Gestärktes Verbraucherauskunftsrecht gegenüber Bonitätsprüfungsunternehmen; Unternehmen mit Scoring-Implementationen müssen sich wappnen!
Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 27.02.2025 – C-203/22 (CK/Magistrat der Stadt Wien) entschieden, dass im Kontext automatisierter Entscheidungsfindungen, einschließlich des Profilings, der betroffenen Person ein Anspruch gegenüber dem Verantwortlichen zusteht, auf dessen Grundlage sie die Darlegung der maßgeblichen Informationen in präziser, transparenter, verständlicher sowie leicht zugänglicher Form verlangen kann. Diese Erläuterung hat sich insbesondere auf die Verfahren und Grundsätze zu beziehen, die der automatisierten Verarbeitung ihrer personenbezogenen Daten zugrunde lagen und im konkreten Fall zur Ableitung eines bestimmten Ergebnisses – etwa eines Bonitätsprofils – geführt haben.
Für den Fall, dass die zu übermittelnden Informationen nach Ansicht des Verantwortlichen von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse betreffen, hat der EuGH darüber hinaus entschieden, dass der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat.
Worum geht es?
Der EuGH musste sich mit der Auslegung der Art. 15 Abs. 1 Buchst. h und Art. 22 der DSGVO sowie von Art. 2 Nr. 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8.6.2016 über den Schutz vertraulichen Knowhows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (im Folgenden: „GH-RL“) befassen.
Hinweis: Art. 15 Abs. 1 Buchst. h DSGVO gibt der betroffenen Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Hinweis: Art. 22 der DSGVO gibt der betroffenen Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Zusammen konstituieren diese Artikel ein Auskunftsrecht für betroffene Personen hinsichtlich ihrer, der für ein Profiling herangezogenen, Daten und deren genaue Verarbeitung und Verwertung in diesem Rahmen und darüber hinaus ein Recht während dieser Verwertung nicht lediglich einer automatisierten Verarbeitung unterworfen zu sein. Ob dies auch ein Recht auf Herausverlangen von Daten, die durch den Verantwortlichen als Geschäftsgeheimnisse eingestuft wurden, konstituiert und ob darüber hinaus ein Recht auf Überprüfung dieser Daten durch den Verbraucher besteht hatte der EuGH vorliegend zu entscheiden.
Hinweis: Profiling bedeutet die automatisierte Verarbeitung von Daten, um bestimmte Persönlichkeitsmerkmale, Verhaltensmuster oder Interessen von Einzelpersonen zu analysieren und zu prognostizieren. Beim Scoring wird einer Person anhand statistischen Analysen auf Basis zweckdienlicher, personenbezogener Daten ein Scoring-Wert zugeordnet, der die Geeignetheit der betroffenen Person für den verwendeten Zweck wiederspiegeln soll.
Einer Verbraucherin wurde, aufgrund einer von Dun & Bradstreet Austria GmbH (im Folgenden: „D&B“) automatisiert durchgeführten Bonitätsbeurteilung, der Abschluss eines Mobilfunkvertrages über monatlich 10,- EUR verweigert. Nach dieser Bonitätsbeurteilung verfüge die Verbraucherin über keine ausreichende finanzielle Bonität für diesen Mobilfunkvertrag.
Der Weg durch die Instanzen
Nachdem sich die Verbraucherin an die österreichische Datenschutzbehörde wandte, trug die Behörde der D&B auf, der Verbraucherin aussagekräftige Informationen über die involvierte Logik, der auf der Grundlage der personenbezogenen Daten erfolgten, automatisierten Entscheidungsfindung zu übermitteln. Hiergegen erhob D&B Beschwerde an das österreichische Bundesverwaltungsgericht, mit der Begründung sie könne der Verbraucherin keine weitergehenden Informationen übermitteln, da diese geschützte Geschäftsgeheimnisse beträfen. Das Bundesverwaltungsgericht entschied gegen D&B und hielt fest, das Unternehmen hätte gegen Art. 15 Abs. 1 Buchst. h DSGVO verstoßen, weil es keine aussagekräftigen Informationen über die erfolgte automatisierte Entscheidungsfindung zur Verfügung gestellt und auch nicht ausreichend begründet habe, warum es nicht in der Lage sei, solche Informationen zur Verfügung zu stellen. Das Urteil des Bundesverwaltungsgerichts ist rechtskräftig und vollstreckbar geworden.
