Der Europäische Gerichtshof (EuGH) hat in der Rechtssache C-203/22 klargestellt, welche Informationen Auskunfteien bei der automatisierten Verarbeitung personenbezogener Daten offenlegen müssen. Die Entscheidung betrifft insbesondere das sogenannte Scoring, bei dem Unternehmen wie Banken oder Mobilfunkanbieter auf Basis von Score-Werten über Vertragsabschlüsse entscheiden.
Erhöhte Transparenzpflichten für Scoring-Verfahren
Nach der Datenschutz-Grundverordnung (DSGVO) müssen Auskunfteien betroffenen Personen mitteilen, wie ihre Score-Werte berechnet werden. Bislang war unklar, welche Details dabei preisgegeben werden müssen. Der EuGH betont nun, dass Betroffene nachvollziehen können müssen, welche Daten für die automatisierte Entscheidung genutzt wurden und wie sich diese auf das Ergebnis ausgewirkt haben.
Ein konkreter Fall aus Österreich war Anlass für das Urteil: Eine Frau wurde von einem Mobilfunkanbieter abgelehnt, weil ihre Bonität angeblich nicht ausreichte – obwohl die von der Auskunftei gespeicherten Daten eine sehr gute Kreditwürdigkeit bescheinigten. Die Begründung blieb vage, sodass sie den Rechtsweg beschritt. Das österreichische Verwaltungsgericht wandte sich an den EuGH mit der Frage, welche Informationen die Auskunftei konkret offenlegen muss.
Keine vollständige Offenlegung des Algorithmus
Der EuGH stellt klar, dass Unternehmen nicht gezwungen sind, den vollständigen Algorithmus oder alle mathematischen Details offenzulegen. Die DSGVO verlangt jedoch „aussagekräftige Informationen über die involvierte Logik“. Das bedeutet, dass zumindest offengelegt werden muss, welche Faktoren die Bewertung beeinflusst haben und in welchem Umfang Änderungen dieser Faktoren zu einem anderen Ergebnis geführt hätten.
Beschränkungen durch Geschäftsgeheimnisse nur begrenzt möglich
Ein weiteres wichtiges Ergebnis des Urteils: Geschäftsgeheimnisse dürfen nicht pauschal als Grund für eine Verweigerung der Auskunft herangezogen werden. Die bisherige österreichische Regelung, die solche Geheimnisse von der Auskunftspflicht „in der Regel“ ausnimmt, verstößt gegen die DSGVO und muss geändert werden.
Falls tatsächlich schutzwürdige Informationen betroffen sind, müssen diese zumindest einer Aufsichtsbehörde oder einem Gericht offengelegt werden. Diese Instanzen können dann prüfen, welche Daten der betroffenen Person zur Verfügung gestellt werden müssen, um ihr Recht auf Transparenz zu wahren.
Relevanz für den Datenschutz und die Praxis
Das EuGH-Urteil stärkt die Rechte von Verbrauchern und setzt klare Maßstäbe für die Transparenz bei automatisierten Entscheidungsprozessen. In der Praxis bedeutet dies für Unternehmen, dass sie ihre Scoring-Modelle und die damit verbundenen Informationspflichten überarbeiten müssen. Betroffene, die eine Entscheidung auf Basis von Score-Werten nicht nachvollziehen können, haben nun bessere Chancen, ihre Rechte geltend zu machen.
Für Unternehmen und Auskunfteien stellt sich nun die Herausforderung, ihre Prozesse an die neuen Vorgaben anzupassen, ohne dabei ihre Geschäftsgeheimnisse übermäßig offenzulegen. Hier wird eine sorgfältige Abwägung notwendig sein – auch in der rechtlichen Beratung.