Das Urteil des EuGH vom 27. Februar 2025 in der Rs. C-203/22 (Dun & Bradstreet Austria) stellt eine wichtige Entscheidung im Kontext der automatisierten Scoring- und Profiling-Dienste dar. Die Entscheidung folgte auf das Schufa-Urteil aus dem Jahr 2023 und legt fest, welche Anforderungen an die Auskunftspflicht bei automatisierten Bonitätsprüfungen bestehen. Der EuGH hat dabei erneut den Verbraucherschutz über die wirtschaftlichen Interessen von Unternehmen gestellt.
1. Verweigerung des Vertragsabschlusses aufgrund negativer Bonitätsbewertung
Im Fall einer österreichischen Kundin, die aufgrund einer negativen Bonitätsbewertung von Dun & Bradstreet Austria von einem Mobilfunkanbieter abgelehnt wurde, forderte die Datenschutzbehörde Auskunft über die zugrunde liegende Logik der automatisierten Bonitätsprüfung, um die Berechnungsgrundlagen nachvollziehen und gegebenenfalls korrigieren zu können. Dun & Bradstreet verweigerte diese Auskunft unter Berufung auf den Schutz von Geschäftsgeheimnissen. Die Kundin erhob Klage, was schließlich zur Vorlage des Falls an den EuGH im Hinblick darauf führte, welche inhaltlichen Anforderungen an eine Auskunft nach Art. 15 Abs. 1 lit. h DS-GVO bestehen, um als ausreichend „aussagekräftig“ erachtet zu werden und wie der Schutz von Geschäftsgeheimnissen damit vereinbar ist.
2. EuGH urteilt über Ausmaß des Auskunftsrechts und Auswirkung des Geschäftsgeheimnisschutzes
Der EuGH entschied im vorliegenden Fall für ein weitreichendes Auskunftsrecht beim Profiling (Art. 4 Nr. 4 DS-GVO) und stellte fest, dass die Offenlegung der involvierten Logik der automatisierten Entscheidungsfindung nicht pauschal mit dem Hinweis auf Geschäftsgeheimnisse verweigert werden darf.
Für „aussagekräftige Informationen über die Logik der Entscheidungsfindung“ genügen eine rein abstrakte Erklärung oder die Übermittlung komplexer Berechnungsformeln nicht. Scoring-Anbieter müssen zur Gewährleistung eines hohen Verbraucherschutzniveaus so detaillierte und nachvollziehbare Informationen bereitstellen, dass für die Betroffenen die Entscheidungen überprüfbar und verständlich sind. Sie sollen schließlich in der Lage sein, effektiv überprüfen zu können, ob die verwendeten Daten korrekt sind und ob deren Verwendung zulässig ist. Sonst kann eine betroffene Person nicht sinnvoll darlegen, inwiefern und aus welchem Grund eine bestimmte Entscheidung fehlerhaft ist und dies ggf. korrigieren lassen.
Das pauschale Berufen auf schutzwürdige Geschäftsgeheimnisse befreit grundsätzlich nicht von der Auskunftspflicht. Somit kann die Offenlegung nur dann wegen Geschäftsgeheimnissen verweigert werden, wenn eine Abwägung widerstreitender Interessen durch eine unabhängige Stelle, also ein Gericht oder eine Aufsichtsbehörde, stattfindet. Dieser Stelle müssen die Informationen dann vorgelegt und die Unzumutbarkeit der Offenlegung dargelegt werden. Sie soll die Informationen dann auf ihre Schutzwürdigkeit überprüfen und nur diejenigen Informationen weiterleiten, die nicht vom Geschäftsgeheimnisschutz erfasst sind oder deren Offenlegung nicht unzumutbar ist.
3. Auswirkungen
Das EuGH-Urteil vom Februar 2025 hat weitreichende Folgen für die Praxis automatisierter Bonitätsprüfungen und Entscheidungsprozesse in verschiedenen Bereichen wie Kredit-Scoring, Personalrekrutierung oder Versicherungswesen. Unternehmen müssen ihre Prozesse zur Datenauskunft anpassen, um den neuen Transparenzanforderungen gerecht zu werden. Um ein potenzielles Missbrauchsrisiko des Auskunftsrechts aufgrund des damit einhergehenden organisatorischen und finanziellen Aufwands einzudämmen, fordern Kritiker das Erfordernis eines „berechtigten Interesses“ als Voraussetzung für die Auskunftserteilung. Insgesamt bringt das EuGH-Urteil eine grundlegende Klärung im Spannungsfeld zwischen Datenschutz und Geschäftsgeheimnissen und stärkt die Verbraucherrechte.