CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

SCHLUSSANTRÄGE DES GENERALANWALTS

JEAN RICHARD DE LA TOUR

vom 12. September 2024(1)

Rechtssache C‑203/22

CK,

Beteiligte:

Dun & Bradstreet Austria GmbH,

Magistrat der Stadt Wien

(Vorabentscheidungsersuchen des Verwaltungsgerichts Wien [Österreich])

„ Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 15 Abs. 1 Buchst. h – Art. 22 – Automatisierte Entscheidungsfindung einschließlich Profiling – Beurteilung der Bonität einer natürlichen Person – Zugang zu aussagekräftigen Informationen über die bei einer automatisierten Entscheidungsfindung involvierte Logik – Überprüfung der Richtigkeit der zur Verfügung gestellten Informationen und ihrer Übereinstimmung mit der betreffenden Rating-Entscheidung – Schutz der Rechte und Freiheiten anderer – Richtlinie (EU) 2016/943 – Geschäftsgeheimnis “

I. Einleitung

1. Das vorliegende Vorabentscheidungsersuchen bezieht sich auf die Auslegung von Art. 15 Abs. 1 Buchst. h und Abs. 4 sowie von Art. 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2) (im Folgenden: DSGVO) einerseits und von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung(3) andererseits.

2. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen CK und dem Magistrat der Stadt Wien (Österreich) über den Antrag auf Zwangsvollstreckung einer gerichtlichen Entscheidung, mit der ein Bonitätsbeurteilungsunternehmen verpflichtet wird, CK aussagekräftige Informationen über die einem Profiling ihrer personenbezogenen Daten zugrunde liegende Logik zur Verfügung zu stellen.

3. In den folgenden Ausführungen werde ich klarzustellen haben, was meines Erachtens unter „aussagekräftige[n] Informationen über die [einer automatisierten Entscheidungsfindung zugrunde liegende bzw. bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu verstehen ist und nach welchen Modalitäten eine Abwägung zwischen dem Recht auf Zugang zu solchen Informationen einerseits und dem Schutz der Rechte und Freiheiten anderer, etwa von Geschäftsgeheimnissen, andererseits zu erfolgen hat.

II. Sachverhalt des Ausgangsrechtsstreits und Vorlagefragen

4. CK wurde von einem Mobilfunkbetreiber der Abschluss bzw. die Verlängerung eines Mobilfunkvertrags, der eine monatliche Zahlung von 10 Euro zur Folge gehabt hätte, verweigert, weil sie nicht über eine ausreichende finanzielle Bonität verfüge. Die vermeintlich unzureichende Bonität von CK wurde mit einer Bonitätsbeurteilung begründet, die die Bisnode Austria GmbH (mittlerweile Dun & Bradstreet Austria GmbH, im Folgenden: D & B), ein auf die Bereitstellung solcher Bonitätsbeurteilungen spezialisiertes Unternehmen, automatisiert durchgeführt hatte.

5. CK stellte bei der österreichischen Datenschutzbehörde einen Antrag auf Erteilung relevanter Informationen über die der automatisierten Entscheidungsfindung durch D & B zugrunde liegende Logik. Diese Behörde gab dem Antrag statt.

6. D & B focht die Entscheidung der Behörde, mit der sie verpflichtet wurde, die von CK angeforderten Informationen zu übermitteln, vor dem Bundesverwaltungsgericht (Österreich) an.

7. Mit Entscheidung vom 23. Oktober 2019 bestätigte dieses Gericht die Entscheidung der österreichischen Datenschutzbehörde teilweise. So stellte es fest, dass D & B das Auskunftsrecht von CK aus Art. 15 Abs. 1 Buchst. h DSGVO verletzt habe, indem sie dieser keine aussagekräftigen Informationen über die bei der automatisierten Entscheidungsfindung in Bezug auf ihre personenbezogenen Daten involvierte Logik zur Verfügung gestellt oder zumindest nicht hinreichend begründet habe, weshalb sie nicht in der Lage gewesen sei, solche Informationen zu erteilen.

8. Diese Entscheidung des Bundesverwaltungsgerichts wurde rechtskräftig und ist nach österreichischem Recht vollstreckbar.

9. Der Antrag von CK auf Zwangsvollstreckung der Entscheidung wurde von der Vollstreckungsbehörde, dem Magistrat der Stadt Wien, gleichwohl mit der Begründung abgelehnt, dass D & B ihrer Informationspflicht bereits ausreichend nachgekommen sei.

10. Dagegen legte CK einen Rechtsbehelf beim Verwaltungsgericht Wien (Österreich), dem vorlegenden Gericht, ein. Dieses Gericht führt aus, dass es im Rahmen des Rechtsbehelfs anstelle der Vollstreckungsbehörde eine Entscheidung über die Vollstreckung der Entscheidung des Bundesverwaltungsgerichts zu treffen habe. Daher müsse es konkret bestimmen, welche Informationen D & B an CK zu übermitteln habe(4).

11. Vor diesem Hintergrund vertritt das vorlegende Gericht die Auffassung, dass Art. 15 Abs. 1 Buchst. h DSGVO der betroffenen Person ein Recht auf Zugang zu zutreffenden Informationen verleihe. Es lägen klare Anhaltspunkte dafür vor, dass die – wenigen – Informationen, die D & B bislang erteilt habe, den Tatsachen widersprächen. Während die Informationen, die CK zur Verfügung gestellt worden seien, ihr eine besonders hohe Kreditwürdigkeit bescheinigten, sei ihr durch das tatsächliche Profiling nämlich de facto jegliche Bonität abgesprochen worden, bis hin zur finanziellen Möglichkeit, jeden Monat einen Betrag von 10 Euro zu zahlen. Es bestehe somit ein offensichtlicher Widerspruch zwischen den CK übermittelten Informationen über die verarbeiteten, sie betreffenden personenbezogenen Daten und die bei der automatisierten Beurteilung involvierte Logik einerseits und der Schlussfolgerung, die der Mobilfunkbetreiber aus dem tatsächlich erstellten Rating gezogen habe, andererseits. Dieser Widerspruch wecke Zweifel an der Richtigkeit der CK bislang zur Verfügung gestellten Informationen.

12. Ausgehend von dieser Feststellung weist das vorlegende Gericht darauf hin, dass die betroffene Person bei einem Profiling nur dann ein Recht auf Zugang zu zutreffenden Informationen geltend machen könne, wenn Art. 15 Abs. 1 Buchst. h DSGVO ihr ein Auskunftsrecht verleihe, das umfassend genug sei, um es ihr zu ermöglichen, die Kohärenz und Verständlichkeit der vorgenommenen Beurteilung zu überprüfen und zu erkennen, ob die interne Logik, die ihr im Rahmen ihres Auskunftsrechts mitgeteilt worden sei, tatsächlich als Grundlage für das Profiling gedient habe, dem sie unterzogen worden sei. Im Grunde genommen müsse die betroffene Person hinreichend detaillierte Informationen über die verarbeiteten personenbezogenen Daten und die der automatisierten Entscheidungsfindung zugrunde liegende interne Logik erhalten können, damit sie in die Lage versetzt werde, diese Entscheidungsfindung nachzuvollziehen und ihre Richtigkeit zu überprüfen.

13. Die vorstehende Auslegung von Art. 15 Abs. 1 Buchst. h DSGVO sei geeignet, die praktische Wirksamkeit dieser Vorschrift zu gewährleisten, indem sie die Übermittlung falscher Informationen durch den Verantwortlichen verhindere. Zudem versetze sie die betroffene Person in die Lage, die ihr durch Art. 22 Abs. 3 DSGVO verliehenen Rechte auszuüben, d. h. insbesondere das Recht, den eigenen Standpunkt zu einer automatisierten Einzelentscheidung darzulegen sowie deren Kohärenz und Richtigkeit anzufechten.

14. Das Erfordernis, wonach die betroffene Person die Kohärenz und Richtigkeit der gemäß Art. 15 Abs. 1 Buchst. h DSGVO zur Verfügung gestellten Informationen überprüfen können müsse, habe erhebliche Auswirkungen auf die Frage, in welchem Ausmaß und mit welchem Detaillierungsgrad der Verantwortliche nach dieser Vorschrift zur Offenlegung von Informationen verpflichtet sei.

15. Im Rahmen des Ausgangsverfahrens bestellte das vorlegende Gericht einen Sachverständigen, um konkret festzustellen, welche Informationen D & B gemäß der Entscheidung des Bundesverwaltungsgerichts an CK weitergeben muss.

