TE Bvwg Beschluss 2021/12/22 W211 2234354-1

JUSLINE Entscheidung

Veröffentlicht am 22.12.2021
beobachten
merken

Entscheidungsdatum

22.12.2021

Norm

AVG §38
B-VG Art133 Abs4
DSGVO Art15
DSGVO Art22
VwGVG §17

Spruch


W211 2234354-1/3E

BESCHLUSS

Das Bundesverwaltungsgericht beschließt durch die Richterin Mag.a Barbara SIMMA LL.M. als Vorsitzende und die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde der XXXX , vertreten durch Diwok Hermann Petsche Rechtsanwälte LLP & Co KG, gegen Spruchpunkt 2. c) des Bescheids der Datenschutzbehörde vom XXXX , Zl. XXXX , in einer datenschutzrechtlichen Angelegenheit:

A)

Das Verfahren wird gemäß § 17 VwGVG iVm § 38 AVG bis zur Vorabentscheidung durch den Gerichtshof der Europäischen Union über die mit Beschluss des Verwaltungsgerichts Wiesbaden vom 01.10.2021, Zl 6 K 788/20.WI, (beim EuGH anhängig unter C-634/21) vorgelegte Frage 1. ausgesetzt.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.


Text


Begründung:

Das Bundesverwaltungsgericht hat erwogen:

I. Feststellungen:

1. Die nunmehrige mitbeteiligte Partei (eine Privatperson, idF „mP“) stellte mit Schreiben vom XXXX 2019 ein Auskunftsbegehren nach Art. 15 Datenschutz-Grundverordnung (DSGVO) an die XXXX (nunmehr die Beschwerdeführerin – idF „BF“). Die BF beantwortete das Auskunftsbegehren mit Schreiben vom XXXX 2019 und ergänzendem Schreiben vom XXXX 2019.

Mit Schriftsatz vom XXXX 2019 brachte die mP eine Beschwerde wegen Unvollständigkeit der Auskunft bei der Datenschutzbehörde (idF „DSB“) ein. Zusammengefasst brachte sie unter anderem vor, die von der BF erteilte Auskunft enthalte keine Angaben zu den unterschiedlichen Scorings im Bereich Bonität, Zahlungsfähigkeit, Zahlungsbereitschaft, zum Risikofaktor, KKE-Faktoren etc. Die Auskunft sei daher in zentralen Punkten unvollständig und enthalte lediglich Name, Geburtsdatum, Anschrift, Datum der Unternehmensgründung und Unternehmensanschrift.

Nach Gewährung des Parteiengehörs und einer Stellungnahme der BF von XXXX 2019 brachte die mP in Schreiben vom XXXX 2019 und XXXX 2019 ergänzend vor, dass sie nach wie vor im Recht auf Auskunft verletzt sei, da nicht nachvollziehbar sei, wie aus den beauskunfteten Daten verlässliche Auskünfte zu Bonität und Zahlungswilligkeit abgeleitet werden können. Es sei daher davon auszugehen, dass die BF darüber hinaus sie betreffende personenbezogene Daten verarbeite. Es stelle sich die Frage unter Verwendung welcher personenbezogener Daten Scoring-Werte wie „571“ bzw. „581“ ermittelt würden, welche Aussagen mit diesen Werten verbunden seien und welche Tragweite in Hinblick auf Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO damit verbunden seien. Weiter stelle sich die Frage, worauf sich die Scores beziehen würden (Bonität oder Zahlungsunwilligkeit). Darüber hinaus sei unklar, worin sich die angesprochenen Datenbankprodukte bezüglich Verarbeitung personenbezogener Daten hinsichtlich involvierter Logik und Folgen für die mP unterscheiden würden.

Mit Bescheid der DSB vom XXXX 2020 wurde der Beschwerde teilweise stattgegeben und festgestellt, dass die BF die mP dadurch im Recht auf Auskunft verletzt habe, indem die Auskunft vom XXXX 2019 sowie die weitere Auskunft vom XXXX 2019 unvollständig seien (Spruchpunkt 1.). Der BF wurde im Spruchpunkt 2. aufgetragen, der mP innerhalb einer Frist von vier Wochen bei sonstiger Exekution: a) eine hinreichend klare Auskunft im Hinblick auf die Verarbeitungszwecke zu erteilen, wobei insbesondere darzulegen sei, welche konkreten Daten der mP zwecks Ausübung welchen Gewerbes verarbeitet würden, b) die geplante Speicherdauer für die an die Empfänger übermittelten Bonitätsscores („übermittelter Wert“) in der Datenbank der BF samt den damit zusammenhängenden Informationen zu beauskunften sowie c) aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der die mP betreffenden Bonitätsbewertung zu geben. Der Antrag der mP auf Verhängung einer Geldbuße gegen die Beschwerdegegnerin wurde zurückgewiesen (Spruchpunkt 3.). Im Übrigen wurde die Beschwerde abgewiesen (Spruchpunkt 4.).

Die DSB führte zu Spruchpunkt 2. c) aus, dass die BF nicht als Auftragsverarbeiterin iSv Art. 4 Z 8 DSGVO verstanden werden könne, da sie Daten nicht bloß im Auftrag des jeweiligen Kunden verarbeite, sondern eine Verarbeitung unabhängig davon im Rahmen der Ausübung des Gewerbes nach § 152 GewO 1994 durchgeführt, und die „Score-Formel“ von der BF selbst festgelegt werde. Das Vorbringen der BF, dass die an die abfragenden Unternehmen übermittelten Informationen lediglich einen Teil des beim Unternehmen stattfindenden Entscheidungsprozesses darstellen würden und es sich um keine automatisierte Entscheidung im Einzelfall handle, sei dabei nicht überzeugend, da nach Art. 22 Abs. 1 DSGVO für das Bestehen einer automatisierten Entscheidungsfindung im Einzelfall einerseits eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, einschließlich Profiling, und andererseits eine damit verbundene rechtliche Wirkung oder sonstige erhebliche Beeinträchtigung vorliegen müsse. Das erste Element sei erfüllt, da es sich bei der Bewertung der Bonität nach ErwGr 71 erster Satz DSGVO um einen Fall von Profiling handle. Auch das zweite Element sei erfüllt, da das Gewerbe nach § 152 GewO 1994 mit der Intention durchgeführt werde, die errechneten Bonitätswerte abfragenden Endkunden gegen Entrichtung eines Entgelts zur Verfügung zu stellen. Die BF übe somit das genannte Gewerbe aus, um errechnete Bonitätswerte in den wirtschaftlichen Verkehr zu bringen. Bei dieser Berechnung der Bonität handle es sich daher um einen eigenständigen Entscheidungsprozess, welcher bei der BF stattfinde und welcher nach der allgemeinen Erlebenserfahrung mit erheblichen Beeinträchtigungen im wirtschaftlichen Leben verbunden sei. Sofern ein Endkunde, welcher die Bonitätsauskunft einhole, auf Basis der berechneten Bonität eine gewisse Entscheidung treffe, etwa indem er das Bonitätsergebnis unhinterfragt seiner wirtschaftlichen Entscheidung zugrunde lege, handle es sich hierbei um einen zweiten eigenständigen Entscheidungsprozess bei dem Endkunden.

Wenn die BF in diesem Zusammenhang darauf verweise, dass es sich bei dem Prinzip, auf dem die Berechnung basiere, um ein Geschäftsgeheimnis handle, sei ihr entgegenzuhalten, dass eine Auskunft nicht mit einem Pauschalhinweis auf Geschäfts- und Betriebsgeheimnisse verweigert werden könne, und allfällige Beschränkungen des Auskunftsanspruchs je nach Einzelfall beurteilt würden sowie verhältnismäßig sein müssten. Im Übrigen seien auch keine umfangreichen mathematischen Erläuterungen oder detaillierte Darstellungen der Funktionsweise von Algorithmen gefordert, sondern lediglich Informationen über die involvierte Logik. Diese Informationen müssten allerdings derart aussagekräftig sein, damit eine betroffene Person die weiteren Betroffenenrechte in Anspruch nehmen könne, etwa um einen gewissen für die Entscheidungsfindung maßgeblichen Parameter berichtigen lassen zu können. Bloße allgemeine Angaben über die Parameter, wie im gegenständlichen Fall, würden diesem Auskunftsanspruch allerdings nicht gerecht, weshalb die Auskunft entsprechend zu vervollständigen sei.

Gegen Spruchpunkt 2. c) des Bescheids der DSB vom XXXX 2020 brachte die BF eine Beschwerde ein, in der sie zusammengefasst angab, dass ein Auskunftsanspruch gemäß Art. 15 Abs. 1 lit. h DSGVO gegen die BF nicht bestehe, weil sie keine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung iSd Art. 22 Abs. 1 DSGVO treffe, die Berechnung der Bonität durch die BF gegenüber Betroffenen weder rechtliche Wirkungen entfalte, noch sie in ähnlicher Weise erheblich beeinträchtige. Selbst wenn der Tatbestand des Art. 15 Abs. 1 lit. h DSGVO erfüllt wäre, stünde der Auskunftsverweigerungsgrund der Gefährdung von Geschäftsgeheimnissen entgegen. Selbst wenn man das Vorliegen eines Auskunftsverweigerungsgrundes verneinen würde, sei die Auskunft bereits hinreichend erteilt worden.

2. Das Verwaltungsgericht Wiesbaden legte mit Beschluss vom 01.10.2021, Zl 6 K 788/20.WI, die folgenden Fragen dem Gerichtshof der Europäischen Union (EuGH) zur Vorabentscheidung vor, die beim EuGH zur Zl C-634/21 anhängig sind:

„1. Ist Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (- DS-GVO -, ABl. EU L Nr. 119 vom 4.5.2016, S. 1) dahingehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt?

2. Falls die 1. Vorlagefrage zu verneinen ist: Sind Art. 6 Abs. 1 und Art. 22 der Verordnung (EU) 2016/679 – DS-GVO – dahingehend auszulegen, dass sie einer innerstaatlichen Regelung entgegenstehen, nach der die Verwendung eines Wahrscheinlichkeitswerts – vorliegend über die Zahlungsfähigkeit und Zahlungswilligkeit einer natürlichen Person bei der Einbeziehung von Informationen über Forderungen – über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) nur zulässig ist, wenn bestimmte weitere Voraussetzungen, die in der Vorlagebegründung näher ausgeführt sind, erfüllt sind?“

2. Beweiswürdigung:

Die Feststellungen zu 1.1. ergeben sich aus der Aktenlage, das Vorabentscheidungsersuchen unter 1.2. des Verwaltungsgerichts Wiesbaden ist unter https://curia.europa.eu/juris/documents.jsf?num=C-634/21, zuletzt aufgerufen am 15.12.2021, abrufbar.

3. Rechtliche Beurteilung:

Zu A)

3.1. Gemäß § 38 AVG, der gemäß § 17 VwGVG auch im verwaltungsgerichtlichen Verfahren sinngemäß anzuwenden ist, kann eine Behörde ein Verfahren bis zur rechtskräftigen Entscheidung von Vorfragen, die als Hauptfragen von anderen Verwaltungsbehörden oder von den Gerichten zu entscheiden wären, aussetzen, wenn die Vorfrage schon den Gegenstand eines anhängigen Verfahrens bei ua dem zuständigen Gericht bildet oder ein solches Verfahren gleichzeitig anhängig gemacht wird.

3.2. Eine Hauptfrage in diesem Sinne kann auch eine Vorlagefrage eines beim EuGH anhängigen Vorabentscheidungsverfahrens sein. Sie berechtigt zur Aussetzung nach § 38 AVG, wenn sie für das verwaltungsgerichtliche Verfahren präjudiziell ist (vgl zB VwGH 13.12.2011, 2011/22/0316). Präjudiziell ist eine Rechtsfrage dabei auch zu einer „bloß“ ähnlichen Rechtsfrage, und zwar auch dann, wenn nicht dieselbe gesetzliche Regelung desselben Gesetzgebers betroffen ist (vgl jüngst VwGH 13.9.2017, Ra 2017/12/0068).

3.3. Im gegenständlichen beim BVwG anhängigen Verfahren beruht die Beschwerde der BF auf der Prämisse, dass sie als Bonitätsauskunftei selbst automatisierte Entscheidungen im Einzelfall einschließlich Profiling iSd Art. 22 Abs. 1 – 4 DSGVO nicht vornimmt und daher auch der entsprechenden Auskunftspflicht des Art. 15 Abs. 1 lit. h DSGVO nicht unterliegt, der auf Art. 22 DSGVO verweist.

3.4. In dem Beschluss vom 01.10.2021 begründet das Verwaltungsgericht Wiesbaden seine Frage 1 in diesem Zusammenhang wie folgt:

„Anwendbarkeit des Art. 22 Abs. 1 DS-GVO auf Wirtschaftsauskunfteien

Eine betroffene Person hat nach Art. 22 Abs. 1 DS-GVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Vorschrift ist an die Vorgängerregelung Art. 15 der Richtlinie 95/46/EG angelehnt. Ihrem Wortlaut nach scheint sie ein der Ausübung bedürfendes Recht der betroffenen Person zu sein. Das vorlegende Gericht ist demgegenüber der Überzeugung, dass die Vorschrift ein grundsätzliches Verbot statuiert, dessen Verstoß keiner individuellen Geltendmachung bedarf.

Tätigkeiten wie die streitgegenständliche – durch die Beigeladene vorgenommene – automatisierte Zusammenstellung personenbezogener Daten zur Ermittlung eines Wahrscheinlichkeitswertes über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Übermittlung an Dritte für deren Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser betroffenen Person fallen jedenfalls dem Inhalt der Tätigkeit nach unter das Regelungsregime des Art. 22 Abs. 1 DS-GVO. Die Vorschrift erfasst ausweislich ihres eindeutigen Wortlautes nicht nur, aber auch, Entscheidungen, die aufgrund eines Profilings getroffen werden, vgl. auch Erwägungsgrund 71 S. 2. Letzteres wird in Art. 4 Nr. 4 DS-GVO legaldefiniert als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die Erstellung von Score-Werten erfüllt diese Definitionsmerkmale. Dafür spricht auch EG 71 S. 2, wonach unter Profiling unter anderem gerade auch die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien. EG 71 S. 1 nennt überdies als ein Beispiel für Entscheidungen im Sinne des Art. 22 Abs. 1 DS-GVO die automatische Ablehnung eines Online-Kreditantrags. Insoweit ist Art. 22 Abs. 1 DS-GVO auf Fälle wie den hiesigen jedenfalls im Hinblick darauf grundsätzlich anwendbar, dass nach dem Willen des Verordnungsgebers die Erstellung eines Score-Wertes einen Unterfall des Profilings im Sinne von Art. 4 Nr. 4 DS-GVO darstellt.

Das vorlegende Gericht hält es im Kern für naheliegend, dass in Fällen wie dem streitgegenständlichen darüber hinaus auch das von Art. 22 Abs. 1 DS-GVO vorausgesetzte Tatbestandsmerkmal einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung erfüllt ist. Dem steht nicht entgegen, dass nach o. G. die Haupttätigkeit von Wirtschaftsauskunfteien – wie die Beigeladene es ist –,die Ermittlung von Score-Werten, nach den Erwägungsgründen ein Unterfall des Profilings sein soll. Zwar hat der Verordnungsgeber offenbar beabsichtigt, die datenschutzrechtliche Zulässigkeit des Profilings gerade nicht durch Art. 22 Abs. 1 DS-GVO eigenständig zu regeln, sondern insoweit nur das Profiling gleichsam mit zu adressieren, soweit es Bestandteil einer auf einer automatisierten Entscheidung gestützten Entscheidung ist. Das ergibt sich schon aus dem Wortlaut der Vorschrift, die für ihr Verbot maßgeblich auf die auf Profiling – oder einer sonstigen automatisierten Datenverarbeitung – beruhende Entscheidung abstellt, nicht jedoch auf das Profiling selbst.

Das Gericht geht jedoch davon aus, dass die Erstellung eines Score-Wertes durch eine Auskunftei nicht lediglich ein die Entscheidung des dritten Verantwortlichen vorbereitendes Profiling ist, sondern gerade eine selbstständige "Entscheidung" im Sinne des Art. 22 Abs. 1 DS-GVO.

Dabei ist sich das Gericht in Ansehung des Wortlautes des Art. 22 Abs. 1 DS-GVO bewusst, dass sich die Vorschrift bei restriktiver Auslegung so verstehen lässt und verbreitet auch so verstanden wird, dass sie auf die Tätigkeit von Wirtschaftsauskunfteien wie der Beigeladenen keine unmittelbare Anwendung findet. Einer entsprechenden Annahme liegt nach Auffassung des Gerichts jedoch ein fehlerhaftes Verständnis der Tätigkeit von Wirtschaftsauskunfteien und dem Einfluss der von ihnen erstellten Score-Werte zugrunde. Denn die Annahme gründet auf dem Gedanken, dass Wirtschaftsauskunfteien nicht die für Art. 22 Abs. 1 DS-GVO maßgebliche Entscheidung selbst treffen, weil sie durch Ermittlung und Zusammenstellung von personenbezogenen Daten zwecks einer Profilbildung und der daraus folgenden Ermittlung eines finalen Score-Wertes die letztendliche Entscheidung des Verantwortlichen gleichsam nur vorbereiten, geben sie bei der Übermittlung des Score-Wertes typischerweise doch nicht zugleich auch dem dritten Verantwortlichen gegenüber eine Empfehlung für oder gegen eine vertragliche Kontrahierung mit der betroffenen Person ab.

Die DS-GVO nimmt in ihren Bestimmungen und Erwägungsgründen eine begriffliche Differenzierung zwischen Verarbeitung einerseits und auf der Verarbeitung beruhender Entscheidung andererseits vor und will gerade keine eigenständigen materiellen Vorgaben zum Profiling treffen. So bestimmt Art. 4 Nr. 4 DS-GVO, dass Profiling im Sinne der DS-GVO "jede Art der automatisierten Verarbeitung personenbezogener Daten" ist, "um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten". Der Wortlaut der Legaldefinition lässt sich folglich dahingehend verstehen, Profiling sei nicht nur die Ermittlung der Parameter für das Bewertungsergebnis, sondern umfasse auch das Bewertungsergebnis. Darunter könnte man im Hinblick auf den hiesigen Fall auch die automatisierte Zusammenstellung der einzelnen Merkmale mit dem Ziel des Subtrahierens eines Gesamt-Score-Wertes durch eine Wirtschaftsauskunftei und dessen tatsächlicher Ermittlung fassen. In Richtung eines solchen Begriffsverständnisses ließe sich auch Art. 21 Abs. 1 S. 1 DS-GVO deuten, wonach sich das Widerspruchsrecht der betroffenen Person auf jegliche Verarbeitung bezieht und nach Hs. 2 insbesondere auch für ein auf die Vorschriften der DS-GVO gestütztes Profiling. Letztlich tritt die Differenzierung zwischen automatisierter Verarbeitung durch Profiling einerseits sowie Entscheidung andererseits vor allem aus Art. 22 Abs. 1 DS-GVO hervor. Indem Art. 22 Abs. 1 DS-GVO bestimmt, dass eine betroffene Person das Recht hat, "nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden", trifft die Vorschrift explizit eine kausale Verknüpfung und zeitlich zwingende Reihenfolge von automatisierter Verarbeitung (einschließlich Profiling) und darauf beruhender Entscheidung. Die Intention des Verordnungsgebers, zwischen beiden Begrifflichkeiten zu unterscheiden, wird ferner durch Erwägungsgrund 71 S. 1, 2 gestützt. Während Erwägungsgrund 71 S. 1 erläutert, die betroffene Person solle das Recht haben, keiner Entscheidung zur Bewertung sie betreffender persönlicher Angaben unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht, ergänzt Erwägungsgrund 71 S. 2 diese Annahme, zu "derartigen Verarbeitungen" – folglich nicht zu den "Entscheidungen" – zähle auch das Profiling. Als Beispielsfall für eine "Entscheidung" benennt Erwägungsgrund 71 S. 1 vielmehr exemplarisch die automatische Ablehnung eines Kreditantrages, adressiert also in Grobzügen die hiesige Fallkonstellation insoweit, als die ablehnende Entscheidung des Kreditinstituts gegenüber der Klägerin die maßgebliche "Entscheidung" ist, nicht jedoch die Erstellung des Score-Wertes durch die Beigeladene. Letztlich lassen sich damit jedenfalls der Wortlaut der Art. 21 Abs. 1 S. 1, 22 Abs. 1 und 4 Nr. 4 DS-GVO sowie die Erwägungsgründe 71 S. 1, 2 und 72 dahingehend verstehen, Fallkonstellationen wie die dem Ausgangsverfahren zugrunde liegende, in der eine Auskunftei einen Score-Wert ermittelt, stellten eine "Verarbeitung", nicht jedoch eine "Entscheidung" im Sinne des Art. 22 Abs. 1 DS-GVO dar.

Das vorlegende Gericht hat allerdings erhebliche Zweifel an einer solch restriktiven Auslegung des Art. 22 Abs. 1 DS-GVO. Es sieht gewichtige Anhaltspunkte dafür, dass die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes zur prognostischen Bewertung der wirtschaftlichen Leistungsfähigkeit einer betroffenen Person eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO ist. Das vorlegende Gericht stützt seine Zweifel in tatsächlicher Hinsicht auf die Bedeutung des von Wirtschaftsauskunfteien erstellten Score-Wertes für die Entscheidungspraxis dritter Verantwortlicher sowie rechtlich maßgeblich auf die mit Art. 22 Abs. 1 DS-GVO verfolgten Zwecke sowie den in Art. 87 ff. DS-GVO verbürgten Rechtsschutzgewährleistungen:

In tatsächlicher Hinsicht hat das Gericht durchgreifende Bedenken gegenüber der Annahme, dritte Verantwortliche träfen bei Vorliegen eines Score-Wertes über eine betroffene Person die von Art. 22 Abs. 1 DS-GVO geforderte, nicht ausschließlich auf Automatisierung beruhende Einzelfallentscheidung. Wenngleich jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie des Eingehens einer vertraglichen Beziehung mit der betroffenen Person treffen können, weil zu diesem Stadium des Entscheidungsprozesses eine humangesteuerte Einzelfallentscheidung grundsätzlich noch möglich ist, wird diese Entscheidung praktisch in so erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert determiniert, dass jener gleichsam durch die Entscheidung des dritten Verantwortlichen durchschlägt. Anders gewendet: Eigentlich entscheidet über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person letztlich doch der aufgrund automatisierter Verarbeitung von der Wirtschaftsauskunftei erstellte Score-Wert. Der dritte Verantwortliche muss seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tut es in aller Regel jedoch maßgeblich. Eine Kreditvergabe mag zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden, ein nicht ausreichender Score-Wert hingegen wird jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheint. Dass Score-Werten bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle zukommt, zeigen Erfahrungen aus der behördlichen Datenschutzaufsicht (Siehe LfDI BW, Neue Broschüre: Scoring – solide Prognose oder miese Nummer?, https://www.baden-wuerttemberg.datenschutz.de/neue-broschuere-scoring-solide-prognose-odermiese-nummer/ (Stand 30.09.2021)).

Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform soll Art. 22 Abs. 1 DS-GVO – vorbehaltlich der Ausnahmen in Art. 22 Abs. 2 DS-GVO – die betroffene Person aber gerade schützen. Anliegen des Verordnungsgebers ist es, zu verhindern, dass die Entscheidungsfindung ohne individuelle Einschätzung und Bewertung durch einen Menschen stattfindet. Die betroffene Person soll keinem ausschließlich technischen und undurchschaubaren Vorgang ausgeliefert sein, ohne die zugrunde liegenden Annahmen und Bewertungsmaßstäbe nachvollziehen und durch Ausübung ihrer Rechte gegebenenfalls intervenieren zu können. Regelungsanliegen ist damit neben dem Schutz vor diskriminierenden Entscheidungen auf Grundlage vermeintlich objektiver Datenverarbeitungsprogramme auch die Schaffung von Transparenz und Fairness bei der Entscheidungsfindung. Entscheidungen über die Ausübung individueller Freiheiten sollen nicht ungeprüft der Logik von Algorithmen überlassen werden. Denn Algorithmen arbeiten mit Korrelationen und Wahrscheinlichkeiten, die nicht zwingend einer Kausalität folgen und auch nicht zwangsläufig zu nach menschlicher Einsicht "richtigen" Ergebnissen führen. Aus der Systematisierung zutreffender Einzeldaten können vielmehr fehlerhafte, unfaire oder diskriminierende Schlussfolgerungen gezogen werden, die – werden sie zur Grundlage einer Entscheidungsfindung – die Freiheitsrechte der betroffenen Person erheblich tangieren, und ihn vom Subjekt zum Objekt einer entpersonalisierten Entscheidung degradieren. Das trifft in besonderem Maße dann zu, wenn die betroffene Person nicht um den Einsatz von Algorithmen weiß oder sie – falls doch – nicht übersehen kann, welche Daten mit welchem Gewicht und durch welche Analysemethoden in die Entscheidung einfließen. Gerade dieses Anliegen des Verordnungsgebers, ein menschliches Korrektiv für automatisierte Datenverarbeitungen im Grundsatz verbindlich vorzuschreiben und nur in begrenzten Ausnahmefällen Durchbrechungen zuzulassen (Art. 22 Abs. 2 DS-GVO), wird jedoch konterkariert, weil der automatisiert erstellte Score-Wert grundsätzlich eine überragende Stellung in der Entscheidungsfindung des dritten Verantwortlichen einnimmt.

Der Verordnungsgeber wollte, diesen Grundkonflikt mittels des in Art. 22 Abs. 1 DS-GVO enthaltenen Verbotes gleichsam "zulasten" der dritten Verantwortlichen lösen, indem er an der (letzten) Entscheidung gegenüber der betroffenen Person ansetzt. An das Profiling werden insoweit lediglich im für das Profiling maßgeblichen Erwägungsgrund 71 Satz 6 Verfahrensanforderungen formuliert. Im Übrigen ergibt sich die Zulässigkeit der Datenverarbeitung zwecks Profiling jedoch allenfalls aus den allgemeinen Verarbeitungstatbeständen des Art. 6 Abs. 1 DSGVO. Das folgt sowohl aus Art. 21 Abs. 1 S. 1 Hs. 2 DS-GVO, der als mögliche Rechtsgrundlage für Profiling auf Art. 6 Abs. 1 UA 1 lit. e und f DS-GVO verweist, und aus Erwägungsgrund 72 S. 1, wonach das Profiling den Vorschriften der DSGVO für die Verarbeitung personenbezogener Daten, also auch der Rechtsgrundlage für die Verarbeitung oder den Datenschutzgrundsätzen, unterliegt.

Infolge dieser bloß rumpfartigen Vorgaben der DS-GVO zum Profiling einerseits und dem grundlegenden Postulat aus Art. 22 Abs. 1 DS-GVO andererseits stellt sich insbesondere das Problem der effektiven Rechtsdurchsetzung durch betroffene Personen. Sie ist – neben dem aufsichtsbehördlichen Kontrollmechanismus – der entscheidende Rechtsdurchsetzungsmechanismus der DS-GVO. Das zeigen nicht nur die austarierten und umfassend geregelten Beschwerde- und Klagerechte aus Art. 87 ff. DS-GVO, sondern auch die sie flankierenden Betroffenenrechte aus Art. 12 ff. DS-GVO. Anliegen der DS-GVO ist es, durch entsprechende Vorgaben insbesondere zu Auskunftsrechten und Transparenzgeboten, den mündigen Unionsbürger zur Rechtsdurchsetzung zu befähigen und zu mobilisieren.

Diese Rechte werden durch das Zusammenspiel von Tätigkeit und (fehlender) Verpflichtungen der Wirtschaftsauskunfteien sowie Entscheidungspraxis der dritten Verantwortlichen ausgehöhlt. Gegenüber den Auskunfteien hat die betroffene Person zwar ein generelles Auskunftsrecht nach Art. 15 DS-GVO; dieses wird den Besonderheiten des Profilings, das die DS-GVO ja gerade durch die Art. 15 Abs. 1 lit. h, 21 Abs. 1 S. 1 Hs. 2, 22 DS-GVO zu adressieren sucht, jedoch nicht gerecht. Denn im Rahmen des allgemeinen Auskunftsanspruchs sind die Wirtschaftsauskunfteien nicht verpflichtet, die Logik und Zusammensetzung der für die Erstellung des Score-Wertes entscheidenden Parameter preiszugeben; sie tun dies aus Gründen des Wettbewerbsschutzes unter Berufung auf ihr Betriebs- und Geschäftsgeheimnis auch nicht.

Auch der dritte Verantwortliche kann Informationen über die Score-Wert-Erstellung, die seiner Entscheidung ja gerade maßgeblich zugrunde liegt, gegenüber der betroffenen Person nicht erteilen, weil er nicht um die involvierte Logik weiß; sie wird ihm von der Auskunftei nicht offenbart.

Dadurch entsteht eine Rechtsschutzlücke: Derjenige, von dem die für die betroffene Person erforderlichen Informationen zu erlangen wären, ist nach Art. 15 Abs. 1 lit. h DS-GVO nicht auskunftsverpflichtet, weil er vorgeblich keine eigene "automatisierte Entscheidungsfindung" im Sinne des Art. 15 Abs. 1 lit. h DS-GVO betreibt, und derjenige, der seiner Entscheidungsfindung den automatisiert erstellen Score-Wert zugrunde legt und nach Art. 15 Abs. 1 lit. h DS-GVO auskunftsverpflichtet ist, kann die erforderlichen Informationen nicht bereitstellen, weil er über sie nicht verfügt.

Fällt die Erstellung des Score-Wertes durch eine Auskunftei in den Anwendungsbereich des Art. 22 Abs. 1 DS-GVO, schließt sich diese Rechtsschutzlücke. Nicht nur unterfällt die Erstellung von Score-Werten so dem Verbot des Art. 22 Abs. 1 DS-GVO, sodass sie als auf ausschließlich automatisierter Verarbeitung beruhend nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DS-GVO zulässig ist und damit der Intention des Unionsgebers nach zumindest regulatorischer Einhegung solcher Entscheidungen entspricht. Auch ermöglicht dieses Vorgehen unter Berücksichtigung der Öffnungsklausel des Art. 22 Abs. 2 lit. b DS-GVO eine detaillierte Regelung solcher Entscheidungsfindungen durch die Mitgliedstaaten, die ihnen nach den bisherigen Vorgaben der DS-GVO zu Profiling und automatisierten Entscheidungsfindungen verwehrt bleibt (siehe Vorlagefrage 2).

Die Rechtsschutzlücke wird auch nicht hinreichend durch das Widerspruchsrecht der betroffenen Person gem. Art. 21 Abs. 1 S. 1 Hs. 2 DS-GVO geschlossen. Danach hat die betroffene Person zwar das Recht, "aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. UA 1 lit. e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling". Jedoch weiß die betroffene Person im Falle von Wirtschaftsauskunfteien typischerweise nicht, dass sie zum Gegenstand eines automatisierten Scoring-Verfahrens geworden ist. Sie erfährt dies typischerweise erst, wenn eine ihr gegenüber nachteilige Entscheidung eines dritten Verantwortlichen unter Hinweis auf den Score-Wert bereits ergangen ist. Zu diesem Zeitpunkt hilft ihr das Widerspruchsrecht aber jedenfalls in Bezug auf den abgeschlossenen Fall nicht mehr; sie kann insoweit ihr Widerspruchsrecht nur noch gegenüber einer künftigen Datenverarbeitung durch die Wirtschaftsauskunftei ausüben.“

3.5. Die Frage 1, die dem Gerichtshof der Europäischen Union mit Beschluss des Verwaltungsgerichts Wiesbaden vom 01.10.2021 vorgelegt wurde, ist der im gegenständlichen Verfahren zu lösenden Rechtsfrage im Sinne der oben angeführten Judikatur ähnlich; sie ist auch präjudiziell: Ob die von einer Wirtschaftsauskunftei ermittelten Bonitätswerte als automatisierte Entscheidungen im Einzelfall iSd Art. 22 Abs. 1 – 4 DSGVO zu werten sind, ist entscheidend für die Frage, ob demgemäß durch die Wirtschaftsauskunftei nach Art. 15 Abs. 1 lit. h DSGVO Auskunft zu erteilen ist.

3.6. Es wird daher die Aussetzung des Beschwerdeverfahrens – mit nicht bloß verfahrensleitendem Beschluss (vgl VwGH 20.12.2017, Ra 2017/12/0019) – bis zur Vorabentscheidung durch den EuGH über die mit Beschluss des Verwaltungsgerichts Wiesbaden vom 01.10.2021, Zl 6 K 788/20.WI, (beim EuGH anhängig unter C-634/21) vorgelegte Frage 1 beschlossen.

Zu B) Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Hinsichtlich der Anwendung des § 38 AVG konnte sich das erkennende Gericht auf eine – jeweils zitierte – gefestigte Rechtsprechung des Verwaltungsgerichtshofs stützten. Eine – wie hier – im Rahmen dieser vom Verwaltungsgerichtshof aufgestellten Grundsätze vorgenommene Beurteilung einer bei einem anderen Gericht anhängigen Rechtsfrage als für das gegenständliche Verfahren präjudiziell ist nicht reversibel (vgl VwGH 13.9.2017, Ra 2017/12/0068).

Schlagworte

Auskunftsrecht Aussetzung automatisierte Einzelentscheidung Bonitätsauskunft Datenschutz EuGH Geschäftsgeheimnis Informationspflicht Präjudizialität Profiling Unionsrecht Vorabentscheidungsverfahren Vorfrage Wahrscheinlichkeit

European Case Law Identifier (ECLI)

ECLI:AT:BVWG:2021:W211.2234354.1.00

Im RIS seit

18.01.2022

Zuletzt aktualisiert am

18.01.2022
Quelle: Bundesverwaltungsgericht BVwg, https://www.bvwg.gv.at
Zurück Haftungsausschluss Vernetzungsmöglichkeiten

Sofortabfrage ohne Anmeldung!

Jetzt Abfrage starten