Mit seinem Urteil vom 27. Februar 2025 in der Rs. C-203/22 (Dun & Bradstreet) hat der EuGH zum sog. Scoring entschieden. Verantwortliche, die Betroffene einer automatisierten Entscheidungsfindung gemäß Art. 22 DSGVO unterwerfen, müssen im Rahmen von Auskunftsansprüchen der Betroffenen detaillierte Informationen zu den Daten und Formeln zur Verfügung stellen.
Hintergrund
Einer betroffenen Person wurde von einem Mobilfunkanbieter der Vertragsabschluss verweigert, weil ihre Bonität nicht ausreichte. Für diese Bewertung hatte der Mobilfunkanbieter auf eine automatisierte Bonitätsbeurteilung der Dun & Bradstreet Austria GmbH zurückgegriffen. Daraufhin verlangte die betroffene Person im Rahmen ihres Auskunftsrechts gemäß Art. 15 Abs. 1 lit. h DSGVO aussagekräftige Informationen über die „involvierte Logik“ der automatisierten Entscheidungsfindung, um die Berechnungsgrundlagen nachvollziehen und gegebenenfalls korrigieren zu können. Dun & Bradstreet berief sich auf den Schutz von Geschäftsgeheimnissen und verweigerte die umfassende Offenlegung und stellte nur eingeschränkte Informationen hierzu zur Verfügung. Die österreichische Datenschutzbehörde wies Dun & Bradstreet an, aussagekräftige Informationen über die involvierte Logik zu übermitteln. Das Bundesverwaltungsgericht bestätigte zunächst die Auffassung der Datenschutzaufsichtsbehörde, da im Rahmen der Vollstreckung Dun & Bradstreet aber keine weiteren Informationen zur Verfügung stellte, klagte die betroffene Person gegen den Bescheid der Vollstreckungsbehörde vor dem Verwaltungsgericht in Wien. Das Verwaltungsgericht legte dem EuGH die Frage vor, welche inhaltlichen Anforderungen eine Auskunft nach Art. 15 Abs. 1 lit. h DSGVO konkret erfüllen muss und wie detailliert die Informationen zur Verfügung gestellt werden müssen. Insbesondere wollte das Verwaltungsgericht wissen, wie das Verhältnis zwischen Auskunftsrecht und Geschäftsgeheimnisschutz zu bewerten ist.
Die Entscheidung des EuGH
Der EuGH entschied, dass die im Rahmen von Art. 15 Abs. 1 lit. h DSGVO zur Verfügung zu stellenden Informationen dergestalt sein müssen, dass Betroffene anhand dieser Informationen nachvollziehen können, welche ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses konkret angewandt wurden. Es genügt dabei nicht, dass komplexe Berechnungsformeln zur Verfügung gestellt werden und Betroffene aufgrund der Komplexität die Entscheidungsfindung nicht nachvollziehen können. Im Einzelfall ist vielmehr zu bestimmen, welche konkreten Informationen die gewünschte Transparenz beim Betroffenen herstellen. Verantwortliche müssen ferner beachten, dass sie ein Berufen auf Geschäftsgeheimnisse nicht von dieser Pflicht befreit: Im Zweifel muss der Verantwortliche die betreffenden Informationen dem Gericht oder der Aufsichtsbehörde zur Verfügung stellen, die wiederum bewertet, ob und welche Informationen dem Betroffenen zur Verfügung gestellt werden.
Praxisempfehlung
Die Entscheidung des EuGH hat erhebliche Auswirkungen auf die Praxis. Dabei betrifft das Urteil nicht nur das Kreditscoring und ähnliche Scoringverfahren, sondern erfordert eine Anpassung von Prozessen für die Datenauskunft. Verantwortliche sollten zum einen prüfen, ob der Einsatz von Scorings und anderen automatisierten Entscheidungsfindungen ausreichend im Auskunftsprozess abgebildet und auf den Einzelfall abgestimmt sind. Ferner müssen alle Datenverarbeitungen, die Geschäftsgeheimnisse und ähnlich kritische Informationen betreffen können, dahingehend geprüft werden, ob die Vorgaben des EuGH in Bezug auf die Beauskunftung eingehalten werden können.
