicherten und verwendeten Daten in den einzelnen Datenkategorien auf den errechneten Score aus? Beispielsweise: Wie würde es sich auf den Score auswirken, wenn die Klägerin eine längere bzw. kürzere Kredithistorie hätte; wie würde es sich auf den Score auswirken, wenn ein Wohnortwechsel stattfindet, etc.).
· Warum wird der Score von 85,96 % als “deutlich erhöhtes bis hohes Risiko” bewertet?“
Das Urteil ist noch nicht rechtskräftig und es bleibt abzuwarten, inwieweit die Auskünft zu befriedigen vermögen. Zweifel sind angebracht, leider.
Auf der anderen Seite sollte man sich aber auch mal OLG Stuttgart, Hinweisbeschluss vom 03.02.2026, Az. 9 U 148/25 ansehen: Danach ist der Auskunftsanspruch nach Art. 15 Abs. 1 lit. h DSGVO erfüllt, wenn der Verantwortliche die einbezogenen Datenkategorien, die grundlegende Prognoselogik, die Bildung statistischer Vergleichsgruppen sowie Zweck und Tragweite des Scorewerts nachvollziehbar erläutert. Maßgeblich ist, dass die betroffene Person die Richtigkeit ihrer Daten und die Rechtmäßigkeit der Verarbeitung überprüfen kann. Eine weitergehende technische Detailoffenlegung ist hierfür nicht erforderlich; insbesondere ist die Mitteilung der konkreten Gewichtung einzelner Bewertungsfaktoren nicht geschuldet, da sie faktisch der Offenlegung der Berechnungsformel gleichkäme. Art. 15 Abs. 1 lit. h DSGVO verlangt Transparenz über Verfahren und maßgebliche Kriterien, nicht jedoch die Preisgabe des Algorithmus.
