1.

Den foreliggende anmodning om præjudiciel afgørelse, som Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) har indgivet i henhold til artikel 267 TEUF, angår fortolkningen af artikel 6, stk. 1, og artikel 22, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) ( 2 ) (herefter »databeskyttelsesforordningen«).

2.

Denne anmodning indgår i en tvist mellem sagsøgeren OQ, der er en fysisk person (herefter »sagsøgeren«) og Land Hessen (delstaten Hessen, Tyskland), repræsenteret ved Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Land Hessens delegerede inden for databeskyttelse og informationsfrihed (herefter »HBDI«) vedrørende beskyttelse af personoplysninger. SCHUFA Holding (herefter »SCHUFA«), der er et privatretligt bureau, er intervenient til støtte for HBDI. SCHUFA udarbejdede i forbindelse med sin økonomiske virksomhed, der består i at levere information om tredjeparters kreditværdighed til sine kunder, en kreditvurdering af sagsøgeren, der lå til grund for afslaget på den kredit, som sagsøgeren havde ansøgt om. Derefter anmodede sagsøgeren SCHUFA om at slette registreringen af hende og om at give hende indsigt i de pågældende data, men SCHUFA sendte hende kun den relevante scoring og generelle oplysninger om de principper, der ligger til grund for metoden til beregning af scoringen, uden at informere hende om de specifikke data, der indgik i beregningen, og den relevans, de blev tillagt i denne forbindelse, idet SCHUFA gjorde gældende, at beregningsmetoden er en forretningshemmelighed.

3.

For så vidt som sagsøgeren har gjort gældende, at SCHUFA’s afslag på hendes anmodning er i strid med databeskyttelsesordningen, anmodes Domstolen om at tage stilling til de restriktioner, der med databeskyttelsesforordningen pålægges den økonomiske virksomhed, som oplysningsbureauer inden for finanssektoren udøver, især inden for dataforvaltning, og den betydning, der skal tillægges forretningshemmeligheden. Domstolen skal ligeledes præcisere omfanget af de regeludstedende beføjelser, som databeskyttelsesforordningens bestemmelser tillægger den nationale lovgiver som en undtagelse fra det generelle harmoniseringsmål, der forfølges med denne retsakt.

4.

Databeskyttelsesforordningens artikel 4, nr. 4), bestemmer følgende:

»I denne forordning forstås ved:

[…]

5.

Databeskyttelsesforordningens artikel 6, der har overskriften »Lovlig behandling«, er affattet således:

»1.   Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

2.   Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX.

3.   Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af:

Formålet med behandlingen skal være fastlagt i dette retsgrundlag eller for så vidt angår den behandling, der er omhandlet i stk. 1, litra e), være nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Dette retsgrundlag kan indeholde specifikke bestemmelser med henblik på at tilpasse anvendelsen af bestemmelserne i forordningen, bl.a. de generelle betingelser for lovlighed af den dataansvarliges behandling, hvilke typer af oplysninger der skal behandles, berørte registrerede, hvilke enheder personoplysninger må videregives til, og formålet hermed, formålsbegrænsninger, opbevaringsperioder og behandlingsaktiviteter samt behandlingsprocedurer, herunder foranstaltninger til sikring af lovlig og rimelig behandling såsom i andre specifikke databehandlingssituationer som omhandlet i kapitel IX. EU-retten eller medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, der forfølges.

4.   Når behandling til et andet formål end det, som personoplysningerne er indsamlet til, ikke er baseret på den registreredes samtykke eller EU-retten eller medlemsstaternes nationale ret, som udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til de mål, der er omhandlet i artikel 23, stk. 1, tager den dataansvarlige, for at afgøre, om behandling til et andet formål er forenelig med det formål, som personoplysningerne oprindeligt blev indsamlet til, bl.a. hensyn til følgende:

6.

Databeskyttelsesforordningens artikel 15 med overskriften »Den registreredes indsigtsret« fastsætter:

»1.   Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:

[…]

7.

Databeskyttelsesforordningens artikel 21 med overskriften »Ret til indsigelse« bestemmer:

»1.   Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

[…]«

8.

Databeskyttelsesforordningens artikel 22 med overskriften »Automatiske individuelle afgørelser, herunder profilering« har følgende ordlyd:

»1.   Den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

2.   Stk. 1 finder ikke anvendelse, hvis afgørelsen:

3.   I de tilfælde, der er omhandlet i stk. 2, litra a) og c), gennemfører den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, i det mindste den registreredes ret til menneskelig indgriben fra den dataansvarliges side, til at fremkomme med sine synspunkter og til at bestride afgørelsen.

4.   De afgørelser, der er omhandlet i stk. 2, må ikke baseres på særlige kategorier af personoplysninger, jf. artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.«

9.

§ 31 i Bundesdatenschutzgesetz (databeskyttelsesloven) af 30. juni 2017 ( 3 ), som ændret ved lov af 20. november 2019 ( 4 ) (herefter »BDSG«), med overskriften »Beskyttelse af økonomiske transaktioner i forbindelse med scoring [fastlæggelsen heraf] og kreditoplysninger« bestemmer:

»1)   Det er kun tilladt at anvende en sandsynlighedsværdi vedrørende en fysisk persons bestemte fremtidige adfærd med henblik på at træffe afgørelse om at indgå, gennemføre eller afslutte et kontraktforhold med den pågældende person (scoring), hvis

2)   I tilfælde af, at oplysninger om fordringer inddrages, er det kun tilladt at anvende en sandsynlighedsværdi for en fysisk persons betalingsevne og ‑vilje, som er beregnet af et kreditoplysningsbureau, hvis betingelserne i stk. 1 er opfyldt, og der kun tages hensyn til fordringer vedrørende en skyldig ydelse, som trods forfald ikke er blevet betalt, og

Dette berører ikke den lovlige behandling, herunder beregning af sandsynlighedsværdier, af andre kreditværdighedsrelevante data i overensstemmelse med de almindelige databeskyttelsesretlige regler.

10.

Det fremgår af forelæggelsesafgørelsen, at sagsøgeren i hovedsagen fik afslag på ydelse af kredit på grund af en vurdering af kreditværdighed foretaget af SCHUFA. SCHUFA er et privat kreditoplysningsbureau, som forsyner sine aftalepartnere med oplysninger om forbrugernes kreditværdighed. Med henblik herpå udarbejder det vurderinger af kreditværdighed, og i denne forbindelse udarbejdes der på grundlag af bestemte karakteristika for en person og ved hjælp af matematisk-statistiske metoder en prognose for den pågældendes fremtidige adfærd, eksempelvis tilbagebetaling af et lån.

11.

Sagsøgeren anmodede SCHUFA om at slette de forkerte oplysninger om hende og give hende indsigt i registreringerne angående hende. SCHUFA meddelte bl.a. sagsøgeren den scoring, der er beregnet for hende, og den grundlæggende metode, der blev anvendt ved virksomhedens beregning af scoringen, men oplyste ikke, hvordan de enkeltoplysninger, der indgår i beregningen, vægtes. SCHUFA er af den opfattelse, at virksomheden ikke er forpligtet til at blotlægge beregningsmetoderne, da disse udgør erhvervs- og forretningshemmeligheder. Desuden gjorde SCHUFA opmærksom på, at virksomheden blot stiller oplysninger til rådighed for sine forretningspartnere, men at det er sidstnævnte, der træffer de egentlige afgørelser om kreditaftalerne.

12.

Sagsøgeren klagede til sagsøgte, en tilsynsførende for databeskyttelse, over SCHUFA’s rapport og krævede, at sagsøgte skulle pålægge virksomheden at efterkomme sagsøgerens krav om indsigt og sletning. I sin afgørelse af klagen fastslog HBDI, at der ikke var grund til at foretage sig yderligere over for virksomheden, fordi denne opfyldte de krav, der var opstillet i den tyske databeskyttelseslov.

13.

Sagsøgeren anlagde sag mod sagsøgte ved den forelæggende ret med henblik på prøvelse af afgørelsen. Ifølge den forelæggende ret er det for at kunne træffe afgørelse i hovedsagen vigtigt at afgøre, om kreditoplysningsbureauers virksomhed, der består i at udarbejde scoringer om personer og videregive dem til tredjeparter uden anden anbefaling eller kommentar, er omfattet af anvendelsesområdet for databeskyttelsesforordningens artikel 22, stk. 1.

14.

Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden) har besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

15.

Forelæggelsesafgørelsen, der er dateret den 1. oktober 2021, blev indleveret til Domstolens Justitskontor den 15. oktober 2021.

16.

Parterne i hovedsagen, SCHUFA, den danske, den portugisiske og den finske regering samt Europa-Kommissionen har indgivet skriftlige indlæg inden for den frist, der er fastsat i artikel 23 i statutten for Den Europæiske Unions Domstol.

17.

Repræsentanterne for parterne i hovedsagen, SCHUFA og repræsentanter for den tyske og den finske regering samt Kommissionen har afgivet mundtlige indlæg i retsmødet den 26. januar 2023.

18.

Da gensidig tillid udgør grundlaget for ethvert kontraktforhold i en markedsøkonomi, er det i princippet forståeligt ud fra et virksomhedssynspunkt, at leverandører af tjenester og varer ønsker at kende deres kunder og de risici, der er forbundet med en sådan aftaleforpligtelse. Kreditoplysningsbureauerne kan bidrage til at sikre denne gensidige tillid ved hjælp af statistiske metoder, der gør det muligt for virksomhederne at fastslå, om visse relevante kriterier, herunder deres aftalepartneres kreditværdighed, er opfyldt i det pågældende tilfælde. Dermed hjælper de virksomhederne med at overholde de forskellige bestemmelser i EU-retten, der netop pålægger dem en sådan forpligtelse i forbindelse med visse former for kontrakter, navnlig kreditaftaler ( 5 ). Nogle af de metoder, der anvendes, kan være baseret på kundernes personoplysninger, der er indhentet og behandlet automatisk ved hjælp af informationsteknologi. Denne interesse modsvares af de berørte personers interesse i at få indsigt i, hvordan disse oplysninger forvaltes og registreres, og i de metoder, som virksomhederne anvender, når de træffer afgørelse angående deres kunder.

19.

Med databeskyttelsesforordningen, der trådte i kraft den 25. maj 2018, blev der skabt en retlig ramme, der skal tage hensyn til ovennævnte interesser i hele Unionen, navnlig ved at indføre visse begrænsninger af behandlingen af personoplysninger. Der gælder således særlige restriktioner i forbindelse med automatisk behandling, som har retsvirkning for en fysisk person eller på tilsvarende vis betydeligt påvirker den pågældende. Disse restriktioner er begrundede i forbindelse med profilering, dvs. en evaluering af de personlige aspekter med henblik på at analysere eller forudsige en fysisk persons økonomiske situation, pålidelighed eller adfærd. I denne henseende skal nævnes restriktionerne i databeskyttelsesforordningens artikel 22, der er relevante i den foreliggende sag, og som har til formål at beskytte den menneskelige værdighed og forhindre, at den registrerede gøres til genstand for en afgørelse, som alene bygger på automatisk behandling uden nogen menneskelig indgriben, der i givet fald vil kunne kontrollere, at denne afgørelse træffes på en måde, der sikrer rigtighed, rimelighed og ikkeforskelsbehandling ( 6 ). Den menneskelige indgriben i forbindelse med denne form for automatisk databehandling sikrer, at den registrerede har mulighed for at fremkomme med sine synspunkter, for at få en forklaring på den afgørelse, der er truffet efter en sådan evaluering, og for at bestride afgørelsen, såfremt vedkommende er uenig i den. Omfanget af de restriktioner, der er omhandlet i databeskyttelsesforordningens artikel 22, er netop genstanden for det første præjudicielle spørgsmål.

20.

Selv om databeskyttelsesforordningen har opstillet en generel retlig ramme for beskyttelse af personoplysninger, der i princippet er fuldstændig, skal det dog påpeges, at nogle af bestemmelserne i den nævnte forordning åbner mulighed for, at medlemsstaterne kan fastsætte supplerende nationale regler, der er strengere, eller undtagelsesbestemmelser, som overlader medlemsstaterne et skøn med hensyn til, hvorledes disse bestemmelser kan gennemføres (»åbningsbestemmelser«), forudsat at denne forordnings indhold og formål ikke berøres ( 7 ). Rækkevidden af disse resterende regeludstedende beføjelser er kernen i det andet præjudicielle spørgsmål, der skal behandles i dette forslag til afgørelse.

21.

HBDI og SCHUFA har gjort gældende, at anmodningen om præjudiciel afgørelse skal afvises. SCHUFA har på dette punkt gjort gældende, at forelæggelsen hverken er nødvendig for en løsning af tvisten eller tilstrækkeligt begrundet, den åbner et nyt retsmiddel og er i strid med de øvrige anmodninger om præjudiciel afgørelse, som den forelæggende ret har fremsendt og derefter trukket tilbage.

22.

Det skal indledningsvis påpeges, at det følger af Domstolens faste praksis, at det inden for rammerne af samarbejdet mellem Domstolen og medlemsstaternes retter i henhold til artikel 267 TEUF udelukkende tilkommer de nationale retter, for hvilke tvisten er indbragt, og som har ansvaret for den retsafgørelse, der skal træffes, på grundlag af de konkrete omstændigheder i hver sag at vurdere såvel, om en præjudiciel afgørelse er nødvendig for, at de kan afsige dom, som relevansen af de spørgsmål, de forelægger Domstolen. Når disse spørgsmål vedrører fortolkningen af EU-retten eller gyldigheden af en EU-retlig regel, er Domstolen derfor principielt forpligtet til at træffe afgørelse. Heraf følger, at der foreligger en formodning for, at spørgsmål om EU-retten er relevante. Domstolen kan kun afslå at træffe afgørelse vedrørende et præjudicielt spørgsmål fra en national ret, såfremt det klart fremgår, at den ønskede fortolkning eller vurdering af gyldigheden af en EU-retlig regel savner enhver forbindelse med realiteten i hovedsagen eller dennes genstand, når problemet er af hypotetisk karakter, eller når Domstolen ikke råder over de faktiske og retlige oplysninger, som er nødvendige for, at den kan foretage en sagligt korrekt besvarelse af de forelagte spørgsmål ( 8 ).

23.

Disse betingelser er ikke opfyldt i den foreliggende sag, da det af forelæggelsesafgørelsens præmis 40 klart fremgår, at afgørelsen af retssagen afhænger af det første præjudicielle spørgsmål. Den forelæggende ret har oplyst, at såfremt databeskyttelsesforordningens artikel 22, stk. 1, skal fortolkes således, at et kreditoplysningsbureaus udarbejdelse af en scoring er en selvstændig afgørelse som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1, er denne – dets vigtigste aktivitet – omfattet af forbuddet mod automatiske individuelle afgørelser. Der ville således være behov for et nationalt retsgrundlag som omhandlet i databeskyttelsesforordningens artikel 22, stk. 2, litra b), i forbindelse med hvilken alene databeskyttelseslovens § 31 kommer i betragtning. Den forelæggende ret er imidlertid stærkt i tvivl om, hvorvidt denne nationale bestemmelse er forenelig med databeskyttelsesforordningens artikel 22, stk. 1. Ifølge den forelæggende ret handler SCHUFA ikke blot uden retsgrundlag, men overtræder også forbuddet i databeskyttelsesforordningens artikel 22, stk. 1. Som følge heraf har sagsøgeren krav på, at HBDI i sin egenskab af tilsynsmyndighed fortsat behandler sagsøgerens sag. Det er således indlysende, at en besvarelse af de af den forelæggende ret forelagte spørgsmål er afgørende for en løsning af tvisten.

24.

SCHUFA har også gjort gældende, at anmodningen om en præjudiciel afgørelse ikke kan antages til realitetsbehandling, med den begrundelse, at sagsøgeren allerede har fået oplysninger om den logik, der ligger til grund for scoringen. Det fremgår imidlertid af forelæggelsesafgørelsen, at sagsøgeren ønsker at få et så detaljeret indblik som muligt i alle de indhentede oplysninger og i den metode, der er anvendt til udarbejdelse af scoringen. For så vidt som SCHUFA i grove træk informerede sagsøgeren om de grundlæggende træk ved virksomhedens beregning af scoringen, men hverken oplyste hende om de forskellige oplysninger, der var blevet taget i betragtning ved beregningen, eller om vægtningen af dem, er det indlysende, at SCHUFA ikke har opfyldt denne anmodning om oplysninger. Følgelig har sagsøgeren en legitim interesse i, at en registrerets rettigheder i forhold til et kreditoplysningsbureau som SCHUFA klarlægges i en præjudiciel afgørelse.

25.

Hvad angår den angivelige risiko for at åbne en anden klageadgang for den registrerede skal det anføres, at i modsætning til, hvad SCHUFA har gjort gældende i sine bemærkninger, er den omstændighed, at sagsøgeren først havde indbragt sagen for de almindelige domstole og dernæst for den forelæggende ret, ikke til hinder for, at anmodningen om præjudiciel afgørelse kan antages til realitetsbehandling. Med sine to søgsmål har sagsøgeren benyttet sig af de retsmidler, der er fastlagt i databeskyttelsesforordningens artikel 78 og 79, der sikrer adgang til effektive retsmidler over for henholdsvis en tilsynsmyndighed og en dataansvarlig. For så vidt som disse retsmidler er parallelle og selvstændige, uden at det ene retsmiddel er underordnet det andet, kan disse retsmidler benyttes parallelt ( 9 ). Sagsøgeren kan således ikke foreholdes nogen uregelmæssigheder i forsvaret af sine rettigheder, der er beskyttede ved databeskyttelsesforordningen.

26.

Det skal i øvrigt erindres, at det fremgår af Domstolens faste praksis, at det i mangel af EU-retlige bestemmelser på området tilkommer hver enkelt medlemsstat i sin interne retsorden at udpege de kompetente domstole og fastsætte de processuelle regler for søgsmål til sikring af beskyttelsen af de individuelle rettigheder, som følger af Unionens retsorden ( 10 ). Der foreligger således ikke nogen objektiv grund til at så tvivl om en medlemsstats retsmiddelsystem, undtagen i de tilfælde, hvor EU-rettens virkning ville blive bragt i fare, f.eks. hvis de nationale retsinstanser forhindres i at udnytte deres mulighed for eller fratages deres forpligtelse i henhold til artikel 267 TEUF til at forelægge Domstolen spørgsmål om fortolkningen eller gyldigheden af EU-retten.

27.

I den foreliggende sag er der ikke noget, der tyder på, at eksistensen af to klageadgange, der muliggør adgang til effektive retsmidler mod henholdsvis tilsynsmyndigheden og den dataansvarlige, bringer EU-rettens virkning i fare eller forhindrer de nationale retsinstanser i at udnytte deres mulighed for at benytte sig af den i artikel 267 TEUF omhandlede procedure. Som jeg allerede har redegjort for i lyset af databeskyttelsesforordningens artikel 78 og 79, er det tværtimod indlysende, at databeskyttelsesforordningen ikke er til hinder for et sådant retsmiddelsystem, der snarere pålægger medlemsstaten at udpege de kompetente domstole og fastsætte de processuelle regler for søgsmål i fuld overensstemmelse med princippet om procesautonomi. Domstolen har anerkendt dette i sin seneste praksis ( 11 ).

28.

Endelig skal det anføres, at SCHUFA blot har kritiseret de klageadgange, der er mulige i henhold til tysk ret, uden dog at forklare præcist, hvorfor en dom afsagt af Domstolen i den foreliggende præjudicielle sag skulle være unødvendig for en løsning af tvisten. Som den forelæggende ret har anført, vil Domstolens fortolkning af databeskyttelsesforordningens artikel 22, stk. 1, imidlertid gøre det muligt for sagsøgte at udøve sin tilsynsmyndighed over for SCHUFA i overensstemmelse med EU-retten. Efter min opfattelse er SCHUFA’s argumentation, hvormed virksomheden har bestridt den præjudicielle forelæggelses realitet, således ugrundet.

29.

Disse betragtninger er i princippet tilstrækkelige til at forkaste SCHUFA’s argumentation. Med henblik på at skabe en bedre forståelse i den foreliggende sag er det dog nødvendigt at behandle argumentet om en angivelig manglende begrundelse for anmodningen om præjudiciel afgørelse. I modsætning til, hvad SHUFA har hævdet, redegøres der i forelæggelsesafgørelsen tilstrækkeligt detaljeret for elementerne i den foreliggende sag til, at kravene i artikel 94, litra c), i Domstolens procesreglement er opfyldt. Mere konkret har den forelæggende ret forklaret, at sagsøgeren agter at gøre sine rettigheder gældende over for SCHUFA. Ifølge den forelæggende ret er databeskyttelsesforordningens artikel 22, stk. 1, medmindre den fortolkes strengt, i princippet egnet til at sikre sagsøgeren beskyttelse mod en automatisk behandling af hendes personoplysninger.

30.

På baggrund af den betydning, som visse virksomheder tillægger en scoring, der er udarbejdet af kreditoplysningsbureauer, med henblik på at forudse en fysisk persons økonomiske ydeevne, kan denne scoring ifølge den forelæggende ret betragtes som en selvstændig »afgørelse« i den forstand, hvori udtrykket er anvendt i nævnte bestemmelse. En sådan fortolkning er nødvendig for at udfylde et juridisk tomrum, der ville opstå som følge af den omstændighed, at den registrerede ikke ville være i stand til at få adgang til de nødvendige oplysninger i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra h). På baggrund af denne detaljerede begrundelse bør SCHUFA’s argumentation forkastes, og anmodningen om en præjudiciel afgørelse kan antages til realitetsbehandling.

31.

Databeskyttelsesforordningens artikel 22, stk. 1, indeholder et særligt kendetegn i forhold til de øvrige begrænsninger af databehandlingen, der er indeholdt i denne forordning, for så vidt som den fastsætter den registreredes »ret« til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering. Uanset den anvendte terminologi kræver databeskyttelsesforordningens artikel 22, stk. 1, at den registrerede aktivt gør denne ret gældende. En fortolkning, sammenholdt med 71. betragtning til denne forordning, i forbindelse med hvilken der tages hensyn til affattelsen af denne bestemmelse, navnlig stk. 2 heri, hvori er opstillet de tilfælde, i hvilke en sådan automatisk behandling undtagelsesvist er tilladt, gør det således snarere muligt at konkludere, at den omhandlede bestemmelse fastsætter et generelt forbud mod beslutninger af ovennævnte art. Når det er sagt, skal det understreges, at dette forbud kun finder anvendelse under meget bestemte omstændigheder, nemlig rent konkret på en beslutning, »når den har retsvirkning for den pågældende« eller »på tilsvarende vis betydeligt påvirker den pågældende«.

32.

Med sit første spørgsmål ønsker den forelæggende ret oplyst, om et kreditoplysningsbureaus udarbejdelse af en scoring er omfattet af databeskyttelsesforordningens artikel 22, stk. 1, når denne scoring videregives til en virksomhed, der anvender denne scoring som det afgørende grundlag for sin afgørelse om at indgå, gennemføre eller afslutte et aftaleforhold med den registrerede. Med andre ord ønskes det oplyst, om denne bestemmelse finder anvendelse på kreditoplysningsbureauer, der stiller scoringer til rådighed for finansielle virksomheder. Undersøgelsen af dette spørgsmål kræver, at det fastslås, om betingelserne i databeskyttelsesforordningens artikel 22, stk. 1, er opfyldt i den foreliggende sag.

33.

Denne bestemmelse kræver først og fremmest, at der sker en automatisk behandling af personoplysninger, idet »profilering«, hvis man ser på dens ordlyd, betragtes som en underkategori ( 12 ). I denne henseende skal det anføres, at den scoring, som SCHUFA har foretaget, er omfattet af definitionen i databeskyttelsesforordningens artikel 4, nr. 4), eftersom denne procedure bruger personoplysninger til at evaluere visse aspekter vedrørende fysiske personer til at analysere eller forudsige forhold om deres økonomiske situation, pålidelighed og sandsynlige adfærd. Det fremgår således af sagsakterne, at den metode, som SCHUFA har anvendt, resulterer i en scoring på grundlag af visse kriterier, dvs. et resultat, der gør det muligt at drage konklusioner om den registreredes kreditværdighed. Endelig skal det fremhæves, at ingen af de berørte parter har bestridt, at den pågældende procedure kan betegnes som »profilering«, således at denne betingelse kan anses for at være opfyldt i den foreliggende sag.

34.

Databeskyttelsesforordningens artikel 22, stk. 1, kræver, at den pågældende afgørelse har »retsvirkninger« for eller »på tilsvarende vis betydeligt påvirker« den registrerede. Databeskyttelsesforordningen anerkender således, at automatiske afgørelser, herunder profilering, kan have alvorlige konsekvenser for de registrerede. Selv om databeskyttelsesforordningen ikke definerer udtrykket »retsvirkninger« eller udtrykket »på tilsvarende vis betydeligt«, fremgår det imidlertid klart af den anvendte affattelse, at virkninger, der har en alvorlig indvirkning, er omfattet af denne bestemmelse. I denne henseende skal opmærksomheden indledningsvis henledes på den omstændighed, at 71. betragtning til databeskyttelsesforordningen udtrykkeligt nævner »et automatisk afslag på en onlineansøgning om kredit« som et typisk eksempel på en afgørelse, der berører den registrerede »betydeligt«.

35.

Dernæst skal det tages i betragtning, dels at eftersom behandlingen af en kreditansøgning udgør en fase forud for indgåelsen af låneaftalen, kan afslag på en sådan ansøgning have »retsvirkninger« for den berørte person, idet denne ikke længere kan indgå i et kontraktforhold med det pågældende finansieringsinstitut. Dels skal det påpeges, at et sådant afslag ligeledes vil kunne have indvirkning på den berørte persons økonomiske situation. Det er derfor logisk at konkludere, at personen vil blive påvirket »på tilsvarende vis« i den forstand, hvori udtrykket er anvendt i denne bestemmelse. EU-lovgiver ser ud til at have været bevidst herom ved udarbejdelsen af 71. betragtning til databeskyttelsesforordningen, i lyset af hvilken denne forordnings artikel 22, stk. 1, skal fortolkes. Derfor er jeg af den opfattelse, at der bør lægges vægt på de retlige eller økonomiske konsekvenser af afslaget på at yde kredit, eftersom betingelserne i denne bestemmelse er opfyldt i den foreliggende sag i lyset af den situation, som sagsøgeren befinder sig i.

36.

To supplerende betingelser skal være opfyldt. For det første er det nødvendigt, at en retsakt, der har karakter af en »afgørelse«, træffes over for den registrerede. For det andet skal afgørelsen »alene [være] baseret på automatisk behandling«. Hvad angår denne sidstnævnte betingelse er der intet i redegørelsen for de faktiske omstændigheder i forelæggelsesafgørelsen, der indikerer, at scoringen ud over den matematisk-statistiske metode, som SCHUFA har anvendt, på afgørende vis er blevet udarbejdet ved hjælp af en evaluering og en individuel bedømmelse foretaget af et menneske. Følgelig bør udarbejdelsen af scoringen som en handling foretaget af SCHUFA anses for »alene [at være] baseret på automatisk behandling«. Når dette er sagt, må man ikke glemme, at det finansieringsinstitut, som SCHUFA meddeler scoringen, skal træffe en selvstændig afgørelse over for den registrerede, dvs. ydelse af eller afslag på kredit. Spørgsmålet er således, hvilken af de to handlinger, der kan betegnes som en »afgørelse« i den forstand, hvori udtrykket er anvendt i artikel 22, stk. 1, et spørgsmål, der vil blive undersøgt nedenfor.

37.

Hvad angår den første betingelse er det nødvendigt at fastslå en »afgørelses« juridiske karakter, og hvilken form den skal have. Ud fra et etymologisk synspunkt indebærer dette begreb en »udtalelse« eller en »stillingtagen« i en bestemt situation. Det skal også have en »bindende karakter« for at adskille det fra simple »anbefalinger«, der i princippet ikke har nogen retlige eller faktiske konsekvenser ( 13 ). Når dette er sagt, er en analogi med artikel 288, stk. 4, TEUF, i modsætning til, hvad HBDI har hævdet, efter min opfattelse ikke relevant i denne sammenhæng, navnlig da en sådan analogi savner grundlag i databeskyttelsesforordningen.

38.

