Vor etwas mehr als einem Jahr verschärfte die SCHUFA die Anforderungen an die Kreditbewertung gemäß der EU-Datenschutz-Grundverordnung (DSGVO). Am 27. Februar 2025 entschied der Europäische Gerichtshof (EuGH) über die Auslegung des Begriff "aussagekräftige Informationen über die involvierte Logik", Art. 15(1)(h) der DSGVO.
Die Fakten
Der Fall betrifft eine österreichische Klägerin, deren Antrag auf Verlängerung ihres Mobilfunkvertrags abgelehnt wurde. Das Unternehmen begründete seine Entscheidung mit einer automatisierten Kreditwürdigkeitsbewertung von Dun & Bradstreet (D&B), die darauf hinwies, dass ihr Score zu niedrig sei, um eine monatliche Rate von 10 Euro zu rechtfertigen. Zunächst forderte die Klägerin Informationen von D&B mit Blick auf ihren Score an. Überraschenderweise spiegelte der ihr bereitgestellte Score eine hervorragende Kreditwürdigkeit wider. Daraufhin leitete sie die Angelegenheit zur österreichischen Datenschutzbehörde weiter und klagte auf dem Instanzenweg, um eine detaillierte Erklärung des Scores zu erhalten, der dem Mobilfunkunternehmen übermittelt worden sein musste. D&B weigerte sich, weitere Einzelheiten offenzulegen, da die angeforderten Informationen Geschäftsgeheimnisse seien.
Ein vom österreichischen Gericht bestellter IT-Experte erklärte, dass D&B Folgendes bereitstellen müsse: (i) die personenbezogenen Daten, die D&B zur Erstellung der "Merkmale" verwendete, die in die Berechnung des Scores einflossen (feature-engineering-Offenlegung), (ii) genaue Einblicke in die Umwandlung der Eingangsmerkmale in den Score durch das verwendete Modell („Global-Explanation“-Offenlegung), (iii) den konkreten Wert jedes Merkmals, das der Klägerin zugeordnet wurde („Feature-Value“-Offenlegung) und (iv) die genauen Intervalle der Rohinformationen, für die der Feature-Engineering-Prozess denselben Merkmalswert ergeben würde („Feature-Engineering“-Offenlegung). Zusätzlich, so argumentierte der Sachverständige, sollte D&B eine Liste anderer Verbraucher:innen vorlegen, die D&B auf der Grundlage derselben Regeln bewertet hatte.
So entschied das Gericht
Der EuGH bekräftigt im ersten Schritt seine frühere Entscheidung in der SCHUFA-Sache und stellt fest, dass die Berechnung eines Kreditscores eine automatisierte Entscheidungsfindung im Sinne von Artikel 22 DSGVO darstellt. Auch wenn das Mobilfunkunternehmen als Entscheidungsträger angesehen werden kann, erkennt der EuGH an, dass D&B ebenfalls eine „Entscheidung“ nach Art. 22 DSGVO, nämlich in Form eines Scores, trifft. Das Mobilfunkunternehmen hatte vermutlich eine vordefinierte Score-Schwelle, die automatisch zur Vertragsbeendigung führte, falls der Score eines Verbrauchers unter diesen Schwellenwert fiel.
Zweitens präzisiert der EuGH die Auslegung von Art. 15(1)(h) DSGVO und hebt die Grenzen einer reinen Wortlautauslegung hervor. Der EuGH verweist zunächst auf die terminologischen Unterschiede zwischen den Sprachfassungen der DSGVO. Während einige Versionen Begriffe wie "nützlich", "signifikant" oder "relevant" verwenden, benutzen die englische und deutsche Version den Ausdruck "aussagekräftig" (englisch: "meaningful"). Nach Auffassung des EuGH gewährt Artikel 15(1)(h) den Verbraucher:innen Zugang zu allen Informationen, die für das Verständnis der „Verfahren und Grundsätze“ der automatisierten Entscheidungsfindung, die zu einem bestimmten Ergebnis auf der Grundlage ihrer Daten geführt hat, entscheidend sind. Es spricht einiges dafür, dass dies aus technischer Sicht auch Details darüber, wie Rohdaten in Merkmalswerte umgewandelt und wie diese Werte durch mathematische Modelle in Scores übertragen werden, umfasst. Das Gericht betont, dass eine klare und verständliche Sprache verwendet werden muss, denn Erklärungen müssen „präzise, transparent und leicht verständlich“ sein.
Zugang zu Informationen und Eigentumsrechte
Drittens unterstreicht der EuGH, dass der Zugang zu Informationen entscheidend dafür ist, dass betroffene Personen ihre Rechte gemäß Art. 22(3) DSGVO wahrnehmen können, insbesondere das Recht auf menschliche Intervention und das Recht, die Entscheidung anzufechten. Der EuGH stellt klar, dass es nicht ausreicht, eine komplexe mathematische Formel (z. B. einen Algorithmus) oder sogar eine detaillierte schrittweise Erläuterung des Entscheidungsverfahrens bereitzustellen. Das Gericht schlägt vor, dass die Datenverarbeiter den Verbraucher:innen aufzeigen könnten, wie sich Änderungen in bestimmten Datenpunkten auf ihre Bewertung ausgewirkt hätten (Anmerkung 62).
Viertens geht der Gerichtshof auf das Argument von D&B ein, dass die verlangten Informationen als geschützte Geschäftsgeheimnisse zu betrachten seien. Der EuGH erkennt die Notwendigkeit eines Gleichgewichts zwischen dem Informationsrecht der Verbraucher:innen und den geistigen Eigentumsrechten der Scoring-Unternehmen an. Gleichzeitig betont er, dass der Verweis auf Geschäftsgeheimnisse nicht von vornherein eine Auskunftsverweigerung legitimieren werden kann. Er befürwortet eine vom österreichischen Gericht vorgeschlagene Lösung: D&B sollte die geforderten Informationen an das Gericht übermitteln, welches dann festlegen würde, welche Elemente der Klägerin offengelegt werden können.
Auswirkungen der Entscheidung
Die Entscheidung folgt der früheren Argumentation des Gerichtshofs, welche die Zugangsrechte der Verbraucher:innen betont und gleichzeitig die Geschäftsgeheimnisse der Datenverarbeiter schützt. Allerdings bleibt unklar, ob die Auslegung von "aussagekräftigen Informationen" durch das Gericht den Verbraucher:innen tatsächlich zugutekommt.
Kein Markt für Fachexpertise
Der EuGH lehnt ein Recht auf Zugang zu einer „komplexen mathematischen Formel wie einem Algorithmus“ ab, da dies für Verbraucher:innen zu schwer verständlich sei (Anmerkung 59). Diese Argumentation geht vermutlich auf wiederholte Verweise des Gerichts auf Richtlinien des Vorgängers des Europäischen Datenschutzausschusses, der „Art. 29 Working Party“, zurück (Anmerkungen 45, 60). Das Gericht zitiert diese Leitlinien, wonach klare Erklärungen, aber „nicht unbedingt Einzelheiten über den verwendeten Algorithmus“ erforderlich sind. Das klingt auf den ersten Blick so, als ob es in den Leitlinien um den Schutz von Geschäftsgeheimnissen in Bezug auf den Algorithmus ginge. Tatsächlich findet sich die Aussage aber in der Entscheidung in einem andere Kontext (Anmerkung 61): Wenn ein komplexer Algorithmus verwendet wird, müssen die Erklärungen dennoch klar und verständlich bleiben. Dies ergibt sich nicht aus dem Status des Algorithmus als Geschäftsgeheimnis, sondern aus der Notwendigkeit, das Verständnis der Verbraucher:innen zu gewährleisten.
Menschliches Verständnis und Interpretierbarkeit zu gewährleisten, ist eines der wichtigsten Anliegen der DSGVO. Doch obwohl komplexe subsymbolische Systeme (z. B. neuronale Netze) für den Menschen schwer zu verstehen sind, können mathematische Methoden helfen. Sie können diese Systeme in eine Form bringen, die für Verbraucher:innen oder zumindest für Fachleute verständlich ist. Indem der Gerichtshof den Zugang zu den zugrunde liegenden Formeln verweigert, macht er diese Vereinfachungen unmöglich. Dabei wird die entscheidende Rolle vernachlässigt, die professionelle Vermittler:innen bei der Prüfung des Algorithmus und der Erleichterung von Rechtsstreitigkeiten spielen könnten.
Kontrafaktische Erklärungen und Geschäftsgeheimnisse
Der EuGH betont die Notwendigkeit, „konkrete“ Erklärungen bereitzustellen, damit Verbraucher:innen überprüfen können, wie „ihre Daten“ verarbeitet wurden. Im vorliegenden Fall war die Verbraucherin mit zwei Instanzen automatisierter Entscheidungsfindung konfrontiert: Der Berechnung des numerischen Scores und der Kündigung ihres Mobilfunkvertrags, die offenbar auf einer vordefinierten Mindestgrenze für den Score beruhte. Letzteres war nicht Gegenstand des Verfahrens. Bezüglich der ersten Instanz könnte die Verbraucherin an zwei Arten von Erklärungen interessiert sein:
(i) Informationendarüber, wie Änderungen von Merkmalen (z. B. die Anzahl der genutzten Kreditkarten) den Score beeinflussen. Dies könnte durch „kontrafaktische Erklärungen“ erreicht werden, die die minimalen Änderungen (z. B. eine Kreditkarte weniger) an Eingabewerten aufzeigen, die erforderlich wären, um eine andere Entscheidung – nämlich eine andere Score-Berechnung – zu erhalten. Intuitiv ermöglicht diese Form der Erklärbarkeit die Beantwortung von „Was-wäre-wenn“-Fragen wie „Hätte der Verbraucher eine Kreditkarte weniger gehabt, wäre der Handyvertrag nicht abgelehnt worden?“. Methoden wie modell-agnostische kontrafaktische Erklärungen oder vielfältige kontrafaktische Erklärungen ermöglichen es, solche Erklärungen unabhängig von der Art des zugrunde liegenden Scoring-Modells zu erstellen.
(ii) Informationen über die Berechnung des Scores selbst. Hierauf zielte möglicherweise der österreichische Sachverständige, als er auf die „Offenlegung der mathematischen Formel und der Bewertungsfunktionen aller in dieser Formel verwendeten Werte“ bestand (GA-Stellungnahme, Anmerkung 17). Ähnlich interpretierte der Generalanwalt (GA) die DSGVO: diese erfordere eine Beschreibung der „verwendeten Methode sowie der berücksichtigten Kriterien und deren Gewichtung“ (GA-Stellungnahme, Anmerkung 76).
Transparenz mit Schwerpunkt auf individuelle Daten
Der EuGH verlangt die Offenlegung der zweiten Art von Informationen gegenüber Verbraucher:innen nicht. Stattdessen scheint die vom Gericht vorgeschlagene Lösung auf solche Modellen zu rekurrieren, die kontrafaktische Erklärungen für den individuellen Score liefern. „Es ist transparent genug“, so der EuGH, „den betroffenen Personen mitzuteilen, inwieweit eine Abweichung ihrer Daten zu einem anderen Score geführt hätte.“
Moderne Methoden zur Erklärung der Score-Berechnung offenbaren freilich keines notwendig die „secret sauce“ eines Unternehmens. Es ist vielmehr wichtig, zwischen globalen und lokalen Erklärungen zu unterscheiden. Globale Erklärungen können tatsächlich die Funktionsweise der Software insgesamt aufzeigen – und damit möglicherweise ein Geschäftsgeheimnis preisgeben. Lokale Erklärungen, wie etwa moderne kontrafaktische Methoden, zeigen jedoch nur, warum eine bestimmte Bewertung oder Entscheidung getroffen wurde. In diesem Fall ist es typischerweise unmöglich, die gesamte Logik der Software zu rekonstruieren.
Neutrale Vermittler sind erforderlich
Dennoch besteht ein bemerkenswertes Spannungsverhältnis zwischen der Forderung nach kontrafaktischen Erklärungen und der Verweigerung des Zugangs zum vollständigen Modell. Heutige Erklärungsinstrumente erlauben eine beträchtliche Flexibilität bei der Erstellung von Erklärungen, insbesondere wenn es um kontrafaktische Erklärungen geht. Wenn jedoch nur das Scoring-Unternehmen diese Erklärungen generieren kann – weil dies den Zugang zum zugrundeliegenden Modell erfordert – besteht das Risiko, dass es Beispiele in einer Weise erstellt, die seine eigenen Entscheidungen im bestmöglichen Licht erscheinen lässt. Dies könnte wiederum Verbraucherrechte und Transparenz untergraben.
Ein klarer Interessenkonflikt ergibt sich daraus, dass diese Unternehmen von den Ergebnissen ihrer Scoring-Praktiken profitieren: Eine umfassendere Erklärung mag Mängel ihres Modells aufdecken oder Schwachstellen für rechtliche Anfechtungen offenlegen. Gleichzeitig kann der selektive Charakter kontrafaktischer Erklärungen besonders schwer zu erkennen sein. Ohne direkten Zugang zum Modell können weder Verbraucher:innen noch unabhängige Prüfer:innen gut kontrollieren, ob die bereitgestellte Erklärung die tatsächliche Funktionsweise des Modells widerspiegelt oder ob kritische Datenbeziehungen verschleiert oder ausgelassen wurden.
Dieses Risiko unterstreicht die Notwendigkeit eines neutralen Vermittlers, idealerweise einer staatlichen oder regulatorischen Stelle, die das Modell direkt einsehen, standardisierte Erklärungen erstellen und diese den Verbraucher:innen auf Anfrage offenlegen kann. Eine solche Regelung würde sowohl die berechtigten Interessen der Modellentwickler als auch die Verbraucherrechte schützen, indem sie sicherstellt, dass Erklärungen weder selektiv konstruiert noch manipuliert werden, während zugleich die proprietäre Logik gewahrt bleibt.
Dieser Artikel wurde ursprünglich am 18. Mai auf dem Compliance & Enforcement Blog des New York University School of Law Program on Corporate Compliance and Enforcement veröffentlicht.
Katja Langenbucher ist Professorin für Bürgerliches Recht, Wirtschaftsrecht und Bankrecht im House of Finance der Goethe-Universität Frankfurt und koordiniert das LawLab – Fintech & AI als SAFE-Brückenprofessorin.
Kevin Bauer ist Professor für spieltheoretische und kausale KI in Business und Economics an der Goethe-Universität Frankfurt, die gleichzeitig in das Hessische KI-Zentrum (Hessian.AI) integriert ist.
Blogbeiträge repräsentieren die persönlichen Ansichten der Autor:innen und nicht notwendigerweise die von SAFE oder seiner Mitarbeiter:innen.
