ThinkTank_Logo_black
Das Warten hat ein Ende
Ailance™ ThinkTank ist da!
Mehr erfahren

EuGH stärkt Transparenz: Auskunfteien müssen Entscheidungsprozesse offenlegen

EuGH stärkt Transparenz bei automatisierten Entscheidungsfindungen.
Kategorien:
,

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 27. Februar 2025 eine wichtige Entscheidung zum Auskunftsrecht nach Art. 15 Abs. 1 lit. h DSGVO getroffen. Das Urteil (Rechtssache C-203/22) klärt die Anforderungen an die Transparenz automatisierter Entscheidungsfindungen und setzt Maßstäbe für den Schutz personenbezogener Daten gegenüber wirtschaftlichen Geheimhaltungsinteressen.

Streit um Auskunftspflicht bei automatisierter Bonitätsprüfung

Der Entscheidung lag eine Vorlage des Verwaltungsgerichts Wien zugrunde. Die Klägerin CK, eine natürliche Person, wurde von einem Mobilfunkanbieter aufgrund einer automatisierten Bonitätsprüfung abgelehnt. Die Bewertung erfolgte durch die Dun & Bradstreet Austria GmbH (D & B), ein auf Bonitätsprüfungen spezialisiertes Unternehmen. CK verlangte daraufhin Einsicht in die maßgeblichen Kriterien und Berechnungsgrundlagen dieser Bewertung, um die Entscheidungsgrundlage nachvollziehen und gegebenenfalls korrigieren zu können.

D & B verweigerte die Offenlegung der zugrunde liegenden Logik mit der Begründung, es handele sich um geschützte Geschäftsgeheimnisse. CK wandte sich daraufhin an die österreichische Datenschutzbehörde, die D & B aufforderte, aussagekräftige Informationen über die automatisierte Entscheidungsfindung zur Verfügung zu stellen. D & B legte gegen diesen Bescheid Beschwerde beim Bundesverwaltungsgericht ein, das die Auskunftspflicht bestätigte.

Da D & B trotz rechtskräftiger Entscheidung untätig blieb, beantragte CK beim Magistrat der Stadt Wien die Vollstreckung des Urteils. Die Vollstreckungsbehörde lehnte den Antrag mit der Begründung ab, dass D & B ihrer Auskunftspflicht bereits nachgekommen sei. Daraufhin wandte sich CK erneut an das Verwaltungsgericht Wien, das den Fall dem EuGH zur Vorabentscheidung vorlegte.

EuGH soll über Grenzen und Umfang des Auskunftsrechts entscheiden

Das Verwaltungsgericht Wien hat dem EuGH mehrere grundsätzliche Fragen zur Auslegung von Art. 15 Abs. 1 lit. h DSGVO vorgelegt. Die zentrale Problematik bestand darin, die Grenzen und den Umfang des Auskunftsrechts der betroffenen Personen in Bezug auf automatisierte Entscheidungsprozesse zu bestimmen. Die Fragen des Verwaltungsgerichts betrafen insbesondere

  1. Umfang der Informationspflichten: Welche konkreten Informationen müssen Verantwortliche bereitstellen, um den Anforderungen von Art. 15 Abs. 1 Buchst. h DSGVO zu entsprechen?
  2. Abwägung mit Geschäftsgeheimnissen: Ist eine Offenlegung auch dann erforderlich, wenn dabei Geschäftsgeheimnisse oder personenbezogene Daten Dritter betroffen sind?
  3. Transparenz versus Geheimhaltung: Wie lässt sich das Spannungsverhältnis zwischen dem Datenschutzrecht der betroffenen Person und dem Schutz wirtschaftlicher Interessen der Unternehmen auflösen?


Lese-Tipp: Datenminimierung und Datensparsamkeit – EuGH kippt Anredepflicht beim Online-Ticketkauf

EuGH: Transparenz und verständliche Darstellung erforderlich

Der EuGH hat entschieden, dass Verantwortliche verpflichtet sind, die “involvierte Logik” automatisierter Entscheidungsprozesse für den Betroffenen nachvollziehbar offenzulegen. Dies erfordert eine klare Beschreibung der verwendeten Berechnungsmethoden und Algorithmen. Insbesondere müssen Unternehmen darlegen:

  • Welche mathematischen Verfahren und Modelle zur Entscheidungsfindung herangezogen wurden,
  • Welche spezifischen Eingangsvariablen in die Bewertung eingeflossen sind,
  • Wie diese Faktoren in der Gesamtheit zu dem konkreten Ergebnis geführt haben.


Die bloße Mitteilung eines Bonitätswerts oder einer Risikoeinstufung ohne weitere Erläuterung reicht nicht aus. Vielmehr ist eine transparente und verständliche Darstellung erforderlich, um der betroffenen Person eine realistische Einschätzung darüber zu ermöglichen, welche Kriterien zur automatisierten Entscheidungsfindung beigetragen haben.

Ein weiterer zentraler Aspekt der Entscheidung betrifft den Schutz von Geschäftsgeheimnissen und personenbezogenen Daten Dritter. Der EuGH stellte klar, dass Unternehmen sich nicht pauschal auf Geheimhaltung berufen dürfen, um eine Auskunft zu verweigern. Vielmehr ist eine sorgfältige Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Schutzinteressen des Unternehmens erforderlich. Nur in Ausnahmefällen, in denen nachweislich schwerwiegende Beeinträchtigungen wirtschaftlicher Interessen vorliegen, kann eine Einschränkung der Informationspflicht gerechtfertigt sein.

Zudem machte der EuGH deutlich, dass es keine absolute Verweigerung der Auskunft geben darf. Falls bestimmte Informationen aus Geheimhaltungsgründen nicht direkt weitergegeben werden können, muss zumindest eine alternative Möglichkeit geschaffen werden, um das Recht der betroffenen Person zu gewährleisten. Beispielsweise kann eine Offenlegung gegenüber einer unabhängigen Aufsichtsbehörde oder einem Gericht erfolgen, um eine objektive Prüfung der automatisierten Entscheidungsfindung zu ermöglichen.

Auswirkungen des EuGH-Urteils auf die Praxis

Die Entscheidung des EuGH hat weitreichende Folgen für Unternehmen, insbesondere für solche, die auf automatisierte Entscheidungsprozesse setzen. Verantwortliche Stellen müssen nun sicherstellen, dass sie den gestiegenen Anforderungen an Transparenz gerecht werden, um eine rechtskonforme Datenverarbeitung zu gewährleisten.

  1. Erweiterte Informationspflichten
    Unternehmen sind verpflichtet, automatisierte Entscheidungsprozesse ausführlich und verständlich zu erläutern. Dies bedeutet, dass Betroffene nachvollziehen können müssen, welche Eingangsgrößen verwendet wurden und wie diese zu einer bestimmten Entscheidung geführt haben. Der bloße Hinweis auf eine automatisierte Bewertung reicht nicht aus, vielmehr muss die Funktionsweise für den Betroffenen nachvollziehbar offengelegt werden.
  2. Erschwerte Berufung auf Geschäftsgeheimnisse
    Der EuGH hat klargestellt, dass sich Unternehmen nicht pauschal auf den Schutz von Geschäftsgeheimnissen berufen können, um die Herausgabe von Informationen zu verweigern. Vielmehr muss in jedem Einzelfall geprüft werden, ob tatsächlich schutzwürdige Geschäftsgeheimnisse betroffen sind. Ist dies der Fall, ist eine Abwägung mit den Rechten der betroffenen Person vorzunehmen. Dabei können Gerichte oder Aufsichtsbehörden eingeschaltet werden, um zu entscheiden, welche Informationen offengelegt werden müssen.
  3. Notwendigkeit neuer Kontrollmechanismen
    Datenschutzbehörden und Gerichte werden in Zukunft eine größere Rolle bei der Abwägung zwischen Transparenzpflichten und dem Schutz von Geschäftsgeheimnissen spielen. Unternehmen sollten sich daher darauf einstellen, ihre Abwägungsprozesse detailliert zu begründen. Dies kann auch zu einer erhöhten Dokumentationspflicht führen, um gegenüber den Aufsichtsbehörden nachweisen zu können, dass die Offenlegungspflichten im Einklang mit der DSGVO erfüllt wurden.
  4. Auswirkungen auf Vertragsbeziehungen
    Die Entscheidung kann weitreichende Folgen für Vertragspartner von Unternehmen haben. Insbesondere Banken, Versicherungen und Mobilfunkanbieter, die auf automatisierte Bonitätsprüfungen setzen, müssen sicherstellen, dass ihre Kunden eine hinreichend verständliche Erläuterung der Entscheidungsgrundlagen erhalten. Andernfalls könnten Vertragsabschlüsse oder -verlängerungen wegen mangelnder Transparenz gerichtlich angefochten werden.
  5. Anpassung interner Prozesse und Compliance-Maßnahmen
    Unternehmen müssen ihre internen Prozesse anpassen, um den neuen Anforderungen gerecht zu werden. Dazu gehört die Umsetzung technischer und organisatorischer Maßnahmen zur transparenten Dokumentation und Kommunikation der Bewertungsmechanismen.

Fazit

Die Entscheidung des EuGH hat das Recht auf Transparenz bei automatisierten Entscheidungen wesentlich konkretisiert. Betroffene erhalten nun ein klar definiertes und durchsetzbares Auskunftsrecht, das es ihnen ermöglicht, die Verarbeitung ihrer personenbezogenen Daten besser nachzuvollziehen und gegebenenfalls rechtliche Schritte einzuleiten.

Für Unternehmen bedeutet dies, dass sie ihre internen Prozesse und Mechanismen zur automatisierten Entscheidungsfindung überarbeiten müssen. Sie müssen umfassender informieren und die zugrundeliegenden Algorithmen und Entscheidungslogiken nachvollziehbar offenlegen. Dies erfordert nicht nur technische Anpassungen, sondern auch eine engere Zusammenarbeit mit den Datenschutzbehörden, um sicherzustellen, dass die neuen Anforderungen erfüllt werden.

Die Entscheidung macht zudem deutlich, dass der Schutz von Geschäftsgeheimnissen nicht pauschal als Argument für eine Auskunftsverweigerung herangezogen werden kann. Vielmehr müssen Unternehmen in jedem Einzelfall eine sorgfältige Abwägung vornehmen und gegebenenfalls alternative Wege finden, um relevante Informationen zur Verfügung zu stellen, etwa durch Offenlegung gegenüber Aufsichtsbehörden oder Gerichten.

Quelle: Urteil des EuGH in der Rechtssache C‑203/22

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman