Die einzelnen News

BGH: Keine personenbezogenen Daten nach DSGVO ohne erkennbaren Personenbezug, allgemeine Auswirkungen reichen nicht

Ein personenbezogenes Datum nach der DSGVO liegt nur dann vor, wenn sich die Information auf eine konkrete Person bezieht. Die Information zu einem Sachverhalt, der Auswirkungen auf eine bestimmte Person hat, reicht für die Annahme eines Personenbezugs allein nicht aus (hier: Tariferhöhung bei privater Krankenversicherung) (BGH, Urt. v. 18.12.2025 - Az.: I ZR 115/25).

Ein privat krankenversicherter Mann hatte seine Unterlagen zu Beitragsanpassungen und Tarifwechseln verloren. Auf Basis des DSGVO-Auskunftsanspruchs wollte er von seiner Versicherung nun wissen, wann und wie sich seine Beiträge geändert hatten und welche Tarifänderungen es gab. Die Versicherung verweigerte die Herausgabe der Informationen und argumentierte , dass es sich dabei nicht um personenbezogene Daten handele.

Das Landgericht verpflichtete die Versicherung zur Herausgabe der Informationen. Der BGH hob das Urteil jedoch auf und verwies den Fall zurück an das Berufungsgericht.

In seiner Entscheidung macht der BGH deutlich, dass nur solche Informationen, die eine Person identifizieren oder identifizierbar machen, personenbezogen sind. Es reiche nicht aus, dass eine Information irgendeine Auswirkung auf eine Person habe.

Beitragsanpassungen oder Tarifwechsel beruhten oft auf allgemeinen Rechenmodellen. Wenn aus solchen Informationen nicht erkennbar sei, welche konkrete Person betroffen sei, fehle der notwendige Personenbezug.

Auch wenn jemand individuell von einer Tarifänderung betroffen sei heiße das nicht automatisch, dass die Information Rückschlüsse auf seine Identität zulasse:

"Wie dargelegt, muss sich eine Information, damit sie nach der Definition des Art. 4 Nr. 1 DSGVO ein personenbezogenes Datum darstellt, auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine indirekte Identifizierbarkeit ausreicht.

Es muss sich um eine Information "über" eine Person handeln, was der Fall ist, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (..). Der Umstand, dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht daher für die Annahme eines personenbezogenen Datums allein nicht aus.

Vielmehr muss die Information aufgrund einer solchen Auswirkung (oder ihres Inhalts oder Zwecks) mit einer bestimmten Person in dem Sinne verknüpft sein, dass die Person auf Grundlage der Information identifiziert ist oder (direkt oder indirekt) identifiziert werden kann (…)."

Und weiter:

“Von der zuvor (…) dargestellten Ansicht wird die Verknüpfung mit einer bestimmten Person daher mit Recht verneint, wenn die Angabe, welcher Beitrag für einen bestimmten Tarif zu entrichten ist, keine Rückschlüsse darauf zulässt, um welchen Versicherungsnehmer es sich handelt, und die Höhe der Tarife und der Zeitpunkt einer Tariferhöhung oder eines Tarifwechsels lediglich Auskunft darüber geben, welcher Preis für die durch den Versicherungsvertrag verwirklichte Vorsorge zu entrichten ist (…). Feststellungen dahingehend, dass die im Streitfall begehrten Informationen Aufschluss darüber geben könnten, wann eine bestimmte natürliche Person nach welchem Tarif versichert war oder wann sie in welcher Höhe Versicherungsbeiträge gezahlt hat, hat das Berufungsgericht entgegen der Behauptung der Revisionserwiderung nicht getroffen.”

Und schließlich:

"Soweit das Berufungsgericht zur Begründung seiner dahingehenden Bewertung darauf verweist, Tarifwechsel und Tarifbeendigungen seien von Vertragserklärungen des Versicherungsnehmers abhängig (…), greift dies zu kurz. Zwar sind Schreiben der betroffenen Person an den Verantwortlichen nach der zuvor (unter Rn. 23) wiedergegebenen Rechtsprechung des Bundesgerichtshofs ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, weil die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat.

Allein daraus lässt sich jedoch nicht schließen, dass Informationen darüber, welche (rechtlichen oder tatsächlichen) Folgen sich aus entsprechenden Schreiben ergeben (hier: die auf einer Erklärung des Versicherten beruhende Tarifänderung), ihrerseits personenbezogene Daten sind. Etwaige Tarifänderungen stellen vielmehr eine aus der Sphäre des Versicherungsunternehmens stammende Reaktion auf die Erklärungen des Versicherungsnehmers dar. Schreiben des Verantwortlichen an die betroffene Person unterfallen aber nach der zuvor (…) dargestellten Rechtsprechung dem datenschutzrechtlichen Auskunftsanspruch nur insoweit, als sie Informationen über die betroffene Person nach den hierfür maßgeblichen Kriterien enthalten.

Die Eigenschaft der Informationen zu Tarifwechseln und Tarifbeendigungen als personenbezogene Daten kann entgegen der Ansicht des Berufungsgerichts (…) auch nicht ohne Weiteres daraus geschlossen werden, dass diese individuell und nicht einheitlich innerhalb einer Beobachtungseinheit geschehen. Die aus diesem Umstand gezogene Schlussfolgerung, eine Bestimmbarkeit der betroffenen Person anhand dieser Daten erscheine "nicht ausgeschlossen", verbleibt im Unklaren und wird vom Berufungsgericht nicht näher begründet. Sie reicht daher ebenfalls für sich genommen nicht aus, um einen Personenbezug der begehrten Daten zu begründen."

BFH: Schadenersatz wegen Datenschutzverstößen einer Finanzbehörde

Mit Beschluss vom 15.09.2025 – IX R 11/23 hat sich der Bundesfinanzhof (BFH) erstmals zu den Voraussetzungen geäußert, die einen Schadenersatzanspruch gegenüber einer Finanzbehörde aufgrund von Verstößen gegen datenschutzrechtliche Regelungen betreffen.

Im Streitfall hatte nach Ansicht der Steuerpflichtigen das Finanzamt (FA) gegen Vorgaben des Datenschutzes verstoßen.

Die Steuerpflichtige machte daher unmittelbar beim Finanzgericht (FG) einen Anspruch auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) geltend. Das FG wies die Klage ab (FG Berlin-Brandenburg, Urteil vom 09.03.2023 – 16 K 16034/22).

Ein Schaden der Steuerpflichtigen sei nicht erkennbar, so dass ein Anspruch auf Schadenersatz ausscheide.

Der BFH hat im Ergebnis, wenn auch mit anderer Begründung, die Entscheidung des FG bestätigt.

Nach Ansicht des BFH setzt die gerichtliche Geltendmachung eines Anspruchs auf Schadensersatz nach Art. 82 DSGVO voraus, dass dieser zuvor bei dem für die Datenverarbeitung verantwortlichen FA geltend gemacht wird.

Denn fehlt es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde, mangelt es an der für eine Klageerhebung notwendigen Beschwer des Steuerpflichtigen.

Eine ohne vorherige Ablehnung erhobene Klage ist daher unzulässig.

Vielmehr muss dem FA zuvor außergerichtlich die Gelegenheit gegeben werden, den Anspruch auf Schadenersatz zu prüfen und über ihn zu entscheiden.

Auch in einem bereits anhängigen Gerichtsverfahren, in dem es um Verstöße gegen datenschutzrechtliche Regelungen geht, kann das bisherige Vorbringen damit nicht einfach um ein Schadenersatzbegehren erweitert werden. In diesem Fall liegt eine unzulässige Klageerweiterung vor.

Beschluss vom 15.09.2025 - Az.: IX R 11/23

Quelle: Pressemitteilung des BFH v. 18.12.2025

OVG Schleswig: Meta muss auf Facebook medienrechtliche Transparenzvorschriften (vorerst) weiter einhalten

Der 6. Senat des Oberverwaltungsgerichts hat am Donnerstag (18. Dezember 2025) in einem Eilverfahren die Beschwerde von Meta Platforms Ireland Limited gegen einen Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts zurückgewiesen (Az. 6 MB 24/25). Darin ging es um die Frage, ob die Medienanstalt Hamburg/Schleswig-Holstein einen Verstoß gegen sogenannte Transparenzpflichten durch den Dienst „Facebook“ feststellen und vorerst deren Einhaltung fordern darf.

