DSGVO-Auskunft beim Bonitätsscore: Inhalte ja, Algorithmus nein

Stellen Sie sich vor: Sie möchten einen Kredit aufnehmen, einen Handyvertrag abschließen oder einen Kauf auf Raten tätigen – und plötzlich erhalten Sie eine Absage. Begründung: Ihr Bonitätsscore sei nicht ausreichend.

Für viele Betroffene bleibt dann nur ein Gefühl von Ausgeliefertsein: Irgendwo im Hintergrund wurde ein Wert berechnet, der auf Daten über Ihre Person beruht, aber kaum jemand erklärt Ihnen, wie dieser Wert zustande kommt.

Genau hier setzt die Datenschutz-Grundverordnung (DSGVO) an. Sie gewährt Ihnen einen Auskunftsanspruch, mit dem Sie nachvollziehen können sollen, was mit Ihren personenbezogenen Daten passiert und wie diese in automatisierten Verfahren – wie einem Bonitätsscore – verwendet werden.

Das Oberlandesgericht Dresden hat mit Urteil vom 7. Oktober 2025 (Az. 4 U 884/24) diesen Auskunftsanspruch für das Bonitätsscoring konkretisiert. Die Entscheidung sorgt für mehr Transparenz, zieht aber zugleich eine Grenze:

• Der Auskunftsanspruch umfasst konkrete Inhalte der Datenverarbeitung und eine verständliche Erläuterung der Funktionsweise.
• Der Scoring-Algorithmus selbst muss jedoch nicht offengelegt werden.

Was bedeutet das für Sie als Betroffene und für Unternehmen, die Scoring-Verfahren einsetzen?

Bonitätsscoring und DSGVO: Worum es rechtlich geht

Bonitätsscoring als Profiling

Beim Bonitätsscoring werden personenbezogene Daten – etwa Name, Anschrift, bisherige Zahlungserfahrungen oder statistische Vergleichsdaten – automatisiert verarbeitet, um eine Wahrscheinlichkeit dafür zu berechnen, ob ein bestimmtes Verhalten (zum Beispiel die pünktliche Zahlung von Raten) eintritt.

Ein solches Verfahren ist typischerweise Profiling im Sinne der DSGVO. Es geht nicht nur um eine einfache Speicherung von Daten, sondern um eine Bewertung Ihres wirtschaftlichen Verhaltens – mit teilweise spürbaren Folgen für Ihren Alltag.

Der Auskunftsanspruch nach Art. 15 DSGVO

Art. 15 DSGVO soll sicherstellen, dass Sie nicht „blind“ einer Datenverarbeitung ausgeliefert sind. Der Auskunftsanspruch umfasst nicht nur die Information, ob Daten verarbeitet werden, sondern auch welche Daten betroffen sind und zu welchen Zwecken dies geschieht.

Für Profiling und Scoring geht die DSGVO noch einen Schritt weiter: Sie sieht vor, dass Sie aussagekräftige Informationen über die involvierte Logik einer automatisierten Verarbeitung erhalten. Damit soll Verständnis darüber ermöglicht werden, wie eine bestimmte Entscheidung oder ein bestimmter Score zustande kommt und welche Bedeutung das Ergebnis für Sie hat.

Die spannende Frage ist: Wie weit reicht diese Pflicht zur Erläuterung? Müssen Unternehmen quasi ihren Algorithmus offenlegen – oder genügt eine nachvollziehbare, aber abstraktere Beschreibung? Genau das hat das OLG Dresden nun präzisiert.

Die Entscheidung des OLG Dresden: Der Fall im Überblick

Was der Kläger wissen wollte

In dem vom OLG Dresden entschiedenen Fall verlangte der Kläger von einer Wirtschaftsauskunftei Auskunft darüber, wie genau sein Bonitätsscore berechnet wurde.

Die Auskunftei setzte ein automatisiertes Verfahren ein:

• Personenbezogene Daten des Klägers wurden mit statistischen Vergleichsgruppen abgeglichen.
• Daraus entstanden Wahrscheinlichkeitswerte (Scores), die Vertragspartnern – etwa Banken oder anderen Unternehmen – übermittelt wurden, um deren Entscheidungen zu unterstützen.

Der Kläger befürchtete, dass die Berechnung seines Scores fehlerhaft oder zumindest nicht hinreichend nachvollziehbar sei. Er machte daher Auskunftsansprüche nach Art. 15 DSGVO geltend und wollte insbesondere wissen:

• Welche personenbezogenen Daten in das Scoring eingeflossen sind,
• wie diese Daten konkret verarbeitet wurden,
• welche Rolle einzelne Kriterien bei der Score-Berechnung gespielt haben und
• wie sein individueller Score zu verstehen ist.

Zugleich verlangte er die Offenlegung des zugrunde liegenden Algorithmus, um die Berechnung nachvollziehen zu können.

Besondere Transparenzpflichten beim Scoring

Das OLG Dresden stellt klar, dass bei einer automatisierten Datenverarbeitung mit Profilbildung besondere Anforderungen an die Transparenz gestellt werden.

Auch wenn eine automatisierte Entscheidung nicht zwingend zu einer schwerwiegenden Beeinträchtigung führt, sollen Betroffene in die Lage versetzt werden, die Verarbeitung ihrer Daten zu verstehen.

Daraus folgt nach Auffassung des Gerichts, dass der Auskunftsanspruch beim Bonitätsscoring insbesondere umfasst:

• welche konkreten personenbezogenen Daten in die Berechnung eingeflossen sind,
• wie stark bestimmte Kriterien oder Datenkategorien den Score beeinflussen und
• welche Aussagekraft der Score im konkreten Fall für den Betroffenen hat.

Damit genügt es gerade nicht, bloß mitzuteilen: „Ihr Score beträgt X.“ Der Betroffene soll erkennen können, warum der Score so ausfällt und welche Bedeutung dieser Wert tatsächlich hat.

Individuelle und klare Erläuterung statt Verweis auf Standardtexte

Ein zentraler Punkt der Entscheidung:

Das Gericht betont, dass der Betroffene ein Anrecht auf individuelle und klare Erläuterungen hat.

Ein einfacher Hinweis auf allgemeine, abstrakte Informationen auf der Website der Auskunftei reicht nicht aus. Es genügt nicht, wenn dort beispielhaft aufgezählt ist, welche Daten typischerweise in Scoring-Verfahren verwendet werden könnten.

Stattdessen muss die Auskunft so konkret sein, dass der Betroffene nachvollziehen kann:

• welche seinen Fall betreffenden Daten tatsächlich verwendet wurden,
• wie diese Daten im Rahmen des Scorings verarbeitet wurden und
• welche Rolle sie für den persönlichen Score gespielt haben.

Mit anderen Worten: Es geht um eine maßgeschneiderte Auskunft zur eigenen Person, nicht nur um allgemeine Informationsbroschüren.

Keine Pflicht zur Offenlegung des Algorithmus

Besonders praxisrelevant ist die vom OLG Dresden gezogene Grenze:

So weit der Kläger die Offenlegung des Algorithmus verlangte, wies das Gericht sein Begehren zurück.

Die DSGVO wird vom Gericht so verstanden, dass die betroffene Person zwar ein Recht auf Erläuterung des Verfahrens und der zugrunde liegenden Grundsätze hat, aber kein Recht darauf, dass der mathematische oder programmiertechnische Kern des Algorithmus vollständig offengelegt wird.

Das Gericht stellt klar:

• Es besteht kein Anspruch auf vollständige mathematische Nachvollziehbarkeit des Scorings.
• Die DSGVO verpflichtet Unternehmen nicht zwingend dazu, die verwendeten Algorithmen im Detail offenzulegen.
• Ausreichend ist, dass das Verfahren und die maßgeblichen Grundsätze so beschrieben werden, dass der Betroffene versteht, welche personenbezogenen Daten wie in die Entscheidung eingeflossen sind.

Damit schützt das OLG Dresden einerseits die Informationsrechte der Betroffenen, achtet andererseits aber auch legitime Interessen der Unternehmen an der Wahrung von Geschäftsgeheimnissen.

Was umfasst der Auskunftsanspruch beim Bonitätsscore konkret?

Verwendete personenbezogene Daten

Zunächst hat der Betroffene Anspruch darauf zu erfahren, welche konkreten Daten in das Scoring eingeflossen sind.

Das können beispielsweise sein:

• Stammdaten wie Name, Anschrift, Alter
• Vertrags- und Zahlungshistorien
• Informationen über frühere Zahlungsstörungen
• statistische Zuordnungen zu bestimmten Gruppen

Wichtig ist, dass diese Angaben nicht nur in abstrakter Form erfolgen, sondern aus der Auskunft hervorgeht, welche individuellen Daten tatsächlich berücksichtigt wurden.

Gewichtung und Einfluss der Kriterien

Ein weiterer wichtiger Bestandteil der Auskunft betrifft die Frage, wie stark bestimmte Daten oder Kriterien den Score beeinflussen.

Es soll deutlich werden:

• Welche Faktoren spielen eine eher positive, welche eine eher negative Rolle?
• Welche Datenkategorien haben ein vergleichsweise hohes Gewicht?
• Gegebenenfalls kann der Verantwortliche auch beispielhaft erläutern, wie typische Merkmalskombinationen zu einer Einordnung in bestimmte Risikosegmente führen.

Das OLG Dresden verlangt keine Offenlegung jeder einzelnen Formel oder aller Rechenschritte. Es erwartet jedoch eine aussagekräftige Beschreibung, die dem Betroffenen ein realistisches Bild vermittelt, warum sein Score eine bestimmte Höhe erreicht hat.

Aussagekraft und Bedeutung des Scores

Der Auskunftsanspruch umfasst zudem Informationen darüber, welche Aussagekraft der Score im konkreten Fall hat.

Es geht etwa um Fragen wie:

• Was bedeutet ein bestimmter Zahlenwert in der Praxis?
• Welches Risiko soll der Score abbilden?
• Welche typischen Schlussfolgerungen könnten Vertragspartner aus diesem Wert ziehen?

Damit soll der Betroffene einschätzen können, welche Auswirkungen der berechnete Score auf seine Chancen im Wirtschaftsleben haben kann.

Individuelle Erläuterung statt standardisierter Textbausteine

Nach der Entscheidung des OLG Dresden reicht es in der Regel nicht aus, auf standardisierte Textbausteine oder allgemeine Informationsblätter zu verweisen.

Die Auskunft sollte so formuliert sein, dass die individuelle Situation des Betroffenen berücksichtigt wird. Dazu gehört, dass:

• die verwendeten Daten konkret benannt,
• die Einflussfaktoren verständlich erläutert und
• die Bedeutung des Scores für den jeweiligen Betroffenen greifbar gemacht werden.

Damit steigt der Druck auf Auskunfteien und andere Unternehmen, ihre internen Abläufe so zu gestalten, dass entsprechende maßgeschneiderte Auskünfte möglich sind.

Warum der Algorithmus nicht offengelegt werden muss

Geschäftsgeheimnisse und technische Komplexität

In der Praxis werden Scoring-Algorithmen häufig als Kernstück des Geschäftsmodells einer Auskunftei angesehen. Eine vollständige Offenlegung des Algorithmus könnte daher Geschäftsgeheimnisse berühren und das Risiko erhöhen, dass das System gezielt manipuliert wird.
Zugleich sind moderne Scoring-Verfahren technisch hoch komplex. Eine rein mathematische oder programmiertechnische Darstellung wäre für die meisten Betroffenen kaum verständlich und würde den Transparenzzweck der DSGVO nur begrenzt fördern.
Vor diesem Hintergrund knüpft das OLG Dresden an die EuGH-Rechtsprechung an: Unternehmen müssen aussagekräftige Erläuterungen zum Verfahren und zu den maßgeblichen Grundsätzen liefern, sind aber nicht verpflichtet, den vollständigen Algorithmus oder jede Rechenoperation offenzulegen.

Recht auf Erläuterung statt Herausgabe der Formeln

Anknüpfend an die EuGH-Rechtsprechung versteht das OLG Dresden das Auskunftsrecht nach Art. 15 Abs. 1 Buchst. h DSGVO als Recht auf Erläuterung des Verfahrens und der zugrunde liegenden Grundsätze. Dieses Recht bedeutet:
• Der Betroffene soll verstehen können, wie und auf welcher Basis seine Daten verarbeitet wurden.
• Es geht um eine verständliche Beschreibung der Logik, nicht um die Herausgabe von Quellcode oder sämtlichen Berechnungsformeln.
Die DSGVO wird so verstanden, dass aussagekräftige Informationen über die involvierte Logik verlangt werden, ohne dass Unternehmen ihren Algorithmus bis ins letzte Detail preisgeben müssen. Damit wird eine Balance hergestellt: Transparenz für Betroffene auf der einen, Schutz legitimer Unternehmensinteressen auf der anderen Seite.

Praktische Konsequenzen für Betroffene

Wann lohnt sich eine Auskunftsanfrage?

Eine Auskunftsanfrage kann sich insbesondere dann anbieten, wenn:

• ein Kredit oder ein Vertrag überraschend abgelehnt wurde,
• Sie den Eindruck haben, dass veraltete oder unzutreffende Daten im Umlauf sind,
• Ihnen ein Scorewert mitgeteilt wurde, dessen Grundlage Sie nicht nachvollziehen können.

Über Art. 15 DSGVO können Sie dann prüfen lassen, welche Daten verarbeitet werden und ob der Score auf einer nachvollziehbaren Grundlage beruht.

Wie Sie Ihr Auskunftsrecht sinnvoll nutzen

Damit eine Auskunftsanfrage möglichst zielführend ist, kann es hilfreich sein, einige Punkte zu beachten:

Formulieren Sie Ihr Anliegen präzise und beziehen Sie sich ausdrücklich auf den Bonitätsscore und die zugrunde liegende automatisierte Verarbeitung. Bitten Sie nicht nur um eine Auflistung Ihrer gespeicherten Daten, sondern auch um eine Erläuterung der Logik, der maßgeblichen Kriterien und der Aussagekraft des Scorewertes.

Wenn Sie anschließend eine Antwort erhalten, sollten Sie prüfen, ob diese:

• tatsächlich Ihre individuellen Daten betrifft,
• die Verarbeitungsschritte erkennbar macht und
• Ihnen ein realistisches Verständnis darüber vermittelt, wie Ihr Score zustande kommt.

Erhalten Sie lediglich sehr allgemeine und abstrakte Hinweise, kann dies ein Indiz dafür sein, dass die Anforderungen, wie sie das OLG Dresden formuliert, nicht vollständig erfüllt sind.

Was tun bei unzureichender Auskunft?

Wenn Ihre Auskunftsanfrage nur oberflächlich beantwortet wird oder wesentliche Fragen offen bleiben, können Sie rechtliche Schritte in Betracht ziehen.

In vielen Konstellationen kann es sinnvoll sein, frühzeitig anwaltliche Unterstützung einzuschalten. Ein spezialisierter Rechtsanwalt kann:

• die Qualität der erteilten Auskunft rechtlich bewerten,
• präzise Nachfragen formulieren,
• einschätzen, ob Verstöße gegen die DSGVO vorliegen und
• weitere Schritte gegenüber dem Unternehmen oder der Aufsichtsbehörde vorbereiten.

Gerade bei komplexen Scoring-Verfahren sind die Übergänge zwischen zulässiger Geheimhaltung und unzureichender Transparenz oft schwierig abzugrenzen, sodass eine professionelle Einschätzung hilft, Ihre Rechte effektiv durchzusetzen.

Konsequenzen für Unternehmen mit Scoring-Verfahren

Transparenzkonzept entwickeln

Unternehmen, die Bonitätsscoring einsetzen oder Daten an Auskunfteien übermitteln, sollten ein klar strukturiertes Transparenzkonzept entwickeln.

Dazu gehört insbesondere:

• eine Übersicht, welche Datenkategorien in die Score-Berechnung einfließen,
• eine Beschreibung, welche Kriterien typischerweise zu einer Verbesserung oder Verschlechterung des Scores führen,
• interne Leitlinien, wie auf Auskunftsersuchen Betroffener individuell reagiert wird.

Es empfiehlt sich, diese Informationen verständlich aufzubereiten, damit Auskunftsschreiben nicht nur juristisch korrekt, sondern auch für Laien nachvollziehbar sind.

Prozesse für Auskunftsersuchen etablieren

Unternehmen sollten interne Abläufe schaffen, die sicherstellen, dass:

• Auskunftsersuchen rechtzeitig erkannt und fristgerecht bearbeitet werden,
• die zuständigen Mitarbeitenden geschult sind,
• die technischen Systeme es ermöglichen, personenbezogene Daten und ihre Verwendung im Scoring fallbezogen zu rekonstruieren.

Eine bloße Verweisung auf allgemeine Informationen im Internet wirkt nach der Linie des OLG Dresden eher riskant. In vielen Fällen wird eine solche Standardantwort den Anforderungen des Art. 15 DSGVO nur eingeschränkt gerecht.

Dokumentation und Compliance

Eine saubere Dokumentation der verwendeten Kriterien und ihrer Bedeutung im Scoring ist nicht nur aus Compliance-Sicht ratsam. Sie erleichtert auch die Verteidigung gegenüber Betroffenen, Aufsichtsbehörden und Gerichten.

Wer nachweisen kann, dass nachvollziehbare, nicht diskriminierende Kriterien herangezogen werden und dass Betroffene auf Anfrage substanziell informiert werden, reduziert rechtliche Risiken und baut zugleich Vertrauen auf.

Fazit: Konkrete Informationen statt Black Box

Die Entscheidung des OLG Dresden zeigt deutlich: Bonitätsscoring darf keine undurchsichtige Black Box bleiben.

Betroffene haben Anspruch darauf zu erfahren,

• welche personenbezogenen Daten konkret verwendet wurden,
• wie stark bestimmte Kriterien ihren Score beeinflusst haben und
• welche Bedeutung der Score in ihrem individuellen Fall hat.

Unternehmen müssen daher mehr bieten als allgemeine Standardformulierungen, sind aber nicht verpflichtet, den vollständigen Algorithmus offenzulegen oder jede mathematische Feinheit preiszugeben.

Für Betroffene eröffnet dies realistische Möglichkeiten, die eigene Datenlage zu prüfen und Missverständnisse oder Fehler aufzudecken. Für Unternehmen bedeutet es, Transparenz ernst zu nehmen und ihre Prozesse entsprechend auszurichten.