GZ: 2025-0.328.963 vom 14. Oktober 2025 (Verfahrenszahl: DSB-D124.2695/24)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Mag. Peter A*** (Beschwerdeführer) vom 28. November 2024 gegen die N*** GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Auskunft nach Art. 15 DSGVO wie folgt:
1. Der Beschwerde wird stattgegeben und es wird wie folgt festgestellt :
Die Beschwerdegegnerin hat den Beschwerdeführer dadurch in seinem Recht auf Auskunft nach Art. 15 Abs. 1 lit. c, lit. g und lit. h DSGVO verletzt, indem sie ihm auf seinen Antrag vom 15. September 2024 hin keine transparente, verständliche und vollständige Information über die Herkunft seiner Daten, die Empfänger seiner Daten, über das Bestehen einer automatisierten Entscheidungsfindung sowie aussagekräftige und verständliche Information über die darin involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung übermittelt hat.
2. Der Beschwerdegegnerin wird aufgetragen, dem Beschwerdeführer innerhalb einer Frist von vier Wochen bei sonstiger Exekution in Form einer Kopie eine vollständige, transparente und verständliche Auskunft im Sinne des Art. 15 Abs. 1 lit. c, lit. g und lit. h DSGVO sowie Abs. 3 DSGVO zu erteilen. Die Auskunft hat dabei insbesondere die folgenden Anforderungen zu erfüllen:
- Sie muss nachvollziehbar offenlegen, anhand welcher konkreten personenbezogenen Daten und nach welchen mathematisch-statistischen Prinzipien der Scoring Wert berechnet wird.
- Sie muss die Bedeutung der einzelnen Eingabedaten für die Berechnung des Ergebnisses transparent machen und erläutern, wie diese das Ergebnis beeinflussen.
- Sie hat die möglichen Auswirkungen des Scoring-Wertes auf die Entscheidung über das Zustandekommen, die Durchführung oder die Beendigung eines Vertragsverhältnisses für die betroffene Person zu beschreiben.
- Die Informationen müssen so bereitgestellt werden, dass sie für eine durchschnittliche betroffene Person verständlich und leicht zugänglich sind.
3. Der Antrag auf Verhängung einer wirksamen Strafe wird zurückgewiesen .
Rechtsgrundlagen : Art. 12 Abs. 1, Art. 15, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f, Art. 58 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 DSG, BGBl. I Nr. 165/1999 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
A.1 Mit verfahrenseinleitender Eingabe vom 28. November 2024 (eingelangt bei der DSB: 3. Dezember 2024) erhob der Beschwerdeführer Beschwerde an die Datenschutzbehörde und brachte vor, die von der Beschwerdegegnerin erteilte Auskunft sei unvollständig. Insbesondere sei nicht offengelegt worden, auf welchen Grundlagen der „Verification Score“ sowie die unter „Personentreffer“ genannten Werte beruhen würden, sodass eine Berichtigung der Daten nicht möglich wäre. Weiters würde die Beschwerdeführerin wiederholt die Übermittlung von Kopien jener Datensätze verweigern, die von oder an Dritte weitergegeben worden wären. Der Beschwerdeführer regte zudem an, die Praxis der Bewertung der Zahlungsfähigkeit nach Alter oder Wohnort amtswegig zu prüfen, und verwies ergänzend auf die Schlussanträge des Generalanwalts in der Rechtssache C-203/22.
A.2 Die Beschwerdegegnerin führte in ihrer Stellungnahme vom 27. Jänner 2025 aus, der Verification Score diene der Bestätigung von Identitäten und würde auf Parametern wie Dauer der Bekanntheit, Art und Anzahl der Quellen sowie Zahlungserfahrungen beruhen. Details zur Berechnung müssten nur insoweit offengelegt werden, als dadurch keine Geschäftsgeheimnisse betroffen wären. Eine Verpflichtung zur Herausgabe von Datenkopien bestünde nicht, sämtliche personenbezogene Daten des Beschwerdeführers seien bereits in der Selbstauskunft enthalten. Die Verwendung von Alter und Wohnort zur Score-Berechnung sei gesetzlich gedeckt und durch berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.
A.3 Mit Schreiben vom 5. Februar 2025 nahm der Beschwerdeführer nochmals Stellung. Er beantragte, seinen ursprünglichen Anträgen vollinhaltlich stattzugeben, und führte aus, die Auskunft der Beschwerdegegnerin sei weiterhin unvollständig, da ihm keine Kopien der von oder an Dritte übermittelten Daten übermittelt worden wären und die Berechnung der übermittelten Werte nicht offengelegt werde. Er verwies auf das EuGH-Urteil C-487/21 vom 4. Mai 2023, wonach Art. 15 Abs. 3 DSGVO das Recht auf eine vollständige, verständliche Reproduktion sämtlicher verarbeiteter personenbezogener Daten gewähre, soweit dies für die Wahrnehmung der Betroffenenrechte erforderlich sei.
