Der EuGH hat mit Urteil vom 27. Februar 2025 (Rs. C‑203/22 i.S. CK gegen Magistrat der Stadt Wien) präzisiert, welche Informationen ein Verantwortlicher einer betroffenen Person im Rahmen des Auskunftsrechts nach Art. 15 Abs. 1 lit. h DSGVO über die “involvierte Logik” bei automatisierten Entscheidungsfindungen und Profiling erteilen muss. Der Verantwortliche muss im Ergebnis alle Angaben liefern, die der betroffenen Person ein Verständnis ermöglichen,
- welche Personendaten im Rahmen der automatisierten Entscheidungsfindung
- auf welche Art verwendet wurden.
Eine komplexe mathematische Formel (z.B. ein Algorithmus) genügen dafür ebenso wenig wie eine detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung.
Dieses Urteil betrifft direkt das Auskunftsrecht im Zusammenhang mit automatisierten Einzelfallentscheidungen. Indirekt wirkt es auf das Auskunftsrecht insgesamt zurück, weil seine Bedeutung als Vorfeldrecht gestärkt wird: Es dient der Ausübung weiterer Rechte, weshalb es diese Ausübung ermöglichen muss. Das führt zu einer tendenziell weiten Auslegung des Auskunftsrechts.
Der konkrete Fall betraf die Verweigerung eines Mobilfunkvertrags aufgrund einer automatisierten Bonitätsprüfung. Dun & Bradstreet Austria hatte es trotz Aufforderung der österreichischen Datenschutzbehörde unterlassen, aussagekräftige Informationen über die involvierte Logik der Bonitätsprüfung zu übermitteln. Das österreichische Bundesverwaltungsgericht kam zum folgenden Ergebnis:
19 Mit Erkenntnis vom 23. Oktober 2019 […] stellte das Bundesverwaltungsgericht fest, dass D & B Art. 15 Abs. 1 Buchst. h DSGVO verletzt habe, indem sie CK keine aussagekräftigen Informationen über die involvierte Logik der auf der Grundlage der personenbezogenen Daten von CK erfolgten automatisierten Entscheidungsfindung übermittelt oder zumindest nicht hinreichend begründet habe, weshalb sie nicht in der Lage sei, solche Informationen zu übermitteln.
20 Das Bundesverwaltungsgericht stellte in seinem Erkenntnis insbesondere fest, dass die Erläuterungen von D & B nicht ausgereicht hätten, um CK in die Lage zu versetzen, nachzuvollziehen, wie die Wahrscheinlichkeit ihres künftigen Verhaltens („Score“) prognostiziert worden sei. Dieser Score war CK von D & B mit dem Hinweis mitgeteilt worden, dass für seine Ermittlung bestimmte soziodemografische Daten von CK „untereinander gleichwertig gewichtet“ worden seien.
Der EuGH hält dazu fest:
- Die “aussagekräftigen Informationen über die involvierte Logik” einer automatisierten Entscheidungsfindung umfassen alle massgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung:
50 […] die Auslegung […], wonach „aussagekräftige Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung personenbezogener Daten zwecks Erreichen eines bestimmten Ergebnisses umfassen und diese Informationen aufgrund des Transparenzerfordernisses außerdem in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln sind.
- Die Informationen müssen der betroffenen Person ermöglichen, die wirksame Ausübung ihrer Rechte nach Art. 22 Abs. 3 DSGVO (Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung) zu ermöglichen:
53 Was konkret das in Art. 15 DSGVO vorgesehene Auskunftsrecht betrifft, muss es der betroffenen Person nach der Rechtsprechung des Gerichtshofs ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden […].
[…]55 Insbesondere im speziellen Kontext des Erlasses einer Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht, bezweckt das Recht der betroffenen Person […] hauptsächlich, ihr die wirksame Ausübung der ihr nach Art. 22 Abs. 3 DSGVO zustehenden Rechte zu ermöglichen, nämlich des Rechts auf Darlegung ihres eigenen Standpunkts und des Rechts auf Anfechtung der Entscheidung.
[…]58 […] ergibt sich, dass das Recht auf „aussagekräftige Informationen über die involvierte Logik“ bei einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung als ein Recht auf Erläuterung des Verfahrens und der Grundsätze zu verstehen ist, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen, um auf der Grundlage dieser Daten zu einem bestimmten Ergebnis – etwa einem Bonitätsprofil – zu gelangen. […]
- Weder die blosse Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus) noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen. Die betroffene Person muss vielmehr nachvollziehen können, welche Personendaten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden:
59 Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.
[…]61 Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung […] müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.
62 Was konkret ein Profiling wie das im Ausgangsverfahren in Rede stehende betrifft, könnte das vorlegende Gericht es insbesondere als ausreichend transparent und nachvollziehbar erachten, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.
- Wenn Informationen Geschäftsgeheimnisse oder Personendaten Dritter umfassen, müssen diese u.U. der Aufsichtsbehörde oder dem zuständigen Gericht übermittelt werden, die eine Abwägung der gegenüberstehenden Rechte und Interessen vornehmen müssen:
73 […] ein nationales Gericht […] der Ansicht sein kann, dass ihm personenbezogene Daten von Parteien oder Dritten übermittelt werden müssen, damit es […] die betroffenen Interessen abwägen kann. Diese Beurteilung kann es gegebenenfalls dazu veranlassen, die vollständige oder teilweise Offenlegung der ihm so übermittelten personenbezogenen Daten gegenüber der Gegenpartei zuzulassen […].
- Nationale Bestimmungen wie hier § 4 Abs. 6 DSG-AT, die das Auskunftsrecht pauschal ausschliessen, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis gefährden würde, sind nicht mit Art. 15 DSGVO vereinbar. Eine pauschale Einschränkung ist unzulässig, weil die Abwägung im Einzelfall erfolgen muss:
75 Hinsichtlich der Notwendigkeit, dies von Fall zu Fall zu ermitteln, steht Art. 15 Abs. 1 Buchst. h DSGVO insbesondere der Anwendung einer Bestimmung wie § 4 Abs. 6 DSG entgegen, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde. Ein Mitgliedstaat kann das Ergebnis einer durch das Unionsrecht vorgegebenen, auf Einzelfallbasis durchzuführenden Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C‑634/21, EU:C:2023:957, Rn. 70 und die dort angeführte Rechtsprechung).