16. Um eine zwangsvollstreckungsfähige Konkretisierung, die Gewährleistung der Verständlichkeit der automatisierten Entscheidungsfindung sowie eine Überprüfung der Richtigkeit und Kohärenz der zur Verfügung gestellten Informationen zu ermöglichen, sollte die betroffene Person aufgrund des ihr durch Art. 15 Abs. 1 Buchst. h DSGVO garantierten Auskunftsrechts nach Ansicht des bestellten Sachverständigen in hinreichend detaillierter und ausführlicher Form mindestens folgende Informationen erhalten:

– erstens, welche sie betreffenden personenbezogenen Daten im Rahmen der Bildung von Faktoren nach welchen Modalitäten verarbeitet worden sind, mit der Angabe, ob diese Daten gewichtet wurden,

– zweitens die wesentlichen Teile des Algorithmus, auf dem die automatisierte Entscheidungsfindung beruht, was jedenfalls Folgendes umfasst: die mathematische Formel, in die alle für die Berechnung des Ratings relevanten Informationen in Form von Zahlenwerten eingegeben werden können, damit diese Formel zu diesem Rating führt, die verständliche Erläuterung aller in der genannten Formel verwendeten Werte, insbesondere derjenigen, die nicht unmittelbar aus den über die betroffene Person gespeicherten Informationen abgeleitet werden, und

– drittens relevante Informationen, die es ermöglichen, einen Zusammenhang zwischen den verarbeiteten Informationen und der vorgenommenen Bewertung herzustellen, was insbesondere die Angabe und angemessene Beschreibung der Valuierungsfunktionen aller in dieser Formel verwendeten Werte umfasst, die Darstellung der Informationen, die erforderlich sind, um im Fall von Intervallbewertungen einen Zusammenhang zwischen den Informationen und der Bewertung herzustellen, sowie die Darstellung der verwendeten Kataster- oder Indexfunktionen.

17. Aus dem Gutachten geht hervor, dass allein eine Mitteilung der mathematischen Formel und der Valuierungsfunktionen aller in dieser Formel verwendeten Werte es CK ermögliche, das Profiling nachzuvollziehen, dem sie unterzogen worden sei, so dass sie nur mit Hilfe dieser Informationen ihre Rechte aus Art. 22 Abs. 3 DSGVO geltend machen, den eigenen Standpunkt darlegen und die auf einer automatisierten Verarbeitung beruhende Entscheidung anfechten könne.

18. Dem Gutachten zufolge sollte D & B, um eine Überprüfung der Richtigkeit der übermittelten Mindestinformationen zu ermöglichen, darüber hinaus relativ vollständig und ausführlich sowie als Vergleichsgrundlage eine Liste aller Informationen über mindestens 25 Fälle vergleichbarer, nicht anonymisierter und mit derselben Berechnungsregel erstellter Profilings aus der Zeit desjenigen von CK aufsetzen und vorlegen.

19. Zum letztgenannten Aspekt stellt das vorlegende Gericht fest, dass eine Übermittlung derartiger Informationen geeignet sei, die Rechte auf Schutz der personenbezogenen Daten zu beeinträchtigen, die in als Vergleichsgrundlage dienenden Profiling-Fällen ausgewertet worden seien.

20. Daher fragt sich dieses Gericht u. a. in Anbetracht von Art. 9 der Richtlinie 2016/943, ob das Spannungsverhältnis zwischen den verschiedenen widerstreitenden Interessen aufgelöst werden könnte, wenn die personenbezogenen Daten Dritter, die für eine Überprüfung der Richtigkeit der übermittelten Mindestinformationen erforderlich sind, nur der zuständigen Behörde oder dem zuständigen Gericht übermittelt würden, die dann eigenständig prüfen würden, ob diese Daten Dritter den Tatsachen entsprechen.

21. Das vorlegende Gericht stellt ferner fest, dass der in einem Profiling verwendete Algorithmus nach der Rechtsprechung des Obersten Gerichtshofs (Österreich) und der herrschenden Lehre ein Geschäftsgeheimnis im Sinne der Richtlinie 2016/943 sei. Es weist insoweit darauf hin, dass sich D & B in Bezug auf den der Verarbeitung zugrunde liegenden Algorithmus auf ein schutzwürdiges Geschäftsgeheimnis berufen habe, um die Übermittlung ausreichender Informationen über die der automatisierten Entscheidungsfindung zugrunde liegende Logik zu verweigern. Auch hier fragt sich dieses Gericht, ob das Spannungsverhältnis zwischen den Interessen der betroffenen Person und denen des Verantwortlichen aufgelöst werden könnte, wenn die als „Geschäftsgeheimnis“ im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 eingestuften Informationen nur der zuständigen Behörde oder dem zuständigen Gericht offengelegt würden, die eigenständig prüfen würden, ob eine solche Einstufung vorgenommen werden kann und die vom Verantwortlichen nach Art. 15 Abs. 1 Buchst. h DSGVO zur Verfügung gestellten Informationen der Wirklichkeit entsprechen.

22. Das vorlegende Gericht hebt jedoch hervor, dass diese Art der Lösung von Konflikten zwischen den verschiedenen widerstreitenden Interessen den Nachteil habe, dass der betroffenen Person detaillierte Informationen vorenthalten würden, wodurch das in der letztgenannten Vorschrift garantierte Auskunftsrecht eingeschränkt oder sogar unmöglich gemacht werde. Das könne die betroffene Person daran hindern, zu überprüfen, ob die vom Verantwortlichen zur Verfügung gestellten Informationen verständlich und zutreffend seien, sowie die Rechte auszuüben, die ihr u. a. durch Art. 22 Abs. 3 DSGVO und Art. 47 der Charta der Grundrechte der Europäischen Union(5) garantiert würden.

23. Im Rahmen der Abwägung, die zwischen den Interessen der Person, die ein Auskunftsrecht beantragt, und denen des Verantwortlichen vorzunehmen ist, ersucht das vorlegende Gericht – u. a. in Anbetracht von § 4 Abs. 6 des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten vom 17. August 1999(6) in der im Ausgangsverfahren anwendbaren Fassung(7) (im Folgenden: DSG) – darüber hinaus um Auslegung von Art. 15 Abs. 4 und Art. 23 Abs. 1 Buchst. i DSGVO im Licht des 63. Erwägungsgrundes dieser Verordnung.

24. Daher hat das Verwaltungsgericht Wien beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO eingestuft zu werden?

Sind – allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses – im Falle eines Profilings vom Verantwortlichen im Rahmen der Beauskunftung der „involvierten Logik“ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere die Bekanntgabe der verarbeiteten Daten des Betroffenen, die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zugrunde liegenden Algorithmus und die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben?

Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DSGVO zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DSGVO erlauben,

b) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde, sowie

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist?

2. Steht das durch Art. 15 Abs. 1 Buchst. h DSGVO gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 DSGVO garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung im Sinne von Art. 22 DSGVO insofern in einem Zusammenhang, als der Umfang der aufgrund eines Auskunftsbegehrens im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 DSGVO garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung im Sinne von Art. 22 DSGVO tatsächlich, profund und Erfolg versprechend wahrzunehmen?

3. a) Ist Art. 15 Abs. 1 Buchst. h DSGVO dahin gehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ im Sinne dieser Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO möglich ist, festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?

b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, dass auch von der DSGVO geschützte Daten Dritter dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zur Kenntnis gebracht werden müssen (Blackbox)?

Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht im Sinne von Art. 15 Abs. 1 DSGVO und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, dass die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offengelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?

c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte im Sinne von Art. 15 Abs. 4 DSGVO durch die Schaffung der unter Punkt 3b) angesprochenen Blackbox jedenfalls eingeräumt zu werden?

Sind dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen im Sinne von Art. 15 Abs. 1 DSGVO bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?

4. a) Wie ist vorzugehen, wenn die zu erteilende Information im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO auch die Vorgaben eines Geschäftsgeheimnisses im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 Buchst. h DSGVO garantierten Auskunftsrecht und dem durch die Richtlinie 2016/943 geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, dass die als Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offengelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 auszugehen ist und ob die vom Verantwortlichen im Sinne von Art. 15 Abs. 1 DSGVO erteilte Information den Tatsachen entspricht?

b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte im Sinne von Art. 15 Abs. 4 DSGVO durch die Schaffung der unter Punkt 4a) angesprochenen Blackbox jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 DSGVO völlig zu ermöglichen:

i) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der DSGVO erlauben,

ii) Zurverfügungstellung der zur Profilerstellung verwendeten Eingabedaten,

iii) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

iv) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

v) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

vi) Erklärung, weshalb der Auskunftsberechtigte im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde, sowie

vii) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist?

5. Wird durch die Bestimmung von Art. 15 Abs. 4 DSGVO in irgendeiner Weise der Umfang der gemäß Art. 15 Abs. 1 Buchst. h DSGVO zu erteilenden Auskunft beschränkt?

Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 DSGVO beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?

6. Ist die Bestimmung von § 4 Abs. 6 DSG, wonach „[d]as Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO … gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht [besteht], wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde“, mit den Vorgaben von Art. 15 Abs. 1 in Verbindung mit Art. 22 Abs. 3 DSGVO vereinbar? Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?

