SCHUFA — 독일 거주 한국인을 위한 안내
외국인이 알아야 할 독일 신용점수의 구조와 GDPR 판례
독일에서 집을 구하거나 휴대전화 계약을 하려 할 때 많은 사람들이 처음 듣게 되는 이름이 있다. 바로 SCHUFA Holding AG다. 독일에서는 이 기관이 산출하는 신용점수가 개인의 금융 생활은 물론 일상생활 전반에 걸쳐 적지 않은 영향을 미친다. 집을 임대하려는 집주인이나 은행, 통신사, 자동차 리스 회사 등이 계약을 맺기 전에 SCHUFA 정보를 조회하는 경우가 많기 때문이다.
그러나 많은 외국인들은 SCHUFA가 어떤 기관인지, 어떤 방식으로 데이터를 수집하고 점수를 계산하는지 잘 알지 못한 채 독일 생활을 시작한다. 특히 개인정보 보호 측면에서 SCHUFA는 독일과 유럽에서 오랫동안 논쟁의 중심에 있어 왔으며, 최근에는 유럽사법재판소의 판결을 통해 신용점수 시스템의 법적 성격이 크게 주목받기도 했다.
이 글에서는 SCHUFA 신용정보 시스템의 구조와 데이터 처리 방식, 그리고 최근 GDPR 판례가 던진 의미를 살펴본다.
독일의 대표적인 신용정보기관 SCHUFA
SCHUFA는 1927년에 설립된 독일의 대표적인 신용정보회사다. 본사는 비스바덴(Wiesbaden)에 있으며 약 6천만 명 이상의 개인 데이터를 보유하고 있는 것으로 알려져 있다. 수많은 은행과 통신사, 온라인 상점 등이 SCHUFA에 정보를 제공하거나 조회한다.
SCHUFA의 핵심 기능은 개인의 신용 위험도를 점수 형태로 계산하는 것이다. 이를 흔히 ‘SCHUFA Score’라고 부르는데, 은행 대출 승인 여부는 물론 아파트 임대 계약, 휴대전화 계약, 자동차 리스, 온라인 후불 결제에 이르기까지 독일 생활의 거의 모든 영역에서 이 점수가 활용된다. 특히 주택을 임대할 경우 집주인이 ‘SCHUFA Bonitätsauskunft’를 요구하는 경우가 많은데, 이는 임차인의 신용 상태를 확인하기 위한 절차다.
SCHUFA에는 어떤 데이터가 쌓이나
많은 사람들이 SCHUFA는 연체나 채무불이행 같은 부정적인 정보만 저장한다고 생각한다. 하지만 실제로는 그렇지 않다. SCHUFA 데이터는 크게 부정 정보(Negativdaten)와 긍정 정보(Positivdaten)로 나뉜다.
부정 정보는 말 그대로 신용 문제를 나타내는 기록이다. 대출 연체나 채무불이행, 강제집행, 파산 절차 등이 여기에 해당한다. 반면 긍정 정보는 신용 문제와 직접 관련이 없는 일반적인 계약 정보를 말한다. 은행 계좌 개설이나 신용카드 발급, 휴대전화 계약, 할부 구매 계약 같은 정보도 SCHUFA로 전달될 수 있다. 즉 단순히 연체 기록이 없어도 개인의 금융 행동과 관련된 다양한 데이터가 SCHUFA에 꾸준히 쌓일 수 있다는 뜻이다.
외국인이 흔히 겪는 어려움 — “기록이 없는 사람”의 역설
독일에 처음 도착한 외국인들이 가장 먼저 부딪히는 문제는 바로 신용 기록이 아예 없는 상태라는 점이다. 한국이나 다른 나라에서 아무리 신용도가 높았더라도 독일에서는 SCHUFA 기록이 없으면 금융기관이 신용도를 평가할 방법이 없다.
이 때문에 주택 임대나 휴대전화 계약, 자동차 리스가 거절되는 경우가 생기기도 한다. 독일에서는 이러한 현상을 “신용 이력의 역설”이라고 부르기도 한다. 신용에 문제가 있어서가 아니라 기록 자체가 없다는 이유만으로 위험도가 높은 사람으로 분류될 수 있기 때문이다.
Positivdaten 공유를 둘러싼 법적 쟁점
기업들이 고객의 긍정 데이터(Positivdaten)를 SCHUFA에 전달하는 것이 개인정보 보호법에 부합하는지에 대해서는 오랫동안 논쟁이 있었다. 고객이 통신사와 휴대전화 계약을 체결하면, 통신사는 연체가 없어도 계약 기본 정보를 SCHUFA에 보낼 수 있으며, 이를 GDPR 제6조 제1항 (f)항의 정당한 이익, 특히 사기 예방과 거래 안정성으로 정당화해 왔다.
개인정보 보호 전문가들은 동의 없이 대량의 계약 정보가 공유되는 점을 비판해 왔지만, 2025년 독일 연방대법원(BGH)은 통신사가 일정한 조건 아래 Positivdaten을 SCHUFA에 제공하는 것이 정당한 이익에 근거해 원칙적으로 허용될 수 있다고 판시해 기본적인 법적 기준을 제시했다.
알고리즘은 왜 공개하지 않나 — 투명성 논쟁
SCHUFA 시스템에서 또 다른 쟁점은 점수 계산 알고리즘의 불투명성이다. SCHUFA는 점수 계산 방식이 영업비밀이라는 이유로 알고리즘의 상세 내용을 공개하지 않는다. 하지만 개인정보 보호법은 개인이 자신의 데이터가 어떻게 처리되는지 알 권리를 보장한다.
