Die betroffene Person einer automatisierten Bonitätsbeurteilung hat das Recht, zu erfahren, wie die sie betreffende Entscheidung zustande kam. Die Erläuterung muss es ihr ermöglichen, die automatisierte Entscheidung nachzuvollziehen und sie anzufechten. Dies hat der EuGH mit Urteil vom 27.02.2025 (C-203/22) klargestellt.
Darum ging es im Streitfall
In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge. Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war. Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.
Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen habe. Dun & Bradstreet habe der Kundin nämlich keine „aussagekräftigen Informationen über die involvierte Logik“ der betreffenden automatisierten Entscheidungsfindung übermittelt. Zumindest habe das Unternehmen nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln.
Gericht ruft EuGH an
Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss. Es hat den Gerichtshof daher um Auslegung der DSGVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.
Dem EuGH zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.
EuGH stärkt Rechte bei Bonitätsbewertungen
Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es u.a. ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.
Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, hat er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln. Diese müssen die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln.
Der EuGH stellt in diesem Zusammenhang klar, dass die DSGVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.
