Bonitätsscores von Wirtschaftsauskunfteien werden in der Praxis aus unterschiedlichen Gründen regelmäßig eingesetzt: Zur Erfüllung von aufsichts- und konsumentenschutzrechtlichen Sorgfaltspflichten (zB § 7 VKrG), zur Verhinderung von Kreditbetrug (ErwGr 47 DSGVO) und/oder aufgrund berechtigter wirtschaftlicher Interessen, zB weil Unternehmen dem Kunden gegenüber in Vorleistung gehen und damit dessen Insolvenzrisiko übernehmen. Datenschutzrechtlich ist dabei aufgrund der zunehmend restriktiven Rechtsprechung sowohl bei der initialen Prüfung der Zulässigkeit als auch nachgelagert im Rahmen von Auskunftsersuchen Einiges zu beachten. Die DORDA Datenschutzexperten haben die wichtigsten Erkenntnisse für Sie gerne zusammengefasst:
Recap: Kein "maßgebender" Einfluss des Scores
Wie in unseren Clarity Talks berichtet, war der erste Paukenschlag die Schufa-Rechtsprechung des EuGH (C-634/21; C-26/22 und C-64/22): Verlässt sich ein Unternehmen "maßgebend" auf den Score einer Auskunftei, trifft diese bereits mit der Erstellung die automatisierte Einzelentscheidung iSv Art 22 DSGVO. Die Auskunftei kann sich dafür auf keine hierfür erforderliche Ausnahme nach Abs 2 berufen: In Österreich gibt es – anders als in Deutschland – nämlich keine gesetzliche Grundlage für die Erstellung von Scores durch Auskunfteien. Auch verfügen diese über keinen direkten Vertrag mit dem Betroffenen und können vorab keine Einwilligung von (allen?) Betroffenen – nämlich von mehr oder weniger der gesamten österreichischen Bevölkerung (!) – einholen.
Daher bleibt im Wesentlichen nur ein Ausweg: Auskunfteien lassen sich von Unternehmen – in der Regel pönalisiert und mit Haftungsfolgen bei Verstößen – vertraglich zusichern, dass sie den Score nicht maßgebend für ihre Entscheidung verwenden. Damit wird die Entscheidung nicht mehr von der Auskunftei getroffen und im Idealfall liegt erst gar keine automatisierte Einzelentscheidung beim Unternehmen mehr vor (etwa weil ein Mitarbeiter diesen Scoringwert mit anderen Werten abgleicht). Selbst wenn das Unternehmen aber eine automatisierte Einzelentscheidung trifft, kann diese zB aufgrund seines Massengeschäfts mit der Erforderlichkeit zur Vertragserfüllung oder einer Einwilligung seiner Kunden gerechtfertigt werden. Offen bleibt, wann in der Praxis ein maßgebender Einfluss vorliegt. Verfügt das Unternehmen über keine eigenen Zahlungserfahrungsdaten bleibt im Wesentlichen nur die Option, Scores von mehreren Auskunfteien anzufragen und dieser der Entscheidung gesamthaft zugrunde zu legen. Andernfalls liegt die Entscheidung weiterhin bei der Auskunftei (und wird das Unternehmen damit vertragsbrüchig).
Neue Vorgaben des EuGH zur Auskunft bei automatisierten Bonitätsprüfungen
Kürzlich nahm der EuGH nun auch zum Umfang der Auskunftspflicht zu automatisierten Bonitätsprüfungen Stellung (C-203/22). Die Datenschutzbehörde veröffentlichte auf dieser Grundlage ein Rundschreiben. Damit wird der Maßstab für eine DSGVO-konforme Auskunftserteilung (noch) höher: Die Übermittlung des konkreten Score-Werts mit der generischen Aussage, dass bestimmte soziodemographische Daten "untereinander gleichwertig gewichtet" wurden, reicht nämlich nicht mehr aus Vielmehr ist – schematisch dargestellt – wie folgt vorzugehen:
Einzelfallabwägung bei Betriebs- und Geschäftsgeheimnissen
Auch die Einschränkung der Auskunftserteilung zum Schutz von Betriebs- und Geschäftsgeheimnissen – insbesondere des Algorithmus – hat der EuGH erheblich eingeschränkt: Die pauschale Ausnahme des § 4 Abs 6 DSG ist unionsrechtswidrig. Vielmehr ist im Einzelfall eine Abwägung der gegenläufigen Interessen und eine differenzierte Offenlegung erforderlich. Das steht im Einklang mit der bisherigen Judikatur der DSB. Sie hat schon bisher eine Einzelfallabwägung bei Berufung auf Betriebs- und Geschäftsgeheimnisse gefordert. Neu ist aber die Art und Weise, wie dies im Anlassfall ermittelt wird:
Unternehmen haben im Beschwerdefall nunmehr zunächst der Behörde sämtliche relevanten Informationen zur Entscheidungsfindung – dh inklusive etwaiger Betriebs- und Geschäftsgeheimnisse – zur Verfügung zu stellen. Diese wägt ab und entscheidet, was dem Betroffenen noch konkret offenzulegen ist. Achtung: Das Verfahren ist grundsätzlich zweiseitig, dh sämtliche Eingaben werden dem Betroffenen übermittelt. Daher muss das Unternehmen nach § 17 Abs 3 AVG beantragen, die Informationen und Dokumente von der Übermittlung an den Betroffenen und der Akteneinsicht auszunehmen.
Handlungsbedarf in der Praxis
Sofern automatisierte Einzelentscheidungen getroffen und insbesondere Bonitätsprüfungen durchgeführt werden, sind die zugrundeliegenden Verarbeitungsschritte nicht nur in den Datenschutzhinweisen, sondern insbesondere in den üblicherweise im Unternehmen vorgehaltenen Mustern zur Auskunftserteilung verständlich abzubilden. Die Grenze zwischen transparenter Auskunftserteilung und angemessenem Schutz von Betriebs- und Geschäftsgeheimnissen ist dabei fließend und im Einzelfall zu beurteilen. Unsere DORDA Datenschutzexperten stehen Ihnen mit ihrer Praxiserfahrung gerne zur Verfügung.