R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
Wirtschaftsrecht
06.03.2025
Wirtschaftsrecht
EuGH: Automatisierte Bonitätsbeurteilung – Recht der betroffenen Person, zu erfahren, wie die Entscheidung zustande kam

EuGH, Urteil vom 27.2.2025 – C-203/22, CK gegen Magistrat der Stadt Wien

ECLI:EU:C:2025:117

Volltext: BB-Online BBL2025-577-1

unter www.betriebs-berater.de

Tenor

1. Art. 15 Abs. 1 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form die Verfahren und Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.

2.  Art. 15 Abs. 1 Buchst. h der Verordnung 2016/679 ist dahin auszulegen, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.

 

Aus den Gründen

1          Das vorliegende Vorabentscheidungsersuchen betrifft die Auslegung von Art. 15 Abs. 1 Buchst. h und Art. 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) sowie von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (ABl. 2016, L 157, S. 1).

 

2          Es ergeht im Zusammenhang mit einer von CK beim Magistrat der Stadt Wien (Österreich) beantragten Exekution einer gerichtlichen Entscheidung, mit der der Bisnode Austria GmbH, nunmehr Dun & Bradstreet Austria GmbH (im Folgenden: D & B), einem auf die Durchführung von Bonitätsbeurteilungen spezialisierten Unternehmen, aufgetragen wurde, CK aussagekräftige Informationen über die involvierte Logik eines Profilings ihrer personenbezogenen Daten zu übermitteln.

 

Rechtlicher Rahmen

Unionsrecht

DSGVO

3          In den Erwägungsgründen 4, 11, 58, 63 und 71 DSGVO heißt es:

„(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der [Charta der Grundrechte der Europäischen Union (im Folgenden: Charta)] anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

(58) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. …

(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. … Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. …

(71) Die betroffene Person sollte das Recht haben, keiner Entscheidung – was eine Maßnahme einschließen kann – zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das ‚Profiling‘, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. … In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. …“

 

4          Art. 4 („Begriffsbestimmungen“) Nr. 4 DSGVO sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

4.         ‚Profiling‘ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

 

5          In Art. 12 („Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“) Abs. 1 DSGVO heißt es:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. …“

 

6          Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) Abs. 2 Buchst. f und Art. 14 („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) Abs. 2 Buchst. g DSGVO sehen vor, dass der Verantwortliche der betroffenen Person – um für diese eine faire und transparente Verarbeitung zu gewährleisten – u. a. Informationen über „das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ zur Verfügung zu stellen hat.

 

7          Art. 15 („Auskunftsrecht der betroffenen Person“) DSGVO bestimmt:

„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

 

8          Art. 22 („Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“) DSGVO lautet:

„(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.“

 

9          Art. 23 („Beschränkungen“) DSGVO sieht vor:

„(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

(2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf

a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,

b) die Kategorien personenbezogener Daten,

c) den Umfang der vorgenommenen Beschränkungen,

d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung,

e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,

f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,

g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und

h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.“

 

10        Art. 54 („Errichtung der Aufsichtsbehörde“) Abs. 2 DSGVO bestimmt:

„Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten [Verstöße] gegen diese Verordnung.“

 

11        Art. 58 („Befugnisse“) Abs. 1 Buchst. e DSGVO sieht vor:

„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten“.

 

Richtlinie 2016/943

12        Im 35. Erwägungsgrund der Richtlinie 2016/943 heißt es:

„… diese Richtlinie [sollte] die in der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31)] niedergelegten Rechte und Pflichten – insbesondere das Recht der betroffenen Person auf Zugang zu ihren personenbezogenen Daten, die verarbeitet werden, sowie auf Berichtigung, Löschung oder Sperrung unvollständiger oder unrichtiger Daten … – nicht berühren“.

 

13        Art. 2 Nr. 1 dieser Richtlinie sieht vor:

„Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck

1.         ‚Geschäftsgeheimnis‘ Informationen, die alle nachstehenden Kriterien erfüllen:

a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;

b) sie sind von kommerziellem Wert, weil sie geheim sind;

c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt“.

 

14        Art. 9 („Wahrung der Vertraulichkeit von Geschäftsgeheimnissen im Verlauf von Gerichtsverfahren“) der Richtlinie 2016/943 bestimmt:

„(1) Die Mitgliedstaaten stellen sicher, dass die Parteien, ihre Rechtsanwälte oder sonstigen Vertreter, Gerichtsbedienstete, Zeugen, Sachverständige und alle sonstigen Personen, die an einem Gerichtsverfahren beteiligt sind, das den rechtswidrigen Erwerb oder die rechtswidrige Nutzung oder Offenlegung eines Geschäftsgeheimnisses zum Gegenstand hat, oder die Zugang zu Dokumenten haben, die Teil eines solchen Gerichtsverfahrens sind, nicht befugt sind, ein Geschäftsgeheimnis oder ein angebliches Geschäftsgeheimnis zu nutzen oder offenzulegen, das von den zuständigen Gerichten aufgrund eines ordnungsgemäß begründeten Antrags einer interessierten Partei als vertraulich eingestuft worden ist und von dem sie aufgrund der Teilnahme an dem Verfahren oder des Zugangs zu den Dokumenten Kenntnis erlangt haben. Die Mitgliedstaaten können ferner die zuständigen Gerichte ermächtigen, solche Maßnahmen von Amts wegen zu ergreifen.

Die in Unterabsatz 1 genannte Verpflichtung besteht auch nach Abschluss des Gerichtsverfahrens weiter fort. Die Verpflichtung endet jedoch, wenn eine der folgenden Situationen eintritt:

a) Im Rahmen einer rechtskräftigen Entscheidung wird festgestellt, dass das angebliche Geschäftsgeheimnis nicht die in Artikel 2 Nummer 1 genannten Kriterien erfüllt, oder

b) im Laufe der Zeit werden die in Frage stehenden Informationen für Personen in den Kreisen, die üblicherweise mit der betreffenden Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich.

(2) Die Mitgliedstaaten stellen des Weiteren sicher, dass die zuständigen Gerichte auf ordnungsgemäß begründeten Antrag einer Partei spezifische Maßnahmen treffen können, die erforderlich sind, um die Vertraulichkeit eines Geschäftsgeheimnisses oder eines angeblichen Geschäftsgeheimnisses zu wahren, das im Laufe eines Gerichtsverfahrens im Zusammenhang mit dem rechtswidrigen Erwerb oder der rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses genutzt oder auf das in diesem Rahmen Bezug genommen wird. Die Mitgliedstaaten können ferner die zuständigen Gerichte ermächtigen, solche Maßnahmen von Amts wegen zu ergreifen.

Die in Unterabsatz 1 genannten Maßnahmen sehen mindestens die Möglichkeit vor,

a) den Zugang zu von den Parteien oder Dritten vorgelegten Dokumenten, die Geschäftsgeheimnisse oder angebliche Geschäftsgeheimnisse enthalten, ganz oder teilweise auf eine begrenzte Anzahl von Personen zu beschränken;

b) den Zugang zu Anhörungen, bei denen unter Umständen Geschäftsgeheimnisse oder angebliche Geschäftsgeheimnisse offengelegt werden, und zu der entsprechenden Aufzeichnung oder Mitschrift dieser Anhörungen auf eine begrenzte Anzahl von Personen zu beschränken;

c) Personen, die nicht der begrenzten Anzahl von Personen nach den Buchstaben a und b angehören, eine nicht vertrauliche Fassung einer gerichtlichen Entscheidung bereitzustellen, in der die Geschäftsgeheimnisse enthaltenden Passagen gelöscht oder geschwärzt wurden.

Die Anzahl der Personen nach Unterabsatz 2 Buchstaben a und b darf nicht größer sein, als zur Wahrung des Rechts der Verfahrensparteien auf einen wirksamen Rechtsbehelf und ein faires Verfahren erforderlich ist, und muss mindestens eine natürliche Person jeder Partei und ihre jeweiligen Rechtsanwälte oder sonstigen Vertreter dieser Gerichtsverfahrensparteien umfassen.

(3) Bei der Entscheidung über die Maßnahmen gemäß Absatz 2 und der Beurteilung ihrer Verhältnismäßigkeit berücksichtigen die zuständigen Gerichte die Notwendigkeit, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren zu gewährleisten, die legitimen Interessen der Parteien und gegebenenfalls etwaiger Dritter sowie den möglichen Schaden, der einer der Parteien und gegebenenfalls etwaigen Dritten durch die Gewährung oder Ablehnung dieser Maßnahmen entstehen kann.

(4) Jede Verarbeitung personenbezogener Daten gemäß den Absätzen 1, 2 oder 3 erfolgt gemäß der Richtlinie [95/46].“

 

Österreichisches Recht

15        § 4 Abs. 6 des Datenschutzgesetzes vom 17. August 1999 (BGBl. I 165/1999) in der für den Ausgangsrechtsstreit maßgeblichen Fassung (im Folgenden: DSG) schließt grundsätzlich das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO aus, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.

 

Ausgangsrechtsstreit und Vorlagefragen

16        CK wurde von einem Mobilfunkbetreiber der Abschluss bzw. die Verlängerung eines Mobilfunkvertrags verweigert, für den sie monatlich 10 Euro hätte zahlen müssen, weil sie gemäß einer von D & B automatisiert durchgeführten Bonitätsbeurteilung über keine ausreichende finanzielle Bonität verfüge.

 

17        Sie wandte sich an die österreichische Datenschutzbehörde, die D & B auftrug, CK aussagekräftige Informationen über die involvierte Logik der auf der Grundlage der personenbezogenen Daten von CK erfolgten automatisierten Entscheidungsfindung zu übermitteln.

 

18        Gegen die Entscheidung der Datenschutzbehörde erhob D & B Beschwerde an das Bundesverwaltungsgericht (Österreich) und machte im Wesentlichen geltend, CK aufgrund eines geschützten Geschäftsgeheimnisses keine Informationen übermitteln zu können, die über die bereits zur Verfügung gestellten Informationen hinausgingen.

 

19        Mit Erkenntnis vom 23. Oktober 2019 (im Folgenden: Erkenntnis vom 23. Oktober 2019) stellte das Bundesverwaltungsgericht fest, dass D & B Art. 15 Abs. 1 Buchst. h DSGVO verletzt habe, indem sie CK keine aussagekräftigen Informationen über die involvierte Logik der auf der Grundlage der personenbezogenen Daten von CK erfolgten automatisierten Entscheidungsfindung übermittelt oder zumindest nicht hinreichend begründet habe, weshalb sie nicht in der Lage sei, solche Informationen zu übermitteln.

 

20        Das Bundesverwaltungsgericht stellte in seinem Erkenntnis insbesondere fest, dass die Erläuterungen von D & B nicht ausgereicht hätten, um CK in die Lage zu versetzen, nachzuvollziehen, wie die Wahrscheinlichkeit ihres künftigen Verhaltens („Score“) prognostiziert worden sei. Dieser Score war CK von D & B mit dem Hinweis mitgeteilt worden, dass für seine Ermittlung bestimmte soziodemografische Daten von CK „untereinander gleichwertig gewichtet“ worden seien.

 

21        Das Erkenntnis vom 23. Oktober 2019 wurde rechtskräftig und ist nach österreichischem Recht vollstreckbar. Die von CK beim Magistrat der Stadt Wien, der Exekutionsbehörde, beantragte Exekution dieses Erkenntnisses wurde mit der Begründung abgewiesen, dass D & B ihrer Informationsverpflichtung bereits ausreichend nachgekommen sei, obwohl sie nach Erlass des betreffenden Erkenntnisses keinerlei weitere Auskunft erteilt hatte.

 

22        CK erhob gegen den Bescheid des Magistrats der Stadt Wien Beschwerde an das Verwaltungsgericht Wien (Österreich) – das vorlegende Gericht –, um die Exekution des Erkenntnisses von 23. Oktober 2019 zu erwirken.

 

23        Das vorlegende Gericht vertritt die Ansicht, nach österreichischem Recht zur Exekution dieses Erkenntnisses verpflichtet zu sein, was die Bestimmung der konkreten Handlungen voraussetze, die D & B vornehmen müsse.

 

24        Da das vorlegende Gericht davon ausging, dass dies nur durch einen Sachverständigen mit den erforderlichen Kenntnissen erfolgen könne, bestellte es einen solchen. Dieser vertrat die Ansicht, dass D & B zur Erfüllung seiner CK betreffenden Verpflichtungen zumindest folgende Informationen übermitteln müsse:

–  die CK betreffenden personenbezogenen Daten, die im Rahmen der Bildung eines „Faktors“ verarbeitet wurden (Geburtsdatum, Adresse, Geschlecht etc.);

–  die der Berechnung des in Rede stehenden „Scores“ zugrunde liegende mathematische Formel;

–  den konkreten Wert, der CK jeweils zu den betreffenden Faktoren zugeordnet wurde;

–  die konkreten Intervalle, innerhalb deren unterschiedlichen Daten zum selben Faktor derselbe Wert beigemessen wird (Intervall-Bewertung bzw. diskrete Bewertung bzw. Index/Katasterbewertung).

 

25        Um zu gewährleisten, dass CK nach der Übermittlung dieser Mindestinformationen deren Richtigkeit überprüfen könne, müsse D & B zudem eine Liste mit den „Scores“ von Personen („Scoring“) übermitteln, die im Zeitraum von sechs Monaten vor und sechs Monaten nach der Berechnung des „Scores“ von CK erstellt worden seien und auf derselben Berechnungsregel basierten.

 

26        Dem vorlegenden Gericht zufolge kann nur durch die Herausgabe der vom Sachverständigen genannten Mindestinformationen die Schlüssigkeit und Richtigkeit der von einem Verantwortlichen nach Art. 15 Abs. 1 Buchst. h DSGVO erteilten Informationen überprüft werden.

 

27        Im vorliegenden Fall sprächen mehrere Indizien klar dafür, dass die von D & B übermittelten Informationen tatsachenwidrig seien. Während nämlich die an CK übermittelten Informationen, darunter insbesondere ihr „Score“, CK eine sehr gute Bonität bescheinigten, habe das tatsächliche Profiling den Eindruck vermittelt, dass CK jegliche Bonität fehle, sogar für die monatliche Zahlung von 10 Euro für einen Mobilfunkvertrag.

 

28        Aus der Sicht des vorlegenden Gerichts stellt sich daher die Frage, ob Art. 15 Abs. 1 Buchst. h DSGVO der betroffenen Person die Möglichkeit garantiert, die Richtigkeit der vom Verantwortlichen übermittelten Informationen zu überprüfen.

 

29        Garantiere Art. 15 Abs. 1 Buchst. h DSGVO diese Überprüfung nicht, wäre das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über personenbezogene Daten und andere Daten völlig inhaltsleer und überflüssig, zumal dann jeder Verantwortliche falsche Auskünfte erteilen könnte.

 

30        Es stelle sich außerdem die Frage, ob bzw. inwiefern die für das Vorliegen eines Geschäftsgeheimnisses bestehende Ausnahme dieses durch Art. 15 Abs. 1 Buchst. h in Verbindung mit Art. 22 DSGVO gewährleistete Auskunftsrecht einschränken könne.

 

31        Angesichts der in Art. 9 der Richtlinie 2016/943 vorgesehenen Regelungen sei zu prüfen, ob es denkbar wäre, die im Sinne von Art. 2 Nr. 1 dieser Richtlinie als „Geschäftsgeheimnisse“ eingestuften Informationen nur der zuständigen Behörde oder dem zuständigen Gericht offenzulegen, damit diese Behörde oder dieses Gericht eigenständig überprüften, ob tatsächlich vom Vorliegen eines Geschäftsgeheimnisses auszugehen sei und ob die gemäß Art. 15 Abs. 1 DSGVO vom Verantwortlichen übermittelten Informationen dem in Rede stehenden Sachverhalt entsprächen.

 

32        Schließlich sei zu prüfen, ob eine Bestimmung wie § 4 Abs. 6 DSG, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich ausschließe, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde, als mit Art. 15 Abs. 1 in Verbindung mit Art. 22 Abs. 3 DSGVO vereinbar betrachtet werden könne.

 

33        Vor diesem Hintergrund hat das Verwaltungsgericht Wien das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO eingestuft zu werden?

 

Sind – allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses – im Falle eines Profilings vom Verantwortlichen im Rahmen der Beauskunftung der „involvierten Logik“ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere 1) die Bekanntgabe der verarbeiteten Daten des Betroffenen, 2) die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zugrunde gelegenen Algorithmus und 3) die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben?

Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DSGVO zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DSGVO erlauben;

b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten;

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden;

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung;

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen;

f)  Erklärung, weshalb der Auskunftsberechtigte im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde;

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist?

2. Steht das durch Art. 15 Abs. 1 Buchst. h DSGVO gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 DSGVO garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung im Sinne von Art. 22 DSGVO insofern in einem Zusammenhang, als der Umfang der aufgrund eines Auskunftsbegehrens im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 DSGVO garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung im Sinne von Art. 22 DSGVO tatsächlich, profund und erfolgversprechend wahrzunehmen?

3. a) Ist Art. 15 Abs. 1 Buchst. h DSGVO dahin gehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ im Sinne dieser Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO möglich ist, festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?

b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der DSGVO geschützte Daten Dritter dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zur Kenntnis gebracht werden müssen (Black-Box)?

Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht im Sinne von Art. 15 Abs. 1 DSGVO und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offengelegt werden, so dass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?

c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte im Sinne von Art. 15 Abs. 4 DSGVO durch die Schaffung der unter Punkt 3.b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen im Sinne von Art. 15 Abs. 1 DSGVO bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?

4. a) Wie ist vorzugehen, wenn die zu erteilende Information im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO auch die Vorgaben eines Geschäftsgeheimnisses im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 Buchst. h DSGVO garantierten Auskunftsrecht und dem durch die Richtlinie 2016/943 geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offengelegt werden, so dass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 auszugehen ist, und ob die vom Verantwortlichen im Sinne von Art. 15 Abs. 1 DSGVO erteilte Information den Tatsachen entspricht?

b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte im Sinne von Art. 15 Abs. 4 DSGVO durch die Schaffung der unter Punkt 4.a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DSGVO völlig zu ermöglichen:

–  Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DSGVO erlauben;

–  Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten;

–  die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden;

–  der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung;

–  Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen;

–  Erklärung, weshalb der Auskunftsberechtigte im Sinne des Art. 15 Abs. 1 Buchst. h DSGVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

–  Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist?

5. Wird durch die Bestimmung des Art. 15 Abs. 4 DSGVO in irgendeiner Weise der Umfang der gemäß Art. 15 Abs. 1 Buchst. h DSGVO zu erteilenden Auskunft beschränkt?

Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 DSGVO beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?

6. Ist die Bestimmung des § 4 Abs. 6 DSG, wonach das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht besteht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde, mit den Vorgaben des Art. 15 Abs. 1 in Verbindung mit Art. 22 Abs. 3 DSGVO vereinbar? Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?

 

Verfahren vor dem Gerichtshof

34        Mit Entscheidung vom 8. Dezember 2022 hat der Präsident des Gerichtshofs das vorliegende Verfahren bis zu der das Verfahren beendenden Entscheidung in der Rechtssache C‑634/21, SCHUFA Holding u. a. (Scoring), ausgesetzt.

 

35        Gemäß der Entscheidung des Präsidenten des Gerichtshofs vom 13. Dezember 2023 hat die Kanzlei des Gerichtshofs dem vorlegenden Gericht das Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:957), zugestellt und es gebeten, mitzuteilen, ob es unter Berücksichtigung dieses Urteils sein Vorabentscheidungsersuchen aufrechterhalten wolle.

 

36        Mit Schreiben, das am 29. Januar 2024 bei der Kanzlei des Gerichtshofs eingegangen ist, hat das vorlegende Gericht mitgeteilt, sein Vorabentscheidungsersuchen aufrechtzuerhalten, da das Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:957), keine Antwort auf die Fragen ermögliche, die es in dieser Sache vorgelegt habe.

 

37        Mit Entscheidung vom 14. Februar 2024 hat der Präsident des Gerichtshofs die Fortsetzung des vorliegenden Verfahrens angeordnet.

 

Zu den Vorlagefragen

Zur ersten und zur zweiten Vorlagefrage sowie zur Vorlagefrage 3.a)

38        Mit der ersten und der zweiten Vorlagefrage sowie mit der Vorlagefrage 3.a), die gemeinsam zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, umfassend die Verfahren und die Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.

 

39        Nach ständiger Rechtsprechung des Gerichtshofs sind bei der Auslegung einer Bestimmung des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 19 sowie die dort angeführte Rechtsprechung).

 

40        Was zunächst den Wortlaut von Art. 15 Abs. 1 Buchst. h DSGVO betrifft, ist darauf hinzuweisen, dass zum einen die Bedeutungen des Ausdrucks „aussagekräftige Informationen“ im Sinne dieser Bestimmung in ihren verschiedenen Sprachfassungen auseinandergehen – in einigen Fassungen wird, wie in der französischen, auf die Funktionalität („nuttige“ in der niederländischen, „úteis“ in der portugiesischen) oder die Relevanz („pertinente“ in der rumänischen) der zu übermittelnden Informationen abgestellt, während das Augenmerk in anderen Fassungen eher auf der Bedeutung dieser Informationen liegt („significativa“ in der spanischen und „istotne“ in der polnischen Fassung). Schließlich können die in der deutschen und in der englischen Fassung dieser Bestimmung verwendeten Begriffe („aussagekräftig“ bzw. „meaningful“) jeweils sowohl dahin verstanden werden, dass auf die gute Verständlichkeit der Informationen abgestellt wird, als auch dahin, dass es um eine gewisse Qualität der Informationen geht.

 

41        Die Vielfalt der Bedeutungen in den verschiedenen Sprachfassungen ist im Sinne einer Komplementarität der in der vorstehenden Randnummer wiedergegebenen Bedeutungen zu verstehen, was bei der Auslegung des Ausdrucks „aussagekräftige Informationen über die involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu berücksichtigen ist, wie im Wesentlichen vom Generalanwalt in Nr. 65 der Schlussanträge ausgeführt.

 

42        Zum anderen kann, angesichts der allgemein gehaltenen Formulierung, der Verweis auf diese Bestimmung bzw. auf die „involvierte Logik“ einer automatisierten Entscheidungsfindung, die Gegenstand der „aussagekräftigen Informationen“ ist, ein breites Spektrum an „Logiken“ umfassen, die zur Anwendung kommen, wenn personenbezogene Daten oder andere Daten verarbeitet werden, um automationsunterstützt zu einem bestimmten Ergebnis zu gelangen. Diese Auslegung wird durch bestimmte Sprachfassungen der Bestimmung gestützt, in denen Begriffe verwendet werden, die verschiedene Aspekte der gewöhnlichen Bedeutung des Begriffs „Logik“ in sich vereinen. Dies gilt zum Beispiel für die tschechische und die polnische Sprachfassung mit den Begriffen „postupu“ bzw. „zasady“, die mit „Verfahren“ und „Grundsätze“ übersetzt werden können.

 

43        Unter den Wortlaut von Art. 15 Abs. 1 Buchst. h DSGVO sind daher alle Informationen zu subsumieren, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses auf der Grundlage dieser Daten maßgeblich sind.

 

44        Zum Kontext, in den sich der in Art. 15 Abs. 1 Buchst. h DSGVO enthaltene Ausdruck „aussagekräftige Informationen über die involvierte Logik“ einfügt, ist erstens darauf hinzuweisen, dass diese Informationen nur einen Teil der Informationen darstellen, die unter das in dieser Bestimmung vorgesehene Auskunftsrecht fallen, da dieses auch die Informationen zur Tragweite und zu den angestrebten Auswirkungen der in Rede stehenden Verarbeitung für die betroffene Person umfasst.

 

45        Zwar sind diese Informationen, für die gemäß den Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3. Oktober 2017 von der durch Art. 29 der Richtlinie 95/46 eingesetzten Datenschutzgruppe, in der überarbeiteten und am 6. Februar 2018 angenommenen Fassung, „echte, greifbare Beispiele“ anzuführen sind, um sie aussagekräftig und verständlich zu machen, nicht Gegenstand der Fragen des vorlegenden Gerichts, jedoch sind sie als Teil des Kontexts zu berücksichtigen, zu dem der Ausdruck „aussagekräftige Informationen über die involvierte Logik“ gehört.

 

46        Zweitens hat der Gerichtshof zum Umstand, dass der Ausdruck „aussagekräftige Informationen über die involvierte Logik“ auch in Art. 13 Abs. 2 Buchst. f und in Art. 14 Abs. 2 Buchst. g DSGVO vorkommt, bereits festgestellt, dass im Fall einer automatisierten Entscheidungsfindung im Sinne von Art. 22 Abs. 1 DSGVO das in Art. 15 Abs. 1 Buchst. h DSGVO verankerte, diese Informationen betreffende Auskunftsrecht und die zusätzlichen Informationspflichten des Verantwortlichen gemäß Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g DSGVO eine Einheit bilden (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C‑634/21, EU:C:2023:957, Rn. 56).

 

47        Drittens ist, wie im Wesentlichen vom Generalanwalt in den Nrn. 58 bis 60 der Schlussanträge ausgeführt, im Rahmen der kontextuellen Auslegung der für den Fall einer automatisierten Entscheidungsfindung vorgesehenen Auskunftsrechte die Rechtsprechung des Gerichtshofs zu den Anforderungen zu berücksichtigen, die der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO erfüllen muss.

 

48        So ist insbesondere dem Umstand Rechnung zu tragen, dass das in Art. 12 Abs. 1 DSGVO vorgesehene Erfordernis der Transparenz der übermittelten Informationen für sämtliche Daten und Informationen gemäß Art. 15 gilt, einschließlich derjenigen, die automatisierte Entscheidungsfindungen betreffen.

 

49        Um zu gewährleisten, dass die betroffene Person in die Lage versetzt wird, die ihr vom Verantwortlichen übermittelten Informationen in vollem Umfang zu verstehen, verpflichtet Art. 12 Abs. 1 DSGVO den Verantwortlichen, geeignete Maßnahmen zu treffen, um insbesondere der betroffenen Person diese Daten und Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 38).

 

50        Die Prüfung des Kontexts von Art. 15 Abs. 1 Buchst. h DSGVO bestätigt somit die Auslegung, die sich aus der Analyse der in dieser Bestimmung verwendeten Ausdrücke ergibt, wonach „aussagekräftige Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung personenbezogener Daten zwecks Erreichen eines bestimmten Ergebnisses umfassen und diese Informationen aufgrund des Transparenzerfordernisses außerdem in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln sind.

 

51        Zum Zweck der DSGVO ist schließlich darauf hinzuweisen, dass ihr Ziel insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, und zwar insbesondere ihres in Art. 16 AEUV gewährleisteten Rechts auf Schutz der personenbezogenen Daten, das in Art. 8 der Charta als Grundrecht verankert ist und das in Art. 7 der Charta verankerte Recht auf ein Privatleben ergänzt (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Schrems [Mitteilung von Daten an die breite Öffentlichkeit], C‑446/21, EU:C:2024:834, Rn. 45 und die dort angeführte Rechtsprechung).

 

52        Die DSGVO hat also, wie sich aus ihrem elften Erwägungsgrund ergibt, den Zweck, die Rechte der betroffenen Personen zu stärken und präzise festzulegen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 33 und die dort angeführte Rechtsprechung).

 

53        Was konkret das in Art. 15 DSGVO vorgesehene Auskunftsrecht betrifft, muss es der betroffenen Person nach der Rechtsprechung des Gerichtshofs ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden (Urteile vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 34, und vom 26. Oktober 2023, FT [Kopien der Patientenakte], C‑307/22, EU:C:2023:811, Rn. 73).

 

54        Dieses Auskunftsrecht ist erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“) und ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder ihre in den Art. 79 und 82 DSGVO vorgesehenen Rechte auf Einlegung eines gerichtlichen Rechtsbehelfs bzw. auf Schadenersatz auszuüben (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 35).

 

55        Insbesondere im speziellen Kontext des Erlasses einer Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht, bezweckt das Recht der betroffenen Person, die in Art. 15 Abs. 1 Buchst. h DSGVO genannten Informationen zu erhalten, hauptsächlich, ihr die wirksame Ausübung der ihr nach Art. 22 Abs. 3 DSGVO zustehenden Rechte zu ermöglichen, nämlich des Rechts auf Darlegung ihres eigenen Standpunkts und des Rechts auf Anfechtung der Entscheidung.

 

56        Wenn von einer automatisierten Entscheidung – einschließlich Profiling – betroffene Personen nicht in der Lage wären, vor der Darlegung ihres Standpunkts oder der Anfechtung der Entscheidung die Gründe für diese Entscheidung nachzuvollziehen, würden diese Rechte ihren Zweck, diese Personen gegen die besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten verbunden sind, nicht in vollem Umfang erfüllen (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C‑634/21, EU:C:2023:957, Rn. 57).

 

57        Gemäß dem 71. Erwägungsgrund der DSGVO muss die betroffene Person, wenn sie einer Entscheidung unterworfen wird, die ausschließlich auf einer automatisierten Verarbeitung beruht und die sie erheblich beeinträchtigt, das Recht auf Erläuterung dieser Entscheidung haben. Wie vom Generalanwalt in Nr. 67 seiner Schlussanträge ausgeführt, bietet Art. 15 Abs. 1 Buchst. h DSGVO der betroffenen Person also ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem diese Entscheidung geführt hat.

 

58        Aus der Prüfung der Ziele der DSGVO und insbesondere von Art. 15 Abs. 1 Buchst. h DSGVO ergibt sich, dass das Recht auf „aussagekräftige Informationen über die involvierte Logik“ bei einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung als ein Recht auf Erläuterung des Verfahrens und der Grundsätze zu verstehen ist, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen, um auf der Grundlage dieser Daten zu einem bestimmten Ergebnis – etwa einem Bonitätsprofil – zu gelangen. Damit die betroffene Person die ihr durch die DSGVO und insbesondere deren Art. 22 Abs. 3 gewährten Rechte wirksam ausüben kann, müssen im Rahmen dieser Erläuterung die relevanten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form übermittelt werden.

 

59        Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.

 

60        Wie sich aus S. 28 der in Rn. 45 des vorliegenden Urteils genannten Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 ergibt, sollte nämlich zum einen der Verantwortliche einfache Möglichkeiten finden, die betroffene Person über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren. Zum anderen verpflichtet die DSGVO den Verantwortlichen zur Übermittlung aussagekräftiger Informationen über die involvierte Logik, „nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus“.

 

61        Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.

 

62        Was konkret ein Profiling wie das im Ausgangsverfahren in Rede stehende betrifft, könnte das vorlegende Gericht es insbesondere als ausreichend transparent und nachvollziehbar erachten, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.

 

63        Ferner ist zur Frage, ob die übermittelten Informationen der betroffenen Person eine Überprüfung der Richtigkeit der sie betreffenden, der automatisierten Entscheidungsfindung zugrunde liegenden personenbezogenen Daten ermöglichen müssen, darauf hinzuweisen, dass das Recht auf Auskunft über diese Daten nicht durch Art. 15 Abs. 1 Buchst. h DSGVO begründet wird, sondern durch den einleitenden Satz von Art. 15 Abs. 1 DSGVO, der der betroffenen Person das Recht gewährleistet, die Richtigkeit dieser Daten zu überprüfen; dies ergibt sich aus der in Rn. 53 des vorliegenden Urteils wiedergegebenen Rechtsprechung.

 

64        Schließlich ist zur Feststellung des vorlegenden Gerichts, wonach die CK von D & B gemäß Art. 15 Abs. 1 Buchst. h DSGVO übermittelten Informationen tatsachenwidrig seien, da CK gemäß dem „tatsächlichen“ Profiling als nicht zahlungskräftig anzusehen sei, obwohl die genannten Informationen das Gegenteil nahelegten, darauf hinzuweisen, dass zwar dem vorlegenden Gericht zufolge die so festgestellte Nichtübereinstimmung darauf zurückzuführen ist, dass D & B CK nicht über das ihre Person betreffende Profiling informiert habe, das für den Mobilfunkanbieter erstellt worden sei und auf dessen Grundlage CK der Abschluss bzw. die Verlängerung eines Vertrags verweigert worden sei, dies aber im Wege des Rechts auf Auskunft über das so erstellte Bonitätsprofil zu beheben wäre. Hierzu ergibt sich aus der Rechtsprechung des Gerichtshofs, dass die vom Verantwortlichen selbst erzeugten personenbezogenen Daten unter Art. 14 DSGVO fallen (vgl. in diesem Sinne Urteil vom 28. November 2024, Másdi, C‑169/23, EU:C:2024:988, Rn. 48).

 

65        Eine Erläuterung der Unterschiede zwischen dem Ergebnis eines solchen „tatsächlichen“ Profilings – seine Durchführung unterstellt – und dem CK von D & B mitgeteilten Ergebnis, das D & B zufolge mittels „gleichwertiger Gewichtung“ der CK betreffenden Daten zustande kam, fällt hingegen sehr wohl unter „aussagekräftige Informationen über die involvierte Logik“ des so erstellten Profilings. Im Einklang mit den Ausführungen in Rn. 58 des vorliegenden Urteils müsste D & B also in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze erläutern, anhand derer das „tatsächliche“ Profiling erstellt wurde.

 

66        Gemäß den vorstehenden Ausführungen ist auf die erste und die zweite Vorlagefrage sowie die Vorlagefrage 3.a) zu antworten, dass Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.

 

 Zu den Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie zur fünften und zur sechsten Vorlagefrage

 

67        Mit den Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie der fünften und der sechsten Vorlagefrage, die gemeinsam zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.

 

68        Nach dem vierten Erwägungsgrund der DSGVO ist das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht und muss unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Somit steht die DSGVO im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Verträgen verankert sind (Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C‑307/22, EU:C:2023:811, Rn. 59 und die dort angeführte Rechtsprechung).

 

69        Außerdem sollte gemäß dem 63. Erwägungsgrund dieser Verordnung das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen.

 

70        Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Art. 23 Abs. 1 Buchst. i DSGVO sieht hierzu im Wesentlichen vor, dass eine Beschränkung des Umfangs der u. a. in Art. 15 DSGVO vorgesehenen Pflichten und Rechte nur möglich ist, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz der Rechte und Freiheiten anderer Personen sicherstellt.

 

71        Zum verwandten, in Art. 15 Abs. 4 DSGVO verankerten Recht auf Erhalt einer Kopie hat der Gerichtshof bereits festgestellt, dass dessen Ausübung die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen sollte (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 43).

 

72        In diesem Zusammenhang hat der Gerichtshof entschieden, dass im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen die fraglichen Rechte gegeneinander abzuwägen sind. Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen „nicht dazu führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird“, wie sich aus dem 63. Erwägungsgrund der DSGVO ergibt (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C‑487/21, EU:C:2023:369, Rn. 44).

 

73        \sZur Frage, wie das Auskunftsrecht gemäß Art. 15 Abs. 1 Buchst. h DSGVO so umgesetzt werden kann, dass die Rechte und Freiheiten anderer Personen gewahrt werden, ist darauf hinzuweisen, dass ein nationales Gericht nach der Rechtsprechung der Ansicht sein kann, dass ihm personenbezogene Daten von Parteien oder Dritten übermittelt werden müssen, damit es in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit die betroffenen Interessen abwägen kann. Diese Beurteilung kann es gegebenenfalls dazu veranlassen, die vollständige oder teilweise Offenlegung der ihm so übermittelten personenbezogenen Daten gegenüber der Gegenpartei zuzulassen, wenn es der Auffassung ist, dass eine solche Offenlegung nicht über das hinausgeht, was erforderlich ist, um die effektive Wahrnehmung der Rechte zu gewährleisten, die den Rechtsuchenden aus Art. 47 der Charta erwachsen (Urteil vom 2. März 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, Rn. 58).

 

74        Wie vom Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt, kann diese Rechtsprechung uneingeschränkt auf den Fall übertragen werden, dass die Informationen, die der betroffenen Person im Rahmen des durch Art. 15 Abs. 1 Buchst. h DSGVO garantierten Auskunftsrechts zur Verfügung gestellt werden müssen, geeignet sind, zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen zu führen, insbesondere, da sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 enthalten. Auch in diesem Fall sind diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des Rechts der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten zu ermitteln.

 

75        Hinsichtlich der Notwendigkeit, dies von Fall zu Fall zu ermitteln, steht Art. 15 Abs. 1 Buchst. h DSGVO insbesondere der Anwendung einer Bestimmung wie § 4 Abs. 6 DSG entgegen, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde. Ein Mitgliedstaat kann das Ergebnis einer durch das Unionsrecht vorgegebenen, auf Einzelfallbasis durchzuführenden Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C‑634/21, EU:C:2023:957, Rn. 70 und die dort angeführte Rechtsprechung).

 

76        Angesichts der vorstehenden Ausführungen ist auf die Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie auf die fünfte und die sechste Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.

 

 Kosten

 

77        Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

stats