Entscheidungen
BVwG Entscheidungen
BVwG Volltexte

BVwG W108 2230691-1

BVwGW108 2230691-128.5.2025

B-VG Art133 Abs4
DSGVO Art12 Abs1
DSGVO Art15
DSGVO Art15 Abs1 lita
DSGVO Art15 Abs1 lith
DSGVO Art22
DSGVO Art4
DSGVO Art5
DSGVO Art6
GewO 1994 §151
GewO 1994 §152
VwGVG §8 Abs1

European Case Law Identifier: ECLI:AT:BVWG:2025:W108.2230691.1.00

 

Spruch:

 

W108 2230691-1/53E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Mag. BRAUCHART als Vorsitzende sowie die fachkundige Laienrichterin Dr. FELLNER-RESCH und den fachkundigen Laienrichter Mag. KUNZ als Beisitzerin und Beisitzer über die Beschwerde von XXXX , vertreten durch Thurnher Wittwer Pfefferkorn & Partner Rechtsanwälte GmbH, wegen Verletzung der Entscheidungspflicht der Datenschutzbehörde im Verfahren zur do. Zahl D123.946 betreffend eine datenschutzrechtliche Angelegenheit (Beschwerdegegnerin: XXXX , nunmehr XXXX ) zu Recht erkannt:

A)

I. Der Datenschutzbeschwerde des Beschwerdeführers vom 19.12.2018 wird teilweise stattgegeben und festgestellt, dass die XXXX , nunmehr XXXX , den Beschwerdeführer dadurch in seinem Recht auf Auskunft gemäß Art. 15 DSGVO verletzt hat, indem sie keine ausreichenden Informationen über die Verarbeitungszwecke gemäß Art. 15 Abs. 1 lit. a DSGVO bereitgestellt sowie gemäß Art. 15 Abs. 1 lit. h DSGVO keine aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der die Daten des Beschwerdeführers betreffenden automatisierten Entscheidungsfindung (Berechnung von Bonitätsscores) erteilt hat.

II. Der XXXX , nunmehr XXXX , wird aufgetragen, binnen vier Wochen bei sonstiger Exekution, dem Beschwerdeführer eine hinreichend bestimmte Auskunft zu den Verarbeitungszwecken gemäß Art. 15 Abs. 1 lit. a DSGVO sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der die Daten des Beschwerdeführers betreffenden automatisierten Entscheidungsfindung (Berechnung von Bonitätsscores) gemäß Art. 15 Abs. 1 lit. h DSGVO zu erteilen.

III. Im Übrigen wird die Beschwerde als unbegründet abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

 

Entscheidungsgründe:

I. Verfahrensgang und Sachverhalt:

1. Mit Schreiben vom 26.10.2018 ersuchte der Beschwerdeführer die XXXX , nunmehr XXXX (Beschwerdegegnerin), um Auskunft gemäß Art. 15 Datenschutz-Grundverordnung (DSGVO) hinsichtlich der ihn betreffenden personenbezogenen Daten.

2. Am 05.11.2018 erteilte die Beschwerdegegnerin dem Beschwerdeführer eine Auskunft im Umfang von drei Seiten. Diese Auskunftserteilung enthielt auf der ersten Seite unter Hinweis auf die einzelnen Quellen (Firmenbuch; zwei Adressverlage/Direktmarketingunternehmen; Recherche) folgende Informationen über den Beschwerdeführer: den Namen, vier Adressen, das Geschlecht, das Geburtsdatum, die Staatsbürgerschaft, die Berufs- und Einkommensverhältnisse, die Zahlungsweise, die Kennzahlen (geschätztes Einkommen für das Jahr 2012) sowie zwei Abrufe durch anfragende Firmen der Branche XXXX – am 01.01.2016 und am 22.04.2018 – in den letzten drei Jahren. Auf der zweiten und dritten Seite wies diese Auskunft zusätzlich allgemeine Hinweise unter anderem zu den Verarbeitungszwecken, den Kategorien personenbezogener Daten, den Empfängern der Daten, der Speicherdauer, der Betroffenen- und Beschwerderechte sowie der Herkunft der Daten auf. Zudem wurde ausdrücklich festgehalten, dass eine automatisierte Entscheidungsfindung gemäß Art. 15 Abs. 1 lit. h iVm Art. 22 Abs. 1 und 4 DSGVO bei der Beschwerdegegnerin nicht stattfinde.

Die Auskunft vom 05.11.2018 lautet wie folgt (Formatierung nicht originalgetreu wiedergegeben):

 

 

 

3. Da der Beschwerdeführer die erteilte Auskunft als unvollständig und nicht den Vorgaben des Art. 15 DSGVO entsprechend erachtete, erhob er am 19.12.2018 eine Beschwerde gemäß Art. 77 DSGVO bzw. § 24 Datenschutzgesetz, DSG, (Datenschutzbeschwerde) an die Datenschutzbehörde (DSB, belangte Behörde vor dem Bundesverwaltungsgericht), in welcher er zusammengefasst vorbrachte, dass in den Angaben zu den konkret verarbeiteten Daten nicht alle der auf der zweiten Seite angeführten Datenkategorien bzw. Datenunterkategorien angeführt seien bzw. teilweise Angaben fehlen würden, ob Daten zu den zuvor angegebenen Datenkategorien und Datenunterkategorien vorliegen würden oder nicht. Der Auskunft sei auch nicht zu entnehmen, welche der verarbeiteten Daten jeweils für welche Zwecke (Kreditinformation und/oder Marketingdaten) verarbeiten werden würden bzw. ob alle verarbeiteten Daten für alle Zwecke erforderlich seien.

Zudem sei keine Auskunft über die Rechtsgrundlagen der Verarbeitung sowie eine unvollständige Auskunft über die Herkunft und Empfänger der Daten erteilt worden. Im Übrigen sei darauf hinzuweisen, dass die Beschwerdegegnerin in anderen Beschwerdeverfahren vor der belangten Behörde ausdrücklich zugestanden habe, dass eine automatisierte Entscheidungsfindung stattfinde, und lasse sich aus den Angaben der Beschwerdegegnerin auch zweifelsfrei ableiten, dass jedenfalls auch Profiling im Sinne von Art. 22 DSGVO durchgeführt werde.

4. Über Aufforderung der belangten Behörde erstattete die Beschwerdegegnerin am 28.03.2019 eine Stellungnahme, in welcher sie ausführte, dass die Auskunft nicht unvollständig erteilt worden sei. Bezüglich der angeführten Quellen sollte dem Beschwerdeführer aus diversen anderen Verfahren bekannt sein, dass es sich hierbei um die XXXX und die XXXX handle. Bei Daten, die eine Recherche betreffen würden, handle es sich um Daten, die manuell und intern erhoben werden würden. Bezüglich der Auskunft, dass der Beschwerdeführer seinen bisherigen Zahlungsverpflichtungen in vereinbarter Art und Weise nachkomme, handle es sich um einen Standardsatz, wenn wie in seinem Fall keine negativen Zahlungserfahrungen vorliegen würden. Zu den Empfängern der personenbezogenen Daten werde mitgeteilt, dass die Daten von der Firma XXXX abgerufen worden seien.

5. Der Beschwerdeführer replizierte darauf – nachdem diesem durch die belangte Behörde Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens eingeräumt worden war – in seiner Stellungnahme vom 10.04.2019 zusammengefasst dahin, dass die Beschwerdegegnerin weiterhin keine vollständige Auskunft über die von ihr verarbeiteten, personenbezogenen Daten erteilt habe. Sie habe keinerlei Auskunft darüber erteilt, wie die Bonität des Beschwerdeführers von ihr konkret eingeschätzt werde bzw. welche diesbezüglichen den Beschwerdeführer betreffenden personenbezogenen Daten an Dritte übermittelt worden seien. Die von der Beschwerdegegnerin zu den Verarbeitungszwecken und zur Rechtsgrundlage der Verarbeitung erteilte Auskunft sei weiterhin unvollständig, zumal sich in der Stellungnahme der Beschwerdegegnerin keine ergänzenden Angaben dazu finden würden.

Der Stellungnahme beigelegt wurden ua. Auskunftsschreiben der XXXX vom 06.02.2017, der XXXX vom 16.01.2019 und vom 05.02.2019 sowie ein undatiertes Auskunftsschreiben der XXXX .

6. Am 13.01.2020 erhob der Beschwerdeführer eine Säumnisbeschwerde gemäß Art. 130 Abs. 1 Z 3 B-VG wegen Verletzung der Entscheidungspflicht der belangten Behörde. Die verfahrensgegenständliche Datenschutzbeschwerde sei am 19.12.2018 und damit vor mehr als zwölf Monaten eingebracht worden. Die der belangten Behörde nach § 73 Abs. 1 AVG eingeräumte Frist sei damit um mehr als das Doppelte überschritten und die Entscheidungspflicht der belangten Behörde somit verletzt worden.

7. In der Folge legte die belangte Behörde mit Schreiben vom 29.04.2020 die Säumnisbeschwerde samt den dazugehörigen Akten des Verwaltungsverfahrens dem Bundesverwaltungsgericht zur Entscheidung vor und gab eine Stellungnahme dahin ab, dass zum Zeitpunkt der Erhebung der Säumnisbeschwerde die Entscheidungsfrist von sechs Monaten bereits abgelaufen gewesen und die Säumnisbeschwerde damit berechtigt sei. Die belangte Behörde habe die Entscheidung binnen der in § 16 Abs. 1 VwGVG vorgesehenen Frist aufgrund des erhöhten Arbeitsanfalles und der im Zusammenhang mit der COVID-19-Pandemie einhergehenden Einschränkungen bedauerlicherweise nicht nachholen können, weswegen die Zuständigkeit ex lege auf das Bundesverwaltungsgericht übergegangen sei.

8. Das Bundesverwaltungsgericht übermittelte der Beschwerdegegnerin mit Schreiben vom 21.04.2022 die Stellungnahme des Beschwerdeführers vom 10.04.2019 samt Beilagen, die Säumnisbeschwerde des Beschwerdeführers vom 13.01.2020 sowie das Schreiben der belangten Behörde im Zuge der Aktenvorlage vom 29.04.2020, teilte mit, dass die erteilte Auskunft sich aus Sicht des Bundesverwaltungsgerichtes als nicht schlüssig bzw. unvollständig erweise und forderte die Beschwerdegegnerin auf, dazu Stellung zu nehmen.

9. Die Beschwerdegegnerin erstattete mit Schriftsatz vom 03.05.2022 und 19.05.2022 jeweils eine Stellungnahme, in welchen zunächst ausgeführt wurde, dass die Datenschutzbeschwerde gegen die XXXX gerichtet sei und dieses Unternehmen mit Verschmelzungsvertrag vom 16.09.2021 in das Unternehmen der XXXX verschmolzen worden sei. Die XXXX sei am 29.09.2021 gelöscht worden und sei folglich nunmehr die XXXX die Beschwerdegegnerin.

Zur behaupteten Unvollständigkeit bei der Auskunft zu den verarbeiteten Daten führte die Beschwerdegegnerin im Wesentlichen aus, dass dem Beschwerdeführer ein Auszug mit den zu seiner Person verarbeiteten Daten bereitgestellt worden sei. In dieser Auskunft würden alle Daten aufgelistet, mehr Daten zum Beschwerdeführer würden bei der Beschwerdegegnerin nicht existieren.