A.4 Nach Gewährung einer Fristerstreckung brachte die Beschwerdegegnerin in ihrer Stellungnahme vom 4. April 2025 zusammengefasst Folgendes vor: Die Beschwerdegegnerin führte aus, die EuGH-Entscheidungen C-203/22 („D B-Entscheidung“) und C-634/22 („SCHUFA-Entscheidung“) seien im vorliegenden Fall nicht anwendbar, da die übermittelten Scorewerte für die betreffenden Kunden nicht maßgeblich für deren Entscheidungen seien. Die Erläuterungen zur Score-Berechnung der Selbstauskunft seien hinreichend präzise und klar im Sinne von Art. 12 Abs. 1 DSGVO, sodass der Beschwerdeführer seine Rechte vollständig habe wahrnehmen können. Hinsichtlich der Kopien von Datensätzen führte sie aus, dass eine Herausgabe nicht verpflichtend sei, da alle relevanten personenbezogenen Daten bereits in der letzten Auskunft vom 26. September 2024 enthalten seien und die Ausübung der Rechte nach DSGVO somit möglich sei.
A.5 Mit Eingabe vom 27. April 2025 brachte der Beschwerdeführer vor, dass die Auskunft der Beschwerdegegnerin weiterhin unvollständig sei, da keine nachvollziehbaren Informationen über die Logik, Tragweite und Auswirkungen der automatisierten Datenverarbeitung, einschließlich der Berechnung der „Werte“ und „Scores“, bereitgestellt worden seien. Er verwies auf das EuGH-Urteil C 487/21 und Art. 15 Abs. 1 Buchst. h DSGVO, wonach solche Informationen in präziser, transparenter und verständlicher Form offengelegt werden müssten. Zudem führte er aus, dass die vom Wohnort abhängigen Scores seine tatsächliche Bonität nicht widerspiegelten und daher rechtswidrig seien.
B. Beschwerdegegenstand
Gegenstand der Beschwerde ist die Frage, ob die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers nach Art. 15 DSGVO verletzt hat, indem sie ihm keine vollständigen Kopien der verarbeiteten Daten, insbesondere der von oder an Dritte übermittelten Daten, sowie keine nachvollziehbare Erläuterung zur Berechnung des „Verification Score“ (Wahrscheinlichkeitswert) bereitgestellt hat.
C. Sachverhaltsfeststellungen
C.1 Die Beschwerdegegnerin ist eine eingetragene Gesellschaft mit beschränkter Haftung mit Sitz in Wien und betreibt das Gewerbe einer Kreditauskunftei gemäß § 152 GewO.
Sie erhebt und verarbeitet personenbezogene Daten zur Bonitätsbewertung und stellt ihren Vertragspartnern Scoring-Werte (z. B. „Verification Score“, „Risk Indicator“) zur Verfügung.
Beweiswürdigung : Die Feststellungen ergeben sich aus einer amtswegigen Abfrage des Firmenbuchs und des Gewerbeinformationssystems Austria, alle zuletzt von der Datenschutzbehörde am 26. September 2025 abgefragt.
C.2 Der Beschwerdeführer stellte am 15. September 2024 ein Auskunftsbegehren gemäß Art. 15 DSGVO, das von der Beschwerdegegnerin am 26. September 2024 beantwortet wurde.
Die Auskunft enthielt allgemeine Kategorien personenbezogener Daten (z. B. Name, Adresse, Geburtsdatum) sowie Score-Werte, jedoch keine detaillierte Erklärung der Berechnungslogik. (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Der an dieser Stelle im Original als zwei Scans von Papierdokumenten wiedergegebene Auszug aus dem Auskunftsschreiben der Beschwerdegegnerin konnte mit zumutbarem Aufwand nicht in ein Textdokument umgewandelt werden und wurde aus Pseudonymisierungsgründen entfernt. Er zeigt insbesondere die Daten zweier Adressen des Beschwerdeführers, die interne ID-Nummer dieser Adressen und deren Herkunft (ein Adressverlags-Unternehmen) sowie den mit „A“ angegebenen Verification-Score.]
Darüber hinaus weist die Auskunft der Beschwerdegegnerin für den Beschwerdeführer die nachstehenden Scorewerte aus (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Der an dieser Stelle im Original als zwei Scans von Papierdokumenten wiedergegebene Auszug aus dem Auskunftsschreiben der Beschwerdegegnerin konnte mit zumutbarem Aufwand nicht in ein Textdokument umgewandelt werden und wurde aus Pseudonymisierungsgründen entfernt. Er zeigt insbesondere die Daten von 32 Bonitätsanfragen verschiedener Unternehmen (teilweise mehrfach) u.a. aus den Branchen Handel, Energieversorgung, Banken Zahlungsdienstleistungen sowie IT-Dienstleistungen von Jänner 2017 bis Mai 2024. Dabei wurde sechszehnmal ein Scorewert zwischen 524 und 568 übermittelt.]
