Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO

Der Europäische Gerichtshof (EuGH) hat erneut zur Auslegung der Datenschutz-Grundverordnung (DSGVO) Stellung genommen – mit weitreichenden Folgen für Unternehmen, die auf automatisierte Entscheidungsprozesse setzen. Im Mittelpunkt steht die Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO: Unternehmen müssen gegenüber betroffenen Personen offenlegen, wie ihre Systeme Entscheidungen treffen – im Spannungsfeld zwischen Transparenz und dem Schutz von Geschäftsgeheimnissen.

Der Fall: Automatisierte Bonitätsprüfung verweigert Mobilfunkvertrag

Konkret ging es um einen Fall aus Österreich. Einer Kundin wurde ein Mobilfunkvertrag mit einem Volumen von lediglich 10 € monatlich verweigert – Grund war eine automatisierte Bonitätsprüfung, die sie als nicht kreditwürdig einstufte. Die Kundin verlangte daraufhin eine Offenlegung der Entscheidungsgrundlage. Die Datenschutzbehörde gab ihr Recht, doch das Telekommunikationsunternehmen berief sich auf den Schutz seiner Geschäftsgeheimnisse und verweigerte nähere Angaben. Der Fall ging vor Gericht – und schließlich zum EuGH.

Das Urteil: Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO gilt – aber mit Grenzen

Der EuGH entschied: Betroffene haben ein Recht auf aussagekräftige Informationen über die involvierte Logik einer automatisierten Entscheidung. Dieses Recht ist integraler Bestandteil der Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO. Allerdings müssen Unternehmen nicht sämtliche Algorithmen offenlegen – insbesondere dann nicht, wenn diese Informationen geschäftskritisch oder für Laien unverständlich sind.

Stattdessen ist es ausreichend, dass Unternehmen erläutern:

welche Daten in die Entscheidung eingeflossen sind,
wie diese Daten verarbeitet wurden,
und welchen Einfluss einzelne Informationen auf das Ergebnis hatten.

Beispielsweise: Führt bereits eine offene Rechnung beim gleichen Anbieter zu einer negativen Bewertung? Oder hätten geringfügig andere Angaben ein anderes Ergebnis erzeugt?

Ziel dieser Regelung ist es, den betroffenen Personen zu ermöglichen, ihre Rechte – etwa auf Berichtigung, Löschung oder Widerspruch – wirksam auszuüben.

Kein absolutes Auskunftsrecht – Schutz von Geschäftsgeheimnissen bleibt bestehen

Die Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO bedeutet nicht, dass Unternehmen jede Detailinformation offenlegen müssen. Der EuGH betonte ausdrücklich, dass auch der Schutz von Geschäftsgeheimnissen ein legitimes Interesse darstellt. Es bedarf einer sorgfältigen Einzelfallabwägung, ob und in welchem Umfang Informationen offengelegt werden müssen – eine Aufgabe, die auch Gerichte und Datenschutzbehörden übernehmen können.

Besondere Herausforderungen durch Künstliche Intelligenz

Besonders relevant wird die Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO im Zusammenhang mit Künstlicher Intelligenz (KI). Während klassische, regelbasierte Systeme mit festen Entscheidungslogiken arbeiten, gelten viele moderne KI-Systeme als „Black Boxes“ – ihre Entscheidungsprozesse sind komplex und schwer nachvollziehbar, selbst für Fachleute. Wie weit Transparenz hier gehen muss, ist bislang offen – der EuGH hat mit seinem Urteil aber die Richtung vorgegeben.

Was Unternehmen jetzt tun können

Unternehmen sind gefordert, die Transparenzpflichten umzusetzen – ohne ihre internen Prozesse preiszugeben. Hilfreiche Maßnahmen können sein:

Erstellung standardisierter Erklärvorlagen zur Funktionsweise der Systeme,
Anpassung dieser Vorlagen an konkrete Einzelfälle,
sowie eine verständliche Aufbereitung für technisch nicht versierte Betroffene.

Dabei gilt es, Aufwand, Datenschutzinteressen und das Risiko eines Know-how-Verlusts gegeneinander abzuwägen. Der EuGH liefert hierfür keinen starren Maßnahmenkatalog – entscheidend sind die Umstände des jeweiligen Einzelfalls.

Fazit: Rechte stärken, Transparenz fördern

Mit seiner Entscheidung stärkt der EuGH die Rechte von Verbraucherinnen und Verbrauchern und gibt klare Leitlinien für die Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO vor. Unternehmen müssen nachvollziehbare Informationen bereitstellen, ohne ihre Geschäftsgeheimnisse preiszugeben. Die Umsetzung bleibt flexibel – entscheidend ist eine verantwortungsbewusste und verständliche Kommunikation automatisierter Prozesse.

FAQ: DSGVO, automatisierte Entscheidungen & Transparenzpflicht

1. Was bedeutet die Transparenzpflicht bei automatisierten Entscheidungen nach DSGVO?

Betroffene haben das Recht, nachvollziehen zu können, wie automatisierte Entscheidungen zustande kommen – etwa bei Kreditvergaben, Scoring oder KI-Einsätzen. Unternehmen müssen die Entscheidungslogik in verständlicher Form offenlegen.

2. Müssen Unternehmen ihre Algorithmen vollständig offenlegen?

Nein. Laut EuGH reicht es aus, die genutzten Daten, deren Verarbeitung sowie den Einfluss einzelner Informationen zu erläutern. Geschäftsgeheimnisse bleiben geschützt.

3. In welchen Fällen greift die Transparenzpflicht besonders?

Immer dann, wenn eine Entscheidung ohne menschliches Zutun erfolgt und rechtliche oder ähnlich erhebliche Auswirkungen hat – z. B. Ablehnung eines Kredits oder Vertrags.

4. Wie detailliert müssen die Erklärungen für Betroffene sein?

Die Informationen müssen so verständlich sein, dass Betroffene ihre Rechte ausüben können – z. B. auf Berichtigung, Widerspruch oder Löschung. Technische Tiefe ist nicht zwingend erforderlich.

5. Was sollten Unternehmen jetzt tun?

Unternehmen sollten standardisierte Erklärvorlagen entwickeln, ihre Systeme dokumentieren und Informationen für Laien verständlich aufbereiten – ohne ihre Betriebsgeheimnisse preiszugeben.