6Ob15/25m – OGH Entscheidung

Der Oberste Gerichtshof hat als Revisionsgericht durch den Senatspräsidenten Hon. Prof. Dr. Gitschthaler als Vorsitzenden sowie die Hofrätinnen und Hofräte Dr. Hofer Zeni-Rennhofer, Dr. Faber, Mag. Pertmayr und Mag. Böhm als weitere Richter in der Rechtssache der klagenden Partei Verein für Konsumenteninformation, 1060 Wien, Linke Wienzeile 18, vertreten durch Kosesnik Wehrle Langer Rechtsanwälte KG in Wien, gegen die beklagte Partei U* GmbH, *, vertreten durch DORDA Rechtsanwälte GmbH in Wien, wegen Unterlassung und Urteilsveröffentlichung, im Verfahren über die Revision der klagenden Partei gegen das Urteil des Oberlandesgerichts Linz als Berufungsgericht vom 29. November 2024, GZ 3 R 126/24f 34, mit dem das Endurteil des Landesgerichts Salzburg vom 18. Juli 2024, GZ 4 Cg 67/19w 30, bestätigt wurde, in nichtöffentlicher Sitzung den

Beschluss

gefasst:

I.Dem Gerichtshof der Europäischen Union (EuGH) werden gemäß Art 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:

1. Ist Art 22 Abs 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) dahin auszulegen, dass die Entscheidung eines Versandhändlers, die vom Kunden bei seiner Bestellanfrage gewünschte Zahlungsart „Teilzahlung“ oder „auf offene Rechnung“ abzulehnen, sich dem Kunden gegenüber aber bereit zu erklären, die Geschäftsbeziehung entweder mit der Zahlungsart „Kreditkarte“ oder mit der Zahlungsart „PayPal“ einzugehen, die ausschließlich auf einer automatisierten Einschätzung der Zahlungsausfallswahrscheinlichkeit eines Kunden beruht, die sich daraus ergibt, dass entweder nach einer automatischen Anfrage bei einer Auskunftei von dieser die Rückmeldung erstattet wird, dass der Kunde dort unbekannt ist, oder dass – bei einem bekannten Kunden – ein internes Bonitäts Scoring zum Ergebnis gelangt, dass der Kunde über keine ausreichende Bonität verfügt, gegenüber dem Kunden „rechtliche Wirkung“ entfaltet oder ihn „in ähnlicher Weise erheblich beeinträchtigt“, sofern durch diese Entscheidung nicht der Auftrag an sich abgelehnt wird, sondern der Kunde nur auf die vom Versandhändler vorgegebenen Zahlungsarten eingeschränkt wird?

Falls die Frage 1. bejaht wird:

2.a) Ist Art 22 Abs 2 lit a DSGVO dahin auszulegen, dass es für die Frage, ob eine auf einer automatisierten Einschätzung der Zahlungsausfallswahrscheinlichkeit des potenziellen Kunden beruhende Entscheidung eines Versandhändlers wie in Frage 1. beschrieben, für den Abschluss eines Vertrags zwischen dem Kunden und dem Versandhändler „erforderlich“ ist, darauf ankommt, dass zwischen dem Vertragszweck des mit dem Kunden abzuschließenden Vertrags und der Einschätzung der Zahlungsausfallswahrscheinlichkeit des Kunden ein unmittelbarer sachlicher Zusammenhang bestehen muss?

2.b) Müssen zur Bejahung der Erforderlichkeit nach Art 22 Abs 2 lit a DSGVO die erhobenen Datenkategorien entweder für sich oder in ihrer Kombination objektiv dazu geeignet sein, die Zahlungsausfallswahrscheinlichkeit einzuschätzen?

Hat der Versandhändler oder der Kunde zu behaupten und zu beweisen, welche Datenkategorien zum Zweck der Einschätzung der Zahlungsausfallswahrscheinlichkeit konkret erhoben wurden und, dass diese Datenkategorien entweder für sich oder in ihrer Kombination objektiv dazu geeignet sind, die Zahlungsausfallswahrscheinlichkeit einzuschätzen?

Falls die Frage 1. bejaht wird:

3. Ist Art 22 Abs 2 lit a DSGVO dahin auszulegen, dass gerade eine Entscheidungsfindung in automatisierter Form des Verantwortlichen für den Abschluss oder die Erfüllung des Vertrags erforderlich ist?

Falls die Frage 3. bejaht wird?

3.a) Ist Art 22 Abs 2 lit a DSGVO dahin auszulegen, dass es für die Frage, ob eine Entscheidung eines Versandhändlers wie unter Frage 1. beschrieben, für den Abschluss des Vertrags erforderlich ist, darauf ankommt, ob die automatisierte Entscheidungsfindung betreffend die Gewährung oder Ablehnung der gewünschten Zahlungsart mit vertretbarem Aufwand auch durch Menschen erfolgen kann? Welche Bedeutung haben dafür die Anzahl der beim Versandhändler einlangenden Bestellungen und die typische Erwartung der Kunden im Online-Bestellverfahren, umgehend darüber informiert zu werden, ob die von ihnen gewünschte Zahlungsart vom Versandhändler akzeptiert wird oder nicht?

II.Das Verfahren vor dem Obersten Gerichtshof über die Revision der klagenden Partei wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.

Begründung:

Zu I.:

A. Sachverhalt

[1] Der Klägerist ein klageberechtigter Verein im Sinn des § 29 Konsumentenschutzgesetz (KSchG).

[2] Die Beklagte ist ein österreichweit tätiges Versandhandelsunternehmen, das laufend mit Verbrauchern Verträge abschließt.

[3] In der Datenschutzinformation der Beklagten (www.u*) finden sich Informationen zur Bonitätsprüfung. Diese lauten auszugsweise:

„ Bonitätsprüfungen:

Wenn Sie im Rahmen einer Bestellung eine sogenannte unsichere Zahlungsart (Rechnungs- oder Ratenkauf) ausgewählt haben, gilt das Folgende:

[Die Beklagte] und andere Versandhandelsunternehmen der * Gruppe räumen ihren Kunden grundsätzlich die Möglichkeit ein, Waren unter Anspruchnahme unsicherer Zahlungsarten (z.B. Rechnungskauf, Finanzierungskauf) zu erwerben.

[… ]

Wir sind in den Fällen, in denen ein Kunde auf eine unsichere Zahlungsart bestellen möchte, dazu berechtigt, im Rahmen der Bestellung erhaltene Informationen zur Berechnung einer Ausfallswahrscheinlichkeit zu nutzen (internes Scoring). Die Berechnung der Ausfallswahrscheinlichkeit mittels des internen Scorings basiert auf einem anerkannten mathematisch statistischen Verfahren. Die im Rahmen des internen Scoring genutzten Daten resultieren insbesondere aus einer Kombination der folgenden Datenkategorien (nicht abschließend): Adressdaten, Alter, gewünschte Zahlungskonditionen, Bestellweg und Sortimentsgruppen. Im Rahmen des internen Scoring werden nur solche Daten genutzt, die der Kunde uns gegenüber selbst angegeben hat. Anhand der benannten Datenkategorien können auf Grund des eingesetzten mathematisch statistischen Verfahrens Rückschlüsse auf die Zahlungsausfallswahrscheinlichkeit getroffen werden. So kann beispielsweise ein bestimmter Wohnort des Bestellenden kombiniert mit einer bestimmten Warenkategorie zu einer erhöhten Zahlungsausfallwahrscheinlichkeit und somit einer Zahlungsarteneinschränkung führen. Es erfolgt keine Zahlungsarteneinschränkung alleinig auf Basis des Wohnortes des Bestellenden. Darüber hinaus ist es z.B. statistisch nachgewiesen, dass bei der Nutzung eines kostenpflichtigen E Mail Providers ein geringeres Zahlungsausfallrisiko besteht als dies bei der Nutzung eines kostenlosen Anbieters der Fall ist. Im Rahmen der Prüfung, ob eine unsichere Zahlungsart (Raten /Rechnungskauf) eingeräumt werden kann, sind wir auch dazu berechtigt, Bonitätsinformationen über Sie bei einer externen Auskunftei einzuholen. Wir arbeiten mit der folgenden Auskunftei zusammen […].

[… ]

Wir können im Rahmen der Bonitätsprüfung mittels des Einsatzes eines automatisierten Prozesses entscheiden, ob Ihnen die gewünschte unsichere Zahlungsart (Raten /Rechnungskauf) eingeräumt wird. So kann z.B. bei der Übermittlung einer negativen Bonitätsauskunft durch eine Auskunftei oder bei der Berechnung eines nicht ausreichenden Scorewertes im Rahmen des internen Scoring automatisiert eine Ablehnung der gewünschten Zahlungsart erfolgen. Sie können uns gegenüber das Recht geltend machen, dass wir eine manuelle Überprüfung der automatisierten Entscheidung vornehmen. Darüber hinaus haben Sie das Recht auf Darlegung des eigenen Standpunktes sowie das Recht auf Anfechtung der Entscheidung.

Die Vereinbarung Ihrer Daten im Rahmen der Bonitätsprüfung erfolgt auf Basis von Artikel 6, Abs 1b DSGVO und Artikel 6 Abs 1 lit f) DSGVO. Wir haben grundsätzlich ein berechtigtes Interesse an der Vornahme einer Bonitätsprüfung bei der Auswahl einer unsicheren Zahlungsart (Raten /Rechnungskauf) durch Sie. “

[4] Unter dem Schlagwort „Datenschutzhinweis“ und dem Text „ Auskunft zu Zahlungsarteinschränkungen : Sie möchten wissen, warum Sie nicht alle Zahlungsarten bei uns nützen können? Wir geben Ihnen gerne hier Auskunft.“ gelangt der Kunde zu einem Link mit dem Titel „Auskunft anfordern“.

[5] Bei der Beklagten langen pro Monat ca 50.000 bis 60.000 Bestellungen ein, davon 90 % online und ca 10 % telefonisch. Ca 90 % der Bestellungen entfallen auf sogenannte unsichere Zahlungsarten, nämlich 60 % auf offene Rechnung und ca 31 % auf Teilzahlung. Der Rest verteilt sich auf die verbleibenden Möglichkeiten per Kreditkarte oder per PayPal. Der durchschnittliche Bestellwert liegt bei 650 EUR. Bei einer Erstbestellung limitiert die Beklagte im Fall eines Raten oder Rechnungskaufs den Bestellwert mit 500 EUR, dieses Limit wird bei Folgebestellungen sukzessive erhöht, wenn es zu keinen Zahlungsausfällen gekommen ist.

[6] Im Falle eines Neukunden, der auf offene Rechnung oder Teilzahlung bestellt, erfolgt automatisch eine Anfrage bei der Auskunftei mit den vom Kunden bekannt gegebenen Daten. Wenn der Kunde dort unbekannt ist, lehnt die Beklagte eine Geschäftsbeziehung mit Teilzahlung oder auf offene Rechnung ab und verständigt den Kunden, dass er über Kreditkarte oder PayPal beliefert würde. Wenn der Kunde bekannt ist, gibt es drei Möglichkeiten, Scorings mit drei verschiedenen Farben. Wenn die Farbe rot ist, wird ebenfalls die unsichere Zahlungsart abgelehnt, bei gelb prüft ein Mitarbeiter der beklagten Partei und bei grün wird die Bestellung angenommen. Im Fall eines gelben Scorings nimmt der Mitarbeiter selbst Einsicht in die Datenbank und entscheidet, ob und gegebenenfalls unter welchen Bedingungen der Auftrag freigegeben wird.

[7] Wenn die Farbe rot oder die bestellende Person unbekannt ist, führt dies ausschließlich zu einer Einschränkung der Zahlungsmöglichkeiten auf eine sichere Zahlungsart, in keinem Fall zu einer Ablehnung des Auftrags an sich.

B. Prozessstandpunkte der Parteien und bisheriges Verfahren

[8] Der Klägerbegehrt – soweit für das Revisionsverfahren im zweiten Rechtsgang noch relevant – gestützt auf § 28a Abs 1 KSchG, der Beklagten aufzutragen, es im geschäftlichen Verkehr mit Verbrauchern im Zusammenhang mit Verbraucherkreditverhältnissen zu unterlassen, Bonitätsprüfungen, die über den Abschluss von Vereinbarungen über Teilzahlung oder Lieferung auf offene Rechnung entscheiden, anhand einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung, insbesondere aufgrund des Ergebnisses einer automatisierten Anfrage bei einer Auskunftei oder aufgrund einer automatisierten internen Bewertung der Kreditwürdigkeit des Verbrauchers vorzunehmen, dies ohne eine ausdrückliche Einwilligung des Verbrauchers dazu einzuholen und/oder ohne dem Verbraucher das Recht einzuräumen, seinen eigenen Standpunkt darzulegen und/oder die von der Beklagten derart getroffene Entscheidung anzufechten. Daneben begehrt er auch die Ermächtigung zur Urteilsveröffentlichung des diesem Klagebegehren stattgebenden Urteilsspruchs. Dazu stützt er sich auf die systematische Verletzung des Art 22 DSGVO durch die Beklagte.

[9] Die Beklagte wendet ein, der Anwendungsbereich des Art 22 Abs 1 DSGVO sei nicht eröffnet, weil ihre Entscheidung für die Kunden weder rechtliche Wirkung entfalte noch diese in ähnlicher Weise erheblich beeinträchtige. Die Entscheidung sei nach Art 22 Abs 2 lit a DSGVO zudem für den Abschluss oder die Erfüllung des Vertrags erforderlich. Schließlich räume die Beklagte ihren Kunden auch die in Art 22 Abs 3 DSGVO angeführten Mindestrechte ein.

[10] Das Erstgericht wies das Klagebegehren ab. Die Vorgangsweise der Beklagten stehe mit Art 22 DSGVO im Einklang.

[11] Das Berufungsgericht bestätigte die Rechtsansicht des Erstgerichts. Der Anwendungsbereich des Art 22 Abs 1 DSGVO sei bereits nicht eröffnet. Die Beschränkung auf ein bestimmtes Bezahlverfahren stelle keine erhebliche Beeinträchtigung dar, solange (wie hier) zumutbare Bezahlverfahren verfügbar blieben. Eine rechtliche Wirkung der Entscheidung habe der Kläger nicht behauptet. Abgesehen davon sei die automatisierte Einzelfallentscheidung aber nach Art 22 Abs 2 lit a DSGVO auch für den Abschluss oder die Erfüllung des Vertrags erforderlich. Aufgrund der Vielzahl an Bestellungen sei eine Bonitätsprüfung durch natürliche Personen für die Beklagte praktisch nicht möglich. Zudem erwarteten die Kunden eine umgehende Entscheidung über die von ihnen begehrte Zahlungsart, was bei Bearbeitung durch eine natürliche Person einen unvertretbaren Aufwand zur Folge hätte. Das System der Beklagten entspreche auch Art 22 Abs 3 DSGVO.

[12] Mit seiner Revision strebt der Kläger ein klagsstattgebendes Urteil an; in eventu wird ein Aufhebungsantrag gestellt.

C. Relevante Rechtsvorschriften

[13] Bestimmungen der DSGVO lauten auszugsweise:

…

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

…

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

…

Artikel 22

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

…

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

…

[14] Bestimmungen des nationalen Rechts lauten auszugsweise:

Konsumentenschutzgesetz

…

§ 28a. (1) Wer im geschäftlichen Verkehr mit Verbrauchern im Zusammenhang mit … Verbraucherkreditverhältnissen, … gegen ein gesetzliches Gebot oder Verbot verstößt, … und dadurch jeweils die allgemeinen Interessen der Verbraucher beeinträchtigt, kann unbeschadet des § 28 Abs. 1 auf Unterlassung geklagt werden.

…

D. Begründung der Vorlage

1. Anwendbarkeit und Relevanz der Auslegung des Unionsrechts für den vorliegenden Fall

[15]Die vorliegende Verbandsklage betrifft den Schutz personenbezogener Daten im Zusammenhang mit Verbraucherkreditverhältnissen, somit einen der in § 28a Abs 1 KSchG genannten Schutzbereiche. Die Aktivlegitimation des klagenden Verbands wurde daher – nach dem Urteil des EuGH vom 28. 4. 2022, C 319/20 , Meta Platforms Ireland , ECLI:EU:C:2022:322 – bereits im ersten Rechtsgang bejaht ( 6 Ob 38/23s [Rz 29]).

[16]Der Kläger wirft der Beklagten einen systematischen Verstoß gegen die Regelung der automatisierten Entscheidungsfindung gemäß (dem unmittelbar im innerstaatlichen Recht anwendbaren) Art 22 DSGVO vor. Stellt sich dieser Vorwurf als berechtigt dar, wäre die Beklagte – gestützt auf § 28a KSchG – zu verpflichten, ihre gegen Art 22 DSGVO verstoßende Geschäftspraktik zu unterlassen.

[17] Dazu sind folgende Prüfschritte vorzunehmen:

(1) Zunächst ist zu ermitteln, ob der Anwendungsbereich des Art 22 Abs 1 DSGVO eröffnet ist. Die Anwendbarkeit der Bestimmung hängt von drei kumulativen Voraussetzungen ab, nämlich davon, dass erstens eine „Entscheidung“ vorliegen, zweitens diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung, – einschließlich Profiling – [beruhen]“ und drittens sie „gegenüber [der betroffenen Person] rechtliche Wirkung“ entfalten oder sie „in ähnlicher Weise erheblich“ beeinträchtigen muss (EuGH C 634/21 , SCHUFA , ECLI:EU:C:2023:957 [Rz 43]). Sind die Voraussetzungen nicht erfüllt, wäre die Klage mangels Anspruchsgrundlage abzuweisen.

(2) Fällt die gegenständliche Datenverarbeitung dagegen unter Art 22 Abs 1 DSGVO, wäre sie nur dann zulässig, wenn einer der in Art 22 Abs 2 DSGVO genannten Ausnahmetatbestände verwirklicht ist. Dies ist nach lit a leg cit insbesondere dann der Fall, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.

(3) Liegt ein Fall des Art 22 Abs 2 lit a oder lit c DSGVO vor, hat die Beklagte angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen ihrer Kunden zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens der Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

[18] Die Vorlagefragen betreffen die Auslegung einzelner Begriffe der in den ersten beiden Prüfschritten anzuwendenden Bestimmungen der DSGVO, soweit diese nicht bereits durch Rechtsprechung des EuGH geklärt ist und aufgrund des wechselseitigen Parteivorbringens entscheidungswesentlich ist.

2. Zur Frage 1.

[19] Voranzustellen ist, dass sich der Kläger im Verfahren – entgegen dem Standpunkt des Berufungsgerichts – auch darauf gestützt hat, dass die automatisierte Entscheidung der Beklagten, ihren Kunden bestimmte Zahlungsarten zu verweigern, diesen gegenüber „rechtliche Wirkung entfaltet“. Insofern ist im Verfahren auch dieses Tatbestandsmerkmal zu prüfen.

[20] Die Begriffe „rechtliche Wirkung entfaltet“ und „in ähnlicher Weise erheblich beeinträchtigt“ werden in der DSGVO nicht näher definiert. Allein aus dem Wortlaut des Art 22 Abs 1 DSGVO ergibt sich nicht, ob eine Entscheidung der Beklagten wie unter Frage 1. beschrieben rechtliche Wirkung entfaltet oder den Betroffenen in ähnlicher Weise erheblich beeinträchtigt. Nach ErwGr 71 umfasst eine Entscheidung iSd Art 22 Abs 1 DSGVO beispielsweise die automatische Ablehnung eines Online Kreditvertrags oder Online-Einstellungsverfahren ohne menschliches Eingreifen (EuGH C 623/21 , SCHUFA , ECLI:EU:C:2023:957 [Rz 45]).

