Nach seiner Entscheidung zum Schufa-Scoring (s. dazu ZAP 2024, 6) hat der Europäische Gerichtshof (EuGH) ein weiteres Mal die Rechte von Verbrauchern gegenüber Bonitätsprüfern gestärkt. Setzten diese Algorithmen der Künstlichen Intelligenz (KI) ein, um die Zahlungsfähigkeit von Verbrauchern zu ermitteln, müssten sie dies offenlegen und den Entscheidungsweg nachvollziehbar erläutern, entschied das Luxemburger Gericht im Februar (EuGH, Urt. v. 27.2.2025 – C-203/22).
Der Fall war den Europarichtern von einem österreichischen Gericht vorgelegt worden, weil dieses klären lassen wollte, wie die Datenschutz-Grundverordnung (DS-GVO) beim Einsatz von KI auszulegen ist. Dem Rechtsstreit zugrunde liegt der Fall einer Mobilfunkkundin, der der Abschluss eines Mobilfunkvertrags über monatlich 10 € verweigert worden war. Diese Entscheidung des Mobilfunkanbieters beruhte auf einer negativen Bonitätsauskunft der Scoring-Gesellschaft Dun & Bradstreet Austria, die für ihre Prüfung auch KI eingesetzt hatte; der Kundin war das seinerzeit allerdings nicht mitgeteilt worden. Da diese die Richtigkeit der Bonitätsprüfung anzweifelte, bemühte sie zunächst die österreichische Datenschutzbehörde, die den Scoring-Anbieter zur Auskunft über seine Entscheidungsfindung aufforderte. Der aber weigerte sich, seine Algorithmen offenzulegen und klagte gegen die behördliche Entscheidung.
Nach Auffassung des EuGH hat ein Verbraucher beim Einsatz von KI in Scoring-Fällen, die er als „automatisierte Bonitätsprüfungen“ bezeichnet, das Recht zu erfahren, wie das Ergebnis der Prüfung zustande gekommen ist. Das ergebe sich aus den Art. 4, 15 und 22 DS-GVO. Danach habe der Verbraucher im Falle eines solchen Profilings ein erweitertes Auskunftsrecht. Dieses erstrecke sich u.a. darauf, dass die Entscheidung automatisiert zustande gekommen sei sowie auf aussagekräftige Informationen über die angewandten Entscheidungskriterien. Wie der EuGH ausführt, muss der nach der DS-GVO Verantwortliche das Verfahren und die Grundsätze, die konkret zur Anwendung gekommen sind, so beschreiben, dass Betroffene nachvollziehen können, welche ihrer personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet worden sind. Für die Erfüllung der Erfordernisse der Transparenz und der Nachvollziehbarkeit könne es u.a. ausreichen, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte, erläutern die Richter.
Mache der Verantwortliche geltend, dass die zu übermittelnden Erläuterungen Geschäftsgeheimnisse oder geschützte Daten Dritter offenbaren könnten, habe er diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, so der EuGH weiter. Diese müssten dann die einander gegenüberstehenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts der betroffenen Person hinsichtlich der offenzulegenden Informationen zu ermitteln. In diesem Zusammenhang stellten die Luxemburger Richter auch klar, dass sie nationale Ausnahmeregelungen nicht akzeptieren würden, falls diese ein entsprechendes Auskunftsrecht von Verbrauchern beim Tangieren von Geschäfts- oder Betriebsgeheimnissen ausschlössen; solchen Regelungen ginge die DS-GVO auf jeden Fall vor.
[Quelle: EuGH]
