Skip to main content
C. Hirsch, Décision individuelle automatisée : La société de credit scoring ne doit pas divulguer son algorithme, mais doit l’expliquer, (03 mars 2025) <https://cdbf.ch/1400/>
C. Hirsch, Décision individuelle automatisée : La société de credit scoring ne doit pas divulguer son algorithme, mais doit l’expliquer (03 mars 2025) <https://cdbf.ch/1400/>
 CC BY

Articles en relation

Plus d'articles en relation

Automatisierte Einzelentscheidung

Das Bonitätsprüfungsunternehmen muss seinen Algorithmus nicht offenlegen, aber erläutern

(Übersetzt von DeepL)

Das Credit Scoring Unternehmen muss der betroffenen Person das Verfahren und die konkret angewandten Grundsätze zur Erstellung ihres Bonitätsprofils erläutern. Darüber hinaus steht das Geschäftsgeheimnis des Unternehmens der Weitergabe von Informationen an die Behörde oder das Gericht nicht entgegen, die eine Interessenabwägung vornehmen muss (Urteil des EuGH vom 27. Februar 2025 in der Rechtssache C-203/22).

Ein Mobilfunkanbieter verweigert einem österreichischen Staatsangehörigen (CK) den Abschluss eines Mobilfunkvertrags, der eine monatliche Zahlung von 10,- EUR beinhaltet hätte. Diese Ablehnung wird mit einer negativen Bonitätsprüfung durch das Unternehmen Dun & Bradstreet (D&B) begründet.

Nach verschiedenen von CK gegen D&B eingeleiteten Verfahren ist das Verwaltungsgericht Wien der Ansicht, dass CK zumindest das Recht hat, (1) die Daten zu erhalten, die im Rahmen der Erstellung eines „Faktors“ verarbeitet wurden, (2) die mathematische Formel, die der Berechnung zugrunde liegt, die zu dem fraglichen „Score“ geführt hat (3) den konkreten Wert, der CK für jeden der betreffenden Faktoren zugewiesen wurde, und (4) die Genauigkeit der Intervalle, innerhalb derer derselbe Wert verschiedenen Daten für denselben Faktor zugewiesen wird (Intervallschätzung oder diskrete oder index-/katasterbasierte Schätzung). Darüber hinaus sollte D&B auch eine Liste vorlegen, in der die Scores anderer Personen für den Zeitraum von sechs Monaten vor und sechs Monaten nach der Erstellung des CK-Scores aufgeführt sind, die auf der Grundlage derselben Berechnungsregel ermittelt wurden.

Vor einer endgültigen Entscheidung legt das Verwaltungsgericht dem EuGH Fragen zur Vorabentscheidung vor. Diese zielen darauf ab, (1) zu klären, ob die betroffene Person das Recht hat, Erläuterungen zu dem Verfahren und den konkret angewandten Grundsätzen für die Erstellung ihres Kreditprofils zu erhalten, und (2) ob das Geschäftsgeheimnis der Weitergabe von Informationen an die Behörde oder das Gericht entgegensteht.

Wird eine betroffene Person einer automatisierten Einzelentscheidung unterworfen (Art. 22 DSGVO), hat sie das Recht, „nützliche Informationen über die ihr zugrunde liegende Logik“ der Entscheidung zu erhalten (Art. 15 Abs. 1 lit. h DSGVO).

Der EuGH legt diese Bestimmung wörtlich, systematisch und teleologisch aus. Er stellt insbesondere fest, dass diese Informationen dazu dienen sollen, der betroffenen Person die Möglichkeit zu geben, ihren Standpunkt zu dieser Entscheidung zu äußern und sie anzufechten (Art. 22 Abs. 3 DSGVO). Er kommt zu dem Schluss, dass es sich um ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus handelt, der einer automatisierten Entscheidungsfindung zugrunde liegt. Dieses Recht umfasst die Erläuterung des Verfahrens und der konkret angewandten Grundsätze zur Nutzung personenbezogener Daten, um ein bestimmtes Ergebnis zu erzielen, wie z. B. ein Bonitätsprofil.

Der EuGH ist der Ansicht, dass die Information ausreichend präzise und verständlich sein muss. Der für die Verarbeitung Verantwortliche kann daher der betroffenen Person weder eine komplexe mathematische Formel wie einen Algorithmus noch eine detaillierte Beschreibung aller Schritte einer automatisierten Entscheidungsfindung mitteilen. Er muss einfache Mittel finden, um die betroffene Person über den Grund der automatisierten Entscheidung oder die Kriterien, auf denen sie beruht, zu informieren. Daher umfasst die Information nicht unbedingt eine komplexe Erklärung der verwendeten Algorithmen oder die Offenlegung des vollständigen Algorithmus. Konkret könnte der für die Verarbeitung Verantwortliche die betroffene Person darüber informieren, inwieweit eine Abweichung in ihren Daten zu einem anderen Ergebnis geführt hätte.

Was den Schutz von Geschäftsgeheimnissen betrifft, so kann dies nicht dazu führen, dass der betroffenen Person jegliche Kommunikation verweigert wird. Der für die Verarbeitung Verantwortliche muss die angeblich geschützten Informationen an die zuständige Behörde oder das zuständige Gericht weiterleiten. Diese können dann die betreffenden Rechte und Interessen abwägen, um den Umfang des Auskunftsrechts zu bestimmen.

Diese Entscheidung des EuGH folgt auf das Schufa-Urteil (C-634/21), wonach die Credit Scoring Company bei der Durchführung einer Bonitätsprüfung eine automatisierte Einzelentscheidung trifft (cdbf. ch/1316/ ; Hirsch Célian, Künstliche Intelligenz und Entscheidungsautomatisierung im Banken- und Finanzsektor : Anwendung des DSG und der DSGVO, RSDA 2024 115 ff).

Das vorliegende Urteil ermöglicht es, die Reichweite der Pflicht, der betroffenen Person die automatisierte Entscheidung zu erläutern, ein wenig zu klären. So muss der gesamte Algorithmus nicht offengelegt werden. Darüber hinaus scheint uns die Information über die Variation der Daten und ihre Auswirkungen auf das Ergebnis eine gute Methode zu sein (vgl. auch Wachter Sandra/Mittelstadt Brent/Russell Chris, Counterfactual Explanations Without Opening the Black Box : Automated Decisions and the GDPR, Harvard Journal of Law & Technology, 31 (2), 2018). Diese Rechtsprechung könnte in Zukunft auch relevant sein, um den Umfang des „Rechts auf Erklärung“ von Entscheidungen zu bestimmen, die von KI-Systemen mit hohem Risiko getroffen werden (Art. 86 der KI-Verordnung).

Das Schweizer Recht sieht ebenfalls vor, dass die betroffene Person bei einer automatisierten Einzelentscheidung (Art. 21 DSG) das Recht hat, über „die Logik, die der Entscheidung zugrunde liegt“ (Art. 25 Abs. 2 lit. f DSG) informiert zu werden. Wie bei der DSGVO zielt die Information nicht auf die Offenlegung von Algorithmen ab, die oft unter das Geschäftsgeheimnis fallen (für einen vertieften Überblick über diesen Begriff siehe Chappuis Grégoire/Kuonen Nicolas, La protection des secrets d’affaires, une mosaïque à synthétiser, SJ 2025 59). Da dieses Recht aus der DSGVO stammt und mit ihr übereinstimmt, sollte die schweizerische Auslegung im Übrigen grundsätzlich mit der des EuGH übereinstimmen (siehe hierzu Hirsch Célian, Le devoir d’informer lors d’une violation de la sécurité des données – Avec un regard particulier sur les données bancaires, Dissertation, Genf 2023, S. 130 ff.).