Der Verwaltungsgerichtshof hat durch die Vorsitzende Senatspräsidentin Dr. Pollak, Hofrat Dr. Mayr, Hofrätin Mag. Hainz Sator sowie die Hofräte Dr. Pürgy und Mag. Brandl als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revision der B GmbH, vertreten durch Mag. Martin Dohnal, Rechtsanwalt in Wien, gegen das Erkenntnis des Bundesverwaltungsgerichts vom 23. Oktober 2019, Zl. W256 2217011 1/11E, betreffend eine datenschutzrechtliche Angelegenheit (belangte Behörde vor dem Verwaltungsgericht: Datenschutzbehörde; mitbeteiligte Partei: G W, vertreten durch die Thurnher Wittwer Pfefferkorn Partner Rechtsanwälte GmbH in Dornbirn; weitere Partei: Bundesministerin für Justiz), zu Recht erkannt:
Die Revision wird als unbegründet abgewiesen.
Die revisionswerbende Partei hat der Mitbeteiligten Aufwendungen in der Höhe von € 1.106,40 sowie dem Bund Aufwendungen in der Höhe von € 553,20 jeweils binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
1 Mit Bescheid vom 30. Jänner 2019 gab die Datenschutzbehörde der Beschwerde der Mitbeteiligten vom 23. November 2016 wegen Verletzung im Recht auf Auskunft durch die revisionswerbende Partei im zweiten Rechtsgang teilweise statt und stellte fest (Spruchpunkt 1.), dass die revisionswerbende Partei die Mitbeteiligte dadurch in ihrem Grundrecht auf Datenschutz verletzt habe, dass sie in ihrem Auskunftsschreiben vom 20. Jänner 2017 samt Ergänzungen vom 26. April 2017, 12. Juli 2018 und 25. September 2018 der Mitbeteiligten „keine inhaltliche vollständige bzw. unrichtige Auskunft in folgenden Punkten erteilt habe“ und zwar:
a) im Hinblick auf die Kategorien personenbezogener Daten, die verarbeitet werden,
b) betreffend die Bonitätsumfelddaten der Mitbeteiligten,
c) im Hinblick auf die Gewichtung der Einflussfaktoren und
d) zur Tragweite und zu den angestrebten Auswirkungen der automatisierten Entscheidungsfindung.
Im Übrigen wies die Datenschutzbehörde die Beschwerde ab (Spruchpunkt 2.) und trug der revisionswerbenden Partei auf, binnen zwei Wochen „eine die laut Spruchpunkte 1.a., 1.b. und 1.c., 1.d., festgestellten Mängel behebende datenschutzrechtliche Auskunft zu erteilen“ (Spruchpunkt 3.).
2 Der dagegen von der revisionswerbenden Partei erstatteten Beschwerde gab das Verwaltungsgericht mit dem angefochtenen Erkenntnis in Bezug auf die Spruchpunkte 1a, 1b und 1d Folge, und wies im Übrigen (in Bezug auf Spruchpunkt 1c) die Beschwerde als unbegründet ab, sodass die Spruchpunkte 1. und 3. des angefochtenen Bescheides zu lauten hätten:
„1a. Der Beschwerde wird stattgegeben und es wird festgestellt, dass die Beschwerdegegnerin [revisionswerbende Partei] die Beschwerdeführerin [Mitbeteiligte] dadurch in ihrem Recht auf Auskunft verletzt hat, dass sie ihr keine aussagekräftigen Informationen über die involvierte Logik einer die Daten der Beschwerdeführerin betreffenden automatisierten Entscheidungsfindung zur Verfügung gestellt hat oder zumindest ausreichend begründet hat, weshalb sie diese Auskunft nicht erteilen kann.
b. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.
3. Der Beschwerdegegnerin wird aufgetragen, binnen zweier Wochen bei sonstiger Exekution der Beschwerdeführerin eine Spruchpunkt 1a. bereinigende Auskunft zu erteilen.“
Die Revision erklärte das Verwaltungsgericht für zulässig.
3 Das Verwaltungsgericht stellte nachstehenden unstrittigen Sachverhalt fest:
Aufgrund des Auskunftsbegehrens vom 23. September 2016 teilte die revisionswerbende Partei der Mitbeteiligten mit, dass sie zum Zweck der Erteilung einer Wirtschaftsauskunft Name, Adresse, Geburtsdatum, Geschlecht, soziodemografische Daten (Anzahl der Hausmitglieder, Alter, Brutto Mindesteinkommen Haushalt) sowie Daten zur Zahlweise der Mitbeteiligten verarbeite. Konkret habe die revisionswerbende Partei zur Zahlweise der Mitbeteiligten angeführt, dass den bisherigen Zahlungsverpflichtungen in vereinbarungsgemäßer Art und Weise nachgekommen werde, aktuelle Klagen oder Anstände nicht bekannt geworden seien und eine Geschäftsverbindung und angemessene Kredite gewährbar seien. Überdies habe die revisionswerbende Partei darauf hingewiesen, dass, weil sie keine Negativeinträge über die Mitbeteiligte habe, die Beurteilung infolge automatisierter Berechnungsmodelle erfolgt sei und dabei nachstehende „Einfluss Faktoren“ soziodemografischer Natur zum Einsatz gekommen seien: „Alter, Geschlecht, Wohnsituation, Geografie, Umkreisinformationen, keine bekannten Negativmerkmale“.
Mit Schreiben vom 26. April 2017 habe die revisionswerbende Partei der Mitbeteiligten ergänzend mitgeteilt, dass sich die Angaben zur Zahlweise aus der Tatsache ergäben, dass keine Negativdaten bekannt seien. Die Programmlogik der revisionswerbenden Partei stelle sich so dar, dass sie soziodemographische Daten, die sie von Adressverlagen erhalte, speichere. Diese Daten (Name, Geburtsdatum, Geschlecht, Wohnort, Adresse) werte sie „nach ihrem eigenen Verfahren (Betriebsgeheimnis)“ aus. Dies ergebe einen Grundwert, welcher durch Daten aus öffentlichen Büchern wie Firmenbuch, Grundbuch, Gewerberegister, Ediktsdatei angereichert werde. Gegebenenfalls durch Daten von Inkassobüros werde dann der „score“ erstellt, der einem Berechtigten eine „Entscheidungshilfe zum Ausschluss eines Vertragsabschlusses“ sein könne.
Mit weiterem Schreiben vom 12. Juli 2018 habe die revisionswerbende Partei ihre Auskunft über die konkret erfolgte automatisierte Entscheidungsfindung dahin ergänzt, die „Haupt-Einflussfaktoren zur Berechnung des Scores/Rating“ seien: Alter, Geschlecht, Wohnsituation, Firmenbeteiligungen (falls vorhanden), Ausbildung (akad. Grad), geografische Informationen und Zahlungserfahrungen (falls vorhanden). Diese Faktoren würden in einer „Prozentsatzmethode miteinander abgeglichen (wobei der Schlüssel ein Betriebsgeheimnis darstellt)“. Der erzielte Wert sei der „Score“ bzw. das „Rating“. Da über die Mitbeteiligte keinerlei Inkassodaten bekannt gewesen seien, könnten solche auch nicht mit einfließen. Die automatisierte Entscheidungsfindung habe daher mit dem Abgleichen geendet.
Schließlich habe die revisionswerbende Partei ihre Auskunft zur automatisierten Entscheidungsfindung mit Schreiben vom 25. September 2018 nochmals ergänzt. Demnach liege eine „Aufstellung Personen Scoring“ vor. Darin fänden sich die einzelnen Parameter zum jeweiligen Score-Ergebnis. Aus dieser Liste sei abzulesen, dass die Basisdaten (soziodemografische Daten) die Grundlage darstellten. Diese seien jeweils „gleichgeschichtet“. Die Gewichtung von soziodemografischen Daten sei untereinander gleichwertig. Für den Fall, dass „Umfelddaten“ vorhanden seien, hätten diese „als Ergänzung zu den soziodemografischen Daten einen Einfluss“. Je mehr solche Daten vorhanden seien, desto mehr würden die soziodemografischen Daten „zurückgedrängt“. Des Weiteren werde das Bonitätsumfeld (positive Zahlungserfahrungsdaten und Negativmerkmale) als Faktor in die Berechnung miteinbezogen. Dieses Bonitätsumfeld verdränge wiederum insofern die Umfeld- und die soziodemografischen Daten, „als bei Vorliegen von Negativmerkmalen die soziodemografischen Daten z.B. keinen Einfluss mehr in den Scoring Wert finden“.
Zur „Tragweite der Entscheidungsfindung“ wies die revisionswerbende Partei darauf hin, dass es sich bei den Daten der Mitbeteiligten, die Einfluss auf den Scoring Wert hätten, lediglich um soziodemografische Daten, also deren Alter, Geschlecht, Wohnort, mit ihr im Haushalt lebende Personen sowie die Gebäudeart handle. Da weder Umfeld- noch Bonitätsumfelddaten bekannt oder gespeichert seien, seien einzig die soziodemografischen Daten der Mitbeteiligten für den „Scoring-Wert“ herangezogen worden. Diese soziodemografischen Daten seien untereinander als gleichwertig zu betrachten. Aufgrund ihres näher angeführten Geburtsdatums, der Tatsache, dass sie keinen akademischen Titel führe, ihre Adresse sich in der näher genannten Stadt befinde, sie in einem Zweifamilienhaus gemeinsam mit ihrem Mann wohne, sie keinerlei bekannte Firmenbeteiligungen habe und es weder negative noch positive Zahlungserfahrungen gebe, habe die Mitbeteiligte „ein Rating im besten Bereich von 2,6“. Weitere Faktoren seien nicht in die Entscheidung miteingeflossen.
Schließlich habe die revisionswerbende Partei zur „angestrebten Wirkung der Entscheidungsfindung“ darauf hingewiesen, dass sie eine Wirtschaftsauskunftei betreibe. Die „Sammlung der Daten“ diene „der Entscheidungsfindung eines Vertragsabschlusses mit der betroffenen Person“.
Unter einem habe die revisionswerbende Partei die Abbildung „Personen Score“ vorgelegt. Darin seien die einzelnen Faktoren zur Berechnung des „Scores“ allgemein dargestellt. Unter anderem werde darin ausgeführt, dass als „Bonitätsumfelddaten“ unter anderem „positive Zahlungserfahrungen: keine Zahlungsanstände, positives Ergebnis durch Recherche“ gewertet würden sowie zu den soziodemografischen Daten unter anderem „Wohnumfelddaten“ gezählt würden.
4Rechtlich beurteilte das Verwaltungsgericht den festgestellten Sachverhalt im Wesentlichen dahin, dass gemäß § 69 Abs. 4 DSG auf das vorliegende Verfahren die Bestimmungen der DSGVO und des DSG zur Anwendung gelangten.
Vorliegend habe die revisionswerbende Partei als Wirtschaftsauskunftei personenbezogene Daten von der Mitbeteiligten verarbeitet, welche sie zur Bewertung der wirtschaftlichen Lage der Mitbeteiligten und damit zum Zweck der Erstellung einer Entscheidungshilfe für den Abschluss eines Vertrages („Score“) für Dritte automatisiert ausgewertet habe. Die revisionswerbende Partei sei daher aufgrund des Auskunftsbegehrens der Mitbeteiligten verpflichtet, dieser eine Art. 15 Abs. 1 lit. h DSGVO entsprechende Auskunft zu erteilen. Dieser Anforderung sei die revisionswerbende Partei nicht vollständig nachgekommen.
Art. 15 Abs. 1 lit. h DSGVO fordere dem Grundsatz einer fairen und transparenten Verarbeitung entsprechend, aussagekräftige Informationen über die Logik einer automatisierten Entscheidungsfindung, zumindest in jenen Fällen, in denen wie vorliegend die Verarbeitung auf Profiling beruhe. Damit solle wie insbesondere Erwägungsgrund 63 der DSGVO zu entnehmen sei die betroffene Person in die Lage versetzt werden, den Ablauf der Berechnung der automatisierten Entscheidungsfindung nachzuvollziehen und damit das Ergebnis dieser Berechnung für sich abschätzen und auch nachprüfen zu können.
Vorliegend habe die revisionswerbende Partei der Mitbeteiligten zwar mitgeteilt, dass sie bestimmte näher dargestellte Daten der Mitbeteiligten miteinander „gleichwertig“ abgeglichen habe und damit zum „Score im besten Bereich von 2,6“ gekommen sei. Sonstige aussagekräftige Informationen, die geeignet Aufschluss über das Zustandekommen dieses Wertes geben hätten können, fehlten allerdings. Damit sei der Mitbeteiligten die Möglichkeit genommen worden, das Zustandekommen des anhand einer automatisierten Entscheidungsfindung ihr von der revisionswerbenden Partei zugeschriebenen Bonitätswerts und damit diesen Wert an sich nachvollziehen zu können. Die Auskunft sei daher im Hinblick auf die Gewichtung der Einflussfaktoren und damit auf die Logik (Spruchpunkt 1.c. des Bescheides der Datenschutzbehörde) mangelhaft geblieben. Daran vermöge auch der in diesem Zusammenhang lediglich pauschal ergangene Hinweis der revisionswerbenden Partei, das konkrete Verfahren unterliege dem Betriebsgeheimnis, nichts zu ändern. Die revisionswerbende Partei hätte dazu konkret darzulegen gehabt, weshalb die Bereitstellung aussagekräftiger Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung konkret ein Betriebsgeheimnis darstellen solle.
Demgegenüber habe die revisionswerbende Partei die Mitbeteiligte klar und deutlich über die Tragweite und die angestrebten Auswirkungen der automatisierten Entscheidungsfindung (Spruchpunkt 1.d. des Bescheides der Datenschutzbehörde), die Kategorien personenbezogener Daten (Spruchpunkt 1.a. des Bescheides der Datenschutzbehörde) und die „Bonitätsumfelddaten“ (Spruchpunkt 1.b. des Bescheides der Datenschutzbehörde) ausreichend aufgeklärt. Der Beschwerde sei daher in diesen Punkten Folge zu geben.
5 Die Zulässigkeit der Revision begründete das Verwaltungsgericht mit dem Fehlen höchstgerichtlicher Rechtsprechung zu Art. 15 Abs. 1 lit. h DSGVO, insbesondere zur Rechtsfrage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung dem Betroffenen gemäß Art. 15 Abs. 1 lit. h DSGVO vom Verantwortlichen zur Verfügung zu stellen seien.
6 Gegen dieses Erkenntnis richtet sich die vorliegende ordentliche Revision. Die Mitbeteiligte beantragte in der von ihr eingebrachten Revisionsbeantwortung die Zurück-, in eventu Abweisung der Revision gegen Aufwandersatz. Ebenso beantragte die belangte Behörde in der von ihr eingebrachten Revisionsbeantwortung die Abweisung der Revision gegen Aufwandersatz.
7Mit Beschluss vom 7. April 2022, Ro 2020/04/0010 9, hat der Verwaltungsgerichtshof das gegenständliche Revisionsverfahren bis zur Vorabentscheidung durch den Gerichtshof der Europäischen Union (EuGH) über das Ersuchen des Verwaltungsgerichts Wien vom 11. Februar 2022, VWG-101/042/791/2020-44 (Rechtssache EuGH C 203/22, Dun Bradstreet Austria ), und das Ersuchen des Verwaltungsgerichts Wiesbaden vom 1. Oktober 2021, 6 K 788/20.W1 (Rechtssache EuGH C 634 21, SCHUFA Holding [Scoring] ), ausgesetzt, weil der Beantwortung der vorgelegten Fragen auch für die Behandlung der vorliegenden Revision Bedeutung zugekommen ist.
8 Mit Urteil vom 7. Dezember 2023, C 634 21, SCHUFA Holding [Scoring] , hat der EuGH über das Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden und mit Urteil vom 27. Februar 2025, C 203/22, Dun Bradstreet Austria , über das Vorabentscheidungsersuchen des Verwaltungsgerichts Wien entschieden.
Der Verwaltungsgerichtshof hat erwogen:
Zulässigkeit
9Die revisionswerbende Partei macht in ihrer Revision entgegen dem Vorbringen der Mitbeteiligten in ihrer Revisionsbeantwortung hinreichend deutlich die Verletzung im Recht auf Nichtfeststellung, die Mitbeteiligte in ihrem Recht auf Auskunft verletzt zu haben, als zulässigen Revisionspunkt geltend (vgl. zur Festlegung des Prozessgegenstands des Verfahrens vor dem VwGH durch die Bezeichnung der Revisionspunkte in einer Revision etwa VwGH 19.4.2024, Ro 2023/04/0047, Rn. 7, mwN).
10 Die Revision ist zu der vom Verwaltungsgericht dargelegten grundsätzlichen Rechtsfrage, auf die die revisionswerbende Partei in ihren Revisionsausführungen zu den Revisionsgründen entgegen dem Vorbringen der Mitbeteiligten in ihrer Revisionsbeantwortung Bezug nimmt, zulässig; sie ist jedoch nicht berechtigt.
Rechtslage
11Da es sich beim Recht auf Auskunft um kein punktuelles Geschehen handelt, das vorliegend nicht vor Inkrafttreten der DSGVO als abgeschlossen anzusehen ist, sind die DSGVO und das DSG in den zum Zeitpunkt der Entscheidung des Verwaltungsgerichts geltenden Fassungen als maßgebliche Rechtslage heranzuziehen (vgl. dazu VwGH 6.3.2024, Ro 2021/04/0037, Rn. 18 f, mwN).
12Die maßgeblichen Erwägungsgründe und Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO), ABl. L 119 vom 4.5.2016, S. 1, lauten wie folgt:
„(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der [Charta der Grundrechte der Europäischen Union (im Folgenden: Charta)] anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.
...
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie in den Mitgliedstaaten gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung. ...
(58) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. ...
...
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. ... Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. ...
...
(71) Die betroffene Person sollte das Recht haben, keiner Entscheidung was eine Maßnahme einschließen kann zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das ‚Profiling‘, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. ... In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung.
...
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
...
4. ‚Profiling‘ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
...
Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. ...
...
Artikel 13
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
...
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
...
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
...
Artikel 14
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
...
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
...
g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
...
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
...
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
...
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
...
Artikel 22
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.“
13 Die maßgeblichen Erwägungsgründe und Bestimmungen der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl. L 157 vom 15.6.2016, S. 1, lauten wie folgt:
„(35) ... Für die im Rahmen dieser Richtlinie unter Aufsicht der zuständigen Behörden der Mitgliedstaaten und insbesondere der von ihnen bezeichneten unabhängigen öffentlichen Stellen durchgeführte Verarbeitung personenbezogener Daten gilt die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates ( 1 ). Daher sollte diese Richtlinie die in der Richtlinie 95/46/EG niedergelegten Rechte und Pflichten - insbesondere das Recht der betroffenen Person auf Zugang zu ihren personenbezogenen Daten, die verarbeitet werden, sowie auf Berichtigung, Löschung oder Sperrung unvollständiger oder unrichtiger Daten sowie gegebenenfalls die Pflicht zur Verarbeitung sensibler Daten gemäß Artikel 8 Absatz 5 der Richtlinie 95/46/EG - nicht berühren.
( 1 ) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
...
Artikel 2
Begriffsbestimmungen
Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck
1. ‚Geschäftsgeheimnis‘ Informationen, die alle nachstehenden Kriterien erfüllen:
a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
b) sie sind von kommerziellem Wert, weil sie geheim sind;
c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt;
...
Artikel 9
Wahrung der Vertraulichkeit von Geschäftsgeheimnissen im Verlauf von Gerichtsverfahren
(1) Die Mitgliedstaaten stellen sicher, dass die Parteien, ihre Rechtsanwälte oder sonstigen Vertreter, Gerichtsbedienstete, Zeugen, Sachverständige und alle sonstigen Personen, die an einem Gerichtsverfahren beteiligt sind, das den rechtswidrigen Erwerb oder die rechtswidrige Nutzung oder Offenlegung eines Geschäftsgeheimnisses zum Gegenstand hat, oder die Zugang zu Dokumenten haben, die Teil eines solchen Gerichtsverfahrens sind, nicht befugt sind, ein Geschäftsgeheimnis oder ein angebliches Geschäftsgeheimnis zu nutzen oder offenzulegen, das von den zuständigen Gerichten aufgrund eines ordnungsgemäß begründeten Antrags einer interessierten Partei als vertraulich eingestuft worden ist und von dem sie aufgrund der Teilnahme an dem Verfahren oder des Zugangs zu den Dokumenten Kenntnis erlangt haben. Die Mitgliedstaaten können ferner die zuständigen Gerichte ermächtigen, solche Maßnahmen von Amts wegen zu ergreifen.
Die in Unterabsatz 1 genannte Verpflichtung besteht auch nach Abschluss des Gerichtsverfahrens weiter fort. Die Verpflichtung endet jedoch, wenn eine der folgenden Situationen eintritt:
a) Im Rahmen einer rechtskräftigen Entscheidung wird festgestellt, dass das angebliche Geschäftsgeheimnis nicht die in Artikel 2 Nummer 1 genannten Kriterien erfüllt, oder
b) im Laufe der Zeit werden die in Frage stehenden Informationen für Personen in den Kreisen, die üblicherweise mit der betreffenden Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich.
(2) Die Mitgliedstaaten stellen des Weiteren sicher, dass die zuständigen Gerichte auf ordnungsgemäß begründeten Antrag einer Partei spezifische Maßnahmen treffen können, die erforderlich sind, um die Vertraulichkeit eines Geschäftsgeheimnisses oder eines angeblichen Geschäftsgeheimnisses zu wahren, das im Laufe eines Gerichtsverfahrens im Zusammenhang mit dem rechtswidrigen Erwerb oder der rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses genutzt oder auf das in diesem Rahmen Bezug genommen wird. Die Mitgliedstaaten können ferner die zuständigen Gerichte ermächtigen, solche Maßnahmen von Amts wegen zu ergreifen.
Die in Unterabsatz 1 genannten Maßnahmen sehen mindestens die Möglichkeit vor,
a) den Zugang zu von den Parteien oder Dritten vorgelegten Dokumenten, die Geschäftsgeheimnisse oder angebliche Geschäftsgeheimnisse enthalten, ganz oder teilweise auf eine begrenzte Anzahl von Personen zu beschränken;
b) den Zugang zu Anhörungen, bei denen unter Umständen Geschäftsgeheimnisse oder angebliche Geschäftsgeheimnisse offengelegt werden, und zu der entsprechenden Aufzeichnung oder Mitschrift dieser Anhörungen auf eine begrenzte Anzahl von Personen zu beschränken;
c) Personen, die nicht der begrenzten Anzahl von Personen nach den Buchstaben a und b angehören, eine nicht vertrauliche Fassung einer gerichtlichen Entscheidung bereitzustellen, in der die Geschäftsgeheimnisse enthaltenden Passagen gelöscht oder geschwärzt wurden.
Die Anzahl der Personen nach Unterabsatz 2 Buchstaben a und b darf nicht größer sein, als zur Wahrung des Rechts der Verfahrensparteien auf einen wirksamen Rechtsbehelf und ein faires Verfahren erforderlich ist, und muss mindestens eine natürliche Person jeder Partei und ihre jeweiligen Rechtsanwälte oder sonstigen Vertreter dieser Gerichtsverfahrensparteien umfassen.
(3) Bei der Entscheidung über die Maßnahmen gemäß Absatz 2 und der Beurteilung ihrer Verhältnismäßigkeit berücksichtigen die zuständigen Gerichte die Notwendigkeit, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren zu gewährleisten, die legitimen Interessen der Parteien und gegebenenfalls etwaiger Dritter sowie den möglichen Schaden, der einer der Parteien und gegebenenfalls etwaigen Dritten durch die Gewährung oder Ablehnung dieser Maßnahmen entstehen kann.
(4) Jede Verarbeitung personenbezogener Daten gemäß den Absätzen 1, 2 oder 3 erfolgt gemäß der Richtlinie 95/46/EG.“
14§ 4 Abs. 6 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 14/2019, lautet:
„ Anwendungsbereich und Durchführungsbestimmung
§ 4. ...
(6) Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.“
Auskunftsrecht nach Art. 15 Abs. 1 lit. h DSGVO
15 Gemäß Art. 15 Abs. 1 lit. h DSGVO hat die betroffene Person das Recht auf Auskunft über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und in diesem Fall das Recht auf aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen dieser Verarbeitung für sie. Das vorliegend zu beurteilende Auskunftsrecht über die involvierte Logit setzt das Bestehen einer „automatisierten Entscheidung im Einzelfall“ iSd Art. 22 Abs. 1 DSGVO voraus.
16 Nach der Rechtsprechung des EuGH (EuGH 7.12.2023, C 634/21, SCHUFA Holding [Scoring] , Rn. 73) liegt eine „automatisierte Entscheidung im Einzelfall“ im Sinne des Art. 22 Abs. 1 DSGVO vor, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
17 Das Vorliegen der Tatsachengrundlage für das Bestehen einer automatisierten Entscheidungsfindung gemäß Art. 22 Abs. 1 DSGVO ist gegenständlich unbestritten.
18 Vielmehr bringt die revisionswerbende Partei zum Umfang des Auskunftsrechts der Mitbeteiligten über die involvierte Logik nach Art. 15 Abs. 1 lit. h DSGVO vor, sie habe dem Auskunftsbegehren der Mitbeteiligten durch die Bekanntgabe der gespeicherten Daten und die grobe Darstellung der Logik genüge getan. Eine allgemeine Beschreibung des Zustandekommens der „Scores“ reiche aus, um der Mitbeteiligten den in die Bewertung eingeflossenen Lebenssachverhalt darzustellen und gegebenenfalls auf Fehler zu reagieren.
19 Die Mitbeteiligte wendet demgegenüber ein, die abstrakten Ausführungen der revisionswerbenden Partei zur Vorgangsweise bei der Berechnung der „Scores“ seien weder konkret oder ausreichend transparent noch ermöglichten diese die Nachvollziehbarkeit des konkret für die Mitbeteiligte berechneten „Score Werts“. Auf Basis der bisher erteilten Auskünfte könne die Mitbeteiligte nicht ihre Betroffenenrechte in Anspruch nehmen, weil für sie in keiner Weise nachvollziehbar sei, welche Parameter in welchem Umfang von der revisionswerbenden Partei für die Berechnung des „Score Werts“ herangezogen worden seien.
20 Das Verwaltungsgericht sah zusammengefasst das Auskunftsrecht der Mitbeteiligten gemäß Art. 15 Abs. 1 lit. h DSGVO als verletzt an, weil die revisionswerbende Partei keine aussagekräftigen Informationen über das Zustandekommen des der Mitbeteiligten zugeordneten „Scores“ von 2,6 (über die involvierte Logik) gegeben habe. Die über die Tragweite und die angestrebten Auswirkungen der automatisierten Entscheidungsfindung von der revisionswerbenden Partei erteilte Auskunft erachtete das Verwaltungsgericht hingegen als ausreichend.
21 Der EuGH hat zur Auslegung des Art. 15 Abs. 1 lit. h DSGVO in Bezug auf den Begriff „aussagekräftige Informationen über die involvierte Logik“ von automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne des Art. 22 Abs. 1 DSGVO, und zwar die automatisierte Verarbeitung personenbezogener Daten von Betroffenen zur Gewinnung eines bestimmten Ergebnisses wie vorliegend eines Bonitätsprofils , in seinem Urteil vom 27. Februar 2025, C-203/22, Dun Bradstreet Austria , Folgendes festgehalten:
„39 Nach ständiger Rechtsprechung des Gerichtshofs sind bei der Auslegung einer Bestimmung des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele, die mit der Regelung, zu der sie gehört, verfolgt werden, zu berücksichtigen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 19 sowie die dort angeführte Rechtsprechung).
40 Was zunächst den Wortlaut von Art. 15 Abs. 1 Buchst. h DSGVO betrifft, ist darauf hinzuweisen, dass zum einen die Bedeutungen des Ausdrucks ‚aussagekräftige Informationen‘ im Sinne dieser Bestimmung in ihren verschiedenen Sprachfassungen auseinandergehen - in einigen Fassungen wird, wie in der französischen, auf die Funktionalität (‚nuttige‘ in der niederländischen, ‚úteis‘ in der portugiesischen) oder die Relevanz (‚pertinente‘ in der rumänischen) der zu übermittelnden Informationen abgestellt, während das Augenmerk in anderen Fassungen eher auf der Bedeutung dieser Informationen liegt (‚significativa‘ in der spanischen und ‚istotne‘ in der polnischen Fassung). Schließlich können die in der deutschen und in der englischen Fassung dieser Bestimmung verwendeten Begriffe (‚aussagekräftig‘ bzw. ‚meaningful‘) jeweils sowohl dahin verstanden werden, dass auf die gute Verständlichkeit der Informationen abgestellt wird, als auch dahin, dass es um eine gewisse Qualität der Informationen geht.
41 Die Vielfalt der Bedeutungen in den verschiedenen Sprachfassungen ist im Sinne einer Komplementarität der in der vorstehenden Randnummer wiedergegebenen Bedeutungen zu verstehen, was bei der Auslegung des Ausdrucks ‚aussagekräftige Informationen über die involvierte Logik‘ im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO zu berücksichtigen ist, wie im Wesentlichen vom Generalanwalt in Nr. 65 der Schlussanträge ausgeführt.
42 Zum anderen kann, angesichts der allgemein gehaltenen Formulierung, der Verweis auf diese Bestimmung bzw. auf die ‚involvierte Logik‘ einer automatisierten Entscheidungsfindung, die Gegenstand der ‚aussagekräftigen Informationen‘ ist, ein breites Spektrum an ‚Logiken‘ umfassen, die zur Anwendung kommen, wenn personenbezogene Daten oder andere Daten verarbeitet werden, um automationsunterstützt zu einem bestimmten Ergebnis zu gelangen. Diese Auslegung wird durch bestimmte Sprachfassungen der Bestimmung gestützt, in denen Begriffe verwendet werden, die verschiedene Aspekte der gewöhnlichen Bedeutung des Begriffs ‚Logik‘ in sich vereinen. Dies gilt zum Beispiel für die tschechische und die polnische Sprachfassung mit den Begriffen ‚postupu‘ bzw. ‚zasady‘, die mit ‚Verfahren‘ und ‚Grundsätze‘ übersetzt werden können.
43 Unter den Wortlaut von Art. 15 Abs. 1 Buchst. h DSGVO sind daher alle Informationen zu subsumieren, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses auf der Grundlage dieser Daten maßgeblich sind.
44 Zum Kontext, in den sich der in Art. 15 Abs. 1 Buchst. h DSGVO enthaltene Ausdruck ‚aussagekräftige Informationen über die involvierte Logik‘ einfügt, ist erstens darauf hinzuweisen, dass diese Informationen nur einen Teil der Informationen darstellen, die unter das in dieser Bestimmung vorgesehene Auskunftsrecht fallen, da dieses auch die Informationen zur Tragweite und zu den angestrebten Auswirkungen der in Rede stehenden Verarbeitung für die betroffene Person umfasst.
45 Zwar sind diese Informationen, für die gemäß den Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3. Oktober 2017 von der durch Art. 29 der Richtlinie 95/46 eingesetzten Datenschutzgruppe, in der überarbeiteten und am 6. Februar 2018 angenommenen Fassung, ‚echte, greifbare Beispiele‘ anzuführen sind, um sie aussagekräftig und verständlich zu machen, nicht Gegenstand der Fragen des vorlegenden Gerichts, jedoch sind sie als Teil des Kontexts zu berücksichtigen, zu dem der Ausdruck ‚aussagekräftige Informationen über die involvierte Logik‘ gehört.
46 Zweitens hat der Gerichtshof zum Umstand, dass der Ausdruck ‚aussagekräftige Informationen über die involvierte Logik‘ auch in Art. 13 Abs. 2 Buchst. f und in Art. 14 Abs. 2 Buchst. g DSGVO vorkommt, bereits festgestellt, dass im Fall einer automatisierten Entscheidungsfindung im Sinne von Art. 22 Abs. 1 DSGVO das in Art. 15 Abs. 1 Buchst. h DSGVO verankerte, diese Informationen betreffende Auskunftsrecht und die zusätzlichen Informationspflichten des Verantwortlichen gemäß Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g DSGVO eine Einheit bilden (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C 634/21, EU:C:2023:957, Rn. 56).
47 Drittens ist, wie im Wesentlichen vom Generalanwalt in den Nrn. 58 bis 60 der Schlussanträge ausgeführt, im Rahmen der kontextuellen Auslegung der für den Fall einer automatisierten Entscheidungsfindung vorgesehenen Auskunftsrechte die Rechtsprechung des Gerichtshofs zu den Anforderungen zu berücksichtigen, die der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO erfüllen muss.
48 So ist insbesondere dem Umstand Rechnung zu tragen, dass das in Art. 12 Abs. 1 DSGVO vorgesehene Erfordernis der Transparenz der übermittelten Informationen für sämtliche Daten und Informationen gemäß Art. 15 gilt, einschließlich derjenigen, die automatisierte Entscheidungsfindungen betreffen.
49 Um zu gewährleisten, dass die betroffene Person in die Lage versetzt wird, die ihr vom Verantwortlichen übermittelten Informationen in vollem Umfang zu verstehen, verpflichtet Art. 12 Abs. 1 DSGVO den Verantwortlichen, geeignete Maßnahmen zu treffen, um insbesondere der betroffenen Person diese Daten und Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 38).
50 Die Prüfung des Kontexts von Art. 15 Abs. 1 Buchst. h DSGVO bestätigt somit die Auslegung, die sich aus der Analyse der in dieser Bestimmung verwendeten Ausdrücke ergibt, wonach ‚aussagekräftige Informationen über die involvierte Logik‘ einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung personenbezogener Daten zwecks Erreichen eines bestimmten Ergebnisses umfassen und diese Informationen aufgrund des Transparenzerfordernisses außerdem in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln sind.
51 Zum Zweck der DSGVO ist schließlich darauf hinzuweisen, dass ihr Ziel insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, und zwar insbesondere ihres in Art. 16 AEUV gewährleisteten Rechts auf Schutz der personenbezogenen Daten, das in Art. 8 der Charta als Grundrecht verankert ist und das in Art. 7 der Charta verankerte Recht auf ein Privatleben ergänzt (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Schrems [Mitteilung von Daten an die breite Öffentlichkeit], C 446/21, EU:C:2024:834, Rn. 45 und die dort angeführte Rechtsprechung).
52 Die DSGVO hat also, wie sich aus ihrem elften Erwägungsgrund ergibt, den Zweck, die Rechte der betroffenen Personen zu stärken und präzise festzulegen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C 487/21, EU:C:2023:369, Rn. 33 und die dort angeführte Rechtsprechung).
53 Was konkret das in Art. 15 DSGVO vorgesehene Auskunftsrecht betrifft, muss es der betroffenen Person nach der Rechtsprechung des Gerichtshofs ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden (Urteile vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C 487/21, EU:C:2023:369, Rn. 34, und vom 26. Oktober 2023, FT [Kopien der Patientenakte], C-307/22, EU:C:2023:811, Rn. 73).
54 Dieses Auskunftsrecht ist erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung (‚Recht auf Vergessenwerden‘) und ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder ihre in den Art. 79 und 82 DSGVO vorgesehenen Rechte auf Einlegung eines gerichtlichen Rechtsbehelfs bzw. auf Schadenersatz auszuüben (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C 487/21, EU:C:2023:369, Rn. 35).
55 Insbesondere im speziellen Kontext des Erlasses einer Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht, bezweckt das Recht der betroffenen Person, die in Art. 15 Abs. 1 Buchst. h DSGVO genannten Informationen zu erhalten, hauptsächlich, ihr die wirksame Ausübung der ihr nach Art. 22 Abs. 3 DSGVO zustehenden Rechte zu ermöglichen, nämlich des Rechts auf Darlegung ihres eigenen Standpunkts und des Rechts auf Anfechtung der Entscheidung.
56 Wenn von einer automatisierten Entscheidung einschließlich Profiling betroffene Personen nicht in der Lage wären, vor der Darlegung ihres Standpunkts oder der Anfechtung der Entscheidung die Gründe für diese Entscheidung nachzuvollziehen, würden diese Rechte ihren Zweck, diese Personen gegen die besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten verbunden sind, nicht in vollem Umfang erfüllen (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C 634/21, EU:C:2023:957, Rn. 57).
57 Gemäß dem 71. Erwägungsgrund der DSGVO muss die betroffene Person, wenn sie einer Entscheidung unterworfen wird, die ausschließlich auf einer automatisierten Verarbeitung beruht und die sie erheblich beeinträchtigt, das Recht auf Erläuterung dieser Entscheidung haben. Wie vom Generalanwalt in Nr. 67 seiner Schlussanträge ausgeführt, bietet Art. 15 Abs. 1 Buchst. h DSGVO der betroffenen Person also ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem diese Entscheidung geführt hat.
58 Aus der Prüfung der Ziele der DSGVO und insbesondere von Art. 15 Abs. 1 Buchst. h DSGVO ergibt sich, dass das Recht auf ‚aussagekräftige Informationen über die involvierte Logik‘ bei einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung als ein Recht auf Erläuterung des Verfahrens und der Grundsätze zu verstehen ist, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen, um auf der Grundlage dieser Daten zu einem bestimmten Ergebnis etwa einem Bonitätsprofil zu gelangen. Damit die betroffene Person die ihr durch die DSGVO und insbesondere deren Art. 22 Abs. 3 gewährten Rechte wirksam ausüben kann, müssen im Rahmen dieser Erläuterung die relevanten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form übermittelt werden.
59 Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.
60 Wie sich aus S. 28 der in Rn. 45 des vorliegenden Urteils genannten Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 ergibt, sollte nämlich zum einen der Verantwortliche einfache Möglichkeiten finden, die betroffene Person über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren. Zum anderen verpflichtet die DSGVO den Verantwortlichen zur Übermittlung aussagekräftiger Informationen über die involvierte Logik, ‚nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus‘.
61 Die ‚aussagekräftigen Informationen über die involvierte Logik‘ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.
62 Was konkret ein Profiling wie das im Ausgangsverfahren in Rede stehende betrifft, könnte das vorlegende Gericht es insbesondere als ausreichend transparent und nachvollziehbar erachten, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.
63 Ferner ist zur Frage, ob die übermittelten Informationen der betroffenen Person eine Überprüfung der Richtigkeit der sie betreffenden, der automatisierten Entscheidungsfindung zugrunde liegenden personenbezogenen Daten ermöglichen müssen, darauf hinzuweisen, dass das Recht auf Auskunft über diese Daten nicht durch Art. 15 Abs. 1 Buchst. h DSGVO begründet wird, sondern durch den einleitenden Satz von Art. 15 Abs. 1 DSGVO, der der betroffenen Person das Recht gewährleistet, die Richtigkeit dieser Daten zu überprüfen; dies ergibt sich aus der in Rn. 53 des vorliegenden Urteils wiedergegebenen Rechtsprechung.
64 Schließlich ist zur Feststellung des vorlegenden Gerichts, wonach die CK von D B gemäß Art. 15 Abs. 1 Buchst. h DSGVO übermittelten Informationen tatsachenwidrig seien, da CK gemäß dem ‚tatsächlichen‘ Profiling als nicht zahlungskräftig anzusehen sei, obwohl die genannten Informationen das Gegenteil nahelegten, darauf hinzuweisen, dass zwar dem vorlegenden Gericht zufolge die so festgestellte Nichtübereinstimmung darauf zurückzuführen ist, dass D B CK nicht über das ihre Person betreffende Profiling informiert habe, das für den Mobilfunkanbieter erstellt worden sei und auf dessen Grundlage CK der Abschluss bzw. die Verlängerung eines Vertrags verweigert worden sei, dies aber im Wege des Rechts auf Auskunft über das so erstellte Bonitätsprofil zu beheben wäre. Hierzu ergibt sich aus der Rechtsprechung des Gerichtshofs, dass die vom Verantwortlichen selbst erzeugten personenbezogenen Daten unter Art. 14 DSGVO fallen (vgl. in diesem Sinne Urteil vom 28. November 2024, Másdi, C 169/23, EU:C:2024:988, Rn. 48).
65 Eine Erläuterung der Unterschiede zwischen dem Ergebnis eines solchen ‚tatsächlichen‘ Profilings seine Durchführung unterstellt und dem CK von D B mitgeteilten Ergebnis, das D B zufolge mittels ‚gleichwertiger Gewichtung‘ der CK betreffenden Daten zustande kam, fällt hingegen sehr wohl unter ‚aussagekräftige Informationen über die involvierte Logik‘ des so erstellten Profilings. Im Einklang mit den Ausführungen in Rn. 58 des vorliegenden Urteils müsste D B also in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze erläutern, anhand derer das ‚tatsächliche‘ Profiling erstellt wurde.
66 Gemäß den vorstehenden Ausführungen ist auf die erste und die zweite Vorlagefrage sowie die Vorlagefrage 3.a) zu antworten, dass Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung ‚aussagekräftiger Informationen über die involvierte Logik‘ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses beispielsweise eines Bonitätsprofils konkret angewandt wurden.“
22 Ausgehend davon haben die von der revisionswerbenden Partei der Mitbeteiligten gemäß Art. 15 Abs. 1 lit. h DSGVO zu erteilenden, „aussagekräftigen Informationen über die involvierte Logik“ im Zusammenhang mit der Ermittlung des „Scores“ das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so zu beschreiben und es sind das Verfahren und die Grundsätze von der revisionswerbenden Partei gegenüber der Mitbeteiligten so zu erläutern, dass die Mitbeteiligte die Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung und des Ergebnisses, zu dem die Entscheidung geführt hat, nachvollziehen kann. Demnach ist der Mitbeteiligten bekannt zu geben, welche ihrer personenbezogenen Daten im Rahmen der Ermittlung des „Scores“ auf welche Art verwendet wurden, um es ihr zu ermöglichen, die ihr zukommenden Rechte, insbesondere das Recht auf Darlegung ihres eigenen Standpunktes und das Recht auf Anfechtung der auf einer automatisierten Entscheidung beruhenden Entscheidung nach Art. 22 Abs. 3 DSGVO auszuüben.
23 Die revisionswerbende Partei hat zwar der Mitbeteiligten die einzelnen bei der Berechnung des ihr bekanntgegebenen „Scores“ berücksichtigten personenbezogenen Daten mitgeteilt. Überdies hat sie darauf hingewiesen, dass mangels bekannter „Umfeld- und Bonitätsumfelddaten“ ausschließlich diese personenbezogenen („soziodemografische“) Daten berücksichtigt und untereinander „gleichwertig“ gewichtet worden seien. Damit hat die revisionswerbende Partei der Mitbeteiligten jedoch nicht ausreichend dargelegt, auf welche Art deren personenbezogene Daten bei der Berechnung ihres „Scores“ verwendet wurden, um der Mitbeteiligten die Ausübung ihrer Rechte, insbesondere jener nach Art. 22 Abs. 3 DSGVO, zu ermöglichen.
24 So ist etwa mit dem pauschalen Hinweis einer „gleichwertigen“ Gewichtung der genannten personenbezogenen „soziodemografischen“ Daten nicht nachvollziehbar, welche Bedeutung den einzelnen verarbeiteten personenbezogenen Daten der Mitbeteiligten, wie etwa Alter, Wohnadresse, Wohnverhältnisse, Nichtvorhandensein von Zahlungserfahrungsdaten zumindest dem Grunde nach für die Berechnung des von der revisionswerbenden Partei ermittelten „Score Werts“ der Mitbeteiligen von „2,6“ zukam. Es bleibt offen, wie sich ein höheres oder niedrigeres Alter, eine andere Wohnadresse oder andere Wohnsituation auf die Berechnung des „Scores“ auswirken.
25 Ebenso wenig nachvollziehbar ist die Berücksichtigung der Information im Schreiben der revisionswerbenden Partei vom 20. Jänner 2017, dass die Mitbeteiligte den bisherigen Zahlungsverpflichtungen in vereinbarungsgemäßer Art und Weise nachgekommen sei und aktuelle Klagen oder Anstände nicht bekannt seien, indem im Rahmen der automatisierten Berechnungsmethode des „Scores“ diese Information mit „keine bekannten Negativmerkmale“ umschrieben wurde. So besteht bei der Beurteilung der Bonität einer Person ein erheblicher Unterschied, ob diese Person bisher ihren Zahlungsverpflichtungen vereinbarungsgemäß nachkam und sonst keine Klagen oder Anstände bekannt sind oder weder positive noch negative Zahlungserfahrungsdaten oder bloß keine negativen Zahlungserfahrungsdaten bekannt sind.
26 Die revisionswerbende Partei hat somit gegenüber der Mitbeteiligten das Verfahren und die Grundsätze, die bei der automatisierten Verarbeitung der personenbezogenen Daten der Mitbeteiligten zur Erhebung deren „Scores“ angewandt wurden, nicht gemäß Art. 15 Abs. 1 lit. h DSGVO anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form ausreichend erläutert.
Dem Auskunftsrecht nach Art. 15 Abs. 1 lit. h DSGVO entgegenstehendes Geschäftsgeheimnis iSv Art. 2 Z 1 der Richtlinie 2016/943
27 Gegen eine Verletzung des Auskunftsrechtes wendet die revisionswerbende Partei schließlich zusammengefasst ein, dass der Bekanntgabe weiterer Informationen an die Mitbeteiligte das ihr als Wirtschaftsauskunftei zukommende Betriebsgeheimnis über ihre Berechnungsmethode zur Herstellung der „Scores“ entgegenstehe. Die Erstellung der Rechenformel basiere insbesondere auf der Analyse von Datenbeständen durch Ermittlung allgemeiner Korrelationen und Signifikanzen. „Die Algorithmen der Herstellung dieser Scores“ enthielten die „relevanten und signifikanten Merkmale aus der Analyse sowie deren Gewichtung und Verhältnis zueinander“. Erst in einem nächsten Schritt werde aus dieser Rechenformel mit einer Anzahl von Variablen durch das Einsetzen von personenbezogenen Daten des Betroffenen in die Variablen ein personenbezogener Wert errechnet. Damit zählten zu den als Geschäftsgeheimnis geschützten Inhalten der „Scoreformel“ (Berechnungsmethode) die im ersten Schritt in die „Scoreformel“ eingeflossenen allgemeinen Rechengrößen, wie etwa die herangezogenen statistischen Werte, die Gewichtung einzelner Berechnungselemente bei der Ermittlung des Wahrscheinlichkeitswerts und die Bildung etwaiger Vergleichsgruppen als Grundlage des „Scores“. Die Entwicklung des „Scores“ sei insofern aufwändig und setze spezielles Fachwissen voraus. Zudem hänge von dem jeweiligen Verfahren die Aussagekraft der Prognose und damit die Wettbewerbsfähigkeit sowie „der Marktwert des Produkts und der Auskunftei selbst ab“.
28 Demgegenüber bringt die Mitbeteiligte vor, der belangten Behörde und dem Verwaltungsgericht sei darin zu folgen, dass ein allgemeiner Verweis auf ein Betriebsgeheimnis - wie vorliegend - keine ausreichende Begründung für eine ablehnende Auskunft darstelle. „Eine Nachrechenbarkeit oder mathematische Erläuterungen“ habe die Mitbeteiligte nie verlangt. Die von der revisionswerbenden Partei bisher nicht erteilte Information, „welche Parameter in welchem Umfang von der Revisionswerberin für die Berechnung des Scoring-Werts herangezogen wurden“, könne ohne Verletzung von Geschäfts oder Betriebsgeheimnissen erteilt werden.
29 Auch die belangte Behörde bringt in ihrer Revisionsbeantwortung vor, dass eine Auskunft mit dem Pauschalhinweis auf Geschäfts und Betriebsgeheimnisse nicht verweigert werden könne. Überdies würden keine umfangreichen mathematischen Erläuterungen oder detaillierte Darstellungen der Funktionsweise von Algorithmen gefordert, sondern Informationen über die involvierte Logik. Diese müssten letztlich so aussagekräftig sein, um einen gewissen für die Entscheidungsfindung maßgeblichen Parameter berichtigen zu können bzw. eine Überprüfung der Rechtmäßigkeit einer Gewichtung in die Wege zu leiten.
30 Mit Urteil vom 27. Februar 2025, C-203/22, Dun Bradstreet Austria , hat sich der EuGH in Auslegung des Art. 15 Abs. 1 lit. h DSGVO überdies mit dem Verhältnis zwischen dem in dieser Bestimmung vorgesehenen Auskunftsrecht der betroffenen Person und diesem Recht gegenüberstehenden Geschäftsgeheimnissen im Sinne des Art. 2 Z 1 der Richtlinie 2016/943 auseinandergesetzt und dazu Folgendes festgehalten:
„68 Nach dem vierten Erwägungsgrund der DSGVO ist das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht und muss unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Somit steht die DSGVO im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Verträgen verankert sind (Urteil vom 26. Oktober 2023, FT [Kopien der Patientenakte], C 307/22, EU:C:2023:811, Rn. 59 und die dort angeführte Rechtsprechung).
69 Außerdem sollte gemäß dem 63. Erwägungsgrund dieser Verordnung das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen.
70 Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Art. 23 Abs. 1 Buchst. i DSGVO sieht hierzu im Wesentlichen vor, dass eine Beschränkung des Umfangs der u. a. in Art. 15 DSGVO vorgesehenen Pflichten und Rechte nur möglich ist, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz der Rechte und Freiheiten anderer Personen sicherstellt.
71 Zum verwandten, in Art. 15 Abs. 4 DSGVO verankerten Recht auf Erhalt einer Kopie hat der Gerichtshof bereits festgestellt, dass dessen Ausübung die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen sollte (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C 487/21, EU:C:2023:369, Rn. 43).
72 In diesem Zusammenhang hat der Gerichtshof entschieden, dass im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen die fraglichen Rechte gegeneinander abzuwägen sind. Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen ‚nicht dazu führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird‘, wie sich aus dem 63. Erwägungsgrund der DSGVO ergibt (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 44).
73 Zur Frage, wie das Auskunftsrecht gemäß Art. 15 Abs. 1 Buchst. h DSGVO so umgesetzt werden kann, dass die Rechte und Freiheiten anderer Personen gewahrt werden, ist darauf hinzuweisen, dass ein nationales Gericht nach der Rechtsprechung der Ansicht sein kann, dass ihm personenbezogene Daten von Parteien oder Dritten übermittelt werden müssen, damit es in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit die betroffenen Interessen abwägen kann. Diese Beurteilung kann es gegebenenfalls dazu veranlassen, die vollständige oder teilweise Offenlegung der ihm so übermittelten personenbezogenen Daten gegenüber der Gegenpartei zuzulassen, wenn es der Auffassung ist, dass eine solche Offenlegung nicht über das hinausgeht, was erforderlich ist, um die effektive Wahrnehmung der Rechte zu gewährleisten, die den Rechtsuchenden aus Art. 47 der Charta erwachsen (Urteil vom 2. März 2023, Norra Stockholm Bygg, C 268/21, EU:C:2023:145, Rn. 58).
74 Wie vom Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt, kann diese Rechtsprechung uneingeschränkt auf den Fall übertragen werden, dass die Informationen, die der betroffenen Person im Rahmen des durch Art. 15 Abs. 1 Buchst. h DSGVO garantierten Auskunftsrechts zur Verfügung gestellt werden müssen, geeignet sind, zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen zu führen, insbesondere, da sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 enthalten. Auch in diesem Fall sind diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des Rechts der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten zu ermitteln.
75 Hinsichtlich der Notwendigkeit, dies von Fall zu Fall zu ermitteln, steht Art. 15 Abs. 1 Buchst. h DSGVO insbesondere der Anwendung einer Bestimmung wie § 4 Abs. 6 DSG entgegen, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde. Ein Mitgliedstaat kann das Ergebnis einer durch das Unionsrecht vorgegebenen, auf Einzelfallbasis durchzuführenden Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C 634/21, EU:C:2023:957, Rn. 70 und die dort angeführte Rechtsprechung).
76 Angesichts der vorstehenden Ausführungen ist auf die Vorlagefragen 3.b), 3.c), 4.a) und 4.b) sowie auf die fünfte und die sechste Vorlagefrage zu antworten, dass Art. 15 Abs. 1 Buchst. h DSGVO dahin auszulegen ist, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.“
31Diesen zitierten Ausführungen des EuGH zufolge ist bei der Beurteilung des Umfangs des einer von einer automatisierten Verarbeitung ihrer personenbezogenen Daten betroffenen Person nach Art. 15 Abs. 1 lit. h DSGVO zukommenden Auskunftsrechts im Hinblick auf den Schutz von Geschäftsgeheimnissen iSd Art. 2 Z 1 der Richtlinie 2016/943 unbeschadet des § 4 Abs. 6 DSG im jeweiligen Einzelfall zwischen dem Auskunftsrecht und dem Schutz von Geschäftsgeheimnissen abzuwägen.
32 Dass die von der revisionswerbenden Partei erstellte und bei der Ermittlung des „Scores“ angewendete Berechnungsmethode ein Geschäftsgeheimnis iSd Art. 2 Z 1 der Richtlinie 2016/943 darstellt, wurde weder von der belangten Behörde und dem Verwaltungsgericht noch von der Mitbeteiligten in Zweifel gezogen.
33 Eine automatisierte Verarbeitung personenbezogener Daten zwecks Ermittlung eines Bonitätsprofils kann schwerwiegende Folgen für das wirtschaftliche Leben einer betroffenen Person, wie etwa Ausschluss von oder erschwerter Zugang zu Kreditmitteln, haben (vgl. Leitlinien der durch Art. 29 der Richtlinie 95/46/EG eingesetzten Datenschutzgruppe zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3.10.2017, in der überarbeiteten und am 6.2.2018 angenommenen Fassung, WP251rev.01, S 23 f, 28 f). Insofern kommt dem Auskunftsrecht nach Art. 15 Abs. 1 lit. h DSGVO in Bezug auf die Ausübung der der betroffenen Person zukommenden Rechte besonderes Gewicht zu. Demnach kann der bloße Hinweis auf eine mögliche Gefährdung eines Geschäftsgeheimnisses nicht dazu führen, dass die Art und Weise der automatisierten Verarbeitung für die betroffene Person wie vorliegend unklar bleibt und ihr eine Überprüfung des Verfahrens und der Grundsätze der automatisierten Verarbeitung zwecks Ausübung der ihr nach der DSGVO zukommenden Rechte im wesentlichen Maße nicht möglich ist.
34 Vorliegend hat die revisionswerbende Partei in Erfüllung ihrer Auskunftspflicht gemäß Art. 15 Abs. 1 lit. h DSGVO, wie oben dargelegt, die Art und Weise der automatisierten Verarbeitung der personenbezogenen Daten der Mitbeteiligten, und zwar in Bezug auf die Bedeutung der verarbeiteten personenbezogenen Daten für den für die Mitbeteiligte errechneten „Score“, gegenüber der Mitbeteiligten zu erläutern, um ihr die Ausübung der ihr zukommenden Rechte, insbesondere jener nach Art. 22 Abs. 3 DSGVO zu gewährleisten. Einer ausführlichen Erläuterung der dabei verwendeten Algorithmen oder einer Offenlegung des gesamten Algorithmus bedarf es hingegen nicht (vgl. wiederum EuGH 27.2.2025, C 203/22, Dun Bradstreet Austria , Rn. 60).
35 Ausgehend von diesem Umfang der notwendigen Erläuterungen der Art und Weise der automatisierten Verarbeitung der personenbezogenen Daten der Mitbeteiligten ist jedoch nicht ersichtlich, dass damit zwingend das von der revisionswerbenden Partei geltend gemachte Geschäftsgeheimnis betreffend die allgemeine Berechnungsmethode („Scoreformel“) offengelegt wird. Soweit die revisionswerbende Partei in diesem Zusammenhang auf das Urteil des deutschen Bundesgerichtshofes vom 28. Jänner 2014, VI ZR 156/13, verweist, kommt dieser Entscheidung nicht zuletzt deshalb keine Bedeutung zu, weil sie noch zur alten Rechtslage der Richtlinie 95/46/EG und deren innerstaatlicher Umsetzung in der Bundesrepublik Deutschland durch das deutsche Bundesdatenschutzgesetz - BDSG erging.
36 Zusammengefasst hat die revisionswerbende Partei in ihrer Revision nicht aufgezeigt, dass das Verwaltungsgericht in rechtswidriger Weise eine Verletzung des Auskunftsrechts der Mitbeteiligten nach Art. 15 Abs. 1 lit. h DSGVO in Bezug auf die bei der Berechnung des „Scores“ der Mitbeteiligten angewendete „involvierte Logik“ angenommen hat.
Ergebnis
37Die Revision war somit gemäß § 42 Abs. 1 VwGG als unbegründet abzuweisen.
38 Zur Anregung der revisionswerbenden Partei, die Frage, welche aussagekräftigen Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung einer betroffenen Person gemäß Art. 15 Abs. 1 lit. h DSGVO vom Verantwortlichen zur Verfügung zu stellen seien, dem EuGH zur Vorabentscheidung vorzulegen, wird auf das mittlerweile ergangene, oben zitierte Urteil des EuGH vom 27. Februar 2025, C 203/22, Dun Bradstreet Austria , verwiesen.
39Die Entscheidung über den Aufwandersatz gründet auf die §§ 47 ff VwGG in Verbindung mit der VwGH Aufwandersatzverordnung 2014.
Wien, am 20. August 2025
Rückverweise
RIS