Die im Medienstaatsvertrag der Länder vorgeschriebenen Transparenzinformationen sichern die Meinungsvielfalt. Sie sollen den Nutzerinnen und Nutzern von Angeboten wie „Facebook“ in Grundzügen erklären, wie Inhalte zusammengestellt werden. Dies basiert zumeist auf Algorithmen. So sollen Nutzende sensibilisiert werden.

Das Gericht hat in seinem ausführlich begründeten Beschluss für einen Verstoß gegen diese Transparenzpflichten gewichtige Indizien gesehen. So seien die zum Zeitpunkt der Beanstandung auf der „Facebook“-Seite abrufbaren Transparenzinformationen weder leicht wahrnehmbar noch unmittelbar erreichbar gewesen. Dies betraf zum Beispiel das „Transparency Center“.

Auch die unter der Funktion „Warum sehe ich diesen Beitrag?“ abgelegten Transparenzinformationen seien weder unmittelbar erreichbar noch ständig verfügbar gewesen, denn diese Funktion sei auf die App-Anwendung beschränkt. Außerdem sei die inhaltliche Ausgestaltung der Funktion als oberflächlich und phrasenhaft zu beschreiben.

Besonders schwierig waren allerdings die europarechtlichen Fragestellungen. Meta hatte argumentiert, dass die im Streit stehende Regelung im Medienstaatsvertrag gegen Europarecht verstoße und daher gar nicht anwendbar sei. Konkret macht Meta Verstöße gegen die E‑Commerce-Richtlinie, den Digital Services Act und die Platform-to-Business-Verordnung geltend.

Dem ist das Gericht im Ergebnis nicht gefolgt. Zwar hat es ausführlich begründet, dass die Frage, ob § 93 des Medienstaatsvertrages mit Europarecht vereinbar ist, eine „höchst umstrittene und hier entscheidungserhebliche Rechtsfrage“ darstellt. Es hat die Klärung dieser Frage aber dem gerichtlichen Hauptsacheverfahren überlassen. Nur von dort aus könne eine Vorlage an den Europäischen Gerichtshof erfolgen. Im Eilverfahren hat das Gericht stattdessen eine so genannte Folgenabwägung vorgenommen, die wie schon beim Verwaltungsgericht zulasten von Meta ausgegangen ist.

Hierbei hat es vor allem berücksichtigt, dass Diensten wie „Facebook“ bei der Bereitstellung von Inhalten im Internet immer mehr eine zentrale Rolle als sogenannte „Gatekeeper“ zukomme. Vor allem durch Angebote, wie dem „Facebook Newsfeed“, sei das soziale Netzwerk für die öffentliche Meinungsbildung wichtig.

Der steigende Einfluss sei dabei im Wesentlichen auf das werbefinanzierte Geschäftsmodell zurückzuführen, das auf eine möglichst schnell wachsende Nutzerreichweite angewiesen sei. Aufgrund der bei der Inhaltsauswahl verwendeten Algorithmen seien die Transparenzziele besonders wichtig, um der Gefahr verengender und verzerrender Inhaltsauswahl zu begegnen, etwa infolge sogenannter „Filterblasen“ und „Echokammern“. Im Eilverfahren hat das Gericht dieses öffentliche Interesse höher als die wirtschaftlichen Interessen von Meta gewichtet.

Das darüber hinaus erforderliche besondere öffentliche Interesse an der sofortigen Vollziehung ergebe sich aus der herausragenden Bedeutung von „Facebook“ und dessen Reichweite am Markt.

Der Beschluss des Oberverwaltungsgerichts ist unanfechtbar.

Quelle: Pressemitteilung des OVG Schleswig v. 19.12.2025

LG Darmstadt: Sachverständiger bekommt für sein mit KI erstelltes Gutachten keine Vergütung, da nicht verwertbar

Ein nicht offengelegter, erheblicher Einsatz von Künstlicher Intelligenz (KI) bei der Gutachtenerstellung durch einen gerichtlichen Sachverständigen kann dazu führen, dass ihm keinerlei Vergütung zusteht (LG Darmstadt, Urt. v. 10.11.2025 – Az.. 19 O 527/16) zugesprochen wird.

