DSGVO-Beschwerde nach automatisierter Bonitätsprüfung
Die Bürgerrechtsorganisation noyb hat am 29.08.2024 eine DSGVO-Beschwerde gegen die Kreditauskunftei KSV1870 und den Stromversorger „Unsere Wasserkraft“ erhoben. Die Beschwerde bei der österreichischen Datenschutzbehörde folgte auf die Ablehnung der Energielieferung an einen Kunden. Noyb sieht hierin ein datenschutzwidriges Verhalten, und behauptet, dass die Ablehnung unter dem rechtswidrigen Einsatz einer vollautomatisierten Bonitätsprüfung erfolgt sei.
Der Fall: „Unsere Wasserkraft“ & KSV1870
Im vorliegenden Fall wollte ein Neukunde einen Stromversorgungsvertrag bei „Unsere Wasserkraft“ abschließen. Nachdem er nur kurz zuvor mit einer Willkommensnachricht empfangen worden war, folgte wenig später eine Ablehnung der Energielieferung. Als Begründung nannte das Unternehmen eine „unzureichende Bonitätsbewertung“. Für weitere Informationen zur Bewertung seiner Kreditwürdigkeit könne er sich, so noyb, an den KSV1870 wenden. Laut der Pressemitteilung von noyb hatte „Unsere Wasserkraft“ die Bonität des Beschwerdeführers ungefragt beim KSV1870 abgefragt und dieses Ergebnis als Entscheidungsgrundlage verwendet. Aufgrund der Kürze der Zeit sei eine zusätzliche menschliche Kontrolle auszuschließen.
Was sagt die DSGVO?
Erfolgt eine solche Entscheidungen ohne menschliche Überprüfung und führt diese im Anschluss zu einer für den Betroffenen nachteiligen Entscheidung, also hier eine Ablehnung, liegt regelmäßig eine Verletzung von Art. 22 Datenschutzgrundverordnung (DSGVO) vor. Die DSGVO stellt insofern klar, dass vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf die betroffene Person grundsätzlich unzulässig sind. Der Europäische Gerichtshof (EuGH) hat zudem erst kürzlich in einem ähnlichen Fall gegen die deutsche SCHUFA festgehalten, dass bei einer solchen bedeutenden Entscheidung bereits die Bonitätsprüfung selbst gegen Art. 22 DSGVO verstößt.
Das Problem der Verantwortungszuschreibung
Ein weiteres zentrales Problem ergibt sich in solchen Fällen in der Regel aus der Frage, wer hier die Verantwortung trägt. Im vorliegenden Fall schieben sich „Unsere Wasserkraft“ und KSV1870 gegenseitig diese zu.
Der KSV1870 behauptet entgegen der EuGH-Rechtsprechung, dass der von ihm berechnete Score lediglich ein Anhaltspunkt sei und die endgültige Entscheidung beim Unternehmen liege. Einen maßgeblichen Einfluss habe die Entscheidung somit nicht. Gegenüber heise online erklärte der KSV1870, dass die Ablehnung bereits im Oktober 2023, also vor der EuGH-Entscheidung, erfolgt sei. Mittlerweile habe man seine Prozesse angepasst. Zudem weise man in den „Auskunftsprodukten […] explizit darauf hin, dass ein errechneter Scorewert nur ein Kriterium von vielen für die Bewertung der Bonität sein kann.“
„Unsere Wasserkraft“ hingegen verwies auf den KSV1870 und nutzte dessen Bewertung als ausschlaggebendes Kriterium, ohne eine eigene Prüfung vorzunehmen. Darauf verwies das Unternehmen auch in der Ablehnungsnachricht und teilte deshalb mit, man solle sich für weitere Informationen an den KSV1870 wenden.
Noyb erklärt, dass diese gegenseitige Verantwortungsabschiebung es für betroffene Personen nahezu unmöglich macht, ihre Rechte durchzusetzen.
Kritik von noyb: Verletzung der Betroffenenrechte
Noyb ist der Meinung, dass der Fall eine Verletzung von Art. 13, 14, 15 und 22 DSGVO darstellt, weshalb die Bürgerrechtsorganisation eine Beschwerde bei der österreichischen Datenschutzbehörde eingereicht hat.
Martin Baumann, Datenschutzjurist bei noyb argumentiert, dass Konsumenten das Recht haben müssen, gegen vollautomatisierte Entscheidungen vorzugehen. Dies schließe die Möglichkeit ein, eine manuelle Überprüfung durch einen Menschen zu verlangen, den „eigenen Standpunkt darzulegen und die automatisierte Entscheidung anzufechten“. Im aktuellen Fall hat der betroffene Kunde genau dies nicht tun können.
Der Fall wirft zudem Zweifel an der Korrektheit und Verlässlichkeit von Bonitätsbewertungen auf. Noyb erklärt, dass bereits kurz nachdem der Betroffene beim KSV1870 Beschwerde eingereicht hatte, sein Score plötzlich angepasst worden sei, sodass theoretisch der Vertragsschluss möglich gewesen wäre. Diese schnelle Änderung des Werts lässt noyb daran zweifeln, ob die Scores „überhaupt die hohen Erwartungen hinsichtlich Korrektheit und Belastbarkeit erfüllen“.
Fazit
Noyb fordert von der österreichischen Datenschutzbehörde konkrete Maßnahmen. Insbesondere verlangt die Organisation, dass der KSV1870 die automatisierte Berechnung von Bonitätswerten einstellt, solange nicht sichergestellt ist, dass diese Verfahren den strengen Vorgaben der DSGVO entsprechen.
Der Fall verdeutlicht erneut die problematischen Aspekte automatisierter Bonitätsprüfungen, insbesondere wenn diese ohne menschliche Überprüfung durchgeführt werden. Solche Verfahren bergen nicht nur das Risiko falscher Entscheidungen, sondern können nach der aktuellen Rechtslage auch unzulässig sein.