Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 07.12.2023 - C-634/21
EuGH 07.12.2023 - C-634/21 - URTEIL DES GERICHTSHOFS (Erste Kammer) - 7. Dezember 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 22 – Automatisierte Entscheidung im Einzelfall – Wirtschaftsauskunfteien – Automatisierte Erstellung eines Wahrscheinlichkeitswerts in Bezug auf die Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen (‚Scoring‘) – Verwendung dieses Wahrscheinlichkeitswerts durch Dritte“
Leitsatz
In der Rechtssache C-634/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgericht Wiesbaden (Deutschland) mit Beschluss vom 1. Oktober 2021, beim Gerichtshof eingegangen am 15. Oktober 2021, in dem Verfahren
OQ
gegen
Land Hessen,
Beteiligte:
SCHUFA Holding AG,
erlässt
DER GERICHTSHOF (Erste Kammer)
unter Mitwirkung des Kammerpräsidenten A. Arabadjiev, der Richter T. von Danwitz, P. G. Xuereb und A. Kumin (Berichterstatter) sowie der Richterin I. Ziemele,
Generalanwalt: P. Pikamäe,
Kanzler: C. Di Bella, Verwaltungsrat,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 26. Januar 2023,
unter Berücksichtigung der Erklärungen
von OQ, vertreten durch Rechtsanwalt U. Schmidt,
des Landes Hessen, vertreten durch Rechtsanwälte M. Kottmann und G. Ziegenhorn,
der SCHUFA Holding AG, vertreten durch G. Thüsing und Rechtsanwalt U. Wuermeling,
der deutschen Regierung, vertreten durch P.-L. Krüger als Bevollmächtigten,
der dänischen Regierung, vertreten durch V. Pasternak Jørgensen, M. Søndahl Wolff und Y. Thyregod Kollberg als Bevollmächtigte,
der portugiesischen Regierung, vertreten durch P. Barros da Costa, I. Oliveira, M. J. Ramos und C. Vieira Guerra als Bevollmächtigte,
der finnischen Regierung, vertreten durch M. Pere als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 16. März 2023
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 6 Abs. 1 und Art. 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen OQ und dem Land Hessen (Deutschland) wegen der Weigerung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland) (im Folgenden: HBDI), gegenüber der SCHUFA Holding AG (im Folgenden: SCHUFA) zu verfügen, dass sie dem Begehren von OQ nach Auskunft und Löschung der sie betreffenden personenbezogenen Daten nachzukommen habe.
Rechtlicher Rahmen
Unionsrecht
Im 71. Erwägungsgrund der DSGVO heißt es:
„Die betroffene Person sollte das Recht haben, keiner Entscheidung – was eine Maßnahme einschließen kann – zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das ‚Profiling‘, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der [Europäischen] Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen.
Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.“
Art. 4 („Begriffsbestimmungen“) DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
‚Profiling‘ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
…“
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO bestimmt:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … (‚Zweckbindung‘);
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; … (‚Richtigkeit‘);
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; … (‚Speicherbegrenzung‘);
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, … (‚Integrität und Vertraulichkeit‘);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 und 3 DSGVO sieht vor:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
…
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
Unionsrecht oder
das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. …“
In Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO heißt es:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
…
die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
…“
Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) Abs. 2 DSGVO bestimmt:
„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
…
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“
Art. 14 („Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“) Abs. 2 DSGVO bestimmt:
„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
…
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“
In Art. 15 („Auskunftsrecht der betroffenen Person“) Abs. 1 DSGVO heißt es:
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
…
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“
Art. 22 („Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“) DSGVO sieht vor:
„(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling –beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.“
Art. 78 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“) Abs. 1 DSGVO bestimmt:
„Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.“
Deutsches Recht
§ 31 („Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“) des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097, im Folgenden: BDSG) lautet:
„(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
die Vorschriften des Datenschutzrechts eingehalten wurden,
die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,
die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
die der Schuldner ausdrücklich anerkannt hat,
bei denen
der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
die erste Mahnung mindestens vier Wochen zurückliegt,
der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.“
Ausgangsverfahren und Vorlagefragen
Die SCHUFA ist eine private Gesellschaft deutschen Rechts, die ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter, insbesondere Verbraucher, versorgt. Dazu prognostiziert sie aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens („Score-Wert“), wie beispielsweise die Rückzahlung eines Kredits. Die Erstellung von Score-Werten („Scoring“) basiert auf der Annahme, dass durch die Zuordnung einer Person zu einer Gruppe anderer Personen mit vergleichbaren Merkmalen, die sich in einer bestimmten Weise verhalten haben, ein ähnliches Verhalten vorausgesagt werden kann.
Aus dem Vorabentscheidungsersuchen geht hervor, dass OQ, nachdem durch die SCHUFA eine negative Auskunft erteilt worden war, die Kreditierung durch einen Dritten verweigert wurde. OQ forderte die SCHUFA auf, Auskunft über die gespeicherten personenbezogenen Daten zu erteilen und die nach Auffassung von OQ unrichtigen Daten zu löschen.
Als Antwort auf diese Anfrage informierte die SCHUFA OQ über die Höhe ihres Score-Werts und legte in groben Zügen dar, wie die Score-Werte berechnet werden. Sie weigerte sich jedoch unter Berufung auf das Betriebs- und Geschäftsgeheimnis, die bei dieser Berechnung berücksichtigten Einzelinformationen sowie deren Gewichtung offenzulegen. Schließlich wies die SCHUFA darauf hin, dass sie sich darauf beschränke, ihren Vertragspartnern Informationen zukommen zu lassen, und dass diese die eigentlichen Vertragsentscheidungen träfen.
OQ beantragte mit einer am 18. Oktober 2018 erhobenen Beschwerde beim HBDI, der zuständigen Aufsichtsbehörde, gegenüber der SCHUFA zu verfügen, dass sie ihrem Begehren nach Auskunft und Löschung nachzukommen habe.
Mit Bescheid vom 3. Juni 2020 lehnte der HBDI diesen Antrag mit der Begründung ab, es sei nicht erwiesen, dass die SCHUFA die Anforderungen von § 31 BDSG in Bezug auf ihre Tätigkeit nicht erfülle.
OQ erhob gegen diesen Bescheid gemäß Art. 78 Abs. 1 DSGVO Klage beim Verwaltungsgericht Wiesbaden (Deutschland), dem vorlegenden Gericht.
Nach Ansicht dieses Gerichts ist für die Entscheidung des bei ihm anhängigen Rechtsstreits zu klären, ob die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden eine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 Abs. 1 DSGVO darstellt. Wenn ja, wäre nämlich die Rechtmäßigkeit dieser Tätigkeit nach Art. 22 Abs. 2 Buchst. b DSGVO davon abhängig, dass diese Entscheidung nach dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, zulässig ist.
Insoweit hegt das vorlegende Gericht Zweifel an der Auffassung, dass Art. 22 Abs. 1 DSGVO auf die Tätigkeit von Gesellschaften wie der SCHUFA nicht anwendbar sei. Es stützt seine Zweifel in tatsächlicher Hinsicht auf die Bedeutung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden für die Entscheidungspraxis Dritter, denen dieser Wahrscheinlichkeitswert übermittelt wird, und in rechtlicher Hinsicht hauptsächlich auf die mit Art. 22 Abs. 1 DSGVO verfolgten Zwecke sowie auf die in der DSGVO verbürgten Rechtsschutzgewährleistungen.
Insbesondere hebt das vorlegende Gericht hervor, dass es normalerweise der Wahrscheinlichkeitswert sei, der bestimme, ob und wie der Dritte mit der betroffenen Person einen Vertrag eingehe. Art. 22 DSGVO ziele aber gerade darauf ab, Personen vor den Risiken zu schützen, die mit rein auf Automation gründenden Entscheidungen verbunden seien.
Wäre Art. 22 Abs. 1 DSGVO hingegen dahin auszulegen, dass die Eigenschaft einer „automatisierten Entscheidung im Einzelfall“ in einer Situation wie der im Ausgangsverfahren in Rede stehenden nur der Entscheidung des Dritten gegenüber der betroffenen Person zuerkannt werden könne, ergäbe sich daraus eine Rechtsschutzlücke. Zum einen wäre nämlich eine Gesellschaft wie die SCHUFA nicht verpflichtet, Auskunft über die zusätzlichen Informationen zu erteilen, auf die die betroffene Person nach Art. 15 Abs. 1 Buchst. h DSGVO Anspruch habe, da sie nicht diejenige wäre, die eine „automatisierte Entscheidung“ im Sinne dieser Bestimmung und folglich im Sinne von Art. 22 Abs. 1 DSGVO treffe. Zum anderen könnte der Dritte, dem der Wahrscheinlichkeitswert mitgeteilt werde, diese zusätzlichen Informationen nicht vorlegen, da er nicht darüber verfüge.
Um eine solche Rechtsschutzlücke zu vermeiden, sei es daher erforderlich, dass die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO falle.
Folgte man einer solchen Auslegung, wäre somit die Rechtmäßigkeit dieser Tätigkeit gemäß Art. 22 Abs. 2 Buchst. b DSGVO vom Bestehen einer Rechtsgrundlage auf der Ebene des betreffenden Mitgliedstaats abhängig. Im vorliegenden Fall könnte zwar § 31 BDSG in Deutschland eine solche Rechtsgrundlage darstellen, doch bestünden erhebliche Zweifel an der Vereinbarkeit dieser Bestimmung mit Art. 22 DSGVO, da der deutsche Gesetzgeber nur die „Verwendung“ eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden regele, nicht aber die Ermittlung dieses Wertes als solche.
Wenn hingegen die Ermittlung eines solchen Wahrscheinlichkeitswerts keine automatisierte Entscheidung im Einzelfall im Sinne von Art. 22 DSGVO darstelle, würde die Öffnungsklausel in Art. 22 Abs. 2 Buchst. b DSGVO auch nicht für nationale Rechtsvorschriften gelten, die diese Tätigkeit beträfen. In Anbetracht des grundsätzlich abschließenden Charakters der DSGVO und mangels einer anderen Rechtsetzungsbefugnis für solche nationalen Regelungen habe es den Anschein, dass der deutsche Gesetzgeber, indem er die Ermittlung von Wahrscheinlichkeitswerten an weiter gehende inhaltliche Zulässigkeitsvoraussetzungen knüpfe, die Regelungsmaterie über die Vorgaben der Art. 6 und 22 DSGVO hinaus spezifiziere, ohne über eine Befugnis hierfür zu verfügen. Wäre dieser Standpunkt richtig, würde dies den Prüfungsspielraum der nationalen Aufsichtsbehörde ändern, die dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DSGVO zu messen hätte.
Unter diesen Umständen hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist Art. 22 Abs. 1 DSGVO dahin gehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt?
Falls die erste Vorlagefrage zu verneinen ist:
Sind Art. 6 Abs. 1 und Art. 22 DSGVO dahin gehend auszulegen, dass sie einer innerstaatlichen Regelung entgegenstehen, nach der die Verwendung eines Wahrscheinlichkeitswerts – vorliegend über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei der Einbeziehung von Informationen über Forderungen – über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nur zulässig ist, wenn bestimmte weitere Voraussetzungen, die in der Vorlagebegründung näher ausgeführt sind, erfüllt sind?
Zulässigkeit des Vorabentscheidungsersuchens
Die SCHUFA hält das Vorabentscheidungsersuchen für unzulässig, da erstens das vorlegende Gericht nicht berufen sei, den Inhalt einer von einer Aufsichtsbehörde wie dem HBDI erlassenen Beschwerdeentscheidung zu überprüfen; der in Art. 78 Abs. 1 DSGVO vorgesehene Rechtsbehelf gegen einen solchen Beschluss diene nur dazu, zu überprüfen, ob diese Behörde ihren Verpflichtungen aus dieser Verordnung, insbesondere derjenigen zur Bearbeitung von Beschwerden, nachgekommen sei. Dabei liege es im Ermessen dieser Behörde, ob und wie sie tätig werden solle.
Zweitens macht die SCHUFA geltend, das vorlegende Gericht lege nicht die genauen Gründe dar, aus denen die vorgelegten Fragen für die Entscheidung des Ausgangsrechtsstreits entscheidungserheblich seien. Letzterer habe das Ersuchen auf Auskunft zu einem konkreten Score-Wert und dessen Löschung zum Gegenstand. Im vorliegenden Fall sei die SCHUFA aber ihrer Auskunftspflicht hinreichend nachgekommen und habe bereits den Score-Wert, der Gegenstand des Verfahrens sei, gelöscht.
Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs allein das nationale Gericht, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof von ihm vorgelegten Fragen zu beurteilen hat. Daher ist der Gerichtshof grundsätzlich gehalten, über ihm vorgelegte Fragen zu befinden, wenn sie die Auslegung einer Vorschrift des Unionsrechts betreffen (Urteil vom 12. Januar 2023, DOBELES HES,C-702/20 und C-17/21, EU:C:2023:1, Rn. 46 und die dort angeführte Rechtsprechung).
Daraus folgt, dass für Fragen, die das Unionsrecht betreffen, eine Vermutung der Entscheidungserheblichkeit spricht. Der Gerichtshof kann es nur dann ablehnen, über eine Vorlagefrage eines nationalen Gerichts zu befinden, wenn die erbetene Auslegung einer Unionsvorschrift offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil vom 12. Januar 2023, DOBELES HES,C-702/20 und C-17/21, EU:C:2023:1, Rn. 47 und die dort angeführte Rechtsprechung).
Was erstens den Unzulässigkeitsgrund betrifft, der auf eine angeblich begrenzte gerichtliche Überprüfung gestützt wird, der die Beschlüsse einer Aufsichtsbehörde über eine Beschwerde unterliegen sollen, ist darauf hinzuweisen, dass nach Art. 78 Abs. 1 DSGVO jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde hat.
Im vorliegenden Fall stellt der vom HBDI als Aufsichtsbehörde erlassene Bescheid einen rechtsverbindlichen Beschluss im Sinne von Art. 78 Abs. 1 DSGVO dar. Nachdem diese Behörde die Begründetheit der Beschwerde, mit der sie befasst worden war, geprüft hatte, hat sie nämlich über diese entschieden und festgestellt, dass die von der Klägerin im Ausgangsverfahren angefochtene Verarbeitung personenbezogener Daten rechtmäßig sei.
Was den Umfang der gerichtlichen Überprüfung eines solchen Beschlusses im Rahmen eines nach Art. 78 Abs. 1 DSGVO eingelegten Rechtsbehelfs betrifft, genügt die Feststellung, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt (Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:XXX, Nr. 1 des Tenors].
Der erste von der SCHUFA geltend gemachte Unzulässigkeitsgrund ist somit zurückzuweisen.
Zweitens geht aus dem Vorabentscheidungsersuchen klar hervor, dass das vorlegende Gericht wissen möchte, welcher Prüfungsmaßstab bei der Beurteilung der im Ausgangsverfahren in Rede stehenden Verarbeitung personenbezogener Daten im Licht der DSGVO heranzuziehen ist, wobei dieser Maßstab davon abhängt, ob Art. 22 Abs. 1 dieser Verordnung anwendbar ist oder nicht.
Daher ist nicht offensichtlich erkennbar, dass die vom vorlegenden Gericht erbetene Auslegung der DSGVO in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht oder dass das Problem hypothetischer Natur ist. Im Übrigen verfügt der Gerichtshof über die tatsächlichen und rechtlichen Angaben, die für eine sachdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind.
Folglich ist auch der zweite von der SCHUFA geltend gemachte Unzulässigkeitsgrund zurückzuweisen.
Unter diesen Umständen ist das Vorabentscheidungsersuchen zulässig.
Zu den Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Zur Beantwortung dieser Frage ist zunächst darauf hinzuweisen, dass bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 22. Juni 2023, Pankki S,C-579/21, EU:C:2023:501, Rn. 38 und die dort angeführte Rechtsprechung).
Was den Wortlaut von Art. 22 Abs. 1 DSGVO angeht, so sieht diese Bestimmung vor, dass eine betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Die Anwendbarkeit dieser Bestimmung hängt somit von drei kumulativen Voraussetzungen ab, nämlich davon, dass erstens eine „Entscheidung“ vorliegen muss, zweitens diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung, – einschließlich Profiling – [beruhen]“ muss und drittens sie „gegenüber [der betroffenen Person] rechtliche Wirkung“ entfalten oder sie „in ähnlicher Weise erheblich“ beeinträchtigen muss.
Was erstens die Voraussetzung des Vorliegens einer Entscheidung betrifft, ist festzustellen, dass der Begriff „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO in dieser Verordnung nicht definiert wird. Bereits aus dem Wortlaut dieser Bestimmung ergibt sich jedoch, dass sich dieser Begriff nicht nur auf Handlungen bezieht, die rechtliche Wirkung gegenüber der betroffenen Person entfalten, sondern auch auf Handlungen, die diese Person in ähnlicher Weise erheblich beeinträchtigen.
Die weite Bedeutung des Begriffs „Entscheidung“ wird durch den 71. Erwägungsgrund der DSGVO bestätigt, wonach eine Entscheidung zur Bewertung persönlicher Aspekte, die eine Person betreffen, „eine Maßnahme einschließen [kann]“, die entweder „rechtliche Wirkung für die betroffene Person“ entfaltet oder „sie in ähnlicher Weise erheblich beeinträchtigt“, wobei die betroffene Person das Recht haben sollte, einer solchen Entscheidung nicht unterworfen zu werden. Nach diesem Erwägungsgrund umfasst der Begriff „Entscheidung“ beispielsweise die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Da der Begriff „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO somit, wie der Generalanwalt in Nr. 38 seiner Schlussanträge ausgeführt hat, mehrere Handlungen umfassen kann, die die betroffene Person in vielerlei Weise beeinträchtigen können, ist dieser Begriff weit genug, um das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts mit einzuschließen.
Was zweitens die Voraussetzung angeht, dass die Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO „ausschließlich auf einer automatisierten Verarbeitung, – einschließlich Profiling – [beruhen]“ muss, steht, wie der Generalanwalt in Nr. 33 seiner Schlussanträge ausgeführt hat, fest, dass eine Tätigkeit wie die der SCHUFA der Definition des „Profiling“ in Art. 4 Nr. 4 DSGVO entspricht und dass diese Voraussetzung somit im vorliegenden Fall erfüllt ist; der Wortlaut der ersten Vorlagefrage bezieht sich im Übrigen ausdrücklich auf die automatisierte Erstellung eines auf personenbezogene Daten zu einer Person gestützten Wahrscheinlichkeitswerts hinsichtlich deren Fähigkeit, künftig einen Kredit zu bedienen.
Was drittens die Voraussetzung betrifft, dass die Entscheidung gegenüber der betroffenen Person „rechtliche Wirkung“ entfalten oder sie „in ähnlicher Weise erheblich“ beeinträchtigen muss, ergibt sich bereits aus dem Inhalt der ersten Vorlagefrage, dass das Handeln des Dritten, dem der Wahrscheinlichkeitswert übermittelt wird, „maßgeblich“ von diesem Wert geleitet wird. So führt nach den Sachverhaltsfeststellungen des vorlegenden Gerichts im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen dazu, dass die Bank die Gewährung des beantragten Kredits ablehnt.
Folglich ist davon auszugehen, dass auch die dritte Voraussetzung, von der die Anwendung von Art. 22 Abs. 1 DSGVO abhängt, erfüllt ist, da ein Wahrscheinlichkeitswert wie der im Ausgangsverfahren fragliche die betroffene Person zumindest erheblich beeinträchtigt.
Daher ist unter Umständen wie jenen des Ausgangsverfahrens, unter denen der von einer Wirtschaftsauskunftei ermittelte und einer Bank mitgeteilte Wahrscheinlichkeitswert eine maßgebliche Rolle bei der Gewährung eines Kredits spielt, die Ermittlung dieses Wertes als solche als Entscheidung einzustufen, die im Sinne von Art. 22 Abs. 1 DSGVO gegenüber einer betroffenen Person „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.
Diese Auslegung wird durch den Zusammenhang, in dem Art. 22 Abs. 1 DSGVO steht, sowie durch die Zwecke und Ziele, die mit dieser Verordnung verfolgt werden, gestützt.
Insoweit ist darauf hinzuweisen, dass, wie der Generalanwalt in Nr. 31 seiner Schlussanträge festgestellt hat, Art. 22 Abs. 1 DSGVO der betroffenen Person das „Recht“ verleiht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Diese Bestimmung stellt ein grundsätzliches Verbot auf, dessen Verletzung von einer solchen Person nicht individuell geltend gemacht zu werden braucht.
Wie sich nämlich aus Art. 22 Abs. 2 DSGVO in Verbindung mit dem 71. Erwägungsgrund dieser Verordnung ergibt, ist der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung nur in den in Art. 22 Abs. 2 genannten Fällen zulässig, d. h., wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist (Buchst. a), wenn sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist (Buchst. b) oder wenn sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Buchst. c).
Außerdem sieht Art. 22 Abs. 2 Buchst. b und Abs. 3 DSGVO vor, dass angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorgesehen werden müssen. In den in Art. 22 Abs. 2 Buchst. a und c dieser Verordnung genannten Fällen gewährt der Verantwortliche der betroffenen Person mindestens das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
Ferner dürfen nach Art. 22 Abs. 4 DSGVO automatisierte Entscheidungen im Einzelfall im Sinne von diesem Art. 22 nur in bestimmten Sonderfällen auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 dieser Verordnung beruhen.
Darüber hinaus unterliegt im Fall einer automatisierten Entscheidungsfindung wie jener im Sinne von Art. 22 Abs. 1 DSGVO zum einen der Verantwortliche zusätzlichen Informationspflichten nach Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g dieser Verordnung. Zum anderen steht der betroffenen Person nach Art. 15 Abs. 1 Buchst. h DSGVO ein Auskunftsrecht gegenüber dem für die Verarbeitung Verantwortlichen zu, das insbesondere „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ betrifft.
Diese höheren Anforderungen an die Rechtmäßigkeit einer automatisierten Entscheidungsfindung sowie die zusätzlichen Informationspflichten des Verantwortlichen und die damit verbundenen zusätzlichen Auskunftsrechte der betroffenen Person erklären sich aus dem Zweck, den Art. 22 DSGVO verfolgt und der darin besteht, Personen vor den besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten – einschließlich Profiling – verbunden sind.
Diese Verarbeitung erfordert nämlich, wie sich aus dem 71. Erwägungsgrund der DSGVO ergibt, die Bewertung persönlicher Aspekte in Bezug auf die von dieser Verarbeitung betroffene natürliche Person, insbesondere zur Analyse oder Prognose von Aspekten bezüglich ihrer Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, Vorlieben oder Interessen, Zuverlässigkeit oder ihres Verhaltens, ihres Aufenthaltsorts oder Ortswechsels.
Diese besonderen Risiken sind nach diesem Erwägungsgrund geeignet, die Interessen und Rechte der betroffenen Person zu beeinträchtigen, insbesondere im Hinblick auf etwaige diskriminierende Wirkungen gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung. Daher sollte nach diesem Erwägungsgrund der betroffenen Person gegenüber eine faire und transparente Verarbeitung gewährleistet werden, insbesondere durch die Verwendung geeigneter mathematischer oder statistischer Verfahren für das Profiling und durch technische und organisatorische Maßnahmen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird.
Die in den Rn. 42 bis 50 des vorliegenden Urteils dargelegte Auslegung und insbesondere die weite Bedeutung des Begriffs „Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO verstärkt den wirksamen Schutz, auf den diese Bestimmung abzielt.
Hingegen bestünde unter Umständen wie jenen des Ausgangsverfahrens, an denen drei Akteure beteiligt sind, die Gefahr einer Umgehung von Art. 22 DSGVO und folglich eine Rechtsschutzlücke, wenn einer engen Auslegung dieser Bestimmung der Vorzug gegeben würde, nach der die Ermittlung des Wahrscheinlichkeitswerts nur als vorbereitende Handlung anzusehen ist und nur die vom Dritten vorgenommene Handlung gegebenenfalls als „Entscheidung“ im Sinne von Art. 22 Abs. 1 dieser Verordnung eingestuft werden kann.
In diesem Fall würde nämlich die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden nicht den besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DSGVO unterliegen, obwohl dieses Verfahren auf einer automatisierten Verarbeitung beruht und Wirkungen entfaltet, welche die betroffene Person erheblich beeinträchtigen, da das Handeln des Dritten, dem dieser Wahrscheinlichkeitswert übermittelt wird, von diesem maßgeblich geleitet ist.
Außerdem könnte die betroffene Person, wie der Generalanwalt in Nr. 48 seiner Schlussanträge ausgeführt hat, zum einen bei der Wirtschaftsauskunftei, die den sie betreffenden Wahrscheinlichkeitswert ermittelt, ihr Recht auf Auskunft über die in Art. 15 Abs. 1 Buchst. h DSGVO genannten spezifischen Informationen nicht geltend machen, wenn keine automatisierte Entscheidungsfindung durch dieses Unternehmen vorliegt. Zum anderen wäre der Dritte – unter der Annahme, dass die von ihm vorgenommene Handlung unter Art. 22 Abs. 1 DSGVO fiele, da sie die Voraussetzungen für die Anwendung dieser Bestimmung erfüllte – nicht in der Lage, diese spezifischen Informationen vorzulegen, weil er darüber im Allgemeinen nicht verfügt.
Dass die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden von Art. 22 Abs. 1 DSGVO erfasst wird, hat, wie in den Rn. 53 bis 55 des vorliegenden Urteils ausgeführt, zur Folge, dass sie verboten ist, es sei denn, eine der in Art. 22 Abs. 2 DSGVO genannten Ausnahmen ist anwendbar und die besonderen Anforderungen von Art. 22 Abs. 3 und 4 DSGVO sind erfüllt.
Was insbesondere Art. 22 Abs. 2 Buchst. b DSGVO betrifft, auf den das vorlegende Gericht Bezug nimmt, ergibt sich bereits aus dem Wortlaut dieser Bestimmung, dass die nationalen Rechtsvorschriften, die den Erlass einer automatisierten Entscheidung im Einzelfall erlauben, angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten müssen.
Im Licht des 71. Erwägungsgrundes der DSGVO müssen solche Maßnahmen insbesondere die Verpflichtung des Verantwortlichen umfassen, geeignete mathematische oder statistische Verfahren zu verwenden, technische und organisatorische Maßnahmen zu treffen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird und Fehler korrigiert werden, und personenbezogene Daten in einer Weise zu sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und insbesondere zu verhindern, dass es ihr gegenüber zu diskriminierenden Wirkungen kommt. Diese Maßnahmen umfassen außerdem mindestens das Recht der betroffenen Person auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der gegen sie erlassenen Entscheidung.
Ferner ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs jede Verarbeitung personenbezogener Daten mit den in Art. 5 DSGVO festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang stehen und in Anbetracht des in Art. 5 Abs. 1 Buchst. a vorgesehenen Grundsatzes der Rechtmäßigkeit der Verarbeitung eine der in Art. 6 dieser Verordnung aufgeführten Bedingungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss (Urteil vom 20. Oktober 2022, Digi,C-77/21, EU:C:2022:805, Rn. 49 und die dort angeführte Rechtsprechung). Der Verantwortliche muss die Einhaltung dieser Grundsätze nach dem in Art. 5 Abs. 2 DSGVO niedergelegten Grundsatz der Rechenschaftspflicht nachweisen können (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi,C-77/21, EU:C:2022:805, Rn. 24).
Ist nach den Rechtsvorschriften eines Mitgliedstaats gemäß Art. 22 Abs. 2 Buchst. b DSGVO der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zulässig, muss diese Verarbeitung somit nicht nur die in der letztgenannten Bestimmung und in Art. 22 Abs. 4 DSGVO aufgestellten Voraussetzungen erfüllen, sondern auch die Anforderungen in den Art. 5 und 6 dieser Verordnung. Folglich dürfen die Mitgliedstaaten keine Rechtsvorschriften nach Art. 22 Abs. 2 Buchst. b DSGVO erlassen, nach denen ein Profiling unter Missachtung der Anforderungen dieser Art. 5 und 6 in deren Auslegung durch die Rechtsprechung des Gerichtshofs zulässig ist.
Was insbesondere die in Art. 6 Abs. 1 Buchst. a, b und f DSGVO vorgesehenen Bedingungen für die Rechtmäßigkeit betrifft, die in einem Fall wie jenem des Ausgangsverfahrens Anwendung finden können, sind die Mitgliedstaaten nicht befugt, ergänzende Vorschriften für die Anwendung dieser Bedingungen vorzusehen, da eine solche Befugnis nach Art. 6 Abs. 3 DSGVO auf die in Art. 6 Abs. 1 Buchst. c und e dieser Verordnung genannten Gründe beschränkt ist.
Was außerdem im Einzelnen Art. 6 Abs. 1 Buchst. f DSGVO betrifft, dürfen die Mitgliedstaaten nach Art. 22 Abs. 2 Buchst. b DSGVO nicht von den Anforderungen abweichen, die sich aus der Rechtsprechung des Gerichtshofs nach dem Urteil vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C-26/22 und C-64/22, EU:C:2023:XXX), ergeben, insbesondere nicht dadurch, dass sie das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen abschließend vorschreiben (vgl. in diesem Sinne Urteil vom 19. Oktober 2016, Breyer,C-582/14, EU:C:2016:779, Rn. 62).
Im vorliegenden Fall weist das vorlegende Gericht darauf hin, dass nur § 31 BDSG eine nationale Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO darstellen könnte. Bezüglich der Vereinbarkeit dieses § 31 BDSG mit dem Unionsrecht bestehen für dieses Gericht aber durchgreifende Bedenken. Sollte diese Bestimmung als mit dem Unionsrecht unvereinbar angesehen werden, würde die SCHUFA nicht nur ohne Rechtsgrundlage handeln, sondern verstieße ipso iure gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot.
Insoweit ist es Sache des vorlegenden Gerichts, zu prüfen, ob § 31 BDSG als Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO qualifiziert werden kann, nach der es zulässig wäre, eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung zu erlassen. Sollte das vorlegende Gericht zu dem Schluss kommen, dass § 31 eine solche Rechtsgrundlage darstellt, hätte es noch zu prüfen, ob die in Art. 22 Abs. 2 Buchst. b und Abs. 4 DSGVO und in den Art. 5 und 6 DSGVO aufgestellten Anforderungen im vorliegenden Fall erfüllt sind.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Zur zweiten Frage
In Anbetracht der Antwort auf die erste Frage braucht die zweite Frage nicht beantwortet zu werden.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Erste Kammer) für Recht erkannt:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Rheinland-Pfalz/Saarland
Persönlicher Ansprechpartner