EuGH: Kunde kann nach der DSGVO bei automatisierter Bonitätsberuteilung Auskunft darüber verlangen wie die Entscheidung zustandegekommen ist
EuGH
Urteil vom 27.02.2025
C-203/22
Dun & Bradstreet Austria
Der EuGH hat entschieden, dass ein Kunde nach der DSGVO bei einer automatisierten Bonitätsberuteilung Auskunft darüber verlangen kann, wie diese Entscheidung zustandegekommen ist.
Die Pressemitteilung des Gerichts:
Automatisierte Bonitätsbeurteilung: Die betroffene Person hat das Recht, zu erfahren, wie die sie betreffende Entscheidung zustande kam
Die Erläuterung muss es ihr ermöglichen, die automatisierte Entscheidung nachzuvollziehen und sie anzufechten.
In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge. Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war. Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.
Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DSGVO)1 verstoßen habe. Dun & Bradstreet habe der Kundin nämlich keine „aussagekräftigen Informationen über die involvierte Logik“ der betreffenden automatisierten Entscheidungsfindung übermittelt. Zumindest habe das Unternehmen nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln
Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss. Es hat den Gerichtshof daher um Auslegung der DSGVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.
Dem Gerichtshof zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.
Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es u. a. ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.
Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, hat er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln. Diese müssen die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln.
Der Gerichtshof stellt in diesem Zusammenhang klar, dass die DSGVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 27.02.2025
C-203/22
Dun & Bradstreet Austria
Der EuGH hat entschieden, dass ein Kunde nach der DSGVO bei einer automatisierten Bonitätsberuteilung Auskunft darüber verlangen kann, wie diese Entscheidung zustandegekommen ist.
Die Pressemitteilung des Gerichts:
Automatisierte Bonitätsbeurteilung: Die betroffene Person hat das Recht, zu erfahren, wie die sie betreffende Entscheidung zustande kam
Die Erläuterung muss es ihr ermöglichen, die automatisierte Entscheidung nachzuvollziehen und sie anzufechten.
In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge. Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war. Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.
Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DSGVO)1 verstoßen habe. Dun & Bradstreet habe der Kundin nämlich keine „aussagekräftigen Informationen über die involvierte Logik“ der betreffenden automatisierten Entscheidungsfindung übermittelt. Zumindest habe das Unternehmen nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln
Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss. Es hat den Gerichtshof daher um Auslegung der DSGVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.
Dem Gerichtshof zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.
Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es u. a. ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.
Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, hat er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln. Diese müssen die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln.
Der Gerichtshof stellt in diesem Zusammenhang klar, dass die DSGVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.
Den Volltext der Entscheidung finden Sie hier: