This document is an excerpt from the EUR-Lex website
Document 62021CJ0634
Judgment of the Court (First Chamber) of 7 December 2023.#OQ v Land Hessen.#Request for a preliminary ruling from the Verwaltungsgericht Wiesbaden.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Article 22 – Automated individual decision-making – Credit information agencies – Automated establishment of a probability value concerning the ability of a person to meet payment commitments in the future (‘scoring’) – Use of that probability value by third parties.#Case C-634/21.
Domstolens dom (Første Afdeling) af 7. december 2023.
OQ mod Land Hessen.
Anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden.
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 22 – automatiske individuelle afgørelser – kreditoplysningsbureauer – automatisk fastsættelse af en sandsynlighedsværdi vedrørende en persons evne til at opfylde sine betalingsforpligtelser i fremtiden (»scoring«) – tredjemænds anvendelse af denne sandsynlighedsværdi.
Sag C-634/21.
Domstolens dom (Første Afdeling) af 7. december 2023.
OQ mod Land Hessen.
Anmodning om præjudiciel afgørelse indgivet af Verwaltungsgericht Wiesbaden.
Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 22 – automatiske individuelle afgørelser – kreditoplysningsbureauer – automatisk fastsættelse af en sandsynlighedsværdi vedrørende en persons evne til at opfylde sine betalingsforpligtelser i fremtiden (»scoring«) – tredjemænds anvendelse af denne sandsynlighedsværdi.
Sag C-634/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:957
*A9* Verwaltungsgericht Wiesbaden, beschluss vom 01/10/2021 (6 K 788/20.W1)
DOMSTOLENS DOM (Første Afdeling)
7. december 2023 ( *1 )
»Præjudiciel forelæggelse – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – forordning (EU) 2016/679 – artikel 22 – automatiske individuelle afgørelser – kreditoplysningsbureauer – automatisk fastsættelse af en sandsynlighedsværdi vedrørende en persons evne til at opfylde sine betalingsforpligtelser i fremtiden (»scoring«) – tredjemænds anvendelse af denne sandsynlighedsværdi«
I sag C-634/21,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) ved afgørelse af 1. oktober 2021, indgået til Domstolen den 15. oktober 2021, i sagen
OQ
mod
Land Hessen,
procesdeltager:
SCHUFA Holding AG,
har
DOMSTOLEN (Første Afdeling),
sammensat af afdelingsformanden, A. Arabadjiev, og dommerne T. von Danwitz, P.G. Xuereb, A. Kumin (refererende dommer) og I. Ziemele,
generaladvokat: P. Pikamäe,
justitssekretær: fuldmægtig C. Di Bella,
på grundlag af den skriftlige forhandling og efter retsmødet den 26. januar 2023,
efter at der er afgivet indlæg af:
– |
OQ ved Rechtsanwalt U. Schmidt, |
– |
Land Hessen ved Rechtsanwälte M. Kottmann og G. Ziegenhorn, |
– |
SCHUFA Holding AG ved G. Thüsing og Rechtsanwalt U. Wuermeling, |
– |
den tyske regering ved P.-L. Krüger, som befuldmægtiget, |
– |
den danske regering ved V. Pasternak Jørgensen, M. Søndahl Wolff og Y. Thyregod Kollberg, som befuldmægtigede, |
– |
den portugisiske regering ved P. Barros da Costa, I. Oliveira, J. Ramos og C. Vieira Guerra, som befuldmægtigede, |
– |
den finske regering ved M. Pere, som befuldmægtiget, |
– |
Europa-Kommissionen ved A. Bouchagiar, F. Erlbacher og H. Kranenborg, som befuldmægtigede, |
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 16. marts 2023,
afsagt følgende
Dom
1 |
Anmodningen om præjudiciel afgørelse vedrører fortolkningen af artikel 6, stk. 1, og artikel 22 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, berigtiget i EUT 2018, L 127, s. 2, herefter »databeskyttelsesforordningen«). |
2 |
Anmodningen er blevet indgivet i forbindelse med en tvist mellem OQ og Land Hessen (delstaten Hessen, Tyskland) vedrørende Hessischer Beauftragter für Datenschutz und Informationsfreiheits (delstaten Hessens ansvarlige for databeskyttelse og informationsfrihed, Tyskland, herefter »HBDI«) afslag på at pålægge SCHUFA Holding AG (herefter »SCHUFA«) at efterkomme en anmodning fra OQ om indsigt i og sletning af personoplysninger vedrørende vedkommende. |
Retsforskrifter
EU-retten
3 |
Følgende fremgår af 71. betragtning til databeskyttelsesforordningen: »Den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling, og som har retsvirkning eller som på tilsvarende vis betydeligt påvirker den pågældende, såsom et automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben. En sådan behandling omfatter »profilering«, der består af enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomisk[e] situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser, når den har retsvirkning for den pågældende eller på tilsvarende vis betydeligt påvirker den pågældende. Afgørelser baseret på en sådan behandling, herunder profilering, bør dog være tilladt, når EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, udtrykkelig tillader det, herunder med henblik på overvågning og forebyggelse af svig og skatteunddragelse i overensstemmelse med EU-institutionernes eller nationale tilsynsmyndigheders forskrifter, standarder og henstillinger og for at garantere sikkerheden og pålideligheden af en tjeneste, der ydes af den dataansvarlige, eller hvis det er nødvendigt for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, eller når den registrerede har givet sit udtrykkelige samtykke. En sådan behandling bør under alle omstændigheder være omfattet af de fornødne garantier, herunder specifik underretning af den registrerede og retten til menneskelig indgriben, til at fremkomme med synspunkter, til at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og til at bestride afgørelsen. En sådan foranstaltning bør ikke omfatte et barn. For at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under, bør den dataansvarlige anvende passende matematiske eller statistiske procedurer til profileringen, gennemføre tekniske og organisatoriske foranstaltninger, der navnlig kan sikre, at faktorer, der resulterer i unøjagtige personoplysninger, bliver rettet, og at risikoen for fejl minimeres, sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder, og hindre bl.a. forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering, eller behandling, som resulterer i foranstaltninger, der har en sådan virkning. Automatiske afgørelser og profilering baseret på særlige kategorier af personoplysninger bør kun tillades under særlige omstændigheder.« |
4 |
Denne forordnings artikel 4 med overskriften »Definitioner« fastsætter følgende: »I denne forordning forstås ved: […]
[…]« |
5 |
Forordningens artikel 5 med overskriften »Principper for behandling af personoplysninger« bestemmer følgende: »1. Personoplysninger skal:
2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).« |
6 |
Databeskyttelsesforordningens artikel 6 med overskriften »Lovlig behandling« bestemmer følgende i stk. 1 og 3: »1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
[…] 3. Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:
Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. […]« |
7 |
Denne forordnings artikel 9 med overskriften »Behandling af særlige kategorier af personoplysninger« har følgende ordlyd: »1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. 2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
[…]
[…]« |
8 |
Forordningens artikel 13 med overskriften »Oplysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer følgende i stk. 2: »Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling: […]
|
9 |
Databeskyttelsesforordningens artikel 14 med overskriften »Oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede«, bestemmer følgende i stk. 2: »Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige den registrerede følgende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling for så vidt angår den registrerede: […]
|
10 |
Denne forordnings artikel 15 med overskriften »Den registreredes indsigtsret« bestemmer følgende i stk. 1: »Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information: […]
|
11 |
Forordningens artikel 22 med overskriften »Automatiske individuelle afgørelser, herunder profilering«, fastsætter følgende: »1. Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. 2. Stk. 1 finder ikke anvendelse, hvis afgørelsen:
3. I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at fremkomme med sine synspunkter og til at bestride afgørelsen. 4. De afgørelser, der er omhandlet i stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.« |
12 |
Databeskyttelsesforordningens artikel 78 med overskriften »Adgang til effektive retsmidler over for en tilsynsmyndighed« bestemmer følgende i stk. 1: »Uden at det berører andre administrative eller udenretslige klageadgange, har enhver fysisk eller juridisk person ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende.« |
Tysk ret
13 |
§ 31 i Bundesdatenschutzgesetz (forbundslov om databeskyttelse) af 30. juni 2017 (BGBl. I, s. 2097, herefter »BDSG«) med overskriften »Beskyttelse af økonomiske transaktioner i forbindelse med »scoring« og kreditoplysninger« har følgende ordlyd: »(1) Det er kun tilladt at anvende en sandsynlighedsværdi vedrørende en fysisk persons bestemte fremtidige adfærd med henblik på at træffe afgørelse om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende person (»scoring«), hvis
(2) I tilfælde af, at oplysninger om fordringer inddrages, er det kun tilladt at anvende en sandsynlighedsværdi for en fysisk persons betalingsevne og ‑vilje, som er beregnet af et kreditoplysningsbureau, hvis betingelserne i stk. 1 er opfyldt, og der kun tages hensyn til fordringer vedrørende en skyldig ydelse, som trods forfald ikke er blevet betalt, og
5. hvis tilgrundliggende aftaleforhold kan opsiges uden varsel på grund af forsinkelser med betalingen, og hvor debitor tidligere er blevet informeret om, at et kreditoplysningsbureau eventuelt kan tage hensyn til fordringen. Dette berører ikke den lovlige behandling, herunder fastsættelse af sandsynlighedsværdier, af andre kreditværdighedsrelevante data i overensstemmelse med de almindelige databeskyttelsesretlige regler.« |
Tvisten i hovedsagen og de præjudicielle spørgsmål
14 |
SCHUFA er et privat tysk selskab, der leverer oplysninger til sine aftalepartnere om tredjemænds, herunder forbrugeres, kreditværdighed. I denne forbindelse beregner det en prognose for sandsynligheden af en persons fremtidige adfærd (»score«), såsom tilbagebetaling af et lån, ud fra visse kendetegn for denne person og på grundlag af matematiske og statistiske procedurer. Fastsættelsen af scorer (»scoring«) er baseret på den antagelse, at det ved at henføre en person til en gruppe af andre personer med sammenlignelige karakteristika, som har udvist en bestemt adfærd, er muligt at forudsige en lignende adfærd. |
15 |
Det fremgår af anmodningen om præjudiciel afgørelse, at OQ blev nægtet ydelse af et lån fra en tredjemand efter negative oplysninger om OQ, der var blevet fastlagt af SCHUFA og videregivet til denne tredjemand. OQ anmodede SCHUFA om at fremsende oplysninger om de registrerede personoplysninger og om at slette de personoplysninger, der angiveligt var urigtige. |
16 |
Som svar på denne anmodning underrettede SCHUFA OQ om niveauet for vedkommendes score og redegjorde i store træk for metoden til beregning af scorer. Under henvisning til forretningshemmeligheden nægtede selskabet imidlertid at videregive de forskellige oplysninger, der var taget i betragtning ved denne beregning, og at oplyse, hvordan de var vægtet. Endelig anførte SCHUFA, at selskabet kun videregav oplysninger til sine aftalepartnere, og at det var disse, der traf de egentlige kontraktmæssige beslutninger. |
17 |
Ved en klage indgivet den 18. oktober 2018 anmodede OQ HBDI, den kompetente tilsynsmyndighed, om at pålægge SCHUFA at efterkomme anmodningen om indsigt i oplysningerne og sletning. |
18 |
Ved en afgørelse af 3. juni 2020 afslog HBDI denne anmodning om påbud, idet myndigheden forklarede, at det ikke var godtgjort, at SCHUFA ikke overholdt de krav i henhold til BDSG’s § 31, der påhvilede selskabet med hensyn til dets aktivitet. |
19 |
OQ anlagde i henhold til databeskyttelsesforordningens artikel 78, stk. 1, sag til prøvelse af denne afgørelse ved Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland), som er den forelæggende ret. |
20 |
Ifølge den forelæggende ret skal det med henblik på at træffe afgørelse i den tvist, der er indbragt for den, afgøres, om fastsættelsen af en sandsynlighedsværdi som den i hovedsagen omhandlede udgør en automatisk individuel afgørelse som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1. Hvis dette er tilfældet, er lovligheden af denne aktivitet nemlig i overensstemmelse med denne forordnings artikel 22, stk. 2, litra b), betinget af, at denne afgørelse er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt. |
21 |
I denne henseende nærer den forelæggende ret tvivl med hensyn til den opfattelse, at databeskyttelsesforordningens artikel 22, stk. 1, ikke finder anvendelse på den aktivitet, der udøves af selskaber som SCHUFA. Den forelæggende ret bygger på det faktuelle plan sin tvivl på den betydning, som en sandsynlighedsværdi som den i hovedsagen omhandlede har for afgørelsespraksis hos de tredjemænd, som denne sandsynlighedsværdi overføres til, og på det retlige plan hovedsageligt på det formål, der forfølges med artikel 22, stk. 1, og på de retsbeskyttelsesgarantier, der er fastsat i databeskyttelsesforordningen. |
22 |
Den forelæggende ret har nærmere bestemt fremhævet, at det er sandsynlighedsværdien, der normalt afgør, om og hvordan tredjemanden indgår aftaler med den registrerede. Databeskyttelsesforordningens artikel 22 tager imidlertid netop sigte på at beskytte personer mod de risici, der er forbundet med afgørelser, der alene er baseret på automatik. |
23 |
Hvis databeskyttelsesforordningens artikel 22, stk. 1, derimod skal fortolkes således, at en afgørelse kun kan anerkendes at have karakter af »automatisk individuel afgørelse« i en situation som den i hovedsagen omhandlede, hvis den er truffet af tredjemanden i forhold til den registrerede, vil der som følge heraf opstå en lakune i retsbeskyttelsen. For det første vil et selskab som SCHUFA nemlig ikke være forpligtet til at give adgang til de supplerende oplysninger, som den registrerede har ret til i henhold til denne forordnings artikel 15, stk. 1, litra h), eftersom dette selskab ikke vil være det selskab, der træffer en »automatisk afgørelse« som omhandlet i denne bestemmelse og følgelig som omhandlet i nævnte forordnings artikel 22, stk. 1. For det andet vil den tredjemand, som sandsynlighedsværdien videregives til, ikke kunne fremlægge disse supplerende oplysninger, da den pågældende ikke er i besiddelse heraf. |