Fraværet af en retlig definition gør det muligt at udlede, at EU-lovgiver har valgt et bredt begreb, der vil kunne omfatte flere handlinger, som kan berøre den registrerede på mange måder. Som nævnt ovenfor kan en »afgørelse« i den forstand, hvori udtrykket er anvendt i databeskyttelsesforordningens artikel 22, stk. 1, have »retsvirkninger« eller påvirke den registrerede »på tilsvarende vis«, hvilket indebærer, at den pågældende »afgørelse« kan have en påvirkning, der ikke nødvendigvis er retlig, men snarere økonomisk og social. Eftersom databeskyttelsesforordningens artikel 22, stk. 1, sigter mod at beskytte fysiske personer mod de potentielt diskriminerende og uretfærdige virkninger af automatisk databehandling, er jeg af den opfattelse, at der er behov for en særlig årvågenhed, også i forbindelse med fortolkningen af denne standard.

39.

Endelig er det vigtigt at fremhæve, at for så vidt som handlinger, der kan tilskrives et privat finansieringsinstitut, også kan have alvorlige konsekvenser for den registreredes uafhængighed og handlefrihed i en markedsøkonomi, navnlig når det drejer sig om at godkende en låneansøgers betalingsevne ( 14 ), ser jeg ikke nogen objektiv grund til at begrænse begrebet »afgørelse« strengt til det offentlige område, dvs. til forholdet mellem staten og borgeren, således som den af HBDI foreslåede analogi implicit antyder. Kvalificeringen af en »afgørelse« som en stillingtagen truffet over for den registrerede, kræver efter min opfattelse en undersøgelse fra sag til sag under hensyntagen til de særlige omstændigheder og alvoren af virkningerne på den berørte persons retlige, økonomiske og sociale status ( 15 ).

40.

På grundlag af de kriterier, der er opstillet i de foregående punkter, skal det herefter fastlægges, hvad der er den relevante »afgørelse« i den foreliggende sag. Som allerede anført findes der på den ene side en akt, hvorved en bank accepterer eller giver afslag på at indrømme ansøgeren kredit, og på den anden side den scoring, der er resultatet af SCHUFA’s profileringsprocedure. Efter min opfattelse er det umuligt at besvare dette spørgsmål kategorisk, idet kvalificeringen afhænger af omstændighederne i hver enkelt sag. Mere konkret har den måde, hvorpå beslutningsproceduren er struktureret, afgørende betydning. Denne procedure omfatter typisk flere faser såsom profilering, udarbejdelse af scoringen og den egentlige afgørelse om ydelse af kredit.

41.

Det forekommer indlysende, at hvis et finansieringsinstitut kan gennemføre denne procedure, er der intet, der forhindrer det i ved kontrakt at uddelegere visse opgaver til et kreditoplysningsbureau, f.eks. profilering og scoring. Databeskyttelsesforordningens artikel 22, stk. 1, kræver ikke på nogen måde, at disse opgaver udføres af en eller flere instanser. Når dette er sagt, spiller en eventuel uddelegering af visse kompetencer til en ekstern tjenesteyder efter min opfattelse ikke en væsentlig rolle i analysen, eftersom en sådan delegering generelt er underlagt økonomiske og organisatoriske hensyn, der vil kunne variere fra sag til sag.

42.

Det aspekt, der efter min opfattelse derimod spiller en afgørende rolle, er aspektet i tilknytning til spørgsmålet om, hvorvidt beslutningsproceduren er udformet på en sådan måde, at den scoring, der udføres af kreditoplysningsbureauet, er forudbestemmende for finansieringsinstituttets afgørelse om at indrømme eller give afslag på kredit. Såfremt scoringen skal foretages uden nogen menneskelig indgriben, der i givet fald vil kunne verificere resultatet og korrektheden af den afgørelse, der skal træffes over for kreditansøgeren, forekommer det logisk at anse selve scoringen for at udgøre den i databeskyttelsesforordningens artikel 22, stk. 1, omhandlede »afgørelse«.

43.

Den omstændighed, at det modsatte antages, fordi afgørelsen om at yde eller give afslag på kredit formelt påhviler finansieringsinstituttet, ville ikke blot være en urimeligt omfattende formalitet, men ville heller ikke tage hensyn til de særlige omstændigheder i et sådant tilfælde. Dette gælder så meget desto mere, som databeskyttelsesforordningens artikel 22, stk. 1, ikke på nogen måde kræver, at »afgørelsen« skal antage en bestemt form. Den afgørende faktor er den indvirkning, som »afgørelsen« har på den registrerede. Da en negativ scoring i sig selv kan have ugunstige virkninger for den registrerede, dvs. begrænse denne betydeligt i udøvelsen af sine frihedsrettigheder, eller endog stigmatisere personen i samfundet, kvalificeres den efter min opfattelse som en »afgørelse« i den forstand, hvori udtrykket er anvendt i ovennævnte bestemmelse, når et finansieringsinstitut tillægger den en afgørende betydning i beslutningsproceduren ( 16 ). Under sådanne omstændigheder påvirkes kreditansøgeren allerede ved kreditoplysningsbureauets evaluering af dennes betalingsevne og ikke først i den afsluttende fase af afslag på kredit, i hvilken finansieringsinstituttet blot anvender resultatet af denne evaluering på den konkrete sag ( 17 ).

44.

Eftersom det i databeskyttelsesforordningens artikel 22, stk. 1, for det første kræves, at den pågældende afgørelse »alene« er baseret på automatisk behandling ( 18 ), og for det andet, at en bestemmelses ordlyd generelt udgør grænsen for enhver fortolkning, forekommer det nødvendigt, at den automatiske behandling er det eneste forhold, der begrunder kreditoplysningsbureauets tilgang til kreditansøgeren. Dette ville være tilfældet, hvis mennesker indgik i proceduren, uden at de dog var i stand til at påvirke årsagssammenhængen mellem den automatiske behandling og den endelige afgørelse. Det ville være nødvendigt, at kreditoplysningsbureauet de facto træffer den endelige afgørelse på finansieringsinstituttets vegne. Dette afhænger af det pågældende finansieringsinstituts interne regler og praksis, som generelt ikke bør give det nogen skønsmargen med hensyn til anvendelsen af scoringen af ansøgningen om kredit.

45.

Der er hovedsageligt tale om en faktisk omstændighed, der efter min opfattelse bedst afgøres af de nationale retsinstanser. Jeg foreslår derfor, at det overlades til den forelæggende ret selv at fastslå, i hvilket omfang finansieringsinstituttet generelt er bundet af den scoring, som et kreditoplysningsbureau som SCHUFA har udarbejdet, idet der tages hensyn til ovennævnte kriterier ( 19 ). Jeg vil basere mig på oplysningerne i forelæggelsesafgørelsen med henblik på at give den nationale ret et brugbart svar i den foreliggende sag.

46.

I denne henseende vil jeg først og fremmest anføre, at den forelæggende ret har oplyst, at selv om der på dette trin i beslutningsprocessen principielt stadig er mulighed for en menneskestyret afgørelse, afgøres beslutningen om at indgå et kontraktforhold med den registrerede »i praksis i så væsentligt omfang af den scoring, der er videregivet af kreditoplysningsbureauer, at denne scoring slår igennem i den dataansvarlige tredjemands afgørelse«. Ifølge den forelæggende ret er det »[i] virkeligheden alligevel den scoring, som kreditoplysningsbureauet har beregnet på grundlag af automatisk behandling, der [normalt] afgør, om og hvordan den dataansvarlige tredjemand indgår en kontrakt med den registrerede«. Den forelæggende ret har også forklaret, at tredjemand ganske vist ikke behøver at lade sin afgørelse afhænge alene af scoringen, »men gør det alligevel som regel i vidt omfang«. Den har tilføjet, at »der […] ganske vist [kan] gives afslag på en ansøgning om kredit på trods af en principielt tilstrækkelig scoring (af andre grunde, f.eks. manglende sikkerhed eller tvivl om en investering, som skal finansieres), men en ikke tilstrækkelig scoring vil i hvert fald på forbrugerkreditområdet næsten altid føre til afslag på kreditten, også selv om en investering i øvrigt ser rentabel ud«. Til slut har den forelæggende ret anført, at »[e]rfaringer fra myndighedernes datatilsyn viser, at scoringer spiller den afgørende rolle i forbindelse med ydelse og udformning af kreditter«.

47.

Det fremgår efter min opfattelse af ovenstående betragtninger, at den scoring, der udarbejdes af et kreditoplysningsbureau og videregives til et finansieringsinstitut med forbehold for den bedømmelse af de faktiske omstændigheder, som det påhviler enhver national ret at foretage i hver enkelt sag, generelt forudbestemmer finansieringsinstituttets afgørelse om ydelse af eller afslag på kredit til den registrerede, således at denne stillingtagen skal anses for kun at have en rent formel karakter i forbindelse med proceduren ( 20 ). Det følger heraf, at selve scoringen skal anses for at have karakter af en afgørelse i den forstand, hvori udtrykket er anvendt i databeskyttelsesforordningens artikel 22, stk. 1.

48.

En sådan konklusion er efter min opfattelse rimelig, idet enhver fortolkning sår tvivl om det mål, som EU-lovgiver forfølger med denne bestemmelse, der har til formål at beskytte de registreredes rettigheder. Den forelæggende ret har således med rette fremført, at en streng fortolkning af databeskyttelsesforordningens artikel 22, stk. 1, ville medføre en lakune i retsbeskyttelsen: Det kreditoplysningsbureau, som den registrerede kunne få de nødvendige oplysninger af, er i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra h), ikke forpligtet til at give indsigt, da det angiveligt ikke selv udfører en »automatisk afgørelse« som omhandlet i denne bestemmelse, og det finansieringsinstitut, der lægger den automatisk udarbejdede scoring til grund for sin afgørelse og er forpligtet til at give indsigt i henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra h), kan ikke stille de nødvendige oplysninger til rådighed, da det ikke råder over dem.

