–

OQ, genom U. Schmidt, Rechtsanwalt,

–

Land Hessen, genom M. Kottmann och G. Ziegenhorn, Rechtsanwälte,

–

SCHUFA Holding AG, genom G. Thüsing och U. Wuermeling, Rechtsanwalt,

–

Tysklands regering, genom P.–L. Krüger, i egenskap av ombud,

–

Danmarks regering, genom V. Pasternak Jørgensen, M. Søndahl Wolff och Y. Thyregod Kollberg, samtliga i egenskap av ombud,

–

Portugals regering, genom P. Barros da Costa, I. Oliveira, J. Ramos och C. Vieira Guerra, samtliga i egenskap av ombud,

–

Finlands regering, genom M. Pere, i egenskap av ombud,

–

Europeiska kommissionen, genom A. Bouchagiar, F. Erlbacher och H. Kranenborg, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artiklarna 6.1 och 22 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

2

Begäran har framställts i ett mål mellan OQ och Land Hessen (delstaten Hessen, Tyskland). Målet rör ett beslut från Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Delstaten Hessens dataskydds och informationsfrihetsombudsman) (nedan kallad HBDI) om att avslå OQ:s ansökan om att SCHUFA Holding AG (nedan kallat SCHUFA) skulle föreläggas att efterkomma hennes begäran om att få tillgång till sina personuppgifter och få dem raderade.

3

I skäl 71 i dataskyddsförordningen anges följande:

”Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom ett automatiserat avslag på en kreditansökan online eller e-rekrytering utan personlig kontakt. Sådan behandling omfattar ’profilering’ i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen beviljas genom unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av, inbegripet för sådan övervakning och sådant förebyggande av bedrägerier och skatteundandragande som genomförs i enlighet med [EU-]institutionernas eller de nationella tillsynsorganens bestämmelser, standarder och rekommendationer samt för att sörja för tillförlitlighet hos en tjänst som tillhandahålls av den personuppgiftsansvarige, eller när det krävs för ingående eller genomförande av ett avtal mellan den registrerade och en personuppgiftsansvarig eller den registrerade har gett sitt uttryckliga samtycke. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till mänskligt ingripande, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn.

I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör endast tillåtas på särskilda villkor.”

4

I artikel 4 i dataskyddsförordningen, som har rubriken ”Definitioner”, föreskrivs följande:

”I denna förordning avses med

…

…”

5

I artikel 5 i dataskyddsförordningen, som har rubriken ”Principer för behandling av personuppgifter”, föreskrivs följande:

”1.   Vid behandling av personuppgifter ska följande gälla:

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

6

Artikel 6 i dataskyddsförordningen har rubriken ”Laglig behandling av personuppgifter”. I punkterna 1 och 3 i denna artikel anges följande:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

…

3.   Den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. …”

7

I artikel 9 i dataskyddsförordningen, som har rubriken ”Behandling av särskilda kategorier av personuppgifter”, föreskrivs följande:

”1.   Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.   Punkt 1 ska inte tillämpas om något av följande gäller:

…

…”

8

Artikel 13 i dataskyddsförordningen har rubriken ”Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade”. I punkt 2 i den artikeln föreskrivs följande:

”Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling:

…

9

Artikel 14 i dataskyddsförordningen har rubriken ”Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade”. I punkt 2 i den artikeln föreskrivs följande:

”Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och öppen behandling när det gäller den registrerade:

…

10

Artikel 15 i förordningen har rubriken ”Den registrerades rätt till tillgång”. I artikel 15.1 föreskrivs följande:

”Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

…

11

Artikel 22 i den dataskyddsförordningen, med rubriken ”Automatiserat individuellt beslutsfattande, inbegripet profilering”, har följande lydelse:

”1.   Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har [rättsverkan] för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

2.   Punkt 1 ska inte tillämpas om beslutet

3.   I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och [berättigade] intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.   Beslut enligt punkt 2 får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades [rättigheter, friheter och] berättigade intressen har vidtagits.”

12

I artikel 78 i dataskyddsförordningen, som har rubriken ”Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut”, föreskrivs följande i punkt 1:

”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.”

13

I 31 § i Bundesdatenschutzgesetz (federala dataskyddslagen) av den 30 juni 2017 (BGBl. I, s. 2097) (nedan kallad BDSG), med rubriken ”Skydd av affärsverksamhet i samband med ’scoring’ och kreditupplysning” föreskrivs följande:

”1)   Användning av ett sannolikhetsvärde vad gäller en fysisk persons framtida beteende, för att besluta om att ingå, fortsätta eller avsluta ett avtalsförhållande med denna person (’scoring’) får ske endast under följande förutsättningar:

2)   Ett sannolikhetsvärde som fastställts av kreditupplysningsföretag vad gäller en fysisk persons betalningsförmåga och betalningsvilja får endast användas i fall där uppgifter om fordringar tas in i en kreditupplysning om förutsättningarna i punkt 1 är uppfyllda och det endast är fråga om fordringar avseende obetalda, till betalning förfallna, belopp

5.   vars bakomliggande avtalsförhållande kan sägas upp omedelbart vid försenade betalningar och med avseende på vilka gäldenären i förväg har underrättats om att de kan komma att beaktas av ett kreditupplysningsföretag.

Tillåtligheten av behandling, inbegripet beräkning av sannolikhetsvärden, av andra uppgifter som är relevanta med avseende på kreditvärdigheten enligt den allmänna dataskyddslagstiftningen påverkas inte.”

14

SCHUFA är ett privat bolag bildat enligt tysk rätt som tillhandahåller kreditupplysningar, i synnerhet om konsumenter, till sina kunder. I detta syfte beräknar bolaget sannolikheten för en persons framtida beteende (”score”), såsom till exempel återbetalning av ett lån. Beräkningen sker på grundval av vissa egenskaper hos denna person, med hjälp av matematiska och statistiska metoder. Fastställandet av kreditbetyg (”scoring”) bygger följaktligen på antagandet att man genom att inordna en person i en grupp personer som uppvisar vissa jämförbara egenskaper, och som har betett sig på ett visst sätt, kan förutse ett liknande beteende.

15

Det framgår av begäran om förhandsavgörande att OQ nekades ett lån av en tredje part efter det att SCHUFA hade tagit fram negativa uppgifter om OQ och överfört dessa till denna tredje part. OQ vände sig till SCHUFA och begärde att få information om vilka personuppgifter om henne som bolaget hade registrerade och att få vissa, enligt henne, oriktiga uppgifter raderade.

16

Som svar på denna begäran informerade SCHUFA OQ om vilket kreditbetyg hon tilldelats och redogjorde i stora drag för hur kreditbetygen beräknas. SCHUFA vägrade emellertid att lämna ut de olika uppgifter som beaktats vid denna beräkning, och deras viktning, med hänvisning till att det rörde sig om affärshemligheter. Slutligen angav SCHUFA att bolaget endast överlämnade information till sina avtalsparter och att det var dessa som fattade de egentliga besluten om avtal.

17

Genom klagomål som ingavs den 18 oktober 2018 begärde OQ att HBDI, den behöriga tillsynsmyndigheten, skulle förelägga SCHUFA att efterkomma OQ:s begäran om att få tillgång till de aktuella personuppgifterna och att få dem raderade.

18

HBDI avslog denna begäran om föreläggande i beslut av den 3 juni 2020 och förklarade att det inte hade visats att SCHUFA i sin verksamhet inte uppfyllde kraven i 31 § BDSG.

19

OQ överklagade detta beslut med stöd av artikel 78.1 i dataskyddsförordningen till den hänskjutande domstolen, Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland).

20

Den hänskjutande domstolen anser att det, för att den ska kunna avgöra det mål som är anhängigt vid den, måste klargöras huruvida fastställandet av ett sannolikhetsvärde som det i målet aktuella utgör ett automatiserat individuellt beslut, i den mening som avses i artikel 22.1 i dataskyddsförordningen. Om så är fallet följer det nämligen enligt den hänskjutande domstolen av artikel 22.2 b i förordningen att lagenligheten av ett sådant beslut är beroende av att det är tillåtet enligt unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.

21

Härvidlag hyser den hänskjutande domstolen tvivel avseende ståndpunkten att artikel 22.1 i dataskyddsförordningen inte är tillämplig på den verksamhet som bedrivs av bolag som SCHUFA. Den hänskjutande domstolens tvivel har i faktiskt hänseende sin grund i betydelsen av ett sannolikhetsvärde som det nu aktuella för personuppgiftsansvariga tredje parters beslutspraxis. I rättsligt hänseende har tvivlet sin grund i de syften som eftersträvas med artikel 22.1 och det rättsliga skydd som garanteras i dataskyddsförordningen.

22

Närmare bestämt har den hänskjutande domstolen understrukit att det är sannolikhetsvärdet som normalt avgör om och hur den tredje parten kommer att ingå avtal med den registrerade. Artikel 22 i dataskyddsförordningen syftar dock just till att skydda enskilda mot de risker som är förknippade med beslut som enbart grundar sig på automatik.

23

Den hänskjutande domstolen har anfört att om det däremot ansågs att artikel 22.1 i dataskyddsförordningen ska tolkas på så sätt att det, i ett fall som det nu aktuella, endast är det beslut som den tredje parten har fattat avseende den berörda personen som kan anses utgöra ett ”automatiserat individuellt beslutsfattande”, så skulle det uppstå en lucka i det rättsliga skyddet. För det första skulle ett bolag som SCHUFA då nämligen inte vara skyldigt att ge tillgång till den ytterligare information som den berörda personen har rätt till enligt artikel 15.1 h i förordningen, eftersom SCHUFA inte skulle anses vara den som fattat ett ”automatiserat beslut” i den bestämmelsens mening och därmed även i den mening som avses i artikel 22.1 i förordningen. För det andra skulle den tredje part till vilken sannolikhetsvärdet överförs inte kunna lämna sådan ytterligare information, eftersom denne inte har tillgång till dem.

24

För att förhindra att det uppstår en sådan lucka i det rättsliga skyddet är det enligt den hänskjutande domstolen därför nödvändigt att fastställandet av ett sannolikhetsvärde som det nu aktuella omfattas av tillämpningsområdet för artikel 22.1 i dataskyddsförordningen.

25

Om en sådan tolkning accepteras blir verksamhetens lagenlighet därmed beroende av att det finns en rättslig grund enligt den berörda medlemsstatens nationella rätt, i enlighet med artikel 22.2 b i förordningen. Vad gäller förevarande fall har den hänskjutande domstolen anfört att 31 § BDSG visserligen skulle kunna utgöra en sådan rättslig grund i Tyskland, men att det föreligger allvarliga tvivel om den bestämmelsens förenlighet med artikel 22 i dataskyddsförordningen. Skälet till detta är att den tyska lagstiftaren endast har reglerat ”användningen” av ett sannolikhetsvärde som det nu aktuella, och inte själva fastställandet av ett sådant värde.

26

Den hänskjutande domstolen har anfört att om det däremot ansågs att fastställandet av ett sannolikhetsvärde som det nu aktuella inte utgör automatiserat individuellt beslutsfattande, i den mening som avses i artikel 22 i dataskyddsförordningen, skulle den så kallade öppningsklausulen i artikel 22.2 b inte heller vara tillämplig på nationella bestämmelser om denna verksamhet. Med hänsyn till att dataskyddsförordningen i princip är uttömmande, och i avsaknad av en annan normgivningskompetens för att meddela sådana nationella föreskrifter, förefaller den tyska lagstiftaren, genom att föreskriva mer omfattande materiella tillåtlighetskrav för fastställandet av sannolikhetsvärden, ha preciserat det reglerade området på ett sätt som går utöver de krav som anges i artiklarna 6 och 22 i dataskyddsförordningen, utan att ha befogenhet att göra detta. Om denna ståndpunkt ansågs vara riktig, skulle detta enligt den hänskjutande domstolen ändra den nationella tillsynsmyndighetens bedömningsutrymme, eftersom denna myndighet då skulle behöva bedöma förenligheten av kreditupplysningsföretagens verksamhet mot bakgrund av artikel 6 i förordningen.

27

Det är mot denna bakgrund som Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) har beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen:

28

SCHUFA har gjort gällande att begäran om förhandsavgörande inte kan tas upp till prövning. För det första har SCHUFA anfört att det inte ankommer på den hänskjutande domstolen att kontrollera innehållet i ett omprövningsbeslut som fattats av en tillsynsmyndighet som HBDI, eftersom ett överklagande till domstol av ett sådant beslut med stöd av artikel 78.1 i dataskyddsförordningen endast syftar till att kontrollera huruvida tillsynsmyndigheten har iakttagit sina skyldigheter enligt förordningen, i synnerhet skyldigheten att handlägga klagomål. Enligt SCHUFA har nämnda myndighet möjlighet att själv besluta om och hur den ska ingripa.

29

För det andra anser SCHUFA att den hänskjutande domstolen inte har redogjort för de exakta skälen till att de frågor som ställts är avgörande för utgången i det nationella målet. Det nationella målet avser en begäran om att få tillgång till uppgifter om ett konkret kreditbetyg och att få dessa uppgifter raderade. Enligt SCHUFA har bolaget i förevarande fall i tillräcklig utsträckning iakttagit sin informationsskyldighet, och det har redan raderat uppgifterna om det aktuella kreditbetyget.

30

EU-domstolen erinrar om att det enligt dess fasta praxis uteslutande ankommer på den nationella domstolen, vid vilken målet anhängiggjorts och som har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen av en unionsbestämmelse (dom av den 12 januari 2023, DOBELES HES, C‑702/20 och C‑17/21, EU:C:2023:1, punkt 46 och där angiven rättspraxis).

31

Av detta följer att frågor som rör unionsrätten presumeras vara relevanta. En tolknings- eller giltighetsfråga från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågeställningen är hypotetisk eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 12 januari 2023, DOBELES HES, C‑702/20 och C‑17/21, EU:C:2023:1, punkt 47 och där angiven rättspraxis).

32

Vad först gäller den grund för avvisning av begäran om förhandsavgörande som bygger på påståendet att domstolsprövningen av beslut om klagomål som fattats av en tillsynsmyndighet ska vara begränsad, ska det erinras om att enligt artikel 78.1 i dataskyddsförordningen ska varje fysisk eller juridisk person, utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

33

I förevarande fall utgör det beslut som HBDI fattade i egenskap av tillsynsmyndighet ett rättsligt bindande beslut i den mening som avses i artikel 78.1. Efter att ha tagit ställning till om det klagomål som OQ gett in till den skulle utredas eller inte, gjorde myndigheten nämligen en bedömning av om det fanns grund för klagomålet och fann då att den personuppgiftsbehandling som klagomålet gällde var tillåten.

34

När det gäller omfattningen av domstolsprövningen av ett sådant beslut inom ramen för ett överklagande enligt artikel 78.1 räcker det att påpeka att det ska finnas en möjlighet att få en fullständig domstolsprövning av en tillsynsmyndighets beslut i ett klagomålsärende (dom av den 7 december 2023, SCHUFA Holding (C‑26/22 och C‑64/22, SCHUFA Holding m.fl. (Skuldsanering), EU:C:2023:XXX, punkt 1 i domslutet).

35

Den första grund för avvisning av begäran om förhandsavgörande som SCHUFA åberopat kan följaktligen inte godtas.

36

Därefter ska det konstateras att det av begäran om förhandsavgörande tydligt framgår att den hänskjutande domstolen vill få klarhet i vilket prövningskriterium som, mot bakgrund av dataskyddsförordningen, ska tillämpas vid bedömningen av den personuppgiftsbehandling som är aktuell i det nationella målet. Härvidlag är valet av kriterium beroende av huruvida artikel 22.1 i förordningen är tillämplig eller inte.

37

Det är således inte uppenbart att den tolkning av dataskyddsförordningen som den hänskjutande domstolen begärt saknar samband med de verkliga omständigheterna eller saken i det nationella målet eller att frågeställningen är hypotetisk. EU-domstolen har dessutom tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den.

38

Den andra grund för avvisning av begäran om förhandsavgörande som SCHUFA åberopat kan följaktligen inte godtas.

39

Mot denna bakgrund kan begäran om förhandsavgörande tas upp till prövning.

40

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 22.1 i dataskyddsförordningen ska tolkas så, att begreppet ”automatiserat individuellt beslutsfattande” i den bestämmelsen omfattar att ett kreditupplysningsföretag automatiskt fastställer ett sannolikhetsvärde grundat på personuppgifter om en person, vilket avser personens framtida återbetalningsförmåga, i fall där detta sannolikhetsvärde överförs till en tredje part, och denne i avgörande grad lägger detta värde till grund för sitt beslut om att ingå, fortsätta eller avsluta ett avtalsförhållande med denna person.

41

För att besvara denna fråga erinrar domstolen inledningsvis om att det vid tolkningen av en unionsbestämmelse inte bara är lydelsen som ska beaktas, utan också det sammanhang i vilket bestämmelsen förekommer och de mål och syften som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 22 juni 2023, Pankki S, C‑579/21, EU:C:2023:501, punkt 38 och där angiven rättspraxis).

42

Vad gäller ordalydelsen i artikel 22.1 i dataskyddsförordningen föreskrivs där att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

43

För att denna bestämmelse ska vara tillämplig krävs således att tre kumulativa villkor är uppfyllda, nämligen, för det första, att det föreligger ett ”beslut”, för det andra, att beslutet ”enbart grundas på automatiserad behandling, inbegripet profilering” och, för det tredje, att det ska ha ”[rättsverkan] för [den registrerade]” eller ”på liknande sätt i betydande grad” påverka honom eller henne.

44

För det första ska det beträffande villkoret att det ska föreligga ett beslut påpekas att begreppet beslut, i den mening som avses i artikel 22.1 i dataskyddsförordningen, inte definieras i förordningen. Det framgår emellertid av själva ordalydelsen i bestämmelsen att detta begrepp inte endast avser åtgärder som har rättsverkningar för den registrerade, utan även åtgärder som på liknande sätt i betydande grad påverkar honom eller henne.

45

Att begreppet beslut har en vidsträckt räckvidd bekräftas av skäl 71 i dataskyddsförordningen, där det anges att ett beslut med bedömning av personliga aspekter rörande den registrerade – ett beslut som han eller hon bör ha rätt att inte bli föremål för – ”kan inbegripa en åtgärd” som antingen har ”rättsverkan för honom eller henne” eller ”på liknande sätt i betydande grad [påverkar] honom eller henne”. Enligt detta skäl omfattar begreppet beslut till exempel ett automatiserat avslag på en kreditansökan online eller praxis för e-rekrytering utan personlig kontakt.

46

Såsom generaladvokaten har påpekat i punkt 38 i sitt förslag till avgörande kan begreppet beslut i den mening som avses i artikel 22.1 i dataskyddsförordningen omfatta åtskilliga åtgärder som kan påverka den registrerade på flera sätt, varför detta begrepp är tillräckligt brett för att omfatta resultatet av beräkningen av en persons kreditvärdighet i form av ett sannolikhetsvärde avseende denna persons framtida återbetalningsförmåga.

47

För det andra kan det, beträffande villkoret att beslutet, i den mening som avses i artikel 22.1, ”enbart [ska] grundas på automatiserad behandling, inbegripet profilering”, konstateras, såsom generaladvokaten påpekat i punkt 33 i sitt förslag till avgörande, att det är utrett att en verksamhet som den som SCHUFA bedriver motsvarar definitionen av ”profilering” i artikel 4.4 i dataskyddsförordningen och att detta villkor således är uppfyllt i förevarande fall. I den första tolkningsfrågan hänvisas det för övrigt uttryckligen till det automatiska fastställandet av ett sannolikhetsvärde grundat på personuppgifter om en person och personens framtida återbetalningsförmåga.

48

För det tredje kan det, beträffande villkoret att beslutet ska ha ”[rättsverkan” för den registrerade eller på ”liknande sätt i betydande grad [påverka]” honom eller henne, konstateras att det av själva ordalydelsen i den första tolkningsfrågan framgår att i fall där sannolikhetsvärdet överförs till en tredje part, så styrs dennes agerande ”i avgörande grad” av detta värde. Av den hänskjutande domstolens redogörelse för de faktiska omständigheterna framgår således att när en konsument ansöker om ett lån från en bank medför ett otillräckligt sannolikhetsvärde i nästan samtliga fall att banken inte beviljar det sökta lånet.

49

Under dessa omständigheter ska även det tredje villkoret för tillämpning av artikel 22.1 i dataskyddsförordningen anses vara uppfyllt, eftersom ett sådant sannolikhetsvärde som det nu aktuella åtminstone i betydande grad påverkar den registrerade.

50

Det nu sagda innebär följande. Under omständigheter som de nu aktuella, där det sannolikhetsvärde som fastställts av ett kreditupplysningsföretag och som överförts till en bank spelar en avgörande roll vid beviljandet av en kredit, ska fastställandet av detta värde i sig anses utgöra ett beslut som i förhållande till en registrerad har ”[rättsverkan] för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne”, i den mening som avses i artikel 22.1 i dataskyddsförordningen.

51

Denna tolkning stöds såväl av det sammanhang som artikel 22.1 i dataskyddsförordningen ingår i, som de mål och det syfte som eftersträvas med denna förordning.

52

Det ska härvidlag påpekas, såsom generaladvokaten har påpekat i punkt 31 i sitt förslag till avgörande, att artikel 22.1 i dataskyddsförordningen ger den registrerade en ”rättighet” att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling, inklusive profilering. Denna bestämmelse innehåller ett principiellt förbud vars åsidosättande inte kräver att en registrerad åberopar det individuellt.

53

Det framgår nämligen av artikel 22.2 i dataskyddsförordningen jämförd med skäl 71 i samma förordning att det endast är tillåtet att fatta ett beslut som enbart grundas på automatiserad behandling i de fall som avses i artikel 22.2, det vill säga om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och en personuppgiftsansvarig (led a), om beslutet tillåts enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (led b), eller om beslutet grundar sig på den registrerades uttryckliga samtycke (led c).

54

I artikel 22.2 b och 22.3 i dataskyddsförordningen föreskrivs dessutom att lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen ska fastställas. I de fall som avses i artikel 22.2 a och c ska den personuppgiftsansvarige åtminstone genomföra åtgärder för att säkerställa den registrerades rätt till personlig kontakt med den personuppgiftsansvarige för att kunna uttrycka sin åsikt och bestrida beslutet.

55

Enligt artikel 22.4 i dataskyddsförordningen är det dessutom endast i vissa specifika fall som automatiserade individuella beslut i den mening som avses i artikel 22 får grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1 i förordningen.

56

Vid automatiserat beslutsfattande, såsom det som avses i artikel 22.1 i dataskyddsförordningen, omfattas dessutom den personuppgiftsansvarige av ytterligare informationsskyldigheter enligt artiklarna 13.2 f och 14.2 g i förordningen. Vidare har den registrerade enligt artikel 15.1 h i förordningen rätt att från den personuppgiftsansvarige få ”meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av [personuppgiftsbehandlingen] för den registrerade”.

57

Dessa högre krav som ställs för att ett automatiserat beslutsfattande ska vara lagligt, samt den personuppgiftsansvariges ytterligare informationsskyldigheter, och den registrerades därmed sammanhängande ytterligare rätt till tillgång, förklaras av det syfte som eftersträvas med artikel 22 i dataskyddsförordningen, nämligen att skydda enskilda mot de särskilda riskerna för deras rättigheter och friheter vid automatisk behandling av personuppgifter, inbegripet profilering.

58

Sådan personuppgiftsbehandling innebär nämligen, såsom framgår av skäl 71 i dataskyddsförordningen, en bedömning av personliga aspekter rörande den fysiska person som berörs av behandlingen, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar.

59

Enligt detta skäl kan dessa särskilda risker utgöra risker för den registrerades intressen och rättigheter, bland annat med hänsyn till potentiella diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning. Enligt samma skäl är det därför viktigt att föreskriva lämpliga skyddsåtgärder och sörja för en rättvis och öppen behandling med avseende på den registrerade, särskilt genom användning av adekvata matematiska eller statistiska förfaranden för profilering, och genomförande av tekniska och organisatoriska åtgärder som säkerställer att risken för fel minimeras.

60

Den ovan i punkterna 42–50 redovisade tolkningen, och särskilt den vidsträckta innebörden av begreppet beslut i den mening som avses i artikel 22.1 i dataskyddsförordningen, förstärker det effektiva skydd som eftersträvas med denna bestämmelse.

61

Under omständigheter som de nu aktuella, där tre aktörer är inblandade, finns det däremot en risk för kringgående av artikel 22 i dataskyddsförordningen, och därmed för att det uppstår en lucka i det rättsliga skyddet, om man gör en restriktiv tolkning av denna bestämmelse som innebär att fastställandet av sannolikhetsvärdet enbart ska anses utgöra en åtgärd av förberedande karaktär och att det endast är den tredje partens åtgärd som, i förekommande fall, kan kvalificeras som ett ”beslut” i den mening som avses i artikel 22.1 i förordningen.

62

I ett sådant fall skulle nämligen fastställandet av ett sannolikhetsvärde som det nu aktuella undgå de särskilda krav som föreskrivs i artikel 22.2–22.4 i dataskyddsförordningen, trots att detta förfaringssätt grundar sig på en automatiserad behandling och har följder som i betydande grad påverkar den registrerade i den mån detta sannolikhetsvärde, i fall där det överförs till en tredje part, i avgörande grad styr dennes agerande.

63

Såsom generaladvokaten har påpekat i punkt 48 i sitt förslag till avgörande skulle den registrerade inte kunna göra gällande sin rätt att få tillgång till den särskilda information som avses i artikel 15.1 h i dataskyddsförordningen gentemot det kreditupplysningsföretag som fastställer det sannolikhetsvärde som rör honom eller henne, om detta företag inte utför något automatiserat beslutsfattande. Dessutom gäller att även om det antas att en tredje parts åtgärder omfattas av artikel 22.1 i denna förordning, i den mån de uppfyller villkoren för tillämpning av denna bestämmelse, skulle den tredje parten inte ha möjlighet att lämna denna specifika information, eftersom denne i allmänhet inte förfogar över sådan information.

64

Den omständigheten att fastställandet av ett sannolikhetsvärde som det nu aktuella omfattas av artikel 22.1 i dataskyddsförordningen får till följd, såsom framgår av punkterna 53–55 ovan, att detta fastställande är förbjudet om inte något av undantagen i artikel 22.2 i förordningen är tillämpligt och de särskilda krav som föreskrivs i artikel 22.3 och 22.4 i förordningen har iakttagits.

65

Vad närmare bestämt gäller artikel 22.2 b i dataskyddsförordningen, som den hänskjutande domstolen har hänvisat till, framgår det av själva ordalydelsen i denna bestämmelse att det i nationell lagstiftning som tillåter automatiserat individuellt beslutsfattande måste fastställas lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen.

66

Mot bakgrund av skäl 71 i dataskyddsförordningen bör sådana åtgärder särskilt omfatta en skyldighet för den personuppgiftsansvarige att använda adekvata matematiska eller statistiska förfaranden för att säkerställa att risken för fel minimeras och att fel korrigeras, samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande effekter för den registrerade. Dessa åtgärder ska dessutom åtminstone omfatta den registrerades rätt till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida det beslut som fattats om honom eller henne.

67

Det ska även påpekas att enligt domstolens fasta praxis ska all behandling av personuppgifter dels vara förenlig med de i artikel 5 i förordningen angivna principerna för personuppgiftsbehandling, dels – med hänsyn till den princip om laglighet som föreskrivs i artikel 5.1 a – uppfylla något av de i artikel 6 uppräknade villkoren som gör att behandlingen anses vara laglig (dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 49 och där angiven rättspraxis). Den personuppgiftsansvarige måste kunna visa att dessa principer efterlevs, i enlighet med den ansvarsprincip som föreskrivs i artikel 5.2 i förordningen (se, för ett liknande resonemang, dom av den 20 oktober 2022, Digi, C‑77/21, EU:C:2022:805, punkt 24).

68

För det fall en medlemsstats lagstiftning, i enlighet med artikel 22.2 b i dataskyddsförordningen, tillåter beslutsfattande som enbart grundas på automatiserad behandling, ska behandlingen av personuppgifter således inte bara uppfylla de villkor som uppställs i sistnämnda bestämmelse och i artikel 22.4 i förordningen, utan även de krav som anges i artiklarna 5 och 6 i förordningen. Medlemsstaterna får således inte med stöd av artikel 22.2 b i dataskyddsförordningen anta bestämmelser som tillåter profilering i strid med de krav som uppställs i artiklarna 5 och 6, såsom dessa har tolkats i domstolens praxis.

69

Vad särskilt gäller de laglighetsgrunder som anges i artikel 6.1 a, b och f i dataskyddsförordningen, vilka kan bli tillämpliga i ett fall som det nu aktuella, har medlemsstaterna inte befogenhet att införa kompletterande bestämmelser för tillämpningen av dessa villkor, eftersom en sådan befogenhet, såsom framgår av artikel 6.3 i förordningen, är begränsad till de laglighetsgrunder som anges i artikel 6.1 c och e i förordningen.

70

Vad mer specifikt gäller artikel 6.1 f i dataskyddsförordningen får medlemsstaterna inte med stöd av artikel 22.2 b i förordningen avvika från de krav som följer av domstolens praxis, såsom den fastställts i dom av den 7 december 2023, SCHUFA Holding (Skuldsanering) (C‑26/22 och C‑64/22, EU:C:2023:XXX), bland annat genom att slutgiltigt ange vad resultatet av avvägningen mellan de motstående rättigheterna och intressena blir (se, för ett liknande resonemang, dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 62).

71

I förevarande fall har den hänskjutande domstolen angett att endast 31 § BDSG skulle kunna utgöra en nationell rättslig grund i den mening som avses i artikel 22.2 b i dataskyddsförordningen. Den hänskjutande domstolen hyser emellertid allvarliga tvivel om huruvida 31 § BDSG är förenlig med unionsrätten. Den har anfört att om det ansågs att denna bestämmelse är oförenlig med unionsrätten, skulle detta innebära att SCHUFA inte bara agerar utan rättslig grund, utan även i kraft av själva rättsförhållandet (ipso jure) överträder förbudet i artikel 22.1 i dataskyddsförordningen.

72

I det avseendet finner EU-domstolen att det ankommer på den hänskjutande domstolen att pröva huruvida 31 § BDSG kan anses utgöra en rättslig grund som enligt artikel 22.2 b i dataskyddsförordningen tillåter beslutsfattande som enbart grundas på automatiserad behandling. Om den hänskjutande domstolen kommer fram till att 31 § BDSG utgör en sådan rättslig grund, ankommer det på den att pröva huruvida villkoren i artikel 22.2 b och 22.4 i dataskyddsförordningen och villkoren i artiklarna 5 och 6 i förordningen är uppfyllda i förevarande fall.

73

Mot bakgrund av det ovan anförda ska den första frågan besvaras enligt följande. Artikel 22.1 i dataskyddsförordningen ska tolkas så, att begreppet ”automatiserat individuellt beslutsfattande” i den bestämmelsen omfattar att ett kreditupplysningsföretag automatiskt fastställer ett sannolikhetsvärde grundat på personuppgifter om en person, vilket avser personens framtida återbetalningsförmåga, i fall där detta sannolikhetsvärde överförs till en tredje part, och denne i avgörande grad lägger detta värde till grund för sitt beslut om att ingå, fortsätta eller avsluta ett avtalsförhållande med denna person.

74

Med hänsyn till svaret på den första frågan saknas anledning att besvara den andra frågan

75

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande:

Artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så,

att begreppet ”automatiserat individuellt beslutsfattande” i den bestämmelsen omfattar att ett kreditupplysningsföretag automatiskt fastställer ett sannolikhetsvärde grundat på personuppgifter om en person, vilket avser personens framtida återbetalningsförmåga, i fall där detta sannolikhetsvärde överförs till en tredje part, och denne i avgörande grad lägger detta värde till grund för sitt beslut om att ingå, fortsätta eller avsluta ett avtalsförhållande med denna person.