24 |
Ifølge den forelæggende ret er det for at undgå en sådan lakune i retsbeskyttelsen således nødvendigt, at fastsættelsen af en sandsynlighedsværdi som den i hovedsagen omhandlede er omfattet af anvendelsesområdet for databeskyttelsesforordningens artikel 22, stk. 1. |
25 |
Hvis en sådan fortolkning lægges til grund, vil lovligheden af denne aktivitet således være betinget af, at der foreligger et retsgrundlag i den pågældende medlemsstat i overensstemmelse med databeskyttelsesforordningens artikel 22, stk. 2, litra b). Selv om BDSG’s § 31 i det foreliggende tilfælde ganske vist kunne udgøre et sådant retsgrundlag i Tyskland, er der imidlertid alvorlig tvivl om, hvorvidt denne bestemmelse er forenelig med forordningens artikel 22, idet den tyske lovgiver kun regulerer »anvendelsen« af en sandsynlighedsværdi som den i hovedsagen omhandlede og ikke selve fastsættelsen af denne værdi. |
26 |
Hvis fastsættelsen af en sådan sandsynlighedsværdi derimod ikke udgør en automatisk individuel afgørelse som omhandlet i databeskyttelsesforordningens artikel 22, finder åbningsbestemmelsen i artikel 22, stk. 2, litra b), heller ikke anvendelse på de nationale lovgivninger vedrørende denne aktivitet. Henset til databeskyttelsesforordningens principielt udtømmende karakter og i mangel af en anden reguleringsbeføjelse vedrørende sådanne nationale lovgivninger synes den tyske lovgiver, ved at knytte mere vidtgående materielle betingelser til lovligheden af fastsættelsen af sandsynlighedsværdier, at præcisere reguleringsstoffet ved at gå videre end de krav, der er fastsat i databeskyttelsesforordningens artikel 6 og 22, uden at have lovgivningsbeføjelse hertil. Hvis dette synspunkt var korrekt, ville dette ændre grænserne for den nationale tilsynsmyndigheds undersøgelse, idet den i så fald ville skulle bedømme foreneligheden af kreditoplysningsbureauernes aktivitet på grundlag af forordningens artikel 6. |
27 |
Under disse omstændigheder har Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
|
Spørgsmålet, om anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling
28 |
SCHUFA har bestridt, at anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling og har herved for det første gjort gældende, at den forelæggende ret ikke skal efterprøve indholdet af en klageafgørelse, der er truffet af en tilsynsmyndighed som HBDI, eftersom det retsmiddel til prøvelse af en sådan afgørelse, der er omhandlet i databeskyttelsesforordningens artikel 78, stk. 1, alene har til formål at efterprøve, om denne myndighed har overholdt sine forpligtelser i henhold til forordningen, navnlig forpligtelsen til at behandle klager, idet det præciseres, at myndigheden råder over en skønsbeføjelse til at afgøre, om og hvordan den skal handle. |
29 |
For det andet har SCHUFA gjort gældende, at den forelæggende ret ikke har anført de præcise grunde til, at de forelagte spørgsmål er afgørende for løsningen af tvisten i hovedsagen. Denne vedrører en anmodning om oplysninger om en konkret score og sletning heraf. I det foreliggende tilfælde har SCHUFA imidlertid i tilstrækkelig grad overholdt sin oplysningspligt og allerede slettet den score, der er genstand for sagen. |
30 |
I denne henseende bemærkes, at det følger af Domstolens faste praksis, at det udelukkende tilkommer den nationale ret, for hvilken en tvist er indbragt, og som har ansvaret for den retslige afgørelse, som skal træffes, på grundlag af omstændighederne i den konkrete sag at vurdere, såvel om en præjudiciel afgørelse er nødvendig for, at den kan afsige dom, som relevansen af de spørgsmål, den forelægger Domstolen. Når de stillede spørgsmål vedrører fortolkningen af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse (dom af 12.1.2023, DOBELES HES,C-702/20 og C-17/21, EU:C:2023:1, præmis 46 og den deri nævnte retspraksis). |
31 |
Heraf følger, at der foreligger en formodning for, at spørgsmål om EU-retten er relevante. Domstolen kan alene afvise at træffe afgørelse vedrørende et præjudicielt spørgsmål forelagt af en national ret, såfremt det klart fremgår, at den ønskede fortolkning af en EU-retlig regel savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er af hypotetisk karakter, eller når Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de stillede spørgsmål (dom af 12.1.2023, DOBELES HES,C-702/20 og C-17/21, EU:C:2023:1, præmis 47 og den deri nævnte retspraksis). |
32 |
Hvad for det første angår formalitetsindsigelsen vedrørende den angiveligt begrænsede domstolsprøvelse, som en tilsynsmyndigheds klageafgørelser skulle være underkastet, bemærkes, at enhver fysisk eller juridisk person i overensstemmelse med databeskyttelsesforordningens artikel 78, stk. 1, har ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en tilsynsmyndighed vedrørende vedkommende, uden at det berører andre administrative eller udenretslige klageadgange. |
33 |
I det foreliggende tilfælde udgør den afgørelse, der er vedtaget af HBDI som tilsynsmyndighed, en juridisk bindende afgørelse som omhandlet i databeskyttelsesforordningens artikel 78, stk. 1. Efter at denne myndighed havde undersøgt, om der var grundlag for den klage, som var blevet indgivet til den, traf den nemlig afgørelse om klagen og fastslog, at den behandling af personoplysninger, som sagsøgeren i hovedsagen havde anfægtet, var lovlig. |
34 |
Med hensyn til omfanget af domstolsprøvelsen af en sådan afgørelse i forbindelse med et retsmiddel iværksat i henhold til artikel 78, stk. 1, er det tilstrækkeligt at bemærke, at en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse (dom af 7.12.2023, SCHUFA Holding (Gældssanering), C-26/22 og C-64/22, EU:C:2023:XXX, domskonklusionens punkt 1). |
35 |
SCHUFA’s første formalitetsindsigelse skal derfor forkastes. |
36 |
For det andet fremgår det klart af anmodningen om præjudiciel afgørelse, at den forelæggende ret er i tvivl om, hvilket kriterium for prøvelsen der skal lægges til grund ved vurderingen i lyset af databeskyttelsesforordningen af den i hovedsagen omhandlede behandling af personoplysninger, idet dette kriterium afhænger af, om denne forordnings artikel 22, stk. 1, finder anvendelse eller ej. |
37 |
Det fremgår således ikke klart, at den fortolkning af databeskyttelsesforordningen, som den forelæggende ret har anmodet om, savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, eller at problemet er af hypotetisk karakter. I øvrigt råder Domstolen over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål. |
38 |
SCHUFA’s anden formalitetsindsigelse skal derfor ligeledes forkastes. |
39 |
Under disse omstændigheder kan anmodningen om præjudiciel afgørelse antages til realitetsbehandling. |
Om de præjudicielle spørgsmål
Det første spørgsmål
40 |
Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 22, stk. 1, skal fortolkes således, at et kreditoplysningsbureaus automatiske fastsættelse af en sandsynlighedsværdi på grundlag af personoplysninger om en person og vedrørende dennes evne til at opfylde betalingsforpligtelser i fremtiden udgør en »automatisk individuel afgørelse« som omhandlet i denne bestemmelse, når denne sandsynlighedsværdi er afgørende for, om en tredjepart, som sandsynlighedsværdien videregives til, indgår, gennemfører eller afslutter et aftaleforhold med denne person. |
41 |
Med henblik på besvarelsen af dette spørgsmål skal det indledningsvis bemærkes, at der ved fortolkningen af en EU-retlig bestemmelse ikke blot skal tages hensyn til dennes ordlyd, men også til den sammenhæng, hvori den indgår, og de mål, der forfølges med den ordning, som den udgør en del af (dom af 22.6.2023, Pankki S,C-579/21, EU:C:2023:501, præmis 38 og den deri nævnte retspraksis). |
42 |
Hvad angår ordlyden af databeskyttelsesforordningens artikel 22, stk. 1, fastsættes det i denne bestemmelse, at den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. |
43 |
Anvendelsen af denne bestemmelse er således underlagt tre kumulative betingelser, nemlig for det første, at der foreligger en »afgørelse«, for det andet, at denne afgørelse »alene er baseret på automatisk behandling, herunder profilering«, og for det tredje, at den har »retsvirkninger [for den registrerede]« eller »på tilsvarende vis betydeligt påvirker den pågældende«. |
44 |
Hvad for det første angår betingelsen om, at der foreligger en afgørelse, bemærkes, at begrebet »afgørelse« som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1, ikke er defineret i denne forordning. Det fremgår imidlertid af selve ordlyden af denne bestemmelse, at dette begreb ikke alene henviser til retsakter, der har retsvirkninger for den pågældende person, men også til retsakter, der på tilsvarende vis betydeligt påvirker vedkommende. |
45 |
Den vide rækkevidde, som begrebet »afgørelse« har, bekræftes af 71. betragtning til databeskyttelsesforordningen, hvorefter en afgørelse, som evaluerer bestemte personlige forhold vedrørende en person, og som denne person bør have ret til ikke at blive gjort til genstand for, »kan omfatte en foranstaltning«, som kan have »retsvirkning« eller »på tilsvarende vis betydeligt [påvirke] den pågældende«. Ifølge denne betragtning er eksempelvis et automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben omfattet af udtrykket »afgørelse«. |
46 |
Da begrebet »afgørelse« som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1, således som generaladvokaten har anført i punkt 38 i forslaget til afgørelse, kan omfatte flere handlinger, som kan berøre den registrerede på mange måder, er dette begreb tilstrækkeligt bredt til at omfatte resultatet af beregningen af en persons kreditværdighed i form af en sandsynlighedsværdi vedrørende denne persons evne til at opfylde betalingsforpligtelser i fremtiden. |
47 |