Ein medizinischer Sachverständiger, ein Professor, wurde vom Gericht beauftragt, ein Gutachten zu kieferchirurgischen Fragen zu erstellen. Das fertige Gutachten wurde wenige Wochen nach Auftragserteilung eingereicht und mit knapp 2.400 EUR,- abgerechnet. Später wurde bekannt, dass der Sachverständige nicht selbst arbeitete, sondern große Teile des Gutachtens von einer KI erstellt worden waren. Eine persönliche Untersuchung der Patentin fand ebenfalls nicht statt.

Das Gericht reduzierte die Vergütung des Sachverständigen auf null.

Der Sachverständige habe nicht ausschließlich persönlich gearbeitet, obwohl er dies dem Gericht hätte anzeigen müssen. Außerdem sei nicht nachvollziehbar, wer das Gutachten wirklich verfasst habe.

Hinzu kam, dass das Gericht davon überzeugt war, dass große Teile des Gutachtens mithilfe einer KI erstellt worden waren. Stil, Formulierungen und Aufbau des Textes wiesen eindeutig darauf hin. So zeigten sich typische KI-Muster wie die häufige Wiederholung von Satzanfängen sowie bestimmte Formatierungsfehler. Einige Abschnitte wirkten wie generische Zusammenfassungen ohne echten Bezug zum konkreten Fall.

Der Einsatz von KI ohne Offenlegung und ohne persönliche Verantwortung des Sachverständigen widerspreche den Anforderungen an gerichtliche Gutachten. Deshalb sei das Gutachten unverwertbar:

“Verwendet ein Sachverständiger bei der Erstellung seines Gutachtens in erheblichem Umfang KI, ohne dies dem Gericht gegenüber zu deklarieren, so kann allein deswegen seine Vergütung auf EUR 0,00 festgesetzt werden.”

VG Hamburg: Auch ohne ausdrückliches Verbot darf ChatGPT nicht von Schülern bei Prüfungen benutzt werden

Auch ohne ein ausdrückliches KI-Verbot darf ein Schüler bei Prüfungen nicht ChatGPT benutzen, da es sich um einen Täuschungsversuch handelt (VG Hamburg, Urt. v. 15.12.2025 - Az.: 2 E 8786/25).

Im Mai 2025 reichte ein Schüler der 9. Klasse eines Hamburger Gymnasiums ein Lesetagebuch im Fach Englisch ein. Die Lehrerin bemerkte große Unterschiede zu einer späteren Klassenarbeit, besonders in Bezug auf Sprache und Ausdruck. Auf Nachfrage gab der Schüler zu, ChatGPT für die Erstellung genutzt zu haben.

Die Lehrerin bewertete die Arbeit daraufhin mit "ungenügend" wegen eines Täuschungsversuchs. Der Vater des Schülers wehrte sich gegen diese Bewertung und argumentiere, es habe keine klaren Regeln zur KI-Nutzung gegeben.

Das Gericht lehnte das Begehren des Klägers ab. Die Schule habe die Arbeit mit "ungenügend" bewerten dürfen.

Der Schüler habe durch die Nutzung von ChatGPT eine eigenständige Leistung nur vorgetäuscht. Ein solches Hilfsmittel sei nur erlaubt, wenn es ausdrücklich zugelassen worden sei. Dies sei hier nicht der Fall. Die Nutzung von KI stelle daher eine Täuschungshandlung dar.

Bereits der Hinweis bei Aufgabenstellung “use your own word” weise klar auf eine eigenständige Leistung ab. Auch eine nur teilweise Nutzung, etwa zur Grammatikprüfung, sei unzulässig, da diese Aspekte ebenfalls Teil der Bewertung seien.

Zudem sei der Täuschungsvorsatz gegeben. Der Schüler habe gewusst, dass KI nicht erlaubt sei:

“ChatGPT stellt ebenfalls ein Hilfsmittel dar, das jedenfalls beim Verfassen von Texten die Eigenständigkeit der Leistungserbringung beeinflusst. Denn in einer schriftlichen Aufgabe, insbesondere in einer Fremdsprache, sind das Verfassen von Texten einschließlich des Inhalts, der Struktur, des Satzbaus, der Wortwahl, der Grammatik und der Orthografie Prüfungsgegenstände sind. Die Zuhilfenahme künstlicher Intelligenz bei der Erstellung von Texten ähnelt der Erstellung einer Prüfungsarbeit durch eine dritte Person oder der Einreichung einer durch einen anderen Prüfling zu demselben Thema zuvor verfassten Prüfungsarbeit.”

