EuGH-Urteil (Rechtssache C‑203/22) zum Thema automatisierte Entscheidungsfindung und Scoring 

Der Europäische Gerichtshof (EuGH) hat am 27. Februar 2025 ein bedeutendes Urteil in der Rechtssache C‑203/22 gefällt, das weitreichende Auswirkungen auf Unternehmen und Privatpersonen im Bereich Datenschutz hat. Im Zentrum des Verfahrens stand die Frage, wie weit das Auskunftsrecht einer betroffenen Person nach Art. 15 Abs. 1 Buchst. h der Datenschutz-Grundverordnung (DSGVO) reicht, wenn sie von einer ausschließlich automatisierten Entscheidungsfindung – einschließlich Profiling – betroffen ist. 

Konkret drehte sich das Verfahren um ein Bonitätsscore-System, das ohne menschliches Zutun erstellte Bewertungen zur Kredit- oder Zahlungsfähigkeit einer Person liefert. Die Klägerin hatte die Offenlegung der „involvierten Logik“ des Scoring-Systems verlangt und sich darauf berufen, dass sie nur so prüfen könne, ob der Score korrekt ermittelt wurde und ob das Verfahren den Anforderungen der DSGVO entspricht. 

Das Gericht stellte fest, dass Unternehmen, die solche automatisierten Verfahren einsetzen, umfangreiche Informationspflichten treffen: 

1. Aussagekräftige Informationen über die involvierte Logik 

2. Die Erklärung, wie die Daten verarbeitet werden, muss präzise, verständlich und leicht zugänglich sein. Es genügt nicht, lediglich eine allgemeine Beschreibung oder mathematische Formeln zur Verfügung zu stellen. Stattdessen ist eine verständliche Darstellung der relevanten Kriterien und Zusammenhänge erforderlich, damit die betroffene Person die Gründe für das Ergebnis nachvollziehen und gegebenenfalls ihre Rechte (z. B. auf Berichtigung oder Löschung) wirksam geltend machen kann.

3. Abwägung mit Rechten Dritter und Geschäftsgeheimnissen 

Das Unternehmen kann sich nicht pauschal auf Geschäftsgeheimnisse berufen, um die Offenlegung zu verweigern. Bestehen berechtigte Interessen Dritter (z. B. Datenschutz anderer Betroffener) oder liegt ein Geschäftsgeheimnis vor, so ist eine Abwägung vorzunehmen. Dabei muss gewährleistet sein, dass der betroffenen Person nicht jegliche Auskunft verweigert wird. 

 Falls sensible Informationen in diesen Bereichen betroffen sind, kann es geboten sein, dass die entsprechenden Details zunächst an Behörden oder Gerichte übermittelt werden, um dort die Interessen der Beteiligten abzuwägen. 

Organisationen, die Bonitätsprüfungen oder andere automatisierte Bewertungsverfahren nutzen, müssen ihre Prozesse dringend überprüfen, um sicherzustellen, dass: 

Das Urteil verdeutlicht einmal mehr, dass automatisierte Entscheidungen im Einzelfall erhebliche Auswirkungen auf die betroffene Person haben können. Eine detaillierte Dokumentation und die Fähigkeit, verständlich zu erklären, wie das Ergebnis zustande kommt, werden künftig entscheidend sein. Gleichzeitig dürfen Geschäftsgeheimnisse nicht pauschal als Grund für die Verweigerung von Auskünften angeführt werden. 

Unternehmen sollten sicherstellen, dass es Konfliktlösungsmechanismen gibt, die eine menschliche Überprüfung (Art. 22 Abs. 3 DSGVO) ermöglichen. 

Wie Bitkom Consult unterstützen kann 

Angesichts der neuen Vorgaben des EuGH sind Unternehmen gut beraten, externe Expertise zu Rate zu ziehen, um alle datenschutzrechtlichen Anforderungen korrekt umzusetzen. Bitkom Consult begleitet Organisationen bei: