Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 27. Februar 2025 (Az. C-203/22) eine grundlegende Entscheidung zum Spannungsverhältnis zwischen Datenschutz und Geschäftsgeheimnissen getroffen. Im Zentrum des Verfahrens stand die Frage, inwieweit Betroffene Anspruch auf transparente Informationen über die Funktionsweise von Scoring-Algorithmen haben, die über ihre Kreditwürdigkeit entscheiden.

Geklagt hatte eine Privatperson, deren Mobilfunkvertrag aufgrund einer automatisierten Bonitätsbewertung abgelehnt worden war. Sie forderte von der auswertenden Wirtschaftsauskunftei detaillierte Informationen darüber, wie ihr Score berechnet wurde. Das Unternehmen verweigerte die Auskunft mit der Begründung, dass die Offenlegung der Berechnungsmethoden ein Geschäftsgeheimnis darstelle. Der EuGH entschied nun, dass die betroffene Person ein weitreichendes Auskunftsrecht hat und die Offenlegung nicht pauschal mit dem Hinweis auf Geschäftsgeheimnisse verweigert werden darf.

Sachverhalt

Die Klägerin beantragte einen Mobilfunkvertrag mit einer monatlichen Gebühr von 10 Euro. Der Anbieter lehnte den Antrag ab, weil ihre Bonitätsbewertung nicht ausreichte. Die zugrunde liegende Entscheidung basierte auf einem automatisierten Scoring-Verfahren einer Wirtschaftsauskunftei.

Die Klägerin verlangte daraufhin nach Art. 15 Abs. 1 Buchst. h DSGVO Auskunft über die involvierte Logik der automatisierten Entscheidung. Die Auskunftei verweigerte die Offenlegung mit Verweis auf den Schutz von Geschäftsgeheimnissen nach der Richtlinie (EU) 2016/943.

Nachdem die österreichische Datenschutzbehörde die Auskunftei zur Offenlegung aufforderte, weigerte sich das Unternehmen weiterhin und argumentierte, dass bereits genügend Informationen zur Verfügung gestellt worden seien. Der Fall landete schließlich beim Verwaltungsgericht Wien, das den EuGH um eine Vorabentscheidung ersuchte.

Rechtliche Bewertung

1. Anspruch auf Informationen über automatisierte Entscheidungen

Der EuGH stellte klar, dass Art. 15 Abs. 1 Buchst. h DSGVO Betroffenen ein Recht auf „aussagekräftige Informationen über die involvierte Logik“ einer automatisierten Entscheidung einräumt. Dies bedeutet, dass Unternehmen erklären müssen, welche Grundprinzipien und Verfahren bei der Bewertung angewendet werden.

Das Gericht betonte, dass eine rein abstrakte Erklärung nicht ausreicht. Vielmehr müssen die Unternehmen so detaillierte Informationen bereitstellen, dass die Betroffenen nachvollziehen können, warum eine bestimmte Entscheidung getroffen wurde. Dazu gehören insbesondere:

Die verwendeten Eingabedaten
Die grundlegenden mathematischen Prinzipien der Berechnung
Der Einfluss einzelner Faktoren auf das Ergebnis

Das Ziel dieser Regelung sei es, den Betroffenen eine effektive Möglichkeit zur Überprüfung und Anfechtung der Entscheidung zu geben.

2. Grenzen des Schutzes von Geschäftsgeheimnissen

Ein zentrales Argument der Auskunftei war, dass die Offenlegung der Scoring-Logik ein Geschäftsgeheimnis verletze.

Der EuGH erkannte grundsätzlich an, dass Geschäftsgeheimnisse geschützt werden müssen. Allerdings dürfe dieser Schutz nicht dazu führen, dass das in Art. 15 DSGVO garantierte Auskunftsrecht völlig ausgehöhlt werde.