Beweiswürdigung : Die Feststellungen ergeben sich aus der Eingabe des Beschwerdeführers vom 28. November 2024 und der beigelegten Auskunftsbeantwortung von der Beschwerdegegnerin, worin u.a. dieser Datensatz in der Auskunftsbeantwortung angegeben war. Die Feststellung der automatisierten Berechnung ergibt sich aus der Auskunft der Beschwerdegegnerin an den Beschwerdeführer. Dort wird zwar ausgeführt, dass zwei der Variablen die persönliche Einschätzung eines Menschen darstellen, jedoch eingeschränkt, dass ein Nicht-Befüllen von Variablen keinen Einfluss auf den Scorewert hat (mit anderen Worten: der Scorewert kann auch vollständig automatisiert ohne das Eingreifen eines Menschen berechnet werden). Die DSB kommt im vorliegenden Fall beweiswürdigend zu der Feststellung, dass der Risk Indicator vollständig automatisiert berechnet wird und sich das menschliche Eingreifen auf eine nicht zwingende und nicht entscheidungserhebliche bloße Option beschränkt. Die Berechnung bzw. Entscheidung unterliegt daher keiner echten Aufsicht, wie beispielsweise in den Leitlinien der Art. 29 Datenschutzgruppe gefordert (vgl. Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP251rev.01, S 22.)
D. In rechtlicher Hinsicht folgt daraus:
D.1 Zur Verletzung im Recht auf Auskunft (Spruchpunkt 1)
Gemäß Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, vom Verantwortlichen Auskunft über sie betreffende personenbezogene Daten sowie über die in lit. a–h genannten Informationen zu erhalten. Nach Abs. 3 DSGVO ist ihr außerdem eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Der EuGH hat im Urteil vom 4. Mai 2023, C-487/21, klargestellt, dass Art. 15 Abs. 3 DSGVO ein Recht auf tatsächliche Reproduktion der personenbezogenen Daten gewährt, soweit dies zur Wahrnehmung der Betroffenenrechte erforderlich ist.
In seiner Entscheidung vom 27. Februar 2025 hat sich der EuGH näher mit der Auslegung des Art. 15 Abs. 1 lit. h DSGVO beschäftigt, der einen Verantwortlichen verpflichtet, einer betroffenen Person Auskunft über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zu geben und die darin involvierte Logik und die Tragweite der Verarbeitung zu erläutern. Dabei hielt er ausdrücklich fest, dass das in Art. 15 vorgesehene Auskunftsrecht dazu dient, einer betroffenen Person die Überprüfung zu ermöglichen, ob sie betreffende Daten richtig sind und in zulässiger Weise verarbeitet werden. Im Kontext einer automatisierten Entscheidung einschließlich Profiling bedeutet dies konkret, dass der betroffenen Person die wirksame Ausübung der Rechte gem. Art. 22 Abs. 3 DSGVO ermöglicht werden muss. Wie auch der Generalanwalt in Nr. 67 seiner Schlussanträge ausgeführt hat, bedeutet dies, dass die betroffene Person ein Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidung sowie auf Erklärung des Ergebnisses der Entscheidung hat. Die Information ist darüber hinaus gem. Art. 12 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Diesen Anforderungen genügen weder die bloße Übermittlung einer komplexen mathematischen Formel noch die detaillierte Beschreibung jedes Verarbeitungsschritts, da dies keine ausreichend verständliche Erklärung darstellt. Hingegen könnte es als ausreichend transparent und nachvollziehbar erachtet werden, die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte (vgl. EuGH vom 27. Februar 2025, C-203/22, S. 8 f).
Es konnte nicht festgestellt werden, dass der Beschwerdeführer im Rahmen seines Auskunftsersuchens gemäß Art. 15 DSGVO eine vollständige und den Anforderungen der DSGVO entsprechende Auskunft erhalten hat. Insbesondere wurden dem Beschwerdeführer keine aussagekräftigen Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen der automatisierten Datenverarbeitung (einschließlich Profiling) zur Verfügung gestellt. Ebenso wurden ihm keine Kopien der verarbeiteten personenbezogenen Daten übermittelt, insbesondere jener, die von Dritten empfangen oder an Dritte weitergeleitet wurden. Weiters erfolgte keine hinreichende Konkretisierung der an die in der Auskunft genannten Empfänger übermittelten Daten.
Schließlich enthielt die Auskunft keine Angaben zu einer etwaigen Übermittlung personenbezogener Daten an ein Drittland oder an internationale Organisationen.
Aus der Selbstauskunft ergibt sich, dass zwar Kategorien von Daten, Empfänger sowie allgemeine Erläuterungen zur Score-Berechnung angeführt wurden, jedoch keine konkreten Kopien der verarbeiteten Daten übermittelt wurden. Ebenso fehlen detaillierte Informationen zur Berechnungslogik der Scorewerte. Da die Beschwerdegegnerin in ihren Stellungnahmen selbst ausführt, dass bestimmte Informationen (etwa die Gewichtung der Score-Merkmale oder die Übermittlung exakter Datensätze) nicht bereitgestellt werden, ist davon auszugehen, dass der Beschwerdeführer keine vollständige Auskunft gemäß Art. 15 DSGVO erhalten hat.
Die bloße Angabe, welche Datenarten „grundsätzlich einfließen könnten“, stellt keine aussagekräftige Information über die involvierte Logik und Tragweite im Sinne des Art. 15 Abs. 1 lit. h DSGVO dar. Damit hat die Beschwerdegegnerin gegen ihre Pflichten nach Art. 12 Abs. 1 DSGVO (Transparenz, Verständlichkeit) sowie Art. 15 Abs. 1 lit. c, g und h DSGVO verstoßen.
Die vom EuGH geforderte präzise und nachvollziehbare Erklärung, in welchem Maße einzelne Eingabedaten das Ergebnis beeinflussen, fehlt vollständig.
Alles in allem wird der Beschwerdeführer durch die erteilte Information nicht in die Lage versetzt, zu beurteilen, ob die verarbeiteten Daten richtig sind. Folglich kann er auch seinen Standpunkt nicht wirksam darlegen, da es ihm durch die oberflächliche Art der Informationserteilung schlicht nicht möglich ist, wirksame Gegenargumente vorzubringen. Dem Beschwerdeführer wurden weder die Grundsätze des Verfahrens erläutert, noch wurde er in die Lage versetzt, zu verstehen, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte.
Im Lichte der oben dargelegten Ausführungen genügt die oberflächliche und wenig transparente Art der Auskunftserteilung nach Ansicht der DSB den Anforderungen des Art. 15 Abs. 1 lit. h iVm. Art. 12 DSGVO nicht. Die Beschwerdegegnerin wird dem BF daher, der Rechtsprechung des EuGH folgend, zumindest darzulegen haben, anhand welcher konkreten personenbezogenen Daten und nach welchen mathematisch-statistischen Prinzipien der Scoring Wert berechnet wird. Darüber hinaus wird die Beschwerdegegnerin erläutern müssen, wie einzelne Eingabedaten das Ergebnis der Berechnung beeinflussen (Näheres dazu in Spruchpunkt 2).
D.2 Zur Herausgabe von Kopien
Nach der Rechtsprechung des EuGH umfasst das Recht auf Auskunft auch den Anspruch auf Erhalt einer vollständigen Kopie aller verarbeiteten personenbezogenen Daten, soweit dies erforderlich ist, um die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die Beschwerdegegnerin hat dem Beschwerdeführer solche Kopien nicht bereitgestellt. Eine bloße tabellarische Auflistung von Datenfeldern erfüllt dieses Recht nicht.
Der Beschwerde war daher insgesamt stattzugeben .
D. 3 Zum Leistungsauftrag (Spruchpunkt 2)
Der Leistungsauftrag stützt sich auf Art 58 Abs. 2 lit. c DSGVO. Die Erteilung der Auskunft hat sich dabei an der jüngsten Rechtsprechung des EuGH vom 27. Februar 2025 (C-203/22) zu orientieren und zumindest die unter Spruchpunkt 6 festgehaltenen Angaben und Informationen zu enthalten.
Eine Frist von 4 Wochen erscheint angemessen, um dem Leistungsauftrag nachzukommen.
D.4 Zum Antrag auf Verhängung einer wirksamen Strafe (Spruchpunkt 3)
Nach der Rechtsprechung sowohl des EuGH (siehe dazu das Urteil vom 26. September 2024, C 768/21), als auch des VwGH (siehe bspw. den Bescheid vom 26. Juli 2019, GZ DSB D123.921/0005 DSB/2019 mwN) besteht kein subjektives Recht auf Inanspruchnahme einer bestimmten Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO sowie auf Verhängung einer Verwaltungsstrafe.
Im vorliegenden Fall erscheint die Verhängung einer Verwaltungsstrafe auch nicht erforderlich, um die Beschwerdegegnerin zu einer rechtskonformen Auskunft anzuhalten und damit die Einhaltung der DSGVO zu gewährleisten.
Rückverweise
