Vorabentscheidungsersuchen: automatische Bonitätsprüfungen eines Versandhändlers
Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma
Dieser Inhalt ist frei verfügbar.
Mit einem
Abonnement der jusIT
erhalten Sie die Zeitschrift in Print und vollen digitalen
Zugriff im Web, am Smartphone und Tablet.
Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Alle LexisNexis-Fachzeitschriften sind im Volltext auch in Lexis 360® verfügbar.
Lexis 360 ist Österreichs innovativste* Recherchelösung und bietet Zugriff auf
alle relevanten Quellen von Rechtsnews, Gesetzen, Urteilen und Richtlinien bis
zu Fachzeitschriften und Kommentaren.
Testen Sie jetzt Lexis 360® kostenlos.
*Ergebnis einer Umfrage unter 225 Steuerberater:innen und
Rechtsanwält:innen (Mai 2024) durchgeführt von IPSOS im Auftrag von LexisNexis
Österreich.
Der Kl ist ein klageberechtigter Verein iSd § 29 KSchG. Die Bekl ist ein österreichweit tätiges Versandhandelsunternehmen, das laufend mit Verbrauchern Verträge abschließt.
Das Klagebegehren ist auf die Unterlassung von Bonitätsprüfungen gerichtet, die über den Abschluss von Vereinbarungen über Teilzahlung oder Lieferung auf offene Rechnung entscheiden und anhand einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung vorgenommen werden – insb aufgrund des Ergebnisses einer automatisierten Anfrage bei einer Auskunftei oder aufgrund einer automatisierten internen Bewertung der Kreditwürdigkeit des Verbrauchers –, ohne eine ausdrückliche Einwilligung des Verbrauchers dazu einzuholen und/oder ohne dem Verbraucher das Recht einzuräumen, seinen eigenen Standpunkt darzulegen und/oder die von der Bekl derart getroffene Entscheidung anzufechten. Der Kl sieht darin eine systematische Verletzung des Art 22 DSGVO durch die Bekl.
Stellte sich dieser Vorwurf als berechtigt dar, wäre die Bekl – gestützt auf § 28a KSchG – zu verpflichten, ihre gegen Art 22 DSGVO verstoßende Geschäftspraktik zu unterlassen. Dazu sind folgende Prüfschritte vorzunehmen:
(1) Zunächst ist zu ermitteln, ob der Anwendungsbereich des Art 22 Abs 1 DSGVO eröffnet ist. Die Anwendbarkeit der Bestimmung hängt von drei kumulativen Voraussetzungen ab, nämlich davon, dass eine „Entscheidung“ vorliegt, diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung, – einschließlich Profiling –“ beruht und sie „gegenüber [der betroffenen Person] rechtliche Wirkung“ entfaltet oder sie „in ähnlicher Weise erheblich“ beeinträchtigt. Sind die Voraussetzungen nicht erfüllt, wäre die Klage mangels Anspruchsgrundlage abzuweisen.
(2) Fällt die gegenständliche Datenverarbeitung dagegen unter Art 22 Abs 1 DSGVO, wäre sie nur dann zulässig, wenn einer der in Art 22 Abs 2 DSGVO genannten Ausnahmetatbestände verwirklicht ist. Dies ist nach lit a leg cit insb dann der Fall, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
(3) Liegt ein Fall des Art 22 Abs 2 lit a oder lit c DSGVO vor, hat die Bekl angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen ihrer Kunden zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens der Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Die Vorlagefragen betreffen die Auslegung einzelner Begriffe der in den ersten beiden Prüfschritten anzuwendenden Bestimmungen der DSGVO, soweit diese nicht bereits durch Rsp des EuGH geklärt sind.
Bei der Bekl langen pro Monat ca 50.000 bis 60.000 Bestellungen ein, davon 90 % online und ca 10 % telefonisch. Ca 90 % der Bestellungen entfallen auf sogenannte unsichere Zahlungsarten, nämlich 60 % auf offene Rechnung und ca 31 % auf Teilzahlung. Der Rest verteilt sich auf die verbleibenden Möglichkeiten per Kreditkarte oder per PayPal. Der durchschnittliche Bestellwert liegt bei 650 €. Bei einer Erstbestellung limitiert die Bekl im Fall eines Raten- oder Rechnungskaufs den Bestellwert mit 500 €, dieses Limit wird bei Folgebestellungen sukzessive erhöht, wenn es zu keinen Zahlungsausfällen gekommen ist.
Im Falle eines Neukunden, der auf offene Rechnung oder Teilzahlung bestellt, erfolgt automatisch eine Anfrage bei der Auskunftei mit den vom Kunden bekannt gegebenen Daten. Wenn der Kunde dort unbekannt ist, lehnt die Bekl eine Geschäftsbeziehung mit Teilzahlung oder auf offene Rechnung ab und verständigt den Kunden, dass er über Kreditkarte oder PayPal beliefert würde. Wenn der Kunde bekannt ist, gibt es drei Möglichkeiten (Scorings mit drei verschiedenen Farben). Wenn die Farbe rot ist, wird ebenfalls die unsichere Zahlungsart abgelehnt, bei gelb prüft ein Mitarbeiter der bekl P und bei grün wird die Bestellung angenommen. Im Fall eines gelben Scorings nimmt der Mitarbeiter selbst Einsicht in die Datenbank und entscheidet, ob und gegebenenfalls unter welchen Bedingungen der Auftrag freigegeben wird.
Wenn die Farbe rot oder die bestellende Person unbekannt ist, führt dies ausschließlich zu einer Einschränkung der Zahlungsmöglichkeiten auf eine sichere Zahlungsart, in keinem Fall zu einer Ablehnung des Auftrags an sich.
Der Kl wirft der Bekl einen systematischen Verstoß gegen die Regelung der automatisierten Entscheidungsfindung gem (dem unmittelbar im innerstaatlichen Recht anwendbaren) Art 22 DSGVO vor.
Hinweis:
Die vorliegende Verbandsklage betrifft den Schutz personenbezogener Daten iZm Verbraucherkreditverhältnissen, somit einen der Schutzbereiche des § 28a Abs 1 KSchG. Die Aktivlegitimation des kl Verbands wurde – nach dem Urteil EuGH 28. 4. 2022, C-319/20, Meta Platforms Ireland, RdW 2022/404 – bereits im ersten Rechtsgang bejaht (6 Ob 38/23s [Rz 29], Rechtsnews 35281).
Vorabentscheidungsersuchen
Der OGH legte dem EuGH folgende Fragen vor:
1.
Ist Art 22 Abs 1 der VO (EU) 2016/679 [...] dahin auszulegen, dass die Entscheidung eines Versandhändlers, die vom Kunden bei seiner Bestellanfrage gewünschte Zahlungsart „Teilzahlung“ oder „auf offene Rechnung“ abzulehnen, sich dem Kunden gegenüber aber bereit zu erklären, die Geschäftsbeziehung entweder mit der Zahlungsart „Kreditkarte“ oder mit der Zahlungsart „PayPal“ einzugehen, die ausschließlich auf einer automatisierten Einschätzung der Zahlungsausfallswahrscheinlichkeit eines Kunden beruht, die sich daraus ergibt, dass entweder nach einer automatischen Anfrage bei einer Auskunftei von dieser die Rückmeldung erstattet wird, dass der Kunde dort unbekannt ist, oder dass – bei einem bekannten Kunden – ein internes Bonitäts-Scoring zum Ergebnis gelangt, dass der Kunde über keine ausreichende Bonität verfügt, gegenüber dem Kunden „rechtliche Wirkung“ entfaltet oder ihn „in ähnlicher Weise erheblich beeinträchtigt“, sofern durch diese Entscheidung nicht der Auftrag an sich abgelehnt wird, sondern der Kunde nur auf die vom Versandhändler vorgegebenen Zahlungsarten eingeschränkt wird? Falls die Frage 1. bejaht wird:
2.a)
Ist Art 22 Abs 2 lit a DSGVO dahin auszulegen, dass es für die Frage, ob eine auf einer automatisierten Einschätzung der Zahlungsausfallswahrscheinlichkeit des potenziellen Kunden beruhende Entscheidung eines Versandhändlers wie in Frage 1. beschrieben, für den Abschluss eines Vertrages zwischen dem Kunden und dem Versandhändler „erforderlich“ ist, darauf ankommt, dass zwischen dem Vertragszweck des mit dem Kunden abzuschließenden Vertrags und der Einschätzung der Zahlungsausfallswahrscheinlichkeit des Kunden ein unmittelbarer sachlicher Zusammenhang bestehen muss?
2.b)
Müssen zur Bejahung der Erforderlichkeit nach Art 22 Abs 2 lit a DSGVO die erhobenen Datenkategorien entweder für sich oder in ihrer Kombination objektiv dazu geeignet sein, die Zahlungsausfallswahrscheinlichkeit einzuschätzen? Hat der Versandhändler oder der Kunde zu behaupten und zu beweisen, welche Datenkategorien zum Zweck der Einschätzung der Zahlungsausfallswahrscheinlichkeit konkret erhoben wurden und dass diese Datenkategorien entweder für sich oder in ihrer Kombination objektiv dazu geeignet sind, die Zahlungsausfallswahrscheinlichkeit einzuschätzen? Falls die Frage 1. bejaht wird:
3.
Ist Art 22 Abs 2 lit a DSGVO dahin auszulegen, dass gerade eine Entscheidungsfindung in automatisierter Form des Verantwortlichen für den Abschluss oder die Erfüllung des Vertrags erforderlich ist? Falls die Frage 3. bejaht wird?
3.a)
Ist Art 22 Abs 2 lit a DSGVO dahin auszulegen, dass es für die Frage, ob eine Entscheidung eines Versandhändlers wie unter Frage 1. beschrieben, für den Abschluss des Vertrags erforderlich ist, darauf ankommt, ob die automatisierte Entscheidungsfindung betreffend die Gewährung oder Ablehnung der gewünschten Zahlungsart mit vertretbarem Aufwand auch durch Menschen erfolgen kann? Welche Bedeutung haben dafür die Anzahl der beim Versandhändler einlangenden Bestellungen und die typische Erwartung der Kunden im Online-Bestellverfahren, umgehend darüber informiert zu werden, ob die von ihnen gewünschte Zahlungsart vom Versandhändler akzeptiert wird oder nicht?
