它从广泛的金融参与者那里收集消费者数据,并使用算法方法生成一个分数,该分数应该描述每个人的信用度。 SCHUFA 本身不向个人发放任何贷款或提供任何服务,它仅向商业行为者提供信息。严格来说,不就任何人做出任何决定,因为它与消费者没有合同关系。 但是,根据信贷机构对分数的解读,其影响力会有所不同。分数可能是贷款机构考虑的众多因素之一,或者相反,它可能是贷款机构考虑的唯一标准。在许多情况下,贷款机构不会仅根据信贷机构的分数做出决定,而是会自动拒绝向分数低于某个阈值的申请人提供信贷。在这种情况下,很难确定决定究竟是由信贷机构做出的。决定是由信贷机构独自做出的,还是信贷机构的分数本身就是一个决定? 信用评分和 GDPR 第 22 条 如果这个问题很重要,那是因为 中著名的第 22 条禁止自动决策。
如果适用这项规定这是否意味
着 评分的这种使用必然违反 GDPR不,因为第二段规定了对这种一般性自动决策禁令的三个例外:在以下情况下可以授权自动决策:1) 如果合同关系需要,2) 如果有授权这些决策的法律依据,如果它基于数据主体的明确同意。而信用机构给出的 巴基斯坦电子邮件列表 评分可能属于这些例外之一1)。但即使分数属于这些例外情况之一,因此是合法的,这也会对 产生严重后果,因为 对自动化决策提出了额外的要求。 欧洲法院提出了两项论点——由德国提交法院提出并得到总检察长认可——以支持第 22 条的适用性。 第一个论点涉及第 22 条第 1 款规定的条件,其内容如下: “数据主体有权不受仅基于自动化处理(包括分析)的决定的约束,该决定对数据主体产生法律效力或类似重大影响。
” 规定了三个条件第一
必须对个人做出决定;第二,该决定必须完全基于自动化处理;第三,该决定必须产生法律效果或对数据主体产生重大影响。 尽管法院对此事的表述不如总检察长明确2)中,我们可以说有两个要素没有争议:首先,授予或拒绝信贷属于第 22 条所涵盖 厄瓜多尔电话号码列表 的决定类型(如该条例第 71 段所示);其次,SCHUFA 分数是自动生成的。但是,如上所述,SCHUFA 分数是否可以被视为一项决定尚不清楚。在决定这个问题时,欧盟法院依赖于提交法院的描述,根据该描述,第三方“强烈”依赖信用评分,因此 SCHUFA 分数不足“在几乎所有情况下都会导致该银行拒绝授予所申请的贷款”(第 48 段)。因此,这是一个事实认定,表明分数本身就是一项决定。