Die österreichische Datenschutzbehörde (DSB) stoppt laut Mitteilung vom 26.09.2025 nach einer Beschwerde der Bürgerrechtsorganisation noyb die automatisierte Bonitätsprüfung der Kreditauskunftei KSV1870. Diese soll ohne Einwilligung eine vollautomatisierte Bonitätsprüfung durchgeführt und damit den Vertragsabschluss eines Verbrauchers mit dem Energieanbieter „Unsere Wasserkraft“ verhindert haben.
Hintergrund zum Fall
Im vorliegenden Fall wollte ein Neukunde einen Stromversorgungsvertrag bei „Unsere Wasserkraft“ abschließen. Nachdem er nur kurz zuvor mit einer Willkommensnachricht empfangen worden war, folgte wenig später eine Ablehnung der Energielieferung. Als Begründung nannte das Unternehmen eine „unzureichende Bonitätsbewertung“. Eine Information über die zugrundeliegende Verarbeitung oder die Möglichkeit, die Entscheidung nachzuvollziehen, soll der Verbraucher nicht erhalten haben. Damit sei ihm nicht nur der Vertragsabschluss verwehrt, sondern auch die Chance genommen worden, etwaige fehlerhafte Daten zu korrigieren oder die Bewertung zu hinterfragen. „Unsere Wasserkraft“ soll die Bonität des Beschwerdeführers ungefragt beim KSV1870 abgefragt und dieses Ergebnis als Entscheidungsgrundlage verwendet haben. Aufgrund der Kürze der Zeit sei auch hier eine zusätzliche menschliche Kontrolle auszuschließen.
Datenschutzrechtliche Grundlagen
Erfolgt eine solche Entscheidungen ohne menschliche Überprüfung und führt diese im Anschluss zu einer für den Betroffenen nachteiligen Entscheidung, also hier eine Ablehnung, liegt regelmäßig eine Verletzung von Art. 22 Datenschutzgrundverordnung (DSGVO) vor. Die DSGVO stellt insofern klar, dass vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf die betroffene Person grundsätzlich unzulässig sind.
Der Europäische Gerichtshof (EuGH) hat zudem in einem ähnlichen Fall gegen die deutsche SCHUFA bereits festgehalten, dass bei einer solchen bedeutenden Entscheidung bereits die Bonitätsprüfung selbst gegen Art. 22 DSGVO verstößt. Erst vor wenigen Tagen hatte außerdem das Landgericht Lübeck dem Europäischen Gerichtshof (EuGH) gebeten zu beantworten, ob überhaupt die Übermittlung der Positivdaten an eine Wirtschaftsauskunftei von der Rechtsgrundlage des berechtigten Interesses gedeckt und damit datenschutzgemäß ist.
Datenschutzbeschwerde durch noyb
Noyb hatte daraufhin vor gut einem Jahr Datenschutzbeschwerde bei der österreichischen Aufsichtsbehörde eingereicht. Die Organisation ist der Meinung, dass der Fall eine Verletzung von Art. 13, 14, 15 und 22 DSGVO darstellt.
Das Recht gegen vollautomatisierte Entscheidungen vorgehen zu können müsse auch die Möglichkeit einschließen, eine manuelle Überprüfung durch einen Menschen zu verlangen, den „eigenen Standpunkt darzulegen und die automatisierte Entscheidung anzufechten“. Im aktuellen Fall habe der betroffene Kunde genau dies nicht tun können.
Der Fall werfe zudem Zweifel an der Korrektheit und Verlässlichkeit von Bonitätsbewertungen auf. Noyb erklärt, dass bereits kurz nachdem der Betroffene beim KSV1870 Beschwerde eingereicht hatte, sein Score plötzlich angepasst worden sei, sodass theoretisch der Vertragsschluss möglich gewesen wäre. Diese schnelle Änderung des Werts lässt noyb daran zweifeln, ob die Scores „überhaupt die hohen Erwartungen hinsichtlich Korrektheit und Belastbarkeit erfüllen“.
Bewertung und Maßnahmen der Datenschutzbehörde
Die DSB stellte nun fest, dass dieses Vorgehen tatsächlich gegen Artikel 22 DSGVO verstößt. Die Norm untersagt vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf die betroffene Person grundsätzlich, sofern keine ausdrückliche Einwilligung oder eine andere klar geregelte Ausnahme vorliegt. Da eine solche Grundlage fehlte, war die Verarbeitung unzulässig.
Die DSB beließ es nicht bei dem bloßen Hinweis über die Rechtswidrigkeit des Vorgehens, sondern ergriff weitere Maßnahmen. Dem KSV1870 wurde verboten, zukünftig ohne Einwilligung des Betroffenen vollautomatisierte Bonitätsprüfungen durchzuführen. Zugleich ordnete die Behörde an, eine verständliche und nachvollziehbare Erläuterung zu der getroffenen Entscheidung bereitzustellen.
Auch der Energieanbieter „Unsere Wasserkraft“ hat laut der Entscheidung der Datenschutzbehörde mit der vollautomatisierten Ablehnung gegen Datenschutzrecht verstoßen.
Fazit
Der Fall zeigt, dass Behörden nicht davor zurückschrecken, deutliche Verbote auszusprechen, wenn die Vorgaben der DSGVO ignoriert werden. Datenschutzjurist bei noyb, Martin Baumann, hofft laut der Pressemitteilung von noyb, dass die Entscheidung der Datenschutzbehörde nun auch zur Durchsetzung der EuGH-Rechtsprechung in der Praxis führen wird. Die Bürgerrechtsorganisation geht im Übrigen davon aus, dass die Verantwortlichen gegen die noch nicht rechtskräftige Entscheidung Rechtsmittel erheben werden.
