Landesverwaltungsgericht Wien
11.02.2022
VGW-101/042/791/2020-44
Das Verwaltungsgericht Wien stellt in Angelegenheit der Beschwerde der Frau A. B. gegen den Bescheid des Magistrates der Stadt Wien, Magistratsabteilung 6 - Erhebungs- und Vollstreckungsdienst, vom 13.1.2020, Zl. ..., betreffend Abweisung des Antrages auf Exekution, einen Vorabentscheidungsantrag an den Gerichtshof der Europäischen Union zu nachfolgenden Fragen:
1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend „aussagekräftig“ i.S.d. Artikel 15, Absatz eins, Litera h, der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO) eingestuft zu werden?
Sind – allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses – im Falle eines Profilings vom Verantwortlichen im Rahmen der Beauskunftung der „involvierten Logik“ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere 1) die Bekanntgabe der verarbeiteten Daten des Betroffenen, 2) die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zugrunde gelegenen Algorithmus und 3) die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben ?
Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) zu ermöglichen:
a) Übermittlung aller allenfalls pseudoanonymisierter Informationen,
insbesondere zur Weise der Verarbeitung der Daten des
Betroffenen, die die Überprüfung der Einhaltung der Datenschutz-
Grundverordnung (DS-GVO) erlauben,
b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten
Eingabedaten,
c) die Parameter und Eingangsvariablen, welche bei der
Bewertungsermittlung herangezogen wurden,
d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete
Bewertung,
e) Informationen zum Zustandekommen der Parameter bzw.
Eingangsvariablen,
f) Erklärung, weshalb der Auskunftsberechtigte i.S.d. Artikel 15, Absatz eins, Litera h,
Datenschutz-Grundverordnung (DS-GVO) einem bestimmten
Bewertungsergebnis zugeordnet wurde, und Darstellung, welche
Aussage mit dieser Bewertung verbunden wurde,
g) Aufzählung der Profilkategorien und Erklärung, welche
Bewertungsaussage mit jeder der Profilkategorien verbunden ist
2) Steht das durch Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) mit den durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung i.S.d. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) insofern in einem Zusammenhang, als der Umfang der aufgrund eines Auskunftsbegehrens i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) in die Lage versetzt wird, die ihm durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung i.S.d. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) tatsächlich, profund und erfolgversprechend wahrzunehmen?
3a) Ist Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) dahingehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ im Sinne dieser Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) möglich ist festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?
3b) Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der Datenschutz-Grundverordnung (DS-GVO) geschützte Daten Dritter dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zur Kenntnis gebracht werden müssen (Black-Box)?
Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht i.S.d. Artikel 15, Absatz eins, Datenschutz-Grundverordnung (DS-GVO) und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen ?
3c) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte i.S.d. Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) durch die Schaffung der unter Punkt 3b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?
Sind dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen i.S.d. Artikel 15, Absatz eins, Datenschutz-Grundverordnung (DS-GVO) bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?
4a) Wie ist vorzugehen, wenn die zu erteilende Information i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) auch die Vorgaben eines Geschäftsgeheimnisses i.S.d. Artikel 2, Ziffer eins, der Richtlinie (EU) 2016/943 vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, L 157/1 (Know-How-Richtlinie) erfüllt?
Kann das Spannungsverhältnis zwischen dem durch Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) garantierten Auskunftsrecht und dem durch die Know-How-Richtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis i.S.d. Artikel 2, Ziffer eins, der Know-How-Richtlinie einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses i.S.d. Artikel 2, Ziffer eins, der Know-How-Richtlinie auszugehen ist, und ob die vom Verantwortlichen i.S.d. Artikel 15, Absatz eins, Datenschutz-Grundverordnung (DS-GVO) erteilte Information den Tatsachen entspricht.
4b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte i.S.d. Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) durch die Schaffung der unter Punkt 4a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?
Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) völlig zu ermöglichen:
a) Übermittlung aller allenfalls pseudoanonymisierter Informationen,
insbesondere zur Weise der Verarbeitung der Daten des
Betroffenen, die die Überprüfung der Einhaltung der Datenschutz-
Grundverordnung (DS-GVO) erlauben,
b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten
Eingabedaten,
c) die Parameter und Eingangsvariablen, welche bei der
Bewertungsermittlung herangezogen wurden,
d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete
Bewertung,
e) Informationen zum Zustandekommen der Parameter bzw.
Eingangsvariablen,
f) Erklärung, weshalb der Auskunftsberechtigte i.S.d. Artikel 15, Absatz eins, Litera h,
Datenschutz-Grundverordnung (DS-GVO) einem bestimmten
Bewertungsergebnis zugeordnet wurde, und Darstellung, welche
Aussage mit dieser Bewertung verbunden wurde,
g) Aufzählung der Profilkathegorien und Erklärung, welche
Bewertungsaussage mit jeder der Profilkathegorien verbunden ist
5) Wird durch die Bestimmung des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) in irgendeiner Weise der Umfang der gemäß Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung zu erteilenden Auskunft beschränkt.
Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Artikel 15, Absatz 4, Datenschutz-Grundverordnung beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?
6) Ist die Bestimmung des Paragraph 4, Absatz 6, Datenschutzgesetz, wonach „das Recht auf Auskunft der betroffenen Person gemäß Artikel 15, Datenschutz-Grundverordnung (DS-GVO) gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht (besteht), wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde,“ mit den Vorgaben des Artikel 15, Absatz eins, i.V.m. Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) vereinbar. Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?
Begründung:
1) maßgeblicher Sachverhalt:
Am Verwaltungsgericht Wien ist ein Beschwerdeverfahren anhängig, dem der Antrag von Frau B. auf Exekution des Erkenntnisses des Bundesverwaltungsgerichts vom 23.10.2019, Zl. W256 2217011-1/11E, zugrunde liegt.
In diesem Erkenntnis hat das Bundesverwaltungsgericht festgestellt, dass die C. Ges.m.b.H., ein auf die Erteilung von Bonitätsbeurteilungen spezialisiertes Unternehmen, Frau B. in ihrem Recht auf Auskunft nach der DS-GVO verletzt hat, als die C. Ges.m.b.H. Frau B. keine aussagekräftigen Informationen über die involvierte Logik einer die Daten von Frau B. betreffenden automatisierten Entscheidungsfindung zur Verfügung gestellt hat oder zumindest ausreichend begründet hat, weshalb die C. Ges.m.b.H. diese Auskunft nicht erteilen kann. Zudem wurde der C. Ges.m.b.H. aufgetragen, binnen zweier Wochen bei sonstiger Exekution Frau B. aussagekräftige Informationen über die involvierte Logik der die Daten von Frau B. betreffenden automatisierten Entscheidungsfindung zur Verfügung zu stellen, oder ausreichend zu begründen, weshalb die C. Ges.m.b.H. diese Auskunft nicht erteilen kann.
Dieses Erkenntnis des Bundesverwaltungsgerichts ist nach innerstaatlichem Recht rechtskräftig und vollstreckbar.
Mit diesem Erkenntnis hat das Bundesverwaltungsgericht über eine Beschwerde der C. Ges.m.b.H. gegen eine Entscheidung der (österreichischen) Datenschutzbehörde abgesprochen, mit welcher u.a. die C. Ges.m.b.H. zur Bekanntgabe aussagekräftiger Informationen über die involvierte Logik der die Daten von Frau B. betreffenden automatisierten Entscheidungsfindung zur Frage ihrer Bonität verpflichtet worden ist.
Diesem Verfahren der Datenschutzbehörde lag ein entsprechender Antrag der Frau B. zugrunde. Der Anlass dieses Antrags war, dass Frau B. seitens eines Mobilfunkbetreibers der Abschluss bzw. die Verlängerung eines Mobilfunkvertrags, welcher zu einer monatlichen Zahlung von lediglich 10 Euro geführt hätte, mit der Begründung verweigert wurde, dass diese keine ausreichende (finanzielle) Bonität aufweise. Diese angenommene mangelnde Bonität von Frau B. wurde mit einer durch die C. Ges.m.b.H. im automationsunterstützten Wege erfolgten Bonitätsbeurteilung begründet.
Für das gegenständliche Verfahren von Relevanz ist zudem, dass im Verfahren vor der Datenschutzbehörde wie auch vor dem Bundesverwaltungsgericht die C. Ges.m.b.H. nur wenig aussagekräftige Informationen zu den betreffend Frau B. verarbeiteten Daten und der im automationsunterstützten Wege erfolgten Beurteilungslogik abgegeben hat. Laut diesen Informationen sei aber (angeblich) durch das automationsunterstützte Rating von Frau B. dieser eine besonderes hohe Bonität bescheinigt worden. Diese Angabe steht in einem offenkundigen Widerspruch zu der Folgerung des Mobilfunkbetreibers aus dem tatsächlich ermittelten Rating, sodass mit hoher Wahrscheinlichkeit davon auszugehen ist, dass die von der C. Ges.m.b.H. vor der Datenschutzbehörde wie auch dem Bundesverwaltungsgericht erteilten (i.S.d. Artikel 15, Absatz eins, Litera h, i.V.m. Artikel 22, Absatz 3, DS-GVO nicht ausreichenden) Auskünfte tatsachenwidrig sind.
Ebenso ist für das gegenständliche Verfahren von Relevanz, dass die C. Ges.m.b.H. die Erteilung weitergehender Informationen über die im Rahmen der Verarbeitung der Daten von Frau B. involvierten Logik mit dem Hinweis auf das Vorliegen eines schützenswerten Betriebsgeheimnisses im Hinblick auf den der Verarbeitung zugrunde gelegenen Algorithmus verweigert hat.
Nach den Angaben im Firmenbuch wurde die C. Ges.m.b.H. am 29.9.2021 mit der D. Ges.m.b.H., FN ..., verschmolzen, welche aufgrund der mit der Verschmelzung verbundenen Gesamtrechtsnachfolge nunmehr mitbeteiligte Partei des gegenständlichen Beschwerdeverfahrens ist.
Da die C. Ges.m.b.H. bzw. die D. Ges.m.b.H., FN ..., seit der Erlassung dieses Erkenntnisses keinerlei weitere Information erteilt hat, ist deren Exekutionsantrag jedenfalls auch zulässig.
Dieser Exekutionsantrag von Frau B. wurde von der Exekutionsbehörde, dem Magistrat der Stadt Wien, mit der Begründung abgewiesen, dass die C. Ges.m.b.H. ihrer Informationsverpflichtung bereits ausreichend nachgekommen sei. Diese Feststellung erging trotz des Umstands, dass die C. Ges.m.b.H. nach der Erlassung des obzitierten Erkenntnisses des Bundesverwaltungsgerichts keinerlei weitere Auskunft erteilt hatte. Nach innerstaatlichem Recht hat daher die Exekutionsbehörde eine Befugnis in Anspruch genommen, welche ihr nicht zusteht, zumal die Exekutionsbehörde eine vollstreckbare Gerichts- oder Behördenentscheidung im Exekutionswege durchzusetzen hat, und sie daher nicht befugt ist darüber zu befinden, ob ihres Erachtens das Gericht oder die Behörde zu einer anderen Entscheidung gelangen hätten sollen.
Nach dem österreichischen Recht haben die im Instanzenzug angerufenen Verwaltungsgerichte erster Instanz (von im gegenständlichen Fall nicht bestehenden Ausnahmen abgesehen) im Falle eines zulässigen Rechtsmittels gegen eine Behördenentscheidung nach der Sach- und Rechtslage zum Zeitpunkt der Gerichtsentscheidung entweder zu befinden, dass die Behördenentscheidung korrekt war (diesfalls ist die Beschwerde abzuweisen), oder aber über den Entscheidungsgegenstand inhaltlich selbst zu befinden.
Da die Beschwerde von Frau B. gegen den Bescheid der Exekutionsbehörde zulässig war, und die Exekutionsbehörde offenkundig ihrer Verpflichtung nicht nachgekommen ist, hat das anfragende Gericht daher im gegenständlichen Beschwerdeverfahren laut der österreichischen Rechtslage (Paragraph 28, österr. VwGVG) anstelle der Exekutionsbehörde die Entscheidung zu treffen, zu welcher die Exekutionsbehörde bereits verpflichtet gewesen wäre.
Im gegenständlichen Fall wäre die Exekutionsbehörde zur Erlassung eines mit „Vollstreckungsverfügung“ betitelten Bescheids verpflichtet gewesen.
Mit dieser „Vollstreckungsverfügung“ wäre zu bestimmen gewesen, zu welchen konkreten Handlungen die C. Ges.m.b.H. bzw. nunmehr die D. Ges.m.b.H., FN ..., durch das obangeführte Erkenntnis des Bundesverwaltungsgerichts verpflichtet worden ist.
Im Falle, dass es der Exekutionsbehörde möglich ist, eine solche Feststellung zu treffen, wäre die Erbringung dieser Handlungen der C. Ges.m.b.H. bzw. nunmehr der D. Ges.m.b.H., FN ..., vorzuschreiben gewesen.
Da die von der C. Ges.m.b.H. bzw. nunmehr von der D. Ges.m.b.H., FN ..., geschuldeten Handlungen eine (im Sinne des Paragraph 5, Absatz eins, österr. Verwaltungsvollstreckungsgesetz) nicht vertretbare, daher nicht durch eine andere Person als durch die C. Ges.m.b.H. bzw. nunmehr die D. Ges.m.b.H., FN ..., erbringbare Handlungen sind, wäre für den Fall der Nichtsetzung dieser geschuldeten Handlungen eine täglich fällige Zwangsstrafe, welche bis zur Erfüllung der Verpflichtung zu leisten ist, festzusetzen gewesen.
Diese Festsetzungen sind daher nun vom anfragenden Gericht zu treffen.
In dieser „Vollstreckungsverfügung“ hat daher das anfragende Gericht zu aller erst zu ermitteln, zu welchen konkreten Handlungen die C. Ges.m.b.H. durch das obangeführte Erkenntnis des Bundesverwaltungsgerichts verpflichtet worden ist.
Bei dieser „Ermittlung“ stellten sich zu allererst zwei Vorfragen.
Erstens ergab sich die zwingend zu klärende Vorfrage, ob es überhaupt möglich ist zu bestimmen, zu welcher konkreten Handlung die C. Ges.m.b.H. bzw. nunmehr die D. Ges.m.b.H., FN ..., durch das obangeführte Erkenntnis des Bundesverwaltungsgerichts verpflichtet worden ist.
Zweitens erschien es unbedingt geboten zu ermitteln, wie nachfolgende Wendungen der DS-GVO auszulegen sind:
a) die Wendung „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ im Artikel 15, Absatz eins, Litera h, DS-GVO,
b) die Wendung „die Rechte und Freiheiten anderer Personen“ im Art. Artikel 15, Absatz 4, DS-GVO,
c) die Wendung „In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.“ im Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO), und
d) die Wendungen „nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann,“ und „Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.“ im Erwägungsgrund 63 der Datenschutz-Grundverordnung (DS-GVO).
Zur ersten dieser beiden zu ermittelnden Vorfragen ist zu bemerken, dass nach österreichischem Recht eine „Vollstreckungsverfügung“ einer Exekutionsbehörde so genau bestimmt zu sein hat, dass kein Zweifel bestehen bleibt, welche konkrete Handlung gesetzt werden muss. Die geschuldete Handlung ist daher so konkret zu spezifizieren, dass klar ist, welche konkrete Handlung geschuldet wird, und somit auch klar ist, ob bzw. bejahendenfalls wann diese geschuldete Handlung erbracht worden ist.
Das Erkenntnis des Bundesverwaltungsgerichts, welches die von der C. Ges.m.b.H. bzw. nunmehr von der D. Ges.m.b.H., FN ..., nunmehr im Exekutionsverfahren durchzusetzende Handlungsverpflichtung bezeichnet wurde, ist nun aber nicht so klar und konkret, dass für einen Nichtexperten klar ist, welche konkrete Handlung geschuldet wird. Aus der Verpflichtungserklärung dieses Erkenntnisses ergibt sich daher noch nicht in klarer Weise, welche konkreten Handlungen von der C. Ges.m.b.H. bzw. nunmehr von der D. Ges.m.b.H., FN ..., zu setzen sind, um der in diesem Erkenntnis festgesetzten Handlungsverpflichtung nachzukommen.
Nach dem österreichischen Recht schadet eine solche (scheinbar unkonkretisierte) Handlungsverpflichtung dann nicht, wenn die jeweiligen Fachkreise in der Lage sind, zu bestimmen, welche konkrete Handlung mit dieser (scheinbar unkonkretisierten) vorgeschriebenen Handlungsverpflichtung vorgeschrieben wurde.
Da diese Konkretisierung im gegenständlichen Fall keine Rechtsfrage, sondern eine nur von einem fachkundigen Experten zu klärende Frage war, hat das anfragende Gericht den für die gegenständliche Problemstellung in höchstem Maße kompetenten Universitätsprofessor Dr. E. von der F. zum Gutachter bestellt.
Dieser hat mit am 3.2.2022 eingelangtem Gutachten festgestellt, dass die vom Bundesverwaltungsgericht in seinem Erkenntnis vorgeschriebene Handlungsverpflichtung der C. Ges.m.b.H. bzw. nunmehr der D. Ges.m.b.H., FN ..., ausreichend klar und demnach auch in einer exekutionsfähigen Weise konkretisierbar ist.
Laut diesem Gutachten ist diese der C. Ges.m.b.H. bzw. nunmehr der D. Ges.m.b.H., FN ..., vorgeschriebene Handlungspflicht aber nur in dem Fall in einer durchsetzungsfähigen Weise konkretisierbar und ist nur in dem Fall die Entsprechung der vorgeschriebenen Handlungspflicht durch die Vollstreckungsorgane (und die Exekutionsantragsstellerin) überprüfbar, wenn die C. Ges.m.b.H. bzw. nunmehr die D. Ges.m.b.H., FN ..., zusätzlich zu den konkret verarbeiteten Daten auch die detaillierte Rechenvorschrift bekannt gibt, die die dem Rating zugrunde gelegenen konkreten Rechenvorgang nachvollziehbar macht. Eine solche Nachvollziehbarmachung ist laut dem Gutachten im konkreten Fall zudem nur dann gegeben, wenn der Teil des von Fa. C. verwendeten Algorithmus bekannt gegeben wird, der konkret bei der Errechnung dieses Ratings zum Einsatz gekommen ist. Diese Rechenvorschrift ist in Form einer einfachen mathematischen Formel bekanntzugeben, mit der im gegenständlichen Fall das Rating errechnet wurde. Diese Formel muss mindestens alle für die Berechnung verwendeten Daten verwenden.
Um den wahren wie auch den möglichen Einfluss jedes Faktors zu verstehen, muss für jede Information, die in die Berechnung einfließt, die Valuierungsfunktion auszugsweise dokumentiert werden. Dabei ist als Valuierungsfunktion diejenige Funktion gemeint, welche jeweils aus den diskreten, jeweils einen Faktor bildenden Informationen (Geburtstag, Wohnadresse, Geschlecht, etc) durch die Zuordnung eines numerischen Werts erzeugt wird. Dies hat auf die Weise zu erfolgen, dass zusätzlich zum Ergebnis (daher der Bekanntgabe des jedem Faktor konkret zugeordneten numerischen Werts) anhand der vorliegenden Informationen auch der Wertebereich und die Wertenachbarschaft vom jeweiligen Faktor, daher den nächstfolgenden Wertebereich samt Bewertungszuordnung bzw. nächstvorangegangen Wertebereich samt Bewertungszuordnung (daher ab welcher konkreter Information zum konkreten Datenbereich sich der dieser Information zugemessene Wert in konkretisierter Weise entsprechend erhöht bzw. erniedrigt) angeführt werden. Mit Wertebereich eines Wertes sind die Minimal- und Maximalausprägung der einem jeweiligen Faktor zumessenbare Werte gemeint. Mit Wertenachbarschaft sind jene numerischen Werte im Wertebereich gemeint, die für benachbarte Ausprägungen einer Information erstmals zu unterschiedlichen Valuierungen (Zuordnungen eines anderen numerischen Werts) führen.