Und weiter:

"Die Nutzung von ChatGPT für das Lesetagebuch hätte dementsprechend ausdrücklich als Hilfsmittel erlaubt werden müssen, um ein zulässiges Hilfsmittel darzustellen. Dies war nicht der Fall.

Soweit sich der Antragsteller darauf beruft, die Lehrkräfte der Schule hätten eingeräumt, es gebe noch keine klaren Regeln zur Nutzung von künstlicher Intelligenz an der Schule, stellt dies gerade keine ausdrückliche Zulassung von ChatGPT als Hilfsmittel in der konkret geforderten Prüfungsleistung dar. Im vorliegenden Fall lagen überdies klare Vorgaben zur Eigenständigkeit der Bearbeitung und zur untersagten Nutzung künstlicher Intelligenz vor. So lauten die Arbeitshinweise bereits „use your own words“."

VG Köln: BSI darf Sicherheitskonzept eines Software-Anbieters als "auffällig" bewerten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf das Sicherheitskonzept eines Software-Anbieters als "auffällig" bewerten, ohne dass das betroffene Unternehmen schon im Vorwege gerichtliche Hilfe in Anspruch nehmen kann (VG Köln, Urt. v. 02.12.2025 - Az.: 1 L 3105/25).

Ein Unternehmen wollte gerichtlich erreichen, dass das BSI nicht über seine Sicherheitsprodukte berichtet. Der Bericht war im Rahmen eines Projekts zur IT-Sicherheit entstanden und enthielt kritische Anmerkungen zur Qualität. U.a. hieß es, dass das zugrundeliegende Konzept „auffällig“ sei.

Das Unternehmen befürchtete, dass eine Veröffentlichung zu Imageschäden und Umsatzverlusten führen würde und wollte daher die Veröffentlichung des Berichts verbieten.

Das Gericht entschied jedoch, dass der Antrag von Anfang an unzulässig gewesen sei. Im Verwaltungsrecht sei vorbeugender Rechtsschutz nur in besonderen Ausnahmefällen möglich. Grundsätzlich müsse eine Maßnahme erst ergehen, bevor man sie gerichtlich angreifen könne. Nur wenn durch das Zuwarten irreversible Schäden drohten, wäre ein Eingreifen im Vorfeld ausnahmsweise erlaubt.

Das Unternehmen könne aber nicht überzeugend darlegen, dass durch den Bericht solche irreversiblen Schäden entstehen würden. Die Erörterungen enthielten zwar durchaus kritische Aussagen. Jedoch werde aber keine ausdrückliche Warnung ausgesprochen. Eine mögliche negative Wirkung auf das Marktverhalten der Kunden sei somit lediglich ein Reflex der Information und kein gezielter Eingriff.

Außerdem könne der Anbieter mögliche Nachteile durch Gegendarstellungen oder eigene Öffentlichkeitsarbeit ausgleichen:

"1. Als unzumutbar ist der Verweis auf den nachträglichen vorläufigen Rechtsschutz nur dann anzusehen, wenn beim Zuwarten auf die behördliche Maßnahme die Gefahr besteht, dass irreversible Fakten geschaffen werden und dadurch nicht wiedergutzumachende Nachteile entstehen (können).

2. Die Veröffentlichung eines behördlichen Berichts über eine sicherheitskritische Software führt nicht schon deshalb zu irreversiblen Nachteilen für den Softwareanbieter, weil der Bericht potenziell geeignet ist, eine Veränderung der Marktbedingungen herbeizuführen."

LG Köln: Fotograf und Ideengeber können Miturheber an einem Foto sein

Ein Fotograf und ein Ideengeber, der konkrete Vorgaben zur Gestaltung und zum Motiv macht, können Miturheber an einem Foto sein (LG Köln, Urt. v. 12.11.2025 - Az.: 14 O 5/23).

Ein Unternehmen beauftragte einen Fotograf wurde von einem Unternehmen beauftragt, ein Werbefoto zu erstellen. Die Gestaltungsidee und das Motiv des Bildes kamen von zwei Mitarbeitern einer Werbeagentur, die dem Fotografen dazu ein detailliertes Briefing mit Skizzen gaben. Nach der Veröffentlichung des Fotos nutzten sowohl der Fotograf als auch die Agenturmitarbeiter das Bild auf ihren Webseiten als Referenz. Der Fotograf verlangte von der Agentur Schadensersatz und die Erstattung von Abmahnkosten, weil er sich als alleiniger Urheber des Fotos sah.

