Auskunftspflichten bei Bonitätsbewertungen nach der Datenschutzgrundverordnung
Das Verwaltungsgericht Wiesbaden hat mit Urteil vom 19. November 2025 (Az. 6 K 788/20.WI) eine Entscheidung getroffen, die für die Verarbeitung personenbezogener Daten durch Wirtschaftsauskunfteien weitreichende Folgen hat. Im Kern geht es um die Frage, wie transparent eine Wirtschaftsauskunftei wie die Schufa Holding AG über die Bildung sogenannter Scorewerte informieren muss. Die Datenschutzgrundverordnung, kurz DSGVO, gewährt betroffenen Personen in Artikel 15 das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Dieses Auskunftsrecht umfasst insbesondere auch Informationen über automatisierte Entscheidungsverfahren, sofern sie maßgeblich Auswirkungen auf die betroffene Person haben. Gerade in Fällen, in denen Bonitätsscores über Kreditvergaben, Leasingentscheidungen oder Mobilfunkverträge entscheiden, ist dieses Transparenzgebot zentral.
Die Entscheidung des Gerichts verpflichtet die Aufsichtsbehörde, in diesem Fall den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, tätig zu werden und sicherzustellen, dass die Schufa ihrer Auskunftspflicht hinreichend nachkommt. Unternehmen jeder Größe, die in Vertragsbeziehungen mit Verbrauchern treten, können aus dieser Entscheidung wichtige Rückschlüsse für den eigenen Umgang mit personenbezogenen Daten und automatisierten Bewertungen ziehen.
Automatisierte Entscheidungsfindung und die Rolle des Artikel 22 DSGVO
Das Gericht stützte sich in seiner Begründung auf die bereits durch den Europäischen Gerichtshof im Urteil vom 7. Dezember 2023 (Rechtssache C-634/21) bestätigte Auslegung des Begriffs der „automatisierten Entscheidung im Einzelfall“ im Sinne von Artikel 22 DSGVO. Danach stellt die Erstellung eines Bonitätsscores eine solche automatisierte Entscheidung dar, wenn die Auswertung personenbezogener Daten durch ein algorithmisches Verfahren erfolgt und dieses Ergebnis maßgeblich beeinflusst, ob ein Dritter ein Vertragsverhältnis begründet oder ablehnt. Mit anderen Worten: Der Scorewert hat faktischen Entscheidungscharakter.
Für Unternehmerinnen und Unternehmer bedeutet diese Auslegung eine wichtige Klarstellung. Sobald Entscheidungen im Geschäftsprozess auf algorithmisch erzeugten Werten basieren, greifen die besonderen Transparenzpflichten der DSGVO. Der Verantwortliche – also das Unternehmen, das die Bonitätsprüfung beauftragt oder eigene Scoringverfahren nutzt – muss sicherstellen, dass Betroffene auf Anfrage verständliche Informationen darüber erhalten, wie der Wert zustande kommt und welche Daten in welcher Gewichtung eingeflossen sind. Allgemeine Beschreibungen oder bloße Hinweise auf interne Verfahren genügen dabei nicht mehr.
Praktische Auswirkungen für Unternehmen und Kreditgeber
Das Verwaltungsgericht stellte klar, dass betroffene Personen nicht nur zu informieren sind, dass ein automatisiertes Verfahren existiert, sondern dass sie nachvollziehen können müssen, auf welcher Logik es beruht und welche Tragweite das Ergebnis entfaltet. Die Wirtschaftsauskunftei ist zwar nicht verpflichtet, ihren Algorithmus im Detail offenzulegen, sie muss jedoch darlegen, welche personenbezogenen Merkmale konkret herangezogen wurden, welche Gewichtung diese Merkmale bei der Berechnung hatten und weshalb ein bestimmtes Ergebnis – zum Beispiel eine Risikokategorie – zustande kam. Für kleine und mittelständische Unternehmen, die häufig auf externe Dienstleister wie Auskunfteien zurückgreifen, ist dies von erheblicher Bedeutung. Sie sind gehalten, sicherzustellen, dass die von ihnen genutzten Anbieter die gesetzlichen Anforderungen erfüllen und transparent mit den Daten ihrer Kundinnen und Kunden umgehen.
Auch für Finanzinstitute und größere Handelsunternehmen, die automatisierte Bonitätsprüfungen in ihre Entscheidungsprozesse integriert haben, sind die Implikationen erheblich. Fehlende oder unzureichende Informationsweitergabe an Betroffene kann nicht nur aufsichtsrechtliche Eingriffe nach sich ziehen, sondern auch Bußgelder im Rahmen des europäischen Datenschutzrechts auslösen. Darüber hinaus steht die Vertrauensbasis gegenüber den Kundinnen und Kunden auf dem Spiel – ein Faktor, der gerade in digitalisierten Geschäftsprozessen von wachsender Relevanz ist.
Fazit: Transparenzpflichten als Chance für datenbewusste Unternehmensführung
Die Entscheidung verdeutlicht, dass Datenschutz nicht als bloße Compliance-Aufgabe verstanden werden sollte, sondern als Bestandteil verantwortungsvoller Unternehmensführung. Die Pflicht zur nachvollziehbaren Information über automatisierte Datenverarbeitung stärkt das Vertrauen der Kundinnen und Kunden und kann langfristig zur Qualitätssteigerung interner Prozesse beitragen. Bonitätsscores, algorithmische Risikoanalysen und andere automatisierte Systeme werden auch in Zukunft eine wichtige Rolle spielen. Entscheidend ist jedoch, dass Unternehmen die zugrunde liegende Datenverarbeitung transparent gestalten und sachgerecht dokumentieren.
Für kleine und mittelständische Betriebe, die zunehmend auf digitale Lösungen und datenbasierte Entscheidungsprozesse setzen, bietet die aktuelle Entwicklung Anlass, die internen Datenschutzprozesse zu überprüfen. Dabei sollte insbesondere geprüft werden, wie die Informationsrechte Betroffener organisatorisch verankert werden und ob die eingesetzten Dienstleister die Anforderungen der DSGVO vollständig erfüllen. Unsere Kanzlei unterstützt Unternehmen unterschiedlicher Branchen – vom kleinen Handwerksbetrieb bis zum spezialisierten Gesundheitsdienstleister – bei der rechtssicheren Digitalisierung und Prozessoptimierung in der Buchhaltung. Durch angepasste digitale Prozesse und effiziente Datenstrukturen lassen sich nicht nur gesetzliche Pflichten zuverlässig erfüllen, sondern auch erhebliche Zeit- und Kostenvorteile erzielen.
Gerichtsentscheidung lesen