[21] Der Oberste Gerichtshof vertritt zwar die Auslegung, dass die bloße Verwehrung bestimmter Vertragskonditionen – und insbesondere der Abschluss von Verträgen nur unter Gewährung bestimmter (für den Händler kein kreditorisches Risiko aufweisender) Bezahlverfahren – keine rechtliche Wirkung für die Kunden entfaltet, weil eine solche Entscheidung weder eine Rechtsposition des Kunden noch ein Rechtsverhältnis zu ihm begründet (vgl etwa Schulz in Gola/Heckmann , DS GVO – BDSG³ Art 22 DS GVO Rz 24, 25 ; von Lewinski in BeckOK Datenschutzrecht Art 22 DS GVO Rz 35 ). Denkbar wäre aber auch, dass darin im Kern eine Entscheidung über die konkrete Ausgestaltung von Verträgen liegt und damit sehr wohl eine rechtliche Wirkung für den (potenziellen) Vertragspartner verbunden ist, weil über „das Ob oder Wie“ eines Vertragsabschlusses oder einer Vertragsänderung entschieden wird (vgl Veil in Gierschmann/Schlender/Stentzel/Veil , Kommentar Datenschutzgrundverordnung Art 22 Rz 60).

[22] Zu erwägen wäre aber auch, ob die Verweigerung bestimmter Zahlungsarten die wirtschaftlichen oder persönlichen Belange der Kunden derart berührt, dass sie einer rechtlichen Wirkung gleichkommt, und sie damit zumindest in ähnlicher Weise beeinträchtigt. Der Oberste Gerichtshof geht davon aus, dass eine erhebliche Beeinträchtigung bei bloßer Festlegung auf ein bestimmtes Zahlverfahren zu verneinen ist, solange dem Kunden – wie hier – die Möglichkeit eingeräumt wird, den Vertrag unter Verwendung anderer, zumutbarer Zahlungsarten abzuschließen ( Schulz in Gola/Heckmann , DS GVO – BDSG³ Art 22 DS GVO Rz 22, 25 ; Haidinger in Knyrim , DatKomm Art 22 DSGVO Rz 26/3 ). Im Verfahren C 634/21 , SCHUFA , ECLI:EU:C:2023:957, entschied der EuGH allerdings, dass einen Verbraucher die Ermittlung eines Wahrscheinlichkeitswerts hinsichtlich seiner Fähigkeit, künftig einen Kredit zu bedienen, wenn im Fall eines unzureichenden Wahrscheinlichkeitswerts die Bank in nahezu allen Fällen die Gewährung des von ihm beantragten Kredits ablehnt, „zumindest erheblich beeinträchtigt“ (Rz 48, 49). Inwieweit das auch für die bloße Verwehrung bestimmter Zahlungsarten gilt, wurde vom EuGH bislang – soweit überblickbar – noch nicht entschieden. Fraglich erscheint insbesondere, ob – und wenn ja unter welchen Voraussetzungen – dies überhaupt einer Ablehnung eines Vertragsverhältnisses mit dem Kunden gleichzuhalten ist, und falls ja ob – wie der Kläger argumentiert – die Ablehnung der Teilzahlung vergleichbare Auswirkungen auf den Kunden hat wie eine Beschränkung des Zugangs zu einem Kredit im Sinne der Entscheidung des EuGH C 634/21 .

[23] Die Beantwortung der Vorlagefrage ist für den vorliegenden Rechtsstreit maßgeblich, weil im Fall der Verneinung sowohl einer rechtlichen Wirkung als auch einer in ähnlicher Weise erheblichen Beeinträchtigung bereits der Anwendungsbereich des Art 22 Abs 1 DSGVO nicht eröffnet wäre und die Klage schon aus diesem Grund abzuweisen wäre.