Die Verbraucherin erhielt jedoch keinerlei weitergehende Informationen von D&B, woraufhin sie sich an das Magistrat der Stadt Wien zur Exekution des Bundesverwaltungsgerichtsurteils wandte. Dieses lehnte ihr Anliegen mit der Begründung ab, dass D&B ihrer Informationspflicht bereits ausreichend nachgekommen sei. Gegen diesen Bescheid erhob die Verbraucherin erneut Klage vor dem Verwaltungsgericht Wien, welches die Rechtssache sodann zur Bestimmung der konkreten von D&B zu fordernden Handlung dem EuGH vorgelegt hat. Das Verwaltungsgericht Wien legt weiterhin die Frage an den EuGH vor, ob Art. 15 Abs. 1 Buchst. h DSGVO der betroffenen Person die Möglichkeit garantiert, die Richtigkeit der vom Verantwortlichen übermittelten Informationen zu überprüfen. Im Falle der Verbraucherin gegen D&B wiesen die von D&B übermittelten Informationen nämlich erhebliche Widersprüche auf. So wurde der Verbraucherin über ihren „Score“ eine gute Bonität ausgewiesen, jedoch ergab das tatsächliche Profiling, dass der Verbraucherin, selbst für die Zahlung einer geringen monatlichen Verbindlichkeit von 10,- EUR, jegliche Bonität fehle. Weiterhin legte das Gericht die bereits o.g. Fragestellung vor, ob das Vorliegen eines Geschäftsgeheimnisses das gewährleistete Auskunftsrecht einschränken könne.
Urteil des EuGH
I. Was bedeuten „aussagekräftige Informationen“ im Sinne des Art. 15 Abs. 1 Buchst. h DSGVO?
Nachdem der EuGH zunächst den höchst unterschiedlichen Wortlaut je nach nationaler Übersetzung des Artikels festhielt, stellte er fest, dass unter den Artikel alle Informationen fallen, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses auf der Grundlage dieser Daten maßgeblich sind. Weiterhin hielt er in diesem Rahmen fest, dass der in Art. 12 Abs. 1 DSGVO normierte Transparenzgrundsatz, auch für die Informationen gilt, die eine automatisierte Entscheidungsfindung betreffen.
Hinweis: Art. 12 Abs. 1 DSGVO trägt den Verantwortlichen auf geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
II. Normiert Art. 15 Abs. 1 Buchst. h DSGVO auch ein Überprüfungsrecht?
Die DSGVO verpflichtet die Verantwortlichen zwar eine einfache, verständliche Möglichkeit zu finden, die betroffenen Personen über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren, allerdings gerade nicht zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus. Diese widerstreitenden Interessen hatte der EuGH in Einklang zu bringen. Der EuGH hielt fest, dass zwar nicht Art. 15 Abs. 1 Buchst. h DSGVO selbst ein Überprüfungsrecht der betroffenen Personen, ob die zu überprüfenden Daten richtig sind und in zulässiger Weise verarbeitet wurden, begründet sondern der einleitende Satz von Art. 15 Abs. 1 DSGVO. Nichtsdestotrotz muss der Art. 15 DSGVO in seiner Gesamtheit ein solches Recht konstituieren, da ohne dieses die Wahrnehmung von sonstigen Rechten betroffener Personen, beispielsweise das Recht auf Löschung („Recht auf Vergessenwerden“) oder auf Berichtigung, unmöglich gemacht werden würde. Die übermittelten Daten müssen die betroffene Person somit in die Lage versetzen eine Überprüfung der Richtigkeit der sie betreffenden, der automatisierten Entscheidungsfindung zu Grunde liegenden personenbezogenen Daten vorzunehmen. Hierzu nannte der EuGH als ausreichend transparente Möglichkeit bereits, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.
III. Erstreckt sich das Auskunftsrecht auch auf Geschäftsgeheimnisse?
Das Recht auf Schutz der personenbezogenen Daten, aus dem sich nach den vorstehenden Erkenntnissen des Gerichtshofs auch das Auskunftsrecht herleitet, ist jedoch kein uneingeschränktes Recht und muss unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte, namentlich das Recht der Verantwortlichen gegen Beeinträchtigungen von Geschäftsgeheimnissen und des geistigen Eigentums, insbesondere das Urheberrecht an Software, abgewogen werden. Eine Beschränkung der in Art. 15 DSGVO vorgesehen Rechte und Pflichten hingegen ist nur möglich, sofern diese den Wesensgehalt der Grundrechte und Grundfreiheiten achtet. In einer demokratischen Gesellschaft muss die Beeinträchtigung eine notwendige und verhältnismäßige Maßnahme darstellen, die den Schutz der Rechte und Freiheiten anderer Personen sicherstellt. Diese Abwägung obliegt den zuständigen Aufsichtsbehörden oder dem zuständigen Gericht. Um diese Abwägung unter Rücksichtnahme aller Beteiligten Grundrechte und Grundfreiheiten und unter Beachtung des Grundsatzes der Verhältnismäßigkeit ordnungsgemäß durchführen zu können, müssen die zuständigen Stellen in volle Kenntnis der Sachlage gestellt werden. Der EuGH hält daher fest, dass der Verantwortliche selbst geschützte Informationen im Sinne des Art. 2 Nr. 1 der GH-RL oder Informationen, die geschützt Daten Dritter betreffen, an die zuständige Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat.
