EuGH-Urteil zum „Bonitätsscoring“ – Umfang des Auskunftsanspruchs und Unionsrechtswidrigkeit des § 4 Abs. 6 DSG

Mit dem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) vom 27. Februar 2025 (C‑203/22 – Dun & Bradstreet Austria GmbH) ist klargestellt, dass betroffene Personen gemäß Art. 15 Abs. 1 lit. h DSGVO einen umfassenden Auskunftsanspruch insbesondere in Bezug auf automatisierte Entscheidungsfindungen im Zusammenhang mit Bonitätsscoring-Verfahren haben. In diesem Zusammenhang hat sich der EuGH außerdem hinsichtlich der Anwendbarkeit der Regelung in § 4 Abs. 6 des österreichischen Datenschutzgesetzes (DSG) geäußert.

Umfang der Auskunftserteilung im Sinne des Art. 15 Abs. 1 lit. h DSGVO

Ausgangspunkt des Verfahrens war eine Beschwerde einer betroffenen Person gegen die Verarbeitung ihrer personenbezogenen Daten durch die im Urteil genannte Auskunftei. Sie war der Auffassung, dass diese sie nur unzureichend über die Verarbeitung ihrer Daten informiert hatte. Zwar wurden allgemeine Informationen über die Datenverarbeitung erteilt, aber die genaue Herkunft der Daten sowie die konkrete Zusammensetzung und Berechnungslogik des Score-Werts wurden nicht offengelegt. Die österreichische Datenschutzbehörde legte den Fall dem Verwaltungsgericht Wien vor, letzteres richtete schließlich mehrere Fragen zur Reichweite des Auskunftsanspruchs und zur Definition personenbezogener Daten im Zusammenhang mit Scoring-Verfahren zur Vorabentscheidung an den EuGH.

Aus dem EuGH-Urteil ergibt sich nun insbesondere, dass betroffene Personen im Zusammenhang mit der Auskunftspflicht bei automatisierten Entscheidungen (Art. 15 Abs. 1 lit. h DSGVO i. V. m. Art. 22 Abs. 1 DSGVO) Anspruch auf konkrete, transparente und verständliche Erläuterungen der Verfahren und Grundsätze, die zur Berechnung ihres Bonitätsprofils verwendet wurden, haben.

Der EuGH führt in seinem Urteil aus, dass „[…] die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden“ (siehe EuGH 27. Februar 2025, C-203/22 Rz. 66).

Zudem seien abstrakte Erklärungen und allgemeine Prinzipien nicht ausreichend. Weder die bloße Angabe komplexer mathematischer Formeln noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung reichten aus. Vielmehr sei ein individueller Bezug erforderlich – die Auskunft müsse sich auf den konkreten Einzelfall beziehen, inklusive möglicher Auswirkungen von Datenabweichungen (EuGH 27. Februar 2025, C-203/22 Rz. 59-62).

Inwiefern spielt § 4 Abs. 6 des österreichischen Datenschutzgesetzes (DSG) hier eine Rolle?

• 4 Abs. 6 DSG normiert, dass „das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO […] gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht [besteht], wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.“

Diese Bestimmung verführt zur Vermutung, dass das Auskunftsrecht betroffener Personen in Österreich pauschal eingeschränkt ist, sofern es Geschäftsgeheimnisse Verantwortlicher zu schützen gilt. Die Dun & Bradstreet Austria GmbH machte dementsprechend im gegenständlichen Verfahren geltend, dass bestimmte Informationen, insbesondere die Berechnungslogik und die genauen Datenquellen des Bonitätsscores, Geschäftsgeheimnisse bzw. Betriebsgeheimnisse darstellten und eine Offenlegung dieser Informationen ihre wirtschaftlichen Interessen gefährden würde.

Der EuGH hat diesbezüglich jedoch klargestellt, dass die Gefährdung eines Geschäfts- oder Betriebsgeheimnisses als berechtigtes Interesse zwar grundsätzlich eine Rolle spielen kann, im Ergebnis jedoch nicht das in Art. 15 DSGVO vorgesehene Auskunftsrecht für betroffene Personen grundsätzlich ausschließt.

Vielmehr sei Art. 15 Abs. 1 lit. h DSGVO dahin auszulegen, dass in oben genannten Fällen, „der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln“ (siehe EuGH 27. Februar 2025, C-203/22 Rz. 75,76).

Die österreichische Bestimmung des § 4 Abs. 6 DSG wurde damit vom EuGH als unionsrechtswidrig gewertet.

Die österreichische Datenschutzbehörde hat auf die Rechtsprechung des EuGH bereits mit einem Rundschreiben an die WKO (Fachverband für Finanzdienstleister) reagiert und ist ihrer Verpflichtung gemäß Art. 57 Abs. 1 lit. d DSGVO (Sensibilisierung von Verantwortlichen und Auftragsverarbeitern) nachgekommen.

Fazit und Ausblick

In Anbetracht dieser Entscheidung ist künftig wohl generell in Europa von einem hohen Maßstab hinsichtlich des Umfangs des Auskunftsanspruchs gemäß Art. 15 Abs. 1 lit. h DSGVO auszugehen. Bei Auskunftsbegehren betroffener Personen ist angeraten, von Seiten des Verantwortlichen eine Beschreibung der konkret zur Anwendung gelangenden Verfahren bereitzustellen und zu erörtern, welche konkreten personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung wie verarbeitet werden.

Speziell österreichische Verantwortliche können sich nicht mehr – wie bislang – auf die Bestimmung des § 4 Abs. 6 DSG berufen. Zwar ist diese Bestimmung formell noch im österreichischen Datenschutzgesetz enthalten und in Kraft. Österreichische Behörden und Gerichte dürfen diese unionsrechtswidrige Norm aufgrund der einheitlichen Auslegung und des Anwendungsvorrangs des Unionsrechts allerdings nicht mehr anwenden. Das bedeutet, dass die Gefährdung eines Geschäftsgeheimnisses nicht mehr per se dazu führt, dass kein Auskunftsrecht für die betroffene Person besteht.

Insgesamt ist zu beobachten, dass die Unionsrechtswidrigkeit nationaler Normen keine Seltenheit darstellt. Beispielsweise wurde in Österreich bereits bezüglich §§ 12 und 13 DSG (spezielle Regelungen zur Bildverarbeitung) entschieden, dass diese nicht mit der DSGVO vereinbar und nicht anzuwenden sind, weil keine entsprechende Öffnungsklausel besteht (siehe dazu u.a. Datenschutzbehörde (dsb Republik Österreich) Newsletter 1/2020 sowie den Beschluss bzw. das Erkenntnis des österreichischen Bundesverwaltungsgerichts (BVwG) hier und hier)

Auch mit der Anwendbarkeit des nationalen Beschäftigtendatenschutzrechts in Deutschland beschäftigte sich der EuGH bereits. Wir berichteten zuletzt hier.