Heutige PM des EuGH zu 27.2.2025, C-203/22: „In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge. Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war. Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.
Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen habe. Dun & Bradstreet habe der Kundin nämlich keine „aussagekräftigen Informationen über die involvierte Logik“ der betreffenden automatisierten Entscheidungsfindung übermittelt. Zumindest habe das Unternehmen nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln.
Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss. Es hat den Gerichtshof daher um Auslegung der DSGVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.
Dem Gerichtshof zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.
Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es u. a. ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.
Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, hat er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln. Diese müssen die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln.
Der Gerichtshof stellt in diesem Zusammenhang klar, dass die DSGVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.“
Siehe auch
- vzbv: EuGH-Urteil sorgt für nachvollziehbare Scoring-Ergebnisse
- SCHUFA: SCHUFA begrüßt EuGH-Urteil für mehr Score-Transparenz
Aus der o.g. SCHUFA-Mitteilung: „Nach erster Durchsicht des Urteils sind wir der Ansicht, dass wir die Anforderungen bereits heute erfüllen. Gemäß unseren Leitlinien Transparenz, Fairness, und Erklärbarkeit informieren wir Verbraucherinnen und Verbraucher im Rahmen der kostenlosen Datenkopie nach Art. 15 DSGVO nicht nur darüber, welche Daten wir zu ihrer Person speichern, sondern auch darüber, welche Unternehmen in den vergangenen 12 Monaten Scores angefragt und welche Scores wir übermittelt haben – inklusive Erläuterungen hierzu. Darüber hinaus stellen wir umfangreiche Informationen zur Verfügung, die Scoring erläutern, wie z. B. auf unserer Website mit dem SCHUFA Score-Simulator .“