3. Zu den Fragen 2.a), 2.b), 3. und 3.a)

[24] Sofern die Frage 1. bejaht wird, wäre zu prüfen, ob der Ausnahmetatbestand des Art 22 Abs 2 lit a DSGVO erfüllt ist. Die Beantwortung der Vorlagefragen 2.a), 2.b), 3. und 3.a) ist für den vorliegenden Rechtsstreit maßgeblich, weil damit der dafür heranzuziehende Auslegungsmaßstab der Ausnahmebestimmung geklärt werden soll. Ergibt die Auslegung, dass sich die Beklagte im vorliegenden Fall nicht auf diese Ausnahme berufen kann (und liegen auch die Voraussetzungen nach lit b und lit c nicht vor), wäre der Klage stattzugeben. Kann sich die Beklagte dagegen auf Abs 2 lit a berufen, wäre – im Sinne des dritten Prüfschritts – zu prüfen, ob die Beklagte die in Art 22 Abs 3 DSGVO vorgesehenen Verfahrensgarantien einhält.

[25] Der Kläger hat im Verfahren behauptet, es liege kein sachlicher Zusammenhang zwischen dem Vertragszweck und der Entscheidung der Beklagten, bestimmte Zahlungsarten nicht zu gewähren, vor. Fraglich ist vor diesem Hintergrund zunächst, ob – wie auch in der deutschen und in der österreichischen Literatur allgemein vertreten – für die Frage der Erforderlichkeit ein sachlicher Zusammenhang zwischen der (automatisiert erfolgten) Einschätzung der Bonität des Kunden anhand bestimmter erhobener Daten als Grundlage für die gegenständliche Entscheidung des Versandhändlers, bestimmte Zahlungsarten nicht zu gewähren, und dem konkreten Vertragszweck mit seinen Rechten und Pflichten, insbesondere der Entscheidungs- und Kalkulationsgrundlage des Vertragshändlers, die hier in der erwarteten Bonität des Kunden liegt, vorliegen muss (vgl etwa Scholz in NK-Datenschutzrecht DS GVO/BDSG² Art 22 DS GVO Rz 45; Martini in Paal/Pauly , DS GVO BDSG³ Art 22 DS GVO Rz 31a; Arning in Moos/Schefzig/Arning , Praxishandbuch DSGVO 2 Kap 6 Rz 640 ua).

[26] Sofern es darauf ankommen sollte, geht der Oberste Gerichtshof davon aus, das im vorliegenden Fall grundsätzlich ein ausreichender sachlicher Zusammenhang zwischen der automatisierten Bonitätsprüfung des Kunden und dem Vertragszweck vorliegt, weil die Entscheidung, dem Kunden bestimmte (für den Versandhändler mit einem kreditorischen Risiko verbundene) Zahlungsarten nicht zu gewähren, zur Erreichung des Vertragszwecks, den jeweiligen Kaufvertrag ohne Leistungsstörungen abzuwickeln, geeignet ist, zumal als maßgebliche Entscheidungsgrundlage für den Versandhändler, ein bestimmtes Rechtsgeschäft einzugehen, gerade die Einschätzung der Bonität des einzelnen Kunden dient. Dass die Daten des Kunden vom Versandhändler zum Zweck der Einschätzung der Zahlungsausfallswahrscheinlichkeit erhoben werden, hat der Kläger im Verfahren nicht bestritten. [Frage 2.a)]

