EuGH-Urteil: Strenge Regeln für automatisierte Bonitäts­scores – und wie künftig Zahlungsausfälle vermeiden?

Schwerpunkt: Neue Regulatorik

Ein Urteil mit Sprengstoff-Charakter: Der Europäische Gerichtshof hat klargestellt, dass Unternehmen bereits bei der Berechnung von Bonitätsscores und ähnlichen Instrumenten den Datenschutz beachten müssen. Diese Entscheidungen, auch wenn sie nur vorläufig sind, können unter das Verbot der rein automatisierten Entscheidungsfindung nach Art. 22 DSGVO fallen. Es ist also höchste Zeit, automatisierte Entscheidungsprozesse zu überprüfen und menschliche Überprüfungen einzubauen, um rechtliche Konsequenzen zu vermeiden.

von Till Gerhardt und Lion Dirkers, Osborne Clarke

Viele Online-Händler, Versicherer und Zahlungsdienstleister stehen vor der Herausforderung, Anträge von Endkunden ohne Verzögerung zu bearbeiten, gleichzeitig aber Zahlungsausfälle zu vermeiden.

Der Europäische Gerichtshof hat zum Einsatz von Bonitätsscores und ähnlichen Instrumenten nun wichtige Leitplanken aufgestellt.

Betrugspräventionssoftware, Algorithmen zur kundenindividuellen Steuerung angebotener Zahlarten, automatisierte Errechnung von Versicherungsprämien oder die Verwendung klassischer Bonitätsscores bei Vertragsabschlüssen:

Sobald Unternehmen in diesen und ähnlichen Konstellationen Informationen über identifizierbare Menschen nutzen, müssen sie prüfen, ob ihre Entscheidungsprozesse Art. 22 der Datenschutz-Grundverordnung (DSGVO) unterfallen.”

Diese Norm verbietet es Unternehmen, Menschen einer „ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung“ zu unterwerfen, die diesen gegenüber „rechtliche Wirkung entfaltet“ oder sie „in ähnlicher Weise erheblich beeinträchtigt“.

Der Europäische Gerichtshof hat zur ersten Voraussetzung dieses Verbots, der „Entscheidung“ eine erstaunliche – und durchaus weitreichende – Feststellung getroffen. Als eine Entscheidung gegenüber dem Kunden soll nämlich nunmehr nicht mehr nur die finale Annahme oder Ablehnung etwa eines Kredits oder eines Versicherungsvertrags gelten, sondern …

… unter bestimmten Umständen bereits die vorgelagerte Berechnung eines Scores (EuGH, Urteil vom 7. Dezember 2023, C‑634/21).”

Dies gilt jedenfalls, wenn der Score so wichtig ist, dass er faktisch die wesentliche Basis für die spätere Entscheidung über den Vertragsschluss bildet. Unternehmen müssen also nicht nur beim Vertragsschluss, sondern auch bei der vorgelagerten Profilbildung die besonderen datenschutzrechtlichen Anforderungen bereits mitdenken.

Bejaht man die Entscheidung, ist in einem zweiten Schritt zu prüfen, ob diese ausschließlich automatisiert erfolgt. Um ein Verbot zu vermeiden, bietet es sich in diesem Zusammenhang an, den Prozess zur Entscheidungsfindung zu überprüfen. Sofern dies möglich ist, bietet es sich an, menschliche Entscheidungen einzubauen. Dies wird freilich nur bei einigen besonders wichtigen Entscheidungen – etwa zur Kreditvergabe – möglich sein, nicht aber bei der Zahlartenaussteuerung oder automatisierter Betrugserkennung.

Zudem reicht eine symbolische Geste nicht aus; es muss tatsächlich zu einer Überprüfung des Ergebnisses durch einen Menschen kommen, um den Anwendungsbereich des Verbotsgesetzes zu verlassen.”

Auch lediglich stichprobenartige oder nachträgliche Überprüfungen automatisierter Entscheidungen führen nicht dazu, das Verbot zu vermeiden.

Eine weitere Möglichkeit, nicht unter das Verbot zu fallen, besteht in der Überprüfung, ob die Entscheidung wirklich eine „rechtliche Wirkung“ oder eine erhebliche Beeinträchtigung in ähnlicher Weise mit sich bringt.

Klassische Anwendungsfälle, welche eingeschränkt werden sollen, sind automatische Ablehnungen von Online-Kreditanträgen und in Online-Bewerbungsverfahren.”

Hier werden personenbezogene Bewerberdaten bzw. Bonitätsdaten verarbeitet (Input), die ohne menschliche Überprüfung zur Ablehnung des Antrags führen (Output). Die Entscheidung hat mitunter (abhängig vom Gegenstand) eine besondere Tragweite für Betroffene: Kredite werden oft zur Anschaffung vermögenswerter Gegenstände (Immobilie, Auto) oder zur Überbrückung von Liquiditätsengpässen aufgenommen und haben daher eine besondere Bedeutung für die Lebensführung. Das Gleiche gilt für den Arbeitsplatz, welcher neben dem Erhalt der Lebensgrundlage auch der Persönlichkeitsentfaltung dienen kann.