49.

Følgelig ville finansieringsinstituttet ikke være i stand til at kontrollere evalueringen af kreditansøgerens kreditværdighed, såfremt afgørelsen bestrides, således som det kræves i databeskyttelsesforordningens artikel 22, stk. 3, eller at sikre en rimelig, gennemsigtig og ikkediskriminerende behandling i forbindelse med egnede matematisk-statistiske metoder samt passende tekniske og organisatoriske foranstaltninger, som det kræves i databeskyttelsesforordningens 71. betragtning, sjette punktum ( 21 ). Med henblik på at undgå en sådan situation, der klart er i strid med det i det ovenstående punkt nævnte lovgivningsmæssige formål, foreslår jeg en fortolkning af databeskyttelsesforordningens artikel 22, stk. 1, der tager hensyn til scoringens reelle indvirkning på den registreredes situation.

50.

En sådan tilgang er efter min opfattelse logisk, eftersom kreditoplysningsbureauet generelt skal være den eneste enhed, der er i stand til at følge op på andre ansøgninger fra den registrerede, der er baseret på rettigheder, der ligeledes er sikret ved databeskyttelsesforordningen, nemlig retten til berigtigelse, der er omhandlet i databeskyttelsesforordningens artikel 16, såfremt de personoplysninger, der er anvendt til udførelse af scoringen, skulle vise sig at være unøjagtige, samt retten til sletning, der er omhandlet i databeskyttelsesforordningens artikel 17, såfremt de nævnte oplysninger er blevet behandlet ulovligt. Såfremt finansieringsinstituttet almindeligvis hverken deltager i indsamlingen af disse oplysninger eller i profileringen, når disse opgaver uddelegeres til en tredjepart, er det rimeligt at udelukke muligheden for, at det er i stand til effektivt at sikre overholdelsen af disse rettigheder. Den registrerede skal dog ikke udsættes for negative konsekvenser af en sådan uddelegering af opgaver.

51.

Holdes kreditoplysningsbureauet ansvarligt, fordi det har udarbejdet scoringen – og ikke på grund af den senere anvendelse af denne – er det efter min opfattelse den mest effektive måde, hvorpå beskyttelse af den registreredes grundlæggende rettigheder, dvs. retten til beskyttelse af personoplysninger, der er omhandlet i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), men også retten til privatliv, der er omhandlet i chartrets artikel 7, kan sikres, idet denne virksomhed i sidste ende udgør »kilden« til enhver eventuel skade. På grund af risikoen for, at den scoring, som kreditoplysningsbureauet har udarbejdet, anvendes af en lang række finansieringsinstitutter, forekommer det rimeligt, at den registrerede får mulighed for at gøre sine rettigheder gældende direkte over for kreditoplysningsbureauet.

52.

Af de ovenstående grunde er betingelserne i databeskyttelsesforordningens artikel 22, stk. 1, opfyldt, således at denne bestemmelse finder anvendelse på omstændigheder som dem, der gør sig gældende i hovedsagen.

53.

I denne forbindelse kan betydningen af den dataansvarliges fuldstændige overholdelse af sine oplysningsforpligtelser over for den registrerede ikke understreges nok. I henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra h), har den registrerede ret til ikke blot at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, men også andre oplysninger såsom forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, og meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

54.

Eftersom SCHUFA har nægtet at give sagsøgeren visse oplysninger om beregningsmetoden med den begrundelse, at de udgør forretningshemmeligheder, er det relevant at præcisere omfanget af retten til information som omhandlet i databeskyttelsesforordningens artikel 15, stk. 1, litra h), navnlig for så vidt angår forpligtelsen til at give »meningsfulde oplysninger om logikken«. Efter min opfattelse skal denne bestemmelse fortolkes således, at den i princippet også omfatter den beregningsmetode, som et kreditoplysningsbureau har benyttet til at udarbejde en scoring, forudsat at der ikke foreligger modstridende interesser, der skal beskyttes. I denne forbindelse skal nævnes 63. betragtning til databeskyttelsesforordningen, hvoraf det bl.a. fremgår, at retten til indsigt i personoplysninger »[ikke] bør […] krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af«.

55.

Der kan drages en række konklusioner af en fortolkning af databeskyttelsesforordningens artikel 15, stk. 1, litra h), sammenholdt med 58. og 63. betragtning til denne forordning. For det første er det indlysende, at EU-lovgiver var fuldt bevidst om de konflikter, der vil kunne opstå mellem dels retten til beskyttelse af personoplysninger, der er sikret ved chartrets artikel 8, dels retten til beskyttelse af intellektuel ejendomsret, der er sikret ved chartrets artikel 17, stk. 2. For det andet står det klart, at lovgiver ikke har ønsket at ofre en grundlæggende ret til fordel for en anden. Tværtimod kan det på baggrund af en mere indgående analyse af databeskyttelsesforordningens bestemmelser konkluderes, at EU-lovgiver har ønsket at sikre en retfærdig ligevægt mellem rettigheder og ansvar.

56.

EU-lovgivers opfordring i 63. betragtning til databeskyttelsesforordningen, hvoraf det fremgår, at »[d]enne vurdering […] dog ikke [bør] resultere i en afvisning af at give al information til den registrerede« ( 22 ), betyder efter min opfattelse, at der under alle omstændigheder skal gives et minimum af oplysninger med henblik på ikke at skade det væsentligste indhold af retten til beskyttelse af personoplysninger. Det følger heraf, at selv om beskyttelsen af forretningshemmeligheder i princippet for kreditoplysningsbureauet udgør en legitim grund til at afvise at afsløre den algoritme, der er blevet anvendt til beregning af scoringen af den registrerede, kan det derimod ikke på nogen måde begrunde et absolut afslag på at give oplysninger. Dette gælder så meget desto mere, når der findes egnede kommunikationsmidler, der fremmer forståelsen, samtidig med at der sikres en vis grad af fortrolighed.

57.

Databeskyttelsesforordningens artikel 12, stk. 1, hvoraf det fremgår, at »[d]en dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel [15] om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog« ( 23 ), er efter min opfattelse særlig relevant i denne forbindelse. Denne bestemmelse understøtter ovenstående ræsonnement, for så vidt som det heraf følger, at det reelle formål med databeskyttelsesforordningens artikel 15, stk. 1, litra h), består i at sikre, at den registrerede får oplysningerne i en letforståelig og lettilgængelig form i overensstemmelse med dennes behov. Efter min opfattelse udelukker disse krav allerede en eventuel forpligtelse til at afsløre algoritmen på grund af dens kompleksitet. Det er således meget tvivlsomt, hvor hensigtsmæssigt det vil være at oplyse en meget kompleks formel uden de nødvendige forklaringer. I denne henseende skal opmærksomheden henledes på 58. betragtning til databeskyttelsesforordningen, hvoraf det fremgår, at overholdelsen af ovennævnte krav især er relevant »i situationer, hvor […] den anvendte teknologis kompleksitet gør det vanskeligt for den registrerede at vide og forstå, om, af hvem og til hvilket formål der indsamles personoplysninger om vedkommende« ( 24 ).

58.

Af ovennævnte grunde skal forpligtelsen til at give »meningsfulde oplysninger om logikken« efter min opfattelse forstås således, at den indebærer tilstrækkeligt detaljerede forklaringer om den metode, der er anvendt til beregning af scoringen, og grundene til, at man er nået frem til et bestemt resultat. Den dataansvarlige skal almindeligvis give den registrerede generelle oplysninger, navnlig om de faktorer, der er blevet taget i betragtning i forbindelse med beslutningsprocessen, og om deres respektive betydning på et aggregeret plan, der er hensigtsmæssige med henblik på at bestride enhver »afgørelse« som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1 ( 25 ).

59.

På baggrund af det ovenstående er jeg af den opfattelse, at databeskyttelsesforordningens artikel 22, stk. 1, skal fortolkes således, at allerede en automatisk udarbejdelse af en sandsynlighedsværdi om en registrerets evne til at tilbagebetale et lån udgør en afgørelse, der alene er baseret på automatisk behandling, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende, hvis denne værdi, som er beregnet ved hjælp af personoplysninger om den pågældende, af den dataansvarlige videregives til en dataansvarlig tredjemand, og denne tredjemand i overensstemmelse med fast retspraksis anvender denne værdi som det afgørende grundlag for sin beslutning om at indgå, gennemføre eller afslutte et aftaleforhold med den pågældende.

60.

Selv om det andet spørgsmål kun er fremsat, såfremt det første spørgsmål skal besvares benægtende, er det dog også relevant, hvis Domstolen skulle nå frem til den konklusion, at scoringen er omfattet af forbuddet mod at træffe en automatisk afgørelse i databeskyttelsesforordningens artikel 22, stk. 1. I dette tilfælde er det, som den finske regering med rette har påpeget, nødvendigt efterfølgende at undersøge, om der kan gøres en undtagelse fra dette forbud i henhold til databeskyttelsesforordningens artikel 22, stk. 2, litra b). Det fremgår af denne bestemmelse, at forbuddet ikke finder anvendelse, »hvis afgørelsen er hjemlet i EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt«.

61.