Das LG Köln wies die Klage ab, da die Mitarbeiter der Agentur Miturheber seien und somit zur Nutzung des Fotos berechtigt seien.

Sowohl der Fotograf als auch die beiden Agenturmitarbeiter seien Miturheber des Bildes. Die Idee und die inszenierte Szenerie des Bildes seien eine eigenständige kreative Leistung der Agenturmitarbeiter gewesen. Der Fotograf habe diese Idee mit seiner fotografischen Technik umgesetzt. Daher könne keiner der Beteiligten alleinige Urheberrechte beanspruchen.

Eine Nutzung des Bildes als Referenz auf der eigenen Webseite sei unter Miturhebern nicht zu verbiete. Dies gelte insbesondere dann, wenn einer der Urheber (wie der Kläger) dies selbst tue:

"Die Beklagten zu 2) und 3) sowie der Kläger sind mit Blick auf das Lichtbildwerk (…) als Miturheber gem. § 8 Abs. 1 UrhG anzusehen.

Haben demnach mehrere ein Werk gemeinsam geschaffen, ohne dass sich ihre Anteile gesondert verwerten lassen, so sind sie Miturheber des Werkes. So liegt der Fall hier.

Wie die im Tatbestand eingeblendeten Skizzen bzw. Vorentwürfe zeigen, haben die Beklagten zu 2) und 3) das Motiv bzw. die Szenerie, die im Wesentlichen den Aussagegehalt des Lichtbildwerks prägen, erdacht und arrangiert."

Und weiter:

"Schon die erste Skizze (…) zeigt das prägende Bestandteil (…) Fans zwischen den beiden grundsätzlich rivalisierenden Fans des (…) und von (…). Hier wird schon der Wortwitz der (…) zwischen den beiden Fanlagern, der zu einem bedeutenden Anteil die schutzbegründende Individualität bzw. Originalität des Lichtbildwerks ausmacht, in ein Motiv überführt. Dies wurde mit der zweiten Skizze bzw. grafischen Umsetzung sowie der schriftlichen Vorgaben (…) noch weiter konkretisiert und um die Szenerie des Grillens im Grünen ergänzt. Auch diese Anordnung des Motivs der (…) der drei Fans beim Grillen ist eine individuelle und originelle Schöpfung, die auch das Lichtbildwerk mitprägt.

Mit dieser Vorarbeit und entsprechender Anweisung durch die Fotobriefings hat der Kläger sodann die Fotografie erstellt. Dabei waren die Beklagten zu 2) und 3) nicht weiter beteiligt. Der Kläger hat demnach in eigener kreativer Arbeit das eigentliche Lichtbildwerk erschaffen, weshalb er auch jedenfalls als Miturheber anzusehen ist. Jedoch hat der das Lichtbildwerk mit Blick auf das vorbeschriebene, frei erdachte Motiv sowie die Szenerie übernommen. Insoweit beschränkte sich die schutzbegründende Individualität und Originalität des Klägers allein auf die fotografischen Elemente des Lichtbildwerks, während die motivgestaltende Individualität ganz überwiegend auf die Schöpfung der Beklagten zu 2) und 3) zurückgeht. Daraus folgt, dass sich die Anteile der drei Personen am Lichtbildwerk nicht gesondert verwerten lassen."

VG Wiesbaden: Schufa muss nachvollziehbare Auskunft über Scorewert erteilen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) muss mit aufsichtlichen Mitteln gegenüber der Wirtschaftsauskunftei Schufa Holding AG einschreiten, damit diese ihrer Auskunftspflicht gemäß der Datenschutzgrundverordnung (DSGVO) nachkommt. Dies hat die 6. Kammer des Verwaltungsgerichts Wiesbaden mit Urteil vom 19.11.2025 entschieden.

Die Klägerin beantragte im Jahr 2018 einen Kredit, der abgelehnt wurde. Zuvor hatte die Schufa der betreffenden Bank einen Bonitätsscore von rund 86 % zur Klägerin übermittelt und ihren Fall als „deutlich erhöhtes bis hohes Risiko“ eingestuft. Die Klägerin begehrte daraufhin von der Schufa eine Erläuterung zum Zustandekommen des Scores und der Risikoeinschätzung.

