1.

A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) által az EUMSZ 267. cikk alapján benyújtott jelen előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) ( 2 ) 6. cikke (1) bekezdésének és 22. cikke (1) bekezdésének értelmezésére vonatkozik.

2.

E kérelmet az egyrészről QQ természetes személy, másrészről a Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hessen szövetségi tartomány adatvédelmi biztosa, a továbbiakban: HBDI) által képviselt Land Hessen (Hessen szövetségi tartomány, Németország) között személyes adatok védelme tárgyában folytatott jogvita keretében terjesztették elő. A SCHUFA Holding AG (a továbbiakban: SCHUFA), egy magánjogi intézmény, beavatkozóként támogatja a HBDI‑t. A SCHUFA üzleti tevékenysége során, amelynek keretében harmadik személyek hitelképességére vonatkozó információkat szolgáltat szerződő partnerei számára, egy hitelintézet részére a felperesre vonatkozóan pontozásos hitelbírálat során score értéket közölt, amely alapján e hitelintézet megtagadta e személytől az általa kért hitelt. Ezt követően a felperes kérte a SCHUFA‑t, hogy törölje a vonatkozó bejegyzést, és biztosítson számára hozzáférést az érintett adatokhoz, azonban ez utóbbi csak a vonatkozó score értéket, és az általában annak kiszámítására alkalmazott módszer alapjául szolgáló elveket közölte vele, anélkül hogy tájékoztatta volna a felperest az e számítás során figyelembe vett konkrét adatokról és az ezen adatoknak ebben az összefüggésben tulajdonított jelentőségről, arra hivatkozva, hogy a számítási módszer az üzleti titoktartás körébe tartozik.

3.

Mivel a felperes arra hivatkozik, hogy kérelmének a SCHUFA általi elutasítása ellentétes az adatvédelmi szabályozással, a Bíróságnak az általános adatvédelmi rendelet által – a pénzügyi ágazatban működő információs ügynökségek gazdasági tevékenységére, különösen az adatkezelésre vonatkozóan – előírt korlátozásokról, valamint az üzleti titoktartásra gyakorolt hatásról kell határoznia. Hasonlóképpen, a Bíróságnak tisztáznia kell azon szabályozási hatáskörök terjedelmét, amelyeket az általános adatvédelmi rendelet egyes rendelkezései az e jogi aktus által követett általános harmonizációs céltól eltérően a nemzeti jogalkotóra ruháznak.

4.

Az általános adatvédelmi rendelet 4. cikkének (4) bekezdése a következőképpen rendelkezik:

„E rendelet alkalmazásában:

[…]

5.

Az általános adatvédelmi rendeletnek „Az adatkezelés jogszerűsége” című 6. cikke szerint:

„(1)   A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

(2)   Az e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.

(3)   Az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját a következőknek kell megállapítania:

Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

(4)   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető‑e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

6.

Az általános adatvédelmi rendeletnek „Az érintett hozzáférési joga” címet viselő 15. cikke a következőképpen rendelkezik:

„(1)   Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van‑e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:

[…]

[…]”

7.

Az általános adatvédelmi rendeletnek „A tiltakozáshoz való jog” című 21. cikke szerint:

„(1)   Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

[…]”

8.

Az általános adatvédelmi rendelet „Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást” című 22. cikke értelmében:

„(1)   Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

(2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

(3)   A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

(4)   A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.”

9.

A 2019. november 20‑i törvénnyel ( 3 ) módosított, 2017. június 30‑i Bundesdatenschutzgesetz (adatvédelmi törvény, a továbbiakban: BDSG) ( 4 )„A gazdasági forgalom védelme «scoring» [pontozásos hitelbírálat score érték megállapításával] és a hitelképességre vonatkozó tájékoztatás esetén” című 31. §‑a a következőképpen rendelkezik:

„(1)   Valamely természetes személy meghatározott jövőbeni magatartására vonatkozó valószínűségi értéknek az e személlyel fennálló szerződéses jogviszony létrehozásával, teljesítésével vagy megszüntetésével kapcsolatos döntéshozatal céljából történő alkalmazása (scoring) csak akkor megengedett, ha

(2)   A természetes személy fizetőképességére és fizetési hajlandóságára vonatkozó, információs vállalkozások által megállapított valószínűségi érték alkalmazása követelésekre vonatkozó információk figyelembevétele esetén csak akkor megengedett, ha az (1) bekezdésben előírt feltételek fennállnak, és csak az esedékesség ellenére nem teljesített szolgáltatásra vonatkozó olyan követelések vehetők figyelembe

Ez nem érinti az általános adatvédelmi jog szerinti adatkezelés – többek között a valószínűségi értékek és a hitelképesség szempontjából releváns más adatok megállapításának – jogszerűségét.”

10.

Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy az alapeljárás felperese a SCHUFA által végzett hitelbírálat miatt nem kapott hitelt. Ez utóbbi egy hitelinformációs szolgáltató magánvállalkozás, amely fogyasztók hitelképességére vonatkozó információkat szolgáltat szerződő partnerei számára. E célból a SCHUFA hitelképesség‑értékeléseket végez, amelynek során egy személy bizonyos jellemzőiből matematikai‑statisztikai eljárások alapján előre jelzi e személy valamely jövőbeli magatartásának, például egy hitel visszafizetésének valószínűségét.

11.

A felperes kérte a SCHUFA‑t, hogy törölje a rá vonatkozó pontatlan adatokat, és biztosítson számára hozzáférést a rá vonatkozóan nyilvántartott adatokhoz. A SCHUFA közölte a felperessel többek között a vele kapcsolatban kiszámított score értéket és a számítás elvi módját, de nem tájékoztatta arról, hogy a számítás során hogyan súlyozta a különböző adatokat. A SCHUFA úgy véli, hogy nem köteles nyilvánosságra hozni számítási módszereit, mivel azok a szakmai és üzleti titoktartás körébe tartoznak. Ezenkívül úgy véli, hogy ő csupán információkat bocsát a szerződéses partnerei rendelkezésére, a hitelszerződésre vonatkozó tulajdonképpeni döntést azonban ez utóbbiak hozzák meg.

12.

A SCHUFA jelentése ellen a felperes panaszt nyújtott be az alpereshez, egy adatvédelmi biztoshoz azzal a kérelemmel, hogy az alperes kötelezze a társaságot a felperes hozzáférésre és törlésre irányuló kérelmének teljesítésére. A panasz alapján hozott határozatával az adatvédelmi biztos megállapította, hogy nincs helye a társasággal szembeni további eljárásnak, mivel ez utóbbi eleget tesz a német szövetségi adatvédelmi törvényben meghatározott követelményeknek.

13.

Az alperes határozatával szemben a felperes keresetet nyújtott be a kérdést előterjesztő bírósághoz. E bíróság úgy véli, hogy az alapügy eldöntése szempontjából annak van jelentősége, hogy az általános adatvédelmi rendelet 22. cikke (1) bekezdésének hatálya alá tartozik‑e a hitelinformációs szolgáltatók azon tevékenysége, amelynek során ez utóbbiak személyekre vonatkozóan pontozásos hitelbírálat során score értéket állapítanak meg, és ezeket további javaslat vagy megjegyzés nélkül harmadik személyek rendelkezésére bocsátják.

14.

A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság) úgy határozott, hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

15.

A 2021. október 1‑jén kelt előzetes döntéshozatalra utaló határozat 2021. október 15‑én érkezett meg a Bíróság Hivatalához.

16.

Az alapeljárás felei, a SCHUFA, a dán, a portugál és a finn kormány, valamint az Európai Bizottság az Európai Unió Bírósága alapokmányának 23. cikkében előírt határidőn belül írásbeli észrevételeket nyújtott be.

17.

A 2023. január 26‑i tárgyaláson az alapeljárás feleinek ad litem képviselői, a SCHUFA, a német és a finn kormány, valamint a Bizottság képviselői szóbeli előterjesztéseket tettek.

18.

Mivel a piacgazdaságban a kölcsönös bizalom az alapja minden szerződéses kötelezettségvállalásnak, főszabály szerint érthető, hogy a szolgáltatásnyújtók és áruszállítók üzleti szempontból meg akarják ismerni ügyfeleiket és az ilyen szerződéses kötelezettségvállalással járó kockázatokat. A gazdasági információs vállalkozások olyan statisztikai módszerekkel segíthetnek e kölcsönös bizalom megerősítésében, amelyek lehetővé teszik a vállalkozások számára annak megállapítását, hogy az adott esetben teljesülnek‑e bizonyos releváns kritériumok, beleértve az ügyfelek hitelképességét is. Ezáltal segítik a vállalkozásokat abban, hogy megfeleljenek az uniós jog különböző rendelkezéseinek, amely éppen ilyen kötelezettséget ró rájuk bizonyos szerződéskategóriák, különösen a hitelmegállapodások tekintetében. ( 5 ) Az alkalmazott módszerek némelyike az ügyfelek személyes adataira támaszkodhat, amelyeket automatizált módon, a számítástechnika segítségével gyűjtenek és dolgoznak fel. Ezzel az érdekkel szemben áll az érintett személyek azon érdeke, hogy megismerhessék az adatok kezelésének és nyilvántartásának módját, valamint a vállalkozások által az ügyfeleikkel kapcsolatos döntések meghozatala során alkalmazott módszereket.

19.

