Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Handels- und Gesellschaftsrecht
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Unser Name oder unsere Anschrift sind nur Beispiele von persönlichen Daten, welche schützenswert sind. Immer wieder stellt sich die Frage, wie diese verarbeitet oder weitergegeben werden dürfen. Wichtige Regelungen darüber trifft die DSGVO, welche den Schutz von Daten in der EU regelt. Allerdings beschäftigen sich Gerichte immer wieder mit der Frage, was die DSGVO alles umfasst und was nicht. Der EuGH hat nun ein Urteil gefällt, was zeigt, dass bei einer Bonitätsauskunft die betroffene Person ein Recht auf nachvollziehbare Erläuterungen hat, welche es ermöglichen zu verstehen, welche personenbezogenen Daten wie verwendet wurden und es sich dabei um Profiling handelt. Alles dazu im folgenden Artikel.
Zunächst stellt sich die Frage, was genau die DSGVO ist. Die DSGVO, also die Datenschutz-Grundverordnung besteht aus 11 Kapiteln, untergliedert in 99 Artikel und ist eine Verordnung der Europäischen Union, welche die Verarbeitung und den Schutz von personenbezogenen Daten regelt. In Kapitel 1 sind allgemeine Bestimmungen, Kapitel 2 enthält Grundsätze und in Kapitel 3 finden sich die Regelungen für die Rechte von betroffenen Personen. Eins der Rechte, die eine betroffene Person hat, ist das Auskunftsrecht. Im vorliegenden Fall geht es insbesondere um Art. 15 Abs. 1 lit. h) DSGVO.
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Der Fall wurde durch das österreichischen Bundesverwaltungsgerichts an den EuGH gebracht, welches sich in einer Entscheidung mit der Frage auseinandersetzen musste, ob die Verarbeitung personenbezogener Daten durch ein Unternehmen zur Erstellung und Verbreitung von Bonitätsauskünften auf der Rechtsgrundlage des "berechtigten Interesses" (Art. 6 Abs. 1 lit. f DSGVO) zulässig ist. Insbesondere geht es dabei um die Voraussetzungen und Grenzen dieser Rechtsgrundlage in Bezug auf Bonitätsauskünfte.
Die Klage richtet sich gegen das Unternehmen Dun & Bradstreet Austria GmbH (D&B), welches Bonitätsauskünfte erstellt und verbreitet. Es stellt sich daher die Frage, ob das „berechtigte Interesse“ nach der DSGVO sich auch auf Unternehmensinteressen beziehen kann, da es das Geschäftsmodell von D&B umfasst. Wenn dies als berechtigtes Interesse angesehen werden kann, stellt sich weiter die Frage, wie dies im Verhältnis zu den Rechten und Freiheiten der betroffenen Personen steht und welche Rechte der Betroffene in Bezug auf die Auskunft darüber hat. Wie weit reichen die Auskunftsrechte? Muss der Betroffene nur über die Verarbeitung informiert werden oder muss genau dargelegt werden, welche Daten wie verwendet werden. Darüber hinaus stellt sich bei vorliegend die Frage, ob die Erstellung von Bonitätsscores als "Profiling" im Sinne der DSGVO anzusehen ist und welche spezifischen Anforderungen sich daraus ergeben.
Der Generalanwalt legte am 15. Juni 2023 seine Schlussanträge vor, in welchen er seine Position darlegte. Seiner Ansicht nach liegt ein "Berechtigtes Interesse" nicht per se vor und das bloße Geschäftsmodell eines Unternehmens sei nicht ausreichend, denn so würde schnell jedes Unternehmen mit seinem jeweiligen Geschäftsmodell in die Rechte eingreifen, welche die DSGVO gerade schützen soll. Er fordert daher eine konkrete und individuelle Prüfung der Interessen des Unternehmens und der betroffenen Personen, denn die Rechtsgrundlage des berechtigten Interesses nicht dazu dienen darf, die anderen Rechtsgrundlagen wie beispielsweise die Einwilligung zu umgehen.
Im Bereich der Bonitätsauskünfte argumentiert er, dass die Erstellung von Bonitätsprofilen tiefgreifende Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen haben kann, da diese Profile Entscheidungen in verschiedenen Lebensbereichen beeinflussen, daher seien besonders strenge Anforderungen an die Interessenabwägung zu stellen und besonders viel Transparenz gefordert. Dies bezieht sich auch auf Profiling und automatisierte Entscheidungen, denn nach dem Genrealanwalt sei die Erstellung von Bonitätsscores in der Regel als Profiling im Sinne von Art. 4 Nr. 4 DSGVO anzusehen. Dies bedeutet, dass die besonderen Anforderungen an das Profiling gemäß Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall) zu beachten sind, auch wenn die Bonitätsauskünfte nicht unmittelbar zu automatisierten Entscheidungen durch die Auskunftei selbst führen, sondern erst bei den Empfängern der Auskünfte.
Der EuGH schließt sich der Meinung des Genrealanwaltes an. Der EuGH entschied am 27.02.25 in der Sache C-203/22, dass es sich bei der Bonitätsauskunft um Profiling handelt und daher die Auskunftsrechte gem. Art. 15 Abs. 1 lit. h) und 22 DSGVO greifen. Der Betroffene muss anhand dieser Informationen nachvollziehen können, welche ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses konkret angewandt wurden. Im Einzelfall ist zu bestimmen, welche konkreten Informationen die gewünschte Transparenz für den Betroffenen herstellen. Das Berufen auf Geschäftsgeheimnisse ist nicht ausreichend, um sich von dieser Pflicht zu befreien. Besteht ein Zweifel, muss der Verantwortliche die betreffenden Informationen dem Gericht oder der Aufsichtsbehörde zur Verfügung stellen, welche dann bewertet, ob und welche Informationen dem Betroffenen zur Verfügung gestellt werden müssen.
➤ Abmahnung wegen Verstoß gegen geltendes Datenschutzrecht
➤ Abberufung Datenschutzbeauftragter mit DSGVO vereinbar?
➤ 5.000,- € Bußgeld aufgrund von fehlender DSGVO-Vereinbarung
Möchten Sie mehr darüber erfahren, wie Sie sich nach der DSGVO richtig verhalten? Wollen Sie gerne wissen, ob Sie gegen den Datenschutz verstoßen oder gegen einen Verstoß vorgehen? Wir als spezialisierte Anwälte für Datenschutzrecht beraten Sie gerne bei jeglichen Belangen, um Sie und Ihre Daten zu schützen. Sie wollen wissen, wie Sie sich vor einem Hackerangriff schützen, oder wie Sie sich im Falle eines Hackerangriffes am besten verhalten sollten? Sie brauchen Hilfe bei Erstellung eines IT-Sicherheitskonzeptes? Sie wollen erfahren, wie Sie Datenflüsse protokollieren und kontrollieren?
Bei Fragen zum Datenschutzrecht stehen wir Ihnen sehr gerne mit unseren erfahrenen Anwälten für Datenschutzrecht und zertifizierten Datenschutzbeauftragten zur Verfügung. Unser Team berät Sie fachlich kompetent und zielorientiert. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Rechtsanwälten und Spezialisten der SBS LEGAL Rechtsanwälte? Dann freuen wir uns auf Ihre Kontaktaufnahme.