Hvad for det andet angår betingelsen om, at afgørelsen som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1, »alene er baseret på automatisk behandling, herunder profilering«, står det som anført af generaladvokaten i punkt 33 i forslaget til afgørelse fast, at en aktivitet som den, SCHUFA udøver, opfylder definitionen af »profilering« i databeskyttelsesforordningens artikel 4, nr. 4), og at denne betingelse derfor er opfyldt i det foreliggende tilfælde, idet ordlyden af det første præjudicielle spørgsmål i øvrigt udtrykkeligt henviser til automatisk fastsættelse af en sandsynlighedsværdi på grundlag af personoplysninger om en person og vedrørende dennes evne til at tilbagebetale et lån i fremtiden. |
48 |
Hvad for det tredje angår betingelsen om, at afgørelsen har »retsvirkninger« for den registrerede eller »på tilsvarende vis betydeligt« påvirker den pågældende, fremgår det af selve indholdet af det første præjudicielle spørgsmål, at den handling, der foretages af den tredjepart, til hvem sandsynlighedsværdien overføres, på »afgørende« vis påvirkes af denne værdi. Ifølge den forelæggende rets faktiske konstateringer medfører en utilstrækkelig sandsynlighedsværdi, når en forbruger ansøger en bank om et lån, således i næsten alle tilfælde, at banken afslår at yde det ønskede lån. |
49 |
Under disse omstændigheder skal det fastslås, at den tredje betingelse for anvendelsen af databeskyttelsesforordningens artikel 22, stk. 1, ligeledes er opfyldt, idet en sandsynlighedsværdi som den i hovedsagen omhandlede i det mindste påvirker den registrerede betydeligt. |
50 |
Det følger heraf, at under omstændigheder som de i hovedsagen omhandlede, hvor den sandsynlighedsværdi, der er fastsat af et kreditoplysningsbureau og videregivet til en bank, spiller en afgørende rolle i forbindelse med ydelsen af en kredit, skal fastsættelsen af denne værdi i sig selv kvalificeres som en afgørelse, der i forhold til en registreret har »retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende« som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1. |
51 |
Denne fortolkning understøttes af den sammenhæng, hvori databeskyttelsesforordningens artikel 22, stk. 1, indgår, og af de mål, der forfølges med denne forordning. |
52 |
Det skal i denne henseende bemærkes, at databeskyttelsesforordningens artikel 22, stk. 1, således som generaladvokaten har anført i punkt 31 i forslaget til afgørelse, giver den registrerede »ret« til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering. Denne bestemmelse fastsætter et principielt forbud, hvis overtrædelse ikke kræver, at den registrerede individuelt gør denne overtrædelse gældende. |
53 |
Som det følger af databeskyttelsesforordningens artikel 22, stk. 2, sammenholdt med 71. betragtning til denne forordning, er det nemlig kun tilladt at vedtage en afgørelse, der alene er baseret på automatisk behandling, i de tilfælde, der er omhandlet i artikel 22, stk. 2, nemlig når en sådan afgørelse er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig [litra a)], når den er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt [litra b)], eller når den er baseret på den registreredes udtrykkelige samtykke [litra c)]. |
54 |
Desuden bestemmer databeskyttelsesforordningens artikel 22 i stk. 2, litra b), og i stk. 3, at der skal fastsættes passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser. I de tilfælde, der er omhandlet i forordningens artikel 22, stk. 2, litra a) og c), gennemfører den dataansvarlige i det mindste den registreredes ret til menneskelig indgriben, til at fremkomme med sine synspunkter og til at bestride afgørelsen. |
55 |
I øvrigt er det i henhold til databeskyttelsesforordningens artikel 22, stk. 4, kun i visse specifikke tilfælde, at automatiske individuelle afgørelser som omhandlet i artikel 22 må baseres på de særlige kategorier af personoplysninger, der er omhandlet i forordningens artikel 9, stk. 1. |
56 |
Desuden er den dataansvarlige i tilfælde af en automatisk afgørelse som den, der er omhandlet i databeskyttelsesforordningens artikel 22, stk. 1, for det første underlagt yderligere oplysningsforpligtelser i henhold til forordningens artikel 13, stk. 2, litra f), og artikel 14, stk. 2, litra g). For det andet har den registrerede i henhold til forordningens artikel 15, stk. 1, litra h), ret til fra den dataansvarlige at få bl.a. »meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede«. |
57 |
Disse højere krav til lovligheden af automatiske afgørelser samt den dataansvarliges yderligere oplysningsforpligtelser og den registreredes yderligere indsigtsret, der er knyttet hertil, skyldes det mål, der forfølges med databeskyttelsesforordningens artikel 22, nemlig at beskytte personer mod de særlige risici, som automatisk behandling af personoplysninger, herunder profilering, udgør for deres rettigheder og frihedsrettigheder. |
58 |
Denne behandling indebærer nemlig, således som det fremgår af 71. betragtning til databeskyttelsesforordningen, en evaluering af personlige forhold vedrørende den fysiske person, der er berørt af behandlingen, navnlig for at analysere eller forudsige forhold vedrørende den pågældendes arbejdsindsats, økonomiske situation, helbred, præferencer, interesser, pålidelighed, adfærd, geografiske position eller bevægelser. |
59 |
Disse særlige risici kan ifølge denne betragtning være potentielle risici for den registreredes legitime interesser og rettigheder, bl.a. henset til den mulige forskelsbehandling af fysiske personer på grund af race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetisk status eller helbredstilstand eller seksuel orientering. Der skal derfor, ifølge samme betragtning, fastsættes de fornødne garantier og sikres en rimelig og gennemsigtig behandling for så vidt angår den registrerede, navnlig ved anvendelse af passende matematiske eller statistiske procedurer til profileringen og ved gennemførelse af tekniske og organisatoriske foranstaltninger, der kan sikre, at risikoen for fejl minimeres. |
60 |
Den fortolkning, der er anført i denne doms præmis 42-50, og navnlig den vide rækkevidde af begrebet »afgørelse« som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1, styrker den effektive beskyttelse, der er omhandlet i denne bestemmelse. |
61 |
Under omstændigheder som de i hovedsagen omhandlede, hvor tre aktører er involveret, foreligger der derimod en risiko for omgåelse af databeskyttelsesforordningens artikel 22 og dermed en lakune i retsbeskyttelsen, hvis der anlægges en restriktiv fortolkning af denne bestemmelse, hvorefter fastsættelsen af sandsynlighedsværdien alene skal anses for at være en forberedende retsakt, og kun den retsakt, der vedtages af tredjeparten, efter omstændighederne kan kvalificeres som en »afgørelse« som omhandlet i forordningens artikel 22, stk. 1. |
62 |
I dette tilfælde vil fastsættelsen af en sandsynlighedsværdi som den i hovedsagen omhandlede nemlig ikke være omfattet af de specifikke krav, der er fastsat i databeskyttelsesforordningens artikel 22, stk. 2-4, selv om denne procedure er baseret på en automatisk behandling og har virkninger, der betydeligt påvirker den registrerede, for så vidt som den handling, der foretages af den tredjepart, til hvem sandsynlighedsværdien overføres, på afgørende vis påvirkes af denne. |
63 |
Som generaladvokaten har anført i punkt 48 i forslaget til afgørelse, vil den registrerede desuden for det første ikke kunne påberåbe sig sin ret til indsigt i de specifikke oplysninger, der er omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra h), over for det kreditoplysningsbureau, der fastsætter sandsynlighedsværdien vedrørende den pågældende, da dette bureau ikke har truffet en automatisk afgørelse. Selv hvis det antages, at den retsakt, der vedtages af tredjeparten, for sin del er omfattet af denne forordnings artikel 22, stk. 1, fordi den opfylder betingelserne for anvendelse af denne bestemmelse, vil denne tredjepart for det andet ikke være i stand til at stille disse specifikke oplysninger til rådighed, da den sædvanligvis ikke har dem. |
64 |
Den omstændighed, at fastsættelsen af en sandsynlighedsværdi som den i hovedsagen omhandlede er omfattet af databeskyttelsesforordningens artikel 22, stk. 1, har, således som det er blevet anført i denne doms præmis 53-55, til følge, at den er forbudt, medmindre en af undtagelserne i forordningens artikel 22, stk. 2, finder anvendelse, og de specifikke krav, der er fastsat i dens artikel 22, stk. 3 og 4, er overholdt. |
65 |
Hvad nærmere bestemt angår databeskyttelsesforordningens artikel 22, stk. 2, litra b), som den forelæggende ret har henvist til, fremgår det af selve ordlyden af denne bestemmelse, at den nationale lovgivning, der hjemler vedtagelse af en automatisk individuel afgørelse, skal fastsætte passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser. |
66 |
I lyset af 71. betragtning til databeskyttelsesforordningen skal sådanne foranstaltninger navnlig omfatte forpligtelsen for den dataansvarlige til at anvende matematiske eller statistiske procedurer, gennemføre tekniske og organisatoriske foranstaltninger, der kan sikre, at risikoen for fejl minimeres, og at unøjagtigheder rettes, samt sikre personoplysninger på en måde, der tager højde for de potentielle risici for den registreredes interesser og rettigheder, og hindre bl.a. forskelsbehandling af denne. Disse foranstaltninger skal desuden i det mindste omfatte den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at fremkomme med sine synspunkter og til at bestride den afgørelse, der er truffet i forhold til vedkommende. |
67 |