Zur behaupteten Unvollständigkeit der Auskunft über Verarbeitungszwecke werde festgehalten, dass auf der zweiten Seite der Datenauskunft bei den jeweiligen Verarbeitungszwecken, nämlich der Bereitstellung von Kreditinformationen und der Bereitstellung von Marketinginformationen, die jeweiligen Datenkategorien genannt seien, zu denen allenfalls Daten des jeweiligen Betroffenen gespeichert sein könnten. Ob zu den Datenarten entsprechende Daten vorhanden seien, sei der Auflistung auf der ersten Seite der Datenauskunft zu entnehmen. Zudem seien die Verarbeitungszwecke explizit genannt, nämlich in Nennung des Zweckes Bereitstellung von Kreditinformationen und Bereitstellung von Marketinginformationen, was den von der Beschwerdegegnerin geführten Gewerbeberechtigungen gemäß § 152 GewO und § 151 GewO entspreche. Die Verarbeitungstätigkeit erfolge auch auf dieser Grundlage und sohin im Rahmen des berechtigten Interesses der Beschwerdegegnerin gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die Beschwerdegegnerin gebe in ihrer Datenauskunft richtigerweise an, dass eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 15 Abs. 1 lit. h iVm Art. 22 Abs. 1 und 4 DSGVO nicht stattfinde. Sie sei der Rechtsauffassung, dass die Bereitstellung von Bonitätsscores an Kunden der Beschwerdegegnerin nicht als Profiling iSd zitierten Bestimmungen zu sehen sei. Zum Beschwerdeführer würden gegenständlich keine Bonitätsscores-Ratings vorliegen und hätten solche daher auch nicht bereitgestellt bzw. beauskunftet werden können. Allerdings bestehe die Möglichkeit, dass aufgrund von Anfragen seitens Kunden der Beschwerdegegnerin entsprechende Bonitätsscores zum Beschwerdeführer erstellt würden. Diesfalls würden in die Berechnung Informationen zum Alter, Geschlecht, Wohnadresse, Beteiligung in Firmen, Ausbildung sowie geographische Informationen und Zahlungserfahrungen einfließen. Es sei richtig, dass die von der Beschwerdegegnerin beauskunfteten Datenbereitstellungen an den Zahlungsdienstleister XXXX Bonitätsscores beinhaltet hätten. Diese seien mangels Vorliegens von Zahlungsanständen als „sehr gute Bonität“ ausgewiesen worden.

Sofern das Bundesverwaltungsgericht zu der Ansicht gelangen sollte, dass die Auskunft der Beschwerdegegnerin zunächst unvollständig oder fehlerhaft gewesen sei, sei anzuerkennen, dass die Auskunft nunmehr in allen Punkten beantwortet worden sei, sodass gemäß § 24 Abs. 6 DSG mit Verfahrenseinstellung vorzugehen sei.

Zum Beweis wurde die Einvernahme des Geschäftsführers der Beschwerdegegnerin XXXX beantragt.

10. Die Stellungnahme der Beschwerdegegnerin vom 19.05.2022 samt Beilagen wurde dem Beschwerdeführer mit Schreiben des Bundesverwaltungsgerichtes vom 06.07.2022 zur Kenntnis- und allfälligen Abgabe einer Stellungnahme übermittelt.

11. Der Beschwerdeführer erstattete am 25.07.2022 eine Stellungnahme, in welcher er ausführte, dass bei Einbringung der Säumnisbeschwerde nicht mehr verfahrensgegenständlich gewesen sei, ob allenfalls weitere Daten in Bezug auf seine Person verarbeitet werden würden. Entgegen den Ausführungen in der Stellungnahme der Beschwerdegegnerin ergebe sich keine eindeutige Zuordnung der tatsächlich verarbeiteten Daten zu den von der Beschwerdegegnerin verfolgten Verarbeitungszwecken. Er nehme zur Kenntnis, dass die Beschwerdegegnerin seine Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO verarbeite. Insofern die Beschwerdegegnerin offenbar über keine weiteren konkreten Informationen über die Herkunft der Daten des Beschwerdeführers verfüge und sich in der Folge lediglich in Spekulationen darüber versteige, ob und welche Daten des Beschwerdeführers bei der XXXX verarbeitet werden würden bzw. gelöscht worden seien, nehme der Beschwerdeführer dies zur Kenntnis. Auch die Aussagen der Beschwerdegegnerin über das Zustandekommen der Angaben zum Zahlungsverhalten seien für den Beschwerdeführer zwar nicht nachvollziehbar, aber er habe diese zur Kenntnis genommen, sodass dieser Aspekt im Verfahren vor dem Bundesverwaltungsgericht nicht verfahrensgegenständlich sei. Zur Unvollständigkeit der Auskunft betreffend Empfänger der Daten sei festzuhalten, dass mittlerweile geklärt sei, dass die Übermittlung tatsächlich durch die Beschwerdegegnerin erfolgt sei und die ursprünglich von der XXXX erteilte Auskunft unrichtig gewesen sei. Des Weiteren habe die XXXX im Schreiben vom 05.02.2019 an die XXXX Beauftragte für Datenschutz und Informationsfreiheit die Vorgangsweise bei der Nutzung der von der Beschwerdegegnerin übermittelten Scoringwerte im Detail beschrieben. So gebe die XXXX an, dass es sich bei den von der Beschwerdegegnerin übermittelten Scorewerten um Fremddaten handeln würde und der XXXX die Logik der Scoreberechnung nicht bekannt sei. Weitergehende Erläuterungen über die Berechnung des Scorewerts könne der Beschwerdeführer daher nur von der jeweiligen Auskunftei, also von der Beschwerdegegnerin, erhalten. Die automatisierte Annahme bzw. Ablehnung eines Endkunden (hier des Beschwerdeführers) beruhe auf der automatisierten Prüfung, ob ein Sollwert eines Scorewerts dem jeweiligen Istwert des Scores entspreche bzw. diesen übersteige. Die Festlegung des Sollwerts sei ein Geschäftsgeheimnis und sei gemeinsam mit der Beschwerdegegnerin erfolgt.

Entgegen den Behauptungen der Beschwerdegegnerin sei daher die gegenständliche Entscheidung in Bezug auf den Beschwerdeführer nicht (und schon gar nicht maßgeblich) von einem Menschen beeinflusst worden, es handle sich daher eindeutig um eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO.

Zur Anwendung der Bestimmung des § 24 Abs. 6 DSG hielt der Beschwerdeführer zusammenfassend fest, dass er weiterhin beschwert sei, weshalb die Verletzung seiner Rechte jedenfalls festzustellen sei. Der Antrag auf Zuspruch der Kosten des Beschwerdeverfahrens vor der belangten Behörde werde zurückgezogen.

12. Die Stellungnahme des Beschwerdeführers vom 25.08.2022 samt Beilagen wurde der Beschwerdegegnerin mit Schreiben des Bundesverwaltungsgerichtes vom 25.08.2022 zur Kenntnisnahme übermittelt. Die Beschwerdegegnerin wurde außerdem aufgefordert, aufzuklären, weshalb sie über die an die Übermittelungsempfängerin übermittelten personenbezogenen Daten des Beschwerdeführers nicht (mehr) verfüge.

13. Am 07.10.2022 langte eine Stellungnahme der Beschwerdegegnerin ein, in welcher sie insbesondere mitteilte, dass sie nur einen errechneten Wert bereitstelle und dieser errechnete Scorewert im Dateisystem der Beschwerdegegnerin nicht gespeichert werde. Jeder Zugriff auf das Dateisystem werde protokolliert und sieben Jahre gespeichert. Auch das konkrete Abfrageergebnis werde sieben Jahre gespeichert. Die Beschwerdegegnerin habe nunmehr eine Recherche in der geschäftlichen Korrespondenz mit eigenen Kunden aufgrund von Anfragen in den Jahren 2016 und 2018 durchgeführt. In beiden Korrespondenzen sei die Bereitstellung eines Ratingwertes von 2,02 und eines Ampelscores von 2 erfolgt. Die Bonität sei daher als sehr gut zu bewerten. Darüber hinaus würden keine Informationen vorliegen, die dem Beschwerdeführer bereitgestellt werden könnten. Auch habe die Beschwerdegegnerin zu jedem der von ihr verfolgten Zwecke, d.h., der Sammlung von Kreditinformationen, wie auch der Sammlung von Marketinginformationen, die jeweiligen Kategorien an Daten genannt, die verarbeitet werden könnten. In keinem Fall sei die Beschwerdegegnerin in die Entscheidung, ob mit einer Person eine Geschäftsbeziehung eingegangen werde, involviert. Die Beschwerdegegnerin sei auch nicht in eine allfällige Festsetzung von Grenzwerten involviert.

14. Mit Schreiben vom 07.11.2023 teilte das Bundesverwaltungsgericht mit, dass das gegenständliche Beschwerdeverfahren mit Verfügung des Geschäftsverteilungsausschusses des Bundesverwaltungsgerichtes vom 20.10.2023 mit Wirksamkeit vom 07.11.2023 der bisher zuständigen Gerichtsabteilung W245 abgenommen und der Gerichtsabteilung W108 neu zugewiesen wurde. Es wurde den Verfahrensparteien freigestellt, sich innerhalb einer Frist von zwei Wochen zum Verfahrensgegenstand ergänzend zu äußern.

15. Am 23.11.2023 langte eine Stellungnahme des Beschwerdeführers ein, in welcher er auf sein bisheriges Vorbringen verwies und anregte, die Entscheidung des EuGH vom 07.12.2023 zur Zahl C-634/21 im gegenständlichen Verfahren zu berücksichtigen.

16. Die Beschwerdegegnerin erstattete am 22.12.2023 eine Stellungnahme, in welcher sie auf ihr bisheriges Vorbringen verwies, abermals (bereits erteilte) Informationen gemäß Art. 15 DSGVO zur Verfügung stellte und ergänzend vorbrachte, weiterhin und auch im Lichte des Urteils des EuGH vom 07.12.2023, Zahl C-634/21, auf dem Standpunkt zu stehen, dass keine automatisierte Entscheidungsfindung einschließlich Profiling iSd Art. 22 DSGVO vorliege. Während in dem dem EuGH zugrundliegenden Sachverhalt Ratingwerte für die Entscheidung über einen Kreditantrag verwendet worden seien, nämlich um zu beurteilen, ob ein Kredit gewährt werden könne oder nicht, liege gegenständlich ein anderer Verwendungszweck vor. Zum Beschwerdeführer seien Ratingwerte zweimal, einmal im Jahr 2016 und einmal im Jahr 2018, an den Kunden XXXX bereitgestellt worden. Die Bereitstellung der Daten sei nicht mit dem Zweck der Prüfung einer Kreditvergabe erfolgt, sondern sei ausschließlich dem E-Commerce-Bereich zuzuordnen gewesen. Grund für die Bereitstellung der Daten im Bereich E-Commerce sei einzig und alleine die Prüfung, ob die Angaben eines Bestellers korrekt seien, und in einigen Fällen die Beurteilung der Zahlungsart des potentiellen Vertragspartners (Zahlartensteuerung), wobei hier – wie bereits ausgeführt – nicht nur die Informationen der Beschwerdegegnerin einfließen würden, sondern auch eigene Erfahrungen des Kunden bzw. dritte Quellen. Eine Entscheidung zur Zahlartensteuerung, die gegenständlich möglicherweise bei der Bereitstellung eines Scores bei den Datenübermittlungen in den Jahren 2016 und 2018 erfolgt sei (ob überhaupt eine entsprechende Entscheidung tatsächlich erfolgt sei, könne nicht beurteilt werden), hätte jedenfalls keine erheblichen Nachteile für den Beschwerdeführer zur Folge gehabt, zumal lediglich beurteilt worden wäre, ob der Besteller überhaupt existent sei bzw. die Angaben zu seiner Adresse korrekt seien und wie wahrscheinlich ein Zahlungsausfall sei bzw. welche Zahlungsart zu erfolgen habe. Während bei Ablehnung eines Kredites unter Umständen negative Auswirkungen für den Betroffenen denkbar seien, habe ein möglicher schlechter Ratingwert bei Durchführung eines Kaufes im Fernabsatz im schlechtesten Fall zur Folge, dass die Ware bei Übernahme zu bezahlen sei bzw. vorab eine Überweisung vorzunehmen sei bzw. möglicherweise keine Ratenzahlung gewährt werde. Darin liege keinesfalls eine Entscheidung, die den Beschwerdeführer erheblich benachteiligen würde, was jedoch Voraussetzung für die Anwendbarkeit des Art. 22 DSGVO sei.

Nichtsdestotrotz könne die Beschwerdegegnerin folgende Angaben zur Errechnung des Ratingwertes zum Beschwerdeführer machen: In die Bestimmung des Ratingwertes würden Daten aus dem Bonitätsumfeld (insbesondere Zahlungserfahrungen, Inkassoverfahren, Liegenschaftsversteigerungen, Insolvenzverfahren), Umfelddaten (Daten beteiligter Unternehmen) sowie soziodemografische Daten (z.B. Alter, Berufsausbildung) einfließen. Betreffend die Gewichtung sei zu sagen, dass Informationen zum Einkommen, zur Zahlungsweise sowie zur Branche hauptausschlaggebend für den Score seien, wobei sich keine bzw. wenige bzw. bereits länger zurückliegende Zahlungsanstände positiv auf den Ratingwert/Score auswirken würden. Weitere Informationen zur Gewichtung, insbesondere die detaillierte Bereitstellung der Berechnungslogik, stellten ein wesentliches Betriebsgeheimnis der Beschwerdegegnerin dar.

Es wurde wie bisher die zeugenschaftliche Einvernahme des Geschäftsführers der Beschwerdegegnerin XXXX beantragt und ausgeführt, dass, sofern einzelne notwendige Informationen in der erfolgten Auskunft durch die Beschwerdegegnerin vom 05.11.2018 nicht enthalten gewesen wären, die Auskunft nunmehr jedenfalls vollständig, präzise und transparent iSd Art. 12 DSGVO sei. Betreffend das Personen-Scoring werde dieser Stellungnahme eine detaillierte Information betreffend Einfluss von Daten in das Scoring beigeschlossen (und diese Information ebenso an den Beschwerdeführer übermittelt), sodass gemäß § 24 Abs. 6 DSG vorzugehen sei.

17. Das Bundesverwaltungsgericht übermittelte die Stellungnahmen der Beschwerdegegnerin vom 07.10.2022 sowie vom 22.12.2023 dem Beschwerdeführer zur Kenntnis- und allfälligen Abgabe einer Stellungnahme.

18. Der Beschwerdeführer gab am 25.01.2024 eine Stellungnahme ab, in welcher er festhielt, dass die Beschwerdegegnerin in ihren bisherigen Stellungnahmen offenbar bewusst unrichtige Angaben zur Vollständigkeit der an den Beschwerdeführer erteilten Auskünfte und zum Umfang der bei der Beschwerdegegnerin in Bezug auf den Beschwerdeführer verarbeiteten personenbezogenen Daten gemacht habe, zumal nunmehr ein übermittelter Ratingwert von 2,02 und ein Ampelscore von 2 bekanntgegeben worden sei, jedoch in früheren Stellungnahmen ausdrücklich angegeben worden sei, dass die an Dritte übermittelten Beurteilungen/Ratings zum Zeitpunkt der Anfrage des Beschwerdeführers nicht mehr vorhanden gewesen seien. Zumal den Angaben der Beschwerdegegnerin offenbar kein Glaube geschenkt werden könne, beantrage er, das Bundesverwaltungsgericht möge Einschau in die bei der Beschwerdegegnerin bestehenden Datenverarbeitungen nehmen, um zu klären, ob die von der Beschwerdegegnerin erteilten Auskünfte nunmehr vollständig seien, sowie im Rahmen der von der Beschwerdegegnerin beantragten Zeugeneinvernahme von XXXX diesen unter Wahrheitspflicht zur Vollständigkeit der von der Beschwerdegegnerin erteilten Auskunft befragen. Hinsichtlich der Auskunftserteilung gemäß Art. 15 Abs. 1 lit. h DSGVO stehe aufgrund der zuletzt vom EuGH vorgenommenen Klarstellung in der Entscheidung in der Rechtssache C-634/21 nunmehr fest, dass die automatisierte Erstellung von Wahrscheinlichkeitswerten in Bezug auf die Fähigkeit betroffener Personen zur Erfüllung künftiger Zahlungsverpflichtungen eine automatisierte Entscheidung darstelle, wenn es von diesem Wahrscheinlichkeitswert maßgeblich abhänge, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt werde, ein Vertragsverhältnis mit der betroffenen Person begründe, durchführe oder beende. Genau dies sei aber im gegenständlichen Sachverhalt der Fall. Aus den Ausführungen der XXXX bzw. deren Datenschutzbeauftragten im Schreiben vom 16.01.2021 ergebe sich nämlich unzweifelhaft, dass der von der Beschwerdegegnerin mitgeteilte Scorewert die maßgebliche Entscheidungsgrundlage für die Begründung bzw. Durchführung des Vertragsverhältnisses durch die XXXX sei. Daran ändere auch die Tatsache nichts, dass nach den Angaben der Beschwerdegegnerin diese nicht in die Festlegung des anwendbaren Grenzwerts involviert (gewesen) sei. Das diesbezügliche ergänzende Vorbringen der Beschwerdegegnerin sei nicht nachvollziehbar, der EuGH habe in seiner Entscheidung keine Einschränkung auf die Vergabe von Krediten vorgenommen. Ganz im Gegenteil habe der EuGH ausdrücklich darauf hingewiesen, dass gerade im typischen Fall einer Bonitätsauskunft (wie auch im gegenständlichen Sachverhalt) die von der Beschwerdegegnerin offenbar weiterhin vertretene Rechtsansicht dazu führen würde, dass betroffene Personen ihr Auskunftsrecht gemäß Art. 15 Abs. 1 lit. h DSGVO nicht effektiv geltend machen könnten. Völlig unverständlich sei in diesem Zusammenhang auch der Hinweis in der Stellungnahme, dass es der Beschwerdegegnerin gar nicht möglich sei, eine Auskunft über die involvierte Logik und die Tragweite der angestrebten Auswirkungen zu erteilen, weil sie darüber gar keine Kenntnis habe. Die allgemeinen und lediglich beispielhaften Ausführungen in der Stellungnahme vom 22.12.2023 stellten keine Auskunft im Sinne des Art. 15 Abs. 1 lit. h DSGVO dar, weil eine solche Auskunft jedenfalls so konkret zu sein habe, dass der jeweiligen betroffenen Person die allfällige Geltendmachung ihrer sonstigen Rechte nach der DSGVO ermöglicht werde. Auch wenn die berechneten Scorewerte nicht im Dateisystem der Beschwerdegegnerin gespeichert würden, bestehe nach der Rechtsprechung des EuGH auch in solchen Fällen eine Verpflichtung zur Auskunftserteilung über die Scorewerte, die von der Beschwerdegegnerin berechnet werden könnten. Vor diesem Hintergrund sei daher davon auszugehen, dass die Beschwerdegegnerin jedenfalls auch beauskunften müsse, welche Wahrscheinlichkeitswerte oder Bewertungen aus den von ihr verarbeiteten Daten resultieren würden, und dass sie zusätzlich die Informationen gemäß Art. 15 Abs. 1 lit. h DSGVO bereitzustellen habe.

19. Das Bundesverwaltungsgericht übermittelte der Beschwerdegegnerin die Stellungnahme des Beschwerdeführers vom 24.01.2024 im Wege des Parteiengehörs zur Kenntnisnahme und forderte sie auf, die in der Stellungnahme vom 22.12.2023 genannte „detaillierte Information betreffend Einfluss von Daten in das Scoring“ betreffend das Personen-Scoring binnen zwei Wochen an das Bundesverwaltungsgericht zu übermitteln.

20. Die Beschwerdegegnerin brachte hierzu einen mit „Mitteilung und Replik“ bezeichneten Schriftsatz vom 19.04.2024 ein, in welchem sie ausführte, dass dem „Informationsblatt“ „Daten zum Personen-Scoring“ Informationen zum Scoringwert bzw. Ratingwert, zu Einflussdaten Bonitätsumfeld, zu Einflussdaten Umfeld sowie zu Einflussdaten soziodemografische Informationen zu entnehmen seien. Der im Informationsblatt enthaltenen Aufstellung sei insbesondere zu entnehmen, welche Daten vorliegen müssten, damit ein bestimmter Wert vergeben werde. Zum Beschwerdeführer sei zuletzt im Jahr 2018 im Auftrag der XXXX ein Scorewert von 2 errechnet worden. Werten von 1 bis 3 würden positive Zahlungserfahrungen (keine Zahlungsanstände) zugrunde liegen und würden Berechtigungen zur Ausübung einer bestimmten beruflichen Tätigkeit vorliegen. In weiterer Folge werde zwischen dem Scoringwert 1 bis 3 differenziert, je nach den vorliegenden soziodemografischen Daten. Beispielsweise werde in Bezug auf junge Personen bzw. Unternehmen ein höheres Risiko für einen Zahlungsausfall angenommen, dementsprechend würde der Scoringwert höher angesetzt werden. Dem Beschwerdeführer seien damit alle für die Bestimmung des Scoringwertes eingeflossenen Daten sowie die Gewichtung bekannt. Weiterführende Informationen zur Gewichtung, insbesondere eine detaillierte Bereitstellung der Berechnungslogik (Algorithmus), würden ein wesentliches Geschäftsgeheimnis der Beschwerdegegnerin darstellen. Derzeit würden keine Scoringwerte zum Beschwerdeführer vorliegen oder verarbeitet werden, weshalb auch keine automatisierte Entscheidungsfindung vorliege, die den Beschwerdeführer beeinträchtigen könnte. Die Berechnungslogik zu einem fiktiven Berechnungsvorgang könne nicht bereitgestellt werden.

Das „Informationsblatt“ lautet wie folgt (Formatierung nicht originalgetreu wiedergegeben):

 

21. Der Beschwerdeführer führte in seiner Stellungnahme vom 07.05.2024 dazu aus, dass sowohl die Stellungnahme vom 22.12.2023 als auch das vorgelegte „Informationsblatt“ keinerlei konkrete Informationen über die in Bezug auf die Person des Beschwerdeführers vorgenommenen Bewertungen enthalten habe. Soweit ersichtlich stelle dieses Dokument lediglich eine allgemeine und beispielhafte Aufstellung möglicher Einflussfaktoren auf das Ergebnis einer Bewertung dar. Die belangte Behörde habe in einem Bescheid vom 08.09.2020 im Detail dargelegt, dass eine Auskunft nach Art. 15 Abs. 1 lit. h DSGVO die Parameter / Eingangsvariablen einer errechneten Zuordnung, ihren Einfluss auf die errechnete Zuordnung, die Informationen zum Zustandekommen der Parameter / Eingangsvariablen, eine Erklärung, weshalb der Betroffene einem bestimmten Bewertungsergebnis zugeordnet worden sei und eine Aufzählung der Profilkategorien, die für eine Zuordnung möglich seien, zu beauskunften oder ähnliche dem Informationsgehalt gleichwertige Informationen zu geben habe, die den Betroffenen in die Lage versetzen, seine Rechte auf Richtigstellung, Löschung und Überprüfung der Rechtmäßigkeit wahrzunehmen. Weiters habe die belangte Behörde im genannten Bescheid auch klargestellt, dass eine derartige Auskunft nicht mit einem pauschalen Hinweis auf Betriebs- und Geschäftsgeheimnisse verweigert werden könne. Die bisher von der Beschwerdegegnerin in diesem Zusammenhang erteilten Auskünfte würden diesen Vorgaben offensichtlich nicht entsprechen. Auch Informationen, die aus einer Verarbeitung personenbezogener Daten resultieren bzw. erzeugt werden, seien nach der Rechtsprechung des EuGH zu beauskunften. Es gehe nicht um „fiktive“ oder „theoretische“ Berechnungsvorgänge, sondern verweise die Beschwerdegegnerin selbst auf ihrer Homepage auf die von ihr eingesetzten angeblich „führenden Risiko-Ratingmodelle“ und werbe mit dem „weltweit größten Zahlungserfahrungspool mit einer Historie von 35 Jahren“. Entsprechende Bewertungen würden vollautomatisiert und unter Heranziehung der von der Beschwerdegegnerin in konkreten XXXX -Datenbanken ( XXXX und XXXX ) verarbeiteten Daten durchgeführt werden.

22. Mit Vorabentscheidungsersuchen vom 11.02.2022, VGW-101/042/791/2020-44, (beim EuGH eingereicht am 16.03.2022, berichtigt mit Schreiben vom 23.03.2022) richtete das Verwaltungsgericht Wien folgende Fragen an den EuGH zur Vorabentscheidung (Formatierung nicht originalgetreu wiedergegeben):

„1. Welche inhaltlichen Erfordernisse muss eine erteilte Auskunft erfüllen, um als ausreichend ‚aussagekräftig‘ i.S.d. Art. 15 Abs. 1 lit. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DS-GVO) eingestuft zu werden?

Sind - allenfalls unter Wahrung eines bestehenden Betriebsgeheimnisses - im Falle eines Profilings vom Verantwortlichen im Rahmen der Beauskunftung der ‚involvierten Logik‘ grundsätzlich auch die für die Ermöglichung der Nachvollziehbarkeit des Ergebnisses der automatisierten Entscheidung im Einzelfall wesentlichen Informationen, worunter insbesondere 1) die Bekanntgabe der verarbeiteten Daten des Betroffenen, 2) die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zugrunde gelegenen Algorithmus und 3) die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung zählen, bekannt zu geben?

Sind in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) auch im Falle des Einwands eines Betriebsgeheimnisses jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der Datenschutz-Grundverordnung (DS-VGO) erlauben,

b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten;

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist.

2) Steht das durch Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung i.S.d. Art. 22 Datenschutz-Grundverordnung (DS-GVO) insofern in einem Zusammenhang, als der Umfang der aufgrund eines Auskunftsbegehrens i.S.d. Art. 15 lit. h Datenschutz-Grundverordnung (DS-GVO) zu erteilenden Informationen nur dann ausreichend ‚aussagekräftig‘ ist, wenn der Auskunftsbegehrende und Betroffene i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung i.S.d. Art. 22 Datenschutz-Grundverordnung (DS-GVO) tatsächlich, profund und erfolgversprechend wahrzunehmen?

...

4a) Wie ist vorzugehen, wenn die zu erteilende Information i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) auch die Vorgaben eines Geschäftsgeheimnisses i.S.d. Art. 2 Z 1 der Richtlinie (EU) 2016/943 vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, L 157/1 (Know-How-Richtlinie) erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) garantierten Auskunftsrecht und dem durch die Know-How-Richtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis i.S.d. Art. 2 Z 1 der Know-How-Richtlinie einzustufenden Informationenausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses i.S.d. Art. 2 Z 1 der Know-How-Richtlinie auszugehen ist, und ob die vom Verantwortlichen i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) erteilte Information den Tatsachen entspricht.

4b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechts i.S.d. Art. 15 Abs. 4 Datenschutz-Grundverordnung (DS-GVO) durch die Schaffung der unter Punkt 4a angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) völlig zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der Datenschutz-Grundverordnung (DS-VGO) erlauben,

b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten;

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist

...

6) Ist die Bestimmung des § 4 Abs. 6 Datenschutzgesetz, wonach das Recht auf Auskunft der betroffenen Person gemäß Art. 15 Datenschutz-Grundverordnung (DS-GVO) gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht (besteht), wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde‘, mit den Vorgaben des Art. 15 Abs. 1 i.V.m. Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vereinbar. Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?“

23. Das Bundesverwaltungsgericht teilte mit Schreiben vom 15.05.2024 mit, dass beabsichtigt sei, das vorliegende Beschwerdeverfahren bis zur Vorabentscheidung durch den EuGH in der Rechtssache C-203/22 über das Ersuchen des Verwaltungsgerichtes Wien vom 11.02.2022, VWG-101/042/791/2020-44, gemäß § 38 AVG iVm § 17 VwGVG auszusetzen und gab Gelegenheit zur Abgabe einer schriftlichen Stellungnahme. Unter einem wurde der Beschwerdegegnerin die Stellungnahme des Beschwerdeführers vom 07.05.2024 zur Kenntnisnahme und allfälligen Äußerung übermittelt.

24. Mit Schriftsatz vom 27.05.2024 teilte der Beschwerdeführer mit, keine Einwände gegen die beabsichtigte Aussetzung zu erheben.

25. Die Beschwerdegegnerin erstattete am 12.06.2024 eine Stellungnahme, in welcher sie sich ebenfalls nicht gegen die beabsichtigte Aussetzung des Beschwerdeverfahrens aussprach und ergänzend vorbrachte, dass der Beschwerdeführer verkenne, dass das nunmehr bereitgestellte Informationsblatt nicht die einzige Information sei, die der Beschwerdeführer erhalten habe. Dem Beschwerdeführer seien alle von ihm angeforderten Informationen, nämlich die Parameter/Eingangsvariablen, Profilkategorien und (durch das Informationsblatt) Erklärungen zur Gewichtung bereitgestellt worden. Dem Beschwerdeführer seien sämtliche Informationen erteilt worden, damit dieser seine Rechte nach der DSGVO wahrnehmen könne, es sei unklar, welche Informationen der Beschwerdeführer noch zusätzlich benötige, um Rechte entsprechend geltend machen zu können. Den Beweisanträgen des Beschwerdeführers sei die Erheblichkeit abzusprechen.

26. Mit Beschluss vom 01.07.2024, W108 2230691-1/39Z, setzte das Bundesverwaltungsgericht das gegenständliche Verfahren bis zur Vorabentscheidung durch den EuGH in der Rechtssache C-203/22 aus.

27. Mit Urteil vom 27.02.2025, Rechtssache C-203/22, erkannte der EuGH für Recht (Formatierung nicht originalgetreu wiedergegeben):

„1. Art. 15 Abs. 1 Buchst. h der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass bei automatisierten Entscheidungsfindungen (einschließlich Profilings) im Sinne von Art. 22 Abs. 1 DSGVO die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen kann, ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form die Verfahren und Grundsätze zu erläutern, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.

2. Art. 15 Abs. 1 Buchst. h der Verordnung 2016/679 ist dahin auszulegen, dass in Fällen, in denen nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DSGVO geschützte Daten Dritter oder Geschäftsgeheimnisse im Sinne von Art. 2 Nr. 1 der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung umfassen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.“

Der EuGH führt auszugsweise aus (Formatierung nicht originalgetreu wiedergegeben):

„49 Um zu gewährleisten, dass die betroffene Person in die Lage versetzt wird, die ihr vom Verantwortlichen übermittelten Informationen in vollem Umfang zu verstehen, verpflichtet Art. 12Abs. 1 DSGVO den Verantwortlichen, geeignete Maßnahmen zu treffen, um insbesondere der betroffenen Person diese Daten und Informationen in präziser, transparenter, verständlicher und leichtzugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 38).

50 Die Prüfung des Kontexts von Art. 15 Abs. 1 Buchst. h DSGVO bestätigt somit die Auslegung, die sich aus der Analyse der in dieser Bestimmung verwendeten Ausdrücke ergibt, wonach „aussagekräftige Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung alle maßgeblichen Informationen zum Verfahren und zu den Grundsätzen der automatisierten Verarbeitung personenbezogener Daten zwecks Erreichen eines bestimmten Ergebnisses umfassen und diese Informationen aufgrund des Transparenzerfordernisses außerdem in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln sind.

51 Zum Zweck der DSGVO ist schließlich darauf hinzuweisen, dass ihr Ziel insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, und zwar insbesondere ihres in Art. 16 AEUV gewährleisteten Rechts auf Schutz der personenbezogenen Daten, das in Art. 8 der Charta als Grundrecht verankert ist und das in Art. 7 der Charta verankerte Recht auf ein Privatleben ergänzt (vgl. in diesem Sinne Urteil vom 4. Oktober 2024,Schrems [Mitteilung von Daten an die breite Öffentlichkeit], C-446/21, EU:C:2024:834, Rn. 45 und die dort angeführte Rechtsprechung).

52 Die DSGVO hat also, wie sich aus ihrem elften Erwägungsgrund ergibt, den Zweck, die Rechte der betroffenen Personen zu stärken und präzise festzulegen (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 33 und die dort angeführte Rechtsprechung).

53 Was konkret das in Art. 15 DSGVO vorgesehene Auskunftsrecht betrifft, muss es der betroffenen Person nach der Rechtsprechung des Gerichtshofs ermöglichen, zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden (Urteile vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 34, und vom26. Oktober 2023, FT [Kopien der Patientenakte], C-307/22, EU:C:2023:811, Rn. 73).

54 Dieses Auskunftsrecht ist erforderlich, um es der betroffenen Person zu ermöglichen, gegebenenfalls ihr Recht auf Berichtigung, ihr Recht auf Löschung („Recht auf Vergessenwerden“) und ihr Recht auf Einschränkung der Verarbeitung, die ihr nach den Art. 16, 17 bzw. 18 DSGVO zukommen, sowie ihr in Art. 21 DSGVO vorgesehenes Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten oder ihre in den Art. 79 und 82 DSGVO vorgesehenen Rechte auf Einlegung eines gerichtlichen Rechtsbehelfs bzw. auf Schadenersatz auszuüben (vgl. in diesem Sinne Urteil vom 4. Mai 2023,Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 35).

55 Insbesondere im speziellen Kontext des Erlasses einer Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht, bezweckt das Recht der betroffenen Person, die in Art. 15 Abs. 1Buchst. h DSGVO genannten Informationen zu erhalten, hauptsächlich, ihr die wirksame Ausübung der ihr nach Art. 22 Abs. 3 DSGVO zustehenden Rechte zu ermöglichen, nämlich des Rechts auf Darlegung ihres eigenen Standpunkts und des Rechts auf Anfechtung der Entscheidung.

56 Wenn von einer automatisierten Entscheidung – einschließlich Profiling – betroffene Personen nicht in der Lage wären, vor der Darlegung ihres Standpunkts oder der Anfechtung der Entscheidung die Gründe für diese Entscheidung nachzuvollziehen, würden diese Rechte ihren Zweck, diese Personengegen die besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung personenbezogener Daten verbunden sind, nicht in vollem Umfang erfüllen (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding u. a. [Scoring], C-634/21,EU:C:2023:957, Rn. 57).

57 Gemäß dem 71. Erwägungsgrund der DSGVO muss die betroffene Person, wenn sie einer Entscheidung unterworfen wird, die ausschließlich auf einer automatisierten Verarbeitung beruht und die sie erheblich beeinträchtigt, das Recht auf Erläuterung dieser Entscheidung haben. Wie vom Generalanwalt in Nr. 67 seiner Schlussanträge ausgeführt, bietet Art. 15 Abs. 1 Buchst. h DSGVO der betroffenen Person also ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem diese Entscheidung geführt hat.

58 Aus der Prüfung der Ziele der DSGVO und insbesondere von Art. 15 Abs. 1 Buchst. h DSGVO ergibt sich, dass das Recht auf „aussagekräftige Informationen über die involvierte Logik“ bei einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung als ein Recht auf Erläuterung des Verfahrens und der Grundsätze zu verstehen ist, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen, um auf der Grundlage dieser Daten zu einem bestimmten Ergebnis – etwa einem Bonitätsprofil – zu gelangen. Damit die betroffene Person die ihr durch die DSGVO und insbesondere deren Art. 22 Abs. 3 gewährten Rechte wirksam ausüben kann, müssen im Rahmen dieser Erläuterung die relevanten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form übermittelt werden.

59 Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.

60 Wie sich aus S. 28 der in Rn. 45 des vorliegenden Urteils genannten Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 ergibt, sollte nämlich zum einen der Verantwortliche einfache Möglichkeiten finden, die betroffene Person über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren. Zum anderen verpflichtet die DSGVO den Verantwortlichen zur Übermittlung aussagekräftiger Informationen über die involvierte Logik, „nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus“.