Denne bestemmelse indeholder en eksplicit lovbestemt skønsmargen, når den automatiske profilering, som den sigter mod, er hjemlet i EU-retten eller i en medlemsstats ret. Hvis den er hjemlet i en medlemsstats retsorden, skal den nationale lov fastsætte særlige garantier for den registrerede. Domstolen skal så afgøre, om en sådan »tilladelse« kan udledes af selve databeskyttelsesforordningens artikel 6 eller af en national bestemmelse, der er vedtaget på et deri fastlagt retsgrundlag. I sidstnævnte tilfælde kræves der en indgående analyse, eftersom den forelæggende ret ønsker oplyst, om BDSG’s § 31 er i overensstemmelse med databeskyttelsesforordningens artikel 6 og 22, hvilket kræver, at databeskyttelsesforordningens artikel 6 og 22 kan udgøre en passende hjemmel.

62.

Den nationale ret har imidlertid netop givet udtryk for tvivl i denne henseende, eftersom ingen af bestemmelserne i databeskyttelsesforordningens artikel 6 og 22 efter dens opfattelse kan udgøre et retsgrundlag for vedtagelse af en national bestemmelse som den i BDSG’s § 31 omhandlede, der fastsætter visse regler i forbindelse med scoring. Spørgsmålet er således, om den nationale lovgiver har foretaget en korrekt anvendelse af de bestemmelser i databeskyttelsesforordningen, der indrømmer den en skønsmargen med hensyn til fastsættelse af nationale regler for behandling af personoplysninger i henhold til databeskyttelsesforordningen, endog under visse omstændigheder til at afvige fra denne. Besvarelsen af dette spørgsmål har vist sig at være meget kompleks, eftersom den tyske lovgiver ikke har anført nogen åbningsbestemmelse i begrundelsen for loven ( 26 ). Det er imidlertid meget relevant, fordi BDSG’s § 31, stk. 1, nr. 1, udtrykkeligt nævner, at scoring »kun er tilladt, når de databeskyttelsesretlige regler er overholdt« (min fremhævelse). Som jeg vil redegøre for i det følgende, har flere argumenter foranlediget mig til at besvare dette spørgsmål benægtende.

63.

Indledningsvis skal nævnes bestemmelsen i databeskyttelsesforordningens artikel 22, stk. 2, litra b), der giver medlemsstaterne bemyndigelse til at tillade en afgørelse, der alene er baseret på en automatisk databehandling, herunder profilering, og som dermed kan gøres gældende som retsgrundlag. Det skal imidlertid anføres, at databeskyttelsesforordningens artikel 22, stk. 2, ikke finder anvendelse, hvis Domstolen fastslår, at scoring ikke er omfattet af forbuddet i denne artikels stk. 1. Som det klart fremgår af ordlyden af databeskyttelsesforordningens artikel 22 og dens generelle opbygning, forudsætter anvendelsen af stk. 2, at betingelserne i stk. 1 er opfyldt. Det er følgelig indlysende, at databeskyttelsesforordningens artikel 22, stk. 2, litra b), ikke finder anvendelse, hvis det første spørgsmål skulle besvares benægtende.

64.

For fuldstændighedens skyld og i lyset af det bekræftende svar, som jeg har foreslået på det første spørgsmål, er det efter min opfattelse nødvendigt at undersøge, om denne bestemmelse finder anvendelse, såfremt Domstolen skulle fastslå, at den scoring, som kreditoplysningsbureauet foretager, er en »aftale« som omhandlet i stk. 1 i denne artikel 22. Selv i dette tilfælde er der mange grunde til, at der fortsat hersker tvivl om, hvorvidt databeskyttelsesforordningens artikel 22, stk. 2, litra b), kan fungere som retsgrundlag.

65.

For det første skal det fremhæves, at databeskyttelsesforordningens artikel 22 kun vedrører afgørelser, der »alene« er baseret på automatisk behandling, mens BDSG’s § 31 ifølge den forelæggende ret uden sondring også finder anvendelse på afgørelser, der ikke er baseret på automatisk behandling, idet den lovliggør anvendelse af databehandling til udarbejdelse af scoringer. BDSG’s § 31 har således et meget bredere materielt anvendelsesområde end databeskyttelsesforordningens artikel 22 ( 27 ). Det er derfor tvivlsomt, om databeskyttelsesforordningens artikel 22, stk. 2, litra b), kan fungere som retsgrundlag.

66.

For det andet skal det anføres, således som den forelæggende ret har gjort det, at BDSG’s § 31 fastsætter regler for de økonomiske aktørers »anvendelse« af en sandsynlighedsværdi, men ikke for kreditoplysningsbureauernes »udarbejdelse« af denne værdi, et aspekt, der ikke desto mindre er genstand for det første præjudicielle spørgsmål. Dette kan også udledes af den tyske regerings udtalelser i retsmødet. Som jeg allerede har redegjort detaljeret for i forbindelse med dette spørgsmål, finder databeskyttelsesforordningens artikel 22, stk. 1, også anvendelse på »udarbejdelsen« af scoringen og ikke blot på et finansieringsinstituts »anvendelse« af den, forudsat at visse betingelser er opfyldt ( 28 ). Med andre ord ser BDSG’s § 31 ud til at omhandle en anden situation end den, der er omfattet af det materielle anvendelsesområde for databeskyttelsesforordningens artikel 22, hvilket det tilkommer den forelæggende ret at bekræfte. I lyset af de ovenstående betragtninger skal databeskyttelsesforordningens artikel 22, stk. 2, litra b), efter min opfattelse udelukkes som retsgrundlag for vedtagelse af en national lovgivningsforanstaltning som den i BDSG’s § 31 omhandlede.

67.

I henhold til databeskyttelsesforordningens artikel 6, stk. 1, er behandling af personoplysninger kun lovlig, hvis betingelsen om, at et af de heri nævnte forhold gør sig gældende, er opfyldt. Domstolen har således allerede fastslået, at der er tale om en udtømmende og fuldstændig liste over de tilfælde, hvor behandling af personoplysninger kan anses for at være lovlig ( 29 ). Et kreditoplysningsbureaus udarbejdelse af en scoring skal, for at den kan anses for at være lovlig, henhøre under et af de i denne bestemmelse nævnte tilfælde.

68.

I et tilfælde som det i hovedsagen omhandlede kan databeskyttelsesforordningens artikel 6, stk. 1, litra b), c) og f), i princippet finde anvendelse. I henhold til databeskyttelsesforordningens artikel 6, stk. 2, kan medlemsstaterne opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af databeskyttelsesforordningens bestemmelser. Det skal imidlertid præciseres, at denne bestemmelse kun finder anvendelse med henblik på overholdelse af stk. 1, litra c) og e). Databeskyttelsesforordningens artikel 6, stk. 3, bestemmer ligeledes, at grundlaget for behandling skal fremgå af medlemsstaternes nationale ret, som den dataansvarlige er underlagt, når behandlingen vedrører de i stk. 1, litra c) og e), omhandlede tilfælde.

69.

Det følger heraf, at medlemsstaterne kan fastsætte mere specifikke bestemmelser, når behandlingen »er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige«, eller »nødvendig for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt«. Disse betingelser fastsætter snævre rammer for medlemsstaternes lovgivningsbeføjelser, således at en vilkårlig anvendelse af de i databeskyttelsesforordningen omhandlede åbningsbestemmelser, der vil kunne skade målet om harmonisering af lovgivningen om beskyttelse af personoplysninger, undgås.

70.

Derudover skal det i denne forbindelse anføres, at for så vidt som nogle af disse bestemmelser anvender en terminologi, der er særegen for databeskyttelsesforordningen, som ikke indeholder nogen udtrykkelig henvisning til medlemsstaternes ret, skal de anvendte begreber undergives en selvstændig og ensartet fortolkning ( 30 ). Det er på denne baggrund, at det skal kontrolleres, om bestemmelserne i BDSG’s § 31 henhører under en af de begrundelser, der er opstillet i databeskyttelsesforordningens artikel 6, stk. 1.

71.

Med hensyn til litra b) fremgår det af denne bestemmelse, at behandling kun er lovlig, hvis og i det omfang den er nødvendig af hensyn til »opfyldelse af en kontrakt, som den registrerede er part i«, eller af hensyn til »gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt«. I denne henseende skal det fremhæves, at kreditoplysningsbureauernes tjenester kun i undtagelsestilfælde anvendes i forbindelse med opfyldelse af kontrakten. Den vigtigste fase er fasen forud for indgåelse af en kontrakt, i løbet af hvilken oplysningerne om betalingsevne sædvanligvis indhentes. Fremsendelsen af en anmodning om oplysninger til et kreditoplysningsbureau med henblik på verifikation af betalingsevne er efter min opfattelse tilladt på grundlag af denne bestemmelse ( 31 ). Det skal imidlertid præciseres, at denne bestemmelse kun omfatter tilladelsen til at gennemføre undersøgelser af potentielle aftalepartneres, kreditorers og/eller leverandører af juridiske tjenesteydelsers betalingsevne og således fastsætter forhåndsbetingelser for kreditoplysningsbureauernes lovlige indsamling af oplysninger. Derimod er denne bestemmelse efter min opfattelse ikke i sig selv tilstrækkelig til at fungere som et retsgrundlag, der kan legitimere kreditoplysningsbureauernes virksomhed generelt ( 32 ).

72.

Desuden er det vigtigt at fremhæve, at selv om databeskyttelsesforordningens artikel 6, stk. 1, litra b), indeholder en begrundelse for, at databehandling af personoplysninger kan være lovlig, omhandler den ingen af de tilfælde, der er nævnt i stk. 2 og 3, hvorefter medlemsstaterne har lovgivningsmæssig kompetence. Det følger heraf, at for så vidt som databeskyttelsesforordningens artikel 6 opstiller disse tilfælde på en udtømmende måde, kan en national bestemmelse som BDSG’s § 31 ikke udelukkende vedtages på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra b).

73.

Begrundelsen i databeskyttelsesforordningens artikel 6, stk. 1, litra c), vedrører behandling baseret på en »retlig forpligtelse«, som den dataansvarlige er underlagt. Dette indebærer krav, som medlemsstaten selv indfører. Derimod omfatter denne bestemmelse ikke de forpligtelser, der følger af civilretlige aftaler, f.eks. en aftale indgået mellem et finansieringsinstitut og et kreditoplysningsbureau. Finansieringsinstitutterne, der skal sikre deres kunders betalingsevne i henhold til de krav, de pålægges ved national ret, kan basere sig på dette retsgrundlag med henblik på de tilsvarende anmodninger om oplysninger for på denne måde at sikre, at sådanne anmodninger ud fra kreditoplysningsbureauets synspunkt er fuldt lovlige. Kreditoplysningsbureauets »udarbejdelse« af en scoring kan betragtes som en foranstaltning, der træffes til opfyldelse af en »retlig forpligtelse«, som det er blevet pålagt, eftersom en sådan forpligtelse ikke ser ud til at findes i national ret. Derfor må litra c) anses for ikke at udgøre et gyldigt retsgrundlag for at gøre scoringvirksomheden til en lovlig behandling.

74.

Spørgsmålet er dernæst, om databeskyttelsesforordningens artikel 6, stk. 1, litra e), kan gøres gældende som retsgrundlag for vedtagelse af BDSG’s § 31. Dette ville være tilfældet, hvis behandlingen var »nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt«. Dels kan det anføres, således som det fremgår af det lovgivningsformålet med BDSG’s § 31, der afspejles i titlen på denne nationale bestemmelse (»Beskyttelse af økonomiske transaktioner i tilfælde af »scoring« og oplysninger om kreditværdighed«) og forberedende arbejder ( 33 ), at kreditoplysningsbureauerne bidrager til, at et lands økonomi fungerer korrekt ( 34 ).

75.

For så vidt som nævnte selskaber stiller oplysninger om bestemte personers kreditværdighed til rådighed, bidrager de således til forbrugerbeskyttelsen, idet risikoen for overdreven gældsætning undgås ( 35 ), men også til beskyttelsen af de virksomheder, der sælger dem varer eller giver dem kredit. Disse selskaber sikrer det finansielle systems stabilitet ved at forhindre, at der ydes kreditter på en uansvarlig måde til låntagere, som frembyder høje risici for misligholdelse ( 36 ). Uden et pålideligt kreditvurderingssystem ville en stor del af befolkningen praktisk taget være udelukket fra muligheden for at optage lån på grund af uforudsigelige risici, økonomiske transaktioner i informationsalderen ville være betydeligt vanskeligere, og forsøg på svig ville ikke blive opdaget. Set i dette lys er det muligt at tilslutte sig de begrundelser, der tilsyneladende har foranlediget den tyske lovgiver til at vedtage BDSG’s § 31.

76.

I øvrigt, selv om det på den anden side er velkendt, at privatretlige juridiske personer kan handle i samfundets interesse, er det efter min opfattelse indlysende, at en »legitim interesse« ikke kan begrunde en anvendelse af databeskyttelsesforordningens artikel 6, stk. 1, litra e). Tilknytningen til »udøvelse af offentlig myndighed« og 45., 55. og 56. betragtning til databeskyttelsesforordningen indikerer snarere, at denne bestemmelse i første række omhandler offentlige myndigheder i snæver forstand samt juridiske personer, der udøver en del af den offentlige myndighed, og i anden række privatretlige juridiske personer, der foretager behandling med henblik på offentlig tjeneste, f.eks. inden for »folkesundhed«, »social sikring« og »forvaltning af sundhedsydelser«, som nævnt i 45. betragtning til databeskyttelsesforordningen. Med andre ord vedrører denne bestemmelse klassiske statslige opgaver.

77.

Det skal også anføres, at der i 55. og 56. betragtning til databeskyttelsesforordningen henvises til »anerkendte religiøse sammenslutninger« og »politiske partier«, dvs. organisationer, der i henhold til EU-lovgivers kriterier udøver virksomhed af almen interesse og med henblik herpå foretager databehandling af personoplysninger. I lyset af denne konstatering er det tvivlsomt, om denne bestemmelse også kan omfatte kreditoplysningsbureauernes virksomhed, herunder scoring. En sådan fortolkning ville i betydelig grad udvide denne bestemmelses anvendelsesområde og gøre det særligt vanskeligt at afgrænse denne åbningsbestemmelse ( 37 ).

78.

Ud over de anførte betragtninger skal det i denne forbindelse nævnes, at selv om BDSG’s § 31 tilsigter at beskytte de økonomiske transaktioner, nævner denne bestemmelse ingen af disse bureauers konkrete opgaver ( 38 ). Som allerede anført i dette forslag til afgørelse fremgår det af den forelæggende rets præciseringer af de nationale retsforskrifter, at denne bestemmelse vedrører de økonomiske aktørers »anvendelse« af scoringen og ikke kreditoplysningsbureauernes »udarbejdelse« af den ( 39 ). Det er imidlertid netop denne aktivitets lovlighed, der er det centrale i tvisten i hovedsagen. Af de ovenstående grunde er jeg af den opfattelse, at databeskyttelsesforordningens artikel 6, stk. 1, litra e), ikke er egnet til at tjene som hjemmel.

79.

Det skal dernæst undersøges, om denne aktivitet er omfattet af anvendelsesområdet for databeskyttelsesforordningens artikel 6, stk. 1, litra f). Ifølge Domstolens praksis ( 40 ) fastsætter den omhandlede bestemmelse tre kumulative betingelser for, at en behandling af personoplysninger er lovlig, nemlig for det første, at den dataansvarlige eller den tredjemand eller de tredjemænd, til hvem oplysningerne videregives, forfølger en legitim interesse, for det andet, at behandlingen af personoplysninger er nødvendig for at forfølge den legitime interesse, og for det tredje betingelsen om, at de grundlæggende rettigheder og frihedsrettigheder, der tilkommer den person, der er omfattet af beskyttelsen af oplysningerne, ikke går forud herfor.

80.

Hvad angår for det første forfølgelsen af en »legitim interesse« erindrer jeg om, at der i databeskyttelsesforordningen og i retspraksis anerkendes en bred vifte af interesser, der anses for at være legitime ( 41 ), idet det skal præciseres, at det i henhold til databeskyttelsesforordningens artikel 13, stk. 1, litra d), påhviler den dataansvarlige at oplyse de legitime interesser, der forfølges inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f). Som allerede anført i dette forslag til afgørelse består lovgivningsformålet med BDSG’s § 31 i at sikre lovligheden af de aktiviteter, som kreditoplysningsbureauerne udfører, eftersom disse ifølge den tyske lovgiver bidrager til, at et lands økonomi fungerer korrekt ( 42 ). For så vidt som disse aktiviteter sikrer beskyttelse af de forskellige økonomiske aktører mod de risici, der er forbundet med manglende betalingsevne med alvorlige konsekvenser for det finansielle systems stabilitet, kan det i denne fase af bedømmelsen fastslås, at ovennævnte nationale bestemmelse forfølger et økonomisk mål, der vil kunne udgøre en »legitim interesse«, i den forstand, hvori udtrykket er anvendt i databeskyttelsesforordningens artikel 6, stk. 1, litra f).

81.

Hvad dernæst angår betingelsen om, at behandlingen af personoplysninger skal være nødvendig for, at den legitime interesse kan være opfyldt, skal undtagelser fra og begrænsninger af beskyttelsen af personoplysninger ifølge Domstolens praksis derfor holdes inden for det strengt nødvendige ( 43 ). Det er således nødvendigt, at der er en tæt forbindelse mellem behandlingen og den interesse, der forfølges, når der ikke findes alternative løsninger med en bedre beskyttelse af personoplysninger, idet det ikke er tilstrækkeligt, at behandlingen alene skyldes, at den er nyttig for den dataansvarlige. I denne henseende skal det anføres, at selv om den forelæggende ret har givet udtryk for en vis tvivl med hensyn til lovligheden af scoringvirksomheden i forhold til databeskyttelsesforordningens bestemmelser, har den ikke fremlagt nogen oplysninger om, at der skulle findes alternative foranstaltninger med en bedre beskyttelse af personoplysninger. Når der ikke foreligger andre oplysninger, er jeg tilbøjelig til at indrømme en vis skønsmargen i valget af passende foranstaltninger med henblik på at nå det ønskede mål.

82.

Hvad endelig angår afvejningen af den dataansvarliges interesser på den ene side og den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder på den anden side må det konstateres, at afvejningen af de forskellige interesser, der er på spil i den foreliggende sag, er sket via lovgivning. Med vedtagelsen af BDSG’s § 31 har den tyske lovgiver vægtet økonomiske interesser højere end retten til beskyttelse af personoplysninger. En sådan tilgang er imidlertid kun mulig, hvis der i databeskyttelsesforordningens artikel 6, stk. 1, litra f), forefindes en bestemmelse, der gør det muligt for medlemsstaterne at opretholde eller indføre mere specifikke bestemmelser med henblik på tilpasning af nævnte forordnings bestemmelser om en sådan behandling. Som jeg vil redegøre for i det følgende, er dette imidlertid ikke tilfældet.

83.

Som det fremgår klart af ordlyden af databeskyttelsesforordningens artikel 6, stk. 2 og 3, er opretholdelse eller indførelse af mere specifikke bestemmelser kun tilladt i de i artikel 6, stk. 1, litra c) og e), omhandlede tilfælde. Ovenstående bedømmelse har vist, at BDSG’s § 31 ikke omhandler noget forhold, der vil kunne være omfattet af nævnte tilfælde, hvilket rent logisk udelukker, at databeskyttelsesforordningens artikel 6, stk. 2 og 3, kan gøres gældende som retsgrundlag. En anvendelse på det i stk. 1, litra f), omhandlede tilfælde, ville ikke blot tilsidesætte disse bestemmelsers ordlyd, men ville også se bort fra EU-lovgivers ønske, således som det fremgår af disse bestemmelsers tilblivelseshistorie.

84.

I denne henseende vil jeg gerne fremhæve, at det fremgår af artikel 5 i direktiv 95/46/EF ( 44 ) – den retsakt, der gik forud for databeskyttelsesforordningen – at medlemsstaterne »præciserer, på hvilke betingelser behandling af personoplysninger er lovlig«. Domstolen har fortolket denne bestemmelse ved at konkludere, at intet er til hinder for, at medlemsstaterne under udøvelsen af den skønsbeføjelse, de har i henhold til artikel 5 i direktiv 95/46, fastsætter retningslinjer for den nødvendige afvejning af dette direktivs artikel 7, litra f), der svarer til databeskyttelsesforordningens artikel 6, stk. 1, litra f). Det er imidlertid vigtigt at fremhæve, at databeskyttelsesforordningen ikke tillægger medlemsstaterne en sådan beføjelse. I mangel af en tilsvarende bestemmelse i databeskyttelsesforordningen indebærer dette, at medlemsstaterne ikke længere kan fastsætte retningslinjer i national ret med henblik på at præcisere den legitime interesse som omhandlet i nævnte forordnings artikel 6, stk. 1, litra f) ( 45 ).

85.

Henvisningen til »[b]estemmelser vedrørende specifikke behandlingssituationer« i kapitel IX, der findes i stk. 2 og 3 bevirker ikke, at anvendelsesområdet for databeskyttelsesforordningens artikel 6 udvides. Der er snarere tale om en henvisning til bestemmelser, der giver medlemsstaterne mulighed for at vedtage mere specifikke regler på bestemte områder, nemlig når behandlingen er nødvendig af hensyn til overholdelse af en »retlig forpligtelse« som omhandlet i litra c), eller udførelse af en »opgave i samfundets interesse« eller som henhører under »offentlig myndighedsudøvelse« ( 46 ). Som nævnt ovenfor har disse områder imidlertid ingen forbindelse til de omstændigheder, under hvilke BDSG’s § 31 finder anvendelse.

86.

I denne henseende skal det også fremhæves, at selv om Kommissionen med sit forslag til forordning fik tillagt beføjelser »til at vedtage delegerede retsakter med henblik på nærmere fastlæggelse af de betingelser, der er omhandlet i [artikel 6,] stk. 1, litra f), for forskellige sektorer og databehandlingssituationer, herunder med hensyn til behandling af personoplysninger om et barn«, blev dette forslag ikke vedtaget af EU-lovgiver. Det fremgår af en analyse af tekstens tilblivelse, at medlemsstaternes lovgivningsbeføjelser er blevet indskrænket af hensyn til en mere omfattende harmonisering med henblik på at sikre, at reglerne i forbindelse med behandling af personoplysninger anvendes konsekvent og ensartet overalt i Unionen, således som det bekræftes i tredje, niende og tiende betragtning til databeskyttelsesforordningen ( 47 ). Denne omstændighed skal tages i betragtning ved fortolkningen af databeskyttelsesforordningens artikel 6.

87.

Endelig skal det anføres, at selv hvis databeskyttelsesforordningens artikel 6, stk. 1, litra f), fandt anvendelse, ville en national bestemmelse som BDSG’s § 31 ikke blive anset for at være i overensstemmelse med EU-retten. Det skal påpeges, at Domstolen har fortolket artikel 7, litra f), i direktiv 95/46 således, at »[e]n medlemsstat […] [for visse kategorier [af personoplysninger ikke] definitivt [kan] foreskrive resultatet af afvejningen af de modstående rettigheder og interesser uden at tillade et anderledes resultat som følge af særlige omstændigheder i det konkrete tilfælde« ( 48 ). Eftersom denne bestemmelse er formuleret på næsten samme måde som den bestemmelse, der har erstattet den, nemlig databeskyttelsesforordningens artikel 6, stk. 1, litra f), er denne fortolkning stadig gyldig ( 49 ). Som den forelæggende ret har antydet, ser det imidlertid ud til, at den nationale lovgiver netop har haft dette mål for øje, for så vidt som BDSG’s § 31 tillader brugen af scoringer inden for finanssektoren, eftersom finanssektorens økonomiske interesser i forhold til beskyttelse af personoplysninger prioriteres, uden at der dog tages hensyn til de særlige omstændigheder i det konkrete tilfælde. En sådan tilgang svarer til en udvidelse af anvendelsesområdet for databeskyttelsesforordningens artikel 6, som ikke er tilladt.

88.

I lyset af det ovenstående er jeg af den opfattelse, at databeskyttelsesforordningens artikel 6, stk. 1, litra f), ikke gyldigt kan påberåbes som hjemmel for vedtagelse af en national bestemmelse som BDSG’s § 31.

89.

Den forelæggende ret har oplyst, at databeskyttelsesforordningens artikel 6, stk. 4, sammenholdt med samme forordnings artikel 23, stk. 1, var blevet nævnt som retsgrundlag i den lovgivningsprocedure, der førte til vedtagelse af BDSG’s § 31. Tanken om at basere sig på disse bestemmelser blev dog senere opgivet. Ifølge den forelæggende ret finder disse bestemmelser ikke anvendelse på den foreliggende sag.

90.

Eftersom der ikke er fremlagt mere detaljerede oplysninger, er det ikke muligt at tage stilling til, om ovennævnte bestemmelser eventuelt kunne finde anvendelse. Det er efter min opfattelse heller ikke nødvendigt, hvis nævnte bestemmelser ikke har spillet nogen rolle i lovgivningsproceduren, som den forelæggende ret har fastslået ( 50 ).

91.

I de foregående punkter har jeg undersøgt, om databeskyttelsesforordningens artikel 6 og 22 kan fungere som hjemmel for vedtagelsen af en national bestemmelse som BDSG’s § 31 med henblik på at begrunde lovligheden af at udarbejde scoringer i forbindelse med kreditoplysningsbureauernes aktiviteter. Flere grunde, som jeg har redegjort detaljeret for i min bedømmelse, bekræfter mig i min opfattelse af, at denne mulighed skal forkastes. Sammenfattende er det min opfattelse, at når der ikke findes åbningsbestemmelser eller undtagelser, der tillader medlemsstaterne at vedtage mere præcise regler eller afvige fra databeskyttelsesforordningens regler med henblik på fastsættelse af regler for ovennævnte aktivitet, og henset til den grad af harmonisering, som søges med forordningen, der i henhold til artikel 288 TEUF er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat, må en sådan national bestemmelse anses for ikke at være i overensstemmelse med databeskyttelsesforordningen.

92.

Da Domstolen ikke har kompetence til at fortolke national ret eller udtale sig om dennes overensstemmelse med EU-retten i en præjudiciel sag i henhold til artikel 267 TEUF, skal de argumenter, der er blevet behandlet i dette forslag til afgørelse, forstås som angivelser af, hvordan databeskyttelsesforordningens relevante bestemmelser skal fortolkes, således at den forelæggende ret i givet fald kan udøve denne kompetence efter selv at have undersøgt BDSG’s § 31, sammenholdt med databeskyttelsesforordningens bestemmelser, navnlig vedrørende muligheden for at fortolke den nationale lovgivning i overensstemmelse med EU-rettens krav.

93.

Ifølge princippet om EU-rettens forrang har EU-retten en fortrinsstilling i forhold til medlemsstaternes nationale ret. Dette princip medfører derfor en forpligtelse for alle instanser i medlemsstaterne til at sikre, at de forskellige EU-retlige bestemmelser gennemføres fuldt ud, idet medlemsstaternes nationale ret ikke kan ændre den virkning, som disse forskellige bestemmelser tillægges på disse staters område. Ifølge dette princip har den nationale ret, der inden for sit kompetenceområde skal anvende EU-retlige bestemmelser, i henhold til princippet om forrang pligt til – såfremt det ikke er muligt at anlægge en fortolkning af national lovgivning, der er i overensstemmelse med de EU-retlige krav – at sikre disse bestemmelsers fulde virkning, idet den om fornødent af egen drift skal undlade at anvende enhver modstående bestemmelse i national lovgivning, endog en senere national bestemmelse, uden at den behøver at anmode om eller afvente en forudgående ophævelse af denne bestemmelse ad lovgivningsvejen eller ved noget andet forfatningsmæssigt middel ( 51 ).

94.

Som svar på det andet præjudicielle spørgsmål er det min opfattelse, at databeskyttelsesforordningens artikel 6, stk. 1, og artikel 22 skal fortolkes således, at disse bestemmelser ikke er til hinder for en national lovgivning om profilering, når der er tale om en anden profilering end den, der er omhandlet i nævnte forordnings artikel 22, stk. 1. I dette tilfælde skal den nationale lovgiver imidlertid overholde betingelserne i den pågældende forordnings artikel 6. Den skal navnlig basere sig på et passende retsgrundlag, hvilket det påhviler den forelæggende ret at efterprøve.

95.

På baggrund af det ovenstående foreslår jeg, at Domstolen besvarer de af Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) forelagte præjudicielle spørgsmål som følger: