EuGH, Urt. v. 27.02.2025, C-203/22, Dun & Bradstreet Austria
Reichweite des Auskunftsrechts über die involvierte Logik einer automatisierten Entscheidung nach Art. 15 Abs. 1 lit. h DSGVO; Erläuterung von Verfahren und Grundsätzen statt Algorithmus-Offenlegung; In-Camera-Verfahren bei Geschäftsgeheimnissen.
1. Kurzübersicht
Einer Kundin wurde der Abschluss eines Mobilfunkvertrags verweigert, weil eine automatisierte Bonitätsbeurteilung durch das Unternehmen Dun & Bradstreet Austria negativ ausfiel. Die Kundin verlangte Auskunft über die Logik der automatisierten Entscheidung. Das vorlegende Gericht fragte den EuGH, wie weit das Auskunftsrecht nach Art. 15 Abs. 1 lit. h DSGVO reicht, wenn die Person einer automatisierten Entscheidungsfindung einschließlich Profiling unterworfen ist.
2. Leitsätze
Der Verantwortliche muss das Verfahren und die Grundsätze so erläutern, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten auf welche Weise in der automatisierten Entscheidungsfindung verwendet wurden (Rn. 66).
Weder die bloße Mitteilung komplexer mathematischer Formeln noch eine vollständige Beschreibung jedes Verfahrensschritts genügen. Erforderlich ist eine verständliche, am Einzelfall orientierte Erläuterung, die dem Betroffenen die Prüfung erlaubt, ob die verwendeten Daten richtig sind und zulässig verarbeitet wurden.
Stehen der Auskunft Geschäftsgeheimnisse oder Rechte Dritter entgegen, ist der Verantwortliche nicht vollständig befreit. Er hat die geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die gegenläufigen Interessen abwägen und den Umfang des Auskunftsrechts bestimmen (Rn. 76).
3. Bedeutung
Die Entscheidung konkretisiert die Informations- und Auskunftsrechte bei automatisierten Einzelentscheidungen. Sie löst das Spannungsverhältnis zwischen dem Recht auf aussagekräftige Information und dem Schutz von Geschäftsgeheimnissen im Grundsatz zugunsten des Datenschutzes auf, ohne eine generelle Pflicht zur Offenlegung des Algorithmus zu begründen. Der Volltext ist über InfoCuria abrufbar.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.