Bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO kann die betroffene Person vom Verantwortlichen „aussagekräftige Informationen über die involvierte Logik“ verlangen.
Einer Betroffenen wurde von einem österreichischen Mobilfunkbetreiber der Abschluss bzw. die Verlängerung eines Mobilfunkvertrags verweigert, weil sie gemäß einer automatisiert durchgeführten Bonitätsbeurteilung über keine ausreichende finanzielle Bonität verfüge.
Die Betroffene wandte sich an die österreichische Datenschutzbehörde, die der Firma auftrug, der Betroffenen aussagekräftige Informationen über die involvierte Logik der auf der Grundlage der personenbezogenen Daten erfolgten automatisierten Entscheidungsfindung zu übermitteln.
Gegen die Entscheidung der Datenschutzbehörde erhob die Firma Beschwerde an das Bundesverwaltungsgericht (Österreich) und machte im Wesentlichen geltend, der Betroffenen aufgrund eines geschützten Geschäftsgeheimnisses keine Informationen übermitteln zu können, die über die bereits zur Verfügung gestellten Informationen hinausgingen.
Fragen an den EuGH
Das Verwaltungsgericht Wien hat das Verfahren ausgesetzt und dem Europäischen Gerichtshof (EuGH) insbesondere folgende Fragen zur Vorabentscheidung vorgelegt:
1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO eingestuft zu werden?
2. Steht das durch Art. 15 Abs. 1 Buchstabe h DSGVO gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 DSGVO garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung im Sinne von Art. 22 DSGVO insofern in einem Zusammenhang, als der Umfang der aufgrund eines Auskunftsbegehrens im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 DSGVO garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung im Sinne von Art. 22 DSGVO tatsächlich, profund und erfolgversprechend wahrzunehmen?
3. a) Ist Art. 15 Abs. 1 Buchstabe h DSGVO dahin gehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ im Sinne dieser Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO möglich ist, festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?
b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der DSGVO geschützte Daten Dritter dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO zur Kenntnis gebracht werden müssen (Black-Box)?
Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht im Sinne von Art. 15 Abs. 1 DSGVO und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offengelegt werden, so dass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?
c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte im Sinne von Art. 15 Abs. 4 DSGVO durch die Schaffung der unter Punkt 3.b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?
Sind dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen im Sinne von Art. 15 Abs. 1 DSGVO bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?
4. a) Wie ist vorzugehen, wenn die zu erteilende Information im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO auch die Vorgaben eines Geschäftsgeheimnisses im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 erfüllt?
Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 Buchstabe h DSGVO garantierten Auskunftsrecht und dem durch die Richtlinie 2016/943 geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offengelegt werden, so dass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 auszugehen ist, und ob die vom Verantwortlichen im Sinne von Art. 15 Abs. 1 DSGVO erteilte Information den Tatsachen entspricht?
b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte im Sinne von Art. 15 Abs. 4 DSGVO durch die Schaffung der unter Punkt 4.a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?
Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchstabe h DSGVO jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DSGVO völlig zu ermöglichen:
– Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DSGVO erlauben;
– Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten;
– die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden;
– der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung;
– Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen;
– Erklärung, weshalb der Auskunftsberechtigte im Sinne des Art. 15 Abs. 1 Buchstabe h DSGVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,
– Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist?
5. Wird durch die Bestimmung des Art. 15 Abs. 4 DSGVO in irgendeiner Weise der Umfang der gemäß Art. 15 Abs. 1 Buchstabe h DSGVO zu erteilenden Auskunft beschränkt?
Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 DSGVO beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?
Entscheidung des EuGH
Zur ersten und zur zweiten Vorlagefrage sowie zur Vorlagefrage 3.a)
Mit der ersten und der zweiten Vorlagefrage sowie mit der Vorlagefrage 3.a), die gemeinsam zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 Buchstabe h DSGVO dahin auszulegen ist, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, umfassend die Verfahren und die Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.
Antwort des EuGH: Art. 15 Abs. 1 Buchstabe h DSGVO ist dahin auszulegen, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.
Zu den Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie zur fünften und zur sechsten Vorlagefrage
Mit den Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie der fünften und der sechsten Vorlagefrage, die gemeinsam zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 15 Abs. 1 Buchstabe h DSGVO dahin auszulegen ist, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.
Antwort des EuGH: Auf die Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie auf die fünfte und die sechste Vorlagefrage ist zu antworten, dass Art. 15 Abs. 1 Buchstabe h DSGVO dahin auszulegen ist, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.
Fazit
- Art. 15 Abs. 1 Buchstabe h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form die Verfahren und Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.
- Art. 15 Abs. 1 Buchstabe h der Verordnung 2016/679 ist dahin auszulegen, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.
