GZ: 2025-0.355.103 vom 25. September 2025 (Verfahrenszahl: DSB-D124.1994/24)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Mag. Markus A*** (Beschwerdeführer), vertreten durch den B*** - DatenschutzVerband, vom 29. August 2024 gegen 1) die N*** Datenverarbeitung GmbH (Erstbeschwerdegegnerin/BG 1), vertreten durch C*** Rechtsanwälte GmbH, sowie gegen 2) die ***eco-Energie GmbH und Co KG (Zweitbeschwerdegegnerin/BG 2), vertreten durch D*** E*** Rechtsanwälte GmbH, wegen a) einer behaupteten Verletzung im Recht nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht (Art. 22 DSGVO), wegen b) einer behaupteten Verletzung im Recht auf Auskunft nach Art. 15 DSGVO sowie wegen c) einer behaupteten Verletzung in den Rechten nach Art. 13 und 14 DSGVO wie folgt:
1. Der Beschwerde gegen die Erstbeschwerdegegnerin wird stattgegeben und es wird wie folgt festgestellt:
a) Die Erstbeschwerdegegnerin hat den Beschwerdeführer durch die automatisierte Berechnung und Übermittlung des N***RiskScores in seinem Recht nach Art 22 Abs. 1 DSGVO, nicht einer ausschließlich auf einer automatisierten Verarbeitung seiner personenbezogenen Daten beruhenden Entscheidungsfindung unterworfen zu werden, verletzt.
b) Die Erstbeschwerdegegnerin hat den Beschwerdeführer dadurch in seinem Recht nach Art. 14 Abs. 2 lit. g DSGVO verletzt , indem sie ihm keine Information über das Bestehen einer automatisierten Entscheidungsfindung sowie keine aussagekräftige und verständliche Information über die darin involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung erteilt hat.
c) Die Erstbeschwerdegegnerin hat den Beschwerdeführer dadurch in seinem Recht auf Auskunft nach Art. 15 Abs. 1 lit. c, lit. g und lit. h DSGVO verletzt , indem sie ihm auf seinen Antrag vom 16. Jänner 2024 hin keine transparente, verständliche und vollständige Information über die Herkunft seiner Daten, die Empfänger seiner Daten, über das Bestehen einer automatisierten Entscheidungsfindung sowie aussagekräftige und verständliche Informationen über die darin involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung übermittelt hat.
2. Der Beschwerde gegen die Zweitbeschwerdegegnerin wird teilweise stattgegeben und es wird wie folgt festgestellt:
a) Die Zweitbeschwerdegegnerin hat den Beschwerdeführer dadurch in seinem Recht nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO verletzt , indem sie ihm keine Information über das Bestehen einer automatisierten Entscheidungsfindung sowie keine aussagekräftige und verständliche Information über die darin involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung erteilt hat.
b) Die Zweitbeschwerdegegnerin hat den Beschwerdeführer dadurch in seinem Recht nach Art. 15 Abs. 1 lit. h DSGVO verletzt , indem sie ihm auf seinen Antrag vom 15. Dezember 2023 hin keine Auskunft über das Bestehen einer automatisierten Entscheidungsfindung sowie keine aussagekräftige und verständliche Information über die darin involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung erteilt hat.
3. Die Beschwerde gegen die Zweitbeschwerdegegnerin wegen einer behaupteten Verletzung des Art. 22 DSGVO wird als unbegründet abgewiesen.
4. Der Erstbeschwerdegegnerin wird die Verarbeitung der personenbezogenen Daten des Beschwerdeführers zum Zwecke der automatisierten Berechnung von Scoring-Werten, die Auskunft über seine Fähigkeit geben, zukünftigen Zahlungsverpflichtungen nachzukommen bzw. dessen Zahlungsfähigkeit und Kreditwürdigkeit bewerten, mit sofortiger Wirkung untersagt , sofern diese Scoring-Werte für eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 Abs. 1 DSGVO verwendet werden und der Beschwerdeführer nicht in diese Datenverarbeitung eingewilligt hat.
5. Der Antrag, gegen die Zweitbeschwerdegegnerin ein Verarbeitungsverbot hinsichtlich der automatisierten Entscheidung über den Abschluss eines Energieliefervertrages auszusprechen, wird abgewiesen.
6. Der Erstbeschwerdegegnerin wird aufgetragen , dem Beschwerdeführer innerhalb einer Frist von 4 Wochen bei sonstiger Exekution eine vollständige, transparente und verständliche Auskunft im Sinne des Art. 15 Abs. 1 lit. c, lit. g und lit. h DSGVO zu erteilen. Die Auskunft hat dabei die folgenden Anforderungen zu erfüllen:
- Sie muss nachvollziehbar offenlegen, anhand welcher konkreten personenbezogenen Daten und nach welchen mathematisch-statistischen Prinzipien der Scoring Wert berechnet wird.
- Sie muss die Bedeutung der einzelnen Eingabedaten für die Berechnung des Ergebnisses transparent machen und erläutern, wie diese das Ergebnis beeinflussen.
- Sie hat die möglichen Auswirkungen des Scoring-Wertes auf die Entscheidung über das Zustandekommen, die Durchführung oder die Beendigung eines Vertragsverhältnisses für die betroffene Person zu beschreiben.
- Die Informationen müssen so bereitgestellt werden, dass sie für eine durchschnittliche betroffene Person verständlich und leicht zugänglich sind.
7. Der Zweitbeschwerdegegnerin wird aufgetragen , dem Beschwerdeführer innerhalb einer Frist von 4 Wochen bei sonstiger Exekution eine vollständige, transparente und verständliche Auskunft im Sinne des Art. 15 Abs. 1 lit. h DSGVO zu erteilen. Dabei sind die unter Spruchpunkt 6 dargelegten Anforderungen zu erfüllen.
Rechtsgrundlagen: Art. 12, Art 13 Abs. 2 lit. f, Art 14 Abs. 2 lit. g, Art 15 Abs 1 lit. c und lit. g –h, Art 22, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
Anmerkung der Datenschutzbehörde zum Verfahrensgang:Der Verfahrensgang stellt kein rechtlich zwingendes Element dar, sondern ist fakultativ. Es bedarf daher im Allgemeinen keiner gesonderten Anführung des Parteivorbringens in der Bescheidbegründung (vgl. Hengstschläger/Leeb, AVG § 60 Rz 22 (Stand 1.3.2023, rdb.at)).
Die Datenschutzbehörde (DSB) beschränkt sich daher auf eine Zusammenfassung der wesentlichen Punkte des Vorbringens sowie der Stellungnahmen der Beschwerdegegnerinnen.
A.1. Mit verfahrenseinleitender Eingabe vom 29. August 2024 erhob der Beschwerdeführer (im Folgenden: BF) Beschwerde an die DSB und brachte dazu soweit verfahrensrelevant wie folgt vor: der BF habe am 4. Jänner 2023 ein Dienstleistungsunternehmen damit beauftragt, in seinem Namen Lieferverträge für Strom und Gas abzuschließen. Am 17. Oktober 2023 habe der Dienstleister versucht, für den BF bei der Zweitbeschwerdegegnerin (im Folgenden: BG 2) einen solchen Liefervertrag abzuschließen. Dabei habe er nach dem Ausfüllen des entsprechenden Formulars innerhalb einer einzigen Minute zuerst ein Willkommensmail mit der Begrüßung als neuer Kunde und unmittelbar danach die Nachricht, dass sein Antrag aus Bonitätsgründen abgelehnt werde, erhalten. Bei etwaigen Fragen solle sich der BF direkt an die Erstbeschwerdegegnerin (im Folgenden: BG 1) wenden.
Im Hintergrund habe die BG 2 eine Abfrage des BF bei der BG 1 getätigt, welche einen Bonitätswert von 403 betreffend die Kennzahl „N***RiskScore“ aus der N***-Econ***Datei rückgemeldet habe. Der BF sei daher allein auf Grund dieses Werts als neuer Kunde abgelehnt worden. Auf Grund des ganzen Ablaufs, der vom Ausfüllen des Formulars bis zur Ablehnung nur wenige Minuten gedauert habe, sei davon auszugehen, dass die BG 2 über eine Schnittstelle an die Datenbanken der BG 1 angebunden ist und der gesamte Vorgang vollständig automatisiert ohne menschliche Einflussnahme ablaufe. Eine Information über das Bestehen einer solchen automatisierten Entscheidung sei der Datenschutzerklärung der BG 2 aber nicht zu entnehmen.
Der BF habe daraufhin an beide BG Auskunftsbegehren iSd. Art. 15 DSGVO gestellt, welche aber seiner Ansicht nach nur unzureichend beantwortet wurden.
Der BF werfe der BG 1 die folgenden Rechtsverletzungen bzw. Verstöße vor: Art. 14 Abs. 2 lit. g, Art. 15 Abs. 1 lit. c, lit. g und lit. h sowie Art. 22 Abs. 1 DSGVO.
Betreffend die BG 2 mache der BF die Verletzungen von Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g, Art. 15 Abs. 1 lit. h und Artikel 22 Abs. 1 DSGVO geltend.
Der BF beantragte darüber hinaus, die DSB möge beiden Beschwerdegegnerinnen eine Antwort betreffend Art. 15 Abs. 1 lit. h auftragen sowie ein Verbot einer automatisierten Entscheidungsfindung in der vorliegenden Form aussprechen.
