Wird die Bonität einer Person automatisiert beurteilt, hat diese das Recht zu erfahren, wie die sie betreffende Entscheidung zustande kam. Die Erläuterung müsse es ihr ermöglichen, die automatisierte Entscheidung nachzuvollziehen und anzufechten, stellt der Europäische Gerichtshof (EuGH) klar.

In Österreich verweigerte ein Mobilfunkanbieter einer Kundin den Abschluss eines Vertrags, da sie über keine ausreichende Bonität verfüge. Er stützte sich dafür auf eine Bonitätsbeurteilung der Kundin, die von Dun & Bradstreet Austria, einem auf die Erstellung solcher Beurteilungen spezialisierten Unternehmen, automatisiert durchgeführt worden war. Der Vertrag hätte die Kundin zu einer monatlichen Zahlung von zehn Euro verpflichtet.

Im Rahmen des daran anschließenden Rechtsstreits stellte ein österreichisches Gericht rechtskräftig fest, dass Dun & Bradstreet gegen die Datenschutz-Grundverordnung (DS-GVO) verstoßen habe. Das Unternehmen habe der Kundin nämlich keine "aussagekräftigen Informationen über die involvierte Logik" der betreffenden automatisierten Entscheidungsfindung übermittelt. Zumindest habe es nicht hinreichend begründet, weshalb es nicht in der Lage sei, solche Informationen zu übermitteln.

Das Gericht, an das sich die Kundin für die Exekution der gerichtlichen Entscheidung wandte, fragt sich, welche Handlungen Dun & Bradstreet in diesem Zusammenhang konkret vornehmen muss. Es hat den Gerichtshof daher um Auslegung der DS-GVO und der Richtlinie über den Schutz von Geschäftsgeheimnissen ersucht.

Dem EuGH zufolge muss der Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden. Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könnte es unter anderem ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Die bloße Übermittlung eines Algorithmus stellt jedoch keine ausreichend präzise und verständliche Erläuterung dar.

Ist der Verantwortliche der Ansicht, dass die zu übermittelnden Informationen geschützte Daten Dritter oder Geschäftsgeheimnisse umfassen, habe er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln. Diese müssten die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich dieser Informationen zu ermitteln. Der EuGH stellt in diesem Zusammenhang klar, dass die DS-GVO der Anwendung einer nationalen Bestimmung entgegensteht, die das in Rede stehende Auskunftsrecht grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.

Gerichtshof der Europäischen Union, Urteil vom 27.02.2025, C-203/22