Der Verwaltungsgerichtshof hat durch den Vorsitzenden Senatspräsident Dr. Kleiser, Hofrätin Mag. HainzSator und Hofrat Dr. Pürgy als Richter, unter Mitwirkung des Schriftführers Mag. Vonier, über die Revisionen 1. der Datenschutzbehörde (protokolliert zu Ro 2021/04/0008), und 2. des G W in D, vertreten durch die Thurnher Wittwer Pfefferkorn Partner Rechtsanwälte GmbH in 6850 Dornbirn, Messestraße 11, (protokolliert zu Ro 2021/04/0009), jeweils gegen das Erkenntnis des Bundesverwaltungsgerichts vom 27. November 2020, Zl. W211 2171666 1/21E, betreffend eine datenschutzrechtliche Angelegenheit (mitbeteiligte Partei: B GmbH in W, vertreten durch Mag. Martin Dohnal, Rechtsanwalt in 1010 Wien, Wollzeile 24/13; weitere Partei: Bundesministerin für Justiz),
I. den Beschluss gefasst:
Die im Verfahren Ro 2021/04/0009 von der Erstrevisionswerberin eingebrachte „Revisionsbeantwortung“ wird zurückgewiesen.
Die im Verfahren Ro 2021/04/0008 vom Zweitrevisionswerber eingebrachte „Revisionsbeantwortung“ wird zurückgewiesen.
II. zu Recht erkannt:
Das angefochtene Erkenntnis wird im angefochtenen Umfang der Abweisung der Beschwerde des Zweitrevisionswerbers wegen Rechtswidrigkeit des Inhalts aufgehoben.
Der Bund hat dem Zweitrevisionswerber Aufwendungen in der Höhe von 1.346,40 Euro binnen zwei Wochen bei sonstiger Exekution zu ersetzen.
11. Der (nunmehrige) Zweitrevisionswerber erhob am 23. November 2016 Beschwerde gemäß § 31 Abs. 1 DSG 2000 wegen der Verletzung der Auskunftspflicht durch die Mitbeteiligte.
2 Mit Bescheid vom 28. Juni 2017 stellte die Datenschutzbehörde (und nunmehrige Erstrevisionswerberin) fest, dass die Mitbeteiligte den Zweitrevisionswerber in seinem Auskunftsrecht dadurch verletzt habe, dass sie Negativauskünfte zu dessen Person gelöscht habe (Spruchpunkt I.). Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt II.).
3 2. Mit Beschluss des Bundesverwaltungsgerichts vom 11. Juni 2018 gab dieses der gegen Spruchpunkt II. gerichteten Beschwerde des Zweitrevisionswerbers statt, hob den bekämpften Bescheid ohne Unterscheidung zwischen den beiden Spruchpunkten auf und verwies die Angelegenheit zur neuerlichen Bescheiderlassung an die Erstrevisionswerberin zurück.
4Dieser Beschluss wurde mit Erkenntnis des Verwaltungsgerichtshofs vom 27. Mai 2020, Ra 2018/04/0133, aufgehoben.
5 3. Mit dem angefochtenen Erkenntnis vom 27. November 2020 gab das Bundesverwaltungsgericht nach Durchführung einer mündlichen Verhandlung der Beschwerde des Zweitrevisionswerbers insofern Folge, als es nunmehr [feststellte], dass „die Auskunft über die ‚Dienstleister_innen‘ bzw. nunmehrige ‚Auftraggeber_innen‘ iSd Art. 15 Abs. 1 lit. c DSGVO sowie über die Herkunft der Daten (vgl. Art. 15 Abs. 1 lit. g DSGVO) betreffend den Wert ‚Brutto Mindesteinkommen des Haushalts‘ nicht vollständig erteilt wurde“.
6 Im Übrigen wies es die Beschwerde ab.
7 Die Revision erklärte das Bundesverwaltungsgericht für zulässig.
8 4. Gegen dieses Erkenntnis richten sich jeweils die beiden ordentlichen Revisionen, wobei sich der Zweitrevisionswerber ausdrücklich, die Amtsrevision inhaltlich ausschließlich gegen den die Beschwerde abweisenden Umfang des Erkenntnisses wendet.
9 Beide revisionswerbenden Parteien erstatteten zur jeweiligen Revision der anderen revisionswerbenden Partei eine Revisionsbeantwortung.
10Die Mitbeteiligte erstattete in dem zu Ro 2021/04/0008 protokollierten Revisionsverfahren eine Revisionsbeantwortung.
5. Der Verwaltungsgerichtshof hat über die wegen ihres rechtlichen und tatsächlichen Zusammenhangs zur gemeinsamen Entscheidung verbundenenRevisionen in einem gemäß § 12 Abs. 1 Z 2 VwGG gebildeten Senat erwogen:
11 5.1. Zu I.:
12 Die beiden revisionswerbenden Parteien erstatteten im jeweils parallel anhängig gemachten Revisionsverfahren eine „Revisionsbeantwortung“.
13 Soweit die Erstrevisionswerberin („als Partei des Verfahrens vor dem Verwaltungsgericht“) in ihrer „Revisionsbeantwortung“ vom 27. Jänner 2021 (eingelangt beim Bundesverwaltungsgericht am 28. Jänner 2021) im Wesentlichen der Revision des Zweitrevisionswerbers, protokolliert zur Zahl Ro 2021/04/0009, beitritt und unter Berufung auf die darin vorgebrachten Revisionsgründe die Aufhebung des angefochtenen Erkenntnisses wegen Rechtswidrigkeit des Inhalts beantragte, ist festzuhalten, dass das Erkenntnis der Erstrevisionswerberin am 3. Dezember 2020 zugestellt wurde; der in der „Revisionsbeantwortung“ vom 27. Jänner 2021 gestellte Antrag auf Aufhebung der angefochtenen Entscheidung der Sache nach handelt es sich um einen Revisionsantragist daher verspätet, sodass dieser Antrag gemäß § 34 Abs 1 VwGG ohne weiteres Verfahren mit Beschluss zurückzuweisen war (vgl. VwGH 13.9.2016, Ro 2016/03/0016, Rn. 24, mwN).
14Ebensolches gilt in Hinblick auf die Zustellung der angefochtenen Entscheidung am 1. Dezember 2020 an den Zweitrevisionswerber für dessen „Revisionsbeantwortung“ vom 11. Februar 2021 im Verfahren Ro 2021/04/0008, mit welcher dieser beantragte, der zu dieser Zahl protokollierten Revision der Erstrevisionswerberin Folge zu geben. Auch dieser Antrag ist wegen Ablaufs der sechswöchigen Revisionsfrist zum Zeitpunkt seiner Einbringung als verspätet anzusehen.
15 5.2. Zu II.:
165.2.1. Die fallbezogen maßgeblichen Erwägungsgründe und Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundverordnung DSGVO), ABl. L 119 vom 4.5.2016, S. 1, lauten wie folgt:
„(71) Die betroffene Person sollte das Recht haben, keiner Entscheidung was eine Maßnahme einschließen kann zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online Kreditantrags oder Online Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das ‚Profiling‘, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der [Europäischen] Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.
(...)
Artikel 4
Begriffsbestimmungen
(1) Im Sinne dieser Verordnung bezeichnet der Ausdruck:
(...) 4. ‚Profiling‘ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
(...)
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(...)
Artikel 22
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.“
17 5.3.1. Beide Revisionen wenden sich gegen die Ausführungen des Bundesverwaltungsgerichts, die mitbeteiligte Partei unterliege schon deshalb nicht der Auskunftspflicht gemäß Art. 15 Abs. 1 lit. h DSGVO, weil sie mit der von ihr vorgenommenen Erstellung der Bonitätsbewertung selbst keine Entscheidung treffe, die für die datenschutzrechtlich betroffene Person direkt eine rechtliche Wirkung entfalte. Das Bundesverwaltungsgericht vertrat die Ansicht, die Entscheidungen über etwaige Vertragsabschlüsse auf Basis der von der mitbeteiligten Partei erworbenen Informationen würden von den Kunden der mitbeteiligte Partei getroffen. Dabei liege es nicht in der Sphäre der mitbeteiligten Partei, zu entscheiden, nach welchen Kriterien solche Verträge abgeschlossen würden, welche weiterführenden Verfahren in diesem Zusammenhang angewendet bzw. ob die von der mitbeteiligten Partei erworbenen Informationen überhaupt herangezogen würden.
18 5.3.2. Der EuGH hat in seinem für die vorliegende Revisionsentscheidung abzuwartenden Urteil vom 7. Dezember 2023, C 634/21, SCHUFA Holding [Scoring]zu der mit Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Verwaltungsgericht Wiesbaden (Deutschland) mit Beschluss vom 1. Oktober 2021, vorgelegten Frage betreffend die Auslegung von Art. 22 Abs. 1 DSGVO Folgendes ausgeführt:
„40 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass eine ‚automatisierte Entscheidung im Einzelfall‘ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
41 Zur Beantwortung dieser Frage ist zunächst darauf hinzuweisen, dass bei der Auslegung einer Vorschrift des Unionsrechts nicht nur deren Wortlaut, sondern auch der Zusammenhang, in dem sie steht, sowie die Zwecke und Ziele, die mit dem Rechtsakt, zu dem sie gehört, verfolgt werden, zu berücksichtigen sind (Urteil vom 22. Juni 2023, Pankki S, C 579/21, EU:C:2023:501, Rn. 38 und die dort angeführte Rechtsprechung).
42 Was den Wortlaut von Art. 22 Abs. 1 DSGVO angeht, so sieht diese Bestimmung vor, dass eine betroffene Person das Recht hat, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
43 Die Anwendbarkeit dieser Bestimmung hängt somit von drei kumulativen Voraussetzungen ab, nämlich davon, dass erstens eine ‚Entscheidung‘ vorliegen muss, zweitens diese Entscheidung ‚ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling [beruhen]‘ muss und drittens sie ‚gegenüber [der betroffenen Person] rechtliche Wirkung‘ entfalten oder sie ‚in ähnlicher Weise erheblich‘ beeinträchtigen muss.
44 Was erstens die Voraussetzung des Vorliegens einer Entscheidung betrifft, ist festzustellen, dass der Begriff ‚Entscheidung‘ im Sinne von Art. 22 Abs. 1 DSGVO in dieser Verordnung nicht definiert wird. Bereits aus dem Wortlaut dieser Bestimmung ergibt sich jedoch, dass sich dieser Begriff nicht nur auf Handlungen bezieht, die rechtliche Wirkung gegenüber der betroffenen Person entfalten, sondern auch auf Handlungen, die diese Person in ähnlicher Weise erheblich beeinträchtigen.
45 Die weite Bedeutung des Begriffs ‚Entscheidung‘ wird durch den 71. Erwägungsgrund der DSGVO bestätigt, wonach eine Entscheidung zur Bewertung persönlicher Aspekte, die eine Person betreffen, ‚eine Maßnahme einschließen [kann]‘, die entweder ‚rechtliche Wirkung für die betroffene Person‘ entfaltet oder ‚sie in ähnlicher Weise erheblich beeinträchtigt‘, wobei die betroffene Person das Recht haben sollte, einer solchen Entscheidung nicht unterworfen zu werden. Nach diesem Erwägungsgrund umfasst der Begriff ‚Entscheidung‘ beispielsweise die automatische Ablehnung eines Online Kreditantrags oder Online Einstellungsverfahren ohne jegliches menschliche Eingreifen.
46 Da der Begriff ‚Entscheidung‘ im Sinne von Art. 22 Abs. 1 DSGVO somit, wie der Generalanwalt in Nr. 38 seiner Schlussanträge ausgeführt hat, mehrere Handlungen umfassen kann, die die betroffene Person in vielerlei Weise beeinträchtigen können, ist dieser Begriff weit genug, um das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts mit einzuschließen.
47 Was zweitens die Voraussetzung angeht, dass die Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO ‚ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling [beruhen]‘ muss, steht, wie der Generalanwalt in Nr. 33 seiner Schlussanträge ausgeführt hat, fest, dass eine Tätigkeit wie die der SCHUFA der Definition des ‚Profiling‘ in Art. 4 Nr. 4 DSGVO entspricht und dass diese Voraussetzung somit im vorliegenden Fall erfüllt ist; der Wortlaut der ersten Vorlagefrage bezieht sich im Übrigen ausdrücklich auf die automatisierte Erstellung eines auf personenbezogene Daten zu einer Person gestützten Wahrscheinlichkeitswerts hinsichtlich deren Fähigkeit, künftig einen Kredit zu bedienen.
48 Was drittens die Voraussetzung betrifft, dass die Entscheidung gegenüber der betroffenen Person ‚rechtliche Wirkung‘ entfalten oder sie ‚in ähnlicher Weise erheblich‘ beeinträchtigen muss, ergibt sich bereits aus dem Inhalt der ersten Vorlagefrage, dass das Handeln des Dritten, dem der Wahrscheinlichkeitswert übermittelt wird, ‚maßgeblich‘ von diesem Wert geleitet wird. So führt nach den Sachverhaltsfeststellungen des vorlegenden Gerichts im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen dazu, dass die Bank die Gewährung des beantragten Kredits ablehnt.
49 Folglich ist davon auszugehen, dass auch die dritte Voraussetzung, von der die Anwendung von Art. 22 Abs. 1 DSGVO abhängt, erfüllt ist, da ein Wahrscheinlichkeitswert wie der im Ausgangsverfahren fragliche die betroffene Person zumindest erheblich beeinträchtigt.
50 Daher ist unter Umständen wie jenen des Ausgangsverfahrens, unter denen der von einer Wirtschaftsauskunftei ermittelte und einer Bank mitgeteilte Wahrscheinlichkeitswert eine maßgebliche Rolle bei der Gewährung eines Kredits spielt, die Ermittlung dieses Wertes als solche als Entscheidung einzustufen, die im Sinne von Art. 22 Abs. 1 DSGVO gegenüber einer betroffenen Person ‚rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt‘.
51 Diese Auslegung wird durch den Zusammenhang, in dem Art. 22 Abs. 1 DSGVO steht, sowie durch die Zwecke und Ziele, die mit dieser Verordnung verfolgt werden, gestützt.
52 Insoweit ist darauf hinzuweisen, dass, wie der Generalanwalt in Nr. 31 seiner Schlussanträge festgestellt hat, Art. 22 Abs. 1 DSGVO der betroffenen Person das ‚Recht‘ verleiht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden. Diese Bestimmung stellt ein grundsätzliches Verbot auf, dessen Verletzung von einer solchen Person nicht individuell geltend gemacht zu werden braucht.
53 Wie sich nämlich aus Art. 22 Abs. 2 DSGVO in Verbindung mit dem 71. Erwägungsgrund dieser Verordnung ergibt, ist der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung nur in den in Art. 22 Abs. 2 genannten Fällen zulässig, d. h., wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist (Buchst. a), wenn sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist (Buchst. b) oder wenn sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Buchst. c).
54 Außerdem sieht Art. 22 Abs. 2 Buchst. b und Abs. 3 DSGVO vor, dass angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorgesehen werden müssen. In den in Art. 22 Abs. 2 Buchst. a und c dieser Verordnung genannten Fällen gewährt der Verantwortliche der betroffenen Person mindestens das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
55 Ferner dürfen nach Art. 22 Abs. 4 DSGVO automatisierte Entscheidungen im Einzelfall im Sinne von diesem Art. 22 nur in bestimmten Sonderfällen auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 dieser Verordnung beruhen.
56 Darüber hinaus unterliegt im Fall einer automatisierten Entscheidungsfindung wie jener im Sinne von Art. 22 Abs. 1 DSGVO zum einen der Verantwortliche zusätzlichen Informationspflichten nach Art. 13 Abs. 2 Buchst. f und Art. 14 Abs. 2 Buchst. g dieser Verordnung. Zum anderen steht der betroffenen Person nach Art. 15 Abs. 1 Buchst. h DSGVO ein Auskunftsrecht gegenüber dem für die Verarbeitung Verantwortlichen zu, das insbesondere ‚aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person‘ betrifft.
57 Diese höheren Anforderungen an die Rechtmäßigkeit einer automatisierten Entscheidungsfindung sowie die zusätzlichen Informationspflichten des Verantwortlichen und die damit verbundenen zusätzlichen Auskunftsrechte der betroffenen Person erklären sich aus dem Zweck, den Art. 22 DSGVO verfolgt und der darin besteht, Personen vor den besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten einschließlich Profiling verbunden sind.
58 Diese Verarbeitung erfordert nämlich, wie sich aus dem 71. Erwägungsgrund der DSGVO ergibt, die Bewertung persönlicher Aspekte in Bezug auf die von dieser Verarbeitung betroffene natürliche Person, insbesondere zur Analyse oder Prognose von Aspekten bezüglich ihrer Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, Vorlieben oder Interessen, Zuverlässigkeit oder ihres Verhaltens, ihres Aufenthaltsorts oder Ortswechsels.
59 Diese besonderen Risiken sind nach diesem Erwägungsgrund geeignet, die Interessen und Rechte der betroffenen Person zu beeinträchtigen, insbesondere im Hinblick auf etwaige diskriminierende Wirkungen gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung. Daher sollte nach diesem Erwägungsgrund der betroffenen Person gegenüber eine faire und transparente Verarbeitung gewährleistet werden, insbesondere durch die Verwendung geeigneter mathematischer oder statistischer Verfahren für das Profiling und durch technische und organisatorische Maßnahmen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird.
60 Die in den Rn. 42 bis 50 des vorliegenden Urteils dargelegte Auslegung und insbesondere die weite Bedeutung des Begriffs ‚Entscheidung‘ im Sinne von Art. 22 Abs. 1 DSGVO verstärkt den wirksamen Schutz, auf den diese Bestimmung abzielt.
61 Hingegen bestünde unter Umständen wie jenen des Ausgangsverfahrens, an denen drei Akteure beteiligt sind, die Gefahr einer Umgehung von Art. 22 DSGVO und folglich eine Rechtsschutzlücke, wenn einer engen Auslegung dieser Bestimmung der Vorzug gegeben würde, nach der die Ermittlung des Wahrscheinlichkeitswerts nur als vorbereitende Handlung anzusehen ist und nur die vom Dritten vorgenommene Handlung gegebenenfalls als ‚Entscheidung‘ im Sinne von Art. 22 Abs. 1 dieser Verordnung eingestuft werden kann.
62 In diesem Fall würde nämlich die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden nicht den besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DSGVO unterliegen, obwohl dieses Verfahren auf einer automatisierten Verarbeitung beruht und Wirkungen entfaltet, welche die betroffene Person erheblich beeinträchtigen, da das Handeln des Dritten, dem dieser Wahrscheinlichkeitswert übermittelt wird, von diesem maßgeblich geleitet ist.
63 Außerdem könnte die betroffene Person, wie der Generalanwalt in Nr. 48 seiner Schlussanträge ausgeführt hat, zum einen bei der Wirtschaftsauskunftei, die den sie betreffenden Wahrscheinlichkeitswert ermittelt, ihr Recht auf Auskunft über die in Art. 15 Abs. 1 Buchst. h DSGVO genannten spezifischen Informationen nicht geltend machen, wenn keine automatisierte Entscheidungsfindung durch dieses Unternehmen vorliegt. Zum anderen wäre der Dritte unter der Annahme, dass die von ihm vorgenommene Handlung unter Art. 22 Abs. 1 DSGVO fiele, da sie die Voraussetzungen für die Anwendung dieser Bestimmung erfüllte nicht in der Lage, diese spezifischen Informationen vorzulegen, weil er darüber im Allgemeinen nicht verfügt.
64 Dass die Ermittlung eines Wahrscheinlichkeitswerts wie des im Ausgangsverfahren in Rede stehenden von Art. 22 Abs. 1 DSGVO erfasst wird, hat, wie in den Rn. 53 bis 55 des vorliegenden Urteils ausgeführt, zur Folge, dass sie verboten ist, es sei denn, eine der in Art. 22 Abs. 2 DSGVO genannten Ausnahmen ist anwendbar und die besonderen Anforderungen von Art. 22 Abs. 3 und 4 DSGVO sind erfüllt.
65 Was insbesondere Art. 22 Abs. 2 Buchst. b DSGVO betrifft, auf den das vorlegende Gericht Bezug nimmt, ergibt sich bereits aus dem Wortlaut dieser Bestimmung, dass die nationalen Rechtsvorschriften, die den Erlass einer automatisierten Entscheidung im Einzelfall erlauben, angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten müssen.
66 Im Licht des 71. Erwägungsgrundes der DSGVO müssen solche Maßnahmen insbesondere die Verpflichtung des Verantwortlichen umfassen, geeignete mathematische oder statistische Verfahren zu verwenden, technische und organisatorische Maßnahmen zu treffen, mit denen in geeigneter Weise sichergestellt wird, dass das Risiko von Fehlern minimiert wird und Fehler korrigiert werden, und personenbezogene Daten in einer Weise zu sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und insbesondere zu verhindern, dass es ihr gegenüber zu diskriminierenden Wirkungen kommt. Diese Maßnahmen umfassen außerdem mindestens das Recht der betroffenen Person auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der gegen sie erlassenen Entscheidung.