Det skal endvidere bemærkes, at det følger af Domstolens faste praksis, at enhver behandling af personoplysninger dels skal foregå i overensstemmelse med de principper for behandling af oplysninger, der er fastsat i databeskyttelsesforordningens artikel 5, dels for så vidt angår særligt princippet om behandlingens lovlighed, som fremgår af stk. 1, litra a), i denne artikel, skal svare til en af betingelserne for lovlig behandling, som er opstillet i denne forordnings artikel 6 (dom af 20.10.2022, Digi,C-77/21, EU:C:2022:805, præmis 49 og den deri nævnte retspraksis). Den dataansvarlige skal kunne påvise, at disse principper bliver overholdt, i overensstemmelse med det i forordningens artikel 5, stk. 2, fastsatte princip om ansvarlighed (jf. i denne retning dom af 20.10.2022, Digi,C-77/21, EU:C:2022:805, præmis 24). |
68 |
Såfremt vedtagelse af en afgørelse, der alene er baseret på automatisk behandling, er hjemlet i en medlemsstats ret i henhold til databeskyttelsesforordningens artikel 22, stk. 2, litra b), skal denne behandling således ikke blot overholde de betingelser, der er fastsat i sidstnævnte bestemmelse og i forordningens artikel 22, stk. 4, men også de krav, der er opstillet i dens artikel 5 og 6. Medlemsstaterne kan derfor ikke i medfør af databeskyttelsesforordningens artikel 22, stk. 2, litra b), vedtage regler, der tillader profilering i strid med kravene i artikel 5 og 6, således som disse er fortolket i Domstolens praksis. |
69 |
Hvad navnlig angår de betingelser for lovlighed, der er fastsat i databeskyttelsesforordningens artikel 6, stk. 1, litra a), b) og f), der kan finde anvendelse i et tilfælde som det i hovedsagen omhandlede, har medlemsstaterne ikke beføjelse til at fastsætte supplerende regler med henblik på at anvende disse betingelser, idet en sådan mulighed i overensstemmelse med forordningens artikel 6, stk. 3, er begrænset til de grunde, der er omhandlet i dens artikel 6, stk. 1, litra c) og e). |
70 |
Hvad nærmere bestemt angår databeskyttelsesforordningens artikel 6, stk. 1, litra f), kan medlemsstaterne desuden ikke i medfør af forordningens artikel 22, stk. 2, litra b), fravige de krav, der følger af Domstolens praksis i henhold til dom af 7. december 2023, SCHUFA Holding (Gældssanering) (C-26/22 og C-64/22, EU:C:2023:XXX), bl.a. ved definitivt at foreskrive resultatet af afvejningen af de omhandlede rettigheder og interesser (jf. i denne retning dom af 19.10.2016, Breyer,C-582/14, EU:C:2016:779, præmis 62). |
71 |
I det foreliggende tilfælde har den forelæggende ret anført, at kun BDSG’s § 31 ville kunne udgøre et nationalt retsgrundlag som omhandlet i databeskyttelsesforordningens artikel 22, stk. 2, litra b). Den nærer imidlertid alvorlig tvivl om, hvorvidt denne § 31 er forenelig med EU-retten. Såfremt det fastslås, at denne bestemmelse er uforenelig med EU-retten, handler SCHUFA ikke alene uden retsgrundlag, men overtræder ipso jure det forbud, der er fastsat i databeskyttelsesforordningens artikel 22, stk. 1. |
72 |
I denne henseende påhviler det den forelæggende ret at efterprøve, om BDSG’s § 31 kan kvalificeres som et retsgrundlag, der i henhold til databeskyttelsesforordningens artikel 22, stk. 2, litra b), hjemler mulighed for at vedtage en afgørelse, der alene er baseret på automatisk behandling. Såfremt den forelæggende ret når frem til den konklusion, at nævnte § 31 udgør et sådant retsgrundlag, tilkommer det den endvidere at efterprøve, om betingelserne i databeskyttelsesforordningens artikel 22, stk. 2, litra b), og artikel 22, stk. 4, samt i dens artikel 5 og 6 er opfyldt i det foreliggende tilfælde. |
73 |
Henset til samtlige ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 22, stk. 1, skal fortolkes således, at et kreditoplysningsbureaus automatiske fastsættelse af en sandsynlighedsværdi på grundlag af personoplysninger om en person og vedrørende dennes evne til at opfylde betalingsforpligtelser i fremtiden udgør en »automatisk individuel afgørelse« som omhandlet i denne bestemmelse, når denne sandsynlighedsværdi er afgørende for, om en tredjepart, som sandsynlighedsværdien videregives til, indgår, gennemfører eller afslutter et aftaleforhold med denne person. |
Det andet spørgsmål
74 |
Henset til besvarelsen af det første spørgsmål er det ufornødent at besvare det andet spørgsmål. |
Sagsomkostninger
75 |
Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes. |
På grundlag af disse præmisser kender Domstolen (Første Afdeling) for ret: |
Artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) |
skal fortolkes således, at |
et kreditoplysningsbureaus automatiske fastsættelse af en sandsynlighedsværdi på grundlag af personoplysninger om en person og vedrørende dennes evne til at opfylde betalingsforpligtelser i fremtiden udgør en »automatisk individuel afgørelse« som omhandlet i denne bestemmelse, når denne sandsynlighedsværdi er afgørende for, om en tredjepart, som sandsynlighedsværdien videregives til, indgår, gennemfører eller afslutter et aftaleforhold med denne person. |
Underskrifter |
( *1 ) – Processprog: tysk.