A 2018. május 25‑étől alkalmazandó általános adatvédelmi rendelet olyan jogi keretet hozott létre, amely a fent említett érdekek figyelembevételére törekszik az Unió egész területén, többek között azáltal, hogy bizonyos feltételeket szab a személyes adatok kezelésére. Így különleges korlátozások vonatkoznak a természetes személyt érintő vagy jelentős mértékben érintő joghatások elérésére alkalmas automatizált kezelésre. E korlátozások indoka a profilalkotásban, vagyis a természetes személyre vonatkozó egyes személyes szempontok értékelésében keresendő, amelynek célja a természetes személy gazdasági helyzetének, megbízhatóságának, illetve magatartásának az elemzése. Ebben az összefüggésben meg kell említeni az általános adatvédelmi rendelet 22. cikkében foglalt, a jelen esetben releváns korlátozásokat, amelyek célja az emberi méltóság védelme annak megakadályozásával, hogy az érintett személyt kizárólag automatizált kezelés alapján hozott döntésnek vessék alá anélkül, hogy emberi beavatkozással adott esetben ellenőrizni lehetne, hogy a döntés meghozatala tisztességes, pontos és megkülönböztetéstől mentes módon történt‑e. ( 6 ) Az ilyen típusú automatizált adatkezeléssel összefüggésben biztosítandó emberi beavatkozás garantálja, hogy az érintettnek lehetősége legyen kifejteni álláspontját, magyarázatot kapjon az ilyen típusú értékelés eredményeként hozott döntésről, és megtámadhassa azt, ha nem ért egyet e döntéssel. Az előzetes döntéshozatalra előterjesztett első kérdés éppen az általános adatvédelmi rendelet 22. cikkében említett korlátozások hatályára vonatkozik.

20.

Jóllehet az általános adatvédelmi rendelet a személyes adatok védelmére vonatkozó általános, főszabály szerint teljes szabályozási keretet hozott létre, meg kell azonban említeni, hogy egyes rendelkezések lehetővé teszik a tagállamok számára, hogy további, szigorúbb vagy eltérő nemzeti szabályokat írjanak elő, ezáltal mérlegelési mozgásteret hagynak a tagállamok számára e rendelkezések végrehajtásának módját illetően („engedő rendelkezések”), feltéve, hogy e szabályok nem sértik az általános adatvédelmi rendelet tartalmát és célkitűzéseit. ( 7 ) A jelen indítványban vizsgálandó előzetes döntéshozatalra előterjesztett második kérdés középpontjában a tagállamok e fennmaradó szabályozási hatáskörének terjedelme áll.

21.

Az adatvédelmi biztos és a SCHUFA vitatja az előzetes döntéshozatal iránti kérelem elfogadhatóságát. E tekintetben a SCHUFA arra hivatkozik, hogy az előzetes döntéshozatal iránti kérelem nem szükséges a jogvita eldöntéséhez, és nem kellően indokolt, továbbá egy második jogorvoslati utat nyit meg, és ellentmond az ugyanazon kérdést előterjesztő bíróság által benyújtott és később visszavont más előzetes döntéshozatal iránti kérelmeknek.

22.

Először is emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlata szerint a Bíróság és a nemzeti bíróságok között az EUMSZ 267. cikk alapján létrehozott együttműködés keretében kizárólag a jogvitában eljáró és a meghozandó bírósági határozatért felelős nemzeti bíróság feladata, hogy az ügy sajátosságaira tekintettel megítélje mind az előzetes döntéshozatalra utaló határozatnak az ítélet meghozatala szempontjából való szükségességét, mind a Bíróság elé terjesztett kérdések relevanciáját. Következésképpen, amennyiben az előterjesztett kérdések valamely uniós jogi szabály értelmezésére vagy érvényességére vonatkoznak, a Bíróság – főszabály szerint – köteles határozatot hozni. Ennélfogva az uniós jogra vonatkozó kérdések releváns voltát vélelmezni kell. A Bíróság csak akkor utasíthatja el a nemzeti bíróság előzetes döntéshozatalra előterjesztett kérdéséről való határozathozatalt, ha valamely uniós jogi szabály kért értelmezése vagy érvényességének kért értékelése nyilvánvalóan semmilyen összefüggésben nincs az alapügy tényállásával vagy tárgyával, ha a probléma hipotetikus jellegű, vagy ha nem állnak a Bíróság rendelkezésére azok a ténybeli és jogi elemek, amelyek szükségesek ahhoz, hogy az elé terjesztett kérdésekre hasznos választ adhasson. ( 8 )

23.

A jelen ügyben nem teljesülnek ezek a feltételek, mivel az előzetes döntéshozatalra utaló végzés 40. pontjából egyértelműen kitűnik, hogy az eljárás kimenetele az előzetes döntéshozatalra előterjesztett első kérdéstől függ. A kérdést előterjesztő bíróság kifejti, hogy amennyiben az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kellene értelmezni, hogy a score érték gazdasági információs vállalkozás általi megállapítása az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett önálló döntésnek minősül, e vállalkozásra, pontosabban a meghatározó tevékenységére az automatizált egyedi döntéshozatal tilalma vonatkozik. Következésképpen az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja értelmében tagállami jogalap szükséges, és ilyen jogalapként kizárólag a BDSG 31. §‑a jöhet szóba. Márpedig a kérdést előterjesztő bíróság komoly kétségeit fejezi ki e rendelkezésnek az általános adatvédelmi rendelet 22. cikkének (1) bekezdésével való összeegyeztethetőségét illetően. A kérdést előterjesztő bíróság szerint a SCHUFA nemcsak jogalap nélkül járna el, hanem az utóbbi rendelkezésben előírt tilalmat is megsértené. Következésképpen, a felperes jogosult lenne arra, hogy az adatvédelmi biztos mint felügyeleti hatóság továbbra is foglalkozzon az ügyével. Ezért egyértelmű, hogy a kérdést előterjesztő bíróság által feltett kérdésekre adott válasz döntő jelentőségű az ügy elbírálása szempontjából.

24.

A SCHUFA arra is hivatkozik, hogy az előzetes döntéshozatal iránti kérelem elfogadhatatlan azon az alapon, hogy a felperest már tájékoztatták a score érték megállapításának logikájáról. Mindazonáltal az előzetes döntéshozatalra utaló végzésből világosan kitűnik, hogy a felperes a lehető legrészletesebb tájékoztatást kívánt kapni az összes összegyűjtött adatról és a score érték megállapításához használt módszerről. Mivel a SCHUFA nagy vonalakban tájékoztatta a felperest arról, hogy a score érték kiszámítása főszabály szerint hogyan történik, de nem tájékoztatta a számítás során figyelembe vett egyedi információkról vagy azok súlyozásáról, egyértelmű, hogy a SCHUFA nem tett eleget e tájékoztatási kérelemnek. Következésképpen, a felperesnek jogos érdeke fűződik ahhoz, hogy az érintett személyeknek a SCHUFA‑hoz hasonló gazdasági információs vállalkozással szemben fennálló jogait előzetes döntéshozatal útján állapítsák meg.

25.

Ami annak állítólagos kockázatát illeti, hogy az érintett személy számára egy második jogorvoslati út is megnyílik, meg kell jegyezni, hogy – ellentétben azzal, amire a SCHUFA az észrevételeiben hivatkozik – az a tény, hogy a felperes először a rendes bíróságon, majd a kérdést előterjesztő közigazgatási bíróságon indított eljárást, nem zárja ki az előzetes döntéshozatal iránti kérelem elfogadhatóságát. A felperes a két keresettel az általános adatvédelmi rendeletnek a felügyeleti hatósággal, illetve az adatkezelővel szembeni hatékony bírósági jogorvoslathoz való jogot biztosító 78. és 79. cikkében előírt jogorvoslati lehetőségekkel élt. Mivel ezek a jogorvoslatok önállóan léteznek egymás mellett, és egyik sem másodlagos a másikhoz képest, párhuzamosan is gyakorolhatók. ( 9 ) A felperesnek ezért nem róható fel, hogy szabálytalanul járt el az általános adatvédelmi rendelet által védett jogainak védelme során.

26.

Emellett emlékeztetni kell arra, hogy a Bíróság állandó ítélkezési gyakorlatának megfelelően, vonatkozó uniós szabályozás hiányában az egyes tagállamok belső jogrendjének feladata, hogy kijelölje a hatáskörrel rendelkező bíróságokat, és meghatározza az azon jogok védelmének biztosítását szolgáló keresetek eljárási szabályait, amelyek az uniós jogból erednek a jogalanyok számára. ( 10 ) Ezért nincs objektív ok valamely tagállam jogorvoslati rendszerének kétségbe vonására, kivéve azokat az eseteket, amelyekben az uniós jog hatékonysága kerülne veszélybe, például akkor, ha a nemzeti bíróságok elveszítenék azon jogosultságukat, vagy mentesülnének az EUMSZ 267. cikkben meghatározott azon kötelezettségük alól, hogy az uniós jog értelmezésével vagy érvényességével kapcsolatos kérdéseket terjesszenek a Bíróság elé.

27.

A jelen ügyben semmi nem utal arra, hogy a felügyeleti hatósággal, illetve az adatkezelővel szembeni hatékony bírósági jogorvoslatot lehetővé tévő kétféle jogorvoslat megléte veszélyeztetné az uniós jog hatékonyságát, vagy megfosztaná a nemzeti bíróságokat az EUMSZ 267. cikk szerinti eljárás alkalmazásának lehetőségétől. Éppen ellenkezőleg – ahogyan azt már kifejtettem – az általános adatvédelmi rendelet 78. és 79. cikke értelmében kétségtelen, hogy az általános adatvédelmi rendelet nem zárja ki az ilyen jogorvoslati rendszert, és a tagállamra bízza az illetékes bíróságok kijelölését, valamint a jogorvoslat eljárási szabályainak meghatározását, az eljárási autonómia elvének teljeskörű tiszteletben tartása mellett. A Bíróság ezt a közelmúltbeli ítélkezési gyakorlatában is elismerte. ( 11 )

28.

Végül meg kell jegyezni, hogy a SCHUFA csupán a német jog szerint rendelkezésre álló jogorvoslati lehetőségeket bírálja, azonban pontosan nem fejti ki, hogy a Bíróság jelen előzetes döntéshozatali eljárásban hozott ítélete miért szükségtelen a jogvita megoldásához. Márpedig – amint arra a kérdést előterjesztő bíróság rámutat – az általános adatvédelmi rendelet 22. cikke (1) bekezdésének a Bíróság általi értelmezése lehetővé tenné az alperes számára, hogy a SCHUFA feletti felügyeleti hatáskörét az uniós joggal összhangban gyakorolja. Következésképpen véleményem szerint megalapozatlan a SCHUFA azon érvelése, amely vitatja az előzetes döntéshozatal iránti kérelem elfogadhatóságát.

29.

E megfontolások főszabály szerint elegendőek a SCHUFA érvelésének elutasításához. A jelen ügy jobb megértése érdekében mindazonáltal szükségesnek tartom, hogy foglalkozzak azzal az érveléssel, amely szerint az előzetes döntéshozatal iránti kérelem nem kellően indokolt. A SCHUFA állításával ellentétben az előzetes döntéshozatalra utaló végzés kellő részletességgel meghatározza a jelen ügy tárgyát ahhoz, hogy megfeleljen a Bíróság eljárási szabályzata 94. cikkének c) pontjában foglalt követelményeknek. Közelebbről, a kérdést előterjesztő bíróság kifejti, hogy a felperes a SCHUFA‑val szemben kívánja érvényesíteni jogait. A kérdést előterjesztő bíróság szerint az általános adatvédelmi rendelet 22. cikkének (1) bekezdése – a megszorító értelmezésétől eltekintve – főszabály szerint alkalmas arra, hogy védelmet nyújtson a felperes számára a személyes adatainak automatikus kezelése esetén.

30.

A kérdést előterjesztő bíróság úgy véli, hogy tekintettel azon jelentőségre, amelyet az egyes vállalkozások a – gazdasági információs vállalkozások által a természetes személyek gazdasági képességének prognosztikai értékelése céljából megállapított – score értéknek tulajdonítanak, ezen érték a fenti rendelkezés értelmében vett önálló „döntésnek” tekinthető. Az ilyen irányú értelmezésre azért van szükség, hogy megszüntessen egy abból eredő joghézagot, hogy az érintett személy másként nem tudja megszerezni az általános adatvédelmi rendelet 15. cikke (1) bekezdésének h) pontja szerinti szükséges információkat. E részletes indokolás alapján úgy vélem, hogy a SCHUFA érveit el kell utasítani, és meg kell állapítani az előzetes döntéshozatal iránti kérelmet elfogadhatóságát.

31.

Az általános adatvédelmi rendelet 22. cikkének (1) bekezdése az e rendeletben az adatkezelésre vonatkozóan előírt többi korlátozáshoz képest sajátos jellegű, amennyiben az érintett személynek „jogot” biztosít arra, hogy a személyére vonatkozóan ne lehessen kizárólag automatizált adatkezelésen alapuló döntéseket hozni, ideértve a profilalkotást is. A használt terminológia ellenére az általános adatvédelmi rendelet 22. cikke (1) bekezdésének alkalmazása nem követeli meg, hogy az érintett aktívan hivatkozzon a jogra. E rendelkezés e rendelet (71) preambulumbekezdés alapján történő, valamint e rendelkezés, különösen az utóbbi (2) bekezdésének rendszerét figyelembe vevő értelmezése, mely (2) bekezdése meghatározza azokat az eseteket, amelyekben az ilyen automatizált adatkezelés kivételesen engedélyezett, arra a következtetésre vezet, hogy e rendelkezés a fent leírt típusú döntések általános tilalmát állapítja meg. Mindemellett hangsúlyozni kell, hogy e tilalom csak rendkívül speciális körülmények között, nevezetesen kifejezetten „a rá nézve joghatással járó” vagy „őt hasonlóképpen jelentős mértékben érintő” döntésekre alkalmazandó.

32.

Első kérdésében a kérdést előterjesztő bíróság azt kérdezi, hogy a score értéknek a hitelinformációs szolgáltató vállalkozás általi kiszámítása az általános adatvédelmi rendelet 22. cikke (1) bekezdésének hatálya alá tartozik‑e, ha a kapott score értéket egy olyan vállalkozásnak továbbítják, amely azt döntően az érintett személlyel fennálló szerződéses kapcsolat létesítésére, teljesítésére vagy megszüntetésére vonatkozó döntés meghozatalához használja fel. Más szóval a kérdés az, hogy ez a rendelkezés vonatkozik‑e azokra a hitelinformációs vállalkozásokra, amelyek score értékeket bocsátanak pénzintézetek rendelkezésére. E kérdés vizsgálatához meg kell állapítani, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdésében említett feltételek a jelen ügyben teljesülnek‑e.

33.

E rendelkezés először is megköveteli azt, hogy fennálljon a személyes adatok automatizált kezelése, mivel megfogalmazása alapján a „profilalkotás” annak egyik alkategóriáját képezi. ( 12 ) E tekintetben meg kell jegyezni, hogy a SCHUFA által végzett „scoring” az általános adatvédelmi rendelet 4. cikkének (4) bekezdésében szereplő jogi meghatározás alá tartozik, mivel ez az eljárás személyes adatokat használ fel a természetes személyekre vonatkozó bizonyos szempontok értékeléséhez annak érdekében, hogy elemezze vagy megjósolja e személyek gazdasági helyzetére, megbízhatóságára és valószínű viselkedésére vonatkozó elemeket. Az ügy irataiból ugyanis kitűnik, hogy a SCHUFA által alkalmazott módszer bizonyos kritériumok alapján egy „score értéket”, vagyis olyan eredményt szolgáltat, amely lehetővé teszi az érintett személy hitelképességére vonatkozó következtetések levonását. Végezetül hangsúlyozom, hogy egyik érdekelt fél sem vitatja a szóban forgó eljárás „profilalkotásként” való minősítését, így ez a feltétel a jelen ügyben teljesítettnek tekinthető.

34.

Az általános adatvédelmi rendelet 22. cikke (1) bekezdésének alkalmazása megköveteli, hogy a szóban forgó döntés „joghatással” járjon az érintett személyre nézve, vagy „hasonlóképpen jelentős mértékben érintse őt”. Az általános adatvédelmi rendelet tehát elismeri, hogy az automatizált döntéshozatal, beleértve a profilalkotást is, súlyos következményekkel járhat az érintettekre nézve. Bár az általános adatvédelmi rendelet nem határozza meg a „joghatás” fogalmát vagy a „hasonlóképpen jelentős mérték” kifejezést, az alkalmazott megfogalmazás egyértelművé teszi, hogy csak a komoly következményekkel járó hatások tartoznak e rendelkezés hatálya alá. E tekintetben, elöljáróban meg kell jegyezni, hogy az általános adatvédelmi rendelet (71) preambulumbekezdése az érintettet „jelentős mértékben” érintő döntés tipikus példájaként kifejezetten megemlíti az „online hitelkérelem automatikus elutasítását”.

35.

Ezt követően figyelembe kell venni, hogy egyrészt, amennyiben a hitelkérelem kezelése a kölcsönszerződés megkötését megelőző lépésnek minősül, az ilyen kérelem elutasítása „joghatásokkal” járhat az érintett személyre nézve, mivel e személy többé nem léphet szerződéses kapcsolatba a szóban forgó pénzintézetekkel. Másrészt meg kell említeni, hogy egy ilyen elutasítás az érintett személy pénzügyi helyzetére is hatással lehet. Ezért logikus a következtetés, hogy e személy mindenképpen az említett rendelkezés értelmében véve „hasonlóképpen” érintetté válik. Úgy tűnik, hogy az uniós jogalkotó tudatában volt ennek az általános adatvédelmi rendelet (71) preambulumbekezdésének megfogalmazásakor, amelyet e rendelet 22. cikkének (1) bekezdésének értelmezése során figyelembe kell venni. Következésképpen úgy vélem, hogy a felperes kialakult helyzetére tekintettel a jelen ügyben teljesülnek az említett rendelkezés követelményei, függetlenül attól, hogy a hitelnyújtás megtagadásának a jogi vagy a gazdasági következményei állnak‑e a középpontban.

36.

Két további feltételnek kell teljesülnie. Először is az érintett személy vonatkozásában „döntés” jellegű jogi aktus elfogadására van szükség. Másodszor, a szóban forgó döntésnek „kizárólag automatizált adatkezelésen kell alapulnia”. Ez utóbbi követelményt illetően az előzetes döntéshozatalra utaló végzésben szereplő tényállásban semmi sem utal arra, hogy a SCHUFA által alkalmazott matematikai és statisztikai eljáráson kívül a score értéket bármilyen meghatározó módon, ember által végzett egyedi elemzés és értékelés útján határozzák meg. Következésképpen, a score megállapítása mint a SCHUFA által végrehajtott cselekmény, „kizárólag automatizált adatkezelésen alapulónak” tekintendő. Ugyanakkor nem szabad megfeledkezni arról, hogy az a pénzintézet, amellyel a SCHUFA közli a score értéket, az érintett személy tekintetében egy feltételezhetően önálló jogi aktust fogad el, nevezetesen hitelt nyújt, vagy megtagadja azt. Ezért felmerül a kérdés, hogy e két aktus közül melyik minősíthető az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett „döntésnek”, amit az alábbiakban vizsgálok meg.

37.

Ami az első feltételt illeti, először is meg kell határozni, hogy mi a „döntés” jogi jellege és azt milyen formában kell meghozni. Etimológiai szempontból ez a fogalom egy adott helyzetre vonatkozó „véleményt” vagy „állásfoglalást” foglal magában. E fogalomnak „kötelező jelleggel” is rendelkeznie kell, hogy megkülönböztesse azt a puszta „ajánlásoktól”, amelyeknek elvileg nincsenek jogi vagy ténybeli következményei. ( 13 ) Ezzel együtt – az adatvédelmi biztos állításával ellentétben – az EUMSZ 288. cikk negyedik bekezdésével való analógiát nem látom relevánsnak a jelen összefüggésben, különösen, mivel azt az általános adatvédelmi rendelet rendelkezései egyáltalán nem alapozzák meg.

38.

A jogi fogalommeghatározás hiánya arra enged következtetni, hogy az uniós jogalkotó egy olyan tág fogalmat választott, amely számos, az érintett személyt többféleképpen érintő jogi aktust magában foglalhat. Ugyanis – amint arra már rámutattam – az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett „döntés” vagy „joghatással” járhat, vagy az érintett személyt „hasonlóképpen” jelentős mértékben érintheti, ami azt jelenti, hogy a szóban forgó „döntés” nem feltétlenül jogi, hanem inkább gazdasági és társadalmi hatással járhat. Tekintettel arra, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdése a természetes személyeknek az automatizált adatkezelés potenciálisan diszkriminatív és tisztességtelen hatásaival szemben történő védelmére irányul, véleményem szerint különös elővigyázatosságra van szükség, aminek e szabály értelmezésében is tükröződnie kell.