25. CK, D & B, die spanische, die niederländische und die polnische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht.

III. Würdigung

A. Einleitende Bemerkungen

26. Gemäß Art. 22 Abs. 1 DSGVO hat „[d]ie betroffene Person … das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“(8). Dieses Verbot gilt jedoch nicht in den in Art. 22 Abs. 2 DSGVO aufgeführten Fällen, auf die ich in den folgenden Ausführungen zurückkommen werde.

27. In seinem Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. (Scoring)(9), hat der Gerichtshof entschieden, dass Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet(10).

28. Im Anschluss an dieses Urteil ist das vorlegende Gericht vom Gerichtshof aufgefordert worden, ihm mitzuteilen, ob es sein Vorabentscheidungsersuchen aufrechterhalten wolle, was es bejaht hat. Es hat nämlich im Wesentlichen die Auffassung vertreten, dass das genannte Urteil nicht auf seine Fragen u. a. zur Art und Weise antworte, in der das Spannungsverhältnis zwischen den Rechten der betroffenen Person auf Schutz ihrer personenbezogenen Daten und den Interessen des Verantwortlichen am Schutz von Geschäftsgeheimnissen aufgelöst werden könne. Darüber hinaus antworte es nicht auf die Frage nach dem erforderlichen Detaillierungsgrad der „aussagekräftige[n] Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO.

29. Die vorliegende Rechtssache wird den Gerichtshof daher veranlassen, sein Urteil SCHUFA Holding u. a. (Scoring)(11) zu ergänzen und die Tragweite des durch diese Vorschrift garantierten Auskunftsrechts zu präzisieren.

30. Das vorlegende Gericht hat nämlich den Umfang und den Detaillierungsgrad der Informationen zu bestimmen, die D & B zur Verfügung stellen muss, um den Anforderungen der genannten Vorschrift zu genügen.

31. Unter diesem Gesichtspunkt ersucht das vorlegende Gericht den Gerichtshof um Unterstützung bei folgenden Rechtsfragen.

32. Erstens: Was ist unter „aussagekräftige[n] Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu verstehen? Umfassen solche Informationen auch den Algorithmus, der für die Zwecke der Entscheidungsfindung verwendet wird? Inwieweit und mit welchem Konkretisierungsgrad kann vom Verantwortlichen verlangt werden, dass er ausreichend Informationen übermittelt, um es der betroffenen Person zu ermöglichen, die Richtigkeit dieser Informationen und ihre Übereinstimmung mit der betreffenden Rating-Entscheidung zu überprüfen?

33. Zweitens: Inwieweit kann der Schutz der Rechte und Freiheiten anderer, insbesondere der Schutz von Geschäftsgeheimnissen, die Pflicht des Verantwortlichen beeinflussen, „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zur Verfügung zu stellen? Durch welche Mechanismen könnte gegebenenfalls das Spannungsverhältnis zwischen den Rechten der betroffenen Person und den Interessen des Verantwortlichen aufgelöst werden?

34. In seinen Schlussanträgen in der Rechtssache, in der das Urteil SCHUFA Holding u. a. (Scoring)(12) ergangen ist, hat Generalanwalt Pikamäe zu den wichtigsten Aspekten dieser Fragen Stellung genommen. So hat er festgestellt, dass Art. 15 Abs. 1 Buchst. h DSGVO in Verbindung mit dem 63. Erwägungsgrund dieser Verordnung dahin auszulegen ist, dass er „grundsätzlich auch die Berechnungsmethode erfasst, die von einer Auskunftei zur Ermittlung eines Score-Wertes verwendet wird, sofern keine schutzwürdigen widerstreitenden Interessen bestehen“(13).

35. Der Unionsgesetzgeber habe einen fairen Ausgleich zwischen den unterschiedlichen Rechten und Interessen schaffen und gleichzeitig gewährleisten wollen, dass „jedenfalls ein Minimum an Informationen geliefert [wird], damit der Wesensgehalt des Rechts auf Schutz personenbezogener Daten nicht beeinträchtigt wird“(14). Nach Auffassung von Generalanwalt Pikamäe stellt daher „der Schutz des Geschäftsgeheimnisses oder des geistigen Eigentums für eine Auskunftei [zwar] grundsätzlich einen berechtigten Grund [dar], die Offenlegung des zur Berechnung des Score-Wertes der betroffenen Person verwendeten Algorithmus zu verweigern, [kann] jedoch keineswegs eine absolute Verweigerung von Informationen rechtfertigen“(15).

36. Im Licht von Art. 12 Abs. 1 DSGVO, wonach „[d]er Verantwortliche … geeignete Maßnahmen [trifft], um der betroffenen Person alle Informationen gemäß [Art. 15, der] sich auf die Verarbeitung bezieh[t], in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“(16), sowie des 58. Erwägungsgrundes dieser Verordnung ist Generalanwalt Pikamäe der Ansicht gewesen, dass „das eigentliche Ziel von Art. 15 Abs. 1 Buchst. h DSGVO darin besteht, sicherzustellen, dass die betroffene Person entsprechend ihrem Bedarf Informationen in verständlicher und zugänglicher Weise erhält“(17). Seines Erachtens „schließen diese Erfordernisse bereits eine etwaige Verpflichtung zur Offenlegung des Algorithmus unter Berücksichtigung seiner Komplexität aus. Der Nutzen, eine besonders komplexe Formel zu übermitteln, wäre nämlich ohne die dafür erforderlichen Erläuterungen zweifelhaft“(18).

37. Vor diesem Hintergrund ist Generalanwalt Pikamäe daher zu dem Schluss gelangt, dass „die Verpflichtung, ‚aussagekräftige Informationen über die involvierte Logik‘ bereitzustellen, dahin zu verstehen ist, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die auch für die Anfechtung von ‚Entscheidungen‘ im Sinne von Art. 22 Abs. 1 DSGVO seitens der betroffenen Person nützlich sind“(19).

38. Ich schließe mich im Wesentlichen der von Generalanwalt Pikamäe vorgeschlagenen Auslegung an, wie ich in den folgenden Ausführungen näher erläutern werde(20).

B. Zu den Vorlagefragen

39. Mit seinen Fragen, die ich zusammen zu prüfen vorschlage, möchte das vorlegende Gericht vom Gerichtshof im Wesentlichen wissen, ob zum einen Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ Informationen umfassen, die hinreichend vollständig sind, um es der betroffenen Person zu ermöglichen, die Richtigkeit dieser Informationen und ihre Übereinstimmung mit der betreffenden Rating-Entscheidung, einschließlich des für die Zwecke dieser automatisierten Entscheidungsfindung verwendeten Algorithmus, zu überprüfen. Zum anderen möchte das vorlegende Gericht wissen, ob und gegebenenfalls inwieweit der Schutz der Rechte und Freiheiten anderer, etwa der Schutz des Geschäftsgeheimnisses, auf das sich der Verantwortliche beruft, geeignet ist, den Umfang des Auskunftsrechts, über das die betroffene Person nach der besagten Bestimmung verfügt, einzuschränken.

1. Zum Begriff „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“

40. Zunächst ist festzustellen, dass der Gerichtshof kürzlich mehrere Merkmale des in Art. 15 DSGVO vorgesehenen Auskunftsrechts hervorgehoben hat, als er sich zum Umfang des in Abs. 3 Satz 1 dieses Artikels vorgesehenen Rechts auf Erhalt einer Kopie der personenbezogenen Daten zu äußern hatte, die Gegenstand der Verarbeitung sind. Diese Elemente scheinen mir für die Beantwortung der Fragen des vorlegenden Gerichts nützlich zu sein.

41. Art. 15 („Auskunftsrecht der betroffenen Person“) DSGVO legt in seinem Abs. 1 Gegenstand und Anwendungsbereich des der betroffenen Person zuerkannten Auskunftsrechts fest und verankert darin deren Recht, vom Verantwortlichen Auskunft über ihre personenbezogenen Daten und die unter den Buchst. a bis h dieses Absatzes genannten Informationen zu erhalten.

42. Mit der Garantie eines solchen Rechts sollen die Ziele der DSGVO erreicht werden, die, worauf deren Erwägungsgründe 10 und 11 hindeuten, darin bestehen, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Europäischen Union zu gewährleisten und die Rechte der betroffenen Personen zu stärken und präzise festzulegen(21).

43. Art. 15 Abs. 1 Buchst. h DSGVO sieht insbesondere vor, dass eine betroffene Person das Recht hat, vom Verantwortlichen über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling(22) gemäß Art. 22 Abs. 1 und 4 dieser Verordnung informiert zu werden und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik(23) sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu erhalten(24).

44. Allgemein ergibt sich aus der Rechtsprechung des Gerichtshofs, dass es der betroffenen Person durch die Ausübung des in Art. 15 DSGVO vorgesehenen Auskunftsrechts nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden(25).

45. Ferner muss die vom Verantwortlichen nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung zu stellende Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen, die es der betroffenen Person ermöglichen, ihre Rechte aus dieser Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben(26).

46. Dieses Auskunftsrecht ist insbesondere erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“) und ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder im Schadensfall ihr in den Art. 79 und 82 DSGVO vorgesehenes Recht auf Einlegung eines gerichtlichen Rechtsbehelfs auszuüben(27).

47. Was das Recht der betroffenen Person auf die in Art. 15 Abs. 1 Buchst. h vorgesehenen Informationen angeht, füge ich hinzu, dass das Auskunftsrecht es ihr ermöglichen muss, ihre Rechte aus Art. 22 DSGVO wahrzunehmen, der sich speziell auf eine Situation bezieht, in der die betroffene Person einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen wird.

48. So sieht Art. 22 Abs. 1 dieser Verordnung, worauf ich bereits hingewiesen habe, das Recht jeder betroffenen Person vor, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt(28). Dieses Verbot gilt jedoch nicht in den in Art. 22 Abs. 2 der Verordnung genannten Fällen, nämlich dann, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist (Buchst. a), wenn sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist (Buchst. b) oder wenn sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Buchst. c).

49. Außerdem bestimmt Art. 22 Abs. 2 Buchst. b und Abs. 3 DSGVO, dass angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorgesehen werden müssen. In den in Art. 22 Abs. 2 Buchst. a und c dieser Verordnung genannten Fällen gewährt der Verantwortliche der betroffenen Person mindestens das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung(29). Im Rahmen der vorliegenden Rechtssache legt das vorlegende Gericht den Schwerpunkt auf den Zusammenhang zwischen dem Auskunftsrecht nach Art. 15 Abs. 1 Buchst. h der genannten Verordnung und den Rechten der betroffenen Person, den eigenen Standpunkt darzulegen und die automatisierte Entscheidung anzufechten.

50. Nach Auffassung des Gerichtshofs erklären sich die in der DSGVO vorgesehenen höheren Anforderungen an die Rechtmäßigkeit einer automatisierten Entscheidungsfindung sowie die zusätzlichen Informationspflichten des Verantwortlichen und die damit verbundenen zusätzlichen Auskunftsrechte der betroffenen Person aus dem Zweck, den Art. 22 dieser Verordnung verfolgt und der darin besteht, Personen vor den besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten – einschließlich Profiling – verbunden sind(30).

51. Folglich muss bei der Bestimmung, was „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO umfasst, der Zweck berücksichtigt werden, den Art. 22 dieser Verordnung verfolgt, damit die betroffene Person auf der Grundlage dieser Informationen tatsächlich die Rechte geltend machen kann, die ihr der letztgenannte Artikel verleiht.

52. Vor diesem Hintergrund ist festzuhalten, dass gemäß dem Grundsatz der Transparenz, auf den im 58. Erwägungsgrund der DSGVO Bezug genommen wird und der in Art. 12 Abs. 1 dieser Verordnung ausdrücklich verankert ist, eine für die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein muss(31).

53. So hat der Gerichtshof aus dieser Bestimmung abgeleitet, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um der betroffenen Person alle u. a. in Art. 15 DSGVO genannten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Diese Bestimmung, die Ausdruck des Transparenzgrundsatzes ist, soll gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen(32).

54. Aus diesen Gesichtspunkten folgt nach Ansicht des Gerichtshofs, dass die vom Verantwortlichen nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung zu stellende Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, alle Merkmale aufweisen muss, die es der betroffenen Person ermöglichen, ihre Rechte aus dieser Verordnung wirksam auszuüben, und diese Daten daher vollständig und originalgetreu wiedergeben muss(33).

55. Der Gerichtshof hat darüber hinaus klargestellt, dass es sich als erforderlich erweisen kann, die verarbeiteten personenbezogenen Daten zu kontextualisieren, um ihre Verständlichkeit sicherzustellen. Um zu gewährleisten, dass die so bereitgestellten Informationen leicht verständlich sind, wie es Art. 12 Abs. 1 in Verbindung mit dem 58. Erwägungsgrund der DSGVO verlangt, kann sich deshalb die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die u. a. personenbezogene Daten enthalten, die Gegenstand der Verarbeitung sind, als unerlässlich erweisen(34).

56. Insbesondere wenn personenbezogene Daten aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, d. h. einer fehlenden Angabe, aus der eine Information über die betroffene Person hervorgeht, ist der Kontext, in dem diese Daten Gegenstand der Verarbeitung sind, nach Auffassung des Gerichtshofs unerlässlich, damit die betroffene Person eine transparente Auskunft und eine verständliche Darstellung der Daten erhalten kann(35).

57. Folglich bedeutet das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten überlassen wird. Dieses Recht setzt das Recht voraus, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten, die u. a. diese Daten enthalten, zu erlangen, wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen(36).

58. Die Rechtsprechung des Gerichtshofs zu den Anforderungen, die der Verantwortliche erfüllen muss, wenn er nach Art. 15 Abs. 3 Satz 1 DSGVO eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellt, bietet meiner Meinung nach wertvolle Anhaltspunkte für die Bestimmung der Merkmale, die „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h dieser Verordnung aufweisen müssen.

59. Zwar ergibt sich aus dieser Rechtsprechung auch, dass die personenbezogenen Daten, von denen der Verantwortliche nach Art. 15 Abs. 3 Satz 1 der genannten Verordnung eine Kopie zur Verfügung stellen muss, nicht mit den Informationen verwechselt werden dürfen, auf die die betroffene Person gemäß Art. 15 Abs. 1 Buchst. a bis h derselben Verordnung ein Recht hat(37).

60. Meines Erachtens besteht jedoch kein Zweifel daran, dass das in Art. 12 Abs. 1 DSGVO vorgesehene und der genannten Rechtsprechung zugrunde liegende Erfordernis der Transparenz der übermittelten Informationen nach dem Wortlaut dieser Bestimmung für sämtliche Daten und Informationen gilt, einschließlich derjenigen, die mit einer automatisierten Entscheidungsfindung in Zusammenhang stehen.

61. Daher muss der betroffenen Person im Kontext einer automatisierten Entscheidungsfindung wie der im Ausgangsverfahren in Rede stehenden gemäß Art. 15 Abs. 3 Satz 1 DSGVO eine Kopie ihrer verarbeiteten personenbezogenen Daten zur Verfügung gestellt werden, die diese Daten vollständig und originalgetreu wiedergibt.

62. Zudem erscheint es unerlässlich, dass die betroffene Person den Kontext kennt, in dem ihre personenbezogenen Daten automatisiert verarbeitet werden, damit sie die ihr durch die DSGVO verliehenen Rechte ausüben kann, darunter das Recht, den eigenen Standpunkt zu einer automatisierten Entscheidung darzulegen und diese anzufechten.

63. Dies ist im Übrigen der eigentliche Zweck von Art. 15 Abs. 1 Buchst. h DSGVO, der im Wesentlichen verlangt, dass der betroffenen Person der Kontext einer automatisierten Entscheidungsfindung, insbesondere die dieser Entscheidungsfindung zugrunde liegende Logik, zur Kenntnis gebracht wird.

64. Die Kenntnis dieses Kontexts muss die betroffene Person in die Lage versetzen, das Ergebnis der automatisierten Entscheidung nachzuvollziehen, weil sie die wesentlichen Elemente der Methode und der herangezogenen Kriterien kennt. Im Grunde genommen muss der – naturgemäß technische – Prozess, der zu dieser Entscheidung geführt hat, verständlich gemacht werden. Nur so kann die betroffene Person die ihr durch die DSGVO verliehenen Rechte ausüben, darunter das Recht, den eigenen Standpunkt zu einer automatisierten Entscheidung darzulegen und diese anzufechten. Der Begriff „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ muss somit funktional verstanden werden(38).

65. Der Schwerpunkt, den der Unionsgesetzgeber auf die Notwendigkeit aussagekräftiger Informationen legt, hängt insoweit unmittelbar mit der technischen Natur des fraglichen Bereichs zusammen, die es erforderlich macht, die Verständlichkeit und Signifikanz dieser Informationen für die betroffene Person zu gewährleisten. Hierbei handelt es sich um eine Voraussetzung, die notwendig ist, um die Aussagekraft der Informationen sicherzustellen und es der betroffenen Person zu ermöglichen, die ihr durch die DSGVO garantierten Rechte wirksam auszuüben. In den verschiedenen Sprachfassungen von Art. 15 Abs. 1 Buchst. h DSGVO wird der Schwerpunkt in unterschiedlichem Maß auf die „Verständlichkeit“ oder „Signifikanz“ der Informationen gelegt, wobei diese zweifache Bedeutung in der englischen Sprachfassung durch den Begriff „meaningful“ ausgedrückt wird(39). Meiner Meinung nach ist somit eine Auslegung des Begriffs „aussagekräftige Informationen“ im Sinne der letztgenannten Vorschrift zu wählen, die es im Rahmen eines funktionalen Ansatzes erlaubt, den sich gegenseitig ergänzenden Bedeutungen Rechnung zu tragen.