Das Gericht entschied, dass Geschäftsgeheimnisse nur dann eine Verweigerung der Offenlegung rechtfertigen können, wenn eine Abwägung der widerstreitenden Interessen stattfindet. Diese Abwägung müsse durch eine unabhängige Stelle – etwa eine Aufsichtsbehörde oder ein Gericht – erfolgen. Unternehmen können sich also nicht mehr pauschal auf den Schutz ihrer Geschäftsgeheimnisse berufen, sondern müssen im Einzelfall darlegen, warum eine Offenlegung unzumutbar wäre.

Zudem stellte der EuGH klar, dass sich eine Offenlegungspflicht auch auf aggregierte oder pseudonymisierte Vergleichsdaten erstrecken kann, wenn dies zur Überprüfung der Scoring-Logik erforderlich ist.

3. Verhältnis zu Art. 22 DSGVO – Schutz vor vollautomatisierten Entscheidungen

Art. 22 Abs. 1 DSGVO gewährt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, wenn diese eine erhebliche Wirkung entfaltet.

Der EuGH betonte, dass das Recht auf Auskunft nach Art. 15 Abs. 1 Buchst. h DSGVO eng mit diesem Schutzmechanismus verknüpft sei. Ohne eine transparente Offenlegung der Entscheidungslogik könne eine betroffene Person nicht sinnvoll darlegen, warum eine bestimmte Entscheidung möglicherweise fehlerhaft oder diskriminierend sei.

Damit stärkt das Urteil nicht nur das Informationsrecht der Verbraucher, sondern auch deren Möglichkeiten zur Anfechtung automatisierter Entscheidungen.

Bedeutung der Entscheidung

Das EuGH-Urteil hat im Ergebnis weitreichende Folgen für die Praxis der Bonitätsbewertung und andere algorithmische Entscheidungsprozesse.

Wirtschaftsauskunfteien und andere datengetriebene Unternehmen müssen ihre Transparenzpflichten deutlich ernster nehmen.
Eine pauschale Berufung auf Geschäftsgeheimnisse reicht nicht mehr aus, um Auskunftsanfragen abzuweisen.
Die Datenschutzbehörden erhalten eine zentrale Rolle bei der Abwägung zwischen Geschäftsgeheimnissen und dem Auskunftsrecht der Betroffenen.
Verbraucher haben nun eine bessere Möglichkeit, automatisierte Entscheidungen nachzuvollziehen und gegebenenfalls anzufechten.

Das Urteil könnte auch über den Bereich der Bonitätsprüfung hinaus Relevanz erlangen – etwa bei algorithmischen Auswahlverfahren in der Personalrekrutierung, in der Versicherungsbranche oder bei automatisierten Kreditentscheidungen.

Ausblick

Der EuGH hat mit dieser Entscheidung ein klares Signal für mehr Transparenz im digitalen Entscheidungswesen gesetzt. Unternehmen, die Scoring-Modelle und andere Formen der automatisierten Entscheidungsfindung nutzen, können sich nicht mehr hinter pauschalen Geheimhaltungsansprüchen verstecken. Der Schutz von Geschäftsgeheimnissen bleibt zwar ein legitimes Interesse, muss aber im Einzelfall sorgfältig gegen das Informationsrecht der Betroffenen abgewogen werden.

Das Urteil dürfte insbesondere die Datenschutzaufsichtsbehörden in den Mitgliedstaaten vor neue Herausforderungen stellen, da sie in Zukunft verstärkt über diese Abwägungsfragen entscheiden müssen. Gleichzeitig stärkt es die Rechte von Verbrauchern und Unternehmen, die sich gegen intransparente oder fehlerhafte Algorithmen zur Wehr setzen wollen. Langfristig dürfte dieses Urteil einen Beitrag zu einer gerechteren und transparenteren Nutzung algorithmischer Systeme leisten – und so das Vertrauen in digitale Entscheidungsprozesse stärken.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.

Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Die Einziehung von Taterträgen beim untauglichen Versuch - 22. Mai 2025
Russische Cyberangriffe auf westliche Logistik- und Technologieunternehmen 2025 - 22. Mai 2025
Keine Schweigepflicht im Maßregelvollzug - 21. Mai 2025