A.2. Mit Eingabe vom 5. November 2024 nahm die BG 2 durch ihre Rechtsvertretung zum Beschwerdevorbringen Stellung und führte dazu zusammengefasst und soweit verfahrensrelevant wie folgt aus: die gegenständliche Ablehnung des BF als Kunde durch die BG 2 sei von Art. 22 DSGVO nicht umfasst, da es im vorliegenden Fall schlicht an der dafür nötigen „erheblichen Wirkung“ mangle. Der BF habe letztendlich durch seinen Dienstleister einen anderen Energieliefervertrag vermittelt bekommen, weswegen ihm kein Nachteil erwachsen sei. Daher sei der BF weder erheblich beeinträchtigt gewesen, noch habe die Ablehnung eine rechtliche Wirkung entfaltet. Abgesehen davon sei eine etwaige automatisierte Entscheidungsfindung gem. Art. 22 Abs. 2 lit. a DSGVO zulässig, wenn diese für den Abschluss oder die Erfüllung eines Vertrages erforderlich sei. Die BG 2 erhalte pro Monat bis zu 10.000 Anträge auf Belieferung mit Energie, bei einer derartigen Menge könne unmöglich die Bonität jedes einzelnen Antragstellers durch menschliches Handeln beurteilt werden. Dem BF sei dennoch aber auch das Recht eingeräumt worden, die Entscheidung durch einen Menschen überprüfen zu lassen. Sein Antrag sei im Nachgang einer Überprüfung unterzogen ihm ein anderer Tarif angeboten worden.
Betreffend die behauptete Verletzung des Art. 13 und Art. 14 bzw. des Art. 15 DSGVO führte die BG 2 aus, dass eine solche Verletzung nicht vorliegen könne, da ja, wie oben ausgeführt, der Anwendungsbereich des Art. 22 DSGVO nicht eröffnet sei. Daher war der BF weder in der Datenschutzerklärung noch anlässlich seines Auskunftsbegehrens über das Vorliegen einer automatisierten Entscheidung bzw. über die involvierte Logik zu informieren.
A.3. Mit Schreiben vom 18. November 2024 nahm auch die anwaltlich vertretene BG 1 Stellung und führte zu den in der Beschwerde erhobenen Vorwürfen wie folgt aus: man sei Verantwortliche für die N***-Econ***Datei und verarbeite diesbezüglich personenbezogene Daten des BF. Eine Verletzung von Art. 22 DSGVO könne schon aber schon allein deshalb nicht in Betracht kommen, weil die BG 1 lediglich Bonitätsinformationen übermittle aber keinerlei Entscheidungsgewalt darüber habe, ob ein Anbieter einen Kunden auf Basis dieser Information akzeptiert oder nicht. Dies gehe auch aus dem Schreiben der BG 2 an den BF hervor, in dem lediglich bezüglich der Bonitätsdaten an die BG 1 verwiesen werde, die Ablehnung aber explizit durch die BG 2 erfolgt sei.
Auch habe man dem BF eine vollständige Auskunft iSd. Art. 15 DSGVO erteilt.
Eine Formulierung im Schreiben des BF vom 18. Februar 2024, wonach er „falsche oder unvollständige Daten klagsweise korrigieren lassen würde“ habe die BG 1 als Antrag auf Berichtigung interpretiert. Der Scorewert des BF sei daher nochmals manuell überprüft und neu (Anm. der DSB: niedriger und somit besser) festgesetzt worden.
Weiters wurde ausgeführt, dass eine Verletzung von Art. 14 Abs. 2 lit. g DSGVO nicht vorliegen könne, da die Bonitätsbewertung vor dem Urteil des EuGH vom 7. Dezember 2023 (C-634/21) erfolgt sei und abgesehen davon die Bewertung eine „einfache Empfehlung“ aber keinerlei Entscheidung sei. Die Entscheidung habe allein die BG 2 getroffen und man habe auf deren Kriterien keinen Einfluss.
Betreffend Art. 15 DSGVO wurde schlussendlich ausgeführt, dass das konkrete Berechnungsverfahren beim Scoring ein Geschäftsgeheimnis darstelle, welches nicht zu beauskunften sei. Der BF habe lediglich das Recht auf Darstellung des Prinzips, auf dem die Berechnung basiert.
A.4. Nach gesonderter Aufforderung durch die DSB nahm die BG 1 mit Schreiben vom 31. März 2025 nochmals explizit zur Frage Stellung, ob man angesichts des in der Zwischenzeit ergangenen Urteils des EuGH vom 27. Februar 2025 (C-203/22) zur Frage der Auslegung des Art. 15 Abs. 1 lit. h iVm. Art. 22 DSGVO die abgegebene Stellungnahme ergänzen oder erweitern möchte. Die BG 1 führte dazu sinngemäß aus, dass sich die Konstellation im angesprochenen Urteil vom vorliegenden Fall unterscheide. Außerdem sei man der Ansicht, dass man die involvierte Logik präzise und plausibel unter Wahrung des Schutzes von Geschäftsgeheimnissen dargestellt habe.
A.5. Sämtliche Stellungnahmen der BG wurden dem BF im Rahmen des Parteiengehörs zur Verfügung gestellt. Der BF hat die Möglichkeit zur eigenen Stellungnahme im Zuge des Parteiengehörs auch jedes Mal wahrgenommen.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen der Verfahrensparteien besteht daher der Beschwerdegegenstand in den folgenden Fragen:
1. Hat die BG 2 den BF in seinem Recht gem. Art 22 Abs. 1 DSGVO , nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, verletzt?
2. Hat die BG 2 in Bezug auf den BF gegen ihre Informationspflichten nach Art 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit g DSGVO verstoßen, indem sie ihm keine Informationen über das Bestehen einer automatisierten Entscheidungsfindung und keine aussagekräftigen Informationen über die involvierte Logik dahinter zur Verfügung gestellt hat?
3. Hat die BG 2 den BF in seinem Recht nach Art. 15 Abs. 1 lit. h DSGVO verletzt, indem sie ihm auf dessen Antrag hin keine Auskunft über das Bestehen einer automatisierten Entscheidungsfindung und keine aussagekräftigen Informationen über die involvierte Logik dahinter erteilt hat?
4. Hat die BG 1 den BF in seinem Recht gem. Art 22 Abs. 1 DSGVO , nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, verletzt?
5. Hat die BG 1 in Bezug auf den BF gegen ihre Informationspflichten nach Art. 14 Abs. 2 lit g DSGVO verstoßen, indem sie ihm keine Informationen über das Bestehen einer automatisierten Entscheidungsfindung und keine aussagekräftigen Informationen über die involvierte Logik dahinter zur Verfügung gestellt hat?
6. Hat die BG 1 den BF in seinem Recht nach Art. 15 Abs. 1 lit. h DSGVO verletzt, indem sie ihm auf dessen Antrag hin keine Auskunft über das Bestehen einer automatisierten Entscheidungsfindung und keine aussagekräftigen Informationen über die involvierte Logik dahinter erteilt hat?
7. Hat die BG 1 den BF in seinen Rechten nach Art. 15 Abs. 1 lit. c und lit. g DSGVO verletzt, indem sie ihm keine Auskunft über die Empfänger bzw. die Herkunft seiner personenbezogenen Daten erteilt hat?
C. Sachverhaltsfeststellungen
C.1. Die BG 1 übt das Gewerbe einer Auskunftei nach § 152 Gewerbeordnung (GewO) aus und betreibt die Datenanwendung „N***-Econ***Datei“. In der genannten Datenanwendung werden personenbezogene Daten des BF verarbeitet. In der N***-Econ***Datei wird u.a. die Kennzahl „N***RiskScore“ auf Basis der dort vorhandenen Informationen automatisiert berechnet. Für den N***RiskScore des BF wurde am Tage des versuchten Vertragsabschlusses ein Wert von 403 rückgemeldet, was einer Wahrscheinlichkeit von 3,53% für eine Zahlungsauffälligkeit entspricht. Nach Intervention des BF hat die BG 1 den Wert des N***RiskScores neu berechnet und mit 337 festgesetzt. Dies entspricht nur mehr einer Wahrscheinlichkeit von 1,98% für eine Zahlungssauffälligkeit.
Die BG 2 ist ein Vertriebsunternehmen für elektrische Energie und Gas.
Beweiswürdigung : Die Feststellung ergibt sich aus den jeweiligen Vorbringen der BG sowie dem Amtswissen der Behörde, da beide Unternehmen in Österreich als in der Öffentlichkeit bekannt gelten dürfen.
Die Feststellung der automatisierten Berechnung ergibt sich aus der Auskunft der BG 1 an den BF. Dort wird zwar ausgeführt, dass zwei der Variablen die persönliche Einschätzung eines Menschen darstellen, jedoch eingeschränkt, dass ein Nicht-Befüllen von Variablen keinen Einfluss auf den Scorewert hat (maW: der Scorewert kann auch vollständig automatisiert ohne das Eingreifen eines Menschen berechnet werden). Die DSB kommt im vorliegenden Fall beweiswürdigend zu der Feststellung, dass der N***RiskScore vollständig automatisiert berechnet wird und sich das menschliche Eingreifen auf eine nicht zwingende und nicht entscheidungserhebliche bloße Option beschränkt. Die Berechnung bzw. Entscheidung unterliegt daher keiner echten Aufsicht, wie beispielsweise in den Leitlinien der Art. 29 Datenschutzgruppe gefordert (vgl. Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP251rev.01, S 22).
C.2. Am 17. Oktober 2023 hat der BF (mittels eines Dienstleistungsunternehmens) versucht, einen Energieliefervertrag bei der BG 2 auf deren Webseite www.wasserkraft.at abzuschließen. Das Ausfüllen der entsprechenden Formulare dauerte von 13:25 bis 13:28. Eine Minute später (um 13:29) erhielt der BF eine Nachricht, die ihn als neuen Kunden der BG 2 willkommen hieß. Wiederum eine Minute später um 13:30 teilte die BG 2 dem BF mit, dass sein Antrag auf Grund einer unzureichenden Bonitätsbewertung im Rahmen eines Standard-Überprüfungsverfahrens mit dem österreichischen N***-Verein abgelehnt wird.
[Anmerkung Bearbeiter/in: Die im Original an dieser Stelle als Faksimile im grafischen Format PNG dargestellten E-Mail-Nachrichten wurden in Textdokumente umgewandelt und werden hier (unter Weglassung unwesentlicher Elemente wie Grafiken, Unternehmenslogos etc.) pseudonymisiert und leicht gekürzt wiedergegeben.]
„Betreff: Herzlich Willkommen
Von: **** Ecol***Power (service@ecol***power.at) Datum: 17.10.2023, 13;29
An: "*7**88*1@o***box.at" (*7**88*1@o***box.at)
[…]
Herzlich Willkommen bei **** Ecol***Power!
Lieber Herr A***,
wir freuen uns, Sie als unseren Kunden begrüßen zu dürfen und dass Sie mit uns in eine saubere Zukunft starten.“
Abb. : Willkommensnachricht der BG 2
„Betreff; Ablehnung Ihres Antrages auf Energielieferung
Von: **** Ecol***Power (service@ecol***power.at) Datum: 7.10.2023,13:30
An: " *7**88*1@o***box.at '‘ (*7**88*1@o***box.at)
Du bemerktst keinen Unterschied. Die Natur schon.
Lieber Herr A***,
vielen Dank für Ihr Interesse an einer Belieferung durch **** Ecol***Power.
Leider müssen wir auf Basis des Ergebnisses unseres Standard-Überprüfungsverfahrens mit dem österreichischen N***-Verein, Ihren Antrag auf Energielieferung aufgrund einer unzureichenden Bonitätsbewertung ablehnen. Bei etwaigen Fragen wenden Sie sich bitte direkt an N*** Datenverarbeitung GmbH.“
Abb. : Nachricht über die Ablehnung des Antrags des BF durch die BG 2. Diese wurde wie ersichtlich nur eine Minute nach der Willkommensnachricht versendet.
Beweiswürdigung : Die Feststellung ergibt sich aus den übereinstimmenden Vorbringen der Verfahrensparteien und der somit unstrittigen Aktenlage.
C.3. Die Ablehnung des Antrags des BF (siehe Punkt C.2.) erfolgte nach einer automatisierten Anfrage der BG 2 an die BG 1 und der daraus folgenden Rückübermittlung der Kennzahl „N***RiskScore“. Der Grund für die Ablehnung als Kunden bestand im übermittelten Wert (Scorewert) zum „N***RiskScore“. Der gesamte Prozess lief ohne Intervention einer natürlichen Person ab.
Die BG 2 erhält im Monat zwischen 6.000 und 10.000 Online-Anträge auf Lieferung von Energie.
[Anmerkung Bearbeiter/in: Wiedergabe des Vorbringens der BG 2 in Form zweiter grafischer Dateien entfernt.]
Abb . Auszug aus der Stellungnahme der BG 2 vom 5. November 2024.
Beweiswürdigung : Die Feststellung bezüglich des Ablaufs des Antrags und der Ablehnung ergibt sich aus den Vorbringen der Verfahrensparteien, welche im Wesentlichen übereinstimmen. Die Anzahl der Online-Anträge pro Monat auf Lieferung von Energie entstammt der aus Sicht der DSB glaubwürdigen Stellungnahme der BG 2 vom 5. November 2024.
Die Feststellung, wonach dieser Prozess ohne menschliche Intervention abläuft, ergibt sich ebenfalls aus der oben erwähnten Stellungnahme der BG 2 und ist auch auf Grund des unter Punkt C.2. geschilderten chronologischen Ablaufs realistisch nur auf diese Weise darstellbar. Eine Prüfung von eingereichten Unterlagen, eine Datenbankabfrage, die Entscheidung, ob ein Kunde abgelehnt wird oder nicht und das Verfassen einer entsprechenden Nachricht ist im Zeitraum von einer Minute durch eine natürliche Person unmöglich durchzuführen.
C.4. Die BG 2 hat dem BF nach dessen Intervention mit Schreiben vom 10. Jänner 2024 angeboten, zu anderen Konditionen einen Vertrag zur Belieferung mit Energie bei ihr abzuschließen. Auf Grund des langen zeitlichen Abstands zwischen dem erfolglosen Versuch des Abschlusses eines Energieliefervertrags und diesem Alternativangebot sah sich der BF in der Zwischenzeit veranlasst, bei einem Mitbewerber einen wirtschaftlich weniger günstigen Vertrag abzuschließen.
Beweiswürdigung : Die Feststellung ergibt sich aus den übereinstimmenden Angaben der Verfahrensparteien und der somit unstrittigen Aktenlage.
C.5. Zum Zeitpunkt der beanstandeten Rechtsverletzung bzw. zum Beschwerdezeitpunkt enthielt die Datenschutzerklärung der BG 1 keinerlei Informationen über das Bestehen einer automatisierten Entscheidungsfindung. Aussagen über die involvierte Logik bzw. die Tragweite und die angestrebten Auswirkungen der Verarbeitung finden sich ebenfalls nicht. Vielmehr wird darauf hingewiesen, dass die „Beurteilung allein durch den Geschäftspartner“ erfolgt.
[Anmerkung Bearbeiter/in: Wiedergabe eines Auszugs aus der Datenschutzerklärung der BG 1 in Form einer grafischen Datei - Inhalt unbestritten – entfernt.]
Abb .: Auszug aus der zum Zeitpunkt der behaupteten Rechtsverletzung gültigen Datenschutzerklärung der BG 1.
Beweiswürdigung : Die Feststellung ergibt sich aus dem inhaltlich nicht bestrittenen Vorbringen des BF und der somit unstrittigen Aktenlage. Die BG 1 gab dazu jedoch an, dass zum Zeitpunkt der behaupteten Rechtsverletzung die Entscheidung des EuGH vom 7. Dezember 2023 (C-634/21) noch nicht vorlag und es zum damaligen Zeitpunkt daher nicht notwendig war, die entsprechenden Informationen offenzulegen.
C.6. Zum Zeitpunkt der behaupteten Rechtsverletzung bzw. zum Beschwerdezeitpunkt enthielt die Datenschutzerklärung der BG 2 keinerlei Hinweise auf eine automatisierte Entscheidungsfindung und damit folglich auch keine Aussagen über die involvierte Logik oder die Tragweite der Entscheidung (vgl. dazu auch Punkt C.5.). Vielmehr geht es im betreffenden Kapitel der Datenschutzerklärung um Kundenzufriedenheit und Direktmarketing.
[Anmerkung Bearbeiter/in: Wiedergabe eines Auszugs aus der Datenschutzerklärung der BG 2 in Form einer grafischen Datei - Inhalt unbestritten – entfernt.]
Abb.: Auszug aus der Datenschutzerklärung der BG 2 zum Zeitpunkt der behaupteten Rechtsverletzung bzw. zum Beschwerdezeitpunkt.
Beweiswürdigung : Die Feststellung ergibt sich aus der unstrittigen Aktenlage.
C.7. Der BF stellte am 16. Jänner 2024 ein Auskunftsbegehren gem. Art. 15 DSGVO an die BG 1. Diese antwortete mit Schreiben vom 13. Februar 2024 sowie vom 19. März 2024. Betreffend die Herkunft seiner Daten (Datenquellen) wurde der BF wie folgt informiert:
[Anmerkung Bearbeiter/in: Die an dieser Stelle als erster Teil von zwei Teilen im Original als Faksimile (grafische Datei) wiedergegebene Tabelle mit verschiedenen aktuellen und ehemaligen „Anschriften“/Adressen des Beschwerdeführers samt Angaben zur Aktualität und zu den Quellen kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Sie enthält 6 Datensätze aus 2 Quellen, wobei 5 Datensätze dieselbe Adresse angeben, die teils aus „bekannt“, teils als „ehemalig“ bezeichnet wird.
Der zweite Teil der Antwort der BG 1:]
„ Wer ist der N***-VEREIN?
Der N***-Verein ist der führende Gläubigerschutzverband Österreichs und hat das Ziel, Wirtschaftstreibende vor finanziellem Schaden zu bewahren und ihre Liquidität zu fördern. Der N***-Verein und die N*** Datenverarbeitung GmbH gehören zur N***-Verein Gruppe, sie erteilen im Rahmen des Gewerbes nach § 152 GewO Bonitätsauskünfte.“
Abb .: Auszüge aus der Auskunft an den BF vom 13. Februar 2024
In ihrer Stellungnahme vom 18. November 2024 führte die BG 1 zum Themen Datenquellen zusätzlich wie folgt aus:
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile im grafischen Format PNG wiedergegebene Auszug aus der Stellungnahme der BG 1 vom 18. November 2024 wurde in ein Textdokument umgewandelt und wird hier unter Entfernung farblicher Hervorhebungen pseudonymisiert wiedergegeben.]