Durchschnittliche Fälle von Betrugsprävention und Botabwehr auf Unternehmenswebseiten werden dabei im Regelfall unter der Schwelle der erheblichen Beeinträchtigung liegen, so dass das Verbot nicht greift.”

Dabei geht es etwa um die Erkennung atypischer Verhaltensmuster oder die Nutzung eines unbekannten Endgeräts, dessen Device- oder Browser-Fingerprint nicht in der Datenbank des Websitebetreibers hinterlegt ist und eine Sicherheitsüberprüfung auslöst. Wenn die Auswirkung dieser automatisierten Entscheidung ist, dass ein Nutzer einer solchen Sicherheitsüberprüfung unterzogen wird, bevor dieser sich in seinem Kundenkonto anmelden kann, führt dies meist nicht zu einer erheblichen Beeinträchtigung in ähnlicher Weise. Die Durchführung der Überprüfung dauert kurz und macht den Anmeldeprozess aufwändiger, beeinflusst durchschnittliche Nutzer aber nicht nachhaltig oder schwerwiegend.

Eine andere Form der Betrugsprävention, welche im Online-Handel eine große Rolle spielt, ist die automatisierte Bonitätsprüfung, deren Ergebnis darüber entscheidet, ob Kunden risikobehaftete Zahlarten (insb. Rechnungskauf) angeboten werden. Die automatisierte Entscheidung bewirkt hier u.U., dass Kunden auf andere Zahlarten verwiesen werden und teilweise womöglich nur per Vorkasse zahlen können.

Ob Betroffene hierdurch in ähnlicher Weise erheblich beeinträchtigt werden, ist umstritten und schon weniger eindeutig als bei der etwas langwierigeren Anmeldung im Kundenkonto: Wer per Vorkasse zahlen muss, erhält keinen Zahlungsaufschub und muss erst die Rechnung begleichen, bevor die bestellte Ware versandt wird. Andererseits besteht bei der Vorkasse-Zahlung nicht das Risiko von Mahnungen und Mahngebühren aufgrund verspäteter Zahlung.

Entscheidend ist, dass Kunden durch die automatisierte Entscheidung nicht der Vertragsabschluss insgesamt verwehrt wird.”

Der Verweis auf eine andere als die Wunschzahlart kann für Betroffene unbequem sein, beeinflusst diese aber regelmäßig nicht nachhaltig und schwerwiegend in ihrer freien Entfaltung.

Bejaht werden muss im Regelfall die Beeinträchtigung in ähnlicher Weise hingegen bei der automatisierten Berechnung von Versicherungsprämien.”

Dabei werden Kunden aufgrund ihres Risikoprofils Versicherungsprämien in unterschiedlicher Höhe angeboten. Zwar wird auch hier die grundsätzliche Bereitschaft zum Vertragsabschluss nicht infrage gestellt. Anders als bei der Beschränkung verfügbarer Zahlarten ist die Höhe der Versicherungsprämie allerdings kein Aspekt der Vertragsabwicklung, sondern stellt die vom Versicherungsnehmer zu erbringende Gegenleistung dar und gehört damit zum Kern des Vertrags. Gerade bei langfristig abgeschlossenen Versicherungen machen auch geringe Differenzen in der Versicherungsprämie auf Dauer einen deutlichen finanziellen Unterschied. Versicherungen haben zudem einen besonderen Stellenwert für die persönliche und wirtschaftliche Entfaltung, da sie Sicherheit vor existenziellen wirtschaftlichen Schäden bieten (z.B. Haftpflichtversicherung, Hausratversicherung, Lebensversicherung).

Wenn ein Unternehmen das eigene Handeln grundsätzlich im Bereich des Verbots sieht, gibt es indes noch einen letzten Ausweg, um die Maßnahme „zu retten“:

Das Gesetz sieht drei Ausnahmen des Verbots vor, und zwar (i) wenn die automatisierte Entscheidungsfindung zur Durchführung oder zum Abschluss eines Vertrags erforderlich ist, (ii) im Unionsrecht oder nationalen Recht erlaubt ist oder (iii) vom Betroffenen eine ausdrückliche Einwilligung dafür eingeholt wurde.

Besonders relevant werden könnte dabei der künftig neu gefasste § 37a BDSG, welcher voraussichtlich neben der Verwendung nunmehr ausdrücklich auch die Erstellung eines Scores erlauben wird, wenngleich nur unter strengen Voraussetzungen.”

Unternehmen, die mit derartigen Maßnahmen arbeiten, müssen also prüfen, ob der Einsatz eines Scores oder ähnlichen Instruments datenschutzrechtlich zulässig ist. Angesichts der Rechtsprechung des EuGH müssen sie dabei zudem bereits bei der Errechnung des Scores ansetzen. Kommen sie zu dem Ergebnis, dass das Verbot nicht greift, müssen sie zudem – wie bei jeder Verwendung personenbezogener Daten – den betroffenen Personen transparent erläutern, wie ihre Daten verarbeitet werden.Till Gerhardt und Lion Dirkers, Osborne Clarke