67 Ferner ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs jede Verarbeitung personenbezogener Daten mit den in Art. 5 DSGVO festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten im Einklang stehen und in Anbetracht des in Art. 5 Abs. 1 Buchst. a vorgesehenen Grundsatzes der Rechtmäßigkeit der Verarbeitung eine der in Art. 6 dieser Verordnung aufgeführten Bedingungen für die Rechtmäßigkeit der Verarbeitung erfüllen muss (Urteil vom 20. Oktober 2022, Digi, C 77/21, EU:C:2022:805, Rn. 49 und die dort angeführte Rechtsprechung). Der Verantwortliche muss die Einhaltung dieser Grundsätze nach dem in Art. 5 Abs. 2 DSGVO niedergelegten Grundsatz der Rechenschaftspflicht nachweisen können (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi, C 77/21, EU:C:2022:805, Rn. 24).
68 Ist nach den Rechtsvorschriften eines Mitgliedstaats gemäß Art. 22 Abs. 2 Buchst. b DSGVO der Erlass einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zulässig, muss diese Verarbeitung somit nicht nur die in der letztgenannten Bestimmung und in Art. 22 Abs. 4 DSGVO aufgestellten Voraussetzungen erfüllen, sondern auch die Anforderungen in den Art. 5 und 6 dieser Verordnung. Folglich dürfen die Mitgliedstaaten keine Rechtsvorschriften nach Art. 22 Abs. 2 Buchst. b DSGVO erlassen, nach denen ein Profiling unter Missachtung der Anforderungen dieser Art. 5 und 6 in deren Auslegung durch die Rechtsprechung des Gerichtshofs zulässig ist.
69 Was insbesondere die in Art. 6 Abs. 1 Buchst. a, b und f DSGVO vorgesehenen Bedingungen für die Rechtmäßigkeit betrifft, die in einem Fall wie jenem des Ausgangsverfahrens Anwendung finden können, sind die Mitgliedstaaten nicht befugt, ergänzende Vorschriften für die Anwendung dieser Bedingungen vorzusehen, da eine solche Befugnis nach Art. 6 Abs. 3 DSGVO auf die in Art. 6 Abs. 1 Buchst. c und e dieser Verordnung genannten Gründe beschränkt ist.
70 Was außerdem im Einzelnen Art. 6 Abs. 1 Buchst. f DSGVO betrifft, dürfen die Mitgliedstaaten nach Art. 22 Abs. 2 Buchst. b DSGVO nicht von den Anforderungen abweichen, die sich aus der Rechtsprechung des Gerichtshofs nach dem Urteil vom 7. Dezember 2023, SCHUFA Holding (Restschuldbefreiung) (C 26/22 und C 64/22, EU:C:2023:XXX), ergeben, insbesondere nicht dadurch, dass sie das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen abschließend vorschreiben (vgl. in diesem Sinne Urteil vom 19. Oktober 2016, Breyer, C 582/14, EU:C:2016:779, Rn. 62).
71 Im vorliegenden Fall weist das vorlegende Gericht darauf hin, dass nur § 31 BDSG eine nationale Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO darstellen könnte. Bezüglich der Vereinbarkeit dieses § 31 BDSG mit dem Unionsrecht bestehen für dieses Gericht aber durchgreifende Bedenken. Sollte diese Bestimmung als mit dem Unionsrecht unvereinbar angesehen werden, würde die SCHUFA nicht nur ohne Rechtsgrundlage handeln, sondern verstieße ipso iure gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot.
72 Insoweit ist es Sache des vorlegenden Gerichts, zu prüfen, ob § 31 BDSG als Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO qualifiziert werden kann, nach der es zulässig wäre, eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung zu erlassen. Sollte das vorlegende Gericht zu dem Schluss kommen, dass § 31 eine solche Rechtsgrundlage darstellt, hätte es noch zu prüfen, ob die in Art. 22 Abs. 2 Buchst. b und Abs. 4 DSGVO und in den Art. 5 und 6 DSGVO aufgestellten Anforderungen im vorliegenden Fall erfüllt sind.
73 Nach alledem ist auf die erste Frage zu antworten, dass Art. 22 Abs. 1 DSGVO dahin auszulegen ist, dass eine ‚automatisierte Entscheidung im Einzelfall‘ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“
19 Den Ausführungen des EuGH im zitierten Urteil zufolge stellt eine automatisierte Datenverarbeitung wie Profiling selbst eine „automatisierte Entscheidung im Einzelfall“ im Sinne des Art. 22 Abs. 1 DSGVO dar, wenn das Ergebnis dieser automatisierten Verarbeitung für eine bestimmte weitere Entscheidung insofern maßgeblich ist, als das Handeln des Dritten von dem betreffenden Profiling „maßgeblich geleitet“ wird, und so den Betroffenen erheblich beeinträchtigt (vgl. die Ausführungen des EuGH in C634/21, Rn. 48 und 73; vgl. zu alldem bereits VwGH 21.12.2023, Ro 2021/04/0010, Rn. 76). Im Falle des Vorliegens einer Entscheidung im Sinne des Art. 22 Abs. 1 oder 4 verlangt Art. 15 Abs. 1 lit. h DSGVO „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“.
20 5.3.3 Fallbezogen ergibt sich daraus Folgendes: Der Ansicht des Bundesverwaltungsgerichts zur Frage der Anwendbarkeit des Art. 15 Abs. 1 lit. h DSGVO kann vor dem Hintergrund dieser Rechtsprechung des EuGH nicht gefolgt werden, weil der Umstand, dass der Verantwortliche das Ergebnis des Profiling (bloß) an eine dritte Person weitergibt, die darauf eine Entscheidung gründet, nichts daran ändert, dass das Profiling selbst eine automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO darstellt, sofern der sich aus dem Profiling ergebende Informationswert die von der dritten Person vorgenommene Entscheidung maßgeblich beeinflusst und derart dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder diesen in ähnlicher Weise erheblich beeinträchtigt.
21Das Bundesverwaltungsgericht hat ausgehend von seiner unrichtigen Rechtsansicht, eine automatisierte Entscheidung könne fallbezogen schon deshalb nicht vorliegen, weil es an den Kunden der mitbeteiligten Partei liege, ob und in welcher Form der von ihr erstellte Informationswert verwendet werde, im Zusammenhang mit dem Begehren auf Auskunft gemäß Art. 15 Abs. 1 lit. h DSGVO keine Feststellungen zum Vorbringen des Zweitrevisionswerbers getroffen, wonach ein von der mitbeteiligten Partei erstellter „Ampelwert“ als Bonitätsbeurteilung erstellt werde, der wiederum als Grundlage für den Abschluss von Verträgen von Kunden der mitbeteiligten Partei mit dem Zweitrevisionswerber herangezogen worden sei. Anzumerken ist an dieser Stelle, dass die „Feststellung“ im angefochtenen Erkenntnis, die mitbeteiligte Partei nehme keine automatisierten Einzelentscheidungen vor (angefochtenes Erkenntnis Seite 4), eine dislozierte rechtliche Beurteilung darstellt, die auf keinen Tatsachenfeststellungen gründet. Das Erkenntnis ist schon aus diesem Grund wegen des Vorliegens sekundärer Feststellungsmängel gemäß § 42 Abs. 2 Z 1 VwGG wegen Rechtswidrigkeit des Inhalts aufzuheben.
22 Hinzuzufügen ist, dass das Bundesverwaltungsgericht keine Feststellungen zur Frage des Vorliegens einer Datenverarbeitung im Sinne des Art. 4 Z 4 DSGVO, „Profiling“, getroffen hat. Es geht aus den Feststellungen nicht hervor, ob die mitbeteiligte Partei überhaupt eine automatisierte Verarbeitung der Daten des Zweitrevisionswerbers vornimmt, die auf eine Bewertung, bzw. Analyse oder Vorhersage im Sinne der genannten Bestimmung abzielt.
23 5.4. Der Zweitrevisionswerber moniert zu Recht das Fehlen eines entsprechenden Leistungsauftrages für die vom Bundesverwaltungsgericht rechtskräftig festgestellten Verletzungen im Recht auf Auskunft betreffend die „Auskunft über ‚Dienstleister_innen‘ bzw. nunmehr ‚Auftraggeber_innen‘ iSd Art. 15 Abs. 1 lit. c DSGVO sowie über die Herkunft der Daten (vgl. Art. 15 Abs. 1 lit. g DSGVO) betreffend den Wert ‚Brutto Mindesteinkommen des Haushalts‘“, die im Rahmen einer neuerlichen Entscheidung ergänzend getroffen werden können.
24 5.5. Die Revisionen wenden sich ferner im Wesentlichen übereinstimmendgegen die Ansicht des Bundesverwaltungsgerichts, der Verfahrensgegenstand sei durch das Inkrafttreten der DSGVO nicht verändert worden. Sie vermeinen, Art. 15 DSGVO normiere gegenüber § 26 und § 49 DSG 2000 erweiterte Auskunftspflichten, was bei der Entscheidung im Beschwerdeverfahren zu berücksichtigen sei, weil sich das Bundesverwaltungsgericht an der Sach und Rechtslage zum Zeitpunkt seiner Entscheidung zu orientieren habe.
25 5.5.1. „Sache“ des Beschwerdeverfahrens vor dem Verwaltungsgericht istungeachtet des durch § 27 VwGVG vorgegebenen Prüfumfangesnur jene Angelegenheit, die den Inhalt des Spruchs der vor dem Verwaltungsgericht belangten Verwaltungsbehörde gebildet hat. Das Verwaltungsgericht hat also die Angelegenheit zu entscheiden, die von der Verwaltungsbehörde zu entscheiden war (vgl. zu alldem VwGH 27.1.2016, Ra 2014/10/0038, mwN).
26Eine Angelegenheit, die überhaupt noch nicht oder in der von der Rechtsmittelentscheidung in Aussicht genommenen rechtlichen Art nicht Gegenstand des vorangegangenen Verfahrens vor der Verwaltungsbehörde gewesen war, fällt nicht in die funktionelle Zuständigkeit des Verwaltungsgerichts. Trifft das Verwaltungsgericht dennoch (erstmalig) eine meritorische Entscheidung, so ist diese im diesbezüglichem Umfang mit Rechtswidrigkeit infolge Unzuständigkeit belastet (vgl. VwGH 5.8.2020, Ra 2020/20/0192, mwN).
27 Es trifft zwar zu, dass das Verwaltungsgericht grundsätzlich seine Entscheidung an der zum Zeitpunkt seiner Entscheidung gegebenen Sachund Rechtslage auszurichten hat (vgl. etwa VwGH 16.12.2015, Ro 2014/03/0083, mwH auf die ständige Rechtsprechung). Dieser Grundsatz ist jedoch nicht ausschlaggebend für den Umfang der funktionellen Zuständigkeit des Verwaltungsgerichts: Entscheidend zur Festlegung des Prozessgegenstandes vor dem Verwaltungsgericht ist vielmehr die Beurteilung, was im jeweiligen Fall als Verwaltungssache anzusehen ist. Der Verwaltungsgerichtshof hat in seiner Rechtsprechung zu vom Verwaltungsgericht zu führenden Verfahren über Beschwerden gegen verwaltungsbehördliche Bescheide festgehalten, dassungeachtet des durch § 27 VwGVG vorgegebenen Prüfungsumfangesals Sache eines solchen Verfahrens jedenfalls jene Angelegenheit anzusehen ist, die den Inhalt des Spruches der vor dem Verwaltungsgericht belangten Behörde gebildet hat. In einem antragsbedürftigen Verwaltungsverfahren bestimmt dabei in erster Linie der Antragsteller, was Gegenstand des Verfahren ist; dessen Antrag legt fest, was Sache des (Genehmigungs)Verfahrens ist (vgl. VwGH 12.9.2016, Ro 2016/04/0014, mwN).
28 Dem Bundesverwaltungsgericht ist daher fallbezogen darin zuzustimmen, dass der Verfahrensgegenstand im vorliegend antragsgebundenen Verfahren vor der Datenschutzbehörde nur diejenigen Auskunftsrechte umfassen konnte, die der Zweitrevisionswerber bei seiner Antragstellung überhaupt als verletzt angesprochen hat. Die Mitbeteiligte konnte vor Inkrafttreten der DSGVO nicht gegen erst dort verankerte im Verhältnis zur bis dahin geltenden Rechtslage erweiterte Verpflichtungen verstoßen haben. Der Antrag des Zweitrevisionswerbers, der den Gegenstand der Sache vor der belangten Behörde definierte, konnte daher nur die bereits vor Inkrafttreten der DSGVO geltenden Auskunftsverpflichtungen der Mitbeteiligten erfassen. Eine Rechtsschutzlücke entsteht durch diese Betrachtung nicht, weil es dem Zweitrevisionswerber freistand, einen die erweiterten Auskunftsrechte betreffenden Antrag bei der belangten Behörde zu stellen.
295.6. Der Ausspruch über den Aufwandersatz stützt sich auf die §§ 47 ff VwGG in Verbindung mit der VwGH Aufwandersatzverordnung 2014.
Wien, am 2. April 2024
Rückverweise
RIS