Die gesamte, für die Beurteilung von Frau B. bekannt gegebene Formel muss, wenn man sowohl die Valuierungen (Zuordnungen der konkreten numerischen Werte zu den jeweiligen Faktoren) der Daten einsetzt, die laut der C. Ges.m.b.H. von Frau B. gespeichert waren, sowie eventuell darüber hinausgehende Werte, die nicht auf gespeicherten Daten beruhen, jedenfalls das (numerische) Ergebnis liefern, das auch in der gegenständlichen numerischen Bewertung von Frau B. ermittelt worden war, und muss dieser numerische Bewertungswert zugleich auch die aus diesem Ergebnis im Hinblick auf Frau B. getroffene Schlussfolgerung zu ihrer Person als nachvollziehbar erscheinen lassen.
Nur mittels einer solchen Darstellung kann die automatisierte Entscheidungsfindung zu Frau B. im konkreten Fall nachvollzogen werden.
Maßgeblich für die Beurteilung der Richtigkeit der bekanntgegebenen verarbeiteten Daten und der Formel, durch welche diese verarbeitet wurden, ist daher die Kenntnis insbesondere nachfolgender Minimalinformationen:
1. konkrete herangezogene Faktoren (daher Angabe der Informationen zu Frau B., welche im Rahmen einer Faktorbildung verarbeitet wurden),
2. die mathematische Formel, in die sämtliche für die Berechnung des gegenständlichen Ratings relevanten Informationen in Form von Zahlenwerten eingesetzt werden können, sodass die Formel dann das gegenständliche Rating zum Ergebnis hat,
3. konkreter Wert, welcher jeweils zu jedem der Faktoren Frau B. zugeordnet wurde
4. Bekanntgabe der Intervalle, innerhalb welcher unterschiedlichen Daten zum selben Faktor derselbe Wert beigemessen wird (Intervall-Bewertung bzw. Diskrete Bewertung bzw. Index/Katasterbewertung).
In diesem Zusammenhang ist mit Intervall-Bewertung gemeint, dass ein zusammenhängender Wertebereich (wie beispielsweise Alter, Gewicht, etc.) so in einen Faktor übergeführt wird, dass jeweils Intervalle von Datenwerten auf denselben Faktorwert abgebildet wird; mit diskreter Bewertung ist gemeint, dass ein numerischer Datenwert mittels einer Formel in den Faktorwert überführt wird; mit Index/Katasterbewertung ist gemeint, dass die Datenwerte mittels Nachschlagens in einer Tabelle, eines Katasters oder einer ähnlichen Datenstruktur in den Faktorwert übergeführt werden.
Demnach ist laut in diesem Gutachten in der Vollstreckungsverfügung als Erstes insbesondere Folgendes vorzuschreiben:
„1.1 Es ist eine mathematische Formel anzugeben, in die sämtliche für die Berechnung des gegenständlichen Ratings relevanten Informationen in Form von Zahlenwerten eingesetzt werden können, sodass die Formel dann das gegenständliche Rating zum Ergebnis hat. Die Formel muss mindestens alle in der ursprünglichen Auskunft angegebenen Informationen zur Berechnung des Wertes nutzen. Sämtliche in der Formel verwendeten Werte sind nachvollziehbar zu erklären, insbesondere solche, die nicht direkt aus den über Fr. B. gespeicherten Informationen abgeleitet sind.
1.2 Es sind die Valuierungsfunktionen aller in dieser Formel verwendeten Werte in der in Punkt 1 angegebenen Weise, nach dem Vorbild der im Anhang dieses Gutachten inkludierten Formulare (Vorlagen zur Dokumentation der Valuierungsfunktionen) zu dokumentieren.
(…)
Um die Richtigkeit der vorgelegten auszugsweisen Dokumentation der Valuierungsfunktionen zu belegen, sind die vollständigen Valuierungsfunktionen in geeigneter Form zu beschreiben.
Für Intervall-Bewertungen und diskrete Bewertungen sind das jeweils komplette Tabellen, die den Zusammenhang zwischen Information und Valuierung lückenlos dokumentieren.
Kataster- oder Indexfunktionen sind in ähnlicher Form vorzulegen, beispielsweise als ein Plan mit erkennbaren Werten.“
Gemäß dem vorgelegten Gutachten ermöglichen erst diese in den Punkten 1.1 und 1.2. formulierten Verpflichtungen, dass die Auskunftsberechtigte i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) des gegenständlichen Verfahrens, Frau B., in die Lage versetzt wird, das zu ihrer Person erfolgte Profiling nachzuvollziehen, sodass diese (erst) durch diese Informationen in die Lage versetzt wird, die ihr durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte, ihren eigenen Standpunkt darzulegen und die (auf einer automatisierten Verarbeitung beruhende) Entscheidung anzufechten, wahrzunehmen.
Um aber sodann auch die Überprüfbarkeit dieser bekannt gegebenen Mindestinformationen auf deren Richtigkeit zu gewährleisten, sind zudem nachfolgende weitere Informationen von der C. Ges.m.b.H. bzw. nunmehr der D. Ges.m.b.H., FN ..., weitere Informationen bekannt zu geben:
„Vom gegenständlichen Datenverarbeiter muss eine Liste aller Auskünften zu Personen-Scorings erstellt und vorgelegt werden, die im Zeitraum von sechs Monaten vor und sechs Monaten nach der Berechnung des Scorings von Fr. B. erteilt wurden, und die mit derselben Rechenvorschrift erstellt wurden.
Diese Liste muss mindestens 100 Personen-Scorings umfassen. Sollte diese Liste weniger als 100 Personen-Scorings umfassen, soll die Liste um Fälle vor und nach dem Zeitraum von sechs Monaten erweitert werden, bis sie 100 Fälle umfasst. Als Nachweis und zur Ermöglichung der Überprüfung der Richtigkeit dieser Fälle ist ebenfalls von Fa. C. anzugeben, in wessen Auftrag dieses Scoring errechnet bzw. wann und an wen diese Auskünfte jeweils erteilt wurden.
Diese 100 Fälle sind unter Anwendung der in Punkt 1 beschrieben Vorgehensweise vollständig zu dokumentieren. Alternativ kann die Liste dem Gericht vorgelegt werden, mit dem Ansuchen, dass das Gericht eine geringere Zahl von Fällen, mindestens aber 25, aussuchen soll, die nach der in Punkt 1 beschriebenen Vorgehensweise zu dokumentieren sind.
Alle Ergebnisse der Berechnung des Scorings dieser Vergleichsfälle, die von dem abweichen, was auf Grund der in Punkt 1 dokumentierten Rechenvorschrift zu erwarten wäre, sind von der Fa. C. ausführlich zu begründen.
Ergeben sich aus dieser Dokumentation Zweifel, dass die in Punkt 1 vom Verarbeiter beschriebene (daher behauptete) Rechenvorschrift (daher Formel) nicht zutrifft, so muss einem Sachverständigen ein qualifizierter Zugang zu den informationsverarbeitenden Systemen gegeben werden, mittels derer die dokumentierten Personen-Scorings sowie das Scoring zu Fr. B. im konkreten Fall errechnet wurden.“
Bei Zugrundelegung dieses Gutachtens sind – bei Zugrundelegung des in diesem Vorlagenantrag vertretenen Auslegungsergebnisses zur Datenschutz-Grundverordnung (DS-GVO) in der vom antragstellenden Gericht zu formulierenden Vollstreckungsverfügung daher auch diese vom Sachverständigen als erforderlich eingestuften weiteren Informationspflichten vorzuschreiben.
Entsprechend dieses Universitätsgutachtens hat das anfragende Gericht demnach daher davon auszugehen, dass die Auskunftsberechtigte i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) des gegenständlichen Verfahrens, Frau B., nur dann in die Lage versetzt wird, die Richtigkeit der ihr aufgrund ihres Auskunftsbegehrens i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) erteilten Informationen zu überprüfen, wenn von der angefragten Verarbeiterin C. Ges.m.b.H. bzw. nunmehr der D. Ges.m.b.H., FN ..., zudem auch diese vergleichsweise umfangreichen und detailierten Informationen erteilt werden.
2) zentrale Rechtsbestimmungen:
Artikel 7, der Charta der Grundrechte der Europäischen Union (GRC) samt Überschrift lautet wie folgt:
„Achtung des Privat- und Familienlebens:
„Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.“
Artikel 8, der Charta der Grundrechte der Europäischen Union (GRC) samt Überschrift lautet wie folgt:
„Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“
Artikel 52, der Charta der Grundrechte der Europäischen Union (GRC) samt Überschrift lautet wie folgt:
„Tragweite und Auslegung der Rechte und Grundsätze
(1) Jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten muss gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.
[…]“
Artikel 2, Absatz eins und 2 der Datenschutz-Grundverordnung (DS-GVO) samt Überschrift lautet:
„Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel römisch fünf Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(…).“
Artikel 4, der Datenschutz-Grundverordnung (DS-GVO) samt Überschrift lautet:
„Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck
(…)
„4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;“
Artikel 15, der Datenschutz-Grundverordnung (DS-GVO) samt Überschrift lautet:
„Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
(…)
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen –aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(…)
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“
Artikel 22, der Datenschutz-Grundverordnung (DS-GVO) samt Überschrift lautet:
„Automatisierte Entscheidung im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.“
Artikel 23, der Datenschutz-Grundverordnung (DS-GVO) samt Überschrift lautet:
„Beschränkungen
(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) die nationale Sicherheit;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;
i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
j) die Durchsetzung zivilrechtlicher Ansprüche.
(2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
b) die Kategorien personenbezogener Daten,
c) den Umfang der vorgenommenen Beschränkungen,
d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und
h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.“
Der Erwägungsgrund 4 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.“
Der Erwägungsgrund 16 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.“
Der Erwägungsgrund 63 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“
Der Erwägungsgrund 71 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Die betroffene Person sollte das Recht haben, keiner Entscheidung — was eine Maßnahme einschließen kann — zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das „Profiling“, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen.
Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.“
Der Erwägungsgrund 72 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Das Profiling unterliegt den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener Daten, wie etwa die Rechtsgrundlage für die Verarbeitung oder die Datenschutzgrundsätze. Der durch diese Verordnung eingerichtete Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) sollte, diesbezüglich Leitlinien herausgeben können.“
Der Erwägungsgrund 73 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Im Recht der Union oder der Mitgliedstaaten können Beschränkungen hinsichtlich bestimmter Grundsätze und hinsichtlich des Rechts auf Unterrichtung, Auskunft zu und Berichtigung oder Löschung personenbezogener Daten, des Rechts auf Datenübertragbarkeit und Widerspruch, Entscheidungen, die auf der Erstellung von Profilen beruhen, sowie Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, die Verhütung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung — was auch den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit einschließt — oder die Verhütung, Aufdeckung und Verfolgung von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen, das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses sowie die Weiterverarbeitung von archivierten personenbezogenen Daten zur Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen gehört, und zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherheit, öffentliche Gesundheit und humanitäre Hilfe, zu schützen. Diese Beschränkungen sollten mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.“
Der Erwägungsgrund 75 der Datenschutz-Grundverordnung (DS-GVO) lautet:
„Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.
Paragraph 4, Datenschutzgesetz lautet wie folgt:
„(1) Die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 Sitzung 1, (im Folgenden: DSGVO) und dieses Bundesgesetzes gelten für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, soweit nicht die spezifischeren Bestimmungen des 3. Hauptstücks dieses Bundesgesetzes vorgehen.
(…)
(6) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15, DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.“
Der Erwägungsgrund 10 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„ | Es ist angezeigt, auf Unionsebene Vorschriften zur Annäherung der Rechtsvorschriften der Mitgliedstaaten vorzusehen, damit im gesamten Binnenmarkt ein ausreichender und kohärenter zivilrechtlicher Schutz für den Fall des rechtswidrigen Erwerbs oder der rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses besteht. Diese Regeln sollten die Mitgliedstaaten nicht daran hindern, einen weitergehenden Schutz vor rechtswidrigem Erwerb oder vor rechtswidriger Nutzung oder Offenlegung von Geschäftsgeheimnissen vorzuschreiben, sofern die in dieser Richtlinie ausdrücklich festgelegten Regelungen zum Schutz der Interessen anderer Parteien eingehalten werden. |
Der Erwägungsgrund 11 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„ | Diese Richtlinie sollte die Anwendung unionsweiter oder nationaler Rechtsvorschriften, nach denen Informationen, darunter Geschäftsgeheimnisse, gegenüber der Öffentlichkeit oder staatlichen Stellen offengelegt werden müssen, unberührt lassen. Ebenso sollte sie die Anwendung der Rechtsvorschriften unberührt lassen, nach denen es staatlichen Stellen gestattet ist, zur Erledigung ihrer Aufgaben Informationen zu erheben, oder der Rechtsvorschriften, nach denen diese staatlichen Stellen einschlägige Informationen an die Öffentlichkeit weitergeben dürfen oder müssen. Dazu gehören insbesondere Rechtsvorschriften über die Offenlegung geschäftsbezogener Informationen durch Organe und Einrichtungen der Union oder nationale Behörden, über die diese gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (4), der Verordnung (EG) Nr. 1367/2006 des Europäischen Parlaments und des Rates (5) sowie der Richtlinie 2003/4/EG des Europäischen Parlaments und des Rates (6) oder gemäß anderen Bestimmungen über den Zugang der Öffentlichkeit zu Dokumenten oder über Transparenzverpflichtungen der nationalen Behörden verfügen.“ |
Der Erwägungsgrund 18 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
|
|
„ | Ferner sollten Erwerb, Nutzung oder Offenlegung von Geschäftsgeheimnissen immer dann, wenn sie rechtlich vorgeschrieben oder zulässig sind, als rechtmäßig im Sinne dieser Richtlinie gelten. Das betrifft insbesondere den Erwerb und die Offenlegung von Geschäftsgeheimnissen im Rahmen der Inanspruchnahme des Rechts der Arbeitnehmervertreter auf Information, Anhörung und Mitwirkung gemäß dem Unionsrecht und dem Recht oder den Gepflogenheiten der Mitgliedstaaten sowie im Rahmen der kollektiven Vertretung der Interessen der Arbeitnehmer und der Arbeitgeber einschließlich der Mitbestimmung und den Erwerb oder die Offenlegung von Geschäftsgeheimnissen im Rahmen von Pflichtprüfungen, die gemäß dem Unionsrecht oder dem nationalen Recht durchgeführt werden. Allerdings sollte diese Einstufung des Erwerbs eines Geschäftsgeheimnisses als rechtmäßig die Geheimhaltungspflicht in Bezug auf das Geschäftsgeheimnis oder jegliche Beschränkung der Nutzung des Geschäftsgeheimnisses, die Rechtsvorschriften der Union oder der Mitgliedstaaten dem Empfänger der Information auferlegen, unberührt lassen. Insbesondere sollte diese Richtlinie die Behörden nicht von ihrer Pflicht zur Geheimhaltung von Informationen, die ihnen von Inhabern von Geschäftsgeheimnissen übermittelt werden, entbinden, und zwar unabhängig davon, ob diese Pflichten in Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt sind. Diese Geheimhaltungspflicht umfasst unter anderem die Pflichten im Zusammenhang mit Informationen, die öffentlichen Auftraggebern im Rahmen der Vergabe öffentlicher Aufträge übermittelt werden, wie sie beispielsweise in der Richtlinie 2014/23/EU des Europäischen Parlaments und des Rates, der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates und der Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates festgelegt sind. |
Der Erwägungsgrund 24 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„ | Angesichts der Möglichkeit, dass die Vertraulichkeit eines Geschäftsgeheimnisses im Verlauf von Gerichtsverfahren nicht gewahrt bleibt, schrecken die rechtmäßigen Inhaber von Geschäftsgeheimnissen häufig davor zurück, zum Schutz ihrer Geschäftsgeheimnisse ein Gerichtsverfahren einzuleiten; dies stellt die Wirksamkeit der vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe infrage. Daher bedarf es — vorbehaltlich geeigneter Schutzmaßnahmen, die das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren garantieren — spezifischer Anforderungen, die darauf abstellen, die Vertraulichkeit eines Geschäftsgeheimnisses, das Gegenstand eines Gerichtsverfahrens ist, im Verlauf des Verfahrens zu wahren. Der entsprechende Schutz sollte auch nach Abschluss des Gerichtsverfahrens und so lange weiterbestehen, wie die Informationen, die Gegenstand des Geschäftsgeheimnisses sind, nicht öffentlich verfügbar sind. |
Der Erwägungsgrund 25 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„ | Diese Anforderungen sollten zumindest die Möglichkeit vorsehen, den zum Zugang zu Beweismitteln oder Anhörungen berechtigten Personenkreis zu beschränken — wobei zu bedenken ist, dass alle diese Personen den Geheimhaltungsvorschriften dieser Richtlinie unterliegen sollten — und ausschließlich die nicht vertraulichen Teile von Gerichtsentscheidungen zu veröffentlichen. In Anbetracht der Tatsache, dass Gerichtsverfahren unter anderem hauptsächlich dazu dienen, die Art der Informationen zu bewerten, die Gegenstand eines Rechtsstreits sind, muss dabei sichergestellt werden, dass die Geschäftsgeheimnisse wirksam geschützt werden und gleichzeitig das Recht der Verfahrensparteien auf einen wirksamen Rechtsbehelf und ein faires Verfahren gewahrt bleibt. Der beschränkte Personenkreis sollte daher aus mindestens einer natürlichen Person jeder Partei sowie den jeweiligen Rechtsanwälten der Parteien und gegebenenfalls sonstigen Vertretern bestehen, die nach dem nationalen Recht ausreichend qualifiziert sind, um eine Partei in einem unter diese Richtlinie fallenden Gerichtsverfahren zu verteidigen, zu vertreten oder ihre Interessen wahrzunehmen; all diese Personen sollten Zugang zu den betreffenden Beweismitteln oder Anhörungen haben. Ist eine der Parteien eine juristische Person, so sollte sie eine oder mehrere natürliche Personen, die diesem Personenkreis angehören sollen, vorschlagen können, damit sichergestellt ist, dass sie angemessen vertreten wird, wobei allerdings durch eine ausreichende gerichtliche Kontrolle verhindert werden muss, dass das Ziel, den Zugang zu Beweismitteln und Anhörungen zu beschränken, unterlaufen wird. Diese Schutzklauseln sollten nicht so verstanden werden, dass sich die Parteien im Verlauf des Gerichtsverfahrens von einem Rechtsanwalt oder einem anderen Vertreter vertreten lassen müssen, wenn das nach nationalem Recht nicht erforderlich ist. Auch sollten sie nicht so verstanden werden, dass die Zuständigkeit der Gerichte, gemäß den geltenden Vorschriften und Gepflogenheiten des betreffenden Mitgliedstaats zu entscheiden, ob und in welchem Umfang die zuständigen Gerichtsbediensteten zur Erfüllung ihrer Aufgaben ebenfalls uneingeschränkt Zugang zu den Beweismitteln und Anhörungen erhalten, beschnitten wird.“ |
Der Erwägungsgrund 34 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„ | Diese Richtlinie wahrt die Grundrechte und die Grundsätze, die insbesondere in der Charta anerkannt wurden, namentlich das Recht auf Achtung des Privat- und Familienlebens, das Recht auf Schutz personenbezogener Daten, das Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, die Berufsfreiheit und das Recht zu arbeiten, die unternehmerische Freiheit, das Eigentumsrecht, das Recht auf eine gute Verwaltung, und insbesondere das Recht auf Zugang zu Dokumenten bei gleichzeitiger Wahrung des Geschäftsgeheimnisses, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und die Verteidigungsrechte.“ |
Der Erwägungsgrund 35 der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„ | Wichtig ist, dass das Recht auf Achtung des Privat- und Familienlebens und den Schutz der personenbezogenen Daten aller Personen gewahrt bleibt, deren personenbezogene Daten vom Inhaber des Geschäftsgeheimnisses bei Maßnahmen zum Schutz eines Geschäftsgeheimnisses eventuell verarbeitet werden oder die an einem Rechtsstreit über den rechtswidrigen Erwerb bzw. die rechtswidrige Nutzung oder Offenlegung von Geschäftsgeheimnissen gemäß dieser Richtlinie beteiligt sind und deren personenbezogene Daten verarbeitet werden. Für die im Rahmen dieser Richtlinie unter Aufsicht der zuständigen Behörden der Mitgliedstaaten und insbesondere der von ihnen bezeichneten unabhängigen öffentlichen Stellen durchgeführte Verarbeitung personenbezogener Daten gilt die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. Daher sollte diese Richtlinie die in der Richtlinie 95/46/EG niedergelegten Rechte und Pflichten — insbesondere das Recht der betroffenen Person auf Zugang zu ihren personenbezogenen Daten, die verarbeitet werden, sowie auf Berichtigung, Löschung oder Sperrung unvollständiger oder unrichtiger Daten sowie gegebenenfalls die Pflicht zur Verarbeitung sensibler Daten gemäß Artikel 8 Absatz 5 der Richtlinie 95/46/EG — nicht berühren.“ |
Artikel 1 samt Überschrift der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„Gegenstand und Anwendungsbereich
(1) Diese Richtlinie legt Vorschriften für den Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, rechtswidriger Nutzung und rechtswidriger Offenlegung fest.
Die Mitgliedstaaten können unter Beachtung der Bestimmungen des AEUV einen weitergehenden als den durch diese Richtlinie vorgeschriebenen Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, rechtswidriger Nutzung und rechtswidriger Offenlegung vorsehen, sofern gewährleistet ist, dass Artikel 3, Artikel 5, Artikel 6, Artikel 7 Absatz 1, Artikel 8, Artikel 9 Absatz 1 Unterabsatz 2, Artikel 9 Absätze 3 und 4, Artikel 10 Absatz 2, Artikel 11, Artikel 13 und Artikel 15 Absatz 3 eingehalten werden.
(2) Diese Richtlinie berührt nicht
(…)
b) | die Anwendung von Vorschriften der Union oder der Mitgliedstaaten, nach denen die Inhaber von Geschäftsgeheimnissen verpflichtet sind, aus Gründen des öffentlichen Interesses Informationen, auch Geschäftsgeheimnisse, gegenüber der Öffentlichkeit oder den Verwaltungsbehörden oder den Gerichten offenzulegen, damit diese ihre Aufgaben wahrnehmen können, |
(…)“
Artikel 2 samt Überschrift der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„Begriffsbestimmungen
Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck
1. | „Geschäftsgeheimnis“ Informationen, die alle nachstehenden Kriterien erfüllen:
| ||||||||
2. | „Inhaber eines Geschäftsgeheimnisses“ jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis besitzt; | ||||||||
(…)“
Artikel 9 samt Überschrift der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„Wahrung der Vertraulichkeit von Geschäftsgeheimnissen im Verlauf von Gerichtsverfahren
(1) Die Mitgliedstaaten stellen sicher, dass die Parteien, ihre Rechtsanwälte oder sonstigen Vertreter, Gerichtsbedienstete, Zeugen, Sachverständige und alle sonstigen Personen, die an einem Gerichtsverfahren beteiligt sind, das den rechtswidrigen Erwerb oder die rechtswidrige Nutzung oder Offenlegung eines Geschäftsgeheimnisses zum Gegenstand hat, oder die Zugang zu Dokumenten haben, die Teil eines solchen Gerichtsverfahrens sind, nicht befugt sind, ein Geschäftsgeheimnis oder ein angebliches Geschäftsgeheimnis zu nutzen oder offenzulegen, das von den zuständigen Gerichten aufgrund eines ordnungsgemäß begründeten Antrags einer interessierten Partei als vertraulich eingestuft worden ist und von dem sie aufgrund der Teilnahme an dem Verfahren oder des Zugangs zu den Dokumenten Kenntnis erlangt haben. Die Mitgliedstaaten können ferner die zuständigen Gerichte ermächtigen, solche Maßnahmen von Amts wegen zu ergreifen.
Die in Unterabsatz 1 genannte Verpflichtung besteht auch nach Abschluss des Gerichtsverfahrens weiter fort. Die Verpflichtung endet jedoch, wenn eine der folgenden Situationen eintritt:
a) | Im Rahmen einer rechtskräftigen Entscheidung wird festgestellt, dass das angebliche Geschäftsgeheimnis nicht die in Artikel 2 Nummer 1 genannten Kriterien erfüllt, oder |
b) | im Laufe der Zeit werden die in Frage stehenden Informationen für Personen in den Kreisen, die üblicherweise mit der betreffenden Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich. |
(2) Die Mitgliedstaaten stellen des Weiteren sicher, dass die zuständigen Gerichte auf ordnungsgemäß begründeten Antrag einer Partei spezifische Maßnahmen treffen können, die erforderlich sind, um die Vertraulichkeit eines Geschäftsgeheimnisses oder eines angeblichen Geschäftsgeheimnisses zu wahren, das im Laufe eines Gerichtsverfahrens im Zusammenhang mit dem rechtswidrigen Erwerb oder der rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses genutzt oder auf das in diesem Rahmen Bezug genommen wird. Die Mitgliedstaaten können ferner die zuständigen Gerichte ermächtigen, solche Maßnahmen von Amts wegen zu ergreifen.
Die in Unterabsatz 1 genannten Maßnahmen sehen mindestens die Möglichkeit vor,
a) | den Zugang zu von den Parteien oder Dritten vorgelegten Dokumenten, die Geschäftsgeheimnisse oder angebliche Geschäftsgeheimnisse enthalten, ganz oder teilweise auf eine begrenzte Anzahl von Personen zu beschränken; |
b) | den Zugang zu Anhörungen, bei denen unter Umständen Geschäftsgeheimnisse oder angebliche Geschäftsgeheimnisse offengelegt werden, und zu der entsprechenden Aufzeichnung oder Mitschrift dieser Anhörungen auf eine begrenzte Anzahl von Personen zu beschränken; |
c) | Personen, die nicht der begrenzten Anzahl von Personen nach den Buchstaben a und b angehören, eine nicht vertrauliche Fassung einer gerichtlichen Entscheidung bereitzustellen, in der die Geschäftsgeheimnisse enthaltenden Passagen gelöscht oder geschwärzt wurden. |
Die Anzahl der Personen nach Unterabsatz 2 Buchstaben a und b darf nicht größer sein, als zur Wahrung des Rechts der Verfahrensparteien auf einen wirksamen Rechtsbehelf und ein faires Verfahren erforderlich ist, und muss mindestens eine natürliche Person jeder Partei und ihre jeweiligen Rechtsanwälte oder sonstigen Vertreter dieser Gerichtsverfahrensparteien umfassen.
(3) Bei der Entscheidung über die Maßnahmen gemäß Absatz 2 und der Beurteilung ihrer Verhältnismäßigkeit berücksichtigen die zuständigen Gerichte die Notwendigkeit, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren zu gewährleisten, die legitimen Interessen der Parteien und gegebenenfalls etwaiger Dritter sowie den möglichen Schaden, der einer der Parteien und gegebenenfalls etwaigen Dritten durch die Gewährung oder Ablehnung dieser Maßnahmen entstehen kann.
