Der EuGH hat klargestellt, wie die laut der Datenschutz-Grundverordnung (DSGVO) erforderlichen "aussagekräftigen Informationen" über automatisierte Entscheidungen nach Score-Werten zu gestalten sind (Rechtssache C-203/22). Auskunfteien wie hierzulande die Schufa errechnen solche Score-Werte, anhand derer dann Unternehmen wie Banken oder Mobilfunkanbieter über einen Vertragsschluss entscheiden.
Nachvollziehbar erklären
Dabei sieht die DSGVO vor, dass Auskunfteien betroffenen Menschen über die Berechnung der Werte Auskunft geben müssen. Bislang war offen, welche Angaben konkret zu machen sind. Laut dem EuGH-Urteil vom Donnerstag müssen Scoring-Verfahren und dessen Grundsätze so beschrieben werden, dass Betroffene nachvollziehen können, welche ihrer Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden.
Der Entscheidung der europäischen Richter liegt ein Fall aus Österreich zugrunde: Ein Mobilfunkbetreiber verweigerte einer Frau einen Mobilfunkvertrag, der eine monatliche Zahlung von zehn Euro zur Folge gehabt hätte, und begründete das mit mangelnder Kreditwürdigkeit. Dabei verwies das Unternehmen nur auf eine automatisierte Bonitätsprüfung der Auskunftei Bisnode Austria (mittlerweile Dun & Bradstreet, D&B). Im Rahmen des anschließenden Rechtsstreits stellte das österreichische Bundesverwaltungsgericht rechtskräftig fest, dass D&B die automatisierte Entscheidung nicht angemessen erläutert und so gegen die DSGVO verstoßen hat. Dennoch gab D&B keine weiteren Informationen preis und verwies auf die bereits offengelegten, über die Doch-nicht-Kundin gespeicherten Daten. Diese bescheinigten sehr gute Bonität. Der Grund der Ablehnung des Zehn-Euro-Vertrages blieb schleierhaft, also wandte sich die Frau an das Wiener Verwaltungsgericht, um das erstrittene Urteil auf Transparenz durchzusetzen.
Das Verwaltungsgericht befragte daraufhin den EuGH dazu, welche Informationen D&B konkret liefern muss. Der EuGH hebt nun hervor, dass Transparenz und Nachvollziehbarkeit wichtig sind, um eine automatisierte Entscheidung gegebenenfalls anfechten zu können. Ausreichend seien dafür potenziell Informationen, in welchem Maße Abweichungen bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätten. Die Offenlegungspflicht umfasst nicht unbedingt den verwendeten Algorithmus selbst: Denn die DSGVO verpflichtet "zur Übermittlung aussagekräftiger Informationen über die involvierte Logik, nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus."
Sensible Informationen
D&B pochte auf die Geheimhaltung seiner Geschäftsgeheimnisse sowie gegebenenfalls geschützter Daten Dritter. Das lässt der EuGH nicht pauschal gelten. Er betont, dass die österreichische Regelung, die Geschäfts- oder Betriebsgeheimnisse "in der Regel" vom Auskunftsrecht ausnimmt, unzulässig ist. Denn sie verstößt gegen die DSGVO. Österreich wird Paragraph 4 Absatz 6 Datenschutzgesetz also aufheben oder ändern müssen.
Können solche sensiblen Informationen ins Spiel kommen, muss der Verantwortliche diese Daten zwar nicht direkt dem Betroffenen, wohl aber der zuständigen Aufsichtsbehörde oder dem befassten Gericht übermitteln. Diese Behörde soll dann die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person zu ermitteln. Der passende Teil der Daten geht dann von dort weiter an die betroffene Person.
Die deutsche Schufa begrüßt das Urteil, da es dazu beitrage, Scoring verständlicher zu machen. Die Auskunftei fühlt sich in ihrer Transparenzoffensive bestärkt.
