Verbraucherschutz aus Luxemburg: Bonitätsprüfer müssen Algorithmus erklären
© Adobe Stock / gzorgz

Der EuGH bleibt seinem Grundsatz treu, den Schutz von Verbrauchern über das wirtschaftliche Interesse an der automatisierten Analyse ihrer Daten zu stellen. Ein Kraftakt für Scoring-Anbieter und Anlass, über eine Einschränkung des Auskunftsrechts nachzudenken, meint Andrea Ringle.

Nach seinem Urteil zum Scoring der Schufa holt der EuGH zu einem weiteren Schlag gegen Profiling-Dienste aus und weist den ungeprüften Einsatz von künstlicher Intelligenz für die Beurteilung der Bonität von Verbraucherinnen und Verbrauchern in seine Schranken. Die betroffene Person soll verlangen können, dass ihr der Scoring-Anbieter die Verfahren und Grundsätze, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten angewandt wurden, präzise, transparent und verständlich erläutert, sagt der Gerichtshof in seinem Urteil vom Donnerstag (Urteil vom 27.02.2025 - C-203/22).

Im konkreten Fall verweigerte ein Mobilfunkbetreiber einer Kundin in Österreich den Abschluss bzw. die Verlängerung eines Mobilfunkvertrages, weil sich aus ihrer automatisiert durchgeführten Bonitätsbeurteilung ein negatives Ergebnis im Hinblick auf eine monatliche Zahlung von zehn Euro ergab.

Vorlegendes Gericht äußert Zweifel an der Richtigkeit der gelieferten Daten

Eine solche automatisierte Datenverarbeitung nennt die DS-GVO in Art. 4 Nr. 4 "Profiling". Die Konsequenz eines Profilings ist die Anwendbarkeit der schützenden Regelungen von Art. 22 DS-GVO sowie – hier im Fokus – ein erweitertes Auskunftsrecht der Betroffenen gemäß Art. 15 Abs. 1 Buchst. h) DS-GVO. Danach erstreckt sich das Recht auf Auskunft über den üblichen Umfang hinaus auch auf das Bestehen einer automatisierten Entscheidungsfindung sowie auf aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person.

Durchgeführt wurde die Bonitätsprüfung von dem Anbieter Dun & Breadstreet Austria GmbH (im Folgenden D & B). Auf Antrag der Kundin forderte die österreichische Datenschutzbehörde D & B zur Auskunft darüber auf, was das Unternehmen ohne Erfolg beim Bundesverwaltungsgericht anfocht. Im Rahmen der Entscheidung über die Zwangsvollstreckung kam es zur Vorlagefrage an den EuGH. Das vorlegende Gericht ging dabei auf Grundlage von mehreren Indizien davon aus, dass die von D & B übermittelten Informationen falsch waren, also in Wahrheit eine gute Bonität der Kundin vorlag.

Verbraucher müssen Datenverarbeitung verstehen können

Zentrales Thema des EuGH-Urteils ist das Ausmaß des Auskunftsanspruchs beim Profiling, d.h. die Definition der durch die DS-GVO formulierten Pflicht auf "aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person". 

Mit Blick auf vorangegangene Urteile sowie die herangezogenen Leitlinien zu automatisierten Entscheidungen kommt der EuGH wenig überraschend zu dem Ergebnis, dass nur dann Transparenz gewahrt und ein hohes Verbraucherschutzniveau gewährleistet ist, wenn die erteilten Informationen der betroffenen Person ermöglichen, zu überprüfen, ob die verwendeten Daten korrekt sind und ihre Verarbeitung zulässig war. Dazu gehört auch, ihr diese Informationen nachvollziehbar zu erklären. 

Der Scoring-Anbieter muss sich also Mühe geben, dem Verbraucher bzw. der Verbraucherin die Grundlagen seiner Bewertung verständlich zu machen und darf sich nicht hinter Fluten von Detail-Informationen oder mathematischen Formeln (etwa einem Algorithmus) verstecken. Die konkrete Ausgestaltung ist dem Anbieter bzw. den Gerichten zu überlassen. Für den Streitfall äußert sich der EuGH lediglich dahingehend, dass es ggf. ausreichend sei, darüber zu informieren, ob und inwiefern eine Abweichung bei den Daten zu einem anderen Ergebnis geführt hätte. 

Auf ein Auskunftsverweigerungsrecht können sich Bonitätsprüfer nicht berufen

Eine kreative Lösung bietet der EuGH für den Fall, dass die Erfüllung des Auskunftsanspruchs mit geschützten Daten Dritter oder Geschäftsgeheimnissen kollidiert. Auch dann wird der Verantwortliche nicht aus der Auskunftspflicht entlassen, sondern soll die Auskunft in diesem Fall der zuständigen Behörde oder dem zuständigen Gericht erteilen. Diese sollen eine Filterfunktion übernehmen und den Betroffenen die Informationen übermitteln, auf die sie einen Anspruch haben. Der naheliegenden Flucht in ein Auskunftsverweigerungsrecht schiebt der Gerichtshof somit einen Riegel vor.

Nicht thematisiert, aber dennoch bemerkenswert ist der Umstand, dass der EuGH den Anbieter von Profiling-Diensten als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO qualifiziert, obwohl dieser in der Regel – wie im konkreten Fall – kein direktes Verhältnis zu der betroffenen Person hat, sondern von deren (potenziellen) Vertragspartner beauftragt wird. Zu diesem Ergebnis kommt wohl nur, wer von einer gemeinsamen Verantwortlichkeit im Sinne von Art. 6 DSGVO zwischen Vertragspartner (hier Mobilfunkanbieter) und Dienstleister (hier D & B) in Bezug auf die Scoring-Daten ausgeht. 

Dies bedeutet in der Folge, dass die betroffene Person ihren Auskunftsanspruch gegenüber beiden Unternehmen geltend machen kann. Der Mobilfunkbetreiber im Streitfall könnte daher auch direkt auf Auskunft in Anspruch genommen werden, die Kundin muss sich nicht an den Scoring-Anbieter halten.

Auskunft nur bei Zweifeln an richtiger Entscheidung?

So nachvollziehbar und konsequent die Entscheidung des EuGH nach Sinn und Zweck des Datenschutzes ist, wirft sie doch die Frage auf, ob ihr Ergebnis in jedem Fall richtig ist. Auch wenn man befürwortet, dass Anbieter von Scoring-Diensten oder sonstiger automatisierter Entscheidungsfindung dazu verpflichtet sein sollten, Rechnung darüber abzulegen, welche Daten und Prozesse ihrer Entscheidung zugrunde liegen, ergeben sich Zweifel, ob hierbei nicht gewisse Schranken eingezogen werden sollten. Immerhin ist mit der geforderten weitreichenden Auskunft ein erheblicher organisatorischer und finanzieller Aufwand und gleichzeitig ein Missbrauchsrisiko verbunden. 

Denkbar wäre, für den erweiterten Auskunftsanspruch nach Art. 15 Abs. 1 Buchst. h) DS-GVO ein berechtigtes Interesse zu fordern, das fehlt, wenn keine Anhaltspunkte für eine falsche Bewertung der Bonität bestehen und die betroffene Person durch die Bewertung nicht beschwert wird. An der Auskunftspflicht im Streitfall würde dies nichts ändern, weil der Kundin der Vertragsschluss aufgrund angeblich fehlender Bonität verweigert wurde, obwohl hieran Zweifel bestanden. Würde man in der DS-GVO die Bedingung eines berechtigten Interesses verankern, könnte das missbräuchliche Auskunftsersuchen und damit eine übermäßige Belastung von Profiling-Dienstleistern verhindern.

Andrea Ringle ist Fachanwältin für Gewerblichen Rechtsschutz, Datenschutzbeauftragte (TÜV) und Partnerin der Kanzlei BRL Boege Rohde Luebbehuesen, Standort Hamburg.

EuGH, Urteil vom 27.02.2025 - C-203/22

Gastbeitrag von Andrea Ringle, 28. Februar 2025.

Mehr zum Thema

Aus der Datenbank beck-online

Ringle, SCHUFA-Scoring auf dem datenschutzrechtlichen Prüfstand, GRUR-Prax 2024, 107

Blasek, Die Rolle von Scorewerten bei automatisierten Entscheidungen, ZD 2024, 258

Taeger, Externes Scoring als "automatisierte Entscheidung im Einzelfall" über eine Kreditgewährung, BKR 2024, 41

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.