(…)“
Artikel 11 samt Überschrift der Know-How-Richtlinie (EU) 2016/943 vom 8.6.2016, L 157/1, lautet:
„Anwendungsbedingungen und Schutzmaßnahmen
(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Gerichte im Zusammenhang mit den in Artikel 10 genannten Maßnahmen befugt sind, dem Antragsteller aufzuerlegen, alle vernünftigerweise verfügbaren Beweise vorzulegen, um sich mit ausreichender Sicherheit davon überzeugen zu können, dass
a) | tatsächlich ein Geschäftsgeheimnis vorliegt, |
b) | der Antragsteller der Inhaber dieses Geschäftsgeheimnisses ist und |
c) | das Geschäftsgeheimnis auf rechtswidrige Weise erworben wurde, auf rechtswidrige Weise genutzt oder offengelegt wird oder ein rechtswidriger Erwerb oder eine rechtswidrige Nutzung oder Offenlegung des Geschäftsgeheimnisses droht. |
(2) Die Mitgliedstaaten stellen sicher, dass die zuständigen Gerichte bei der Entscheidung über die Gewährung oder Ablehnung eines Antrags und der Beurteilung der Verhältnismäßigkeit den besonderen Umständen des Falls Rechnung tragen müssen, gegebenenfalls einschließlich:
a) | des Wertes und anderer spezifischer Merkmale des Geschäftsgeheimnisses, |
b) | zum Schutz des Geschäftsgeheimnisses getroffene Maßnahmen, |
c) | des Verhaltens des Antragsgegners bei Erwerb, Nutzung oder Offenlegung des Geschäftsgeheimnisses, |
d) | der Folgen der rechtswidrigen Nutzung oder Offenlegung des Geschäftsgeheimnisses, |
e) | der legitimen Interessen der Parteien und Auswirkungen, die die Gewährung oder Ablehnung der Maßnahmen für die Parteien haben könnte, |
f) | der legitimen Interessen Dritter, |
g) | des öffentlichen Interesses und |
h) | des Schutzes der Grundrechte. |
(3) Die Mitgliedstaaten stellen sicher, dass die in Artikel 10 genannten Maßnahmen auf Antrag des Antragsgegners aufgehoben oder auf andere Weise außer Kraft gesetzt werden, wenn
a) | der Antragsteller nicht innerhalb einer angemessenen Frist, die entweder von dem die Maßnahmen anordnenden Gericht festgelegt wird, sofern dies nach dem Recht des Mitgliedstaats zulässig ist, oder, wenn es nicht zu einer solchen Festlegung kommt, 20 Arbeitstage oder 31 Kalendertage, wobei der längere der beiden Zeiträume gilt, nicht überschreitet, bei dem zuständigen Gericht das Verfahren einleitet, das zu einer Sachentscheidung führt oder |
b) | die in Frage stehenden Informationen aus Gründen, die dem Antragsgegner nicht zuzurechnen sind, nicht mehr die in Artikel 2 Nummer 1 genannten Kriterien erfüllen. |
(4) Die Mitgliedstaaten stellen sicher, dass die zuständigen Gerichte die in Artikel 10 genannten Maßnahmen an die Stellung einer angemessenen Kaution oder die Leistung einer entsprechenden Sicherheit durch den Antragsteller knüpfen können, um eine etwaige Entschädigung des Antragsgegners oder einer etwaigen anderen von den Maßnahmen betroffenen Person sicherzustellen.
(5) Werden die in Artikel 10 genannten Maßnahmen auf der Grundlage von Absatz 3 Buchstabe a des vorliegenden Artikels aufgehoben oder werden sie aufgrund einer Handlung oder Unterlassung des Antragstellers hinfällig, oder wird in der Folge festgestellt, dass kein rechtswidriger Erwerb oder keine rechtswidrige Nutzung oder Offenlegung des Geschäftsgeheimnisses vorlag und auch nicht drohte, so sind die zuständigen Gerichte befugt, auf Antrag des Antragsgegners oder eines geschädigten Dritten anzuordnen, dass der Antragsteller dem Antragsgegner oder dem geschädigten Dritten angemessenen Ersatz für den durch diese Maßnahmen entstandenen Schaden zu leisten hat.
Die Mitgliedstaaten können vorsehen, dass der in Unterabsatz 1 genannte Antrag auf Schadensersatz Gegenstand eines getrennten Gerichtsverfahrens ist.“
römisch III. ad Frage 1)
Im gegenständlichen Beschwerdeverfahren hat das antragstellende Gericht konkret zu bestimmen, in welchem Umfang welche Daten von der verurteilten C. Ges.m.b.H. bzw. nunmehr von der D. Ges.m.b.H., FN ..., bekannt zu geben sind.
Das anfragende Gericht geht davon aus, dass durch Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) einem Betroffenen ein Recht auf Erteilung einer eine wahrheitsgemäßen Auskunft eingeräumt wird, sodass es nicht ausreicht, dem Betroffenen eine erfundene, falsche Auskunft zu erteilen.
Wenn nun aber wirklich auch ein Anspruch auf eine wahrheitsgemäße Auskunft gewährt werden soll, ist zu folgern, dass der Betroffene auch in die Lage versetzt werden muss, eine richtige Information einzufordern.
Ein solches Recht auf eine richtige Information kann im Falle eines erfolgten Profilings des Betroffenen von diesem aber nur dann geltend gemacht werden, wenn dem Betroffenen durch diese Bestimmung ein so umfassendes Auskunftsrecht zuerkannt wird, dass dieser (allenfalls unter Beiziehung von Sachverständigen) in die Lage versetzt wird, die Schlüssigkeit der erteilten Bewertung zu überprüfen und zudem auch zu erkennen, ob die im Rahmen der Auskunftserteilung bekannt gegebene innere Logik auch tatsächlich dem zu seiner Person erstellten Profiling zugrunde gelegen ist.
Nach Auslegung des anfragenden Gerichts wird diese Annahme, dass ein Betroffener in die Lage versetzt sein muss, die Nachvollziehbarkeit und Wahrheitsgemäßheit der erteilten Auskunft zu überprüfen, durch die letzten beiden einem Betroffenen durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) gewährten Rechte, nämlich das Recht den eigenen Standpunkt darzulegen, und das Recht, die (auf einer automatisierten Verarbeitung beruhende) Entscheidung anzufechten, erhärtet.
Denn beide Rechte können nur dann wahrgenommene werden, wenn der Betroffene zuvor eine so weitgehende Auskunft zur internen Logik der zu seiner Person erfolgten automatisierten Entscheidungsfindung erlangt hat, dass dieser in die Lage versetzt ist, die Nachvollziehbarkeit und die Wahrheitsgemäßheit der erteilten Auskunft zu überprüfen. Ohne diese Kenntnis ist es schlicht nicht möglich, einer die eigene Person betreffenden automatisierten Entscheidungsfindung dergestalt entgegen zu treten, dass es möglich ist, der dieser Entscheidungsfindung zugrunde gelegenen Logik und den anlässlich dieser Entscheidungsfindung verarbeiteten Daten seinen eigenen Standpunkt gegenüber zu stellen, und in weiterer Folge auch mit Erfolg das Ergebnis dieser automatisierten Entscheidungsfindung zu bekämpfen.
Nach Ansicht des anfragenden Gerichts wird daher durch die beiden obangesprochenen und durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) gewährten Rechte insbesondere zum Ausdruck gebracht, in welchem Umfang jedenfalls eine Auskunft i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zu gewähren ist, und welche Auskunftspflichten einen Verantwortlichen zusätzlich zur bloßen Bekanntgabe der involvierten Logik treffen, um seiner Auskunftspflicht i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) genüge zu tun.
Es spricht daher Vieles dafür, dass insbesondere diese beiden durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) gewährten Rechte nur dann wahrgenommen werden können, wenn der Betroffene i.S.d. Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) zuvor in die Lage versetzt wurde, im Hinblick auf ein Profiling bzw. eine automatisierte Entscheidung seinen eigenen Standpunkt zu vertreten und zudem der Wertung dieses Profilings bzw. dieser automatisierten Entscheidung entgegen zu treten.
Um diese beiden Rechte wahrzunehmen ist es aber erforderlich, dass der Betroffene zuvor eine ausreichende Auskunft über die verarbeiteten Daten und die involvierte Logik der automatisierten Entscheidungsfindung i.S.d. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) erlangt, sodass er diese Weise in der Lage ist, die automatisierte Entscheidungsfindung nachzuvollziehen und auf deren Richtigkeit (daher deren tatsächliche Verwendung anlässlich der zum Betroffenen erfolgten automatisierten Entscheidung i.S.d. Artikel 22, Datenschutz-Grundverordnung [DS-GVO]) zu überprüfen.
Nach dem Verständnis des gegenständlichen Gerichts wird durch Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) insbesondere garantiert, dass der Betroffene i.S.d. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) diese für die Wahrnehmung der obangeführten Rechte aus Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) erforderlichen Informationen erlangt.
Gemäß dem im antragsgegenständlichen Verfahren zugrunde liegenden Universitätsgutachten ist jedenfalls in einer Konstellation wie der gegenständlichen diese erforderliche Nachvollziehbarkeit der automatisierten Entscheidungsfindung nur dann möglich, wenn der Betroffene im Wege seines Auskunftsrechts i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) jedenfalls nachfolgende Informationen erhält:
- erstens die verarbeiteten Daten des Betroffenen, zumal nur auf diese Weise der Betroffene in die Lage versetzt ist zu erkennen, welche seiner Daten in welcher Weise verarbeitet und (allenfalls unsachlich) gewichtet worden sind,
- zweitens die zentralen Teile des Algorithmus der automatisierten Entscheidungsfindung, worunter jedenfalls 2.1) die mathematische Formel in die sämtliche für die Berechnung des gegenständlichen Ratings relevanten Informationen in Form von Zahlenwerten eingesetzt werden können, sodass die Formel dann das gegenständliche Rating zum Ergebnis hat, wobei die Formel mindestens alle in der ursprünglichen Auskunft angegebenen Informationen zur Berechnung des Wertes anführen muss, und 2.2) die nachvollziehbare Erklärung sämtlicher in der Formel verwendeten Werte insbesondere solcher, die nicht direkt aus den über den Betroffenen gespeicherten Informationen abgeleitet sind, zählen, und
- drittens die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung, worunter insbesondere 3.1) die die Angabe und angemessene Beschreibung der Valuierungsfunktionen aller in dieser Formel verwendeten Werte, sowie 3.2) die Darlegung der erforderlichen Informationen zur Darstellung des Zusammenhangs zwischen Information und Valuierung bei Intervall-Bewertungen. Und 3.3) die Darlegung der zur Anwendung gelangten Kataster- oder Indexfunktionen zählen.
Im Übrigen hat aber auch das vom anfragenden Gericht eingeholte Universitätsgutachten ergeben, dass jedenfalls im gegenständlichen Fall nur durch Herausgabe der im Gutachten als offenzulegen dargelegten Informationen, welche insbesondere die obangeführten Mindestinformationen umfassen, es möglich ist, die Schlüssigkeit und Richtigkeit einer von einem Verantwortlichen im Hinblick auf seine Verpflichtung nach Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) erteilten Informationen zu überprüfen.
Insbesondere im Hinblick darauf, dass es – wie in der Frage 3b angesprochen - vertretbar sein kann, dass die bekannt zu gebenden Algorithmusteile und Valuierungsfunktionen in dem Umfang, als diese ein Geschäftsgeheimnis darstellen, nur gegenüber der Behörde oder dem Gericht bekannt gegeben werden müssen, erscheint auch ein allfälliger Einwand einer Beeinträchtigung grundlegender Rechte des Verarbeiters für den Fall der Verpflichtung der Herausgabe dieser erforderlichen umfassenden Daten denkmöglich unberechtigt.
In Anbetracht der offenen Formulierung „aussagekräftig“ im Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) bleibt es völlig ungewiss, in welchem Umfang nun ein Verantwortlicher im Hinblick auf seine Verpflichtung nach Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zur Bekanntgabe von Informationen verpflichtet ist. Für diesen Fall erscheint daher mangels einer näheren gesetzlichen Ausgestaltung im EU-Recht eine Auslegung durch den Gerichtshof als unbedingt geboten.
römisch IV. ad Frage 2)
Nach Ansicht des anfragenden Gerichts spricht vieles dafür, dass die durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) gewährten Rechte auf Darlegung des eigenen Standpunkts und Bekämpfung der Entscheidung effektiv ausgestaltet sind, daher dem Betroffenen auch wirklich in die Lage versetzen sollen, in einer fundierten Weise sein Stellungnahmerecht wahrnehmen zu können, und diesen mit einer hohen Aussicht auf Erfolg in die Lage versetzen sollen, eine unrechtmäßig bzw. fachlich unvertretbar ergangene automatisierte Entscheidung zu bekämpfen.
Wenn diese beiden Rechte nun aber effektiv ausgestaltet sein soll, setzt dies zwingend voraus, dass der Betroffene durch diese beiden Rechtszuerkennungen auch all die Rechte zuerkannt erhalten hat, welche erforderlich sind, um diese Rechte auch wirklich in Anspruch zu nehmen.
Evidentermaßen setzt die Möglichkeit der Inanspruchnahme des Rechts auf Darlegung des eigenen Standpunkts und Bekämpfung der Entscheidung im Hinblick auf eine automatisierte Entscheidung i.S.d. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) voraus, dass dem Betroffenen ausreichend Informationen zur involvierten Logik dieser automatisierten Entscheidungsfindung erteilt worden sein müssen, um sodann in die Lage versetzt zu werden, gegen die Schlüssigkeit und/oder fachliche Richtigkeit dieser Entscheidungsfindung Einwendungen erheben zu können, welche zudem so überzeugend sein können müssen, dass es dem Betroffenen möglich ist, mit diesen Einwendungen auch die seine Person betreffende automatisierte Entscheidung (im Gerichtsweg) erfolgreich zu bekämpfen.
Das antragsstellende Gericht nimmt daher an, dass die Datenschutz-Grundverordnung (DS-GVO) einem von einer automatisierten Entscheidung i.S.d. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) Betroffenen insbesondere aufgrund der Bestimmung des Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) ein umfassendes Auskunftsrecht zuerkennt, durch welches er in die Lage versetzt wird, auf profunde Weise der erfolgten automatisierten Entscheidungsfindung mit einem eigenen Standpunkt entgegen zu treten und diese sodann auch erfolgreich zu bekämpfen.
Nach dem Verständnis des antragstellenden Gerichts kann diese Rechtszuerkennung durch die im Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) erfolgte Ausgestaltung des in dieser Bestimmung zuerkannten Auskunftsrechts erblickt werden.
Ein solches Verständnis hätte für das dem gegenständlichen Antrag zugrunde liegende Verfahren eine weitreichende Konsequenz, zumal diesfalls davon auszugehen wäre, dass das durch das antragstellende Gericht im konkreten Fall zu konkretisierende Recht jedenfalls so umfassend bzw. detailliert sein muss, dass Frau B. dadurch in die Lage versetzt wird, ihre durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) zuerkannten Rechte auf Darlegung des eigenen Standpunkts und auf Bekämpfung des ihre Person betreffenden Profilings auf profude und erfolgversprechende Weise geltend zu machen.
Damit erscheint es unbedingt geboten, Kenntnis vom Umfang und von der inhaltlichen Determination des Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) zu erlangen.
Mangels einer näheren gesetzlichen Ausgestaltung im EU-Recht erscheint diesbezüglich eine Klarstellung durch den Gerichtshof als unbedingt geboten.
römisch fünf. ad Frage 3a)
Im gegenständlichen Fall sprechen deutliche Indizien dafür, dass die bislang von der C. Ges.m.b.H. bzw. nunmehr der D. Ges.m.b.H., FN ..., erteilten Informationen tatsachenwidrig sind. Während nämlich gemäß der an Frau B. erteilten Auskunft dieser eine besonders gute Bonität zukommt, wurde aufgrund des tatsächlichen Profilings von Frau B. dieser faktisch jegliche Bonität, daher sogar die finanzielle Möglichkeit, monatlich den Betrag von zehn Euro zu begleichen, abgesprochen.
Es stellt sich daher aktuell die Frage, welchen Sinn die Garantie des Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) haben soll, wenn durch die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) nicht sichergestellt ist, dass der Betroffene in die Lage versetzt wird, die Richtigkeit dieser bekannt gegebenen Informationen zu überprüfen.
Wollte man ein solches Überprüfungsrecht nicht zwingend als durch Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) mitgewährt einstufen, wäre das Auskunftsrecht des Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) völlig inhaltsleer und überflüssig, zumal dann jeder Verantwortliche rechtmäßig in die Lage versetzt wäre, falsche und unzutreffende Auskünfte zu erteilen.
Doch hat ein solches Verständnis eines zugleich dem Betroffenen eingeräumten Rechts auf Überprüfung der Schlüssigkeit und Richtigkeit der erteilten Auskunft i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) insbesondere im Hinblick auf die Frage, in welchem Umfang und welchen Detaillierungsgrad der Verantwortliche durch Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zur Preisgabe von Informationen verpflichtet ist, weitreichende Auswirkungen.
So hat etwa im gegenständlichen Fall das Universitätsgutachten ergeben und wurde bereits anlässlich der Begründung der ersten Frage dargestellt, dass eine solche Überprüfbarkeit nur dann möglich ist, wenn nicht nur wesentliche Teile des der automatisierten Entscheidungsfindung zugrunde gelegenen Algorithmus, sowie die von der Betroffenen verarbeiteten Daten und die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteten Information und erfolgter Valuierung bekannt gegeben werden müssen, sondern auch zumindest fünfundzwanzig nicht anonymisierte Vergleichsprofilingfälle, welche etwa zum Zeitpunkt des gegenständlichen Profilings erstellt wurden, offen gelegt werden müssen.
Wenn man dieser Auslegung folgt, sind auch diese zusätzlichen Informationsvorgaben in dem, dem gegenständlichen Vorabentscheidungsantrag zugrundeliegenden Gerichtsverfahren durch das antragstellende Gericht vorzuschreiben.
Im Hinblick auf diese Implikation erscheint die Klärung dieser Frage für das gegenständliche Verfahren von zentraler Relevanz.
römisch VI. ad Frage 3b)
Durch diese Frage wird die schon zuvor erwähnte, bei Profilings geradezu typische Konsequenz angesprochen, dass die Richtigkeit einer Auskunft i.S.d. Artikel 15, Absatz eins, Datenschutz-Grundverordnung auch die Offenlegung nicht anonymisierter Vergleichsprofilingfälle zu etwa zum Zeitpunkt des dem Verfahren zugrunde liegenden Profilings erfordert, wodurch offenkundig aber auch die Rechte dieser in den Vergleichsprofilingfällen bewerteten Personen auf Datenschutz betroffen sind.
Es liegt daher nahe, dass im Falle der Bejahung der Frage 3a) auch entsprechende Vorkehrungen zum weitestmöglichen Schutz dieser Personen zu treffen sind.
Mangels einer näheren gesetzlichen Ausgestaltung im EU-Recht ist diesfalls eine Anleitung durch den Gerichtshof unbedingt geboten.
Insbesondere im Hinblick auf die ebenfalls die Lösung eines Spannungsverhältnisses zwischen Geheimhaltungsinteressen zum Gegenstand habende Regelung des Artikel 9, der Know-How-Richtlinie erscheint es angebracht anzufragen, ob dieses Spannungsverhältnis etwa dahingehend aufzulösen ist bzw. aufgelöst werden kann, indem die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob die bekannt gegebenen Daten Dritter den Tatsachen entsprechen ?
römisch VII. ad Frage 3c)
Diese Frage thematisiert den Umstand, dass dem Betroffenen durch die in der Frage 3b) angesprochene mögliche Vorkehrung der Einrichtung einer Black-Box zum Schutz der Rechte Dritter weitgehende Informationen vorenthalten werden, wodurch diesem insbesondere die Wahrnehmung der ihm insbesondere durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte auf Darlegung des eigenen Standpunkts und Bekämpfung der Entscheidung verunmöglicht werden kann.
Auch erscheint eine solche Beschränkung der Wahrnehmung von dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zuerkannten Rechten im Lichte der Vorgaben des Artikel 47, Charta der Grundrechte (GRC) bedenklich, und daher nur in einem sehr engen Rahmen vertretbar.
Nach dem Verständnis des antragstellenden Gerichts vermag insbesondere aus den Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) keine ausreichend klare Lösung dieses Spannungsverhältnisses erschlossen werden. So lässt es die Bestimmung des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) offen, ob durch entsprechende verfahrensrechtliche Vorkehrungen, wie etwa der Einrichtung einer unter der Frage 4a) angesprochen Black-Box, erreicht werden kann (muss), dass die allenfalls gebotene Verweigerung näherer Informationen an den Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) nicht zur Verunmöglichung der Überprüfung einer erteilten Auskunft auf deren Nachvollziehbarkeit und Richtigkeit führt.
Mangels einer näheren gesetzlichen Ausgestaltung im EU-Recht ist diesfalls eine Anleitung durch den Gerichtshof, wie dieser Interessenskonflikt zwischen den Rechten Dritter und den Rechten des Betroffenen angemessen zu lösen ist, unbedingt geboten.
römisch VIII. ad Frage 4a)
Nach der von der herrschenden Lehre geteilten Judikatur des österreichischen Obersten Gerichtshofs handelt es sich bei dem, bei einem Profiling zur Anwendung gebrachten Algorithmus um ein Geschäftsgeheimnis i.S.d. Know-How-Richtlinie.1
Das anfragende Gericht geht davon aus, dass diese Auslegung des Obersten Gerichtshofs in faktisch allen Profilingfällen dem Verständnis der Know-How-Richtlinie entspricht.
Dann ist aber im Falle eines Auskunftsbegehrens i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) die Verweigerung von näheren, insbesondere die Rechte i.S.d. Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) auf Darlegung des eigenen Standpunkts und auf Bekämpfung der Entscheidung unter Hinweis auf das Vorliegen eines Geschäftsgeheimnisses stets Rechtens.
Im Übrigen ist es schon jetzt faktisch der Regelfall, dass unter Hinweis auf das Vorliegen eines Geschäftsgeheimnisses Auskunftsbegehren i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) gar nicht oder maximal rudimentär beantwortet werden.
Im Sinne dieses Regelfalls wurde auch im gegenständlichen Fall von der C. Ges.m.b.H. bzw. nunmehr von der D. Ges.m.b.H., FN ..., die Bekanntgabe von ausreichenden Informationen zur verwendeten Logik mit Verweis auf das Geschäftsgeheimnis verweigert.
Für das gegenständliche Beschwerdeverfahren stellt sich daher ganz konkret die Frage, ob bzw. inwiefern der geradezu typische Fall des Einwands des Vorliegens eines Geschäftsgeheimnisses das durch Artikel 15, Absatz eins, Litera h, i.V.m. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) garantierte Auskunftsrecht des Betroffenen weitestgehend aushebeln bzw. sogar verunmöglichen darf.
Nach dem Verständnis des antragstellenden Gerichts vermag insbesondere aus den Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) keine ausreichend klare Lösung dieses Spannungsverhältnisses erschlossen werden. So lassen es die Bestimmungen des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) wie auch der Erwägungsgrund 63 der Datenschutz-Grundverordnung (DS-GVO) offen, ob durch entsprechende verfahrensrechtliche Vorkehrungen, wie etwa der Einrichtung einer unter der Frage 4a) angesprochen Black-Box, erreicht werden kann (muss), dass die allenfalls gebotene Verweigerung näherer Informationen an den Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) nicht zur Verunmöglichung der Überprüfung einer erteilten Auskunft auf deren Nachvollziehbarkeit und Richtigkeit führt.
Mangels einer näheren gesetzlichen Ausgestaltung im EU-Recht ist diesfalls eine Anleitung durch den Gerichtshof, wie dieser Interessenskonflikt zwischen dem Recht des Betroffenen und dem Recht des Verarbeiters angemessen zu lösen ist, unbedingt geboten.
Insbesondere im Hinblick auf die Regelung des Artikel 9, der Know-How-Richtlinie erscheint es angebracht anzufragen, ob dieses Spannungsverhältnis etwa dahingehend aufzulösen ist bzw. aufgelöst werden kann, indem die als Geschäftsgeheimnis i.S.d. Artikel 2, Ziffer eins, der Know-How-Richtlinie einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses i.S.d. Artikel 2, Ziffer eins, der Know-How-Richtlinie auszugehen ist, und ob die vom Verantwortlichen i.S.d. Artikel 15, Absatz eins, Datenschutz-Grundverordnung (DS-GVO) erteilte Information den Tatsachen entspricht.
römisch IX. ad Frage 4b)
Diese Frage thematisiert den Umstand, dass durch die in der Frage 4a) angesprochene mögliche Vorkehrung der Einrichtung einer Black-Box zum Schutz der Rechte des Verarbeiters dem Betroffenen weitgehende Informationen vorenthalten werden, wodurch diesem insbesondere die Wahrnehmung der ihm insbesondere durch Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte auf Darlegung des eigenen Standpunkts und Bekämpfung der Entscheidung verunmöglicht werden kann.
Auch erscheint eine solche Beschränkung der Wahrnehmung von dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) zuerkannten Rechten im Lichte der Vorgaben des Artikel 47, Charta der Grundrechte (GRC) bedenklich, und daher nur in einem sehr engen Rahmen vertretbar.
Mangels einer näheren gesetzlichen Ausgestaltung im EU-Recht ist diesfalls eine Anleitung durch den Gerichtshof, wie dieser Interessenskonflikt zwischen dem Recht des Betroffenen und dem Recht des Verarbeiters angemessen zu lösen ist, unbedingt geboten.
römisch zehn. ad Frage 5)
In den Artikeln der Datenschutz-Grundverordnung (DS-GVO) findet sich, soweit ersichtlich, nur eine einzige Bestimmung, welche auch eine Vorgabe der Berücksichtigung der Rechte Dritter normiert, nämlich im Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO). Diese Regelung ist aber nach ihrem Wortlaut nur auf die Herausgabe von Kopien im Hinblick auf die von einem Betroffenen i.S.d. Artikel 15, Absatz eins, Datenschutz-Grundverordnung (DS-GVO) verarbeiteten Daten beschränkt.
Da wohl auch eine Auskunftsgewährung i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) auch in der Übermittlung einer Kopie von verarbeiteten Daten bestehen kann, stellt sich bereits die Frage, ob bzw. inwiefern diese Datenherausgabebeschränkung auch gebietet, dass in diesem Umfang dem Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) überhaupt keinerlei Informationen erteilt werden dürfen. Wenngleich der Wortlaut des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) einer solchen Auslegung widerstreitet, könnte doch eine teleologische Auslegung selbst zu diesem mit dem klaren Wortlaut des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) nicht gedeckten Ergebnis führen.
Zudem fällt auf, dass die im Erwägungsgrund 63 der Datenschutz-Grundverordnung (DS-GVO) normierte Vorgabe der Abwägung der Interessen des Auskunftspflichtigen i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) auf Wahrung seiner Interessen aus im zukommenden Geschäftsgeheimnissen im Vergleich mit den Auskunftsinteressen des Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) in den Artikeln der Datenschutz-Grundverordnung (DS-GVO) keinen Niederschlag findet, sodass denkbar erscheint, dass aus der Bestimmung des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) auch im teleologischen Wege die Beachtung der Vorgabe des Erwägungsgrunds 63 der Datenschutz-Grundverordnung (DS-GVO) abzuleiten ist.
Da im gegenständlichen Fall insbesondere das Spannungsverhältnis zwischen den Interessen des Auskunftspflichtigen i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) auf Wahrung seiner Interessen aus im zukommenden Geschäftsgeheimnissen einerseits, und den Auskunftsinteressen des Auskunftsberechtigten i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) einer angemessenen Lösung zuzuführen ist, erscheint auch im Hinblick auf diese Bestimmung des Artikel 15, Absatz 4, Datenschutz-Grundverordnung (DS-GVO) eine Anleitung durch den Gerichtshof, wie dieser Interessenskonflikt zwischen dem Recht des Betroffenen und dem Recht des Verarbeiters angemessen zu lösen ist, unbedingt geboten.
römisch XI. ad Frage 6)
Wie schon zur Frage 3a) ausgeführt, ist im Falle eines Auskunftsbegehrens i.S.d. Artikel 15, Absatz eins, Litera h, Datenschutz-Grundverordnung (DS-GVO) die Verweigerung von näheren, insbesondere die Rechte i.S.d. Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) auf Darlegung des eigenen Standpunkts und Bekämpfung der Entscheidung gewährleistender Informationen unter Hinweis auf das Vorliegen eines Geschäftsgeheimnisses geradezu der Regelfall, und wurde dieses auch im gegenständlichen Verfahren eingewendet.
Auch wurde bereits unter Frage 3a ausgeführt, dass die Gefahr besteht, dass dieser geradezu typische Einwand des Vorliegens eines Geschäftsgeheimnisses das durch Artikel 15, Absatz eins, Litera h, i.V.m. Artikel 22, Datenschutz-Grundverordnung (DS-GVO) garantierte Informationsrecht des Betroffenen aushebelt bzw. sogar verunmöglicht.
Dieses Spannungsverhältnis hat auch der österreichische Gesetzgeber erkannt und einfachgesetzlich bestimmt, dass bei solch einem Spannungsverhältnis die einem Betroffenen die durch Artikel 15, Absatz eins, Litera h, i.V.m. Artikel 22, Absatz 3, Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte faktisch nie zukommen.
Dieses Spannungsverhältnis wurde daher einseitig zugunsten der Garantien der Know-How-Richtlinie gelöst, was aber nach Auslegung des anfragenden Gerichts insbesondere in Hinblick auf die Judikatur des Europäischen Gerichtshofs der Union, wonach Einschränkungen des Grundrechts auf Datenschutz (wozu auch Einschränkungen der Rechtsschutzmöglichkeiten zählen) auf das absolut Notwendige zu beschränken sind2, weder geboten noch im Lichte der Vorgaben der Datenschutz-Grundverordnung (DS-GVO), wie insbesondere des Erwägungsgrundes 63, sachlich vertretbar ist.
Es stellt sich daher die Frage, ob diese Bestimmung des Paragraph 4, Absatz 6, Datenschutzgesetz sich zutreffend auf die Öffnungsklausel des Artikel 23, Absatz eins, Litera i, oder eine andere Öffnungsklausel der Datenschutz-Grundverordnung (DS-GVO) stützen kann.
ECLI:AT:LVWGWI:2022:VGW.101.042.791.2020.44
1 Vgl. OGH 10.12.2020, 4 Ob 182/20y, Blah R., Quellcode eines Computerprogramms als Geschäftsgeheimnis, MR 2021, 93
2 Vgl. etwa EuGH 14.2.2019, C-345/1 (Buivids) Rz 64