Onlinehändler bieten häufig verschiedene Zahlungsarten an: Kreditkarte, PayPal, Sofortüberweisung, Kauf auf Rechnung oder Ratenzahlung. Gerade bei unsicheren Zahlungsarten prüfen Händler regelmäßig automatisiert, ob sie dem Kunden ein Zahlungsausfallsrisiko zutrauen. Datenschutzrechtlich stellt sich dabei die Frage, wann eine solche Bonitätsprüfung als automatisierte Entscheidung im Sinne des Art 22 DSGVO zu qualifizieren ist. Der Oberste Gerichtshof hat sich jüngst mit dieser Problematik auseinandergesetzt und legte dem Gerichtshof der Europäischen Union grundlegende Auslegungsfragen vor.
Ein österreichweit tätiges Versandhandelsunternehmen bot Kunden im Onlinehandel verschiedene Zahlungsarten an darunter auch für den Händler mit erhöhtem Ausfallsrisiko verbundene Optionen wie Kauf auf Rechnung und Ratenzahlung. Wählte ein Kunde eine dieser Zahlungsarten, führte das Unternehmen unter Heranziehung sowohl interner als auch externer Daten (insbesondere von Wirtschaftsauskunfteien) eine Bonitätsprüfung .
Die Entscheidung, ob eine unsichere Zahlungsart akzeptiert wurde, erfolgte automatisiert. Wenn das System ein erhöhtes Risiko annahm, wurde dem Kunden die gewünschte Zahlungsart verweigert. Der Kunde konnte dann zwar auf andere Zahlungsarten ausweichen, etwa Kreditkarte oder PayPal; der Kauf auf Rechnung oder Ratenkauf stand ihm aber nicht zur Verfügung.
Der klagende Verband sah darin einen Verstoß gegen Art 22 DSGVO. Diese Bestimmung schützt Personen davor, ausschließlich einer automatisierten Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie „in ähnlicher Weise erheblich beeinträchtigt“. Die Vorinstanzen verneinten zunächst eine solche erhebliche Beeinträchtigung, der OGH hatte jedoch Zweifel an der unionsrechtlichen Auslegung des Art 22 DSGVO und legte im Rahmen eines Vorabentscheidungsverfahrens mehrere Fragen dem EuGH vor.
Im Zentrum steht dabei die Frage, ob die automatisierte Ablehnung einer bestimmten Zahlungsart eine Entscheidung iSd Art 22 DSGVO darstellt, die den Betroffenen „in ähnlicher Weise erheblich beeinträchtigt“ wie eine Entscheidung mit rechtlicher Wirkung. Darüber hinaus wirft der OGH Fragen zur weiteren Prüfungsstruktur des Art 22 DSGVO auf, insbesondere zu den Voraussetzungen der Zulässigkeit automatisierter Entscheidungen gemäß Art 22 Abs 2 DSGVO sowie zu den erforderlichen Garantien nach Art 22 Abs 3 DSGVO, wie etwa dem Recht auf menschliches Eingreifen.
Die Entscheidung des OGH verdeutlicht die erhebliche unionsrechtliche Unsicherheit bei automatisierten Bonitätsentscheidungen im Onlinehandel. Bis zur Klärung seitens des EuGH ist Unternehmen eine restriktive und risikobewusste Ausgestaltung entsprechender Systeme anzuraten. Automatisierte Entscheidungsprozesse sollten nicht nur technisch effizient, sondern auch rechtlich belastbar konzipiert werden. Der Fokus liegt dabei auf klarer Trennung von Scoring und Entscheidung, belastbarer Rechtsgrundlage sowie effektiven Schutzmechanismen zugunsten der betroffenen Personen.
OGH 13.08.2025, 6 Ob 15/25m