RS Dun & Bradstreet: EuGH entscheidet zum DSGVO-Auskunftsanspruch bei der Bonitätsbeurteilung
Gemäß Art 15 Abs 1 lit h DSGVO steht von einer automatisierten Entscheidung iSd Art 22 DSGVO betroffenen Personen ein Auskunftsrecht darüber zu, ob eine derartige Entscheidungsfindung stattgefunden hat und bejahendenfalls aussagekräftige Informationen über die involvierte Logik, Tragweite und Auswirkungen der Verarbeitung. Was genau unter aussagekräftigen Informationen über die involvierte Logik zu verstehen ist, war jedoch lange strittig. In seinem wegweisenden Urteil vom 27.02.2025 in der Rechtssache Dun & Bradstreet (C-203/22) nahm sich der EuGH dieser Frage im Zusammenhang mit der Bonitätsbeurteilung an. Thematisch schließt die Entscheidung dabei an das SCHUFA-Urteil (C-634/21) von 7. Dezember 2023 an.
Ausgangslage
Ein österreichischer Mobilfunkanbieter verweigerte einer Kundin den Abschluss bzw. die Verlängerung eines Mobilfunkvertrags, da sie über keine ausreichende Bonität, nicht einmal für eine Zahlung in der Höhe von €10, verfüge. Der Grund für diese Einschätzung war eine automatisierte Bonitätsbeurteilung durch die Dun & Bradstreet Austria GmbH (ehem. „Bisnode Austria GmbH“, im Folgenden: „D&B“), einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen. Daraufhin wandte sich die Kundin an die österreichische Datenschutzbehörde (DSB), die D&B auftrug, der Kundin aussagekräftige Informationen über die involvierte Logik der Entscheidung zu übermitteln. D&B erhob dagegen Beschwerde und berief sich auf geschützte Geschäftsgeheimnisse, weshalb der Kundin keine über die bereits zur Verfügung gestellten Informationen hinausgehende Informationen übermittelt werden könnten. Die Kundin wurde von D&B lediglich darauf hingewiesen, dass für die Ermittlung deren künftigen Zahlungsverhaltens („Bonitätsscores“) bestimmte soziodemographische Daten „untereinander gleichwertig gewichtet“ worden seien. Nach mehreren Instanzenzügen landete die Rechtssache schließlich vor dem EuGH, der sich im Rahmen eines Vorabentscheidungsverfahrens mit der Sache befasste.
„Aussagekräftige Informationen“
Die an den EuGH gerichtete Hauptfrage betraf die inhaltlichen Erfordernisse, die eine erteilte Auskunft erfüllen muss, um als ausreichend „aussagekräftig“ im Sinne von Art 15 Abs 1 lit h DSGVO eingestuft zu werden. Zunächst umfasst laut EuGH die „involvierte Logik“ alle Informationen, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses auf der Grundlage dieser Daten maßgeblich sind. In seinem Urteil betont er außerdem das Transparenzprinzip gemäß Art 12 DSGVO, wonach Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln sind. Weiters muss der Verantwortliche das Verfahren und die Grundsätze so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden. Betroffene müssen die Informationen somit in vollem Umfang verstehen können, weshalb es sich auch als erforderlich erweisen kann, die mitgeteilten Informationen zu kontextualisieren. Als Beispiel für eine ausreichend transparente und nachvollziehbare Erklärung reiche es laut EuGH, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte (sog kontrafaktische Erklärung/counterfactual). Eine Auskunft über komplexe mathematische Formeln oder über die Offenlegung des konkreten Algorithmus sei hingegen nicht erforderlich, was jedoch keine pauschale Entbindung des Verantwortlichen von seiner Erläuterungspflicht bedeuten darf.
Ausübung von Rechten und Geschäftsgeheimnisse
Art 22 Abs 3 DSGVO gesteht betroffenen Personen gewisse Rechte zu, bspw das Recht auf Darlegung des eigenen Standpunkts und der Bekämpfung der sie betreffenden automatisierten Entscheidung. Eine Vorlagefrage betraf den Konnex dieser Bestimmung mit dem Auskunftsanspruch nach Art 15 Abs 1 lit h DSGVO, konkret, ob der Umfang der zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Betroffene in die Lage versetzt wird, diese ihm garantierten Rechte tatsächlich, profund und erfolgversprechend wahrzunehmen. Dies bejahte der EuGH mit der Begründung, dass sonst kein ausreichender Schutz der Betroffenen vor Risiken für ihre Rechte und Freiheiten bestünde und dies dem Zweck der Norm widersprechen würde.
Der EuGH beschäftigte sich außerdem mit der Frage nach dem Umgang mit Geschäftsgeheimnissen und urteilte, dass der Verantwortliche in Zweifelsfällen die angeblich als Geschäftsgeheimnisse geschützten Informationen der zuständigen Aufsichtsbehörde bzw dem zuständigen Gericht vorlegen müsse. Diese bzw dieses habe dann eine Interessenabwägung vorzunehmen, um den Umfang der zu übermittelnden Informationen einzustufen. Eine Achtung von Geschäftsgeheimnissen darf dabei nicht zur Verweigerung jeglicher Auskunft führen.
Fazit
Die Darlegung der involvierten Logik umfasst somit die Erläuterung der Verfahren und Grundsätze, die bei der automatisierten Verarbeitung von personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses konkret angewandt wurden. Die Informationen müssen nachvollziehbar sein und der betroffenen Person die Ausübung ihrer Rechte ermöglichen, beispielsweise die Anfechtung der automatisierten Entscheidung. Bei befürchteter Preisgabe von Geschäftsgeheimnissen ist die zuständige Aufsichtsbehörde bzw das Gericht zu Rate zu ziehen. Diese haben eine Interessenabwägung durchzuführen und zu prüfen, in welchem Umfang Informationen an die betroffene Person übermittelt werden müssen.
Damit bestätigt der EuGH ein echtes auf Art 15 Abs 1 lit h gestütztes Recht auf Erläuterung der automatisierten Entscheidungsfindung und stellt augenscheinlich auf den Einzelfall („bestimmtes Ergebnis“) ab. Eine solche Erklärung dürfte sich technisch leichter, aber nicht ausschließlich, mit sogenannten lokalen post-poc-Erklärungen (bspw Hervorhebung der wichtigsten features oder counterfactuals) anstelle von allgemeinen Funktionsbeschreibungen oder einer detaillierten globalen ante-hoc-Interpretierbarkeit, die versucht das gesamte Modell als „White-Box“ verständlich zu machen, erreichen lassen.
Autorin
Dr. Madeleine Müller, BA, MU ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center.