66. Die Aussagekraft von Informationen setzt mithin – wie bei der nach Art. 15 Abs. 3 Satz 1 DSGVO zur Verfügung zu stellenden Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind – voraus, dass diese Informationen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Die betroffene Person, der die Informationen übermittelt werden, muss daher die an sie gerichteten Informationen in vollem Umfang verstehen können. Unter diesem Gesichtspunkt kann es sich als erforderlich erweisen, die mitgeteilten Informationen zu kontextualisieren, um ihre Verständlichkeit zu gewährleisten.

67. Im Grunde genommen müssen „aussagekräftige Informationen“ – wie in Art. 15 Abs. 1 Buchst. h DSGVO gefordert – nicht nur klar und zugänglich sein, sondern auch mit Erläuterungen versehen werden, die ihr richtiges Verständnis sicherstellen. Dies gilt umso mehr, wenn es darum geht, der betroffenen Person Informationen in einem technischen Bereich zur Verfügung zu stellen. In diesem Sinne bietet die Vorschrift der betroffenen Person ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem die Entscheidung geführt hat(40). Ich stelle insoweit fest, dass die betroffene Person gemäß dem 71. Erwägungsgrund der DSGVO eine „Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung“ erhalten können sollte.

68. Zusätzlich zu diesen Anforderungen muss die betroffene Person die Richtigkeit der sie betreffenden personenbezogenen Daten und der Informationen über die einer automatisierten Entscheidungsfindung zugrunde liegende Logik überprüfen können. Es muss ihr daher möglich sein, sich zu vergewissern, dass zwischen der verwendeten Methode und den herangezogenen Kriterien einerseits und dem Ergebnis der automatisierten Entscheidung andererseits eine objektiv nachprüfbare Übereinstimmung und ein objektiv nachprüfbarer Kausalzusammenhang besteht. Mit anderen Worten müssen die übermittelten Informationen es dieser Person ermöglichen, zu kontrollieren, ob die Informationen den Tatsachen entsprechen und die fragliche automatisierte Entscheidung somit tatsächlich auf zutreffenden Informationen beruht(41).

69. Ich erinnere insoweit daran, dass die CK von D & B zur Verfügung gestellten Informationen, wie aus dem Vorlagebeschluss hervorgeht, nicht der Wirklichkeit zu entsprechen scheinen, da sie das ihr gegenüber vorgenommene tatsächliche Profiling nicht offengelegt haben sollen. Der Gerichtshof hat aber bereits hervorgehoben, dass unter Berücksichtigung der besonderen Risiken einer automatisierten Verarbeitung personenbezogener Daten – einschließlich Profiling – für die Rechte und Freiheiten der betroffenen Person nach dem 71. Erwägungsgrund der DSGVO dieser gegenüber eine faire und transparente Verarbeitung gewährleistet werden sollte, insbesondere durch die Verwendung geeigneter mathematischer oder statistischer Verfahren für das Profiling und durch technische und organisatorische Maßnahmen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird(42).

70. Dieses Richtigkeitserfordernis wird meiner Meinung nach verstärkt, wenn man – wie der Gerichtshof in seinem Urteil vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung)(43), in Bezug auf die Verarbeitung personenbezogener Daten über die Erteilung einer Restschuldbefreiung entschieden hat – davon ausgeht, dass eine automatisierte Verarbeitung wie die im Ausgangsverfahren in Rede stehende einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person darstellt. Die personenbezogenen Daten der betroffenen Person werden nämlich verarbeitet, um die Kreditwürdigkeit dieser Person zu beurteilen, und stellen daher sensible Informationen über ihr Privatleben dar. Ihre Verarbeitung kann den Interessen der betroffenen Person beträchtlich schaden, indem sie diese daran hindert, vertragliche Beziehungen zu knüpfen, die geeignet sind, gewöhnliche Bedürfnisse zu decken(44).

71. Daher bin ich der Ansicht, dass „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ es der betroffenen Person ermöglichen müssen, die ihr durch die DSGVO und insbesondere durch Art. 22 dieser Verordnung garantierten Rechte auszuüben. Das setzt erstens voraus, dass die betroffene Person präzise, leicht zugängliche, verständliche sowie in klarer und einfacher Sprache abgefasste Informationen über die für eine solche Entscheidung verwendete Methode und die dafür herangezogenen Kriterien erhalten kann. Zweitens müssen diese Informationen hinreichend vollständig und kontextbezogen sein, um es der betroffenen Person zu ermöglichen, zu überprüfen, ob die Informationen zutreffend sind und zwischen der verwendeten Methode und den herangezogenen Kriterien einerseits und dem Ergebnis der automatisierten Entscheidung andererseits eine objektiv nachprüfbare Übereinstimmung und ein objektiv nachprüfbarer Kausalzusammenhang bestehen.

72. Vor diesem Hintergrund ist Art. 15 Abs. 1 Buchst. h DSGVO meines Erachtens nicht so auszulegen, dass dem Verantwortlichen eine Verpflichtung auferlegt wird, der betroffenen Person Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen, die nicht über besondere technische Fachkenntnisse verfügen, nicht verstanden werden können(45). Dies ist nach meinem Dafürhalten bei Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung eingesetzt werden, der Fall.

73. Zwar könnte im Namen einer extensiven Auslegung des Transparenzgebots argumentiert werden, dass eine Überprüfung der Art und Weise, in der personenbezogene Daten durch einen Algorithmus verarbeitet werden, dessen Offenlegung an die betroffene Person erfordere(46). Meiner Meinung nach besteht der Grund für die Existenz dieses Gebots jedoch darin, es der betroffenen Person zu ermöglichen, die ihr übermittelten Informationen zu verstehen, damit sie die ihr durch die DSGVO verliehenen Rechte geltend machen kann. Unter diesem Gesichtspunkt dürften Erläuterungen, die zugänglich sind, ohne dass es eines besonderen technischen Fachwissens bedarf, sicherlich „aussagekräftiger“ sein als eine komplexe mathematische Formel.

74. In diesem Sinne stelle ich fest, dass es, wie aus den Leitlinien hervorgeht, „schwierig sein [kann], die Funktionsweise einer automatisierten Entscheidungsfindung oder Profiling zu verstehen“. Daher sollte „[d]er Verantwortliche … einfache Möglichkeiten finden, die betroffene Person über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren. Die DSGVO verpflichtet den Verantwortlichen zur Übermittlung aussagekräftiger Informationen über die involvierte Logik, nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus… Die zur Verfügung gestellten Informationen sollten jedoch so umfassend sein, dass die betroffene Person die Gründe für die Entscheidung nachvollziehen kann“(47). So sollte „[d]er Verantwortliche … der betroffenen Person allgemeine Informationen übermitteln (vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren ‚Gewichtung‘ auf aggregierter Ebene), die auch für die Anfechtung der Entscheidung seitens der betroffenen Person nützlich sind“(48).

75. Allerdings ist, wie die Artikel-29-Datenschutzgruppe in ihren Leitlinien festgestellt hat, „Komplexität … keine Entschuldigung für eine nicht erfolgte Information der betroffenen Person“(49). Folglich kann der Verantwortliche die Weigerung, seiner Verpflichtung aus Art. 15 Abs. 1 Buchst. h DSGVO nachzukommen, nicht mit der Komplexität von Informationen begründen. Er muss dafür sorgen, dass Informationen zur Verfügung gestellt werden, die sowohl zugänglich als auch vollständig sind, damit die betroffene Person den Prozess nachvollziehen kann, der zur automatisierten Entscheidung über sie geführt hat.

76. Daraus schließe ich, dass der Verantwortliche gemäß Art. 15 Abs. 1 Buchst. h DSGVO nicht verpflichtet ist, der betroffenen Person Informationen technischer Art zu übermitteln, die diese nicht verstehen könnte, wie beispielsweise Einzelheiten zu den verwendeten Algorithmen(50). Dagegen muss er seiner Pflicht nachkommen, der betroffenen Person in jedem Fall sowohl zugängliche als auch hinreichend vollständige Informationen über den Prozess, der zur fraglichen automatisierten Entscheidung geführt hat, sowie über die Gründe für das Ergebnis dieser Entscheidung zur Verfügung zu stellen. So definiert, sollten „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ u. a. die verwendete Methode und die berücksichtigten Kriterien sowie deren Gewichtung beschreiben(51). Die betroffene Person muss daher nachvollziehen können, welche Informationen bei der automatisierten Entscheidungsfindung verwendet und wie sie berücksichtigt und gewichtet worden sind.