이 문제는 Verwaltungsgericht Wiesbaden 판결에서도 핵심 쟁점으로 다루어졌다. 당시 법원은 단순히 점수 숫자만 제공하는 것으로는 충분하지 않으며, 개인에게 점수가 형성되는 과정에 대한 의미 있는 정보가 제공되어야 한다고 판단했다. 어떤 데이터가 사용되었는지, 어떤 요소가 점수에 영향을 미쳤는지, 점수 계산의 기본 구조가 어떻게 되는지를 개인이 확인할 수 있어야 한다는 것이다. 이 판결은 신용평가 알고리즘의 투명성 문제를 다시 한 번 수면 위로 끌어올렸다.
유럽사법재판소의 역사적 판결 (2023)
SCHUFA 논쟁에서 가장 중요한 사건은 2023년 12월 7일에 나온 유럽사법재판소(CJEU)의 판결이다. 이른바 개인 vs. 헤센주 감독기관 사건으로 알려진 이 판결은 신용평가 시스템의 법적 성격을 둘러싼 오랜 논쟁에 중요한 기준을 제시했다.
사건의 발단은 이렇다. 한 대출 신청자가 은행에 대출을 신청했지만 SCHUFA 점수가 낮다는 이유로 거절당했다. 이후 그는 자신의 개인정보가 어떻게 처리되는지에 대한 정보 열람을 요구했고, 이 사건이 결국 유럽사법재판소까지 올라갔다.
핵심 쟁점은 SCHUFA의 점수 산정 행위가 GDPR 제22조에서 규정하는 자동화된 의사결정(Automated Decision Making)에 해당하는지 여부였다. SCHUFA 측은 자신들은 단지 점수를 제공할 뿐이며 실제 결정은 은행이 한다고 주장했다. 그러나 유럽사법재판소는 이와 다른 판단을 내렸다. 만약 SCHUFA 점수가 금융기관의 결정에 실질적으로 결정적인 영향을 미친다면, 형식적으로는 사람이 결정하더라도 이는 GDPR 제22조의 자동화된 의사결정에 해당할 수 있다는 것이다.
신용점수는 ‘프로파일링’이다
이 판결은 SCHUFA의 점수 산정을 프로파일링(profiling)의 한 형태로 해석할 수 있음을 보여주었다. 프로파일링이란 개인의 행동이나 경제적 상태를 분석해 특정 특성을 자동으로 평가하는 데이터 처리 방식이다. 신용점수 시스템은 개인의 신용 위험도를 알고리즘으로 평가하기 때문에 대표적인 프로파일링 사례로 볼 수 있다.
GDPR 제22조는 자동화된 의사결정이 개인에게 법적으로 또는 그에 준하는 중대한 영향을 미칠 경우 특별한 보호를 요구한다. 신용점수는 대출 승인 여부부터 주택 임대 계약, 통신 계약, 자동차 리스에 이르기까지 개인의 삶에 실질적인 영향을 미친다. 그렇기에 개인정보 보호 관점에서 엄격한 규제가 필요하다는 주장이 힘을 얻고 있다.
데이터는 얼마나 오래 보관되나
같은 판결에서는 데이터 보관 기간 문제도 함께 다루어졌다. 독일에서는 개인 파산 정보가 공식 공공 기록에서 일정 기간이 지나면 삭제된다.
그러나 SCHUFA는 이러한 정보를 공공 기록보다 훨씬 더 오랜 기간 보관해 왔다. 유럽사법재판소는 공적 파산 등록부에서 정보가 삭제된 이후에도 신용정보업자가 그 정보를 계속 보관하는 관행은, 특히 보관 기간의 필요성과 비례성이 입증되지 않는다면 GDPR에 위반될 소지가 있다고 보았다. 이 판단은 신용정보 데이터의 보관 기간에 대한 중요한 기준을 제시한 것으로 평가받고 있다.
개인이 행사할 수 있는 GDPR 권리
SCHUFA 데이터는 개인정보이기 때문에 GDPR의 적용을 받는다. 따라서 독일에 거주하는 누구든 SCHUFA에 대해 일정한 권리를 행사할 수 있다.
자신에 대한 데이터를 확인하는 정보 열람권, 잘못된 정보가 있을 경우 수정을 요청하는 데이터 정정권, 일정 조건이 충족될 경우 데이터 삭제를 요구하는 삭제권이 대표적이다. 독일에서는 누구나 연 1회 무료로 자신의 SCHUFA 데이터를 요청할 수 있으며, 이를 ‘Datenkopie nach Art. 15 DSGVO’라고 부른다.
신용평가와 개인정보 보호 사이에서
SCHUFA 시스템은 현대 금융 시스템에서 분명 중요한 역할을 한다. 금융기관은 신용평가를 통해 위험을 관리하고 사기를 예방할 수 있다. 그러나 동시에 이러한 시스템은 개인의 경제적 기회를 크게 좌우할 수도 있다. 특히 알고리즘 기반 평가가 확산되면서 개인정보 보호와 투명성에 대한 사회적 요구도 점점 커지고 있다.
최근 유럽 법원의 판결들은 신용평가 시스템이 단순한 정보 서비스가 아니라 개인의 삶에 중요한 영향을 미치는 데이터 처리라는 점을 거듭 강조하고 있다. 앞으로 유럽에서는 신용평가 알고리즘의 투명성과 개인정보 보호 사이에서 새로운 균형점을 찾기 위한 논의가 계속될 것으로 보인다.
1451호 16면, 2026년 3월 20일