Hinweis: Art. 2 Nr. 1 der GH-RL definiert den Begriff des „Geschäftsgeheimnisses“, demnach sind Geschäftsgeheimnisse Informationen, die alle nachstehenden Kriterien erfüllen:
a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
b) sie sind von kommerziellem Wert, weil sie geheim sind;
c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt;
Innerhalb der durchzuführenden Abwägung kann das zuständige Gericht eine vollständige oder teilweise Offenlegung der von dem Verantwortlichen übermittelten, personenbezogenen Daten gegenüber der Gegenpartei (dem Verbraucher) zulassen, wenn es der Auffassung ist, dass eine solche Offenlegung nicht über das hinausgeht, was erforderlich ist, um die effektive Wahrnehmung der Rechte zu gewährleisten, die den Rechtsuchenden aus deren Grundrechten und Grundfreiheiten erwachsen. Diese Abwägung sei jedoch ausdrücklich am Einzelfall zu entscheiden, deren Ergebnis nicht durch einen Mitgliedsstaat vorgeschrieben werden kann.
Was bedeutet das Urteil (für Verbraucher)
Für Verbraucher bedeutet dieses Urteil konkret eine Stärkung ihres Rechts auf Information und Auskunft personenbezogener Daten im Rahmen von Profiling und Scoring, zum Beispiel bei Bonitätsprüfungen. Es ist im Einzelfall demnach sogar möglich Auskunft über solche personenbezogenen Daten zu erlangen, die Dritte oder gar Geschäftsgeheimnisse des Verantwortlichen betreffen. Gleichzeitig kann verlangt werden, dass einem diese Daten nach ihrer Art und Weise einfach zugänglich sowie für den Betroffenen klar und verständlich zur Verfügung gestellt werden. Der Betroffene muss in die Lage versetzt werden zu verstehen, welche konkreten Daten wie, also nach welcher Logik, verarbeitet werden und muss die Auswirkungen dieser Verarbeitung persönlich nachvollziehen können. Dies bedeutet nicht nur eine Stärkung der Transparenz gegenüber Bonitätsunternehmen, wie in Deutschland beispielsweise gegenüber der SCHUFA Holding, sondern generell gegenüber sämtlichen Unternehmen und im Personalwesen, wo ein automatisiertes Profiling stattfindet. Großunternehmen wenden Scoring Systeme vermehrt auch in der Personaleinstellung an, um beispielsweise Bewerbung automatisiert zu sortieren und nach einem Punktesystem zu bewerten. Auch in der Banken- und Immobilienbranche werden Scoring und Profilingsysteme regelmäßig angewandt. Häufig erstellen jedoch auch Tracking Tools, wie Google Analytics, ein solches Profil, welches für personalisierte Werbung verwendet wird. Aber auch Smart-Devices, wie Smart Home, sind solche Tracking Tools.
Praktische Folgen für Unternehmen
Das Urteil entfaltet eine wesentlich erschwerende Wirkung für die Begründung der Ablehnung von Auskunftsersuchen für Daten, die Bezug auf Geschäftsgeheimnisse aufweisen. Diese Daten sind den zuständigen Gerichten nun vollständig offenzulegen, die dann wiederum entscheiden, ob eine Offenlegung auch gegenüber der Gegenpartei in Frage kommt. Der Schwerpunkt einer Begründung hiergegen verlagert sich also auf die nachstehende Frage, ob eine Offenlegung auch gegenüber der Gegenpartei in Frage kommt und nicht mehr auf die ursprüngliche Frage, ob eine Offenlegung generell zu erfolgen hat, dürfte sich aber inhaltlich nicht zu weit auseinanderbewegen.
Weiterhin sollten Unternehmen, bei denen sich ein automatisiertes Profiling-, bzw. Profilingverfahren besonders anbietet, auf eine menschliche Kontrollinstanz achten. Eine Entscheidung auf Basis eines lediglich automatisierten Scorewertes dürfte ein schnelles Ende vor den Gerichtsbarkeiten finden. Außerdem sollte bei zur Hilfenahme solcher automatisierten Systeme nun mehr Augenmerk auf eine gute Dokumentation gelegt werden, die dem Betroffenen einfach nachzuvollziehende Auskunft darüber erteilt, welche personenbezogenen Daten wie verarbeitet wurden und welche Auswirkungen dies auf den „Score“ des Betroffenen hatte.
"Auskunftsrechte gegenüber Bonitätsprüfungsunternehmen: Scoring im Fokus"
von Paul Baltz, wissenschaftlicher Mitarbeiter