77. Darüber hinaus ist klarzustellen, dass Art. 15 Abs. 1 Buchst. h DSGVO den Verantwortlichen meines Erachtens nicht daran hindert, sich freiwillig für die Übermittlung von Informationen technischer Art, etwa Einzelheiten zu den verwendeten Algorithmen, an die betroffene Person zu entscheiden – allerdings unter der Voraussetzung, dass diese Übermittlung mit Informationen einhergeht, die es der betroffenen Person ermöglichen, den Prozess, der zur automatisierten Entscheidung geführt hat, und deren Ergebnis nachzuvollziehen.

78. Zudem sollte Art. 15 Abs. 1 Buchst. h DSGVO meiner Meinung nach nicht so ausgelegt werden, dass er vom Verantwortlichen verlangt, der betroffenen Person personenbezogene Daten über Dritte zur Verfügung zu stellen, es sei denn, dies würde deren Rechte indirekt beeinträchtigen. Dagegen könnten Beispiele für ähnliche Verarbeitungen, die zu Vergleichszwecken anonymisiert bereitgestellt werden, dieser Person ein besseres Verständnis der automatisierten Entscheidung ermöglichen, der sie unterworfen worden ist.

79. Es ist Sache des vorlegenden Gerichts, auf der Grundlage der vorstehenden Hinweise zu bestimmen, welche Informationen der betroffenen Person in der Ausgangsrechtssache zur Verfügung gestellt werden sollten. In diesem Zusammenhang bezweifle ich, dass der Gerichtshof in seiner ihm durch Art. 267 AEUV übertragenen Funktion als Ausleger des Unionsrechts, die von der Aufgabe der Anwendung dieses Rechts, die den nationalen Gerichten obliegt, zu unterscheiden ist, bei der konkreten Bestimmung der Informationen so weit gehen kann, wie es sich das vorlegende Gericht wünschen würde.

80. Im Übrigen möchte ich klarstellen, dass die Auslegung des Begriffs „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO, die ich dem Gerichtshof vorzunehmen vorschlage, die Annahme zulässt, dass der Unionsgesetzgeber größtenteils bereits für ein Gleichgewicht zwischen dem Transparenzgebot, auf dem diese Vorschrift beruht, einerseits und der Wahrung der Rechte und Freiheiten anderer, zu denen der Schutz von Geschäftsgeheimnissen gehört, andererseits gesorgt hat. Da sich dieser Begriff meines Erachtens nicht auf Informationen technischer Art wie beispielsweise einen Algorithmus erstrecken sollte, die eine betroffene Person nicht verstehen kann, ohne über besondere Fachkenntnisse zu verfügen, dürfte das durch die genannte Vorschrift garantierte Auskunftsrecht in den meisten Fällen nämlich nicht zu einer Verletzung des Geschäftsgeheimnisses führen, auf das sich der Verantwortliche rechtmäßig berufen kann. Dasselbe gilt für den Schutz der personenbezogenen Daten Dritter, da der erwähnte Begriff solche Daten grundsätzlich nicht erfassen dürfte.

81. Allerdings lässt sich nicht ausschließen, dass das durch Art. 15 Abs. 1 Buchst. h DSGVO garantierte Auskunftsrecht in bestimmten Fällen zu einer Beeinträchtigung der Rechte und Freiheiten anderer führen kann. Eine solche Beeinträchtigung kann vom Verantwortlichen zur Begründung einer Weigerung geltend gemacht werden, der betroffenen Person Informationen zu übermitteln. Darüber hinaus reichen die übermittelten Informationen möglicherweise nicht aus, um ihre Richtigkeit und Übereinstimmung mit dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen, und könnte die Übermittlung zusätzlicher Informationen zum Zweck einer solchen Überprüfung die Rechte und Freiheiten anderer beeinträchtigen. Deshalb muss, wie vom vorlegenden Gericht beantragt, festgestellt werden, durch welche Mechanismen die betreffenden Rechte und Interessen dann miteinander in Einklang gebracht werden können.

2. Zur Abwägung zwischen den Rechten der betroffenen Person und den Rechten und Freiheiten anderer

82. Ich erinnere daran, dass das vorlegende Gericht im Wesentlichen wissen möchte, ob und gegebenenfalls inwieweit der Schutz der Rechte und Freiheiten anderer, wie beispielsweise der Schutz des Geschäftsgeheimnisses, auf das sich der Verantwortliche beruft, geeignet ist, den Umfang des Auskunftsrechts, über das die Person gemäß Art. 15 Abs. 1 Buchst. h DSGVO verfügt, einzuschränken.

83. Insoweit ist vorab darauf hinzuweisen, dass nach dem vierten Erwägungsgrund der DSGVO das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss. Somit steht die DSGVO im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Verträgen verankert sind(52).

84. Zudem wird im 63. Erwägungsgrund dieser Verordnung darauf hingewiesen, dass das Auskunftsrecht einer betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten „die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen [sollte]. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird“.

85. So sieht Art. 15 Abs. 4 DSGVO vor: „Das Recht auf Erhalt einer Kopie [der personenbezogenen Daten, die Gegenstand der Verarbeitung sind,] darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

86. Auch wird in Art. 23 Abs. 1 Buchst. i DSGVO darauf hingewiesen, dass eine Beschränkung des Umfangs der u. a. in Art. 15 DSGVO vorgesehenen Pflichten und Rechte möglich ist, „sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die [den Schutz der Rechte und Freiheiten anderer Personen] sicherstellt“(53).

87. Der Gerichtshof hat aus diesen Vorschriften abgeleitet, dass das der betroffenen Person zuerkannte Recht, eine erste unentgeltliche Kopie ihrer personenbezogenen Daten, die Gegenstand einer Verarbeitung sind, zu erhalten, nicht uneingeschränkt gilt(54). Insbesondere sollte nach Art. 15 Abs. 4 DSGVO in Verbindung mit dem 63. Erwägungsgrund der DSGVO das Recht auf Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, gemäß Abs. 3 die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen(55).

88. Vor diesem Hintergrund sind Erwägungen betreffend insbesondere den Schutz der Rechte und Freiheiten anderer Personen geeignet, als Rechtfertigung für Beschränkungen des in Art. 15 Abs. 1 Buchst. h DSGVO vorgesehenen Auskunftsrechts zu dienen, sofern, wie in Art. 23 Abs. 1 Buchst. i DSGVO vorgesehen, eine solche Beschränkung dessen Wesensgehalt achtet sowie eine notwendige und verhältnismäßige Maßnahme darstellt, die diesen Schutz sicherstellt(56).

89. Erwägungen betreffend den Schutz von Geschäftsgeheimnissen im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943(57) können geeignet sein, als Rechtfertigung für Beschränkungen des in Art. 15 Abs. 1 Buchst. h DSGVO vorgesehenen Auskunftsrechts zu dienen.

90. Zwar heißt es im 35. Erwägungsgrund der Richtlinie 2016/943, dass diese „die in der Richtlinie 95/46/EG [des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(58)] niedergelegten Rechte und Pflichten – insbesondere das Recht der betroffenen Person auf Zugang zu ihren personenbezogenen Daten, die verarbeitet werden, sowie auf Berichtigung, Löschung oder Sperrung unvollständiger oder unrichtiger Daten … – nicht berühren [sollte]“. Allerdings scheinen mir die Bestimmungen der DSGVO, die ich zuvor angeführt habe, im Fall eines Konflikts zwischen der Ausübung des in Art. 15 Abs. 1 Buchst. h dieser Verordnung vorgesehenen Auskunftsrechts zum einen und den Rechten oder Freiheiten anderer Personen zum anderen für die Möglichkeit einer Abwägung zwischen den fraglichen Rechten und Freiheiten zu sprechen(59).

91. Daher sind, wie der Gerichtshof bereits entschieden hat, nach Möglichkeit Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen „nicht dazu führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird“, wie sich aus dem 63. Erwägungsgrund der DSGVO ergibt(60).

92. Das vorlegende Gericht möchte im Wesentlichen wissen, welche Formen solche den Rechten und Freiheiten anderer Personen Rechnung tragende Übermittlungsmodalitäten im spezifischen Kontext von Art. 15 Abs. 1 Buchst. h DSGVO annehmen könnten.

93. Der Gerichtshof hat in diesem Zusammenhang bereits entschieden, dass ein nationales Gericht der Ansicht sein kann, dass ihm personenbezogene Daten von Parteien oder Dritten übermittelt werden müssen, damit es in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit die betroffenen Interessen abwägen kann. Diese Beurteilung kann es gegebenenfalls dazu veranlassen, die vollständige oder teilweise Offenlegung der ihm so übermittelten personenbezogenen Daten gegenüber der Gegenpartei zuzulassen, wenn es der Auffassung ist, dass eine solche Offenlegung nicht über das hinausgeht, was erforderlich ist, um die effektive Wahrnehmung der Rechte zu gewährleisten, die den Rechtsuchenden aus Art. 47 der Charta erwachsen(61).

94. Diese Rechtsprechung ist nach meinem Dafürhalten auf die in Art. 15 Abs. 1 Buchst. h DSGVO genannten Informationen anwendbar. In Anbetracht dieser Rechtsprechung ist diese Vorschrift in Verbindung mit dem 63. Erwägungsgrund und Art. 23 Abs. 1 Buchst. i DSGVO meines Erachtens dahin auszulegen, dass Informationen, die der betroffenen Person im Rahmen des durch die erstgenannte Vorschrift garantierten Auskunftsrechts zur Verfügung gestellt werden müssen und geeignet sind, zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen zu führen, insbesondere weil sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 enthalten, der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht übermittelt werden müssen, damit diese in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit sowie der Vertraulichkeit der Informationen die widerstreitenden Interessen abwägen und den Umfang des der betroffenen Person zu gewährenden Auskunftsrechts bestimmen können.

95. Nach den vom vorlegenden Gericht in seinem Vorabentscheidungsersuchen gemachten Angaben schließt § 4 Abs. 6 DSG das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich aus, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde. Ich vertrete insoweit die Auffassung, dass eine solche Vorschrift nicht an die Stelle einer Abwägung treten kann, die von der zuständigen Behörde oder dem zuständigen Gericht auf Einzelfallbasis vorgenommen werden muss. Aus der Rechtsprechung des Gerichtshofs scheint mir nämlich zu folgen, dass ein Mitgliedstaat, wenn eine Abwägung einander gegenüberstehender Rechte und Interessen vorgenommen werden muss, das Ergebnis dieser Abwägung nicht abschließend vorschreiben darf(62), ohne aufgrund der besonderen Umstände eines konkreten Falls ein anderes Ergebnis zuzulassen(63).

IV. Ergebnis

96. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefragen des Verwaltungsgerichts Wien (Österreich) wie folgt zu beantworten:

Art. 15 Abs. 1 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist in Verbindung mit dem 63. Erwägungsgrund und Art. 23 Abs. 1 Buchst. i dieser Verordnung

dahin auszulegen, dass

– wenn eine betroffene Person einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 der Verordnung 2016/679 unterworfen wird, sich die „aussagekräftige[n] Informationen über die [bei dieser automatisierten Entscheidungsfindung] involvierte Logik“, auf die die betroffene Person ein Recht hat, auf die Methode und die Kriterien beziehen, die der Verantwortliche dafür verwendet hat;

– diese Informationen es der betroffenen Person ermöglichen müssen, die ihr durch die Verordnung 2016/679 und insbesondere durch diesen Art. 22 garantierten Rechte auszuüben. Sie müssen somit präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es dieser Person zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen;

– der Verantwortliche hingegen nicht verpflichtet ist, der betroffenen Person Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen, die nicht über besondere technische Fachkenntnisse verfügen, nicht nachvollzogen werden können, was die Mitteilung von Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung verwendet werden, ausschließen kann;

– Informationen, die der betroffenen Person im Rahmen des durch Art. 15 Abs. 1 Buchst. h der Verordnung 2016/679 garantierten Auskunftsrechts zur Verfügung gestellt werden müssen und geeignet sind, zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen zu führen, insbesondere weil sie durch diese Verordnung geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung enthalten, der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht übermittelt werden müssen, damit diese in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit sowie der Vertraulichkeit der Informationen die widerstreitenden Interessen abwägen und den Umfang des der betroffenen Person zu gewährenden Auskunftsrechts bestimmen können.

1 Originalsprache: Französisch.

2 ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2.

3 ABl. 2016, L 157, S. 1.

4 Das vorlegende Gericht hebt in diesem Zusammenhang hervor, dass das Bundesverwaltungsgericht in seiner Entscheidung weder den Umfang der zu übermittelnden verarbeiteten personenbezogenen Daten noch den Detaillierungsgrad der mitzuteilenden involvierten Logik spezifiziert habe.

5 Im Folgenden: Charta.

6 BGBl. I 165/1999.

7 BGBl. I 14/2019. Diese Vorschrift schließt das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich aus, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde.

8 Vgl. insoweit 71. Erwägungsgrund der DSGVO, der Folgendes vorsieht: „Die betroffene Person sollte das Recht haben, keiner Entscheidung – was eine Maßnahme einschließen kann – zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das ,Profiling‘ …, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

9 C‑634/21, im Folgenden: Urteil SCHUFA Holding u. a. (Scoring), EU:C:2023:957.

10 Vgl. Urteil SCHUFA Holding u. a. (Scoring) (Rn. 73).

11 Am Tag der Verkündung dieses Urteils hat der Gerichtshof auch das Urteil vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C‑26/22 und C‑64/22, EU:C:2023:958), verkündet, in dem er folgende Artikel der DSGVO ausgelegt hat: Art. 5 Abs. 1 Buchst. a in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f, Art. 17 Abs. 1 Buchst. c und d sowie Art. 78 Abs. 1.

12 C‑634/21, EU:C:2023:220.

13 Vgl. Schlussanträge des Generalanwalts Pikamäe in der Rechtssache SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:220, Nr. 54).

14 Vgl. Schlussanträge des Generalanwalts Pikamäe in der Rechtssache SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:220, Nr. 56).

15 Vgl. Schlussanträge des Generalanwalts Pikamäe in der Rechtssache SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:220, Nr. 56).

16 Hervorhebung nur hier.

17 Vgl. Schlussanträge des Generalanwalts Pikamäe in der Rechtssache SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:220, Nr. 57).

18 Vgl. Schlussanträge des Generalanwalts Pikamäe in der Rechtssache SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:220, Nr. 57).

19 Vgl. Schlussanträge des Generalanwalts Pikamäe in der Rechtssache SCHUFA Holding u. a. (Scoring) (C‑634/21, EU:C:2023:220, Nr. 58). Generalanwalt Pikamäe hat sich insoweit auf die „Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679“, angenommen am 3. Oktober 2017 von der Artikel‑29-Datenschutzgruppe, in ihrer überarbeiteten Fassung vom 6. Februar 2018 (im Folgenden: Leitlinien), S. 28 und 30, gestützt.

20 Ferner sei darauf hingewiesen, dass der Begriff „aussagekräftige Informationen über die [bei einer automatisierten Entscheidungsfindung] involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu zahlreichen Veröffentlichungen geführt hat, die durch die Vielfalt der Stellungnahmen eine Bereicherung der Überlegungen über die diesem Begriff beizumessende Bedeutung ermöglichen. Von diesen Veröffentlichungen möchte ich folgende nennen: Goodman, B., und Flaxman, S., „European Union Regulations on Algorithmic Decision Making and a ‚Right to Explanation‘“, AI Magazine, Bd. 38, Nr. 3, Wiley, Berlin 2017, S. 50 bis 57; Wachter, S., Mittelstadt, B., und Floridi, L., „Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation“, International Data Privacy Law, Bd. 7, Nr. 2, Oxford University Press, Oxford 2017, S. 76 bis 99; Selbst, A. D., und Powles, J., „Meaningful information and the right to explanation“, International Data Privacy Law, Bd. 7, Nr. 4, Oxford University Press, Oxford 2017, S. 233 bis 242; Cabral, T. S., „AI and the Right to Explanation: Three Legal Bases under the GDPR“, in Hallinan, D., Leenes, R., und De Hert, P., Data Protection and Privacy: Data Protection and Artificial Intelligence, Hart Publishing, Oxford 2021, S. 29 bis 56; Edwards, L., und Veale, M., „Slave to the Algorithm? Why a ‚Right to an Explanation‘ Is Probably Not the Remedy You Are Looking For“, Duke Law & Technology Review, Bd. 16, Duke Law School, Durham 2017, S. 18 bis 84; Brkan, M., „Do algorithms rule the worlds? Algorithmic decision-making and data protection in the framework of the GDPR and beyond“, International Journal of Law and Information Technology, Bd. 27, Nr. 2, Oxford University Press, Oxford 2019, S. 91 bis 121; Kaminski, M. E., und Malgieri, G., „Algorithmic impact assessments under the GDPR: producing multi-layered explanations“, International Data Privacy Law, Bd. 11, Nr. 2, Oxford University Press, Oxford 2021, S. 125 bis 144; Custers, B., und Heijne, A.‑S., „The right of access in automated decision-making: The scope of article 15(1)(h) GDPR in theory and practice“, Computer Law & Security Review, Bd. 46, Elsevier, Amsterdam 2022; Naudts, L., Dewitte, P., und Ausloos, J., „Meaningful transparency through data rights: A multidimensional analysis“, in Research Handbook on EU Data Protection Law, Elgar, Cheltenham 2022, S. 530 bis 571.

21 Vgl. u. a. Urteil vom 26. Oktober 2023, FT (Kopien der Patientenakte) (C‑307/22, im Folgenden: Urteil FT [Kopien der Patientenakte], EU:C:2023:811, Rn. 47 und 48 sowie die dort angeführte Rechtsprechung).

22 Gemäß Art. 4 Nr. 4 DSGVO bezeichnet der Ausdruck „Profiling“ „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

23 Dieser Begriff findet sich auch in Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g DSGVO. Vgl. auch 63. Erwägungsgrund dieser Verordnung, in dem darauf hingewiesen wird, dass „[j]ede betroffene Person … ein Anrecht darauf haben [sollte,] zu wissen und zu erfahren, … nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht“.

24 Auch wenn sich das vorliegende Vorabentscheidungsersuchen insbesondere auf den Begriff „aussagekräftige Informationen über die involvierte Logik“ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO bezieht, darf jedoch nicht unterschätzt werden, dass die betroffene Person auch über die Tragweite und die angestrebten Auswirkungen der fraglichen Verarbeitung informiert werden muss. Nach Auffassung der Artikel‑29-Datenschutzgruppe legt „[d]iese Formulierung … nahe, dass Informationen über eine beabsichtigte bzw. künftige Verarbeitung sowie über die potenziellen Auswirkungen der automatisierten Entscheidungsfindung auf die betroffene Person zur Verfügung gestellt werden müssen… Damit diese Informationen aussagekräftig und verständlich sind, sollten echte, greifbare Beispiele für die Art der möglichen Auswirkungen genannt werden“. Vgl. Leitlinien (S. 28 f.).

25 Vgl. u. a. Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF (C‑487/21, im Folgenden: Urteil Österreichische Datenschutzbehörde und CRIF, EU:C:2023:369, Rn. 34 und die dort angeführte Rechtsprechung), sowie Urteil FT (Kopien der Patientenakte) (Rn. 73 und die dort angeführte Rechtsprechung).

26 Vgl. u. a. Urteil FT (Kopien der Patientenakte) (Rn. 73 und die dort angeführte Rechtsprechung).

27 Vgl. u. a. Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 35 und die dort angeführte Rechtsprechung).

28 Wie der Gerichtshof in seinem Urteil SCHUFA Holding u. a. (Scoring) (Rn. 52) klargestellt hat, stellt diese Bestimmung ein grundsätzliches Verbot auf, dessen Verletzung von einer solchen Person nicht individuell geltend gemacht zu werden braucht.

29 Vgl. Urteil SCHUFA Holding u. a. (Scoring) (Rn. 54).

30 Vgl. Urteil SCHUFA Holding u. a. (Scoring) (Rn. 57). Diese Verarbeitung, so der Gerichtshof, erfordert nämlich, wie sich aus dem 71. Erwägungsgrund der DSGVO ergibt, die Bewertung persönlicher Aspekte in Bezug auf die von dieser Verarbeitung betroffene natürliche Person, insbesondere zur Analyse oder Prognose von Aspekten bezüglich ihrer Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, Vorlieben oder Interessen, Zuverlässigkeit oder ihres Verhaltens, ihres Aufenthaltsorts oder Ortswechsels (Rn. 58). Diese besonderen Risiken sind nach diesem Erwägungsgrund geeignet, die Interessen und Rechte der betroffenen Person zu beeinträchtigen, insbesondere im Hinblick auf etwaige diskriminierende Wirkungen gegenüber natürlichen Personen (Rn. 59).

31 Vgl. Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 37).

32 Vgl. Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 38).

33 Vgl. Urteile Österreichische Datenschutzbehörde und CRIF (Rn. 39) sowie FT (Kopien der Patientenakte) (Rn. 73).

34 Vgl. Urteile Österreichische Datenschutzbehörde und CRIF (Rn. 41) sowie FT (Kopien der Patientenakte) (Rn. 74).

35 Vgl. Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 42).

36 Vgl. Urteile Österreichische Datenschutzbehörde und CRIF (Rn. 45) sowie FT (Kopien der Patientenakte) (Rn. 75).

37 Vgl. – zur Auslegung des Begriffs „Informationen“ im Sinne von Art. 15 Abs. 3 Satz 3 DSGVO durch den Gerichtshof – Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 46 bis 53).

38 Vgl. Selbst, A. D., und Powles, J., a. a. O., S. 236.

39 Vgl. hierzu Malgieri, G., und Comandé, G., „Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation“, International Data Privacy Law, Oxford University Press, Oxford 2017, Bd. 7, Nr. 4, S. 243 bis 265, insbesondere S. 257.

40 Vgl. u. a. Cabral, T. S., a. a. O. Vgl. auch – zur Debatte über die Frage, ob es ein Recht auf Erläuterung gibt oder nicht – Brkan, M., a. a. O., S. 110 f.

41 Vgl. Foss-Solbrekk, K., und Glenster, A. K., „The intersection of data protection rights and trade secrets privileges in ‚algorithmic transparency‘“, in Research Handbook on EU Data Protection Law, a. a. O., S. 163 bis 183. Die Verfasser weisen darauf hin, dass zu den Bedenken hinsichtlich des Einsatzes von Algorithmen „die Möglichkeit [gehört], dass Algorithmen … auf falschen Daten beruhen und somit Ergebnisse liefern, die die Situation der betroffenen Person nicht widerspiegeln“ (S. 166).

42 Vgl. Urteil SCHUFA Holding u. a. (Scoring) (Rn. 59).

43 C‑26/22 und C‑64/22, EU:C:2023:958.

44 Vgl. Urteil vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C‑26/22 und C‑64/22, EU:C:2023:958, Rn. 94 und die dort angeführte Rechtsprechung).

45 Vgl. Selbst, A. D., und Powles, J., a. a. O., S. 236.

46 Vgl. – zur reichhaltigen Debatte, zu der diese Frage geführt hat – u. a. Foss-Solbrekk, K., und Glenster, A. K., a. a. O., S. 167.

47 Vgl. Leitlinien (S. 27 f.). Hervorhebung nur hier.

48 Vgl. Leitlinien (S. 30).

49 Vgl. Leitlinien (S. 28). Wie diese Arbeitsgruppe ausführt, ergibt sich aus dem 58. Erwägungsgrund der DSGVO, dass „der Grundsatz der Transparenz ‚insbesondere für Situationen [gilt], wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet‘“.

50 Vgl. Malgieri, G., und Comandé, G., a. a. O., die darauf hinweisen, dass „Algorithmen … oftmals nicht nur unbekannt, sondern für Menschen auch unverständlich [sind]“ (S. 243).

51 Vgl. Poullet, Y., Le RGPD face aux défis de l’intelligence artificielle, Larcier, Brüssel 2021, der feststellt, dass sich der „Begriff ‚aussagekräftige Informationen‘ auf die Arten anonymer oder nicht verarbeiteter Daten, ihre Quellen, die Funktionsweise des Algorithmus und – zweifellos und ohne Einzelheiten nennen zu müssen – die Gewichtung bezieht, die jeder Datenart im Basisalgorithmus zugewiesen wird“ (freie Übersetzung) (S. 115).

52 Vgl. u. a. Urteil FT (Kopien der Patientenakte) (Rn. 59 und die dort angeführte Rechtsprechung).

53 Vgl. Urteil FT (Kopien der Patientenakte) (Rn. 61).

54 Vgl. Urteil FT (Kopien der Patientenakte) (Rn. 62).

55 Vgl. Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 43).

56 Vgl. entsprechend Urteil FT (Kopien der Patientenakte) (Rn. 63).

57 Nach dieser Vorschrift bezeichnet der Ausdruck „Geschäftsgeheimnis“ für die Zwecke der Richtlinie „Informationen, die alle nachstehenden Kriterien erfüllen: a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne [W]eiteres zugänglich sind; b) sie sind von kommerziellem Wert, weil sie geheim sind; c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt“.

58 ABl. 1995, L 281, S. 31.

59 Vgl. in diesem Sinne – zu Art. 15 Abs. 4 DSGVO, der Beschränkungen des Rechts auf Erhalt einer Kopie der personenbezogenen Daten gemäß Abs. 3 dieses Artikels zulässt – Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 44).

60 Vgl. Urteil Österreichische Datenschutzbehörde und CRIF (Rn. 44).

61 Vgl. Urteil vom 2. März 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, Rn. 58).

62 Vgl. u. a. Urteil SCHUFA Holding u. a. (Scoring) (Rn. 70 und die dort angeführte Rechtsprechung).

63 Vgl. u. a. Urteil vom 17. Juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, Rn. 111 und die dort angeführte Rechtsprechung).