Neue DACH-Regeln für Checkout-Scoring: Was § 37a BDSG ab November 2026 verlangt
Ab dem 20. November 2026 gilt in Deutschland der neue § 37a BDSG. Er regelt, wie Wahrscheinlichkeitswerte über zukünftiges Verhalten in Vertragsentscheidungen genutzt werden dürfen. Auch für Händler in Österreich und der Schweiz mit deutschen Kundinnen und Kunden wird das relevant. Was ändert sich – und was bedeutet das für Checkout-Scoring?
Veröffentlicht: 2026-07-16 · 7 Min. Lesezeit
Nicht Xpeer trifft die Entscheidung. Der Händler entscheidet. Xpeer liefert die Datengrundlage – nachvollziehbar, ereignisbasiert und ohne demografische Merkmale.
Warum dieser Artikel jetzt wichtig ist
Deutschland hat mit § 37a BDSG (in Kraft ab 20. November 2026) eine neue Grundlage geschaffen, wie Wahrscheinlichkeitswerte über zukünftiges Verhalten in Vertragsentscheidungen verwendet werden dürfen – etwa beim Anlegen, Durchführen oder Beenden eines Vertrags im Checkout.
Die Regel greift unabhängig davon, ob das Ergebnis „Score", „Ampel" oder „Risikostufe" heisst. Für Händler im gesamten DACH-Raum ist das relevant, sobald deutsche Konsumentinnen und Konsumenten betroffen sind:
- Deutschland: direkte Anwendung.
- Österreich: deutsches Recht wirkt über grenzüberschreitenden Handel und über DSGVO-Vorgaben zu automatisierten Entscheidungen (Art. 22 DSGVO) mit.
- Schweiz: analoge Prinzipien im revidierten DSG, plus dieselbe Debatte um Transparenz und faire Bewertung.
Was § 37a BDSG konkret vorgibt
Die Norm verlangt im Kern vier Dinge:
- Beschränkung der Merkmale. Bestimmte Attribute dürfen nicht in die Bewertung einfliessen – dazu zählen unter anderem Alter, Geschlecht, Name, Social-Media-Daten, Kontobewegungen und Adressdaten.
- Wissenschaftlich anerkannte Methodik. Die verwendeten Daten müssen nachweislich relevant sein, gestützt auf ein mathematisch-statistisch belastbares Verfahren.
- Transparenz und Erklärbarkeit. Betroffene haben Anspruch auf verständliche Auskunft und – für ein Jahr – auf eine Aufzeichnung der Bewertung.
- Menschliche Prüfung. Es muss ein Weg bestehen, eine automatisierte Bewertung anzufechten und menschlich prüfen zu lassen.
Wichtig ist eine Unterscheidung, die wir aus der Norm ableiten – nach unserem Verständnis lässt § 37a BDSG folgende Trennung zu:
- Identitätsauflösung (Wer ist das? Gehören diese Bestellungen zur selben Person?) darf weiterhin Name, Adresse, E-Mail und Telefonnummer verwenden.
- Risikobewertung darf daraus keine Verhaltenswahrscheinlichkeit ableiten. Die Adresse darf also zum Matchen genutzt werden – aber nicht als Risikofaktor.
Warum Xpeer hier gut aufgestellt ist
Unsere Architektur trennt diese beiden Ebenen von Anfang an – nicht als Reaktion auf § 37a, sondern aus methodischer Überzeugung.
1. Ereignisbasiert statt merkmalsbasiert
Die Xpeer-Engine bewertet objektiv nachvollziehbare Ereignisse, nicht Personenmerkmale:
- bestätigte Bestellungen
- bestätigte Retouren
- bestätigte Missbrauchsereignisse
- händlerseitig gemeldete Vorfälle
- Frequenz und Aktualität dieser Ereignisse
Nicht verwendet werden Alter, Geschlecht, Name, Adresse, Postleitzahl oder demografische Merkmale als bewertende Variablen.
2. Identitätsauflösung strikt getrennt von Bewertung
Name, Adresse, E-Mail und Telefonnummer werden ausschliesslich dafür verwendet, Bestellungen derselben Person über Shops hinweg korrekt zusammenzuführen. Sie fliessen nicht in die Risikologik ein.
3. Wissenschaftliche Grundlage
Die Methodik basiert auf akademischer Arbeit, die gemeinsam mit einer Fachhochschule entwickelt wurde. Die dahinterliegenden Berechnungen sind deterministisch – gleiche Eingabe, gleiches Ergebnis – und damit prüfbar.
4. Der Händler entscheidet, nicht Xpeer
Dies ist der vielleicht wichtigste Punkt:
Xpeer trifft keine Vertragsentscheidung. Xpeer liefert dem Händler eine strukturierte, erklärbare Datengrundlage. Ob und wie diese in Checkout-Optionen, Zahlarten oder Serviceflüsse einfliesst, entscheidet der Händler.
Damit bleibt die Verantwortung dort, wo sie rechtlich ohnehin liegt: beim datenverantwortlichen Händler.
Was Händler jetzt tun sollten
Unabhängig davon, welche Scoring-Lösung im Einsatz ist, empfehlen wir für den DACH-Raum:
- Bestandsaufnahme: Welche Attribute fliessen in Checkout-Entscheidungen ein? Werden dabei Merkmale wie Name, Adresse, Alter, Geschlecht direkt oder indirekt genutzt?
- Trennung dokumentieren: Identitätsauflösung sauber von Risikobewertung trennen und diese Trennung schriftlich festhalten.
- Transparenzprozesse aufsetzen: Auskunft, Erklärung, menschliche Prüfung und einjährige Aufbewahrung der Bewertung müssen bedienbar sein.
- Anbieter prüfen: Lässt sich die Methodik erklären? Ist sie deterministisch und nachvollziehbar – oder eine Black Box?
Fazit
§ 37a BDSG ist kein Bruch, sondern eine Bestätigung eines Weges, den wir bewusst gewählt haben: ereignisbasiert, deterministisch, erklärbar und mit klarer Rollenverteilung zwischen Datenlieferant und Entscheidungsträger.
Für Händler in Deutschland, Österreich und der Schweiz wird das ab November 2026 vom Grundsatz zur Pflicht. Wer heute schon so arbeitet, hat morgen einen Vorsprung.
Hinweis: Dieser Beitrag ist eine informierte Einordnung durch Xpeer und stellt keine Rechtsberatung dar. Für eine verbindliche Bewertung im Einzelfall empfehlen wir die Abstimmung mit qualifiziertem Rechtsbeistand.