Der DSGVO-Auskunftsanspruch nach Art. 15 DSGVO umfasst beim Bonitätscoring die konkreten Inhalte, nicht jedoch den zugrundeliegenden Algorithmus (OLG Dresden, Urt. v. 07.10.2025 - Az.4 U 884/24).
Der Kläger wollte von der Beklagten, einer Wirtschaftsauskunftei mit Bonitätsinformationssystem, erfahren, wie genau sein Bonitätsscore berechnet wurde.
Die Firma verwendete ein automatisiertes Verfahren, bei dem personenbezogene Daten mit statistischen Gruppen verglichen wurden. Daraus entstanden Wahrscheinlichkeitswerte (Scores), die Vertragspartnern beispielsweise zur Kreditvergabe übermittelt wurden.
Der Kläger hatte Bedenken, dass das Scoring fehlerhaft oder intransparent sein könnte, und machte daher Auskunftsansprüche nach Art. 15 DSGVO geltend.
Bei einer automatisierten Datenverarbeitung mit Profilbildung (Scoring) bestünden besondere Transparenzpflichten, so das OLG Dresden. Auch wenn keine nachweisbare schwerwiegende Beeinträchtigung vorliege, müsse der Betroffene informiert werden.
Danach umfasst der Auskunftsanspruch grundsätzlich:
- welche personenbezogenen Daten verwendet wurden,
- wie stark einzelne Kriterien den Score beeinflussen und
- welche Aussagekraft der Score konkret für den Betroffenen hat.
Auch habe der Kläger ein Anrecht auf individuelle und klare Erläuterungen. Ein bloßer Verweis auf allgemeine Informationen auf einer Website reichen nicht aus. Es sei vielmehrwichtig, dass der Betroffene verstehen könne, wie seine Daten zu einem bestimmten Ergebnis führten.
Das Auskunftsbegehren sei jedoch unbegründet, soweit es sich auf die Offenlegung des Scoring-Algorithmus beziehe. Es könne nicht verlangt werden, dass der Algorithmus selbst offengelegt werde. Ein Recht auf mathematische Nachvollziehbarkeit bestünde nicht. Es sei ausreichend, wenn der Betroffene die Gewichtung und Einflussfaktoren seines Scores nachvollziehen könne:
"Daraus folgt zugleich, dass der Betroffene ein Recht „auf Erläuterung des Verfahrens“ sowie der „Grundsätze“ hat, die bei der automatisierten Verarbeitung seiner personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden (…).
Die DSGVO verpflichtet den Verantwortlichen zwar „nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus“ (…).
Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 Buchst. h) DSGVO müssen aber das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte (…).