Obwohl die Klägerin mehrere Antwortschreiben von der Schufa erhielt, erhob sie Beschwerde bei dem HBDI, in der sie rügte, dass die ihr von der Schufa erteilte Auskunft unzureichend sei, weil das Zustandekommen des Scores weiterhin nicht nachvollziehbar sei.

Der HBDI lehnte ein aufsichtliches Einschreiten gegenüber der Schufa ab. Nach Auffassung des HBDI habe die Schufa die Fragen zur Berechnung des Scorewerts ausreichend und entsprechend ihrer gesetzlichen Verpflichtung beantwortet.

Da das in Rede stehende Auskunftsrecht nach Art. 15 Abs. 1 Buchst. h DSGVO nach Auffassung der Kammer davon abhängt, ob eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO vorliege, legte die Kammer das Verfahren zunächst dem Gerichtshof der Europäischen Union (EuGH) zur Vorabentscheidung hinsichtlich der Auslegung von Art. 22 Abs. 1 DSGVO vor (vgl. Pressemitteilung des VG Wiesbaden Nr. 15/2021 vom 25.10.2021).

Der EuGH entschied mit Urteil vom 07.12.2023 (C-634/21), „dass eine ‚automatisierte Entscheidung im Einzelfall‘ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“

Wie die 6. Kammer des Verwaltungsgerichts Wiesbaden nun entschied, handele es sich bei der Erstellung des Scorewerts, um eine ausschließlich auf einer „automatisierten Verarbeitung“ beruhenden Tätigkeit in diesem Sinne. Daher könne die Klägerin von der Schufa gemäß Art. 15 Abs. 1 Buchst. h DSGVO „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“ verlangen.

Nach den vom EuGH mit Urteil vom 27.02.2025 (C-203/22) aufgestellten Grundsätzen, denen die Kammer folgte, bedeute dies, dass die relevanten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zur Verfügung gestellt werden müssten.

Die Schufa sei zwar nicht zur Offenlegung ihres Algorithmus verpflichtet. Allerdings müsse sie das Verfahren und die Grundsätze, die sie konkret bei der Erstellung des Scorewerts verwendet habe, so beschreiben, dass man nachvollziehen könne, welche personenbezogenen Daten auf welche Art verwendet worden seien. Abstrakte oder allgemein gehaltene Informationen genügten insofern nicht. Erforderlich sei eine individualisierte Darlegung der Verfahren und Grundsätze, die bei der Erstellung des Bonitätsprofils konkret angewandt worden seien.

Nach Auffassung der Kammer genüge die von der Schufa der Klägerin erteilte Auskunft diesen Anforderungen nicht. Die Schufa habe ihre Auskunft daher nachzubessern. Hierzu hat die Kammer konkrete Vorgaben dazu gemacht, was der Klägerin noch von der Schufa mitzuteilen ist, nämlich:

• welche personenbezogenen Daten der Klägerin sie für die Erstellung des Scorewerts konkret genutzt hat und welche sie zwar erhoben, aber nicht verwertet hat,
• in welcher Gewichtung die Daten Eingang in die Berechnung des Scorewerts hatten und
• warum der im Falle der Klägerin errechnete Scorewert als „deutlich erhöhtes bis hohes Risiko“ bewertet worden ist.

Der HBDI sei insoweit verpflichtet, gegenüber der Schufa einzuschreiten. Welches aufsichtsrechtliche Mittel der HBDI dabei anwende, stehe aber in seinem Ermessen.

Das Urteil ist noch nicht rechtskräftig. Die Kammer hat die Berufung und die Sprungrevision wegen grundsätzlicher Bedeutung zugelassen. Die Berufung, über die der Hessische Verwaltungsgerichtshof zu entscheiden hätte, kann innerhalb eines Monats nach Zustellung des Urteils eingelegt werden. Innerhalb derselben Frist kann alternativ auch die Revision an das Bundesverwaltungsgericht eingelegt werden, wenn der Rechtsmittelgegner der Einlegung der Sprungrevision zustimmt; die Berufungsinstanz würde dann übersprungen.

Aktenzeichen: 6 K 788/20.WI

Quelle: Pressemitteilung des VG Wiesbaden v. 19.12.2025