Mit Urteil vom 07.12.2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass Scoring durch Wirtschaftsauskunfteien als automatisierte Entscheidung im Sinne der Datenschutz-Grundverordnung (DSGVO) anzusehen ist. Damit stärkt das Gericht das Recht von Betroffenen, nicht Gegenstand einer automatisierten Entscheidung zu werden. Die Feststellungen des EuGH haben deshalb auch für den Einsatz von KI-Systemen eine wegweisende Bedeutung.
Sachverhalt
Dem Urteil des EuGH vom 07.12.2023 (Rs. C-634/21) liegt ein Rechtsstreit zwischen einem Betroffenen und der Hessischen Datenschutzaufsichtsbehörde über die Rechtmäßigkeit der Datenverarbeitung durch die Wirtschaftsauskunftei Schufa zugrunde. Dem Betroffenen war von einem Dritten wegen eines negativen Bonitätsscores ein Kredit verweigert worden. Der Betroffene hatte sich daraufhin an die Schufa gewandt und Auskunft sowie die Löschung seiner personenbezogenen Daten verlangt. Nachdem die Schufa dem Begehren des Klägers unter Berufung auf Betriebs- und Geschäftsgeheimnisse nicht vollständig nachgekommen war, beantragte der Betroffene bei der Hessischen Datenschutzaufsichtsbehörde, die Schufa zur Auskunftserteilung und Löschung der personenbezogenen Daten zu verpflichten. Die Datenschutzaufsichtsbehörde lehnte den Antrag des Betroffenen jedoch unter Hinweis auf den in § 31 Bundesdatenschutzgesetz (BDSG) enthaltenen Schutz des Wirtschaftsverkehrs bei Scoring- und Bonitätsauskünften ab. Gegen den ablehnenden Bescheid der Datenschutzaufsichtsbehörde erhob der Betroffene Klage vor dem Verwaltungsgericht (VG) Wiesbaden. Das VG hatte Zweifel an der Auffassung, dass Art. 22 Abs. 1 DSGVO auf die Tätigkeit von Wirtschaftsauskunfteien nicht anwendbar ist, da der Bonitätsscore für die Beurteilung der Kreditwürdigkeit und die damit verbundenen wirtschaftlichen Entscheidungen Dritter von erheblicher Bedeutung ist. Vor diesem Hintergrund hatte das VG Wiesbaden das Verfahren ausgesetzt und dem EuGH im Wege der Vorabentscheidung die Frage vorgelegt, ob Art. 22 Abs. 1 DSGVO dahingehend auszulegen ist, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit des Betroffenen, einen Kredit künftig zu bedienen, eine automatisierte Entscheidung im Einzelfall darstellt.
Entscheidung des Gerichts
Der EuGH kommt zu dem Ergebnis, dass Scoring durch Wirtschaftsauskunfteien eine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO darstellt, sofern von dem Score maßgeblich abhängt, ob ein Dritter ein Vertragsverhältnis mit dem Betroffenen begründet, durchführt oder beendet. Zur Begründung seiner Entscheidung verweist der EuGH darauf, dass für die Anwendbarkeit von Art. 22 Abs. 1 DSGVO drei kumulative Voraussetzungen erfüllt sein müssen. Erstens muss eine „Entscheidung“ vorliegen, diese muss zweitens „ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – [beruhen]“ und drittens gegenüber dem Betroffenen rechtliche Wirkung haben oder eine ähnlich erhebliche Beeinträchtigung entfalten.
Der EuGH legt den Begriff der „Entscheidung“ weit aus und stellt unter Verweis auf Erwägungsgrund 71 DSGVO klar, dass jede Handlung erfasst ist, die geeignet ist, die betroffene Person in rechtlicher oder vergleichbarer Weise zu beeinträchtigen. Demnach stellt auch die automatisierte Ermittlung eines Bonitätsscores auf der Grundlage personenbezogener Daten eine Entscheidung im Sinne von Art. 2 Abs. 1 DSGVO dar. Für die Frage, ob die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruht, stellt der EuGH maßgeblich auf die Definition des Profilings nach Art. 4 Nr. 4 DSGVO ab. Profiling ist danach „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte in Bezug auf eine natürliche Person zu bewerten“. Da es sich bei einem Bonitätsscore um einen Wahrscheinlichkeitswert handelt, der automatisiert aus personenbezogenen Daten generiert wird und die Fähigkeit des Betroffenen bewertet, in Zukunft einen Kredit zu bedienen, ist diese Voraussetzung aus Sicht des EuGH erfüllt. Nach Auffassung des EuGH entfaltet eine Entscheidung auch dann gegenüber dem Betroffenen rechtliche Wirkung oder beeinträchtigt in ähnlicher Weise erheblich, wenn das Handeln eines Dritten maßgeblich von der Entscheidung geleitet wird. Ausgehend davon, dass ein unzureichender Bonitätsscore bei dem Kreditantrag eines Verbrauchers in nahezu allen Fällen zur Ablehnung durch die Bank führen würde, hat diese Entscheidung rechtsähnliche Folgen für den Betroffenen.
Die Ermittlung von Bonitätsscores fällt demnach in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO und ist nur ausnahmsweise zulässig, wenn sie entweder auf eine Einwilligung, die Erfüllung eines Vertrags mit der betroffenen Person oder eine Rechtsvorschrift der Union oder der Mitgliedstaaten gestützt werden kann. Der EuGH weist das VG Wiesbaden insoweit darauf hin, dass § 31 BDSG zwar als geeignete nationale Rechtsvorschrift in Betracht käme, betont aber zugleich, dass er erhebliche Zweifel an der Vereinbarkeit dieser Vorschrift mit dem Unionsrecht habe. Darüber hinaus betont der EuGH, dass selbst dann, wenn § 31 BDSG als Rechtsgrundlage für Art. 2 Abs. 1 DSGVO in Betracht käme, weitere datenschutzrechtliche Anforderungen, insbesondere die Grundsätze der Datenverarbeitung (Art. 5 DSGVO), zu beachten wären.
Folgen für die Praxis – Auswirkungen auch auf KI-Entscheidungen
Mit seiner Entscheidung weitet der EuGH den Anwendungsbereich von Art. 22 Abs. 1 DSGVO und die darin enthaltenen strengen Anforderungen an automatisierte Einzelentscheidungen erheblich aus. Für die Praxis ist die Entscheidung des EuGH von erheblicher Bedeutung. Die weite Auslegung des Begriffs „Entscheidung“ führt dazu, dass auch vermeintliche Vorbereitungshandlungen von Art. 22 Abs. 1 DSGVO erfasst werden. Auch wenn am Ende eines Entscheidungsprozesses ein Mensch oder ein Dritter das Ergebnis festlegt, kann eine automatisierte Entscheidung vorliegen. Konkret hat der EuGH zwar nur zu Bonitätsbewertungen durch Wirtschaftsauskunfteien entschieden, das Urteil betrifft aber automatisierte Entscheidungen jeder Art und insbesondere auch KI-gestützte Entscheidungen. Werden KI-Systeme beispielsweise im Personal- oder Kundenmanagement zur Entscheidungsunterstützung eingesetzt, kann bereits eine automatisierte Entscheidung im Einzelfall vorliegen. Angesichts der vielfältigen Fallkonstellationen müssen Unternehmen ihre bestehenden Entscheidungsprozesse überprüfen und gegebenenfalls so anpassen, dass sie auch nach dem weiten Begriffsverständnis des EuGH keine automatisierte Entscheidung darstellen. Voraussetzung hierfür ist, dass vorbereitende Handlungen keinen maßgeblichen Einfluss auf die spätere Entscheidung haben und die Entscheidungsgewalt vollständig beim Menschen verbleibt. Beim Einsatz von KI-Systemen muss daher nicht nur sichergestellt sein, dass Bewertungen nachvollzogen werden können und menschliche Entscheider über die notwendigen Qualifikationen und Ressourcen verfügen, um vorbereitende Handlungen kritisch zu hinterfragen. Automatismen, wie die regelmäßige Ablehnung eines Kreditantrags bei unzureichendem Bonitätsscore, sind zu vermeiden. Die Grundlagen und die Wirksamkeit der Kontrollmechanismen sollten in einer Datenschutzfolgenabschätzung genau dokumentiert werden. Liegt eine automatisierte Einzelfallentscheidung vor, muss die Verarbeitung den hohen Anforderungen der DSGVO genügen und insbesondere auf eine Rechtsgrundlage nach Art. 22 Abs. 2 gestützt werden können oder unterbleiben.
Fazit
Das Urteil des EuGH vom 07.12.2023 stellt eine Zäsur für den Einsatz automatisierter Entscheidungen in Unternehmen dar. Die weite Definition des Begriffs „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO führt dazu, dass auch vorbereitende Handlungen in den Anwendungsbereich der Vorschrift fallen können. Unternehmen sind nun gefordert, ihre Prozesse zu überprüfen und anzupassen, um die Konformität mit der Rechtsprechung des EuGH sicherzustellen. Für die Datenschutzpraxis unterstreicht die Entscheidung die Notwendigkeit einer sorgfältigen Datenschutzfolgenabschätzung bei komplexen Verarbeitungen und die Bedeutung menschlicher Kontrolle in Entscheidungsprozessen.
Autor
Stefan Hessel, LL.M.
reuschlaw, Saarbrücken
Rechtsanwalt, Salary Partner
Autor
Elena Kouremenou, LL.M
reuschlaw, Berlin
Wissenschaftliche Mitarbeiterin