[27] Der Oberste Gerichtshof vertritt in seiner Auslegung des Art 22 Abs 2 lit a DSGVO aber weiters die Ansicht, dass es für die Bejahung der Erforderlichkeit (auch) darauf ankommt, dass die vom Versandhändler konkret erhobenen Datenkategorien (entweder für sich genommen oder in ihrer Kombination) objektiv geeignet sein müssen, die Bonität des Kunden einzuschätzen. Ansonsten ließe sich nämlich gerade ein sachlicher Zusammenhang zwischen der auf diesen Daten beruhenden Bonitätseinschätzung durch den Versandhändler und dem Vertragszweck nicht begründen. Insofern erscheint es einerseits jedenfalls fraglich, warum es schon aufgrund der Rückmeldung der Auskunftei, dass der Kunde dort unbekannt sei, erforderlich sein soll, die vom Kunden gewünschte Zahlungsart abzulehnen. Ist die Beklagte bestrebt, ihr Ausfallsrisiko wegen zu geringer Bonität ihrer Kunden zu minimieren, wäre es nämlich naheliegend, auch bei unbekannten Kunden zunächst eine weitergehende Prüfung anhand der von den Kunden beim Bestellvorgang angegebenen Daten in Form eines weiteren Bonitäts Scoring vorzunehmen. Andererseits blieb im bisherigen Verfahren überhaupt offen, welche konkreten Daten die Beklagte (bei bekannten Kunden) im Rahmen des durchgeführten Bonitäts Scoring erhebt. Sollte es darauf ankommen, wären die getroffenen Feststellungen allenfalls nicht ausreichend.

[28] Damit im Zusammenhang steht die Frage, ob der Versandhändler oder der Kunde zu behaupten und zu beweisen hat, welche Daten konkret erhoben wurden und ob diese (entweder für sich genommen oder in ihrer Kombination) geeignet sind, die Zahlungsausfallswahrscheinlichkeit des Kunden einzuschätzen. Derartiges Vorbringen hat die Beklagte im Verfahren bislang nicht erstattet. [Frage 2.b)]

[29] Der Oberste Gerichtshof vertritt die Ansicht, dass für die Anwendbarkeit des Ausnahmetatbestands nach Art 22 Abs 2 lit a DSGVO gerade eine automatisierte Entscheidung für den Vertragsabschluss oder die Vertragserfüllung erforderlich sein muss (vgl Buchner in Kühling/Buchner , DS GVO/BDSG 4 Art 22 DS GVO Rz 30a). Da der Wortlaut der Bestimmung nur Bezug auf die „Entscheidung“ nimmt, ist es aber auch denkbar, dass es dafür allein auf die Erforderlichkeit der Entscheidung als solcher ankommt (vgl Martini in Paal/Pauly , DS GVO BDSG³ Art 22 DS GVO Rz 31a). In letzterem Fall wären für die Anwendbarkeit des Art 22 Abs 2 lit a DSGVO keine Überlegungen dazu anzustellen, ob (und unter welchen Voraussetzungen) auch eine Verarbeitung durch den Menschen möglich wäre. [Frage 3.)]

[30] Weiters geht der Oberste Gerichtshof davon aus, dass es – wie in der deutschen und in der österreichischen Literatur vertreten (vgl etwa Herbst in Auernhammer , DSGVO BDSG 7 Art 22 DSGVO Rz 19) – für die Erforderlichkeit einer automatisierten Entscheidung über die Gewährung bestimmter Zahlungsarten bei Vertragsabschluss darauf ankommt, ob diese Entscheidungsfindung mit vertretbarem Aufwand durch Menschen erfolgen kann. Fraglich ist jedoch, ob – wie von der Beklagten vorgebracht – die Anzahl der Bestellungen und die Erwartung von Kunden im Online Bestellverfahren, umgehend über die Möglichkeit der von ihnen gewählten Zahlungsart informiert zu werden, einen Einfluss auf diese Beurteilung haben, oder ob ein Versandhändler vielmehr – wie der Kläger meint – jedenfalls sicherzustellen hat, dass genügend Mitarbeiter zur Verfügung stehen um die eingehenden Bestellungen abwickeln zu können, sodass es keines Rückgriffs auf eine automatisierte Entscheidungsfindung bedarf. Im ersten Fall wäre davon auszugehen, dass die automatisierte Entscheidungsfindung der Beklagten erforderlich ist; im zweiten Fall nicht. [Frage 3.a)]

Zu II.:

[31]Der Ausspruch über die Aussetzung des Verfahrens bis zur Erledigung des Vorabentscheidungsersuchens gründet sich auf § 90a Abs 1 GOG.