61 Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.

62 Was konkret ein Profiling wie das im Ausgangsverfahren in Rede stehende betrifft, könnte das vorlegende Gericht es insbesondere als ausreichend transparent und nachvollziehbar erachten, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.

63 Ferner ist zur Frage, ob die übermittelten Informationen der betroffenen Person eine Überprüfung der Richtigkeit der sie betreffenden, der automatisierten Entscheidungsfindung zugrunde liegenden personenbezogenen Daten ermöglichen müssen, darauf hinzuweisen, dass das Recht auf Auskunft überdiese Daten nicht durch Art. 15 Abs. 1 Buchst. h DSGVO begründet wird, sondern durch den einleitenden Satz von Art. 15 Abs. 1 DSGVO, der der betroffenen Person das Recht gewährleistet, die Richtigkeit dieser Daten zu überprüfen; dies ergibt sich aus der in Rn. 53 des vorliegenden Urteils wiedergegebenen Rechtsprechung.

64 Schließlich ist zur Feststellung des vorlegenden Gerichts, wonach die CK von D & B gemäß Art. 15Abs. 1 Buchst. h DSGVO übermittelten Informationen tatsachenwidrig seien, da CK gemäß dem „tatsächlichen“ Profiling als nicht zahlungskräftig anzusehen sei, obwohl die genannten Informationen das Gegenteil nahelegten, darauf hinzuweisen, dass zwar dem vorlegenden Gericht zufolge die so festgestellte Nichtübereinstimmung darauf zurückzuführen ist, dass D & B CK nicht über das ihre Person betreffende Profiling informiert habe, das für den Mobilfunkanbieter erstellt worden sei und auf dessen Grundlage CK der Abschluss bzw. die Verlängerung eines Vertrags verweigert worden sei, dies aber im Wege des Rechts auf Auskunft über das so erstellte Bonitätsprofil zu beheben wäre. Hierzu ergibt sich aus der Rechtsprechung des Gerichtshofs, dass die vom Verantwortlichen selbst erzeugten personenbezogenen Daten unter Art. 14 DSGVO fallen (vgl. in diesem Sinne Urteil vom 28. November2024, Másdi, C-169/23, EU:C:2024:988, Rn. 48).

65 Eine Erläuterung der Unterschiede zwischen dem Ergebnis eines solchen „tatsächlichen“ Profilings –seine Durchführung unterstellt – und dem CK von D & B mitgeteilten Ergebnis, das D & B zufolge mittels „gleichwertiger Gewichtung“ der CK betreffenden Daten zustande kam, fällt hingegen sehr wohl unter „aussagekräftige Informationen über die involvierte Logik“ des so erstellten Profilings. Im Einklang mit den Ausführungen in Rn. 58 des vorliegenden Urteils müsste D & B also in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze erläutern, anhand derer das „tatsächliche“ Profiling erstellt wurde.

69 Außerdem sollte gemäß dem 63. Erwägungsgrund dieser Verordnung das Auskunftsrecht der betroffenen Person hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen.

70 Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Art. 23 Abs. 1 Buchst. i DSGVO sieht hierzu im Wesentlichen vor, dass eine Beschränkung des Umfangs der u. a. in Art. 15 DSGVO vorgesehenen Pflichten und Rechte nur möglich ist, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die den Schutz der Rechte und Freiheiten anderer Personen sicherstellt.

71 Zum verwandten, in Art. 15 Abs. 4 DSGVO verankerten Recht auf Erhalt einer Kopie hat der Gerichtshof bereits festgestellt, dass dessen Ausübung die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen sollte (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 43).

72 In diesem Zusammenhang hat der Gerichtshof entschieden, dass im Fall eines Konflikts zwischen der Ausübung des Rechts auf vollständige und umfassende Auskunft über die personenbezogenen Daten zum einen und den Rechten oder Freiheiten anderer Personen zum anderen die fraglichen Rechtegegeneinander abzuwägen sind. Nach Möglichkeit sind Modalitäten der Übermittlung der personenbezogenen Daten zu wählen, die die Rechte oder Freiheiten anderer Personen nicht verletzen, wobei diese Erwägungen „nicht dazu führen [dürfen], dass der betroffenen Person jegliche Auskunft verweigert wird“, wie sich aus dem 63. Erwägungsgrund der DSGVO ergibt (Urteil vom 4. Mai 2023, Österreichische Datenschutzbehörde und CRIF, C-487/21, EU:C:2023:369, Rn. 44).

73 Zur Frage, wie das Auskunftsrecht gemäß Art. 15 Abs. 1 Buchst. h DSGVO so umgesetzt werden kann, dass die Rechte und Freiheiten anderer Personen gewahrt werden, ist darauf hinzuweisen, dass ein nationales Gericht nach der Rechtsprechung der Ansicht sein kann, dass ihm personenbezogene Daten von Parteien oder Dritten übermittelt werden müssen, damit es in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit die betroffenen Interessen abwägen kann. Diese Beurteilung kann es gegebenenfalls dazu veranlassen, die vollständige oder teilweise Offenlegung der ihm so übermittelten personenbezogenen Daten gegenüber der Gegenparteizuzulassen, wenn es der Auffassung ist, dass eine solche Offenlegung nicht über das hinausgeht, was erforderlich ist, um die effektive Wahrnehmung der Rechte zu gewährleisten, die den Rechtsuchenden aus Art. 47 der Charta erwachsen (Urteil vom 2. März 2023, Norra Stockholm Bygg, C-268/21, EU:C:2023:145, Rn. 58).

74 Wie vom Generalanwalt in Nr. 94 seiner Schlussanträge ausgeführt, kann diese Rechtsprechung uneingeschränkt auf den Fall übertragen werden, dass die Informationen, die der betroffenen Person im Rahmen des durch Art. 15 Abs. 1 Buchst. h DSGVO garantierten Auskunftsrechts zur Verfügung gestellt werden müssen, geeignet sind, zu einer Beeinträchtigung der Rechte und Freiheiten anderer Personen zu führen, insbesondere, da sie durch die DSGVO geschützte personenbezogene Daten Dritter oder ein Geschäftsgeheimnis im Sinne von Art. 2 Nr. 1 der Richtlinie 2016/943 enthalten. Auch in diesem Fall sind diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des Rechts der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten zu ermitteln.

75 Hinsichtlich der Notwendigkeit, dies von Fall zu Fall zu ermitteln, steht Art. 15 Abs. 1 Buchst. H DSGVO insbesondere der Anwendung einer Bestimmung wie § 4 Abs. 6 DSG entgegen, die das in Art. 15 DSGVO vorgesehene Auskunftsrecht der betroffenen Person grundsätzlich ausschließt, wenn die Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen oder eines Dritten gefährden würde. Ein Mitgliedstaat kann das Ergebnis einer durch das Unionsrecht vorgegebenen, auf Einzelfallbasis durchzuführenden Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFAHolding u. a. [Scoring], C-634/21, EU:C:2023:957, Rn. 70 und die dort angeführte Rechtsprechung).“

28. Das Bundesverwaltungsgericht teilte in der Folge mit, dass die Vorabentscheidung durch den EuGH, die Anlass zur Aussetzung des Beschwerdeverfahrens gegeben hatte, ergangen sei und das Verfahren damit als fortgesetzt gelte und gab im Wege des Parteiengehörs Gelegenheit zur Abgabe einer schriftlichen Stellungnahme, wobei das Bundesverwaltungsgericht die Frist zur Abgabe einer Stellungnahme über Antrag der Beschwerdegegnerin vom 20.03.2025 bis zum 17.04.2025 erstreckte.

29. Der Beschwerdeführer erstattete mit Schriftsatz vom 17.04.2025 eine Stellungnahme, in welcher er zusammengefasst ausführte, dass seitens der Beschwerdegegnerin keine weiteren Auskünfte erteilt worden seien und insofern seitens des Bundesverwaltungsgerichts über die offenen Beschwerdepunkte abzusprechen sein werde. Die Rechtsansicht des EuGH im Urteil C-203/22 entspreche zur Gänze dem bisherigen Vorbringen des Beschwerdeführers, es sei daher offensichtlich, dass die bisher von der Beschwerdegegnerin erteilten Auskünfte nicht den Vorgaben des Art. 15 Abs. 1 lit. h DSGVO entsprechen und der Beschwerde daher stattzugeben sei.

30. Die Beschwerdegegnerin erstattete am 17.04.2025 ebenfalls eine Stellungnahme, in welcher sie die bisher dem Beschwerdeführer erteilten Informationen im Zusammenhang mit der Beurteilung der Bonität bzw. zur Berechnung des Ratings/Score zusammenfasste und ausführte, dass der Beschwerdeführer bereits alle erforderlichen Daten und Informationen gemäß Art. 15 Abs. 1 lit. h DSGVO erhalten habe. Der EuGH komme zum eindeutigen Schluss, dass weder eine mathematische Formel (Algorithmus), noch eine detaillierte Beschreibung jedes Schrittes des automatisierten Entscheidungsprozesses bereitgestellt werden müsse. Sollte das Bundesverwaltungsgericht jedoch eine andere Auffassung vertreten, wonach weitere Informationen und Daten, insbesondere der konkrete Rechengang, offenzulegen wären, wende die Beschwerdegegnerin nochmals ein, dass hierdurch berücksichtigungswürdige Geschäftsgeheimnisse (im Sinne von Art 2. Nr. 1 der Richtlinie 2016/943 ) offengelegt würden, und stelle diese sohin nachstehend den Eventualantrag, dass weitere Informationen und Daten lediglich an das Bundesverwaltungsgericht (Blackbox) bereitzustellen seien und das Bundesverwaltungsgericht eine Abwägung der einander gegenüberstehenden Interessen vornehme, um den konkreten Umfang des Auskunftsrechts zu ermitteln.

31. Mit Schreiben vom 22.04.2025 übermittelte das Bundesverwaltungsgericht der Beschwerdegegnerin im Wege des Parteiengehörs die Stellungnahme des Beschwerdeführers vom 17.04.2025 zur Kenntnis- und allfälligen Stellungnahme bis längstens 29.04.2025 und forderte die Beschwerdegegnerin innerhalb derselben Frist auf, dem Bundesverwaltungsgericht alle weiteren vorhandenen Informationen und Daten inkl. Erläuterungen zum Verfahren und den Grundsätzen der automatisierten Verarbeitung der personenbezogenen Daten des Beschwerdeführers, insbesondere auch zur Funktionsweise des Algorithmus und des Ergebnisses in verständlicher Form, sowie alle Informationen, die es ermöglichen, die Richtigkeit und Zulässigkeit der automatisierten Entscheidungsfindung zu überprüfen, inklusive die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien und deren Gewichtung sowie der Informationen, welche der personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden und einer Erklärung, weshalb der Beschwerdeführer einem bestimmten Bewertungsergebnis zugeordnet wurde, vorzulegen, wobei geschützte Informationen entsprechend zu kennzeichnen seien und das jeweilige Geheimhaltungsinteresse konkret darzulegen sei. Das Bundesverwaltungsgericht führte aus, dass im Hinblick auf die bereits erstreckte Frist zur Abgabe einer Stellungnahme zum Urteil des EuGH vom 27.02.2025, Rechtssache C-203/22, aus welcher sich bereits das Erfordernis zur Vorlage der oa. Informationen und Daten ergebe, die gesetzte Frist jedenfalls als angemessen erscheine.

32. Die Beschwerdegegnerin übermittelte hierzu am 25.04.2025 eine „Anfrage“, in welcher ausgeführt wurde, dass die Beschwerdegegnerin alle ihr vorliegenden Informationen und Daten zum Beschwerdeführer mitgeteilt habe, und um Auskunft ersucht wurde, welche der erteilten Informationen und Daten das Bundesverwaltungsgericht als ungenügend erachte.

33. Der Beschwerdeführer erstattete am 29.04.2025 eine Stellungnahme, in welcher er zusammengefasst ausführte, dass die von der Beschwerdegegnerin erteilte Auskunft weiterhin nicht den Vorgaben des EuGH entspreche. Aus den vorgelegten Unterlagen würden sich weder einzeln noch in der Gesamtschau konkrete Informationen zu den in Bezug auf den Beschwerdeführer bei der Berechnung des Scorewertes tatsächlich herangezogenen Daten noch zur von der Beschwerdegegnerin bei der Berechnung des Scorewertes gewählten Vorgangsweise ergeben.

34. Mit Eingabe vom 29.04.2025 ersuchte die Beschwerdegegnerin, die Frist zur Stellungnahme bis längstens 29.04.2025 um vier Wochen zu erstrecken.

35. Die Stellungnahme des Beschwerdeführers vom 29.04.2025 wurde der Beschwerdegegnerin sowie der belangten Behörde vom Bundesverwaltungsgericht übermittelt.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Es wird von den Ausführungen oben unter Punkt I. zum Verfahrensgang (Verwaltungsgeschehen) und Sachverhalt ausgegangen.

2. Beweiswürdigung:

Diese Feststellungen ergeben sich aus den Verwaltungsakten sowie den gegenständlichen Gerichtsakten. Die für die Entscheidung wesentlichen Umstände im Tatsachenbereich sind geklärt – so ergibt sich etwa der Umfang der von der Beschwerdegegnerin erteilten Auskunft aus den Angaben der Beschwerdegegnerin und ist dieser nicht strittig – und die relevanten Ermittlungsergebnisse und Urkunden liegen in den vorgelegten Verwaltungsakten sowie den Gerichtsakten ein.

Hierzu ist festzuhalten, dass die Beschwerdegegnerin mit hg. Schreiben vom 22.04.2025 konkret aufgefordert wurde, dem Bundesverwaltungsgericht alle weiteren vorhandenen Informationen und Daten inkl. Erläuterungen zum Verfahren und den Grundsätzen der automatisierten Verarbeitung der personenbezogenen Daten des Beschwerdeführers, insbesondere auch zur Funktionsweise des Algorithmus und des Ergebnisses in verständlicher Form, sowie alle Informationen, die es ermöglichen, die Richtigkeit und Zulässigkeit der automatisierten Entscheidungsfindung zu überprüfen, inklusive die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien und deren Gewichtung sowie der Informationen, welche der personenbezogenen Daten im Rahmen der automatisierten Entscheidungsfindung auf welche Art verwendet wurden und einer Erklärung, weshalb der Beschwerdeführer einem bestimmten Bewertungsergebnis zugeordnet wurde, vorzulegen, wobei geschützte Informationen entsprechend zu kennzeichnen seien und das jeweilige Geheimhaltungsinteresse konkret darzulegen sei. Die Beschwerdegegnerin hat jedoch in der Folge weder weitere Informationen bzw. Daten vorgelegt, noch das tatsächliche Vorliegen von Geschäftsgeheimnissen konkret dargelegt, sondern lediglich eine allgemein gehaltene „Anfrage“ an das Bundesverwaltungsgericht übermittelt, in welcher – entgegen dem Vorbringen in der Stellungnahme vom 17.04.2025 – ausgeführt wurde, dass die Beschwerdegegnerin alle ihr vorliegenden Informationen und Daten zum Beschwerdeführer mitgeteilt habe und um Auskunft ersucht wurde, welche der erteilten Informationen und Daten das Bundesverwaltungsgericht als ungenügend erachte. Es können jedoch – angesichts des dargestellten, detaillierten hg. Auftrags vom 22.04.2025 – keine Zweifel bestehen, welche Informationen die Beschwerdegegnerin zusätzlich vorzulegen gehabt hätte, zumal die Verpflichtung der Beschwerdegegnerin, diese (angeblich geschützten) Informationen dem Bundesverwaltungsgericht zu übermitteln, sich bereits aus dem Urteil des EuGH vom 27.02.2025, Rechtssache C-203/22, ergibt und die Beschwerdegegnerin in der Stellungnahme vom 17.04.2025 auch selbst den Antrag auf Bereitstellung weiterer Informationen und Daten (Blackbox) an das Bundesverwaltungsgericht gestellt hat. Auf eine Unklarheit kann sich die Beschwerdegegnerin daher nicht berufen. Auch der Beschwerdeführer hat den Auftrag des Bundesverwaltungsgerichtes verstanden und in seiner Stellungnahme vom 29.04.2025 betont, dass die vom Bundesverwaltungsgericht skizzierte Vorgehensweise den Vorgaben der Entscheidung des EuGH in der Rechtssache C-203/22 entspreche. Vor diesem Hintergrund bestand sohin keine Veranlassung die „Anfrage“ der Beschwerdegegnerin zu beantworten und dem (abermaligen) Antrag der Beschwerdegegnerin auf Fristerstreckung um weitere vier Wochen zu entsprechen. Im Übrigen aber wurden die geforderten bzw. selbst angegebenen Informationen und Daten (zum tatsächlichen Vorliegen von Geschäftsgeheimnissen) auch nach Ablauf dieser Frist von der Beschwerdegegnerin nicht dem Bundesverwaltungsgericht vorgelegt. Der fruchtlose Ablauf einer von einer Partei sich selbst gesetzten Frist zur Vorlage von Beweismitteln (hier: Bereitstellung von weiteren Informationen und Daten lediglich an das Bundesverwaltungsgericht [Blackbox], damit dieses den Umfang des Auskunftsrechtes ermittle) hat aber zur Folge, dass das Bundesverwaltungsgericht ohne weiteres Zuwarten seine Entscheidung treffen kann (vgl. VwGH 08.03.1994, 91/08/0133).

Damit steht der entscheidungswesentliche Sachverhalt aber fest. Einer weiteren Klärung des Sachverhaltes unter Aufnahme weiterer Beweise, etwa der vom Beschwerdeführer beantragten Einschau in die bei der Beschwerdegegnerin bestehenden Datenverarbeitungen und/oder der beantragten Zeugeneinvernahme des Geschäftsführers der Beschwerdegegnerin und damit der Durchführung einer mündlichen Verhandlung, bedarf es daher nicht.

3. Rechtliche Beurteilung:

Zu A)

3.1. Gemäß Art. 130 Abs. 1 Z 3 B-VG erkennen die Verwaltungsgerichte über Beschwerden wegen Verletzung der Entscheidungspflicht durch eine Verwaltungsbehörde.

Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

3.2. Zu den Prozessvoraussetzungen:

3.2.1. Zur Zulässigkeit der Beschwerde wegen Verletzung der Entscheidungspflicht (Säumnisbeschwerde) bzw. Zuständigkeit des Bundesverwaltungsgerichtes:

Gemäß § 73 Abs. 1 AVG sind die Behörden verpflichtet, wenn in den Verwaltungsvorschriften nicht anderes bestimmt ist, über Anträge von Parteien (§ 8) und Berufungen ohne unnötigen Aufschub, spätestens aber sechs Monate nach deren Einlangen den Bescheid zu erlassen.

Nach § 8 Abs. 1 VwGVG kann eine Säumnisbeschwerde erst erhoben werden, wenn die Behörde die Sache nicht innerhalb von sechs Monaten, wenn gesetzlich eine kürzere oder längere Entscheidungsfrist vorgesehen ist, nicht innerhalb dieser entschieden hat. Die Frist beginnt mit dem Zeitpunkt, in dem der Antrag auf Sachentscheidung bei der gesetzlich vorgesehenen Stelle eingelangt ist. Die Beschwerde ist abzuweisen, wenn die Verzögerung nicht auf ein überwiegendes Verschulden der Behörde zurückzuführen ist.

Ein überwiegendes („objektives“) Verschulden der Behörde ist dann anzunehmen, wenn diese nicht durch schuldhaftes Verhalten der Partei oder durch unüberwindliche Hindernisse an der Entscheidung gehindert war (vgl. VwGH 24.11.2022, Ra 2022/01/0247, unter Hinweis auf VwGH 19.o6.2018, Ra 2018/03/0021, mwN).

Im vorliegenden Fall hat die belangte Behörde nicht binnen der sechsmonatigen Entscheidungsfrist über diese Verwaltungssache entschieden und auch nicht aufgezeigt, dass sie durch schuldhaftes Verhalten der Partei oder durch unüberwindliche Hindernisse an der Entscheidung gehindert war, sondern gegenteilig ausgeführt, dass die Säumnisbeschwerde berechtigt sei und die belangte Behörde aufgrund des erhöhten Arbeitsanfalles und der im Zusammenhang mit der COVID-19-Pandemie einhergehenden Einschränkungen den Bescheid bedauerlicherweise nicht nachholen habe können, weswegen die Zuständigkeit ex lege auf das Bundesverwaltungsgericht übergegangen sei.

Die am 13.01.2020 erhobene Säumnisbeschwerde erweist sich daher als zulässig, weshalb nunmehr das Bundesverwaltungsgericht zuständig war, über die Datenschutzbeschwerde zu entscheiden (vgl. VwGH 19.09.2017, Ro 2017/20/0001 mit Verweis auf VwGH 27.05.2015, Ra 2015/19/0075).

3.2.2. Es liegen auch die sonstigen Prozessvoraussetzungen vor.

3.3. In der Sache:

3.3.1. Rechtsgrundlagen:

Für das gegenständliche Beschwerdeverfahren relevante Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), DSGVO lauten (auszugsweise, samt Überschrift):

 Art 4 Z 1, 2, 4, 7 und 9 DSGVO:

Begriffsbestimmungen

Art. 4. Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung

 

 Art. 5 und Art. 6 DSGVO:

Grundsätze für die Verarbeitung personenbezogener Daten

Art. 5. (1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Rechtmäßigkeit der Verarbeitung

Art. 6. (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

 

 Art. 12 Abs. 1 DSGVO:

 

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Art. 12 (1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

 

 Art. 15 DSGVO:

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

 

 Art. 22 DSGVO:

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

§ 151 GewO – Adressverlage und Direktmarketingunternehmen – lautet auszugsweise:

§ 151. (1) Auf die Verwendung von personenbezogenen Daten für Marketingzwecke Dritter durch die zur Ausübung des Gewerbes der Adressverlage und Direktmarketingunternehmen berechtigten Gewerbetreibenden sind die Bestimmungen der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 199 vom 4.5.2016 S 1, (im Folgenden: DSGVO), sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl. I. Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I. Nr. 120/2017, anzuwenden, soweit im Folgenden nicht Besonderes angeordnet ist.

[…]

(6) Gewerbetreibende nach Abs. 1 dürfen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen, die namentlich bestimmten Personen auf Grund von Marketinganalyseverfahren zugeschrieben werden, nur für Marketingzwecke verwenden und sie insbesondere an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden.

§ 152 GewO – Auskunfteien über Kreditverhältnisse – lautet:

§ 152. (1) Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.

(2) Die im Abs. 1 genannten Gewerbetreibenden sind verpflichtet, ihren geschäftlichen Schriftwechsel und die Geschäftsbücher durch sieben Jahre aufzubewahren. Die Frist von sieben Jahren läuft vom Schluss des Kalenderjahres, in dem der Schriftwechsel erfolgte oder die letzte Eintragung in das Geschäftsbuch vorgenommen wurde. Im Falle der Endigung der Gewerbeberechtigung sind der Schriftwechsel und die Geschäftsbücher zu vernichten, auch wenn der Zeitraum von sieben Jahren noch nicht verstrichen ist.