39.

Végül hangsúlyozni kell, hogy mivel a magán pénzintézeteknek tulajdonítható jogi aktusok a piacgazdaságban is súlyos következményekkel járhatnak az érintett személy függetlenségére és cselekvési szabadságára nézve, különösen a hitelkérelmező hitelképességének igazolása során, ( 14 ) nem látok objektív okot arra, hogy a „döntés” fogalmát szigorúan állami területre, azaz az állam és az állampolgár közötti kapcsolatra korlátozzuk, ahogyan azt az adatvédelmi biztos által javasolt analógia implicit módon sugallja. Úgy tűnik számomra, hogy az érintett személyre vonatkozóan elfogadott álláspont „döntésként” történő minősítése eseti vizsgálatot igényel, amelynek során figyelembe kell venni a konkrét körülményeket, valamint az érintett jogi, gazdasági és szociális helyzetére gyakorolt hatások súlyosságát. ( 15 )

40.

Az előző pontokban ismertetett kritériumok alapján meg kell határozni, hogy a jelen ügyben mi a releváns „döntés”. Amint azt fentebb említettem, egyrészt létezik egy jogi aktus, amellyel a bank elfogadja vagy megtagadja az igénylő részére történő hitelnyújtást, másrészt pedig rendelkezésre áll a SCHUFA által végzett profilalkotási eljárásból származó score érték. Véleményem szerint erre a kérdésre nem lehet kategorikus választ adni, mivel a minősítés az egyes esetek körülményeitől függ. Konkrétabban, a döntéshozatali eljárás felépítésének módja alapvető fontossággal bír. Ez az eljárás jellemzően több szakaszból áll, mint például a profilalkotás, a score érték létrehozása és maga a hitelnyújtásra vonatkozó döntés.

41.

Számomra egyértelműnek tűnik, hogy ha egy pénzintézet ilyen eljárást folytathat le, semmi akadálya nincs annak, hogy bizonyos feladatokat például profilalkotást és scoring tevékenységet szerződéssel egy gazdasági információs vállalkozásra bízzon. Az általános adatvédelmi rendelet 22. cikkének (1) bekezdése ugyanis nem szabályozza, hogy e feladatokat egy vagy több szervezetnek kell‑e ellátnia. Mindemellett, véleményem szerint bizonyos hatáskörök külső szolgáltatóra történő esetleges átruházása nem játszik lényeges szerepet az elemzésben, mivel az ilyen átruházást általában gazdasági és szervezeti megfontolások szabályozzák, amelyek esetről esetre eltérőek lehetnek.

42.

Ezzel szemben véleményem szerint az a kérdés bír döntő jelentőséggel, hogy a döntéshozatali eljárást oly módon alakították‑e ki, amely révén a gazdasági információs vállalkozás által végzett scoring előre meghatározza a pénzintézet hitel nyújtására vagy annak megtagadására vonatkozó döntését. Jóllehet a scoring tevékenységet minden olyan emberi beavatkozás nélkül kell elvégezni, amely szükség esetén ellenőrizhetné annak eredményét és a hiteligénylővel kapcsolatban meghozandó döntés helyességét, logikusnak tűnik annak megállapítása, hogy azt kell az általános adatvédelmi rendelet 22. cikkének (1) bekezdésében említett „döntésnek” minősíteni.

43.

Ennek az ellenkezőjét azon az alapon feltételezni, hogy a hitel nyújtása vagy megtagadása formálisan a pénzintézetre hárul, nemcsak túlságosan formalista lenne, de az ilyen eset sajátos körülményeire tekintettel méltánytalan is. Ez annál is inkább igaznak tűnik, mivel az általános adatvédelmi rendelet 22. cikkének (1) bekezdése nem ír elő különleges alakiságot a „döntés” vonatkozásában. A döntő tényező az, hogy a „döntés” milyen hatással van az érintett személyre. Mivel a negatív score érték önmagában is hátrányos hatásokkal járhat az érintett személyre nézve, nevezetesen jelentősen korlátozhatja őt szabadságjogainak gyakorlásában, vagy akár megbélyegezheti őt a társadalomban, indokoltnak tűnik a fent említett rendelkezés értelmében vett „döntésnek” minősíteni, ha a pénzintézet a döntéshozatali eljárás során elsődleges jelentőséget tulajdonít neki. ( 16 ) Ilyen körülmények között ugyanis a hitelkérelmező már a hitelképességére vonatkozóan a gazdasági információs vállalkozás által folytatott értékelés szakaszától kezdve, és nem csak a hitel elutasításának végső szakaszában – amikor a pénzintézet pusztán s konkrét esetre alkalmazza az értékelés eredményét – érintett. ( 17 )

44.

Tekintettel egyrészt arra, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdése előírja, hogy a szóban forgó döntésnek „kizárólag” automatizált adatkezelésen kell alapulnia, ( 18 ) másrészt pedig arra, hogy a rendelkezés szövege általában behatárolja az értelmezést, szükségesnek tűnik, hogy az automatizált adatkezelés maradjon az egyetlen olyan elem, amely igazolja a pénzintézetnek a hiteligénnyel kapcsolatos álláspontját. Ez a helyzet áll fenn akkor, ha az eljárásban oly módon kerül sor emberi részvételre, amely nem befolyásolja az automatizált adatkezelés és a végső döntés közötti okozati összefüggést. A gazdasági információs vállalkozásnak de facto meg kell hoznia a végső döntést a pénzintézet számára. Ez az adott pénzintézet belső szabályaitól és gyakorlatától függ, amelyek általában nem hagynak mozgásteret a score értéknek a hitelkérelemre történő alkalmazása tekintetében.

45.

Ez alapvetően ténykérdés, amelyet véleményem szerint a nemzeti bíróságok tudnak a legjobban megítélni. Ezért azt javaslom, hogy a kérdést előterjesztő bíróság azt állapítsa meg, hogy a fent említett kritériumok figyelembevételével a pénzintézetet általánosságban milyen mértékben köti a SCHUFA‑hoz hasonló gazdasági vállalkozás által végzett scoring. ( 19 ) Annak érdekében, hogy hasznos választ lehessen adni a nemzeti bíróságnak, az előzetes döntéshozatal iránti kérelemben foglalt információkra fogok támaszkodni.

46.

E tekintetben először is rámutatok, hogy a kérdést előterjesztő bíróság szerint, még ha főszabály szerint lehetőség is van az emberi beavatkozásra a döntéshozatali folyamat eszakaszában, az érintett személlyel való szerződéses kapcsolat létrehozására vonatkozó döntést „a gyakorlatban a gazdasági információs vállalkozások által továbbított score érték olyan jelentős mértékben meghatározza e döntést, hogy ezen érték mintegy átüt az adatkezelő harmadik személy döntésén. A kérdést előterjesztő bíróság szerint „az adatkezelő harmadik személynek az érintettel való szerződéskötéséről és annak módjáról végső soron mégis a gazdasági információs vállalkozás által az automatizált adatkezelés alapján megállapított score érték dönt.” A kérdést előterjesztő bíróság arra is hivatkozik, hogy noha az adatkezelő harmadik személynek nem kell a döntését kizárólag a score értéktől függővé tennie, „általában azonban meghatározó módon ezt teszi”. Hozzáteszi, hogy „a hitelnyújtást egy alapvetően megfelelő score érték ellenére is meg lehet tagadni (más okokból, például a biztosítékok hiánya vagy a finanszírozandó beruházás sikerét illető kétségek miatt), ezzel szemben a nem megfelelő score érték – legalábbis a fogyasztói hitelek területén – szinte minden esetben és akkor is a hitel megtagadását eredményezi, ha például egy beruházás egyébként kifizetődőnek tűnik”. Végül e bíróság rámutat, hogy „a hatósági adatvédelmi felügyelet során szerzett tapasztalatok azt jelzik, hogy a score értékek meghatározó szerepet töltenek be a hitelnyújtás és annak feltételeinek kialakítása során”.

47.

A fentiekben kifejtett megfontolások véleményem szerint arra utalnak, hogy – a tények értékelésétől függően, amit minden egyes konkrét esetben a nemzeti bíróságnak kell elvégeznie – a gazdasági információs vállalkozás által megállapított és a pénzintézettel közölt score érték általában arra irányul, hogy előre meghatározza ez utóbbinak az érintett személy részére történő hitelnyújtásra vagy annak megtagadására vonatkozó döntését, így ez utóbbi állásfoglalást az eljárás keretében tisztán formális jellegűnek kell tekinteni. ( 20 ) Ebből következik, hogy magát a score értéket úgy kell tekinteni, mint amely az általános adatvédelmi rendelet 22. cikkének (1) bekezdése értelmében vett „döntésnek” minősül.

48.

E következtetés észszerűnek tűnik számomra, mivel minden más értelmezés az uniós jogalkotó által ezzel a rendelkezéssel elérni kívánt, az érintettek jogainak védelmére irányuló célt kérdőjelezné meg. Amint azt a kérdést előterjesztő bíróság helyesen kifejtette, az általános adatvédelmi rendelet 22. cikke (1) bekezdésének megszorító értelmezése a jogvédelem tekintetében joghézagot eredményezne: az a gazdasági információs vállalkozás, amelytől az érintett személy számára szükséges információk beszerezhetők lennének, nem köteles az általános adatvédelmi rendelet 15. cikke (1) bekezdésének h) pontja alapján hozzáférést biztosítani, mivel állítólag nem végez az e rendelkezés értelmében vett saját „automatizált döntéshozatalt”, az a pénzintézet pedig, amely a döntéshozatala során az automatizált módon megállapított score értéket alapul veszi, és az általános adatvédelmi rendelet 15. cikke (1) bekezdésének h) pontja alapján köteles hozzáférést biztosítani, nem tudja szolgáltatni a szükséges információkat, mivel nem rendelkezik azokkal.

49.

Következésképpen a pénzintézet nem lenne abban a helyzetben, hogy – amint azt az általános adatvédelmi rendelet 22. cikkének (3) bekezdése előírja – a hiteligénylő hitelképességének értékelését a döntés megtámadása esetén ellenőrizze, vagy hogy – amint azt az általános adatvédelmi rendelet (71) preambulumbekezdésének hatodik mondata megköveteli – megfelelő matematikai vagy statisztikai eljárásokkal és megfelelő technikai és szervezési intézkedésekkel biztosítsa a tisztességes, átlátható és megkülönböztetéstől mentes adatkezelést. ( 21 ) Egy ilyen, az előző pontban említett jogalkotási céllal egyértelműen ellentétes helyzet elkerülése érdekében az általános adatvédelmi rendelet 22. cikke (1) bekezdésének olyan értelmezését javaslom, amely figyelembe veszi a score érték megállapításának az érintett személy helyzetére gyakorolt tényleges hatását.

50.

E megközelítés logikusnak tűnik, mivel általában a gazdasági információs vállalkozásnak lehet az egyetlen olyan szervezet, amely képes eleget tenni az érintett személy azon kérelmeinek, amelyek az általános adatvédelmi rendelet által szintén garantált jogokon, nevezetesen az általános adatvédelmi rendelet 16. cikkében említett helyesbítéshez való jogon – amennyiben a score érték megállapításához használt személyes adatok pontatlannak bizonyulnak –, valamint az általános adatvédelmi rendelet 17. cikkében említett törléshez való jogon – amennyiben az ilyen adatok kezelése jogellenesen történt – alapulnak. Mivel a pénzintézet általában nem vesz részt az ilyen adatok gyűjtésében vagy a profilalkotásban, ha ezeket a feladatokat harmadik félre ruházza át, észszerűen kizárható, hogy ezen intézménynek módjában áll hatékonyan biztosítani ezeket a jogokat. Márpedig az érintett személyt nem lehet arra kötelezni, hogy elszenvedje a feladatok ilyen átruházásának hátrányos következményeit.

51.

Úgy vélem, az érintett személy alapvető jogai – nevezetesen az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 8. cikkében említett, a személyes adatok védelméhez való jog, továbbá a Charta 7. cikkében említett, a magánélet tiszteletben tartásához való jog – védelmének biztosítására a leghatékonyabb mód a gazdasági információs vállalkozásnak a score érték meghatározásán, és nem annak későbbi felhasználásán alapuló felelősségre vonása, mivel végső soron ez a tevékenység a „forrása” minden esetlegesen bekövetkező kárnak. Tekintettel annak kockázatára, hogy a gazdasági információs vállalkozás által létrehozott score értéket számos pénzintézet használhatja, észszerűnek tűnik, hogy az érintett közvetlenül e vállalkozással szemben érvényesíthesse jogait.

52.

A fentiekben kifejtett okokból úgy vélem, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdésében foglalt feltételek teljesülnek, így ez a rendelkezés az alapügyhöz hasonló körülmények között alkalmazható.

53.

Ebben az összefüggésben nem lehet eléggé hangsúlyozni annak fontosságát, hogy az adatkezelő teljes mértékben eleget tegyen az érintett személyekkel szembeni tájékoztatási kötelezettségének. Az általános adatvédelmi rendelet 15. cikke (1) bekezdésének h) pontja szerint az érintett jogosult arra, hogy az adatkezelőtől nem csak arra vonatkozóan kapjon visszajelzést, hogy személyes adatainak kezelése folyamatban van‑e, de egyéb kérdésekben is, mint amilyen az általános adatvédelmi rendelet 22. cikkében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozó hasznos információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

54.

Mivel a SCHUFA arra hivatkozva, hogy a számítási módszerrel kapcsolatos bizonyos információk üzleti titkot képeznek, megtagadta ezen információknak a felperes részére történő átadását, fontosnak tűnik tisztázni az általános adatvédelmi rendelet 15. cikke (1) bekezdésének h) pontja szerinti tájékoztatáshoz való jog hatályát, különösen az „alkalmazott logikára vonatkozó érthető információk” átadására irányuló kötelezettség tekintetében. Véleményem szerint ezt a rendelkezést úgy kell értelmezni, hogy az elvileg kiterjed a gazdasági információs vállalkozás által a score érték megállapításához használt számítási módszerre is, feltéve, hogy nem áll fenn ellentét a védelemre érdemes érdekek között. E tekintetben utalni kell az általános adatvédelmi rendelet (63) preambulumbekezdésére, amely többek között kimondja, hogy „[a személyes adatokhoz való hozzáférés joga] nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat” (kiemelés tőlem).

55.

Az általános adatvédelmi rendelet 15. cikke (1) bekezdése h) pontjának, valamint (58) és (63) preambulumbekezdésének együttes értelmezéséből számos következtetés vonható le. Először is egyértelmű, hogy az uniós jogalkotó teljes mértékben tisztában volt azzal, hogy a személyes adatok védelméhez való jog, amelyet a Charta 8. cikke garantál, és a szellemi tulajdon védelméhez való jog, amelyre a Charta 17. cikkének (2) bekezdése utal, ütközhet egymással. Másodszor, egyértelmű, hogy nem állt szándékában feláldozni az egyik alapjogot egy másik javára. Éppen ellenkezőleg, az általános adatvédelmi rendelet rendelkezéseinek alaposabb elemzése arra enged következtetni, hogy az irányelv a jogok és a kötelezettségek közötti méltányos egyensúly biztosítására törekedett.

56.

Annak az általános adatvédelmi rendelet (63) preambulumbekezdésben az uniós jogalkotó általi hangsúlyozása, hogy „[e]zek a megfontolások mindazonáltal nem eredményezhetik azt, hogy az érintettől minden információt megtagadnak” ( 22 ), véleményem szerint azt jelenti, hogy az információk minimális mennyiségét mindenképpen közölni kell annak érdekében, hogy a személyes adatok védelméhez való jog lényeges tartalma ne sérüljön. Ebből következik, hogy bár az üzleti titok vagy a szellemi tulajdon védelme főszabály szerint jogszerű indok arra, hogy egy gazdasági információs vállalkozás megtagadja az érintett személyre vonatkozó score érték kiszámításához használt algoritmus ismertetését, ez semmiképpen sem indokolhatja a tájékoztatás teljes megtagadását. Ez különösen akkor igaz, ha rendelkezésre állnak olyan megfelelő kommunikációs eszközök, amelyek megkönnyítik a megértést, ugyanakkor bizonyos fokú titoktartást biztosítanak.

57.

Ebben az összefüggésben különösen relevánsnak tartom az általános adatvédelmi rendelet 12. cikkének (1) bekezdését, amely szerint „[a]z adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére [a 15. cikk] szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa” ( 23 ). E rendelkezés alátámasztja a fenti érvelést, mivel abból az következik, hogy az általános adatvédelmi rendelet 15. cikke (1) bekezdése h) pontjának valódi célja annak biztosítása, hogy az érintett az igényeinek megfelelően, érthető és hozzáférhető módon tájékoztatást kapjon. Véleményem szerint e követelmények – tekintettel az algoritmus összetettségére – kizárják az algoritmus közlésének esetleges kötelezettségét. Egy különösen összetett képletnek a szükséges magyarázatok nélküli közlése ugyanis megkérdőjelezhető haszonnal járna. E tekintetben fel kell hívni a figyelmet az általános adatvédelmi rendelet (58) preambulumbekezdésére, amely kimondja, hogy a fenti követelmények teljesülése „különösen olyan helyzetekben lehet fontos, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett számára annak megismerését és megértését, hogy gyűjtenek‑e róla személyes adatokat, és ha igen, ki és milyen célból” ( 24 ).

58.

A kifejtett okok miatt úgy vélem, hogy „az alkalmazott logikára vonatkozó érthető információk” közlésére irányuló kötelezettséget úgy kell értelmezni, hogy az a score érték kiszámításához használt módszer kellően részletes magyarázatát és az adott eredményhez vezető okokat foglalja magában. Általánosságban az adatkezelőnek az érintett személy számára átfogó tájékoztatást kell nyújtania többek között a döntéshozatali folyamat során figyelembe vett tényezőkről és azok összesített szintű fontosságáról, ami szintén hasznos az általános adatvédelmi rendelet 22. cikkének (1) bekezdése szerinti „döntés” megtámadása szempontjából. ( 25 )

59.

A fenti megfontolásokra tekintettel úgy vélem, hogy az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kell értelmezni, hogy az érintett valamely hitel jövőbeli törlesztésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása már kizárólag automatizált – a profilalkotást is magában foglaló – adatkezelésen alapuló olyan döntésnek minősül, amely az érintettre nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti, amennyiben az érintett személyes adatai alapján megállapított ezen értéket az adatkezelő egy adatkezelő harmadik személy részére továbbítja, és e harmadik személy az állandó gyakorlatnak megfelelően az érintettel fennálló szerződéses jogviszony létrehozására, teljesítésére vagy megszüntetésére vonatkozó döntését elsősorban ezen értékre alapozza.

60.

Bár a második kérdés csak arra az esetre szól, ha az első kérdésre nemleges választ kell adni, úgy vélem, hogy akkor is relevánsnak nyilvánul, ha a Bíróság arra a következtetésre jut, hogy a scoring az automatizált döntéshozatalnak az általános adatvédelmi rendelet 22. cikkének (1) bekezdésében foglalt tilalma alá tartozik. Ebben az esetben – amint arra a finn kormány helyesen rámutat – meg kell vizsgálni, hogy az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja alapján kivételt lehet‑e tenni e tilalom alól. E rendelkezés értelmében a tilalom nem alkalmazandó abban az esetben, ha a döntés „meghozatalát az adatkezelőre alkalmazandó […] uniós vagy tagállami jog teszi lehetővé”.

61.

Ez a rendelkezés kifejezett szabályozási mozgásteret ír elő arra az esetre, amikor az automatizált profilalkotás, amelyre vonatkozik, uniós vagy tagállami jogon alapul. Ha tagállami jog az alapja, a nemzeti jognak különleges garanciákat kell nyújtania az érintett személy számára. A Bíróságnak tehát meg kell határoznia, hogy ez a „lehetővé tétel” magából az általános adatvédelmi rendelet 6. cikkéből vagy az abban szabályozott jogalap alapján elfogadott nemzeti rendelkezésből vezethető‑e le. Úgy vélem, hogy ez utóbbi eset alapos elemzést igényel, mivel a kérdést előterjesztő bíróság megkérdőjelezi a BDSG 31. §–ának az általános adatvédelmi rendelet 6. és 22. cikkével való összhangját, ami azt jelenti, hogy az általános adatvédelmi rendelet 6. és 22. cikkének kell alkalmasnak lennie arra, hogy megfelelő jogalapként szolgáljon.

62.

A kérdést előterjesztő bíróság éppen ezzel összefüggésben fejezi ki a kétségeit, mivel álláspontja szerint az általános adatvédelmi rendelet 6. és 22. cikkében említett rendelkezések egyike sem szolgálhat jogalapként egy olyan nemzeti rendelkezés elfogadásához, mint amilyen a BDSG 31. §–ában említett, a scoring tevékenységre vonatkozó egyes szabályokat megállapító rendelkezés. Felmerül tehát a kérdés, hogy a nemzeti jogalkotó megfelelően hajtotta‑e végre az általános adatvédelmi rendelet azon rendelkezéseit, amelyek az általános adatvédelmi rendelet értelmében vett személyesadat‑kezelés szabályainak meghatározása terén mozgásteret biztosítanak számára, sőt, bizonyos körülmények között annak lehetőségét is, hogy eltérjen azoktól. A kérdés megválaszolása összetett, mivel a német jogalkotó a törvény indokolásában nem hivatkozik semmilyen engedő rendelkezésre. ( 26 ) Ugyanakkor ez annál is inkább releváns, mivel a BDSG 31. § (1) bekezdésének 1. pontja kifejezetten kimondja, hogy a scoring„csak akkor megengedett, ha az adatvédelmi jogszabályi rendelkezések teljesülnek” (kiemelés tőlem). Amint az alábbiakban kifejtem, több érv is arra késztet, hogy nemleges választ adjak erre a kérdésre.

63.

Elöljáróban meg kell említeni az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontját, amely felhatalmazza a tagállamokat arra, hogy engedélyezzék a kizárólag automatizált adatkezelésen alapuló döntést, beleértve a profilalkotást is, amire így jogalapként hivatkozni lehet. Mindazonáltal meg kell jegyezni, hogy e (2) bekezdés nem lenne alkalmazható, ha a Bíróság úgy ítélné meg, hogy a scoring nem tartozik az e 22. cikk (1) bekezdésében meghatározott tilalom hatálya alá. Az általános adatvédelmi rendelet 22. cikkének szövegéből és általános felépítéséből ugyanis egyértelműen kiderül, hogy a (2) bekezdés alkalmazása az (1) bekezdésben foglalt feltételek teljesülését feltételezi. Ezért egyértelmű, hogy az általános adatvédelmi rendelet 22. cikke (2) bekezdése b) pontjának alkalmazását ki kell zárni, amennyiben az első kérdésre nemleges választ kell adni.

64.

A teljesség kedvéért, és figyelembe véve az első kérdésre adandó, általam javasolt igenlő választ, szükségesnek tartom megvizsgálni, hogy e rendelkezést alkalmazni kell‑e abban az esetben, ha a Bíróság azt állapítja meg, hogy a gazdasági információs vállalkozás által végzett scoring az említett 22. cikk (1) bekezdése értelmében vett „döntésnek” minősül. Azonban még ebben az esetben is kétségek merülnek fel a fenti rendelet 22. cikke (2) bekezdése b) pontjának jogalapként való alkalmazhatóságát illetően, aminek több oka is lehet.

65.

Először is emlékeztetni kell arra, hogy az általános adatvédelmi rendelet 22. cikke csak a „kizárólag” automatizált adatkezelésre vonatkozó döntésekre vonatkozik, míg a kérdést előterjesztő bíróság szerint a BDSG 31. §‑a megkülönböztetés nélkül a nem automatizált döntésekre is vonatkozó szabályokat is tartalmaz, miközben szabályozza az adatkezelésnek a score érték meghatározásának céljából történő alkalmazása jogszerűségét is. Más szóval, a BDSG 31. §‑ának tárgyi hatálya sokkal szélesebb körű, mint az általános adatvédelmi rendelet 22. cikkének hatálya. ( 27 ) Ezért kétséges, hogy az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontja jogalapként szolgálhat‑e.

66.

Másodszor meg kell jegyezni, hogy – amint arra a kérdést előterjesztő bíróság rámutat – a BDSG 31. §‑a „a valószínűségi érték gazdasági szereplők általi felhasználását” szabályozza, nem pedig ezen érték gazdasági információs vállalkozások általi „megállapítását”, ami egyébként az előzetes döntéshozatalra előterjesztett első kérdés tárgyát képezi. A német kormány által a tárgyaláson tett nyilatkozatokból is erre lehet következtetni. Amint azt e kérdés vizsgálata során részletesen kifejtettem, az általános adatvédelmi rendelet 22. cikkének (1) bekezdése bizonyos feltételek teljesülése esetén a score érték „meghatározásának”, és nem csak a pénzintézet általi „használatának” szakaszában alkalmazandó. ( 28 ) Más szóval úgy tűnik, hogy a BDSG 31. §‑a az általános adatvédelmi rendelet 22. cikkének tárgyi hatálya alá tartozó helyzetektől eltérő helyzet szabályozására irányul, amit a kérdést előterjesztő bíróságnak kell megerősítenie. A fenti megfontolások alapján úgy vélem, hogy az általános adatvédelmi rendelet 22. cikke (2) bekezdésének b) pontját ki kell zárni a BDSG 31. §‑ában említetthez hasonló nemzeti jogalkotási intézkedés jogalapjainak köréből.

67.

Az általános adatvédelmi rendelet 6. cikkének (1) bekezdése szerint a személyes adatok kezelése kizárólag akkor jogszerű, ha az ott felsorolt okok egyikére vonatkozó feltétel teljesül. Amint azt a Bíróság már megállapította, azon esetek kimerítő és korlátozó jellegű felsorolásáról van szó, amelyekben egy ilyen adatkezelés jogszerűnek minősíthető. ( 29 ) Ezért ahhoz, hogy jogszerűnek lehessen tekinteni, a score érték gazdasági információs vállalkozás általi meghatározásának az e rendelkezésben meghatározott esetek valamelyikébe kell tartoznia.

68.

Főszabály szerint egy, az alapügyhöz hasonló esetben az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b), c) és f) pontja lenne alkalmazható. E 6. cikk (2) bekezdése értelmében az általános adatvédelmi rendeletben foglalt szabályok alkalmazásának kiigazítása érdekében a tagállamok fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket. Hangsúlyozni kell azonban, hogy ez a rendelkezés csak az (1) bekezdés c) és e) pontjának való megfelelés érdekében alkalmazandó. Hasonlóképpen, a fent említett 6. cikk (3) bekezdése kimondja, hogy az adatkezelés jogalapját azon tagállami jog határozza meg, amelynek hatálya alá az adatkezelő tartozik, amennyiben az adatkezelés az (1) bekezdés c) és e) pontjában említett esetekre irányul.

69.

Ebből következik, hogy a tagállamok konkrétabb szabályokat fogadhatnak el, amennyiben az adatkezelés „az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges”, vagy „közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges”. E feltételek azzal a hatással járnak, hogy a tagállamok szabályozási hatáskörének szigorú korlátokat szabnak, és ezáltal kizárják az általános adatvédelmi rendeletben előírt engedő rendelkezések önkényes alkalmazását, ami meghiúsítaná a személyes adatok védelmére vonatkozó jogszabályok harmonizálásának célját.

70.

Ebben az összefüggésben továbbá meg kell jegyezni, hogy mivel e rendelkezések némelyike az általános adatvédelmi rendeletre jellemző terminológiát használ úgy, hogy kifejezetten nem utal a tagállamok jogára, ezeket önállóan és egységesen kell értelmezni. ( 30 ) Ennek fényében kell az alábbiakban megvizsgálni, hogy a BDSG 31. §‑ában foglalt szabályozás esetében fennáll‑e az általános adatvédelmi rendelet 6. cikkének (1) bekezdésében felsorolt okok valamelyike.

71.

Ami a b) pontot illeti, e rendelkezésből az következik, hogy az adatkezelés kizárólag akkor és annyiban jogszerű, ha az adatkezelés „olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél”, vagy „az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”. E tekintetben meg kell említeni, hogy az információs vállalkozások szolgáltatásait csak kivételes esetekben veszik igénybe a szerződés teljesítésének szakaszában. A legfontosabb szakasz a szerződéskötést megelőző szakasz, amelynek során általában beszerzik a hitelképességre vonatkozó információkat. Úgy vélem, hogy e rendelkezés alapján megengedett a hitelképesség ellenőrzése céljából valamely gazdasági információs vállalkozáshoz intézett információkérés. ( 31 ) Ugyanakkor le kell szögezni, hogy e rendelkezés csak a potenciális szerződéses partnerek, hitelezők és/vagy jogi szolgáltatók által végzett hitelképesség‑ellenőrzések engedélyezésére terjed ki, és így a gazdasági információs vállalkozások által végzett jogszerű adatgyűjtés előfeltételeit teremti meg. Ezzel szemben ezt a rendelkezést önmagában nem látom elegendő jogalapnak egy gazdasági információs vállalkozás tevékenységének általános legitimálásához. ( 32 )

72.

Emlékeztetni továbbá arra, hogy bár az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja a személyes adatok kezelésének egyik jogszerű indokát kodifikálja, nem utal a (2) és (3) bekezdésben – amely rendelkezések szerint a tagállamok rendelkeznek szabályozási hatáskörrel – meghatározott helyzetek egyikére sem. Ebből következik, hogy mivel az általános adatvédelmi rendelet 6. cikke kimerítően sorolja fel az ilyen eseteket, a BDSG 31. §‑ában szabályozotthoz hasonló nemzeti rendelkezés nem fogadható el kizárólag az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja alapján.

73.

Az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c) pontjában említett ok az adatkezelőre vonatkozó „jogi kötelezettségen” alapuló adatkezelésre vonatkozik. Ez az állam által előírt követelményeket jelenti. Ez a rendelkezés viszont nem terjed ki a polgári jogi szerződésekből, például egy pénzintézet és egy gazdasági információs vállalkozás közötti szerződésből eredő kötelezettségekre. Mindazonáltal azok a pénzintézetek, amelyeknek a nemzeti jog szerinti kötelezettségeik értelmében ellenőrizniük kell ügyfeleik hitelképességét, a megfelelő információkérések során hivatkozhatnak erre a jogalapra, és ily módon a gazdasági információs vállalkozás szempontjából biztosítják az ilyen kérelmek teljes jogszerűségét. Másrészt, a score érték meghatározásának a gazdasági információs vállalkozás általi elvégzése nem tekinthető a társaság jogi kötelezettségének teljesítése érdekében tett intézkedésnek, mivel úgy tűnik, a nemzeti jogban nem létezik ilyen kötelezettség. Következésképpen meg kell állapítani, hogy e c) pontra nem lehet érvényes jogalapként hivatkozni a scoring tevékenység jogszerű adatkezeléssé való minősítése érdekében.

74.

Ezt követően felmerül a kérdés, hogy az általános adatvédelmi rendelet 31. §‑ának elfogadása céljából lehet‑e jogalapként az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontjára hivatkozni. Ez a helyzet akkor állna fenn, ha az adatkezelés „közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához [lenne] szükséges”. Egyrészt, amint az az a BDSG 31. §‑ának jogalkotási céljából – amit e nemzeti rendelkezés címe is tükröz („A gazdasági ügyletek védelme a scoring és a hitelképességre vonatkozó információk esetében”) –, valamint az előkészítő munkákból kitűnik, ( 33 ) elmondható, hogy a gazdasági információs vállalkozások hozzájárulnak egy ország gazdaságának megfelelő működéséhez. ( 34 )

75.

Ugyanis, mivel ezek a vállalkozások az egyes személyek hitelképességére vonatkozó információkat bocsátanak rendelkezésre, hozzájárulnak a fogyasztók védelméhez azáltal, hogy elkerülhetővé teszik a túlzott eladósodás kockázatát, ( 35 ) miközben elősegíti az e személyek részére árut értékesítő vagy hitelt nyújtó vállalkozások védelmét is. E társaságok a pénzügyi rendszer stabilitását biztosítják, amikor megakadályozzák, hogy felelőtlen módon olyan hitelfelvevők részére nyújtsanak hitelt, akiknél a nemteljesítés kockázata magas. ( 36 ) Megbízható hitelminősítési rendszer nélkül a lakosság nagy része a kiszámíthatatlan kockázatok miatt gyakorlatilag ki lenne zárva a hitelfelvételből, az információs társadalom korában jelentősen megnehezülnének a gazdasági tranzakciók, és a csalási kísérletek észrevétlenül maradnának. Ennek fényében elfogadhatóak azok az indítékok, amelyek a német jogalkotót nyilvánvalóan a BDSG 31. §‑ának elfogadására késztették.

76.

Egyébiránt, még ha figyelembe is vesszük, hogy egyesmagánjogi jogi személyek eljárhatnak közérdekből, számomra egyértelműnek tűnik, hogy bármilyen „jogos érdek” nem indokolhatja az általános adatvédelmi rendelet 6. cikke (1) bekezdése e) pontjának alkalmazását. A „közhatalom gyakorlásával” fennálló kapcsolat, valamint az általános adatvédelmi rendelet (45), (55) és (56) preambulumbekezdése inkább arra utal, hogy ez a rendelkezés egyrészt a szoros értelemben vett hatóságokra, valamint a közhatalmi jogosítványokkal rendelkező jogi személyekre vonatkozik, másrészt pedig azokra a magánjogi jogi személyekre, akik közszolgáltatási célú adatkezelést végeznek, például a (45) preambulumbekezdésben kifejezetten említett „népegészségügyi”, „szociális védelmi” és „egészségügyi szolgálatok irányítása” területen. Más szóval, ez a rendelkezés a hagyományos állami feladatokra vonatkozik.

77.

Hasonlóképpen meg kell állapítani, hogy az általános adatvédelmi rendelet (55) és (56) preambulumbekezdése „hivatalosan elismert vallási szervezetekre” és „politikai pártokra”, vagyis olyan szervezetekre hivatkozik, amelyek az uniós jogalkotó kritériumai szerint közérdekű tevékenységet folytatnak, és e célból személyes adatok kezelését végzik. E megállapítás alapján kétséges, hogy ez a rendelkezés kiterjed‑e a piackutató cégek tevékenységére is, beleértve a scoring tevékenységet is. Egy ilyen értelmezés jelentősen kiszélesítené e rendelkezés hatályát, és különösen megnehezítené az engedő rendelkezés korlátainak meghatározását. ( 37 )

78.

A fenti megfontolásokon túlmenően ebben az összefüggésben meg kell említeni, hogy bár a BDSG 31. §‑a a gazdasági ügyletek védelmét szolgálja, ez a rendelkezés nem említi a fenti vállalkozások konkrét feladatait. ( 38 ) Amint arra a jelen indítványban a nemzeti jogi keretnek a kérdést előterjesztő bíróság által ismertetett részleteire támaszkodva már rámutattam, ez a rendelkezés a score érték gazdasági szereplők általi „felhasználására”, és nem annak a gazdasági információs társaságok általi „megállapítására” vonatkozik. ( 39 ) Márpedig az alapügyben szereplő jogvita középpontjában e tevékenység jogszerűsége áll. A fentiekben ismertetett okok miatt úgy vélem, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének e) pontja nem szolgálhat jogalapként.

79.

Ezután azt kell megvizsgálni, hogy ez a tevékenység az általános adatvédelmi rendelet 6. cikke (1) bekezdése f) pontjának hatálya alá tartozik‑e. A Bíróság ítélkezési gyakorlata szerint ( 40 ) a szóban forgó rendelkezés három együttes feltételhez köti a személyes adatok kezelésének jogszerűségét: először is, az adatkezelő vagy azon harmadik fél jogos érdekének érvényesítése, akivel az adatokat közölték, másodszor, a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, és harmadszor, hogy az adatvédelemmel érintett személy érdekei vagy alapvető szabadságai és jogai nem magasabb rendűek.

80.

Először is a „jogos érdek” érvényesítését illetően emlékeztetnék arra, hogy az általános adatvédelmi rendelet és az ítélkezési gyakorlat a jogosnak minősülő érdekek széles körét ismeri el, ( 41 ) ugyanakkor egyértelművé teszi, hogy az általános adatvédelmi rendelet 13. cikke (1) bekezdésének d) pontjával összhangban az adatkezelő feladata, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjával összefüggésben megjelölje az érvényesített jogos érdekeket. Amint arra a jelen indítványban már rámutattam, a BDSG 31. §‑ának jogalkotói célja a gazdasági információs vállalkozások által végzett tevékenységek jogszerűségének biztosítása, mivel a német jogalkotó véleménye szerint ezek hozzájárulnak egy ország gazdaságának megfelelő működéséhez. ( 42 ) Mivel ezek a tevékenységek biztosítják a különböző gazdasági szereplők védelmét a fizetésképtelenségben rejlő kockázatokkal szemben, amelyek súlyos következményekkel járnak a pénzügyi rendszer stabilitására nézve, az elemzés e szakaszában feltételezhető, hogy a fent említett nemzeti rendelkezés olyan gazdasági célt szolgál, amely az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében „jogos érdeknek” minősülhet.

81.

Ezt követően, azon feltételt illetően, amely szerint a személyes adatok kezelésének valamely jogos érdek érvényesítéséhez kell szükségesnek lennie, a Bíróság ítélkezési gyakorlata szerint a személyes adatok védelmének elve alóli kivételeknek és ezen elv korlátozásainak a feltétlenül szükséges határokon belül kell maradniuk. ( 43 ) Így tehát – a személyes adatok védelmét nagyobb mértékben tiszteletben tartó alternatívák hiányában – az adatkezelés és az érvényesíteni kívánt érdek között szoros kapcsolatnak kell fennállnia, mivel nem elegendő, ha az adatkezelési művelet egyszerűen csak hasznos az adatkezelő számára. Ezzel összefüggésben meg kell említeni, hogy bár a kérdést előterjesztő bíróság bizonyos kétségeket fogalmaz meg a scoring tevékenységnek az általános adatvédelmi rendelet rendelkezései tekintetében fennálló jogszerűségét illetően, nem szolgáltat olyan információt, amely a személyes adatok védelmét nagyobb mértékben tiszteletben tartó alternatív intézkedések esetleges fennállására utalna. Ellenkező értelmű információ hiányában hajlok annak elfogadására, hogy kínálkozik némi mozgástér a kívánt cél eléréséhez szükséges megfelelő intézkedések kiválasztásában.

82.

Végül, ami az adatkezelő érdekeinek és az érintett személy érdekeinek, illetve alapvető szabadságainak és alapvető jogainak mérlegelését illeti, meg kell állapítani, hogy a jelen esetben a különböző érdekek súlyozását a jogszabályok végezték el. A BDSG 31. §‑ának elfogadásával a német jogalkotó a gazdasági érdekeket részesített előnyben a személyes adatok védelméhez való joggal szemben. Márpedig egy ilyen megközelítés csak akkor lenne lehetséges, ha az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja tartalmazna egy olyan rendelkezést, amely feljogosítja a tagállamokat arra, hogy az említett rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében konkrétabb rendelkezéseket tartsanak fenn vagy vezessenek be. Erről azonban – amint azt az alábbiakban kifejtem – nincs szó.

83.

Amint az az általános adatvédelmi rendelet 6. cikke (2) és (3) bekezdésének szövegéből egyértelműen kitűnik, a konkrétabb rendelkezések fenntartása vagy bevezetése csak az (1) bekezdés c) és e) pontjában említett esetekben megengedett. Az előző elemzés bemutatta, hogy a BDSG 31. §‑a nem utal olyan körülményekre, amelyek ezen esetek körébe tartoznának, ami logikusan kizárja, hogy jogalapként az általános adatvédelmi rendelet 6. cikkének (2) és (3) bekezdésére lehessen hivatkozni. Az (1) bekezdés f) pontjában említett esetre való alkalmazás nemcsak az említett rendelkezések szövegét sértené, hanem az uniós jogalkotó szándékát is figyelmen kívül hagyná, amint az e rendelkezések keletkezéséből következik.

84.

E tekintetben emlékeztetnék arra, hogy a 95/46/EK irányelv ( 44 ) – az általános adatvédelmi rendeletet megelőző jogi aktus – 5. cikke szerint a tagállamoknak kellett „részletesen [meghatározniuk], hogy a személyes adatok feldolgozása milyen feltételek mellett jogszerű”. A Bíróság ezt a rendelkezést annak megállapításával értelmezte, hogy semmi nem tiltja, hogy a tagállamok a 95/46 irányelv 5. cikkében rögzített mérlegelési mozgásterük gyakorlása során „irányadó elveket” állapítsanak meg az ezen irányelv 7. cikkének f) pontjában előírt súlyozásra vonatkozóan, ami megfelel az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjának. Meg kell azonban említeni, hogy általános adatvédelmi rendelet már nem ruházza fel ilyen hatáskörrel a tagállamokat. Az általános adatvédelmi rendelet ennek megfelelő rendelkezésének hiánya azt jelenti ugyanis, hogy a tagállamok a nemzeti jogukban már nem határozhatnak meg irányadó elveket az említett rendelet 6. cikke (1) bekezdésének f) pontja szerinti „jogos érdek” meghatározására. ( 45 )

85.

A IX. fejezet (2) és (3) bekezdésében szereplő, „az adatkezelés különös eseteire vonatkozó rendelkezésekre” való hivatkozás nem eredményezi az általános adatvédelmi rendelet 6. cikke hatályának kiterjesztését. Inkább olyan rendelkezésekre való hivatkozásról van szó, amelyek lehetővé teszik a tagállamok számára, hogy pontosan körülírt területeken konkrétabb szabályokat fogadjanak el, nevezetesen akkor, amikor az adatkezelés az (1) bekezdés c) pontja értelmében vett „jogi kötelezettség” teljesítéséhez, vagy a fenti bekezdés e) pontja értelmében vett „közérdekű” vagy „közhatalmi jogosítvány gyakorlásának keretében végzett feladat” ellátásához szükséges. ( 46 ) Amint arra korábban már rámutattam, e területek azonban semmilyen kapcsolatban nem állnak azokkal a körülményekkel, amelyek esetén a BDSG 31. §‑át alkalmazni kell.

86.

Ebben az összefüggésben arra is emlékeztetni kell, hogy bár a Bizottság a rendeletjavaslat alapján felhatalmazást kapott volna arra, hogy „a 6. cikk (1) bekezdés f) pontja szerinti különös ágazatokra és adatfeldolgozási helyzetekre – beleértve a gyermekekre vonatkozó személyes adatok feldolgozását – vonatkozó feltételek további meghatározása érdekében felhatalmazáson alapuló jogi aktusokat fogadjon el”, ezt a javaslatot az uniós jogalkotó nem fogadta el. A szöveg alakulásának elemzése azt mutatja, hogy a tagállamok szabályozási hatáskörét a további harmonizáció érdekében csökkentették abból a célból, hogy biztosítsák a személyes adatok védelmére vonatkozó szabályok következetes és egységes alkalmazását, amint azt az általános adatvédelmi rendelet (3), (9) és (10) preambulumbekezdése is megerősíti. ( 47 ) Ezt a körülményt figyelembe kell venni az általános adatvédelmi rendelet 6. cikkének értelmezésekor.

87.

Végül úgy vélem, meg kell említeni, hogy még ha az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja alkalmazható lenne is, akkor sem tekinthető egy olyan nemzeti rendelkezés, mint a BDSG 31. §‑a az uniós jognak megfelelő rendelkezésnek. Emlékeztetnék arra, hogy a Bíróság a 95/46 irányelv 7. cikkének f) pontját úgy értelmezte, hogy „[v]alamely tagállam [a személyes adatok e kategóriái] tekintetében nem írhatja elő végleges módon az ellentétes érdekek és jogok közötti súlyozás eredményét, anélkül hogy eltérő eredményt tenne lehetővé az adott eset sajátos körülményei okán” ( 48 ). Mivel e rendelkezés megfogalmazása szinte teljesen megegyezik az azt felváltó rendelkezéssel, nevezetesen az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjával, ez az értelmezés számomra továbbra is érvényesnek tűnik. ( 49 ) Márpedig – amint azt a kérdést előterjesztő bíróság sugallja – úgy tűnik, hogy éppen ez volt a nemzeti jogalkotó célja, tekintve, hogy mivel a BDSG 31. §‑a lehetővé teszi a score értékeknek a pénzügyi ágazatban való felhasználását, a pénzügyi ágazat gazdasági érdekei elsőbbséget élveznek a személyes adatok védelméhez való joggal szemben, anélkül, hogy figyelembe kellene venni a konkrét ügy sajátos körülményeit. Egy ilyen megközelítés megengedhetetlenül kiszélesítené az általános adatvédelmi rendelet 6. cikkének alkalmazási körét.

88.

A fentiekre tekintettel úgy vélem, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontjára nem lehet érvényesen jogalapként hivatkozni egy olyan nemzeti rendelkezés elfogadása során, mint a BDSG 31. §‑a.

89.

A kérdést előterjesztő bíróság rámutat, hogy a BDSG 31. §‑ ának elfogadásához vezető jogalkotási eljárás során az általános adatvédelmi rendelet 6. cikke (4) bekezdésének és 23. cikke (1) bekezdéséneke együttes rendelkezéseire hivatkoztak volna jogalapként. Később azonban elvetették azt az elképzelést, hogy ezekből a rendelkezésekből induljanak ki. A kérdést előterjesztő bíróság úgy véli, hogy ezek a rendelkezések a jelen ügyben nem alkalmazhatók.

90.

Részletesebb információk hiányában nem lehet állást foglalni a fent említett rendelkezések esetleges alkalmazhatósága kérdésében. Ez akkor sem tűnik szükségesnek, ha – amint azt a kérdést előterjesztő bíróság állítja – az említett rendelkezések nem játszottak szerepet a jogalkotási eljárás során. ( 50 )

91.

Az előző pontokban megvizsgáltam, hogy az általános adatvédelmi rendelet 6. és 22. cikke a gazdasági információs vállalkozások tevékenységei keretében végzett, a score érték megállapítására irányuló tevékenyég jogszerűségének indokolására jogalapként szolgálhat‑e egy olyan nemzeti rendelkezés elfogadása során, mint amilyen a BDSG 31. §‑a. Az elemzésemben részletesen kifejtett több okból arra a meggyőződésre jutottam, hogy ezt a lehetőséget ki kell zárni. Összefoglalva úgy vélem, hogy engedő rendelkezések vagy mentesítések hiányában, amelyek lehetővé tennék a tagállamok számára, hogy a fent említett tevékenység szabályozása érdekében pontosabb szabályokat fogadjanak el, vagy eltérjenek az általános adatvédelmi rendelet szabályaitól, és figyelembe véve az EUMSZ 288. cikkével összhangban teljes egészében minden tagállamban kötelező és közvetlenül alkalmazandó ezen rendelet által elérni kívánt harmonizáció mértékét, az ilyen nemzeti rendelkezést úgy kell tekinteni, hogy az nem felel meg az általános adatvédelmi rendeletnek.

92.

Mivel a Bíróságnak nincs hatásköre arra, hogy az EUMSZ 267. cikk szerinti előzetes döntéshozatali eljárás keretében értelmezze a nemzeti jogot, vagy döntsön annak az uniós joggal való összhangjáról, a jelen indítványban kifejtett érvek az általános adatvédelmi rendelet vonatkozó rendelkezéseinek értelmezéséhez nyújtott iránymutatásként értelmezendők, amelyek azt a célt szolgálják, hogy a nemzeti bíróság szükség esetén gyakorolhassa ezt a hatáskört, miután magát a BDSG 31. §‑át a fent említett rendelet rendelkezéseinek fényében megvizsgálta, különösen a nemzeti jogszabályok uniós jog követelményeinek megfelelő értelmezésének lehetősége tekintetében.

93.

Az uniós jog elsőbbségének elve az uniós jognak a tagállamok jogával szemben fennálló elsőbbségét rögzíti. Ez az elv tehát arra kötelezi a tagállamok valamennyi szervét, hogy biztosítsák az uniós jog különböző rendelkezéseinek teljes érvényesülését, mivel a tagállamok joga nem befolyásolhatja az e rendelkezéseknek az említett államok területén elismert hatályát. Ezen elv értelmében, amennyiben a nemzeti jogszabályoknak az uniós jog követelményeivel összhangban álló értelmezése nem lehetséges, az uniós jogi rendelkezéseket hatáskörének keretei között alkalmazni hivatott nemzeti bíróság köteles biztosítani e normák teljes érvényesülését, szükség esetén – saját hatáskörénél fogva – mellőzve a nemzeti jogszabályok uniós joggal ellentétes rendelkezéseinek alkalmazását, utólagosan is, anélkül hogy előzetesen kérelmeznie vagy várnia kellene azok jogalkotói vagy bármilyen egyéb alkotmányos úton történő megsemmisítésére. ( 51 )

94.

Az előzetes döntéshozatalra előterjesztett második kérdésre adandó válasz tekintetében úgy vélem, hogy az általános adatvédelmi rendelet 6. cikkének (1) bekezdését és 22. cikkét úgy kell értelmezni, hogy azokkal nem ellentétes a profilalkotásra vonatkozó nemzeti szabályozás, ha az említett rendelet 22. cikkének (1) bekezdésében szabályozottól eltérő profilalkotásról van szó. Ebben az esetben azonban a nemzeti jogszabályoknak meg kell felelniük az említett rendelet 6. cikkében meghatározott feltételeknek. Különösen megfelelő jogalapon kell alapulniuk, aminek az ellenőrzése a kérdést előterjesztő bíróság feladata.

95.

A fenti megfontolások fényében azt javaslom, hogy a Bíróság a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésekre a következő választ adja: