EuGH-Schlussanträge: SCHUFA – Automatisierte Erstellung eines Wahrscheinlichkeitswerts über Fähigkeit einer Person, einen Kredit zu bedienen, ist Profiling i. S. d. DSGVO
GA Pikamäe, Schlussanträge vom 16.3.2023 – C-634/21, OQ gegen Land Hessen
ECLI:EU:C:2023:220
Volltext: BB-Online BBL2023-706-1
unter www.betriebs-berater.de
1. Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
2. Art. 6 Abs. 1 und Art. 22 der Verordnung 2016/679 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften über das Profiling nicht entgegenstehen, wenn es sich um ein anderes Profiling als das in Art. 22 Abs. 1 dieser Verordnung vorgesehene handelt. In diesem Fall müssen die nationalen Rechtsvorschriften jedoch die Anforderungen von Art. 6 dieser Verordnung erfüllen. Insbesondere müssen sie sich auf eine geeignete Rechtsgrundlage stützen, was zu prüfen Sache des vorlegenden Gerichts ist.
I. Einleitung
1. Das vorliegende Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden (Deutschland) nach Art. 267 AEUV betrifft die Auslegung von Art. 6 Abs. 1 und von Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2) (im Folgenden: DSGVO).
2. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Klägerin, OQ, einer natürlichen Person, und dem Land Hessen (Deutschland), vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), über den Schutz personenbezogener Daten. Die SCHUFA Holding AG (im Folgenden: SCHUFA), eine privatrechtliche Agentur, unterstützt den HBDI als Streithelferin. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Informationen zur Kreditwürdigkeit Dritter zu versorgen, lieferte SCHUFA einem Kreditinstitut einen Score-Wert für die Klägerin, der als Grundlage für die Verweigerung des von dieser beantragten Kredits diente. Die Klägerin forderte SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihr Zugang zu den entsprechenden Daten zu gewähren, aber Letztere teilte ihr nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihr aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde, und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.
3. Soweit die Klägerin geltend macht, die Ablehnung ihres Ersuchens durch SCHUFA verstoße gegen die Datenschutzregelung, wird der Gerichtshof über die Beschränkungen, die die DSGVO der wirtschaftlichen Tätigkeit der Auskunftei im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist, zu entscheiden haben. Ebenso wird der Gerichtshof den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch bestimmte Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.
II. Rechtlicher Rahmen
A. Unionsrecht
4. Art. 4 Nr. 4 DSGVO bestimmt:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
4. ‚Profiling‘ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
5. In Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
6. Art. 15 („Auskunftsrecht der betroffenen Person“) DSGVO bestimmt:
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
…
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
…“
7. Art. 21 („Widerspruchsrecht“) DSGVO lautet:
„(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
…“
8. In Art. 22 („Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“) DSGVO heißt es:
„(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.“
B. Deutsches Recht
9. § 31 („Schutz des Wirtschaftsverkehrs bei Scoring [Erstellung von Score-Werten] und Bonitätsauskünften“) des Bundesdatenschutzgesetzes vom 30. Juni 2017(3) in der durch das Gesetz vom 20. November 2019(4) geänderten Fassung (im Folgenden: BDSG) bestimmt:
„(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1. die Vorschriften des Datenschutzrechts eingehalten wurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
4. im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.“
III. Sachverhalt, Ausgangsverfahren und Vorlagefragen
10. Aus dem Vorlagebeschluss geht hervor, dass die Klägerin des Ausgangsverfahrens aufgrund einer von SCHUFA vorgenommenen Bonitätsbewertung keinen Kredit erhalten hat. SCHUFA ist eine Gesellschaft des Privatrechts, die eine Kreditauskunftei betreibt und ihre Kunden mit Informationen zur Kreditwürdigkeit der Verbraucher versorgt. Dazu nimmt die Gesellschaft Bonitätseinschätzungen vor, wofür aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert wird.
11. Die Klägerin forderte SCHUFA auf, die sie betreffenden falschen Eintragungen zu löschen und ihr Auskunft über die sie betreffenden gespeicherten Daten zu erteilen. SCHUFA teilte der Klägerin u. a. den für diese berechneten Score-Wert sowie die grundsätzliche Funktionsweise ihrer Score-Wert-Berechnung mit, nicht jedoch, mit welcher Gewichtung die verschiedenen Daten in die Berechnung einfließen. SCHUFA ist der Ansicht, sie sei nicht zur Offenlegung der Berechnungsmethoden verpflichtet, da sie unter das Betriebs- und Geschäftsgeheimnis fielen. Außerdem lasse sie ihren Vertragspartnern lediglich Informationen zukommen, Letztere träfen die eigentlichen Entscheidungen über die Kreditverträge.
12. Gegen die Auskunft von SCHUFA erhob die Klägerin Beschwerde beim Beklagten, einem Datenschutzbeauftragten, mit dem Begehren, der Beklagte solle gegenüber der Gesellschaft verfügen, dass sie dem Begehren der Klägerin auf Auskunft über die Daten und deren Löschung nachzukommen habe. In dem Bescheid über die Beschwerde lehnte der HBDI ein weiteres Tätigwerden gegenüber der Gesellschaft mit der Begründung ab, dass diese den Anforderungen des deutschen Bundesdatenschutzgesetzes genüge.
13. Das vorlegende Gericht ist mit einer Klage der Klägerin gegen den Bescheid des Beklagten befasst. Das Gericht ist der Ansicht, dass es für die Entscheidung des Ausgangsrechtsstreits darauf ankomme, ob die Tätigkeit von Kreditauskunfteien, Score-Werte über Personen zu erstellen und diese ohne weiter gehende Empfehlung oder Bemerkung an Dritte zu übermitteln, in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO falle.
14. Das Verwaltungsgericht Wiesbaden hat beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Ist Art. 22 Abs. 1 DSGVO dahin gehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt?
2. Falls die erste Vorlagefrage zu verneinen ist: Sind Art. 6 Abs. 1 und Art. 22 DSGVO dahin gehend auszulegen, dass sie einer innerstaatlichen Regelung entgegenstehen, nach der die Verwendung eines Wahrscheinlichkeitswerts – vorliegend über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei der Einbeziehung von Informationen über Forderungen – über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nur zulässig ist, wenn bestimmte weitere Voraussetzungen, die in der Vorlagebegründung näher ausgeführt sind, erfüllt sind?
IV. Verfahren vor dem Gerichtshof
15. Der Vorlagebeschluss vom 1. Oktober 2021 ist am 15. Oktober 2021 bei der Kanzlei des Gerichtshofs eingegangen.
16. Die Parteien des Ausgangsverfahrens, SCHUFA, die dänische, die portugiesische und die finnische Regierung sowie die Europäische Kommission haben innerhalb der in Art. 23 der Satzung des Gerichtshofs der Europäischen Union gesetzten Frist schriftliche Erklärungen eingereicht.
17. In der Sitzung vom 26. Januar 2023 haben die Prozessbevollmächtigten der Parteien des Ausgangsverfahrens, von SCHUFA sowie die Bevollmächtigten der deutschen und der finnischen Regierung sowie der Kommission mündliche Ausführungen gemacht.
V. Rechtliche Würdigung
A. Vorbemerkungen
18. Da das gegenseitige Vertrauen die Grundlage jeder vertraglichen Verpflichtung in einer Marktwirtschaft bildet, ist es aus unternehmerischer Sicht grundsätzlich verständlich, dass die Anbieter von Dienstleistungen und Waren ihre Kunden sowie die mit einer solchen vertraglichen Verpflichtung verbundenen Risiken kennen möchten. Die Auskunfteien können zur Stärkung dieses gegenseitigen Vertrauens durch statistische Methoden beitragen, mit denen die Unternehmen feststellen können, ob bestimmte relevante Kriterien, einschließlich der Kreditwürdigkeit ihrer Kunden, im gegebenen Fall erfüllt sind. Damit helfen sie den Unternehmen, verschiedenen Bestimmungen des Unionsrechts nachzukommen, das ihnen gerade für bestimmte Arten von Verträgen, u. a. für Kreditverträge, eine solche Verpflichtung auferlegt(5). Einige der verwendeten Methoden können sich auf personenbezogene Daten der Kunden stützen, die mittels Computertechnologie automatisiert erhoben und verarbeitet werden. Diesem Interesse steht das Interesse der betroffenen Personen entgegen, zu erfahren, wie diese Daten verwaltet und gespeichert werden und welche Methoden die Unternehmen für Entscheidungen gegenüber ihren Kunden anwenden.
19. Die DSGVO, die seit dem 25. Mai 2018 gilt, hat einen rechtlichen Rahmen geschaffen, der darauf abzielt, den angeführten Interessen in der gesamten Union Rechnung zu tragen, insbesondere indem sie die Verarbeitung personenbezogener Daten bestimmten Beschränkungen unterwirft. Daher gelten für eine automatisierte Verarbeitung, die gegenüber einer natürlichen Person rechtliche Wirkung entfalten kann oder sie erheblich beeinträchtigt, besondere Beschränkungen. Diese Beschränkungen sind im Rahmen eines Profiling, d. h. einer Bewertung der persönlichen Aspekte zur Analyse oder Prognose der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer natürlichen Person, gerechtfertigt. In diesem Kontext ist auf die in der vorliegenden Rechtssache relevanten Beschränkungen nach Art. 22 DSGVO hinzuweisen, die die Wahrung der menschlichen Würde bezwecken und verhindern, dass die betroffene Person einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird, ohne dass es irgendein Eingreifen einer Person gibt, die gegebenenfalls kontrollieren könnte, ob diese Entscheidung ordnungsgemäß, gerecht und diskriminierungsfrei getroffen wurde(6). Das Eingreifen einer Person, das im Rahmen dieser Art automatisierter Datenverarbeitung vorzusehen ist, garantiert, dass die betroffene Person die Möglichkeit hat, ihren eigenen Standpunkt darzulegen, eine Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung zu erhalten und die Entscheidung anzufechten, wenn sie mit dieser nicht einverstanden ist. Der Umfang der in Art. 22 DSGVO vorgesehenen Beschränkungen ist gerade Gegenstand der ersten Vorlagefrage.
20. Zwar hat die DSGVO einen umfassenden Rechtsrahmen für den Schutz personenbezogener Daten geschaffen, der grundsätzlich vollständig ist, doch ist darauf hinzuweisen, dass gewisse Bestimmungen dieser Verordnung den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, die ihnen einen Ermessensspielraum hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“), soweit diese Vorschriften nicht gegen den Inhalt und die Ziele der DSGVO verstoßen(7) Die Tragweite dieser verbleibenden Regelungsbefugnis der Mitgliedstaaten steht im Mittelpunkt der zweiten Vorlagefrage, die in den vorliegenden Schlussanträgen zu prüfen ist.
B. Zur Zulässigkeit
21. Der HBDI und SCHUFA halten das Vorabentscheidungsersuchen für unzulässig. Insoweit macht SCHUFA geltend, die Vorlage sei weder für die Entscheidung des Rechtsstreits erforderlich noch hinreichend begründet, sie würde einen zweiten Rechtsbehelf eröffnen und stehe im Widerspruch zu den anderen Vorabentscheidungsersuchen, die von demselben vorlegenden Gericht gestellt und dann zurückgenommen worden seien.
1. Die entscheidende Bedeutung der Vorlagefragen für die Lösung des Rechtsstreits
22. Zunächst ist es nach ständiger Rechtsprechung des Gerichtshofs im Rahmen der durch Art. 267 AEUV geschaffenen Zusammenarbeit zwischen ihm und den nationalen Gerichten allein Sache des mit dem Rechtsstreit befassten nationalen Gerichts, in dessen Verantwortungsbereich die zu erlassende gerichtliche Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung zum Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof vorgelegten Fragen zu beurteilen. Daher ist der Gerichtshof grundsätzlich gehalten, über ihm vorgelegte Fragen zu befinden, wenn sie die Auslegung oder die Gültigkeit einer unionsrechtlichen Regelung betreffen. Folglich spricht eine Vermutung für die Entscheidungserheblichkeit der Fragen zum Unionsrecht. Der Gerichtshof kann es nur dann ablehnen, über eine Vorlagefrage eines nationalen Gerichts zu befinden, wenn die erbetene Auslegung oder Beurteilung der Gültigkeit einer unionsrechtlichen Regelung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind(8).
23. Diese Voraussetzungen sind im vorliegenden Fall nicht erfüllt, da aus Rn. 40 des Vorlagebeschlusses klar hervorgeht, dass der Ausgang des Verfahrens von der ersten Vorlagefrage abhängt. Das vorlegende Gericht führt aus, dass, wenn Art. 22 Abs. 1 DSGVO dahin auszulegen sein sollte, dass die Erstellung eines Score-Wertes durch eine Wirtschaftsauskunftei eine eigenständige Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO sei, diese Gesellschaft bzw. ihre maßgebliche Tätigkeit dem Verbot der automatisierten Einzelfallentscheidung unterfiele. Es bedürfte infolgedessen einer mitgliedstaatlichen Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO, für die einzig § 31 BDSG in Betracht komme. Bezüglich der Vereinbarkeit dieser Bestimmung mit Art. 22 Abs. 1 DSGVO bestünden aber gerade durchgreifende Bedenken. SCHUFA würde nicht nur rechtsgrundlos handeln, sondern verstieße auch gegen das Verbot nach Art. 22 Abs. 1 DSGVO. Infolgedessen hätte die Klägerin einen Anspruch gegen den HBDI auf aufsichtsbehördliche (Weiter‑)Befassung mit ihrem Fall. Es liegt daher auf der Hand, dass einer Antwort auf die Fragen des vorlegenden Gerichts für die Lösung des Rechtsstreits entscheidende Bedeutung zukommt.
24. SCHUFA macht ferner geltend, das Vorabentscheidungsersuchen sei unzulässig, weil die Klägerin bereits über die Logik des Score-Wertes informiert worden sei. Aus der Vorlageentscheidung geht jedoch hervor, dass die Klägerin so ausführlich wie möglich über sämtliche erhobenen Daten und über die Methode zur Bestimmung des Score-Wertes informiert werden wollte. Da SCHUFA der Klägerin in groben Zügen die grundsätzliche Funktionsweise ihrer Score-Wert-Berechnung mitteilte, nicht jedoch, welche Einzelinformationen mit welcher Gewichtung in die Berechnung einfließen, ist offensichtlich, dass SCHUFA diesem Auskunftsersuchen nicht nachgekommen ist. Folglich hat die Klägerin ein berechtigtes Interesse daran, im Wege eines Vorabentscheidungsersuchens die Rechte der betroffenen Person gegenüber einer Auskunftei wie SCHUFA feststellen zu lassen.
2. Das Vorliegen zweier paralleler Rechtsbehelfe
25. Zur angeblichen Gefahr, für die betroffene Person einen zweiten Rechtsbehelf zu eröffnen, ist festzustellen, dass entgegen dem Vorbringen von SCHUFA in ihren Erklärungen die Tatsache, dass die Klägerin zunächst die ordentlichen Gerichte angerufen und sodann das vorlegende Verwaltungsgericht angerufen hatte, der Zulässigkeit des Vorabentscheidungsersuchens nicht entgegensteht. Mit ihren beiden Rechtsbehelfen machte die Klägerin von den in den Art. 78 und 79 DSGVO vorgesehenen Rechtsbehelfen Gebrauch, die das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde bzw. den für die Verarbeitung Verantwortlichen gewährleisten. Da diese Rechtsbehelfe unabhängig voneinander und ohne ein Subsidiaritätsverhältnis nebeneinander bestehen, können sie parallel eingelegt werden(9). Der Klägerin kann daher kein Fehler bei der Verteidigung ihrer durch die DSGVO geschützten Rechte vorgeworfen werden.
26. Außerdem ist es nach ständiger Rechtsprechung des Gerichtshofs mangels einer einschlägigen Unionsregelung Sache der Rechtsordnung jedes einzelnen Mitgliedstaats, die zuständigen Gerichte zu bezeichnen und die Verfahrensmodalitäten für Klagen zu regeln, die den Schutz der den Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleisten sollen(10). Daher gibt es keinen objektiven Grund, die Regelung der Rechtsbehelfe eines Mitgliedstaats in Frage zu stellen, außer in den Fällen, in denen die Wirksamkeit des Unionsrechts gefährdet wäre, z. B., wenn den nationalen Gerichten die Möglichkeit genommen würde oder sie von der nach Art. 267 AEUV vorgesehenen Verpflichtung befreit wären, dem Gerichtshof Fragen nach der Auslegung oder der Gültigkeit des Unionsrechts vorzulegen.
27. Im vorliegenden Fall gibt es keinen Anhaltspunkt dafür, dass das Vorliegen zweier Rechtsbehelfe, die einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde bzw. den für die Verarbeitung Verantwortlichen ermöglichen, die Wirksamkeit des Unionsrechts gefährdet oder den nationalen Gerichten die Möglichkeit nimmt, auf das in Art. 267 AEUV vorgesehene Verfahren zurückzugreifen. Wie ich bereits erläutert habe, ist es im Gegenteil nach den Art. 78 und 79 DSGVO offensichtlich, dass die DSGVO einer solchen Rechtsbehelfsregelung nicht entgegensteht, sondern es vielmehr in vollem Einklang mit dem Grundsatz der Verfahrensautonomie dem Mitgliedstaat überlässt, die zuständigen Gerichte zu bezeichnen und die Verfahrensmodalitäten für Klagen zu regeln. Der Gerichtshof hat dies in seiner jüngeren Rechtsprechung anerkannt(11).
28. Schließlich ist anzumerken, dass sich SCHUFA darauf beschränkt, die nach deutschem Recht eröffneten Rechtsbehelfe zu beanstanden, ohne jedoch genau zu erläutern, inwiefern ein Urteil des Gerichtshofs im vorliegenden Vorabentscheidungsverfahren für die Entscheidung des Rechtsstreits nicht erforderlich wäre. Wie das vorlegende Gericht ausführt, würde eine Auslegung von Art. 22 Abs. 1 DSGVO durch den Gerichtshof es dem Beklagten ermöglichen, seine Aufsichtsbefugnisse gegenüber SCHUFA im Einklang mit dem Unionsrecht auszuüben. Folglich scheint mir das Vorbringen von SCHUFA, mit dem die Zulässigkeit des Vorabentscheidungsersuchens in Abrede gestellt wird, unbegründet zu sein.
3. Das angebliche Fehlen einer Begründung des Vorabentscheidungsersuchens
29. Diese Erwägungen genügen grundsätzlich, um das Vorbringen von SCHUFA zurückzuweisen. Im Interesse eines besseren Verständnisses der vorliegenden Rechtssache halte ich es gleichwohl für erforderlich, auf das Vorbringen einer fehlenden Begründung des Vorabentscheidungsersuchens einzugehen. Entgegen dem Vorbringen von SCHUFA legt der Vorlagebeschluss die Bedeutung der vorliegenden Rechtssache hinreichend substantiiert dar, um den Anforderungen von Art. 94 Buchst. c der Verfahrensordnung des Gerichtshofs zu genügen. Konkret erläutert das vorlegende Gericht, dass die Klägerin ihre Rechte gegenüber SCHUFA geltend machen wolle. Nach Ansicht des vorlegenden Gerichts ist Art. 22 Abs. 1 DSGVO, außer bei einer restriktiven Auslegung, grundsätzlich geeignet, ihr Schutz gegen eine automatisierte Verarbeitung ihrer personenbezogenen Daten zu bieten.
30. Das vorlegende Gericht ist der Ansicht, dass angesichts der Bedeutung, die bestimmte Unternehmen der durch die Wirtschaftsauskunfteien vorgenommenen Erstellung eines Score-Wertes zur prognostischen Bewertung der wirtschaftlichen Leistungsfähigkeit einer natürlichen Person einräumen, dieser Score-Wert als eine eigenständige „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO angesehen werden könne. Eine solche Auslegung sei erforderlich, um eine rechtliche Lücke zu schließen, die sich daraus ergebe, dass die betroffene Person sonst nicht in der Lage sei, die erforderlichen Informationen nach Art. 15 Abs. 1 Buchst. h DSGVO zu erlangen. Angesichts dieser detaillierten Begründung bin ich der Ansicht, dass das Vorbringen von SCHUFA zurückzuweisen und das Vorabentscheidungsersuchen für zulässig zu erklären ist.
C. Zur Begründetheit
1. Zur ersten Vorlagefrage
a) Das allgemeine Verbot in Art. 22 Abs. 1 DSGVO
31. Art. 22 Abs. 1 DSGVO weist eine Besonderheit gegenüber den anderen Beschränkungen der Datenverarbeitung in dieser Verordnung auf, da er ein „Recht“ der betroffenen Person verankert, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Ungeachtet der verwendeten Terminologie erfordert die Anwendung von Art. 22 Abs. 1 DSGVO nicht, dass sich die betroffene Person aktiv auf das Recht beruft. Denn eine Auslegung im Licht des 71. Erwägungsgrundes dieser Verordnung und unter Berücksichtigung der Systematik dieser Bestimmung, insbesondere ihres Abs. 2, in dem die Fälle aufgeführt sind, in denen eine automatisierte Verarbeitung ausnahmsweise zulässig ist, lässt den Schluss zu, dass diese Bestimmung ein allgemeines Verbot der Entscheidungen der oben beschriebenen Art aufstellt. Dies vorausgeschickt, ist darauf hinzuweisen, dass dieses Verbot nur unter ganz spezifischen Umständen gilt, nämlich konkret für Entscheidungen, „die [der betroffenen Person] gegenüber rechtliche Wirkung entfalte[n]“ oder „sie in ähnlicher Weise erheblich beeinträchtig[en]“.
32. Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob die Score-Wert-Berechnung durch eine Kreditauskunftei unter Art. 22 Abs. 1 DSGVO fällt, wenn der ermittelte Score-Wert an ein Unternehmen übermittelt wird, das ihn einer Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt. Es geht mit anderen Worten darum, ob diese Bestimmung auf Kreditauskunfteien anwendbar ist, die die Score-Werte den Finanzunternehmen zur Verfügung stellen. Die Prüfung dieser Frage erfordert die Feststellung, ob die in Art. 22 Abs. 1 DSGVO genannten Voraussetzungen im vorliegenden Fall erfüllt sind.
b) Anwendbarkeit von Art. 22 Abs. 1 DSGVO
1) Das Vorliegen eines „Profiling“ im Sinne von Art. 4 Nr. 4 DSGVO
33. Diese Bestimmung verlangt zunächst, dass es eine automatisierte Verarbeitung personenbezogener Daten gibt, da das „Profiling“ nach seinem Wortlaut als eine Unterkategorie davon betrachtet wird(12). Insoweit ist darauf hinzuweisen, dass das von SCHUFA durchgeführte „Scoring“ unter die Legaldefinition in Art. 4 Nr. 4 DSGVO fällt, da sich dieses Verfahren personenbezogener Daten bedient, um bestimmte Aspekte, die sich auf natürliche Personen beziehen, zu bewerten, um Aspekte bezüglich ihrer wirtschaftlichen Lage, ihrer Zuverlässigkeit und ihres wahrscheinlichen Verhaltens zu analysieren oder vorherzusagen. Aus den Verfahrensakten geht nämlich hervor, dass die von SCHUFA angewandte Methode auf der Grundlage bestimmter Kriterien einen „Score-Wert“ liefert, d. h. ein Ergebnis, das Rückschlüsse auf die Kreditwürdigkeit der betroffenen Person erlaubt. Schließlich möchte ich betonen, dass keiner der Beteiligten die Einstufung des in Rede stehenden Verfahrens als „Profiling“ in Frage stellt, so dass diese Voraussetzung im vorliegenden Fall als erfüllt angesehen werden kann.
2) Die Entscheidung muss gegenüber der betroffenen Person „rechtliche Wirkung“ entfalten oder „sie in ähnlicher Weise erheblich beeinträchtig[en]“
34. Die Anwendung von Art. 22 Abs. 1 DSGVO verlangt, dass die fragliche Entscheidung gegenüber der betroffenen Person „rechtliche Wirkung“ entfaltet oder sie „in ähnlicher Weise erheblich beeinträchtigt“. Die DSGVO erkennt somit an, dass eine automatisierte Entscheidungsfindung einschließlich Profiling für die betroffenen Personen schwerwiegende Folgen haben kann. Zwar werden in der DSGVO weder die „rechtliche Wirkung“ noch die Formulierung „in ähnlicher Weise erheblich beeinträchtigt“ näher definiert; allerdings wird anhand der Wortwahl klar, dass diese Bestimmung nur schwerwiegende Auswirkungen abdeckt. Insoweit ist zunächst darauf hinzuweisen, dass der 71. Erwägungsgrund der DSGVO ausdrücklich die „automatische Ablehnung eines Online-Kreditantrags“ als typisches Beispiel einer Entscheidung nennt, die die betroffene Person „erheblich“ beeinträchtigt.
35. Sodann ist zum einen zu berücksichtigen, dass, da die Bearbeitung eines Kreditantrags ein dem Abschluss eines Darlehensvertrags vorausgehender Schritt ist, die Ablehnung eines solchen Antrags „rechtliche Wirkung“ für die betroffene Person haben kann, da sie nicht mehr in den Genuss einer vertraglichen Beziehung mit dem in Rede stehenden Finanzinstitut kommen kann. Zum anderen ist darauf hinzuweisen, dass sich eine solche Ablehnung auch auf die finanzielle Situation der betroffenen Person auswirken kann. Daher ist der Schluss logisch, dass diese Person jedenfalls im Sinne dieser Bestimmung „in ähnlicher Weise“ beeinträchtigt sein wird. Der Unionsgesetzgeber scheint sich dessen bei der Abfassung des 71. Erwägungsgrundes der DSGVO bewusst gewesen zu sein, in dessen Licht Art. 22 Abs. 1 dieser Verordnung auszulegen ist. Daher bin ich der Ansicht, dass in Anbetracht der Situation, in der sich die Klägerin befindet, die Voraussetzungen dieser Bestimmung im vorliegenden Fall erfüllt sind, unabhängig davon, ob auf die rechtlichen oder wirtschaftlichen Folgen der Weigerung, einen Kredit zu gewähren, abgestellt wird.
3) Die „Entscheidung“ muss „ausschließlich auf einer automatisierten Verarbeitung [beruhen]“
36. Zwei zusätzliche Voraussetzungen müssen erfüllt sein. Erstens ist es erforderlich, dass eine Handlung, die die Rechtsnatur einer „Entscheidung“ hat, gegenüber der betroffenen Person vorgenommen wird. Zweitens muss die fragliche Entscheidung „ausschließlich auf einer automatisierten Verarbeitung [beruhen]“. Was die letztgenannte Voraussetzung angeht, so deutet nichts in der Sachverhaltsdarstellung des Vorlagebeschlusses darauf hin, dass zusätzlich zu dem von SCHUFA angewandten mathematischen und statistischen Verfahren die Score-Werte in irgendeiner Weise maßgeblich durch eine individuelle Bewertung und Einschätzung durch einen Menschen festgelegt worden wären. Folglich ist davon auszugehen, dass die Ermittlung des Score-Wertes als Handlung von SCHUFA „ausschließlich auf einer automatisierten Verarbeitung [beruht]“. Allerdings darf nicht außer Acht gelassen werden, dass das Finanzinstitut, dem SCHUFA den Score-Wert übermittelt, gegenüber der betroffenen Person eine mutmaßlich eigenständige Handlung, nämlich die Gewährung oder Ablehnung des Kredits, vorzunehmen hat. Somit stellt sich die Frage, welche dieser beiden Handlungen als „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO eingestuft werden kann, wobei diese Frage nachstehend geprüft wird.
37. Was die erste Voraussetzung angeht, ist zunächst festzustellen, welche Rechtsnatur eine „Entscheidung“ hat und welche Form sie haben muss. Aus etymologischer Sicht impliziert dieser Begriff eine „Auffassung“ oder „Stellungnahme“ zu einem bestimmten Sachverhalt. Sie muss auch „verbindlich“ sein, um sie von einfachen „Empfehlungen“ zu unterscheiden, die grundsätzlich keine rechtlichen oder tatsächlichen Folgen haben(13). Gleichwohl halte ich entgegen dem Vorbringen des HBDI eine Analogie zu Art. 288 Abs. 4 AEUV im vorliegenden Kontext nicht für relevant, zumal sie in den Bestimmungen der DSGVO keine Grundlage findet.
38. Das Fehlen einer Legaldefinition erlaubt den Schluss, dass sich der Unionsgesetzgeber für einen weiten Begriff entschieden hat, der mehrere Handlungen umfassen kann, die die betroffene Person in vielerlei Weise beeinträchtigen können. Wie ich bereits ausgeführt habe, kann nämlich eine „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO entweder „rechtliche Wirkung“ haben oder die betroffene Person „in ähnlicher Weise“ beeinträchtigen, was bedeutet, dass die in Rede stehende „Entscheidung“ Auswirkungen haben kann, die nicht unbedingt rechtlich, sondern eher wirtschaftlich und sozial sind. Da Art. 22 Abs. 1 DSGVO natürliche Personen vor potenziell diskriminierenden und ungerechten Auswirkungen der automatisierten Datenverarbeitung schützen soll, halte ich eine besondere Wachsamkeit für geboten, die auch in der Auslegung dieser Norm zum Ausdruck kommen muss.
39. Schließlich ist hervorzuheben, dass ich, da die Handlungen, die einem privaten Finanzinstitut zuzurechnen sind, auch schwerwiegende Folgen für die Unabhängigkeit und Handlungsfreiheit der betroffenen Person in einer Marktwirtschaft haben können, insbesondere wenn es darum geht, die Zahlungsfähigkeit eines Kreditantragstellers zu bescheinigen(14), keinen objektiven Grund dafür sehe, den Begriff „Entscheidung“ auf den rein öffentlichen Bereich zu beschränken, d. h. auf die Beziehung zwischen dem Staat und dem Bürger, wie es die vom HBDI vorgeschlagene Analogie implizit andeutet. Die Einstufung einer gegenüber der betroffenen Person angenommenen Stellungnahme als „Entscheidung“ erfordert meines Erachtens eine Einzelfallprüfung unter Berücksichtigung der spezifischen Umstände sowie der Schwere der Auswirkungen auf die rechtliche, wirtschaftliche und soziale Stellung dieser Person(15).
40. Auf der Grundlage der in den vorstehenden Absätzen dargelegten Kriterien ist sodann zu bestimmen, welche die im vorliegenden Fall relevante „Entscheidung“ ist. Wie oben erwähnt, gibt es einerseits die Handlung, mit der eine Bank es annimmt oder ablehnt, dem Antragsteller einen Kredit zu gewähren, und andererseits den Score-Wert, der sich aus einem von SCHUFA durchgeführten Profiling-Verfahren ergibt. Meines Erachtens ist es unmöglich, diese Frage kategorisch zu beantworten, da die Einstufung von den Umständen des jeweiligen Einzelfalls abhängt. Konkret kommt der Art und Weise, in der das Verfahren der Entscheidungsfindung strukturiert ist, wesentliche Bedeutung zu. Dieses Verfahren umfasst typischerweise mehrere Phasen, wie das Profiling, die Erstellung des Score-Wertes und die Entscheidung über die Gewährung des Kredits im eigentlichen Sinn.
41. Meines Erachtens liegt es auf der Hand, dass zwar ein Finanzinstitut dieses Verfahren übernehmen kann, es jedoch nichts daran hindert, bestimmte Aufgaben vertraglich auf eine Auskunftei zu übertragen, z. B. das Profiling und Scoring. Art. 22 Abs. 1 DSGVO verlangt nämlich keineswegs, dass diese Aufgaben von einer oder mehreren Stellen wahrgenommen werden. Dies vorausgeschickt, scheint mir die etwaige Übertragung bestimmter Befugnisse auf einen externen Dienstleistungserbringer bei der Analyse keine wesentliche Rolle zu spielen, da eine solche Übertragung im Allgemeinen wirtschaftlichen und organisatorischen Erwägungen folgt, die von Fall zu Fall variieren können.
42. Dagegen ist der Aspekt, der mir eine entscheidende Rolle zu spielen scheint, derjenige, der mit der Frage zusammenhängt, ob das Verfahren der Entscheidungsfindung so ausgestaltet ist, dass das von der Auskunftei durchgeführte Scoring die Entscheidung des Finanzinstituts über die Gewährung oder Ablehnung des Kredits vorbestimmt. Sollte das Scoring ohne irgendein Eingreifen einer Person erfolgen, durch das gegebenenfalls das Scoring-Ergebnis und die Richtigkeit der in Bezug auf den Kreditantragsteller zu treffenden Entscheidung überprüft werden könnten, erscheint es logisch, davon auszugehen, dass es sich bei dem Scoring selbst um die „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO handelt.
43. Das Gegenteil anzunehmen, weil die Entscheidung, den Kredit zu gewähren oder abzulehnen, formal dem Finanzinstitut obliegt, wäre nicht nur ein übertriebener Formalismus, sondern würde den besonderen Umständen eines solchen Falles nicht gerecht. Dies gilt umso mehr, als Art. 22 Abs. 1 DSGVO keineswegs vorschreibt, dass die „Entscheidung“ eine besondere Form aufweist. Entscheidend ist die Wirkung, die die „Entscheidung“ auf die betroffene Person hat. Da ein negativer Score-Wert für sich genommen nachteilige Auswirkungen auf die betroffene Person haben kann, d. h., sie bei der Ausübung ihrer Freiheiten spürbar beschränken oder sie sogar in der Gesellschaft stigmatisieren kann, erscheint es gerechtfertigt, ihn als „Entscheidung“ im Sinne der angeführten Bestimmung einzustufen, wenn ein Finanzinstitut ihm im Verfahren der Entscheidungsfindung größte Bedeutung beimisst(16). Unter solchen Umständen wird der Kreditantragsteller nämlich bereits auf der Stufe der Bewertung seiner Kreditwürdigkeit durch die Auskunftei und nicht erst auf der letzten Stufe der Ablehnung des Kredits, in der das Finanzinstitut nur das Ergebnis dieser Bewertung auf den konkreten Fall anwendet, beeinträchtigt(17).
44. Da erstens Art. 22 Abs. 1 DSGVO verlangt, dass die fragliche Entscheidung „ausschließlich“ auf einer automatisierten Verarbeitung beruht(18), und zweitens der Wortlaut einer Bestimmung im Allgemeinen die Grenze für jede Auslegung darstellt, erscheint es erforderlich, dass die automatisierte Verarbeitung der einzige Aspekt bleibt, der den Ansatz des Finanzinstituts gegenüber dem Kreditantragsteller rechtfertigt. Dies wäre der Fall, wenn im Rahmen des Verfahrens ein Mensch beteiligt wäre, ohne jedoch in der Lage zu sein, den Kausalzusammenhang zwischen der automatisierten Verarbeitung und der endgültigen Entscheidung zu beeinflussen. Die Auskunftei müsste de facto die endgültige Entscheidung für das Finanzinstitut treffen. Dies hängt von den internen Regeln und Praktiken des fraglichen Finanzinstituts ab, die diesem im Allgemeinen keinen Handlungsspielraum bei der Anwendung des Score-Wertes auf einen Kreditantrag lassen dürfen.
45. Es handelt sich im Wesentlichen um eine Tatsachenfrage, die meines Erachtens am besten von den nationalen Gerichten beurteilt werden kann. Ich schlage daher vor, dem vorlegenden Gericht die Aufgabe zu übertragen, selbst festzustellen, inwieweit unter Berücksichtigung der oben genannten Kriterien das Finanzinstitut im Allgemeinen durch das von einer Auskunftei wie SCHUFA vorgenommene Scoring gebunden ist(19). Um dem nationalen Gericht in der vorliegenden Rechtssache eine sachdienliche Antwort zu geben, werde ich mich auf die Angaben im Vorlagebeschluss stützen.
46. Insoweit möchte ich zunächst darauf hinweisen, dass nach den Angaben des vorlegenden Gerichts, wenngleich zu diesem Stadium des Entscheidungsprozesses ein Eingreifen eines Menschen grundsätzlich noch möglich ist, die Entscheidung über das Eingehen einer vertraglichen Beziehung mit der betroffenen Person „praktisch in so erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert determiniert [wird], dass jener gleichsam durch die Entscheidung des dritten Verantwortlichen durchschlägt“. Laut dem vorlegenden Gericht „[entscheidet e]igentlich … über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person … der aufgrund automatisierter Verarbeitung von der Wirtschaftsauskunftei erstellte Score-Wert“. Das vorlegende Gericht führt auch aus, dass der dritte Verantwortliche seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen muss, „es in aller Regel jedoch maßgeblich [tut]“. Es ergänzt, dass „[e]ine Kreditvergabe … trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden [mag], ein nicht ausreichender Score-Wert hingegen … jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen [wird], wenn etwa eine Investition im Übrigen als lohnend erscheint“. Schließlich weist das vorlegende Gericht darauf hin, dass „Erfahrungen aus der behördlichen Datenschutzaufsicht [zeigen, d]ass Score-Werten bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle zukommt“.
47. Die vorstehenden Erwägungen scheinen mir vorbehaltlich der Würdigung des Sachverhalts, die jedem nationalen Gericht in jedem Einzelfall obliegt, darauf hinzuweisen, dass der von einer Auskunftei erstellte und einem Finanzinstitut übermittelte Score-Wert im Allgemeinen die Entscheidung des Letzteren über die Gewährung oder Versagung des Kredits für die betroffene Person so vorbestimmen soll, dass davon auszugehen ist, dass diese Stellungnahme im Rahmen des Verfahrens nur rein formalen Charakter hat(20). Daraus folgt, dass der Score-Wert selbst als „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO anzusehen ist.
48. Eine solche Schlussfolgerung erscheint mir vernünftig, da jede andere Auslegung das vom Unionsgesetzgeber mit dieser Bestimmung verfolgte Ziel, die Rechte der Betroffenen zu schützen, in Frage stellen würde. Wie das vorlegende Gericht zutreffend ausgeführt hat, würde eine enge Auslegung von Art. 22 Abs. 1 DSGVO zu einer Rechtsschutzlücke führen: Die Auskunftei, von der die für die betroffene Person erforderlichen Informationen zu erlangen wären, ist nach Art. 15 Abs. 1 Buchst. h DSGVO nicht auskunftsverpflichtet, weil sie vorgeblich keine eigene „automatisierte Entscheidungsfindung“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO betreibt, und das Finanzinstitut, das seiner Entscheidungsfindung den automatisiert erstellten Score-Wert zugrunde legt und nach Art. 15 Abs. 1 Buchst. h DSGVO auskunftsverpflichtet ist, kann die erforderlichen Informationen nicht bereitstellen, weil es über sie nicht verfügt.
49. Folglich wäre das Finanzinstitut nicht in der Lage, die Bewertung der Kreditwürdigkeit des Kreditantragstellers im Fall der Anfechtung der Entscheidung zu überprüfen, wie es Art. 22 Abs. 3 DSGVO verlangt, oder eine faire, transparente und nicht diskriminierende Verarbeitung durch geeignete mathematische oder statistische Verfahren sowie geeignete technische und organisatorische Maßnahmen zu gewährleisten, wie es der 71. Erwägungsgrund Satz 6 der DSGVO verlangt(21). Um eine solche Situation zu vermeiden, die dem in der vorstehenden Nummer genannten gesetzgeberischen Ziel eindeutig zuwiderläuft, schlage ich eine Auslegung von Art. 22 Abs. 1 DSGVO vor, die den tatsächlichen Auswirkungen des Scorings auf die Situation der betroffenen Person Rechnung trägt.
50. Ein solcher Ansatz scheint mir logisch zu sein, da die Auskunftei im Allgemeinen die einzige Stelle sein sollte, die in der Lage ist, anderen Anträgen der betroffenen Person nachzukommen, die sich auch auf durch die DSGVO garantierte Rechte stützen, nämlich das Recht auf Berichtigung nach Art. 16 DSGVO, falls sich die für die Durchführung des Scorings verwendeten personenbezogenen Daten als unrichtig erweisen sollten, sowie das Recht auf Löschung nach Art. 17 DSGVO, falls diese Daten unrechtmäßig verarbeitet worden sein sollten. Da sich das Finanzinstitut im Allgemeinen weder an der Erhebung dieser Daten noch am Profiling beteiligt, wenn diese Aufgaben einem Dritten übertragen werden, ist vernünftigerweise die Möglichkeit auszuschließen, dass es in der Lage ist, die Wahrung dieser Rechte wirksam sicherzustellen. Die betroffene Person sollte aber nicht die nachteiligen Folgen einer solchen Übertragung von Aufgaben tragen müssen.
51. Die Auskunftei wegen der Erstellung des Score-Wertes verantwortlich zu machen – und nicht wegen ihrer späteren Verwendung –, scheint mir die wirksamste Art und Weise zu sein, um einen Schutz der Grundrechte der betroffenen Person zu gewährleisten, nämlich das Recht auf den Schutz personenbezogener Daten nach Art. 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta), aber auch das Recht auf Achtung ihres Privatlebens nach Art. 7 der Charta, da diese Tätigkeit letztlich die „Quelle“ jedes etwaigen Schadens darstellt. Angesichts der Gefahr, dass der von der Auskunftei erstellte Score-Wert von einer Vielzahl von Finanzinstituten verwendet wird, erscheint es vernünftig, der betroffenen Person zu gestatten, ihre Rechte unmittelbar gegenüber dieser geltend zu machen.
52. Aus den oben dargelegten Gründen bin ich der Ansicht, dass die Voraussetzungen von Art. 22 Abs. 1 DSGVO erfüllt sind, so dass diese Bestimmung unter Umständen wie denen des Ausgangsverfahrens anwendbar ist.
c) Der Umfang des Auskunftsrechts nach Art. 15 Abs. 1 Buchst. h DSGVO
53. In diesem Zusammenhang kann nicht genug hervorgehoben werden, wie wichtig es ist, dass der für die Verarbeitung Verantwortliche seine Informationspflichten gegenüber der betroffenen Person in vollem Umfang erfüllt. Nach Art. 15 Abs. 1 Buchst. h DSGVO hat diese das Recht, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
54. Da SCHUFA es abgelehnt hat, der Klägerin bestimmte Informationen über die Berechnungsmethode mitzuteilen, weil es sich dabei um Geschäftsgeheimnisse handele, erscheint es sachdienlich, den Umfang des in Art. 15 Abs. 1 Buchst. h DSGVO vorgesehenen Auskunftsrechts zu präzisieren, insbesondere was die Verpflichtung betrifft, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen. Meines Erachtens ist diese Bestimmung dahin auszulegen, dass sie grundsätzlich auch die Berechnungsmethode erfasst, die von einer Auskunftei zur Ermittlung eines Score-Wertes verwendet wird, sofern keine schutzwürdigen widerstreitenden Interessen bestehen. Insoweit ist auf den 63. Erwägungsgrund der DSGVO zu verweisen, aus dem u. a. hervorgeht, dass „[das Auskunftsr]echt … die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen [sollte]“ (Hervorhebung nur hier).
55. Aus einer Auslegung von Art. 15 Abs. 1 Buchst. h DSGVO im Licht der Erwägungsgründe 58 und 63 der Verordnung lässt sich eine Reihe von Schlüssen ziehen. Erstens war sich der Unionsgesetzgeber offensichtlich der Konflikte vollkommen bewusst, die zum einen zwischen dem durch Art. 8 der Charta garantierten Recht auf Schutz personenbezogener Daten und zum anderen dem in Art. 17 Abs. 2 der Charta verankerten Recht auf Schutz des geistigen Eigentums entstehen können. Zweitens ist klar, dass er nicht in Betracht gezogen hat, ein Grundrecht zugunsten eines anderen zu opfern. Vielmehr lässt eine eingehendere Analyse der Bestimmungen der DSGVO den Schluss zu, dass sie ein angemessenes Gleichgewicht zwischen den Rechten und Pflichten sicherstellen wollte.
56. Der Hinweis des Unionsgesetzgebers im 63. Erwägungsgrund der DSGVO, wonach „[d]ies … jedoch nicht dazu führen [darf], dass der betroffenen Person jegliche Auskunft verweigert wird“(22), bedeutet meines Erachtens, dass jedenfalls ein Minimum an Informationen geliefert werden muss, damit der Wesensgehalt des Rechts auf Schutz personenbezogener Daten nicht beeinträchtigt wird. Daraus folgt, dass zwar der Schutz des Geschäftsgeheimnisses oder des geistigen Eigentums für eine Auskunftei grundsätzlich einen berechtigten Grund darstellt, die Offenlegung des zur Berechnung des Score-Wertes der betroffenen Person verwendeten Algorithmus zu verweigern, dass er jedoch keineswegs eine absolute Verweigerung von Informationen rechtfertigen kann. Darüber hinaus gibt es geeignete Kommunikationsmittel, die das Verständnis erleichtern und gleichzeitig einen gewissen Grad an Vertraulichkeit gewährleisten.
57. Art. 12 Abs. 1 DSGVO, wonach „[d]er Verantwortliche … geeignete Maßnahmen [trifft], um der betroffenen Person alle Informationen gemäß [Art. 15,] die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“(23), scheint mir in diesem Zusammenhang besonders relevant zu sein. Diese Bestimmung bestätigt die vorstehende Argumentation, da sich daraus ergibt, dass das eigentliche Ziel von Art. 15 Abs. 1 Buchst. h DSGVO darin besteht, sicherzustellen, dass die betroffene Person entsprechend ihrem Bedarf Informationen in verständlicher und zugänglicher Weise erhält. Meines Erachtens schließen diese Erfordernisse bereits eine etwaige Verpflichtung zur Offenlegung des Algorithmus unter Berücksichtigung seiner Komplexität aus. Der Nutzen, eine besonders komplexe Formel zu übermitteln, wäre nämlich ohne die dafür erforderlichen Erläuterungen zweifelhaft. Insoweit ist auf den 58. Erwägungsgrund der DSGVO hinzuweisen, aus dem hervorgeht, dass die Einhaltung der oben genannten Anforderungen insbesondere „für Situationen [gilt], wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden“(24).
58. Aus den dargelegten Gründen bin ich der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen ist, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von „Entscheidungen“ im Sinne von Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind(25).
d) Antwort auf die erste Vorlagefrage
59. In Anbetracht der vorstehenden Erwägungen bin ich der Ansicht, dass Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
2. Zur zweiten Vorlagefrage
60. Auch wenn die zweite Frage nur für den Fall gestellt worden ist, dass die erste Frage zu verneinen ist, ist sie meines Erachtens auch dann relevant, wenn der Gerichtshof zu dem Schluss gelangen sollte, dass das Scoring unter das in Art. 22 Abs. 1 DSGVO verankerte Verbot einer automatisierten Entscheidungsfindung fällt. In einem solchen Fall müsste, wie die finnische Regierung zu Recht ausführt, geprüft werden, ob eine Ausnahme von diesem Verbot nach Art. 22 Abs. 2 Buchst. b DSGVO gemacht werden kann. Nach dieser Bestimmung gilt das Verbot nicht, „wenn die Entscheidung … aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist“.
61. Diese Vorschrift enthält einen ausdrücklichen Regelungsspielraum, wenn das von ihr erfasste Profiling auf Rechtsvorschriften der Union oder eines Mitgliedstaats beruht. Ergibt sich die Rechtsgrundlage aus den Rechtsvorschriften des Mitgliedstaats, so muss das nationale Recht besondere Garantien für die betroffene Person vorsehen. Der Gerichtshof müsste dann feststellen, ob eine solche „Zulässigkeit“ aus Art. 6 DSGVO selbst oder aus einer nationalen Bestimmung abgeleitet werden kann, die auf einer dort vorgesehenen Rechtsgrundlage erlassen wurde. Der letztgenannte Fall erfordert meines Erachtens eine eingehende Prüfung, da das vorlegende Gericht Zweifel an der Vereinbarkeit von § 31 BDSG mit den Art. 6 und 22 DSGVO hat, was voraussetzt, dass die Art. 6 und 22 DSGVO angemessene Rechtsgrundlagen darstellen können.
a) Bestehen einer Rechtsgrundlage in der DSGVO, die den Mitgliedstaaten Regelungsbefugnisse verleiht
62. Das nationale Gericht hat gerade insoweit Zweifel, da seiner Ansicht nach keine der in den Art. 6 und 22 DSGVO genannten Bestimmungen als Rechtsgrundlage für den Erlass einer nationalen Bestimmung wie der in § 31 BDSG, die bestimmte Regeln für das Scoring festlegt, dienen könne. Somit stellt sich die Frage, ob der nationale Gesetzgeber die Bestimmungen der DSGVO konform anwendet, die ihm einen Handlungsspielraum einräumen, um die einzelstaatlichen Vorschriften über die Verarbeitung personenbezogener Daten gemäß der DSGVO festzulegen und unter bestimmten Umständen sogar davon abzuweichen. Die Antwort auf diese Frage erweist sich als komplex, da der deutsche Gesetzgeber in der Begründung des Gesetzes keine Öffnungsklausel anführt(26). Sie ist jedoch umso relevanter, als es in § 31 Abs. 1 Nr. 1 BDSG ausdrücklich heißt, dass das Scoring „nur zulässig [ist], wenn die Vorschriften des Datenschutzrechts eingehalten wurden“ (Hervorhebung nur hier). Wie ich im Folgenden darlegen werde, veranlassen mich mehrere Argumente dazu, diese Frage zu verneinen.
1) Anwendbarkeit von Art. 22 Abs. 2 Buchst. b DSGVO
63. Zunächst ist auf Art. 22 Abs. 2 Buchst. b DSGVO hinzuweisen, der den Mitgliedstaaten die Befugnis verleiht, eine ausschließlich auf einer automatisierten Datenverarbeitung – einschließlich Profiling – beruhende Entscheidung zu erlauben, und der daher als Rechtsgrundlage herangezogen werden könnte. Es ist jedoch darauf hinzuweisen, dass Art. 22 Abs. 2 DSGVO dann keine Anwendung fände, wenn der Gerichtshof entscheiden sollte, dass das Scoring nicht unter das Verbot nach Art. 22 Abs. 1 DSGVO fällt. Wie sich nämlich klar aus dem Wortlaut und der allgemeinen Systematik von Art. 22 DSGVO ergibt, setzt die Anwendung von Abs. 2 voraus, dass die Voraussetzungen von Abs. 1 erfüllt sind. Es liegt daher auf der Hand, dass eine Anwendung von Art. 22 Abs. 2 Buchst. b DSGVO auszuschließen wäre, wenn die erste Frage zu verneinen wäre.
64. Der Vollständigkeit halber und in Anbetracht der von mir vorgeschlagenen Bejahung der ersten Frage halte ich es für erforderlich, die Anwendbarkeit dieser Bestimmung zu prüfen, falls der Gerichtshof seinerseits der Auffassung sein sollte, dass das von einer Auskunftei durchgeführte Scoring eine „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO darstellt. Selbst in diesem Fall bestehen jedoch aus einer Reihe von Gründen Zweifel an der Eignung von Art. 22 Abs. 2 Buchst. b dieser Verordnung, als Rechtsgrundlage zu dienen.
65. Erstens ist darauf hinzuweisen, dass Art. 22 DSGVO nur Entscheidungen betrifft, die „ausschließlich“ auf der Grundlage einer automatisierten Datenverarbeitung getroffen werden, während § 31 BDSG laut dem vorlegenden Gericht differenzierungsfrei Regelungen für auch nicht automatisierte Entscheidungen trifft, darin aber die Zulässigkeit der Verwendung von Scoring-Datenverarbeitungen regelt. Mit anderen Worten, § 31 BDSG hat einen viel weiteren sachlichen Anwendungsbereich als Art. 22 DSGVO(27). Daher ist es zweifelhaft, ob Art. 22 Abs. 2 Buchst. b DSGVO als Rechtsgrundlage dienen kann.
66. Zweitens ist darauf hinzuweisen, dass § 31 BDSG, wie das vorlegende Gericht ausführt, die „Verwendung“ des Wahrscheinlichkeitswerts durch Wirtschaftsteilnehmer regelt, nicht aber die „Erstellung“ dieses Wahrscheinlichkeitswerts durch Auskunfteien, ein Aspekt, der gleichwohl Gegenstand der ersten Vorlagefrage ist. Dies lässt sich auch den Erklärungen entnehmen, die die deutsche Regierung in der mündlichen Verhandlung abgegeben hat. Wie ich im Rahmen der Prüfung dieser Frage eingehend dargelegt habe, gilt Art. 22 Abs. 1 DSGVO auch für das Stadium der „Erstellung“ des Score-Wertes und nicht nur im Stadium seiner „Verwendung“ durch ein Finanzinstitut, sofern bestimmte Voraussetzungen erfüllt sind(28). Mit anderen Worten soll § 31 BDSG einen anderen Fall regeln als denjenigen, der in den sachlichen Anwendungsbereich von Art. 22 DSGVO fällt, was zu bestätigen Sache des vorlegenden Gerichts ist. Im Licht der vorstehenden Erwägungen bin ich der Ansicht, dass Art. 22 Abs. 2 Buchst. b DSGVO als Rechtsgrundlage für den Erlass einer nationalen Rechtsvorschrift wie § 31 BDSG auszuschließen ist.
2) Anwendbarkeit von Art. 6 Abs. 2 und 3 DSGVO
i) Zu den Klauseln, die den Mitgliedstaaten Regelungsbefugnisse verleihen
67. Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die einen der dort aufgezählten Gründe betreffende Bedingung erfüllt ist. Wie der Gerichtshof bereits entschieden hat, handelt es sich um eine erschöpfende und abschließende Liste der Fälle, in denen eine solche Verarbeitung als rechtmäßig angesehen werden kann(29). Um als rechtmäßig angesehen werden zu können, muss die Erstellung eines Score-Wertes durch eine Auskunftei daher unter einen der in dieser Bestimmung vorgesehenen Fälle fallen.
68. In einem Fall wie dem des Ausgangsverfahrens könnten die Buchst. b, c und f von Art. 6 Abs. 1 DSGVO grundsätzlich Anwendung finden. Nach Art. 6 Abs. 2 DSGVO können die Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der DSGVO beibehalten oder einführen. Es ist jedoch darauf hinzuweisen, dass diese Bestimmung nur zur Erfüllung von Abs. 1 Buchst. c und e anzuwenden ist. Ebenso bestimmt Art. 6 Abs. 3 DSGVO, dass die Rechtsgrundlage für die Verarbeitung durch das Recht des Mitgliedstaats festgelegt wird, dem der Verantwortliche unterliegt, sofern die Verarbeitung die in Abs. 1 Buchst. c und e genannten Fälle betrifft.
69. Daraus folgt, dass die Mitgliedstaaten spezifischere Bestimmungen erlassen können, wenn die Verarbeitung „zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt“, oder „für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“. Diese Bedingungen bewirken eine enge Begrenzung der Regelungsbefugnis der Mitgliedstaaten und schließen damit einen willkürlichen Rückgriff auf die in der DSGVO vorgesehenen Öffnungsklauseln aus, der das Ziel der Harmonisierung des Rechts im Bereich des Schutzes personenbezogener Daten vereiteln könnte.
70. Überdies ist in diesem Kontext darauf hinzuweisen, dass, soweit einige dieser Klauseln eine eigene Terminologie der DSGVO verwenden, ohne ausdrücklich auf das Recht der Mitgliedstaaten zu verweisen, die verwendeten Begriffe eine autonome und einheitliche Auslegung erhalten müssen(30). Vor diesem Hintergrund ist im Folgenden zu prüfen, ob die Regelung in § 31 BDSG unter einen der in Art. 6 Abs. 1 DSGVO aufgezählten Gründe fällt.
ii) Rechtmäßigkeit der Datenverarbeitung
– Der Grund nach Art. 6 Abs. 1 Buchst. b DSGVO
71. Was Buchst. b betrifft, ergibt sich aus dieser Bestimmung, dass die Verarbeitung nur rechtmäßig ist, wenn die Verarbeitung „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen [erforderlich ist], die auf Anfrage der betroffenen Person erfolgen“. Insoweit ist darauf hinzuweisen, dass die Dienste der Auskunfteien nur in Ausnahmefällen im Stadium der Erfüllung eines Vertrags in Anspruch genommen werden. Die wichtigste Phase ist die vorvertragliche Phase, in der im Allgemeinen Informationen über die Kreditwürdigkeit erlangt werden. Die Übermittlung eines Auskunftsersuchens an eine Auskunftei zum Zweck einer Prüfung der Kreditwürdigkeit scheint mir auf der Grundlage dieser Bestimmung zulässig zu sein(31). Es ist jedoch klarzustellen, dass diese Bestimmung nur die Ermächtigung erfasst, Untersuchungen der Kreditwürdigkeit von potenziellen Vertragspartnern, Gläubigern und/oder Erbringern juristischer Dienstleistungen durchzuführen, und somit die Voraussetzungen für die rechtmäßige Erhebung von Daten durch die Auskunfteien schafft. Dagegen scheint mir diese Bestimmung für sich genommen nicht ausreichend, um als Rechtsgrundlage für die Rechtfertigung der Tätigkeiten einer Auskunftei im Allgemeinen zu dienen(32).
72. Überdies ist darauf hinzuweisen, dass Art. 6 Abs. 1 Buchst. b DSGVO zwar einen Grund für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten kodifiziert, aber keinen der in den Abs. 2 und 3 vorgesehenen Fälle betrifft, nach denen die Mitgliedstaaten über eine Regelungsbefugnis verfügen. Daraus folgt, dass, da Art. 6 DSGVO diese Fälle abschließend aufzählt, eine nationale Bestimmung wie die nach § 31 BDSG nicht allein auf der Grundlage von Art. 6 Abs. 1 Buchst. b DSGVO erlassen werden kann.
– Der Grund nach Art. 6 Abs. 1 Buchst. c DSGVO
73. Der Grund nach Art. 6 Abs. 1 Buchst. c DSGVO betrifft die Verarbeitung aufgrund einer „rechtlichen Verpflichtung“, der der Verantwortliche unterliegt. Dies impliziert vom Staat selbst aufgestellte Anforderungen. Dagegen erfasst diese Bestimmung nicht Verpflichtungen aus zivilrechtlichen Verträgen, z. B. einem Vertrag zwischen einem Finanzinstitut und einer Auskunftei. Die Finanzinstitute, die sich von der Kreditwürdigkeit ihrer Kunden aufgrund der ihnen durch das nationale Recht auferlegten Verpflichtungen zu vergewissern haben, können sich jedoch bei den entsprechenden Auskunftsersuchen auf diese Rechtsgrundlage stützen, um aus der Sicht einer Auskunftei die volle Rechtmäßigkeit solcher Ersuchen zu gewährleisten. Dagegen kann die „Erstellung“ des Score-Wertes durch die Auskunftei nicht als eine Maßnahme angesehen werden, die bei der Erfüllung einer ihr auferlegten „rechtlichen Verpflichtung“ getroffen wird, da eine solche Verpflichtung im nationalen Recht offenbar nicht besteht. Folglich ist festzustellen, dass dieser Buchst. c nicht mit Erfolg als Rechtsgrundlage herangezogen werden kann, um aus der Tätigkeit des Scorings eine rechtmäßige Verarbeitung zu machen.
– Der Grund nach Art. 6 Abs. 1 Buchst. e DSGVO
74. Sodann stellt sich die Frage, ob Art. 6 Abs. 1 Buchst. e DSGVO als Rechtsgrundlage für den Erlass von § 31 BDSG herangezogen werden kann. Dies wäre der Fall, wenn die Verarbeitung „für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“. Zum einen könnte man, wie sich aus dem gesetzgeberischen Ziel von § 31 BDSG, das in der Überschrift dieser nationalen Vorschrift („Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“) zum Ausdruck kommt, und aus den Vorarbeiten(33) ergibt, die Auffassung vertreten, dass die Auskunfteien zum ordnungsgemäßen Funktionieren der Wirtschaft eines Landes beitragen(34).
75. Soweit die Auskunfteien nämlich Informationen über die Kreditwürdigkeit bestimmter Personen zur Verfügung stellen, tragen sie zum Schutz der Verbraucher, vor der Gefahr der Überschuldung(35), aber auch der Unternehmen bei, die Waren an sie verkaufen oder ihnen Kredite gewähren. Die Auskunfteien sichern die Stabilität des Finanzsystems, indem sie verhindern, dass Kredite verantwortungslos an Kreditnehmer mit hohen Ausfallrisiken gewährt werden(36). Ohne ein zuverlässiges System zur Bewertung des Kredits wäre ein Großteil der Bevölkerung wegen unberechenbarer Risiken praktisch von der Möglichkeit ausgeschlossen, Kredite zu erhalten, der Wirtschaftsverkehr im Informationszeitalter wäre erheblich schwieriger, und Betrugsversuche blieben unbemerkt. Unter diesem Blickwinkel kann den Gründen beigepflichtet werden, die den deutschen Gesetzgeber offensichtlich veranlasst haben, § 31 BDSG zu erlassen.
76. Außerdem scheint es mir, selbst wenn man weiß, dass juristische Personen des Privatrechts im öffentlichen Interesse handeln können, offensichtlich, dass ein irgendwie geartetes „berechtigtes Interesse“ eine Anwendung von Art. 6 Abs. 1 Buchst. e DSGVO nicht rechtfertigen kann. Die Beziehung zur „Ausübung öffentlicher Gewalt“ und die Erwägungsgründe 45, 55 und 56 DSGVO weisen vielmehr darauf hin, dass diese Bestimmung erstens die Behörden im engeren Sinne und juristische Personen, die ein Stück öffentlicher Gewalt innehaben, und zweitens die juristischen Personen des Privatrechts betrifft, die eine Verarbeitung für die Zwecke des Gemeinwohls durchführen, z. B. im Bereich der „öffentlichen Gesundheit“, der „sozialen Sicherheit“ und der „Verwaltung von Leistungen der Gesundheitsfürsorge“, die im 45. Erwägungsgrund ausdrücklich angeführt werden. Mit anderen Worten betrifft diese Bestimmung die klassischen Aufgaben des Staates.
77. Ebenso ist darauf hinzuweisen, dass sich die Erwägungsgründe 55 und 56 der DSGVO auf die „staatlich anerkannten Religionsgemeinschaften“ sowie auf die „politischen Parteien“ beziehen, d. h. auf Organisationen, die nach den Kriterien des Unionsgesetzgebers Tätigkeiten im öffentlichen Interesse ausüben und zu diesem Zweck Verarbeitungen personenbezogener Daten vornehmen. Angesichts dieser Feststellung ist zweifelhaft, ob diese Bestimmung auch die Tätigkeiten der Wirtschaftsauskunfteien einschließlich des Scorings umfassen kann. Eine solche Auslegung würde den Anwendungsbereich dieser Bestimmung erheblich erweitern und die Bestimmung der Grenzen dieser Öffnungsklausel besonders erschweren(37).
78. Abgesehen von den dargelegten Erwägungen ist in diesem Kontext darauf hinzuweisen, dass § 31 BDSG zwar den Wirtschaftsverkehr schützen soll, in dieser Bestimmung aber keine konkrete Aufgabe der Auskunfteien angegeben wird(38). Wie ich in den vorliegenden Schlussanträgen, gestützt auf die Ausführungen des vorlegenden Gerichts, bereits dargelegt habe, betrifft diese Bestimmung die „Verwendung“ des Score-Wertes durch Wirtschaftsteilnehmer und nicht seine „Erstellung“ durch Auskunfteien(39). Im Ausgangsrechtsstreit steht aber die Zulässigkeit dieser Tätigkeit im Mittelpunkt. Aus den oben dargelegten Gründen bin ich der Ansicht, dass Art. 6 Abs. 1 Buchst. e DSGVO nicht als Rechtsgrundlage dienen kann.
– Der Grund nach Art. 6 Abs. 1 Buchst. f DSGVO
79. Sodann ist zu prüfen, ob diese Tätigkeit in den Anwendungsbereich von Art. 6 Abs. 1 Buchst. f DSGVO fällt. Nach der Rechtsprechung des Gerichtshofs(40) ist nach der fraglichen Bestimmung die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.
80. Was zunächst die Wahrnehmung eines berechtigten Interesses betrifft, weise ich darauf hin, dass die DSGVO und die Rechtsprechung ein breites Spektrum von Interessen anerkennen, die als berechtigt gelten(41), wobei ich darauf hinweise, dass es gemäß Art. 13 Abs. 1 Buchst. c DSGVO dem für die Verarbeitung Verantwortlichen obliegt, die im Rahmen von Art. 6 Abs. 1 Buchst. f dieser Verordnung verfolgten berechtigten Interessen anzugeben. Wie ich in den vorliegenden Schlussanträgen bereits ausgeführt habe, besteht das gesetzgeberische Ziel von § 31 BDSG darin, die Rechtmäßigkeit der von Auskunfteien ausgeübten Tätigkeiten zu gewährleisten, da diese nach Ansicht des deutschen Gesetzgebers zum ordnungsgemäßen Funktionieren der Wirtschaft eines Landes beitragen(42). Da diese Tätigkeiten den Schutz der verschiedenen Wirtschaftsteilnehmer gegen die Risiken der Insolvenz mit schwerwiegenden Folgen für die Stabilität des Finanzsystems gewährleisten, kann man in diesem Stadium der Analyse festhalten, dass mit der angeführten nationalen Bestimmung ein wirtschaftliches Ziel verfolgt wird, das ein „berechtigtes Interesse“ im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO darstellen kann.
81. Was sodann die Voraussetzung der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, müssen sich nach der Rechtsprechung des Gerichtshofs die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken(43). Daher muss eine enge Verbindung zwischen der Verarbeitung und dem wahrgenommenen Interesse bestehen, wenn es keine den Schutz personenbezogener Daten weniger beeinträchtigenden alternativen Lösungen gibt, weil es nicht ausreicht, dass die Verarbeitung für den für die Verarbeitung Verantwortlichen lediglich von Nutzen ist. Hierzu ist festzustellen, dass das vorlegende Gericht zwar gewisse Zweifel an der Zulässigkeit der Tätigkeit des Scorings im Hinblick auf die Bestimmungen der DSGVO äußert, dass es aber keine Informationen gibt, die darauf hindeuten, dass es möglicherweise alternative Maßnahmen gibt, die den Schutz personenbezogener Daten besser wahren. Mangels gegenteiliger Informationen neige ich dazu, einen gewissen Handlungsspielraum bei der Wahl der geeigneten Maßnahmen zur Erreichung des angestrebten Ziels anzuerkennen.
82. Soweit es schließlich um die Abwägung zum einen der Interessen des für die Verarbeitung Verantwortlichen gegen zum anderen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person geht, ist festzustellen, dass die Abwägung zwischen den verschiedenen betroffenen Interessen im vorliegenden Fall auf gesetzgeberischem Weg vorgenommen wurde. Mit dem Erlass von § 31 BDSG hat der deutsche Gesetzgeber den wirtschaftlichen Interessen Vorrang vor dem Recht auf Schutz personenbezogener Daten eingeräumt. Ein solcher Ansatz wäre aber nur möglich, wenn Art. 6 Abs. 1 Buchst. f DSGVO eine Klausel enthielte, die es den Mitgliedstaaten erlaubte, spezifischere Bestimmungen zur Anpassung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung beizubehalten oder einzuführen. Dies ist jedoch nicht der Fall, wie ich im Folgenden erläutern werde.
83. Wie sich eindeutig aus dem Wortlaut von Art. 6 Abs. 2 und 3 DSGVO ergibt, ist die Beibehaltung oder Einführung spezifischerer Bestimmungen nur in den in Abs. 1 Buchst. c und e genannten Fällen zulässig. Die vorstehende Analyse hat gezeigt, dass § 31 BDSG keinen Umstand betrifft, der unter diese Fälle fallen könnte, was logischerweise ausschließt, dass Art. 6 Abs. 2 und 3 DSGVO als Rechtsgrundlage geltend gemacht werden kann. Eine Anwendung auf den in Abs. 1 Buchst. f genannten Fall verstieße nicht nur gegen den Wortlaut dieser Bestimmungen, sondern missachtete auch den Willen des Unionsgesetzgebers, wie er sich aus der Entstehungsgeschichte dieser Bestimmungen ergibt.
84. Insoweit möchte ich darauf hinweisen, dass es nach Art. 5 der Richtlinie 95/46/EG(44) – dem der DSGVO vorausgegangenen Rechtsakt – den Mitgliedstaaten oblag, „die Voraussetzungen näher [zu bestimmen], unter denen die Verarbeitung personenbezogener Daten rechtmäßig [war]“. Der Gerichtshof hat diese Bestimmung dahin ausgelegt, dass nichts dagegenspricht, dass die Mitgliedstaaten in der Ausübung ihres Ermessens nach Art. 5 der Richtlinie 95/46 „Leitlinien“ für die Abwägung aufstellen, die nach Art. 7 Buchst. f dieser Richtlinie, der Art. 6 Abs. 1 Buchst. f DSGVO entspricht, erforderlich ist. Es ist jedoch darauf hinzuweisen, dass die DSGVO den Mitgliedstaaten keine solche Befugnis mehr verleiht. Das Fehlen einer entsprechenden Bestimmung in der DSGVO bedeutet nämlich, dass die Mitgliedstaaten in ihrem nationalen Recht keine Leitlinien mehr festlegen dürfen, um das „berechtigte Interesse“ im Sinne von Art. 6 Abs. 1 Buchst. f dieser Verordnung zu präzisieren(45).
85. Die in den Abs. 2 und 3 enthaltene Bezugnahme auf die „Vorschriften für besondere Verarbeitungssituationen“ von Kapitel IX bewirkt keine Ausdehnung des Anwendungsbereichs von Art. 6 DSGVO. Es handelt sich vielmehr um einen Verweis auf Vorschriften, die die Mitgliedstaaten ermächtigen, in bestimmten Bereichen spezifischere Bestimmungen zu erlassen, nämlich dann, wenn die Verarbeitung zur Erfüllung einer „rechtlichen Verpflichtung“ im Sinne von Abs. 1 Buchst. c erforderlich ist oder, in dem in Abs. 1 Buchst. e genannten Fall, für die Wahrnehmung einer „Aufgabe [erforderlich ist], die im öffentlichen Interesse liegt“ oder in Ausübung „öffentlicher Gewalt“ erfolgt(46). Wie ich bereits ausgeführt habe, stehen diese Bereiche jedoch in keinem Zusammenhang mit den Umständen, unter denen § 31 BDSG Anwendung findet.
86. In diesem Zusammenhang ist auch darauf hinzuweisen, dass der Verordnungsvorschlag die Kommission zwar ermächtigt hat, „delegierte Rechtsakte … zu erlassen, um die Anwendung von [Art. 6] Absatz 1 Buchstabe f für verschiedene Bereiche und Verarbeitungssituationen einschließlich Situationen, die die Verarbeitung personenbezogener Daten von Kindern betreffen, näher zu regeln“, doch ist dieser Vorschlag vom Unionsgesetzgeber nicht angenommen worden. Die Analyse der Entwicklung des Textes zeigt, dass die Regelungsbefugnisse der Mitgliedstaaten im Interesse einer weiter gehenden Harmonisierung verringert wurden, um für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz personenbezogener Daten zu sorgen, wie auch die Erwägungsgründe 3, 9 und 10 der DSGVO bestätigen(47). Dieser Umstand ist im Rahmen der Auslegung von Art. 6 DSGVO zu berücksichtigen.
87. Schließlich halte ich es für erforderlich, festzustellen, dass selbst dann, wenn Art. 6 Abs. 1 Buchst. f DSGVO Anwendung fände, eine nationale Vorschrift wie § 31 BDSG nicht als mit dem Unionsrecht vereinbar angesehen werden kann. Der Gerichtshof hat Art. 7 Buchst. f der Richtlinie 95/46 dahin ausgelegt, dass „[e]in Mitgliedstaat … für [bestimmte] Kategorien [personenbezogener Daten] das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben [kann], ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“(48). Da diese Bestimmung nahezu denselben Wortlaut hat wie die Bestimmung, die sie ersetzt hat, nämlich Art. 6 Abs. 1 Buchst. f DSGVO, scheint mir diese Auslegung noch immer gültig zu sein(49). Wie das vorlegende Gericht ausführt, scheint der nationale Gesetzgeber genau dieses Ziel verfolgt zu haben, da, soweit § 31 BDSG die Verwendung von Score-Werten im Finanzsektor erlaubt, den wirtschaftlichen Interessen des Finanzsektors Vorrang vor dem Recht auf Schutz personenbezogener Daten eingeräumt wird, ohne jedoch die besonderen Umstände des konkreten Falles zu berücksichtigen. Ein solcher Ansatz liefe auf eine unzulässige Erweiterung des Anwendungsbereichs von Art. 6 DSGVO hinaus.
88. Nach alledem bin ich der Ansicht, dass Art. 6 Abs. 1 Buchst. f DSGVO nicht mit Erfolg als Rechtsgrundlage für den Erlass einer nationalen Bestimmung wie § 31 BDSG herangezogen werden kann.
– Der Grund nach Art. 6 Abs. 4 in Verbindung mit Art. 23 Abs. 1 DSGVO
89. Das vorlegende Gericht weist darauf hin, dass Art. 6 Abs. 4 in Verbindung mit Art. 23 Abs. 1 DSGVO im Gesetzgebungsverfahren, das zum Erlass von § 31 BDSG geführt habe, als Rechtsgrundlage angeführt worden sei. Der Gedanke, sich auf diese Bestimmungen zu stützen, sei jedoch später aufgegeben worden. Nach Ansicht des vorlegenden Gerichts sind diese Bestimmungen im vorliegenden Fall nicht anwendbar.
90. Mangels genauerer Informationen ist es nicht möglich, zur etwaigen Anwendbarkeit der genannten Bestimmungen Stellung zu nehmen. Dies erscheint mir auch nicht erforderlich, wenn diese Bestimmungen während des Gesetzgebungsverfahrens keine Rolle gespielt haben, wie das vorlegende Gericht darlegt(50).
iii) Zwischenergebnis
91. In den vorstehenden Nummern habe ich die Frage geprüft, ob die Art. 6 und 22 DSGVO als Rechtsgrundlage für den Erlass einer nationalen Bestimmung wie § 31 BDSG dienen können, um die Rechtmäßigkeit der Erstellung von Score-Werten im Rahmen der Tätigkeiten von Wirtschaftsauskunfteien zu rechtfertigen. Mehrere Gründe, die ich in meiner Würdigung im Einzelnen dargelegt habe, bestärken mich in meiner Überzeugung, diese Möglichkeit auszuschließen. Zusammenfassend bin ich der Ansicht, dass in Ermangelung von Öffnungsklauseln oder Ausnahmen, die die Mitgliedstaaten ermächtigen, genauere Vorschriften zu erlassen oder von den Vorschriften der DSGVO abzuweichen, um diese Tätigkeit zu regeln, und unter Berücksichtigung des Harmonisierungsgrads, den diese Verordnung, die nach Art. 288 AEUV in allen ihren Teilen verbindlich ist und unmittelbar in jedem Mitgliedstaat gilt, verfolgt, davon auszugehen ist, dass eine solche nationale Bestimmung nicht mit der DSGVO vereinbar ist.
92. Da der Gerichtshof nicht befugt ist, in einem Vorabentscheidungsverfahren nach Art. 267 AEUV das nationale Recht auszulegen oder sich zur Vereinbarkeit dieses Rechts mit dem Unionsrecht zu äußern, sind die in den vorliegenden Schlussanträgen behandelten Argumente als Anhaltspunkte für die Auslegung der einschlägigen Bestimmungen der DSGVO zu verstehen, um es dem vorlegenden Gericht zu ermöglichen, diese Zuständigkeit gegebenenfalls auszuüben, nachdem es § 31 BDSG selbst im Licht der DSGVO geprüft hat, insbesondere betreffend die Möglichkeit, nationale Rechtsvorschriften im Einklang mit den Anforderungen des Unionsrechts auszulegen.
93. Der Grundsatz des Vorrangs des Unionsrechts besagt, dass das Unionsrecht dem Recht der Mitgliedstaaten vorgeht. Dieser Grundsatz verpflichtet daher alle mitgliedstaatlichen Stellen, den verschiedenen Bestimmungen des Unionsrechts volle Wirksamkeit zu verschaffen, wobei das Recht der Mitgliedstaaten die diesen Bestimmungen zuerkannte Wirkung im Hoheitsgebiet dieser Staaten nicht beeinträchtigen darf. Nach diesem Grundsatz ist ein nationales Gericht, das im Rahmen seiner Zuständigkeit die Bestimmungen des Unionsrechts anzuwenden hat und nationale Rechtsvorschriften nicht im Einklang mit den Anforderungen des Unionsrechts auslegen kann, verpflichtet, für die volle Wirksamkeit dieser Bestimmungen Sorge zu tragen, indem es erforderlichenfalls jede – auch spätere – entgegenstehende Vorschrift des nationalen Rechts aus eigener Entscheidungsbefugnis unangewendet lässt, ohne dass es die vorherige Beseitigung dieser Vorschrift auf gesetzgeberischem Weg oder durch irgendein anderes verfassungsrechtliches Verfahren beantragen oder abwarten müsste(51).
b) Antwort auf die zweite Vorlagefrage
94. In Beantwortung der zweiten Vorlagefrage bin ich der Ansicht, dass Art. 6 Abs. 1 und Art. 22 DSGVO dahin auszulegen sind, dass sie nationalen Rechtsvorschriften über das Profiling nicht entgegenstehen, wenn es sich um ein anderes Profiling als das in Art. 22 Abs. 1 dieser Verordnung vorgesehene handelt. In diesem Fall müssen die nationalen Rechtsvorschriften jedoch die Anforderungen von Art. 6 dieser Verordnung erfüllen. Insbesondere müssen sie sich auf eine geeignete Rechtsgrundlage stützen, was zu prüfen Sache des vorlegenden Gerichts ist.
VI. Ergebnis
95. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:
1. Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
2. Art. 6 Abs. 1 und Art. 22 der Verordnung 2016/679
sind dahin auszulegen, dass
sie nationalen Rechtsvorschriften über das Profiling nicht entgegenstehen, wenn es sich um ein anderes Profiling als das in Art. 22 Abs. 1 dieser Verordnung vorgesehene handelt. In diesem Fall müssen die nationalen Rechtsvorschriften jedoch die Anforderungen von Art. 6 dieser Verordnung erfüllen. Insbesondere müssen sie sich auf eine geeignete Rechtsgrundlage stützen, was zu prüfen Sache des vorlegenden Gerichts ist.
1 Originalsprache: Französisch.
2 ABl. 2016, L 119, S. 1.
3 BGBl. 2017 I S. 2097.
4 BGBl. 2019 I S. 1626.
5 Konkret handelt es sich um die Art. 18 und 21 der Richtlinie 2014/17/EU des Europäischen Parlaments und des Rates vom 4. Februar 2014 über Wohnimmobilienkreditverträge für Verbraucher und zur Änderung der Richtlinien 2008/48/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 (ABl. 2014, L 60, S. 34) sowie um die Art. 8 und 9 der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates vom 23. April 2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates (ABl. 2008, L 133, S. 66).
6 Aus den „Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679“, angenommen am 3. Oktober 2017 von der Artikel-29-Datenschutzgruppe, geht hervor, dass Profiling und automatisierte Entscheidungen auch erhebliche Risiken für die Rechte und Freiheiten des Einzelnen mit sich bringen können. Durch Profiling können sich insbesondere bestehende Klischeevorstellungen verfestigen, und die soziale Kluft kann zunehmen. Darüber hinaus kann es, da die betroffenen Personen in ihrer Wahlfreiheit in Bezug auf bestimmte Produkte oder Dienstleistungen eingeschränkt werden können, durch das Profiling zur Verweigerung von Dienstleistungen und zu ungerechtfertigter Diskriminierung kommen.
7 Vgl. Urteil vom 28. April 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, Rn. 57 und 60).
8 Vgl. Urteil vom 28. Oktober 2020, Pegaso und Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, Rn. 26 und 27).
9 Vgl. Schlussanträge des Generalanwalts Richard de la Tour in der Rechtssache Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, Nrn. 43 ff.).
10 Vgl. Urteil vom 22. Juni 2010, Melki und Abdeli (C‑188/10 und C‑189/10, EU:C:2010:363, Rn. 45).
11 Vgl. Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, Rn. 57).
12 Vgl. die spanische („tratamiento automatizado, incluida la elaboración de perfiles“), die dänische („automatisk behandling, herunder profilering“), die deutsche („einer automatisierten Verarbeitung – einschließlich Profiling“), die estnische („automatiseeritud töötlusel, sealhulgas profiilianalüüsil“), die englische („automated processing, including profiling“), die französische („un traitement automatisé, y compris le profilage“) und die polnische („zautomatyzowanym przetwarzaniu, w tym profilowaniu“) Sprachfassung (Hervorhebung nur hier).
13 Vgl. in diesem Sinne Bygrave, L. A., „Article 22. Automated individual decision-making, including profiling“, The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A., Docksey, C., (Hrsg.), Oxford, 2020, S. 532.
14 Abel, R., „Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwendungsbereich und Grenzen im nicht-öffentlichen Bereich“, Zeitschrift für Datenschutz, 7/2018, S. 307, ist der Ansicht, dass diese Bestimmung „Entscheidungen“ betreffe, die sich auf die Rechtsstellung der betroffenen Person auswirkten oder ihre wirtschaftliche oder persönliche Entwicklung dauerhaft beeinträchtigten.
15 Helfrich, M., Sydow. G., DS-GVO/BDSG, 2. Aufl., Baden-Baden, 2018, Art. 22, Rn. 51, halten es für entscheidend, festzustellen, ob die betroffene Person in der Ausübung ihrer Rechte und Freiheiten, z. B. durch die Folgen einer Stellungnahme und einer Bewertung, die sie nicht unwesentlich in der Entwicklung ihrer Persönlichkeit beeinträchtigen könnten, beeinträchtigt werde.
16 Bernhardt, U., Ruhrman, I., Schuler, K., Weichert, T., „Evaluation der Europäischen Datentschutz-Grundverordnung“, Fassung vom 18. Juli 2019, Netzwerk Datenschutzexpertise, S. 7, sind der Ansicht, dass die im Rahmen des Profiling verwendeten Algorithmen ein großes Diskriminierungspotenzial hätten und Schäden verursachen könnten, weshalb die Autoren der Auffassung sind, es bedürfe der Klarstellung, dass alle Formen eines umfassenden und komplexen Profiling von dem in Art. 22 Abs. 1 DSGVO genannten Verbot erfasst würden.
17 Vgl. in diesem Sinne Sydow, G., Marsch, N., DS-GVO/BDSG, 3. Aufl., Baden-Baden, 2022, § 31 BDSG, Rn. 5, die der Auffassung sind, dass das Scoring die betroffenen Personen erheblich und in ähnlicher Weise beeinträchtigen kann wie eine Entscheidung, die rechtliche Wirkung entfaltet.
18 Vgl. die spanische („únicamente“), die dänische („alene“), die deutsche („ausschließlich“), die estnische („üksnes“), die englische („solely“), die französische („exclusivement“) und die polnische („wyłącznie“) Sprachfassung.
19 Ein solcher Ansatz erscheint mir umso notwendiger, als weder SCHUFA noch der HBDI in der mündlichen Verhandlung eine klare Antwort auf die Frage geben konnten, ob die Score-Werte die Entscheidungen der Finanzinstitute vorbestimmen sollen. Der Vertreter von SCHUFA hat jedoch darauf hingewiesen, dass diese die Erfahrung und die Fachkenntnis der Auskunfteien in Anspruch nähmen, um die Zahlungsfähigkeit einer natürlichen Person festzustellen, was grundsätzlich als ein Hinweis auf einen nicht unwesentlichen Einfluss auf den Entscheidungsprozess ausgelegt werden könnte.
20 Blasek, K., „Auskunfteiwesen und Kredit-Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit“, Zeitschrift für Datenschutz, 8/2022, S. 436 und 438, ist der Ansicht, dass eine Anwendung von Art. 22 Abs. 1 DSGVO nicht ausgeschlossen werden könne, wenn die Angestellten einer Bank die automatisierten Bewertungen (Profiling, Score-Werte) der Auskunfteien nicht in Frage stellten. Die Banken dürften sich nicht nur auf diese externe Information verlassen, sondern müssten sie selbst angemessen überprüfen.
21 Vgl. in diesem Sinne Horstmann, J., Dalmer, S., „Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen“, Zeitschrift für Datenschutz, 5/2022, S. 263.
22 Hervorhebung nur hier.
23 Hervorhebung nur hier.
24 Vgl. Zanfir-Fortuna, G., „Article 15. Right of access by the data subject“, The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L. A., Docksey, C. (Hrsg.), Oxford, 2020, S. 463.
25 Vgl. in diesem Sinne „Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679“, angenommen am 3. Oktober 2017 von der Artikel-29-Datenschutzgruppe, S. 28 und 30.
26 Vgl. „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, Bundesrat – Drucksache 110/17 vom 2. Februar 2017, S. 101 und 102; Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, S. 105, kritisiert den Gesetzesentwurf, der die Öffnungsklausel, auf die § 31 BDSG gestützt ist, nicht angibt, und äußert Zweifel an der Vereinbarkeit dieser Bestimmung mit dem Unionsrecht.
27 Vgl. in diesem Sinne Horstmann, J., Dalmer, S., „Automatisierte Kreditwürdigkeitsprüfung – Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen“, Zeitschrift für Datenschutz, 5/2022, S. 265.
28 Siehe Nr. 44 der vorliegenden Schlussanträge.
29 Urteil vom 22. Juni 2021, Latvijas Republikas Saeima (Strafpunkte) (C‑439/19, EU:C:2021:504, Rn. 99).
30 Urteil vom 22. Juni 2021, Latvijas Republikas Saeima (Strafpunkte) (C‑439/19, EU:C:2021:504, Rn. 81).
31 Vgl. in diesem Sinne von Lewinski, K., Pohl, D., „Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage“, Zeitschrift für Datenschutz, 1/2018, S. 19.
32 Vgl. in diesem Sinne Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, S. 106.
33 Vgl. „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, Bundesrat – Drucksache 110/17 vom 2. Februar 2017, S. 101 und 102. In der mündlichen Verhandlung hat die deutsche Regierung bestätigt, dass es sich tatsächlich um das gesetzgeberische Ziel von § 31 BDSG handelt.
34 Vgl. hierzu Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1. Aufl., Baden-Baden, 2020, § 31, Rn. 2 und 5.
35 Vgl. Urteil vom 27. März 2014, LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, Rn. 40 und 42), betreffend die Verpflichtung des Kreditgebers nach Art. 8 Abs. 1 der Richtlinie 2008/48, vor dem Abschluss eines Kreditvertrags die Kreditwürdigkeit des Verbrauchers zu bewerten, wobei diese Verpflichtung die Konsultation der einschlägigen Datenbanken umfassen kann. Nach Auffassung des Gerichtshofs bezweckt diese vorvertragliche Verpflichtung den Schutz der Verbraucher vor der Gefahr der Überschuldung und der Zahlungsunfähigkeit, um ein hohes Maß an Schutz ihrer Interessen zu gewährleisten und um die Entwicklung eines reibungslos funktionierenden Binnenmarkts bei Verbraucherkrediten zu erleichtern.
36 Vgl. Urteil vom 6. Juni 2019, Schyns (C‑58/18, EU:C:2019:467, Rn. 45 und 46), in dem der Gerichtshof entschieden hat, dass die in Art. 18 Abs. 5 Buchst. a der Richtlinie 2014/17 vorgesehene Verpflichtung des Kreditgebers zur Prüfung der Kreditwürdigkeit des Verbrauchers, bevor ihm ein Kredit gewährt wird, darauf abzielt, ein unverantwortliches Handeln von Marktteilnehmern zu vermeiden, das die Grundlagen des Finanzsystems untergraben kann.
37 Vgl. in diesem Sinne Sydow, G., Marsch, N., DS-GVO/BDSG, 3. Aufl., Baden-Baden 2022, § 31 BDSG, Rn. 6, und Abel, R., „Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht“, Zeitschrift für Datenschutz, 3/2018, S. 105.
38 Vgl. hierzu Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1. Aufl., Baden-Baden, 2020, § 31, Rn. 5.
39 Siehe Nr. 66 der vorliegenden Schlussanträge.
40 Urteil vom 17. Juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, Rn. 106).
41 Vgl. insoweit Schlussanträge des Generalanwalts Rantos in der Rechtssache Meta Platforms u. a. (Allgemeine Nutzungsbedingungen eines sozialen Netzwerks) (C‑252/21, EU:C:2022:704, Nr. 60).
42 Siehe Nr. 74 der vorliegenden Schlussanträge.
43 Vgl. Urteile vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 30), und vom 17. Juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, Rn. 110).
44 Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
45 Vgl. in diesem Sinne Heberlein, H., DS-GVO – Kommentar, München, 2017, Art. 6, Rn. 28 und 32.
46 Vgl. in diesem Sinne Heberlein, H., a. a. O., Rn. 32, und Roßnagel, A., Datenschutzrecht, Simitis, S., Hornung, G., Spiecker, I. (Hrsg.), München, 2019, Art. 6, Rn. 23.
47 Vgl. Urteil vom 22. Juni 2022, Leistritz (C‑534/20, EU:C:2022:495, Rn. 26).
48 Vgl. Urteil vom 19. Oktober 2016, Breyer (C‑582/14, EU:C:2016:779, Rn. 62).
49 Vgl. Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, Rn. 66), in dem der Gerichtshof einige Bestimmungen der Richtlinie 95/46 und der DSGVO einheitlich ausgelegt hat.
50 Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1. Aufl., Baden-Baden, 2020, § 31, Rn. 6, bestätigen die Beurteilung des vorlegenden Gerichts, dass diese Bestimmungen bei der Wahl einer Rechtsgrundlage für den Erlass von § 31 BDSG nicht relevant seien.
51 Urteil vom 21. Juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, Rn. 293).