„13.02.2024 angeführt ist. Ebenso sind auf Seite 3 sämtliche Auftragsverarbeiter angeführt. Sofern der Beschwerdeführer vorbringt, wie die Quelle einer Information für den „KSV“ der „KSV" selbst sein solle (dabei stützt er sich auf Seite 11 der Auskunft vom 13.02.2024, nämlich die Anschriften des Beschwerdeführers), ist dem zu entgegnen, dass wir nicht die ursprüngliche „Quelle“ der Daten sind, sondern als zentrale Stelle fungieren, wenn wir Adressdaten aus öffentlich zugänglichen Registern eintragen. Auf Seite 5 unserer Auskunft ist unter anderem detailliert beschrieben, woher die Daten stammen , die wir in der N***-Econ***Datei verarbeiten. Darüber hinaus sind sämtliche der in der N***-Econ***Datei übermittelten Daten auf Seite 1 1 bis 13 angeführt, so dass auch dem Einwand des Beschwerdeführers - nämlich, dass sich auf der Auskunft nicht finden lasse, welche Daten im Rahmen der beiden Abfragen durch die Zweitbeschwerdegegnerin übermittelt werden würden - nicht gefolgt werden kann. Außer der“
Abb .: Auszug aus der Stellungnahme der BG 1 vom 18. November 2024, Punkt 3.2.
C.8. Betreffend die Empfänger der personenbezogenen Daten des BF enthielt die Auskunft der BG 1 unter anderem die folgenden Informationen:
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile im grafischen Format PNG wiedergegebene Auszug aus der Information der BG 1 vom 13. Februar 2024 wurde in ein Textdokument umgewandelt und wird hier unter nur annähernder Reproduktion der Formatierung pseudonymisiert wiedergegeben.]
Übermittlungsempfänger N***-Econ***Datei Person
Auskunft Datum Bezieher
Auskunft nach Art 15 DSGVO 2022-10-07 Markus A***
X**ZProfil 2023-10-17 **** Ecol***Power
GmbH Co KG
X**ZProfil 2024-01-11 **** Ecol***Power
GmbH Co KG
Abb. Auszug aus der Information der BG 1 vom 13. Februar 2024
Eine Erklärung, was mit „X**ZProfil“ genau gemeint ist, kann der Auskunft nicht entnommen werden.
C.9. Zum Punkt automatisierte Entscheidungsfindung einschließlich Profiling waren folgende Information in der Auskunft an den BF enthalten:
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile in zwei Teilen im grafischen Format PNG wiedergegebene Auszug aus der Information der BG 1 vom 13. Februar 2024 wurde in ein Textdokument umgewandelt und wird hier unter nur annähernder Reproduktion der Formatierung pseudonymisiert wiedergegeben.]
„Art 15 Abs 1 lit b: Hinweis zum Profiling
Der N***-Verein und die N*** Datenverarbeitung GmbH fuhren jeweils für ihre Dateisysteme Profiling durch. Die Ergebnisse werden den Vertragspartnern der Consumer***Profiles**DB und N***-Econ***Datei als Unterstützung zur Erfüllung ihrer gesetzlich und europarechtlich vorgesehenen Konsumentenschutz- und Risikomanagementverpflichtungen zur Verfügung gestellt.
Sofern eine automatisierte Entscheidung im Einzelfall durch die N*** Datenverarbeitung GmbH und den N***-Verein einschließlich Profiling gemäß Art 22 DSGVO vorgenommen wurde, werden folgende Informationen erteilt:
Allgemein zur Score-Berechnung der N*** Datenverarbeitung GmbH und des N***-Vereines
Die N*** Datenverarbeitung GmbH und der N***-Verein betreiben jeweils getrennt voneinander Profiling im Sinne einer Datenverarbeitung.
Durch die Verarbeitung von personenbezogenen Informationen und nicht-personenbezogener Informationen und Erfahrungen aus der Vergangenheit errechnet die N*** Datenverarbeitung GmbH und der N***-Verein (Verein) jeweils getrennt voneinander eine Prognose für den zukünftige Eintritt von Ereignissen. Das errechnete Ergebnis ist ein Scorewert.
Die Berechnung dieser Scorewerte erfolgt grundsätzlich auf Basis bestimmter zu einer betroffenen Person gespeicherten Informationen bzw. verarbeiteten Daten (einfließende Variablen). Diese personenbezogenen Daten werden auch jeweils vollständig in der Auskunft ausgewiesen. Zusätzlich können auch nicht personenbezogene statistische Daten in eine Berechnung eines Scorewertes einfließen. Die einfließenden Variablen können positive, negative und neutralen Einfluss auf die Errechnung des Scorewertes haben und sind unterschiedlich gewichtet.
Anhand der zu einer Person gespeicherten Einträge erfolgt auch eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit ähnliche Einträge aufgewiesen haben. Das verwendete Verfahren wird als „logistische Regression“ bezeichnet und ist eine fundierte, seit langen praxisexprobte, mathematisch-statistische Methode zur Prognose von Risikowahrscheinlichkeiten.
Im Zuge dieser Verarbeitung wird ein Scorewert errechnet. Dieser Wert soll grundsätzlich die Wahrscheinlichkeit einer Zahlungsauffälligkeit oder Insolvenzwahrscheinlichkeit in einem Prognosehorizont von 12 bis 24 Monate darstellen.
Ausdrücklich betont wird, dass Informationen und Daten, die besondere Kategorien personenbezogener Daten im Sinne der DSGVO sind, wie ethnische Herkunft oder Angaben zu politischen oder religiösen Einstellungen nicht verarbeitet und daher bei der Berechnung von Scorewerten auch nicht berücksichtigt werden.
Zur möglichen Verwendung :
Die Scorewerte können Vertragspartner bei der Entscheidungsfindung unterstützen und können von diesen in das Risikomanagement eingehen.
Die Risikoeinschätzung eines möglichen Forderungsausfalls und die Beurteilung der Kreditwürdigkeit erfolgt durch den direkten Geschäftspartner.
Die Scorewerte können in eine allfällige Entscheidungsfindung eines Dritten einfließen.“
Abb. Auszug aus der Auskunft der BG 1 vom 13. Februar 2024
Ein Hinweis auf eine automatisierte Entscheidungsfindung findet sich darin nicht. Vielmehr wird explizit festgehalten, dass die Scorewerte „ bei der Entscheidung unterstützen können “ oder in die „ allfällige Entscheidung eines Dritten einfließen “.
Zum N***RiskScore (Anm. DSB: jene Kennzahl, auf deren Basis der Antrag des BF auf Belieferung mit Energie letztendlich abgewiesen wurde) wurden die folgenden Informationen beauskunftet:
[Anmerkung Bearbeiter/in: Der im Original an dieser Stelle als Faksimile in zwei Teilen im grafischen Format PNG wiedergegebene Auszug aus der Information der BG 1 vom 19. März 2024 wurde in ein Textdokument umgewandelt und wird hier unter nur annähernder Reproduktion der Formatierung pseudonymisiert wiedergegeben.]
„Zum N***RiskScore :
Der N***RiskScore stellt eine Einschätzung der Wahrscheinlichkeit einer Zahlungsaufälligkeit auf Basis in der N***-Econ***Datei verfügbaren Informationen dar.
Es handelt sich um ein Prognosetool über Personen, mit dem ein Eintritt auf Basis historischer Erfahrungswerte prognostiziert wird.
Folgende Variablen fließen - wenn vorhanden - in den N***RiskScore ein und haben für die Berechnung des Scorewertes einen jeweiligen positiven, negativen oder neutralen Effekt:
Zahlweise - abhängig von der Einschätzung des Zahlungsverhaltens positiver oder negativer Einfluss;
Beurteilung - abhängig von der Einschätzung der aktuellen finanziellen Situation positiver oder negativer Einfluss;
Realbesitz - wenn Realbesitz vorhanden positiver Einfluss sonst neutral;
Bonität der Firma/des Unternehmens, in dem die Person besitzender Funktionsträger ist - abhängig von der Bonität der Firma(en) positiver oder negativer Einfluss;
Bonität der Firma/des Unternehmens, in dem die Person leitender Funktionsträger ist - abhängig von der Bonität der Fima(en) positiver oder negativer Einfluss;
Insolvenz / Offenkundige Zahlungsunfähigkeit / Restrukturierungsverfahren der Firma/des Unternehmens, in dem die Person Funktionsträger ist - wenn ja negativer Einfluss, sonst neutral;
Zahlungsanstände offen - wenn Falle vorhanden negativer Einfluss, sonst neutral;
Zahlungsanstände erledigt (innerhalb der Verjährungsfrist) - wenn Fälle vorhanden negativer Einfluss, sonst neutral;
Insolvenz / Offenkundige Zahlungsunfähigkeit / Restrukturierungsverfahren offen - negativer Einfluss, sonst neutral;
Insolvenz / offenkundige Zahlungsunfähigkeit / Restrukturierungsverfahren erledigt (innerhalb der Verjährungsfrist) - wenn Fälle vorhanden negativer Einfluss, sonst neutral;
Inkasso offene Fälle - negativer Einfluss, sonst neutral;
Inkasso erledigte Fälle (innerhalb der Verjährungsfrist) - wenn Falle vorhanden negativer Einfluss, sonst neutral;
Alter der Person (jüngere Personen haben üblicherweise ein höheres Risiko)
Statistischer Referenzwert zu Stadt-Land (Großstädte haben üblicherweise ein höheres Risiko)
Risiko einer statistischen Referenzgruppe
Identitätsbestätigung (Mehrfachbestätigung wirkt positiv)
Die Variablen „Zahlweise“ und „Beurteilung" der Person sind eine persönliche Einschätzung eines Menschen und erfolgt die Befüllung manuell durch einen Menschen.
Der Einfluss der Variablen auf den N***RiskScore-Scorewert ist unterschiedlich. Ist eine Variable nicht befüllt, hat diese keinen Einfluss auf den N***RiskScore-Scorewert.
Der N***RiskScore zeigt die Wahrscheinlichkeit einer Zahlungsauffälligkeit in 12 Monaten auf Basis der in der N***-Econ***Datei verfügbaren Informationen an.
Der N***RiskScore Financial zeigt die Wahrscheinlichkeit einer Zahlungsauffälligkeit in 12 Monaten auf Basis der in der N***-Econ***Datei, Trader***Profiles**DB, Consumer***Profiles**DB und R***liste verfügbaren Informationen.“
Abb . Auszug aus der Auskunft der BG 1 vom 19. März 2024
Weitere Informationen über die involvierte Logik bzw. die Verfahren und Grundsätze, die bei der automatisierten Verarbeitung der personenbezogenen Daten des BF zur Gewinnung eines konkreten Ergebnisses angewendet wurden, können der Auskunft nicht entnommen werden.
Beweiswürdigung C.7. bis C.9 .: Die Feststellung ergibt sich aus der dokumentierten unstrittigen Aktenlage .
C.10. Die BG 2 hat dem BF auf seinen Antrag vom 15. Dezember 2023 hin bis zum Abschluss des Verfahrens keine Information über die involvierte Logik oder die Verfahren und Grundsätze, die bei der automatisierten Verarbeitung von Daten angewendet werden, übermittelt. In einer ergänzenden Auskunft vom 16. April wurde erklärt, dass der Antrag auf Belieferung mit Energie wegen unzureichender Bonität abgelehnt wurde und dass dies auf Basis des von der BG 1 gelieferten Scorewerts passiert sei. Darüber hinaus wurde lediglich auf die Informationen der BG 1 zu den Variablen und Risikoklassen der Kennzahl „N***RiskScore“ verwiesen.
[Anmerkung Bearbeiter/in: Die an dieser Stelle als im Original als Faksimile (grafische Datei) wiedergegebene Tabelle mit Angaben zu verschiedenen „Ratingklassen“ kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Sie zeigt hervorgehoben die „Ratingklasse“ „400-499“ mit den Bewertungen „Risiko“ „erhöhtes Risiko“, „Wahrscheinlichkeit einer Zahlungsstörung“ „ab 3,02 %“ und „Erklärung“ „Eine erhöhte Zahlungsauffälligkeit ist gegeben“.]
Abb. Auszug aus dem Schreiben der BG 2 vom 16. April 2025
In dieser Auskunft wurde auch festgehalten, dass die Entscheidung der Ablehnung keine Entscheidungsfindung im Sinne des Art. 22 DSGVO gewesen sei. Somit wurde der BF nicht über das Vorhandensein einer automatisierten Entscheidung iSd. Art. 22 informiert.
Beweiswürdigung : Die Feststellung ergibt sich aus der unstrittigen Aktenlage. Die gesamte Dokumentation aller Vorbringen liegt dem Akt bei und wird von der DSB der Entscheidungsfindung zu Grunde gelegt.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Zur automatisierten Entscheidung im Einzelfall einschließlich Profiling
D.1.1. Vorbemerkung
Der Dreh- und Angelpunkt sowie die Basis des gegenständlichen Beschwerdeverfahrens besteht in der Frage, ob die verfahrensgegenständliche Datenverarbeitung durch die beiden Beschwerdegegnerinnen (BG 1 und BG 2) eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling darstellt und somit unter Art. 22 DSGVO fällt. Die Parameter der Datenverarbeitung an sich (Ablauf, Art der personenbezogenen Daten) sind auf Grund der übereinstimmenden Angaben aller Parteien unstrittig, sodass diesbezüglich nur mehr die rechtliche Frage der Subsumption unter Art. 22 DSGVO zu klären ist.
Die Frage der Anwendbarkeit von Art. 22 DSGVO ist auch die Grundlage für die Beurteilung der behaupteten Verletzungen von Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g sowie Art. 15 Abs. 1 lit. h durch die beiden BG.
D.1.2. Zum Recht nach Art. 22 DSGVO
Gem. Art. 22 Abs. 1 DSGVO hat eine betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Datenverarbeitung (einschließlich Profiling) beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Erwägungsgrund 71 DSGVO nennt als Beispiele für eine solche rechtliche Wirkung oder eine erhebliche Beeinträchtigung die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren, die ohne jegliches menschliche Eingreifen von statten gehen.
Damit soll erreicht werden, dass eine betroffene Person nicht zu einem “Objekt computergestützter Programme“ gemacht wird, da es durch den technischen Fortschritt und die Möglichkeiten, auch riesige Datenmengen zu analysieren, sowie durch künstliche Intelligenz und maschinelles Lernen ohne allzu großen Aufwand möglich ist, diverse Profile über Personen zu erstellen und automatisierte Entscheidungen zu treffen, welche die Rechte und Freiheiten des Einzelnen erheblich beeinträchtigen können ( Jahnel , Kommentar zur Datenschutz-Grundverordnung Art. 22 DSGVO, Rz 1 (Stand 1.12.2020, rdb.at).
Gemäß den Leitlinien der Art. 29 Datenschutzgruppe ([Anmerkung Bearbeiter/in: Klammerausdruck im Originaltext als Fußnote] Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP251rev.01, S.21) bedeutet der Begriff „Recht“ im Zusammenhang mit Art. 22 Abs. 1 DSGVO nicht, dass Abs. 1 leg. cit. nur dann gilt, wenn die betroffene Person davon aktiv Gebrauch macht. Vielmehr wird die ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidungsfindung generell verboten, sofern nicht eine der taxativ aufgezählten Ausnahmen des Abs. 2 leg. cit. vorliegt.
Zum Begriff der „Entscheidung“ hat der EuGH in seinem Urteil vom 7. Dezember 2023 festgehalten, dass dieser in der DSGVO nicht definiert wird, jedoch bei der Auslegung des Unionsrechts auch die Zwecke und Ziele, die mit dem Rechtsakt verfolgt werden, zu berücksichtigen sind (EuGH vom 7. Dezember 2023, C-634/21, Rz 41). Der Begriff der „ Entscheidung “ ist daher weit auszulegen und kann somit, wie auch der Generalanwalt in Nr. 38 seiner Schlussanträge angeführt hat, mehrere Handlungen umfassen, die eine betroffene Person in vielerlei Weise beeinträchtigen können. Der Begriff ist auch weit genug, um das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung zukünftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts mit einzuschließen (a.a.O, Rz 45 - 46).
Zusammengefasst hängt die Anwendbarkeit von Art. 22 Abs. 1 DSGVO also von drei kumulativen Voraussetzungen ab, nämlich i) dem Vorliegen einer Entscheidung, die ii) ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruht und iii) für eine betroffene Person rechtliche Wirkung entfaltet oder diese in sonstiger Weise erheblich beeinträchtigt.
Zu den Ausnahmen vom Verarbeitungsverbot gem. Art. 22 Abs. 2 DSGVO
Das in Abs. 1 leg. cit. normierte Verarbeitungsverbot gilt jedoch nicht absolut, sondern wird bei Vorliegen eines der drei Ausnahmetatbestände des Art. 22 Abs. 2 DSGVO durchbrochen.
So gilt Abs. 1 nicht, wenn
- die Verarbeitung für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
- die Verarbeitung nach den Rechtsvorschriften der Union oder der Mitgliedsstaaten zulässig ist (und diese Vorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen beinhalten), oder
- die Verarbeitung mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
D.1.2 Zur Anwendbarkeit des Art. 22 DSGVO im gegenständlichen Fall
Zur BG 2
Wie unter Punkt C.2. und C.3 festgestellt, wurde der Antrag des Beschwerdeführers auf Belieferung mit Energie durch die BG 2 abgelehnt, nachdem diese nach einer automatisierten Abfrage des Scorewerts zum „N***RiskScore“ aus der Datenanwendung „N***-Econ***Datei“ der BG 1 automatisiert entschieden hat, dass dieser Wert nicht ausreichend sei und der BF somit als Kunde nicht akzeptabel wäre. Somit hat die BG 2 eindeutig eine Entscheidung gefällt, nämlich jene, den BF nicht als Kunden zu akzeptieren. Die Entscheidung basierte auch einzig und allein auf einer automatisierten Verarbeitung, was durch die BG 2 nicht nur ausdrücklich eingeräumt wurde, sondern auch auf Grund der chronologischen Abfolge (siehe Punkt C.3.) denkmöglich nur auf diese Art und Weise vonstatten gegangen sein kann. Darüber hinaus deuten auch die Ausführungen im Schreiben der BG 2 vom 16. April 2025 darauf hin, dass bei einem Wert des N***RiskScores von 400 oder höher ein Antrag auf Belieferung mit Energie automatisch abgelehnt wird. Diese Entscheidung hatte auch eine erhebliche Beeinträchtigung des BF zur Folge, da dieser durch die Nichtbegründung des Vertragsverhältnisses gezwungen war, unter zeitlichem und finanziellem Aufwand bei einem letztlich für ihn weniger günstigen Anbieter abzuschließen. Die Tatsache, dass ein Vertrag eine Minute nach dessen Zustandekommen gleich wieder storniert wird, kann mit Sicherheit auch als „rechtliche Wirkung“ betrachtet werden, v.a. da es sich hierbei um einen Vertrag zur Erfüllung eines Grundbedürfnisses (Energie im privaten Haushalt) handelt.
Im Fall der BG 2 liegen also alle Voraussetzungen des Art. 22 Abs. 1 vor und kommt dieser somit zur Anwendung.
Zur BG 1
Die BG 1 brachte, wie unter Punkt A beschrieben, unter anderem vor, dass sie im vorliegenden Fall keinerlei Entscheidungsgewalt gehabt hätte, da sie nur einen Scorewert zur Kennzahl „N***RiskScore“ geliefert habe und keinen Einfluss auf die endgültige Entscheidung der BG 2 nehmen konnte.
In diesem Zusammenhang ist zunächst zu erwähnen, dass die BG 1 in Ihrer Auskunft vom 13. Februar 2024 dennoch einige - wenn auch nur rudimentäre - Auskünfte zur involvierten Logik erteilt hat (vgl. Punkt C.9.) und somit offenbar selbst das Vorliegen einer automatisierten Entscheidungsfindung zumindest theoretisch für möglich hält.
Dazu hat der EuGH in seinem Urteil vom 7. Dezember 2023 wie folgt festgehalten: „Art 22 Abs. 1 DSGVO […] ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet“ (EuGH vom 7. Dezember 2023, C-634/21).
Die genannten Voraussetzungen treffen auf den vorliegenden Fall allesamt zu. Auf Grund der Angaben der Verfahrensparteien und des geschilderten zeitlichen Ablaufs steht fest, dass der von der BG 1 automatisiert errechnete und übermittelte Scorewert des „N***RiskScores“ ein maßgebliches, wenn nicht sogar das einzige Kriterium dafür war, ob ein Vertragsverhältnis mit dem BF eingegangen wird oder nicht. Dafür spricht nicht zuletzt, dass der BF nur eine Minute nach dem vorläufigen Zustandekommen des Vertrags davon informiert wurde, dass dieser nach einer erfolgten Bonitätsprüfung wieder storniert würde.
Daher kommt auch im Falle der BG 1 Art 22 Abs. 1 DSGVO zur Anwendung.
Zwischenergebnis
Als Zwischenergebnis kann daher festgehalten werden, dass die gegenständlichen Datenverarbeitungen sowohl im Falle der BG 1 als bei der BG 2 unter Art. 22 Abs. 1 DSGVO fallen. Im Folgenden ist nun getrennt für jede BG zu prüfen, ob eine Ausnahme nach Abs. 2 leg. cit. vorliegt
D.1.3. Zur Rechtmäßigkeit der Datenverarbeitung durch die BG 2
Wie unter Punkt D.1.1. ausgeführt besteht gem. Art 22 Abs. 2 DSGVO eine Ausnahme vom Verbot einer automatisierten Entscheidungsfindung, wenn einer von drei Ausnahmetatbeständen vorliegt:
- Erforderlichkeit der Verarbeitung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und der Verantwortlichen
- Bestehen einer gesetzlichen Grundlage im nationalen Recht oder im Unionsrecht, die ausreichende Garantien für die Rechte und Freiheiten natürlicher Personen beinhaltet
- Ausdrückliche Einwilligung der betroffenen Person
Eine ausdrückliche Einwilligung des BF liegt nicht vor und hat sich die BG 2 auch niemals auf eine solche berufen. Ebenso wenig existiert eine gesetzliche Grundlage, welche den Anforderungen des Art. 22 Abs. 2 lit. b DSGVO genügt. Daher bleibt zu prüfen, ob die Verarbeitung auf lit. a leg. cit. gestützt werden kann.
Wie festgestellt, betreibt die BG 2 ein Unternehmen mit dem Zweck des Vertriebs von Energie (Strom und Gas). Der potenzielle Markt ist daher auf Grund der bundesweiten Tätigkeit der BG 2 sehr groß und umfasst theoretisch alle österreichischen Haushalte und Unternehmen. Die BG 2 konnte darlegen, dass sie pro Monat ca. 6.000 bis 10.000 Anträge auf Belieferung mit Energie bekommt, wobei es zu den Grundsätzen des ordentlichen Wirtschaftens gehört, sich von der Bonität eines Abnehmers zu überzeugen, bevor man ihn beliefert. Modelle wie eine Vorauszahlung o.Ä. sind zwar theoretisch denkbar, hätten aber wohl eine negative Auswirkung auf die Wettbewerbsfähigkeit der BG 2, wenn sich neue Kunden erst einmal durch Vorauszahlung „bewähren“ müssten, bevor sie auf Rechnung beliefert werden. Zur Überprüfung der Bonität besteht daher unter den gegebenen Umständen keine realistische Alternative.
Was die Art und Weise der Überprüfung mittels einer automatisierten Abfrage des N***RiskScores bei der BG 1 und der darauf aufbauenden Entscheidung, ob ein Antrag auf Belieferung akzeptiert wird oder nicht, anbelangt, kommt die DSB nach Abwägen aller Argumente zu dem Schluss, dass die Vorgehensweise im Falle der BG 2 berechtigt ist. Bei der hohen Anzahl an Anträgen pro Monat, die die BG 2 erhält, hat diese schlicht keine realistische Möglichkeit, die Bonität der Antragsteller anders als automatisiert zu bewerten. Selbst bei zu Grunde legen der kleinsten genannten Anzahl an Antragstellern (6.000 pro Monat) ergäbe dies bei einem absichtlich gering angenommen zeitlichen Aufwand von 30 Minuten pro Antrag für die manuelle Prüfung eine Anzahl von 3.000 Personenstunden pro Monat, was in etwa 18 Vollbeschäftigungsäquivalenten (VBÄ) entspricht. Ein derartiger personeller Aufwand allein für die Prüfung von neuen Anträgen ist aus Sicht der DSB wirtschaftlich weder darstell- noch zumutbar.
Die Verarbeitung ist daher für den Abschluss eines Vertrags zwischen der Verantwortlichen und einer betroffenen Person insofern erforderlich, als auf andere Weise nicht entschieden werden kann, ob der Vertrag überhaupt abgeschlossen werden soll oder nicht. Dass in solchen Fällen die Entscheidung in einigen Fällen auch zu Ungunsten einer betroffenen Person ausgehen kann, liegt in der Natur der Sache und kann - anders als dies der BF in seiner Stellungnahme vom 5. Dezember 2024 andeutet - die Anwendbarkeit des Ausnahmetatbestands nach Art. 22 Abs. 2 lit. a nicht ausschließen. Schlussendlich erwähnen auch die Leitlinien der Art. 29 Gruppe ausdrücklich die Möglichkeit der Verarbeitung zu vorvertraglichen Zwecken, sofern diese erforderlich ist ([Anmerkung Bearbeiter/in: Klammerausdruck im Originaltext als Fußnote] Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP251rev.01, S.25).
Daher ist an dieser Stelle festzuhalten, dass die automatisierte Entscheidungsfindung durch die BG 2 in der vorliegenden Konstellation nach Art. 22 Abs. 2 lit. a gerechtfertigt und somit rechtmäßig war.
Die BG 2 hat den BF auch nicht wie dieser behauptet hat, in seinen Rechten nach Art 22. Abs. 3 DSGVO (Recht auf Einwirken einer natürlichen Person, auf Darlegung der eigenen Position sowie auf Anfechtung der Entscheidung) verletzt. Wie der Aktenlage entnommen werden kann, hatte der BF die Möglichkeit, seinen Fall darzulegen und wurde ihm daraufhin seitens der BG 2 ein alternativer (wenn auch wirtschaftlich ungünstigerer) Tarif angeboten. Das Argument des BF, wonach die Verletzung dieser Rechte darin bestünde, dass diese erst nach einer negativen Entscheidung ausgeübt werden konnten, geht insofern ins Leere, als in Art 12 Abs. 3 DSGVO explizit festgeschrieben ist, dass der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen zur Verfügung stellt. Daraus ergibt sich auch zwingend, dass die Rechte gem. Art. 22 Abs. 3 DSGVO erst nach einer für die betroffene Person negativen Entscheidung geltend gemacht werden können. Eine Ausübung vor einer wie auch immer gearteten Entscheidung würde auch keinerlei Sinn ergeben, da es höchst unwahrscheinlich ist, dass eine betroffene Person eine etwaige für sie positive Entscheidung nochmals überprüfen lassen möchte. Ein solches Ziel bzw. ein solcher Zweck kann dem Art. 22 Abs. 3 DSGVO bei einer realitätsnahen Auslegung nicht unterstellt werden.
Wie ausgeführt, hat die BG 2 dem BF nach dessen Intervention wegen der Ablehnung seines Antrags einen alternativen Tarif angeboten. Der BF hat dieses Angebot allerdings nicht angenommen, weil er zu diesem Zeitpunkt schon bei einem anderen Anbieter fündig geworden ist. Dass das Alternativangebot der BG 2 letztendlich nicht zum Zuge kam, lag daher nicht in deren Sphäre und kann ihr somit nicht zugerechnet werden.
Alles in allem kann somit keine Verletzung des Art. 22 DSGVO durch die BG 2 festgestellt werden.
Die Beschwerde war daher in diesem Punkt spruchgemäß abzuweisen.
D.1.4. Zur Rechtmäßigkeit der Datenverarbeitung durch die BG 1
Anders gestaltet sich die Lage für die Datenverarbeitung durch die BG 1. Diese hat, wie oben ausgeführt, durch die automatisierte Berechnung und Übermittlung eines Risikowerts, der von der BG 2 als maßgebliches Kriterium für die Ablehnung des Antrags des BF herangezogen wurde, eine automatisierte Entscheidungsfindung vorgenommen.
Eine Zustimmung des BF (Art. 22 Abs. 2 lit. c DSGVO) liegt auch hier ebenso wenig vor wie eine gesetzliche Grundlage (lit. b. leg. cit). § 152 der Gewerbeordnung (GewO), auf den sich die BG 1 in ihren Stellungnahmen stets bezogen hat, weist keinerlei spezielle Erlaubnistatbestände für die Datenverarbeitung an sich oder gar die automatisierte Entscheidungsfindung auf. Die Datenschutzbehörde hat sich bereits in früheren Entscheidungen mit den Anforderungen betreffend den Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO sowie betreffend die Rechtmäßigkeit von Datenverarbeitungen im Zusammenhang mit Bonitätsprüfungen beschäftigt und dort unter Berücksichtigung der Judikatur des BVwG sowie des EuGH festgehalten, dass beide Kriterien erfüllt sein müssen, damit die Verarbeitung als rechtmäßig angesehen werden kann (vgl. dazu den Bescheid der Datenschutzbehörde vom 5. September 2025, D124.2569/24; 2025-0.271.604). Somit kann weder eine Datenverarbeitung im Allgemeinen noch eine automatisierte Entscheidungsfindung im Speziellen auf § 152 der Gewerbeordnung gestützt werden.
Ebenso wenig besteht im Falle der BG 1 eine Vertragsbeziehung mit dem BF, noch sollte jemals ein Vertrag zwischen diesen Parteien abgeschlossen oder angebahnt werden.
Somit kann sich die BG 1 auf keinen Ausnahmetatbestand nach Art 22 Abs. 2 DSGVO berufen, womit das Verbot des Abs. 1 leg. cit. zum Tragen kommt. Die Datenverarbeitung durch die BG 1 erweist sich daher als unrechtmäßig .
Der Beschwerde war daher in diesem Punkt spruchgemäß stattzugeben .
D.2. Zur Verletzung der Informationspflichten nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO
Die Datenschutzbehörde hat sich bereits mit der Frage, ob die Informationspflichten gemäß Art. 13 und Art. 14 DSGVO auch als subjektive Betroffenenrechte geltend gemacht werden können, auseinandergesetzt und geht nach stRsp davon aus, dass sich eine betroffene Person antragsunabhängig auf Art. 13 und Art. 14 DSGVO stützen kann (vgl. den Bescheid der Datenschutzbehörde vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO verpflichten den Verantwortlichen, eine betroffene Person über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zu informieren und ihr - zumindest in diesen Fällen - aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung zu übermitteln.
Zur BG 1
Wie unter Punkt C.5. festgehalten, enthielt die Datenschutzerklärung der BG 1 zum Zeitpunkt der behaupteten Rechtsverletzung keinerlei Informationen über das Bestehen einer automatisierten Entscheidungsfindung. Vielmehr wird in den relevanten Passagen der Eindruck erweckt, man würde bloß einen errechneten Scorewert übermitteln und keinerlei Entscheidung treffen.
Dies steht aber in Widerspruch zu der unter Punkt D.1.2 zitierten Judikatur des EuGH, wonach bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts in Bezug auf die Fähigkeit zur Erfüllung von Zahlungsverpflichtungen eine automatisierte Entscheidung darstellt, sofern davon maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit einer betroffenen Person begründet, durchführt oder beendet (EuGH vom 7. Dezember 2023, C 634/21).
Es ist der BG 1 zwar zuzustimmen, dass die genannte Entscheidung des EuGH erst nach dem Zeitpunkt der behaupteten Rechtsverletzung getroffen wurde, dies hat jedoch für den vorliegenden Fall keine Relevanz, da der EuGH in seiner wegweisenden Rechtsprechung in der Rechtssache Simmenthal festgestellt hat, dass Unionsrecht und dessen Auslegung ex tunc anzuwenden ist und etwaige dem entgegenstehende nationale Vorschriften unangewendet zu bleiben haben (EuGH vom 9. März 1978, C-106/77, Rz 21). Diese Judikaturlinie wurde in zahlreichen weiteren Entscheidungen bestätigt (zB C-213/89). Eine theoretisch mögliche zeitliche Beschränkung der Wirkung des Urteils ist der Entscheidung C-634/21 nicht zu entnehmen, weswegen von deren Wirkung ex tunc auszugehen ist.
Wie oben festgehalten, enthielt die Datenschutzerklärung der BG 1 keinen Hinweis auf eine automatisierte Entscheidungsfindung im Einzelfall, weshalb allein deshalb eine Verletzung des BF in seinem Recht nach Art. 14 Abs. 2 lit. g DSGVO festzustellen ist. Aus der fehlenden Information über eine automatisierte Entscheidungsfindung folgt zwingend auch ein Fehlen der darin involvierten Logik, auch wenn die BG 1 in ihrer Datenschutzerklärung demonstrativ einige Indikatoren nennt, die in die Berechnung einfließen können, wobei sie aber gleich wieder relativiert, dass dies nicht immer für alle Indikatoren zutreffe.
Alles in allem war der Beschwerde gegen die BG 1 daher in diesem Punkt stattzugeben und die Rechtsverletzung festzustellen .
Der Vollständigkeit halber wird an dieser Stelle noch auf die Judikatur des VwGH hingewiesen, wonach die Informationspflichten des Verantwortlichen nach Art 13 und Art 14 DSGVO unabhängig von einem Antrag der betroffenen Person bestehen und eine etwaige Verletzung in diesen Rechten auch nicht nachträglich beseitigtwerden kann (VwGH vom 6. März 2024, Ro 2021/04/0030, Rz 78)
Zur BG 2
Wie unter Punkt C.6. festgestellt, enthielt auch die Datenschutzerklärung der BG 2 weder Informationen über das Bestehen einer automatisierten Entscheidungsfindung noch über die diesbezüglich involvierte Logik.
Im Lichte der oben dargelegten Erwägungen zur BG 1 war daher auch der Beschwerde gegen die BG 2 in diesem Punkt stattzugeben und die Rechtsverletzung festzustellen .
D.3. Zur Verletzung im Recht auf Auskunft
D.3.1. Allgemein
Eine betroffene Person hat gemäß Art. 15 DSGVO das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Sofern dies der Fall ist, hat die betroffene Person auch das Recht auf Auskunft über diese personenbezogenen Daten und über die in Art. 15 Abs. 1 lit. a bis h DSGVO angeführten Informationen, ferner gegebenenfalls zusätzlich über die Informationen gemäß Abs. 2 der Bestimmung. Des Weiteren hat der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO einer betroffenen Person Kopien der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Das Auskunftsrecht ist für die betroffene Person unter mehreren Aspekten bedeutsam. Es soll zunächst sicherstellen, dass sie sich bewusst ist, ob überhaupt Daten, die sie betreffen, verarbeitet werden. Falls dies zu bejahen ist, soll sie erfahren können, um welche Daten es dabei geht. Diese Kenntnis der Verarbeitung bildet die Basis dafür, dass die betroffene Person die Rechtmäßigkeit der Verarbeitung überprüfen kann. Das Recht auf Auskunft ist außerdem erforderlich, damit die betroffene Person ihre Rechte auf Berichtigung, Löschung und Sperrung geltend machen kann, ferner das Recht auf Widerspruch gegen die Verarbeitung (vgl. Ehmann/Selmayr [Hrsg], Datenschutz-Grundverordnung [Wien 2017], Art. 15, Rz. 1).
In seiner Entscheidung vom 27. Februar 2025 hat sich der EuGH näher mit der Auslegung des Art. 15 Abs. 1 lit. h DSGVO beschäftigt, der einen Verantwortlichen verpflichtet, einer betroffenen Person Auskunft über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zu geben und die darin involvierte Logik und die Tragweite der Verarbeitung zu erläutern. Dabei hielt er ausdrücklich fest, dass das in Art. 15 vorgesehene Auskunftsrecht dazu dient, einer betroffenen Person die Überprüfung zu ermöglichen, ob sie betreffende Daten richtig sind und in zulässiger Weise verarbeitet werden. Im Kontext einer automatisierten Entscheidung einschließlich Profiling bedeutet dies konkret, dass der betroffenen Person die wirksame Ausübung der Rechte gem. Art. 22 Abs. 3 DSGVO ermöglicht werden muss. Wie auch der Generalanwalt in Nr. 67 seiner Schlussanträge ausgeführt hat, bedeutet dies, dass die betroffene Person ein Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidung sowie auf Erklärung des Ergebnisses der Entscheidung hat. Die Information ist darüber hinaus gem. Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Diesen Anforderungen genügen weder die bloße Übermittlung einer komplexen mathematischen Formel noch die detaillierte Beschreibung jedes Verarbeitungsschritts, da dies keine ausreichend verständliche Erklärung darstellt. Hingegen könnte es als ausreichend transparent und nachvollziehbar erachtet werden, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte (vgl. EuGH vom 27. Februar 2025, C-203/22, S.8 f).
D.3.2. In der Sache
Zur BG 1
Wie unter Punkt C.9. dargelegt, hat die BG 1 dem BF die Auskunft erteilt, welche Variablen - sofern vorhanden - in die Bewertung des Scorewerts zum N***RiskScore einfließen. Im Text wurde einerseits angegeben, dass die verschiedenen Variablen eine positive, negative oder neutrale Auswirkung haben können, andererseits aber auch, dass es keinen Einfluss auf den Scorewert hat, wenn eine Variable nicht befüllt ist. Bei einigen Variablen wie etwa „Zahlungsanstände“ oder „Realbesitz“ finden sich Erklärungen, in welche Richtung sich diese Variable verändert, wobei diese Erklärungen auch für Laien auf der Hand liegen und keinerlei Erkenntnisgewinn bieten. Es ist für jedermann offenkundig, dass Zahlungsanstände einen negativen, ein höherer Realbesitz hingegen einen positiven Einfluss auf die Bonität einer Person haben.
Auch die Information, dass eine Variable einen positiven, negativen oder neutralen Effekt auf die Bonität hat, besitzt keinerlei Erklärungswert, da es schlicht keinen anderen denkmöglichen Effekt als die drei genannten gibt.
Alles in allem wird der BF durch die erteilte Information nicht in die Lage versetzt, zu beurteilen, ob die verarbeiteten Daten richtig sind. Folglich kann er auch seinen Standpunkt nicht wirksam darlegen, da es ihm durch die oberflächliche Art der Informationserteilung schlicht nicht möglich ist, wirksame Gegenargumente vorzubringen. Dem BF wurden weder die Grundsätze des Verfahrens erläutert, noch wurde er in die Lage versetzt, zu verstehen, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte. Wie oben erwähnt ist die Information, dass sich die Bonität verbessern, verschlechtern oder gleichbleiben könnte, als trivial und ohne Erklärungswert einzustufen.
Im Lichte der oben dargelegten Ausführungen genügt die oberflächliche und wenig transparente Art der Auskunftserteilung nach Ansicht der DSB den Anforderungen des Art. 15 Abs. 1 lit. h iVm. Art. 12 DSGVO nicht. Die BG 1 wird dem BF daher, der Rechtsprechung des EuGH folgend, zumindest darzulegen haben, anhand welcher konkreten personenbezogenen Daten und nach welchen mathematisch-statistischen Prinzipien der Scoring Wert berechnet wird. Darüber hinaus wird die BG 1 erläutern müssen, wie einzelne Eingabedaten das Ergebnis der Berechnung beeinflussen (Näheres dazu in Spruchpunkt 6).
Der Beschwerde gegen die BG 1 war daher in diesem Punkt stattzugeben .
Zur Auskunft betreffend die die Datenquellen und die Datenempfänger durch die BG 1
Unter Punkt C.7. wurde unter anderem festgestellt, dass die BG 1 dem BF die Auskunft erteilt hat, dass der „N***“ die Quelle für einige Datenkategorien (insbes. Adressdaten) sei. Im Schreiben fand sich auch die Information, dass der „N***“ gemeinsam mit der BG 1 (N*** Datenverarbeitung GmbH) zur „N***-Verein Gruppe“ gehören würden.
In ihrer Stellungnahme vom 18. November 2024 führte die BG 1 jedoch aus, dass man „nicht die ursprüngliche Quelle der Daten sei“, sondern vielmehr als „zentrale Stelle“ fungiere, die die Daten „aus öffentlichen Registern“ eintrage.
Diese in sich widersprüchlichen Ausführungen versetzten den Beschwerdeführer nicht in die Lage, sich darüber ein Bild zu machen, aus welchen Quellen seine Daten denn nun tatsächlich stammen. Eine präzise und verständliche Form der Auskunft liegt daher anders als von Art. 12 Abs. 1 DSGVO gefordert nicht vor.
Betreffend die Empfänger der Daten ist an dieser Stelle anzumerken, dass dem BF die Auskunft erteilt wurde, wonach ein „X**ZProfil“ an die BG 2 übermittelt worden sei, jedoch ohne den BF darüber in Kenntnis zu setzen, was unter „X**ZProfil“ zu verstehen ist. In der Stellungnahme der BG 1 vom 18. November 2024 fand sich zudem der Hinweis, dass sämtliche auf den Seiten 11 bis 13 der Auskunft enthaltene Daten des BF an die BG 2 übermittelt worden seien. Dies betrifft aber wesentlich mehr Daten als bloß den Scorewert zur Kennzahl „N***RiskScore“, sodass der BF diesbezüglich ebenfalls einander widersprechende Informationen bekommen hat, nämlich einerseits, dass bloß ein Scorewert zum N***RiskScore übermittelt wurde und andererseits, dass das „X**ZProfil“ bzw. alle Informationen auf den Seiten 11 bis 13 der Auskunft (darunter Name, Geburtsdatum, Adresse, Inkassofälle, Bankverbindungen, Informationen aus der Trader***Profiles**DB etc). an die BG 2 gesendet wurden.
Der BF wurde damit völlig im Unklaren gelassen, welche Daten denn nun tatsächlich übermittelt wurden, sodass die Auskunft auch in diesem Punkt nicht den Vorgaben des Art. 12 DSGVO iVm. Art. 15 DSGVO entspricht.
Daher war auch in diesem Punkt eine Verletzung der Rechte des BF festzustellen .
Im Lichte der oben dargelegten Ausführungen war somit der Beschwerde in diesen Punkten stattzugeben und in Summe eine Verletzung des BF durch die BG 1 in seinen Rechten nach Art. 15 Abs. 1 lit. c, lit. g und lit. h. festzustellen .
Zur BG 2
Wie unter Punkt C.10 festgehalten, hat auch die BG 2 bis zum Abschluss des Verfahrens keine Auskunft über das Bestehen einer automatisierten Entscheidung oder über die involvierte Logik erteilt. Vielmehr hat die BG 2 erneut erklärt, dass ihrer Ansicht nach die getroffene Entscheidung nicht unter Art. 22 DSGVO fällt. Somit ist folglich aus Sicht der BG 2 auch keine Auskunft nach Art. 15 Abs. 1 lit. h DSGVO zu erteilen.
Unter Punkt D.1.2. wurde jedoch ausführlich begründet, dass die Datenverarbeitung der BG 2 sehr wohl unter Art. 22 Abs. 1 DSGVO fällt. Das Vorhandensein eines Ausnahmetatbestands und die damit einhergehende Rechtmäßigkeit der Verarbeitung an sich bedeuten jedoch nicht, dass die BG 2 nicht der Verpflichtung zur Auskunft gem. Art. 15 DSGVO unterliegen würde.
Durch die Nichterteilung der entsprechenden Auskunft nach Abs. 1 lit. h leg. cit hat die BG 2 daher den BF in seinem Recht auf Auskunft verletzt.
Der Beschwerde war daher in diesem Punkt stattzugeben .
D.4. Zu Spruchpunkt 3
Wie unter Punkt D.1.3. ausgeführt, erwies sich die Verarbeitung durch die BG 2 letztendlich als rechtmäßig, weswegen die Beschwerde in diesem Punkt abzuweisen war.
D.5. Zu Spruchpunkt 4
Das Verbot stützt sich auf Art. 58 Abs. 2 lit. f DSGVO, wonach die Aufsichtsbehörde die Befugnis hat, eine vorübergehende oder endgültige Beschränkung einer Verarbeitung, einschließlich eines Verbots zu verhängen.
Die Maßnahme ist erforderlich, um sicherzustellen, dass die personenbezogenen Daten des Beschwerdeführers nicht weiterhin unrechtmäßig verarbeitet werden.
D.6. Zu Spruchpunkt 5
Wie unter Punkt D.1.3. festgestellt, kann sich die BG 2 auf den Ausnahmetatbestand des Art. 22 Abs. 2 lit. a DSGVO berufen. Die Verarbeitung erwies sich somit als rechtmäßig, weswegen der Antrag, gegen die BG 2 ein Verarbeitungsverbot zu verhängen, abzuweisen war.
D.7. Zu Spruchpunkt 6 und 7
Der Leistungsauftrag stützt sich auf Art 58 Abs. 2 lit. c DSGVO. Die Erteilung der Auskunft hat sich dabei an der jüngsten Rechtsprechung des EuGH vom 27. Februar 2025 (C-203/22) zu orientieren und zumindest die unter Spruchpunkt 6 festgehaltenen Angaben und Informationen zu enthalten.
Eine Frist von 4 Wochen erscheint angemessen, um dem Leistungsauftrag nachzukommen.
D.8. Fazit
Insgesamt war daher spruchgemäß zu entscheiden.
Rückverweise
Keine Ergebnisse gefunden
RIS