3.3.2. Umgelegt auf den gegenständlichen Fall bedeutet dies Folgendes:

3.3.2.1. Zunächst ist festzuhalten, dass Gegenstand des Verfahrens ausschließlich eine behauptete Verletzung im Recht auf Auskunft gemäß Art. 15 DSGVO ist. Weder die belangte Behörde noch das Bundesverwaltungsgericht hat(te) daher im vorliegenden Fall zu prüfen, ob – wie vom Beschwerdeführer ebenfalls vorgebracht – zum Teil Daten des Beschwerdeführers – Anschriften und frühere Organfunktionen des Beschwerdeführers, die seit vielen Jahren nicht mehr aktuell bzw. beendet seien – von der Beschwerdegegnerin verarbeitet werden, die für die Erreichung der genannten Verarbeitungszwecke jedenfalls nicht erforderlich sind. Der Beschwerdeführer führt in seiner Stellungnahme vom 25.07.2022 auch selbst aus, dass die Frage, ob die Verarbeitung solcher Daten zulässig sei, nicht Gegenstand dieses Beschwerdeverfahrens ist.

3.3.2.2. Zur Vollständigkeit der Auskunft:

3.3.2.2.1. Gemäß Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die Informationen gemäß Art. 15 Abs. 1 lit. a bis h DSGVO.

Diese Informationen sind zu erteilen, damit der Zweck dieses Betroffenenrechtes erfüllt werden kann, nämlich der betroffenen Person einen Einblick in das „Ob und Wie“ der Verarbeitung ihrer personenbezogenen Daten zu ermöglichen (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 15 DSGVO [Stand 01.12.2020, rdb.at] Rz 2). Der Anspruch reicht gewissermaßen vom „Ob“ der Datenverarbeitung (Art 15 Abs. 1 Hs. 1 DSGVO) über das „Wie“ (Art 15 Abs. 1 Hs. 2 lit. a-h, Abs. 2 DSGVO) bis zum „Was“ (Art 15 Abs. 1 Hs. 2, Abs. 3 DSGVO).

Verarbeitet der Verantwortliche Daten der betroffenen Person, so hat er Auskunft über die konkreten Ausprägungen samt den Zusatzinformationen zu erteilen, sowie eine Kopie der Daten selbst auszuhändigen (Art. 15 Abs. 1 lit. a bis h, Abs. 2, 3 und 4 DSGVO; Haidinger in Knyrim, DatKomm Art. 15 DSGVO [Stand 01.12.2021, rdb.at] Rz 27; Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 15 DSGVO [Stand 01.12.2020, rdb.at] Rz 2, 14 ff).

Unbestritten ist, dass die Beschwerdegegnerin dem Beschwerdeführer mit Auskunftsschreiben vom 05.11.2018 bestätigt hat, dass personenbezogene Daten des Beschwerdeführers verarbeitet werden, dass die Beschwerdegegnerin eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung gestellt hat, sowie weiters, dass die Beschwerdegegnerin eine vollständige Datenauskunft über die Kategorien personenbezogener Daten, die verarbeitet werden (Art. 15 Abs. 1 lit. b DSGVO), über die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 15 Abs. 1 lit. d DSGVO) und über die Betroffenenrechte und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 15 Abs. 1 lit. e und f DSGVO) erteilt hat. Der Beschwerdeführer hat weiters zugestanden, (nachträglich) eine vollständige Auskunft über die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind (Art. 15 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen der Verarbeitung sowie die Herkunft der Daten (Art. 15 Abs. 1 lit. g DSGVO) erhalten zu haben.

Die Datenschutzbeschwerde des Beschwerdeführers vom 19.12.2018 war daher diesbezüglich als unbegründet abzuweisen, zumal nach der Rechtsprechung des Verwaltungsgerichtshofes für die Feststellung einer Verletzung nach Art. 15 DSGVO bei nachträglicher (wenn auch verspäteter) Auskunftserteilung kein Raum mehr verbleibt (vgl. VwGH 19.10.2022, Ro 2022/04/0001, und VwGH 06.03.2024, Ro 2021/04/0030 bis 0031).

3.3.2.2.2. Zur Auskunft über die Verarbeitungszwecke (Art. 15 Abs. 1 lit. a DSGVO):

Gemäß Art. 15 Abs. 1 lit. a DSGVO sind die Verarbeitungszwecke im Sinne des Art. 5 Abs. 1 lit. b DSGVO zu beauskunften. Gemäß der in Art. 5 Abs. 1 lit. b DSGVO geregelten Grundsätze für die Verarbeitung müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen diese nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Diese Zwecke sind der betroffenen Person vom Verantwortlichen bekanntzugeben. Eindeutigkeit von Verarbeitungszwecken ist dann gegeben, wenn sie hinreichend bestimmt sind und inhaltlich eine gewisse Begrenzungsfunktion erfüllen (vgl. Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art. 5 DSGVO [Stand 07.05.2020, rdb.at] Rz 25).

In dieselbe Richtung, doch ausführlicher, geht Art. 12 Abs. 1 DSGVO, der auf eine „präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache“ abstellt (vgl. auch Souhrada-Kirchmayer in Jahnel, Datenschutzrecht [2017], Das Auskunftsrecht nach der Datenschutz-Grundverordnung, S 86). Ohne hinreichende Bestimmtheit der Zweckfestlegung würde der Grundsatz der Zweckbindung ins Leere laufen. Eine zu vage Umschreibung der Zwecke würde auch dem Transparenzgebot des Art. 5 Abs. 1 lit. a DSGVO widersprechen (vgl. Heberlein in Ehmann/Selmayr, DSGVO Art. 5 Rz 14.). Zweckangaben wie „Verbesserung der Benutzerfreundlichkeit“, „Marketingzwecke“, „Zwecke der IT-Sicherheit“, „künftige Forschung“ sind zu allgemein und erfüllen nicht das Kriterium der hinreichenden Bestimmtheit. Als Faustregel ist anzuraten, einen Zweck idR in mehr als drei Worten anzugeben, ohne allerdings in ausufernde, unübersichtliche und komplizierte Formulierungen zu verfallen (Hötzendorfer/Tschohl/Kastelitz in Knyrim, DatKomm Art. 5 DSGVO [Stand 07.05.2020, rdb.at] Rz 26).

Die Überprüfung der Rechtmäßigkeit einer Verarbeitung ist sohin nur möglich, wenn der betroffenen Person eindeutig klar ist, welche Daten für welchen Zweck von welchem Verarbeiter einer Datenverarbeitung unterzogen werden.

Dies trifft auf den vorliegenden Fall jedoch nicht zu: Die Beschwerdegegnerin führt in diesem Zusammenhang an, dass sie Daten verarbeitet, „um ihren Kunden Informationsdienstleistungen bereitzustellen. Dazu zählen Auskünfte über die wirtschaftliche Leistungsfähigkeit von juristischen und natürlichen Personen (‚Kreditinformationen‘) ebenso wie die Übermittlung von Daten zu Zwecken des Adresshandels, der Werbung und der Marktanalyse (‚Marketingdaten‘).“ In weiterer Folge legt die Beschwerdegegnerin dar, welche Kategorien personenbezogener Daten unter „Kreditinformationen“ und welche unter „Marketinginformationen“ fallen würden (Kreditinformationen: „Name, Geschlecht, Geburtsdatum, Familienstand, Anschrift und Kontaktdaten, Interessen und Kaufverhalten, Zahlungserfahrungen, Familienzusammensetzung, Finanzdaten, Daten zum Lebensstil, Beruf, Bildung und Weiterbildung“; Marketinginformationen: „Name, Geschlecht, Geburtsdatum, Familienstand, Anschrift und Kontaktdaten, Interessen und Kaufverhalten, Familienzusammensetzung, Finanzdaten, Daten zum Lebensstil, Beruf, Bildung und Weiterbildung“). Der Datenauskunft der Beschwerdegegnerin kann lediglich entnommen werden, ob zu den aufgelisteten Kategorien entsprechende Daten von ihr verarbeitet werden. Die Beschwerdegegnerin hat im Ergebnis „zu jedem der von ihr verfolgten Zwecke, d.h., der Sammlung von Kreditinformationen, wie auch der Sammlung von Marketinginformationen, die jeweiligen Kategorien an Daten genannt, die verarbeitet werden können.“

Damit hat die Beschwerdegegnerin jedoch die Verarbeitungszwecke nicht hinreichend bestimmt:

Informationen über die Zwecke gemäß Art. 15 Abs. 1 lit. a DSGVO müssen den/die genauen Zweck(e) im konkreten Fall der antragstellenden betroffenen Person genau angeben. Es reicht nicht aus, die allgemeinen Zwecke des für die Verarbeitung Verantwortlichen anzuführen, ohne klarzustellen, welche(n) Zweck(e) der für die Verarbeitung Verantwortliche im aktuellen Fall der antragstellenden betroffenen Person verfolgt. Erfolgt die Verarbeitung zu mehreren Zwecken, muss der für die Verarbeitung Verantwortliche klarstellen, welche Datenkategorien für welche(n) Zweck(e) verarbeitet werden (vgl. Guidelines 01/2022 on data subject rights - Right of access, Version 1.0., Adopted on 18 January, Rz 112). Zur Erfüllung des Auskunftsantrags kann es somit notwendig sein, dass die Zwecke den konkreten Daten, allenfalls Datenkategorien, zugeordnet werden, wenn sonst eine Rechtmäßigkeitskontrolle durch den Betroffenen nicht möglich wäre (Haidinger in Knyrim, DatKomm Art 15 DSGVO [Stand 01.12.2021, rdb.at] Rz 37/1).

Vor diesem Hintergrund lässt sich festhalten, dass die Beschwerdegegnerin die allgemeinen Verarbeitungszwecke – Bereitstellung von Kreditinformationen und Marketinginformationen – anführt, die ihren geführten Gewerben gemäß § 152 GewO (Auskunftei über Kreditverhältnisse) und § 151 GewO (Adressverlag und Direktmarketingunternehmen) entsprechen und dass sich aus den Ausführungen (in ihrer Auskunft vom 05.11.2018) ergibt, dass die personenbezogenen Daten für beide Zwecke verarbeitet werden. Die Beschwerdegegnerin hat auch die Kategorien personenbezogener Daten aufgelistet, die für die jeweiligen Zwecke verarbeitet werden.

Im vorliegenden Fall erweist sich jedoch die Zuordnung der Datenkategorien zu den Zwecken als nicht ausreichend, zumal die jeweils angeführten Datenkategorien nahezu identisch sind – bis auf die Kategorie „Zahlungserfahrungen“, die ausschließlich den Kreditinformationen zugeordnet ist, werden die restlichen Datenkategorien sowohl den „Kreditinformationen“ als auch den „Marketinginformationen“ zugeordnet – und des Weiteren verschiedene Datenquellen vorliegen. Der Auskunft der Beschwerdegegnerin kann allerdings nicht entnommen werden, welche der verarbeiteten Daten der jeweiligen Datenquelle jeweils für welche/n Zweck/e (Kreditinformationen und/oder Marketinginformationen) verarbeitet werden. Hier ist insbesondere zu beachten, dass ein Teil der verarbeiteten Daten des Beschwerdeführers von Adressverlagen und Direktmarketingunternehmen stammt (so etwa bezüglich der Adressen und des Einkommens des Beschwerdeführers) und diese Daten gemäß § 151 Abs. 6 GewO einer Verwendungsbeschränkung unterliegen. Demnach dürfen Adressverlage und Direktmarketingunternehmen für Marketingzwecke erhobene Marketinginformationen und -klassifikationen an Dritte nur dann übermitteln, wenn diese unbedenklich erklären, dass sie diese Analyseergebnisse ausschließlich für Marketingzwecke verwenden werden. Die Beschwerdegegnerin darf die von Adressverlagen und Direktmarketingunternehmen stammenden Daten (hier: manche Adressen und das Einkommen des Beschwerdeführers) daher ausschließlich für Marketingzwecke verwenden. Das bzw. eine derartige Zuordnung geht aus der Auskunft der Beschwerdegegnerin aber nicht hervor. Erfolgt die Verarbeitung (wie von der Beschwerdegegnerin vorliegend angegeben) zu mehreren Zwecken, muss der für die Verarbeitung Verantwortliche aber klarstellen, welche Datenkategorien für welche(n) Zweck(e) verarbeitet werden. Folglich kann der Ansicht des Beschwerdeführers, dass die Einhaltung dieser Beschränkung nur aufgrund einer konkreten Zuordnung dieser Daten zu den einzelnen Verarbeitungszwecken geprüft werden könne, gefolgt werden. Zur Erfüllung des Auskunftsantrags war bzw. ist es somit notwendig, dass die unterschiedlichen Zwecke (hier: Bereitstellung von Kreditinformationen und Marketinginformationen) den konkreten Daten (zu den verschiedenen Adressen und dem Einkommen) zugeordnet werden, da sonst eine Rechtmäßigkeitskontrolle durch den Beschwerdeführer nicht möglich ist. Die Auskunft der Beschwerdegegnerin entsprach bzw. entspricht somit nicht den Anforderungen des Art. 15 Abs. 1 lit. a DSGVO.

Es war daher der Beschwerde diesbezüglich stattzugeben und festzustellen, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie keine ausreichenden Informationen über die Verarbeitungszwecke gemäß Art. 15 Abs. 1 lit. a DSGVO bereitgestellt hat und des Weiteren der Beschwerdegegnerin aufzutragen, binnen vier Wochen bei sonstiger Exekution, dem Beschwerdeführer eine hinreichend bestimmte Auskunft zu den Verarbeitungszwecken gemäß Art. 15 Abs. 1 lit. a DSGVO zu erteilen (vgl. zur Feststellungskompetenz jüngst VwGH 06.03.2024, Ro 2021/04/0030-4 bis 0031-5).

3.3.2.2.3. Zur Auskunft über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – Erteilung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 15 Abs. 1 lit. h DSGVO):

Zunächst ist festzuhalten, dass im vorliegenden Fall – entgegen den Ausführungen der Beschwerdegegnerin – eine automatisierte Entscheidungsfindung bei der Erstellung einer Bonitätsbewertung des Beschwerdeführers/Errechnung eines Scorewertes vorliegt.

Nach der Rechtsprechung des EuGH ist Art. 22 Abs. 1 DSGVO dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet. Nur durch diese Auslegung kann nach der Rechtsprechung des EuGH im Hinblick auf das Auskunftsrecht eine Rechtsschutzlücke geschlossen werden, nämlich, dass die Auskunftei mangels Art. 22-Entscheidung ein Auskunftsrecht nach Art. 15 Abs. lit. h DSGVO ablehnt, der Vertragspartner aber nicht in der Lage ist, die notwendigen Informationen zu liefern (EuGH 07.12.2023, C-634/21, SCHUFA).

Für den vorliegenden Fall ist dazu festzuhalten, dass durch die Beschwerdegegnerin ein auf personenbezogene Daten des Beschwerdeführers gestützter Wahrscheinlichkeitswert in Bezug auf dessen Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen automatisiert erstellt wird (Scorewert) und – nach den diesbezüglich von den Beschwerdegegnerin unbestritten gebliebenen Ausführungen des Beschwerdeführer mit Verweis auf das Schreiben des Datenschutzbeauftragten der XXXX vom 16.01.2021 – der zum Beschwerdeführer errechnete Scorewert die Entscheidung des Kunden der Beschwerdegegnerin, ob er mit dem Betroffenen einen Vertrag abschließt bzw. durchführt, maßgeblich beeinflusst, sohin eine automatisierte Entscheidung im Einzelfall iSd Art. 22 DSGVO gegeben ist.

Zur Frage, welche Informationen unter den Wortlaut von Art. 15 Abs. 1 lit. h DSGVO zu subsumieren sind, hat der EuGH ausgesprochen, dass dies alle Informationen, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses auf der Grundlage dieser Daten maßgeblich sind, betrifft, sohin auch Informationen zur Tragweite und den angestrebten Auswirkungen. Der Betroffene habe ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem diese Entscheidung geführt hat. Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstelle. Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 Buchst. h DSGVO müssten also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte. Was konkret ein Profiling wie das im Ausgangsverfahren in Rede stehende betrifft, könnte das vorlegende Gericht es insbesondere als ausreichend transparent und nachvollziehbar erachten, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte (EuGH 27.02.2025, C-203/22, Rz 43ff).

Vor diesem Hintergrund ergibt sich, dass die Beschwerdegegnerin dem Beschwerdeführer jedenfalls eine Auskunft über die herangezogenen Parameter/Eingangsvariablen, deren Gewichtung und Informationen zum Zustandekommen der Parameter/Eingangsvariablen, zur Funktionsweise des Algorithmus und des Ergebnisses in verständlicher Form, sowie eine Erklärung, weshalb der Beschwerdeführer einem bestimmten Bewertungsergebnis (Ratingwert von 2,02 und Ampelscore von 2) zugeordnet wurde, um es dem Beschwerdeführer zu ermöglichen, die Richtigkeit und Zulässigkeit der automatisierten Entscheidungsfindung zu überprüfen, zu erteilen hat.

Die von der Beschwerdegegnerin bisher erteilten Informationen sind – wie der Beschwerdeführer zutreffend ausführt – jedenfalls zu allgemein gehalten und nicht konkret auf den Beschwerdeführer bezogen, womit die Auskunft nicht den Vorgaben des Art. 15 DSGVO, welche durch die zitierte Rechtsprechung des EuGH konkretisiert wurden, entspricht, zumal nur Datenkategorien bzw. allgemein „statistische Werte“, welche in die Berechnung des Ratingwerts eingeflossen sind, nicht jedoch die konkret den Beschwerdeführer betreffenden verarbeiteten Daten beauskunftet wurden, eine konkrete Gewichtung der unterschiedlichen (nicht näher genannten) Daten, die in die Berechnung des Ratingwerts einfließen, nicht beschrieben wurde, lediglich ein Scorewert aus den Jahren 2016 und 2018 beauskunftet wurde und hinsichtlich der Profilkategorien (welche Bonitätsumfeld, [allgemeine] Umfelddaten und soziodemografische Daten einfließen) nur ansatzweise der Einfluss der Daten [positiv, negativ, neutral]) mitgeteilt wurde, worin keine ausreichend präzise und verständliche Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem diese Entscheidung geführt hat, zu sehen ist. Auch die erteilten Informationen zur Tragweite und den angestrebten Auswirkungen sind – wie der Beschwerdeführer zutreffend ausführt – nur allgemeiner und offenbar beispielhafter Natur, wobei die Auswirkung der jeweils verarbeiteten Daten(kategorien) nur unzureichend beschrieben wird. Es liegen auch keine Informationen der Beschwerdegegnerin darüber vor, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten des Beschwerdeführers zu einem anderen Ergebnis geführt hätte. Die von der Beschwerdegegnerin gegebene Auskunft kann daher nicht als ausreichend transparent und nachvollziehbar angesehen werden.

Zusammengefasst hat die Beschwerdegegnerin konkret darzustellen, welche personenbezogenen Daten des Beschwerdeführers im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden und wie das Bewertungsergebnis des Beschwerdeführers konkret zustande kam. Die Beschwerdegegnerin müsste, mit den Worten des EuGH im genannten Urteil, in präziser, transparenter, verständlicher und leicht zugänglicher Form das Verfahren und die Grundsätze erläutern, anhand derer das tatsächliche Profiling (hier der Ratingwert von 2,02 und der Ampelscore von 2) erstellt wurde, damit ihre Auskunft den Anforderungen des Art. 15 Abs. 1 lit. h DSGVO entspricht.

Diesbezüglich ist auch darauf hinzuweisen, dass die Beschwerdegegnerin im Verfahren nur allgemein das Vorliegen von Geschäftsgeheimnissen behauptet, zu den Voraussetzungen für das Vorliegen von Geschäftsgeheimnissen jedoch kein konkretes Vorbringen erstattet hat, geschweige denn der belangten Behörde oder dem Bundesverwaltungsgericht die angeblich geschützten Informationen übermittelt hat. Wie beweiswürdigend ausgeführt, ist die Beschwerdegegnerin dem diesbezüglichen Auftrag des Bundesverwaltungsgerichts nicht nachgekommen und hat diese dem Bundesverwaltungsgericht keine (geschützten) Informationen und Daten bereitgestellt, womit das Vorliegen von Geschäftsgeheimnissen von der Beschwerdegegnerin auch im Verfahren vor dem Bundesverwaltungsgericht nicht konkret belegt werden konnte. Vor diesem Hintergrund vermag das Bundesverwaltungsgericht im konkreten Fall nicht zu erkennen, dass die von der Beschwerdegegnerin im Ergebnis begehrte Beschränkung des Umfangs des dem Beschwerdeführer gemäß Art. 15 Abs. 1 lit. h DSGVO gewährleisteten Auskunftsrechts eine notwendige und verhältnismäßige Maßnahme darstellt. Im Übrigen hat der EuGH in seiner Entscheidung vom 27.02.2025, C-203/22, festgehalten, dass auch das Vorliegen von Geschäftsgeheimnissen nicht dazu führen darf, dass der betroffenen Person jegliche Auskunft verweigert wird.

Der Beschwerde war daher auch diesbezüglich stattzugeben und es war festzustellen, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Auskunft verletzt hat, indem sie keine aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der die Daten des Beschwerdeführers betreffenden automatisierten Entscheidungsfindung (Berechnung von Bonitätsscores) erteilt hat, und es war der Beschwerdegegnerin aufzutragen, binnen vier Wochen bei sonstiger Exekution, dem Beschwerdeführer aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der die Daten des Beschwerdeführers betreffenden automatisierten Entscheidungsfindung (Berechnung von Bonitätsscores) gemäß Art. 15 Abs. 1 lit. h DSGVO zu erteilen.

Der Vollständigkeit halber ist festzuhalten, dass aus Sicht des Bundesverwaltungsgerichtes die in der gegenständlichen Entscheidung vorgeschriebene Handlungsverpflichtung der Beschwerdegegnerin ausreichend klar und demnach auch in einer exekutionsfähigen Weise konkretisierbar ist (vgl. hierzu auch das hg. Erkenntnis vom 23.10.2019, W256 2217011-1/11E sowie das Vorabentscheidungsersuchen des Verwaltungsgerichts Wien vom 11.02.2022, GZ VGW-101/042/791/2020-44).

3.4. Gemäß § 24 Abs. 1 VwGVG hat das Verwaltungsgericht auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

Gemäß § 24 Abs. 4 VwGVG kann – soweit durch Bundes- oder Landesgesetz nichts anderes bestimmt ist – das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 EMRK noch Art. 47 GRC entgegenstehen.

Ein solcher Fall liegt hier vor: Im vorliegenden Fall ist der entscheidungsrelevante Sachverhalt anhand der Aktenlage feststehend und geklärt. Zu einer Lösung von Rechtsfragen ist im Sinne der Judikatur des EGMR eine mündliche Verhandlung nicht geboten. Die EMRK und die GRC stehen der Abstandnahme von einer mündlichen Verhandlung daher nicht entgegen. Aus diesen Gründen war es auch von Amts wegen nicht erforderlich, eine öffentliche mündliche Verhandlung durchzuführen.

Zu B)

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die vorliegende Entscheidung hängt nicht von der Lösung einer Rechtsfrage ab, der grundsätzliche Bedeutung zukommt. Weder fehlt es an einer Rechtsprechung des Verwaltungsgerichtshofes noch weicht die gegenständliche Entscheidung von der Rechtsprechung des Verwaltungsgerichtshofes ab; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Es liegen auch keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfragen vor. Das Bundesverwaltungsgericht kann sich bei allen erheblichen Rechtsfragen auf eine ständige Rechtsprechung des Verwaltungsgerichtshofes bzw. auf eine ohnehin klare Rechtslage stützen. Es ist auch nicht ersichtlich, dass sich im konkreten Fall eine Rechtsfrage stellt, die über den (hier vorliegenden konkreten) Einzelfall hinaus Bedeutung entfaltet. Ausgehend davon kann eine Rechtsfrage von grundsätzlicher Bedeutung auch insofern nicht bejaht werden. Es war daher auszusprechen, dass die Revision gemäß Art. 133 Abs. 4 B-VG nicht zulässig ist.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte