Aufsatz : Scoring und Restschuldbefreiung in der Datenverarbeitung der Kreditauskunfteien vor dem EuGH : aus der RDV 2/2023 Seite 82 bis 92
Ein Erfahrungsbericht zur mündlichen Verhandlung und den Schlussanträgen des Generalanwalts Pikamäe*
Am 26.01.2023 verhandelte die 1. Kammer des EuGH in drei Rechtssachen (C-634/21 sowie den verbundenen C-26/22 und C-64/22) zur Datenverarbeitung durch Kreditauskunfteien. Ausgangspunkt aller drei Verfahren waren Vorlagefragen des VG Wiesbaden aus dem Jahr 2021. Konkret ging es um das Scoring als eine auf einer automatisierten Verarbeitung beruhende Entscheidung i.S.d. Art. 22 DS-GVO und um die Frage, ob denn das Datum der Restschuldbefreiung über die Sechs-Monats-Frist des § 3 InsBekV hinaus von der Kreditauskunftei verarbeitet werden kann. Der Generalanwalt Pikamäe hat nun seine Anträge vorgelegt – mit sehr weitreichenden Schlussfolgerungen. Der Mitverfasser dieses Beitrags Thüsing hielt in diesen Verfahren das Plädoyer für die SCHUFA. Im Folgenden sollen einige wesentliche Beobachtungen und Positionen aus der Sicht eines Prozessvertreters herausgegriffen, dargestellt und ein Ausblick versucht werden. Es war teilweise überraschend, was gar kein Gehör fand, und auch welche faktischen Ausführungen sich nun in den Schlussanträgen finden. Fokussiert wird sich dabei auf die Frage der Anwendbarkeit des Art. 22 DS-GVO auf das Scoring von Wirtschaftsauskunfteien wie die SCHUFA, die durchzuführende Interessenabwägung bei der Prüfung der Rechtmäßigkeit der Verarbeitung sowie den Grundsatz der Zweckbindung.
I. Verfahren Rs. C-634/21: Ist Art. 22 Abs. 1 DS-GVO auf das externe Kredit-Scoring anwendbar?
1. Das Ausgangsverfahren vor dem VG Wiesbaden[1]
Ausgangspunkt, nicht aber Gegenstand des nationalen Ausgangsverfahrens bildet eine Klage gegen den durch die Wirtschaftsauskunftei[2] SCHUFA Holding AG in Bezug auf die Klägerin gebildeten Scorewertes. Die SCHUFA wurde aufgefordert, falsche Eintragungen zu löschen und im Übrigen Auskunft nach Art. 15 DS-GVO zu erteilen. Nach Auffassung der Klägerin kam die SCHUFA dem Auskunftsersuchen nur unzureichend nach, weswegen sie sich an den zuständigen Datenschutzbeauftragten als Aufsichtsbehörde wendete. Jedoch ohne Erfolg: Der zuständige Datenschutzbeauftragte bestätigte die Rechtsauffassung der SCHUFA, sie halte die Anforderungen des § 31 BDSG ein. Hiergegen wendete sich die Klägerin vor dem VG Wiesbaden. Dieses warf die Frage auf, ob die Aufsichtsbehörde § 31 BDSG überhaupt als gesetzlichen Prüfungsmaßstab für die Beurteilung der Rechtmäßigkeit heranziehen dürfe. Denn für den Fall, dass das Vorgehen der SCHUFA unter den Anwendungsbereich des Art. 22 Abs. 1 DS-GVO fällt, müsste der vom Datenschutzbeauftragten herangezogene § 31 BDSG auch mit den Vorgaben des Art. 22 DS-GVO vereinbar sein. Anderenfalls sei die Entscheidung des Datenschutzbeauftragten rechtsfehlerhaft, da sie im Falle der Unwirksamkeit des § 31 BDSG an den falschen gesetzlichen Prüfungsmaßstab anknüpfe.[3]
Insofern legte das VG Wiesbaden dem EuGH nicht nur die Frage vor, ob Art. 6 Abs. 1 und Art. 22 DS-GVO einer innerstaatlichen Regelung wie § 31 BDSG entgegenstehen,[4] sondern zuvor, ob die automatisierte Erstellung eines Wahrscheinlichkeitswertes im vorliegenden Falle eine unter Art. 22 Abs. 1 DS-GVO fallende, ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt. Im Einzelnen lautet die erste Vorlagefrage, um deren rechtliche Beurteilung es in dem hiesigen Beitrag geht, wie folgt:
„1. Ist Art. 22 Abs. 1 der Verordnung (EU) 2016/679 dahingehend auszulegen, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt?“
Der Generalanwalt kommt zu dem Schluss, dass Art. 22 Abs. 1 DS-GVO dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.
Kurzum: Das durch die SCHUFA durchgeführte Scoring unterliegt nach Ansicht des Generalanwaltes dem grundsätzlichen Verbot des Art. 22 Abs. 1 DS-GVO. Voll und ganz bestätigt werden letztlich jene Einwände, die bereits das VG Wiesbaden als vorlegendes Gericht vorsichtig äußerte.[5]
Die nunmehr öffentlich vorgebrachten Argumente des Generalanwaltes sollen daher dazu genutzt werden, einen erneuten Blick auf die Dinge zu werfen. Zwecks Stringenz der Ausführungen bedarf es hierzu aber zunächst einer Beachtung des Faktischen – begonnen wird daher mit einer Darstellung der Bedeutung einer SCHUFA-Auskunft für die endgültige Entscheidung über die Kreditvergabe.
2. Das Vorgehen der SCHUFA
Die Beantwortung der Frage hängt davon ab, wie genau die SCHUFA eigentlich arbeitet und welche Rolle sie im Verhältnis zwischen Bank und Kunde spielt. Denn an einem Kreditscoring, welches die SCHUFA betreibt, sind meist drei Personen beteiligt: Auf der Grundlage der §§ 505a ff. BGB sowie § 18a KWG prüft das Kreditinstitut vor Abschluss eines Darlehensvertrages zunächst die Kreditwürdigkeit des Kunden.[6] Hierfür zieht es regelmäßig eine Bonitätsauskunft in Form eines Scorewertes bei einer Wirtschaftsauskunftei heran, der aus verschiedensten Werten berechnet wird.[7] Der konkrete Scorewert ist dabei, so das vorlegende Gericht, „in aller Regel […] maßgeblich“[8] für die Kreditvergabe. Zwar könne ein Kredit auch aus anderen Gründen versagt werden, ein nicht ausreichender Scorewert führe aber „jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits […], wenn etwa eine Investition im Übrigen als lohnend erscheint.“[9] Dies ist aber nur ein Teil der Wahrheit: Nicht immer kommt es derart entscheidend auf SCHUFA-Auskünfte an, oftmals werden in die Entscheidung über die Kreditvergabe auch vorhandene interne Informationen und Erwägungen sowie gelegentlich Auskünfte mehrerer Auskunfteien einbezogen; Banken gewichten die Bedeutung einer SCHUFA-Auskunft zudem unterschiedlich.[10] Letztlich kommt es in der Anwendungspraxis darauf an, den Sachverhalt zunächst einmal genau zu beurteilen und davon ausgehend rechtliche Bewertungen vorzunehmen – so wird daher auch hier verfahren.
3. Voraussetzungen der Anwendbarkeit des Art. 22 DS-GVO
Nach Art. 22 Abs. 1 DS-GVO hat jede betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Das grundsätzliche Verbot erfordert zu seiner Geltung Dreierlei: Es bedarf a) einer automatisierten Verarbeitung (einschließlich Profiling im Sinne des Art. 4 Nr. 4 DS-GVO), b) einer Entscheidung, die rechtliche Wirkungen entfaltet oder ähnliche erhebliche Auswirkungen nach sich zieht sowie c) eines Zusammenhangs zwischen Entscheidung und automatisierter Verarbeitung dergestalt, dass die Entscheidung „ausschließlich“ auf der automatisierten Verarbeitung beruht. Soweit so gut – hierin besteht Einigkeit und auch Generalanwalt Pikamäe spaltet Art. 22 Abs. 1 DS-GVO tatbestandlich vollkommen zu Recht dergestalt auf.[11]
a) Das Vorgehen der SCHUFA ist zumindest eine automatisierte Verarbeitung einschließlich Profiling
Dass die Scorewerterstellung der SCHUFA eine automatisierte Verarbeitung personenbezogener Daten darstellt, wird – soweit ersichtlich – von niemandem in Frage gestellt.[12] Etwas anderes zu behaupten stünde in offenem Widerspruch zu den klaren gesetzlichen Vorgaben: Namentlich nennt Art. 4 Nr. 4 DS-GVO Profiling, worunter das Geschäftsmodell der SCHUFA eindeutig fällt, gerade als Unterfall der automatisierten Verarbeitung.[13] Denn die personenbezogenen Daten werden verwendet, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Im Falle des Kreditscorings sollen insbesondere die wirtschaftliche Lage als Aspekt analysiert oder vorhergesagt werden.
b) Der springende Punkt: Trifft die SCHUFA tatsächlich eine Entscheidung?
Art. 22 Abs. 1 DS-GVO untersagt weder das Profiling als solches noch automatisierte Entscheidungsfindungen.[14] Für die Verarbeitung der der Entscheidung zugrunde liegenden Daten bedarf es nach allgemeinen Grundsätzen eines eigenen Erlaubnistatbestandes.[15] Art. 22 Abs. 1 DS-GVO beschränkt vielmehr die Nutzung von auf automatisierten Verarbeitungen beruhenden Daten für Entscheidungen, die rechtliche Wirkungen entfalten oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigen.[16] Für das Eingreifen der Norm ist daher unabdingbar, dass eine solche Entscheidung mit den angesprochenen Auswirkungen tatsächlich getroffen wird. Das wurde in der mündlichen Verhandlung ausführlich erörtert. Nur der, der die Entscheidung trifft, ist Adressat des Verbots und nicht derjenige, der automatisierte Verarbeitungen vornimmt. Dieser muss „lediglich“ die Anforderungen der Art. 5 ff. DS-GVO beachten. Dass die geforderten erheblichen Beeinträchtigungen faktisch eintreten, ist hierbei weniger das Problem als das Ausfindigmachen der Entscheidung selbst.[17] Denn schon die DS-GVO stellt in EG 71 S. 1 ausdrücklich klar, dass die Ablehnung eines Online-Kreditantrages zumindest eine der rechtlichen Wirkung vergleichbare erhebliche Beeinträchtigung darstellt.[18] Die Ablehnung wiederum spricht aber das Kreditinstitut aus und nicht die SCHUFA, deren Tätigkeit sich in der Erstellung und Übermittlung des Scorewertes erschöpft. Bei einer ersten Betrachtung des Art. 22 Abs. 1 DS-GVO scheint die Trennung zwischen Verarbeitung und Entscheidung auch die Frage nach der Anwendbarkeit auf externe Scoringsachverhalte zu beantworten: Die Entscheidung – eine abgeschlossene und sich potenziell nachteilig auswirkende Handlung oder Unterlassung[19] – trifft das Kreditinstitut, welches damit Adressat des Art. 22 Abs 1 DS-GVO ist, und nicht die Auskunftei.[20] Allein die Wahrscheinlichkeitsberechnung eines bestimmten Ereignisses und damit auch die Scorewertberechnung unterwirft Betroffene nicht einer Entscheidung.[21] Denn welche Maßstäbe die Bank im Einzelfall an die Kreditvergabe stellt und ab welchem Scorewert Kreditanträge abgelehnt werden, obliegt ihrer freien Festlegung – die SCHUFA kennt die festgelegten Grenzen nicht, der Scorewert ist immer derselbe.
Die aus Sicht des Generalanwalts Pikamäe maßgeblichen Argumente zur Stützung der These, das Kreditinstitut treffe die Entscheidung, sind bei näherer Betrachtung – sit venia verbo – kaum tragfähig. Eine entscheidende Rolle schreibt er folgendem Umstand zu:
„Dagegen ist der Aspekt, der mir eine entscheidende Rolle zu spielen scheint, derjenige, der mit der Frage zusammenhängt, ob das Verfahren der Entscheidungsfindung so ausgestaltet ist, dass das von der Auskunftei durchgeführte Scoring die Entscheidung des Finanzinstituts über die Gewährung oder Ablehnung des Kredits vorbestimmt. Sollte das Scoring ohne irgendein Eingreifen einer Person erfolgen, durch das gegebenenfalls das Scoring-Ergebnis und die Richtigkeit der in Bezug auf den Kreditantragsteller zu treffenden Entscheidung überprüft werden könnten, erscheint es logisch, davon auszugehen, dass es sich bei dem Scoring selbst um die „Entscheidung“ im Sinne von Art. 22 Abs. 1 DS-GVO handelt.“[22]
aa) Der Generalanwalt missachtet die eindeutige Systematik der DS-GVO
An dieser Stelle scheint der Generalanwalt – wie schon das vorlegende VG Wiesbaden – die Kriterien des Art. 22 Abs. 1 DS-GVO zu vermischen.[23] Ob der Scorewert die Entscheidung des Kreditinstituts vorbestimmt, ist eine Frage des Zusammenhangs zwischen automatisierter Verarbeitung und der Entscheidung, die – so der Gesetzeswortlaut – ausschließlich auf der automatisierten Verarbeitung beruhen muss. Ist diese Ausschließlichkeit zu bejahen, wird die Entscheidung der Bank aber noch nicht zur Entscheidung der Auskunftei. Diese begriffliche Trennung zwischen Entscheidung und Verarbeitung ist nicht nur in Art. 22 Abs. 1 DS-GVO unmittelbar angelegt. Sie wird auch in Art. 21 Abs. 1 S. 1, Art. 4 Nr. 4, EG 71 und EG 72 DS-GVO nachvollzogen.[24] Dies führt in Konstellationen des externen Scorings und darüber hinaus dann, wenn Entscheider und Verarbeiter auseinanderfallen, zwar zu dem Ergebnis, dass Art. 22 Abs. 1 DS-GVO nur auf den Entscheider anwendbar ist. Der Gesetzgeber hat aber im Gesetzgebungsverfahren von einer Limitierung des Profilings abgesehen und stattdessen automatisierte Entscheidungen zum Regelungsgegenstand des Art. 22 DS-GVO gemacht.[25]
Als Entscheidung benennt EG 71 S. 1 DS-GVO ausdrücklich die Ablehnung eines Kreditantrages, die daher in jedem Fall Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO ist. Es stellt sich die Frage, wie die Scorewertberechnung eine weitere, danebenstehende Entscheidung darstellen kann? Dies schließt systematisch schon die in Art. 22 Abs. 2 lit. a) DS-GVO vorgesehene Rechtfertigung bei Erforderlichkeit der Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen aus. Denn in dem Drei-Personen-Verhältnis beim externen Scoring liegt gar kein Vertrag zwischen der Auskunftei und dem Betroffenen vor. Der Darlehensvertrag wird ausschließlich zwischen Bank und Betroffenem geschlossen, und auf diesen zielt lit. a) auch ab, wie EG 71 S. 1 DS-GVO verdeutlicht.
bb) Generalanwalt übergeht anerkannte Zurechnungsgrundsätze
Über diese im Gesetz angelegte Trennung zwischen Entscheidung und automatisierter Verarbeitung einschließlich Profiling geht der Generalanwalt – wie es uns scheint – recht nonchalant hinweg. Seine einzelfallbezogene Betrachtung beginnt er mit der Feststellung, es spiele keine wesentliche Rolle, dass das Kreditinstitut Profiling und Scoring vertraglich auf eine Wirtschaftsauskunftei wie die SCHUFA überträgt.[26] Art. 22 Abs. 1 DS-GVO verlange nämlich keineswegs, dass diese Aufgaben von einer oder mehreren Stellen wahrgenommen werden.[27] Es sei in seinen Worten „übertriebener Formalismus“,[28] zwischen der Entscheidung, den Kredit zu gewähren oder abzulehnen, und dem Scoring zu trennen.
(1) Trennung in Verarbeitung und Entscheidung ist notwendig
Dass die genaue Trennung nun „übertriebener Formalismus“ sein soll, stößt aus mehreren Gründen auf:
Art. 22 Abs. 1 DS-GVO verbietet zwar rechtlich und wirtschaftlich nachteilhafte Entscheidungen, die ausschließlich auf automatisierte Verarbeitungen einschließlich Profiling basieren, sodass für die Anwendung der Norm unerheblich ist, wer die automatisierten Verarbeitungen vornimmt.[29] Für die Vornahme der Entscheidung gilt das gleichwohl nicht. Denn wenn Entscheidungen ausschließlich auf der Grundlage automatisierter Verarbeitungen vorgenommen werden, ist der Entscheider – und nur er – Adressat des Verbots. Für den persönlichen Anwendungsbereich ist die Trennung entscheidend.
Und auch an anderer Stelle legt die DS-GVO penibel Wert auf eine dezidierte Differenzierung. Geht es um die Verantwortlichkeit für die Verarbeitung personenbezogener Daten, betont auch der EuGH in ständiger Rechtsprechung, dass die Verantwortlichkeit in Bezug auf jeden Verarbeitungsvorgang einzeln zu beurteilen ist.[30] In einer Verarbeitungskette können somit unterschiedliche Verantwortlichkeiten bestehen. Unternehmen Personen vor- oder nachgelagert Vorgänge, muss ihre Verantwortlichkeit getrennt geprüft werden.[31]
Auch im Falle des Kreditscorings sind die Arbeitsschritte auseinanderzuhalten: Von der Scorewertberechnung über die Weiterleitung des Scores als personenbezogenes Datum bis hin zu dessen Nutzung für die Entscheidung bestehen verschiedene Verantwortlichkeiten. Möchte man die Entscheidung des Kreditinstituts der SCHUFA zurechnen, kommt der Rechtsanwender nicht umhin, die in der DS-GVO anerkannten Zurechnungsgrundsätze zumindest in entsprechender Anwendung zu verproben.[32] Dies war auch Gegenstand der Diskussionen in der mündlichen Verhandlung, fand jedoch leider keinen Eingang in den Schlussantrag des Generalanwalts.
(2) Anerkannte „Zurechnungs“-grundsätze werden missachtet
Da hinsichtlich der Entscheidung über die Kreditvergabe jedenfalls nicht die SCHUFA ausschließlich über Zwecke und Mittel entscheidet, kommt eine „Zurechnung“ in diese Richtung nach Art. 4 Nr. 8, 28 DS-GVO nicht in Betracht. Aber auch eine gemeinsame Verantwortlichkeit liegt nicht vor.[33] Wollte man dies aber unter den Begriff der gemeinsamen Verantwortlichkeit fassen, würde der Begriff jede Kontur verlieren. Die „definitorische Genauigkeit“,[34] die Generalanwalt Bobek in seinen Schlussanträgen in der Rs. Fashion ID einfordert, wäre dahin. Denn die Einheit von Zwecken und Mitteln in Bezug auf einen bestimmten Verarbeitungsvorgang kann hier auch bei großzügigster Ausdehnung des Begriffs nicht gefunden werden.[35] Für welche Zwecke der Kunde den Scorewert nutzt, ist für die SCHUFA unerheblich. Auf welche Art und Weise der Kunde seine Entscheidung trifft, ob ausschließlich basierend auf dem Scorewert oder zusätzlich aufgrund anderer Faktoren, wird durch die SCHUFA weder beeinflusst, noch ist dies für sie erkennbar.[36] Die Entscheidung in der Rs. Fashion ID ist also nicht übertragbar: Die Entscheidung über die Kreditvergabe durch den Kunden wird zwar durch die SCHUFA ermöglicht, aus Eigeninteresse nimmt sie darauf aber keinen Einfluss.[37] Für die SCHUFA spielt es keine Rolle, welche Entscheidung ihre Kunden treffen, sie wird letztlich nur zur Vorbereitung der Entscheidung tätig. Dies ist aber für jede Form der Kettenverarbeitung typisch, da hier die Übermittlung durch eine Partei Voraussetzung dafür ist, dass eine andere Partei die Daten weiterverwenden kann. Zu Recht formuliert das EDPB in seinen Guidelines 07/2020 in Rn. 62:
„In diesem Zusammenhang ist hervorzuheben, dass die bloße Existenz eines beiderseitigen Vorteils (z.B. kommerzieller Art), der sich aus einer Verarbeitungstätigkeit ergibt, nicht zu einer gemeinsamen Verantwortlichkeit führt.“[38]
Wer lediglich für erbrachte Dienstleistungen bezahlt wird, der handelt nicht als gemeinsam Verantwortlicher.[39] Daher kann auch die SCHUFA nicht für die Entscheidung über die Ablehnung oder Annahme des Kreditantrags verantwortlich gemacht werden. Denn für sie spielt die Entscheidung hierüber keine Rolle. Die SCHUFA stellt den Scorewert lediglich dazu bereit, um ihre vertraglichen Verpflichtungen gegenüber dem Kreditinstitut einzuhalten und die versprochene Gegenleistung zu erhalten. Dies genügt nicht für eine gemeinsame Zweck- und Mittelfestlegung.
Die anerkannten und im Gesetz eindeutig niedergelegten Grundsätze würden offenkundig missachtet und gebrochen, wollte man die Auskunftei für die Entscheidung des Kreditinstituts über den Kreditantrag verantwortlich machen. Eine Zurechnung im Sinne einer Verantwortlichkeit lässt die DS-GVO hier nicht zu.
cc) Vor allem aber: Der Generalanwalt lässt die Folgen seiner Betrachtung außer Acht
Möchte man dennoch die Unterscheidung zwischen automatisierter Verarbeitung einschließlich Profiling und der daran anknüpfenden Entscheidung aufheben und, wie es Generalanwalt Pikamäe vorschlägt, alleine darauf abstellen, in welchem Umfang das Scoring die Entscheidung vorbestimmt,[40] zöge dies losgelöst vom Einzelfall nach sich, dass jedes die Entscheidung beeinflussende Kriterium zur Entscheidung selbst werden kann. Stellt ein Jurist nur Personen mit einer Punktzahl von mind. 9,0 Punkten im staatlichen Teil der Examensprüfung als Mitarbeitende ein, ist die Benotung mit 9,0 Punkten Einstellungskriterium. Allein aus dem Umstand, dass die Benotung allentscheidend sein mag, wird die Benotung aber nicht zur Entscheidung „Ablehnung Einstellung“. Es ist nur eine Bewertung des Studenten oder der Studentin. Das Justizprüfungsamt, das die Benotung vornimmt, kann wohl kaum dafür verantwortlich gemacht werden, dass potenzielle Arbeitgeber Kandidaten ohne Prädikatsexamen die Einstellung verweigern. Es weiß bereits gar nicht, welche Anforderungen Arbeitgeber im Einzelnen zusätzlich oder anstelle für eine Einstellung vorsehen, selbst dann nicht, wenn das Kriterium alleinentscheidend ist.
Ähnlich ist die Sachlage bei der SCHUFA. Zwar ist ihr durchaus bewusst, dass bestimmte Scorewerte ein K.O.-Kriterium für die Kreditvergabe bilden können, ab welchem Score ein Kreditinstitut einen Kredit verweigert, obliegt aber der freien Entscheidung der Bank. Bestimmte konservative Kreditinstitute stellen höhere Anforderungen als andere. Während einigen ein Scorewert von 90,0 ausreicht, können andere einen Scorewert von 95,0 verlangen. Der von der SCHUFA ermittelte (branchenbezogene) Scorewert ist aber immer derselbe, die daran geknüpften Folgen können hingegen unterschiedlicher Natur sein.
dd) Die scheinbare Rechtsschutzlücke ist auszuhalten
Anders als das VG Wiesbaden und im Anschluss daran auch Generalanwalt Pikamäe vermuten, mündet die angelegte Trennung von Entscheider und Verarbeiter nicht in einer unbilligen Rechtsschutzlücke.[41] Diese soll gerade in datenschutzrechtlichen Auskunftssachverhalten aus folgendem Umstand erwachsen:
„Die Auskunftei, von der die für die betroffene Person erforderlichen Informationen zu erlangen wären, ist nach Art. 15 Abs. 1 lit. h) DS-GVO nicht auskunftsverpflichtet, weil sie vorgeblich keine eigene „automatisierte Entscheidungsfindung“ im Sinne von Art. 15 Abs. 1 lit. h) DS-GVO betreibt, und das Finanzinstitut, das seiner Entscheidungsfindung den automatisiert erstellten Score-Wert zugrunde legt und nach Art. 15 Abs. 1 lit. h) DS-GVO auskunftsverpflichtet ist, kann die erforderlichen Informationen nicht bereitstellen, weil es über sie nicht verfügt.“[42]
Diese Schlussfolgerung ist richtig, wird in der Form aber vom Gesetzgeber gebilligt. Wie bereits oben erläutert, nahm dieser im Gesetzgebungsverfahren von einer Regelung des Profilings Abstand und limitierte stattdessen Entscheidungen, die an Profiling anknüpfen, nicht aber das Profiling selbst.[43] Folgerichtig geht auch, wie Horstmann/Dalmer betonen,[44] die Art.-29-Datenschutzgruppe von einer Differenzierung explizit zwischen Bonitätsprüfung und Entscheidung aus.[45]
Im Übrigen wird der Zweck des Auskunftsrechts auch in diesen Fällen vollständig erreicht: Auskunft, die durch Kopie sämtlicher verarbeiteten personenbezogener Daten erteilt wird,[46] kann sowohl von der SCHUFA als auch vom Kreditinstitut begehrt werden. Dass das Kreditinstitut über die zusätzlichen Informationen zur Scorewertberechnung nicht verfügt ist logisch, da die SCHUFA insoweit berechtigte Geheimhaltungsinteressen besitzt,[47] die sie im Übrigen via Art. 15 Abs. 4 DS-GVO auch dem Kreditnehmer gegenüber entgegenhalten kann. Die Einschaltung eines Dritten darf nicht – gewissermaßen durch die Hintertür – weitere Auskunftspflichten als im Zwei-Personen-Verhältnis begründen. Dass Art. 15 Abs. 1 lit. h) DS-GVO bei einem Auskunftsverlangen gegenüber der SCHUFA nicht eingreift, ist logische Konsequenz der gesetzgeberisch bewusst vorgenommenen Trennung zwischen automatisierter Verarbeitung und Entscheidung. Anders als der Generalanwalt behauptet, kann der Betroffene auch sinnvollerweise weitere Betroffenenrechte wie Berichtigung (Art. 16 DS-GVO) oder Löschung (Art. 17 DS-GVO) gegen die Auskunftei verfolgen. Zwar greift Art. 15 Abs. 1 lit. h) DS-GVO für die SCHUFA nicht ein, die verarbeiteten personenbezogenen Daten müsste sie gleichwohl nach Art. 15 Abs. 1 Hs. 2 Var. 1, Abs. 3 S. 1 DS-GVO beauskunften, sodass die betroffene Person weiterhin die Rechtmäßigkeit der verarbeiteten personenbezogenen Daten beurteilen und hieran anknüpfend weitere Betroffenenrechte geltend machen kann. Art. 22 Abs. 1 DS-GVO begrenzt nur die Möglichkeit, Entscheidungen zu treffen, nicht automatisierte Verarbeitungen.[48] Das Gebot der praktischen Wirksamkeit, in ständiger Rechtsprechung ein wichtiges Auslegungskriterium des EuGH,[49] wird so gewahrt und der Wortlaut des Art. 22 Abs. 1 DS-GVO zugleich nicht überdehnt.
ee) Ein kurzer Blick zurück: Die SCHUFA trifft keine Entscheidung
All das Vorstehende mündet in der Erkenntnis: Die SCHUFA selbst trifft keine Entscheidung im Sinne des Art. 22 DS-GVO, gleich in welchem Maße das Scoring die spätere Entscheidung über die Kreditvergabe determiniert. Es handelt sich um eine Vorbereitungshandlung, welche anerkanntermaßen nicht unter das Verbot des Art. 22 Abs. 1 DS-GVO fällt.[50] Die spätere Entscheidung über die Kreditvergabe muss die Wirtschaftsauskunftei sich dagegen nicht als eigene zurechnen lassen, fehlt doch eine gemeinsame Entscheidung über die Zweckeund Mittelfestlegung. So unbillig das aus der Sicht Mancher erscheinen mag,[51] bedarf es einer gesetzgeberischen Regelung, um hier regulierend tätig werden zu können. Die DS-GVO gibt Einschränkungen nicht her, Art. 22 Abs. 1 DS-GVO ist auf das Kreditinstitut, mangels Entscheidung nicht aber auf die Wirtschaftsauskunftei bei externem Kreditscoring anwendbar. Alles andere überstrapaziert mehrere eindeutige Wertungen der DS-GVO:
- Adressat des Art. 22 DS-GVO ist ausschließlich der Entscheider.
- Alle datenschutzrechtlich relevanten Handlungen sind datenschutzrechtlich getrennt voneinander zu prüfen.
- Eine datenschutzrechtliche „Zurechnung“ darf nur unter den in Art. 4 Nr. 7, 8, Artt. 26, 28, 29 DS-GVO aufgestellten Maßstäben erfolgen. Deren Voraussetzungen liegen für eine Zurechnung der Entscheidung des Kreditinstituts zur Auskunftei nicht vor.
c) Ausschließlichkeitszusammenhang zwischen Entscheidung und automatisierter Verarbeitung
Bei der weiteren Interpretation des Entscheidungskriteriums lässt es der Generalanwalt aber nicht bewenden. Als dritte Voraussetzung verlangt Art. 22 Abs. 1 DS-GVO, dass der Entscheider seine Entscheidung „ausschließlich“ auf die automatisierte Verarbeitung einschließlich Profiling stützt. Der Wortlaut ist insofern eindeutig, „ausschließlich“ bedeutet „nur“.[52] Auch andere Sprachfassungen formulieren identisch, die englische etwa spricht von „solely“, die französische von „exclusivement“, die italienische von „unicamente“, die spanische von „únicamente“ und selbst die estnische, die Sprachfassung des Generalanwalts, von „üksnes“ – übersetzt „nur“.[53] Der Generalanwalt unternimmt es dagegen, in den Randnummern 44 bis 46 gleich von drei verschiedenen Maßstäben zu sprechen. Während er zunächst den Gesetzeswortlaut „ausschließlich“ wiedergibt, wird dieses sodann zu „maßgeblich“ und in Fußnote 19 sogar zu „unwesentlichen Einfluss“. Zwischen diesen Begriffen liegen rechtlich Welten. Grundsätzlich bedeutet „ausschließlich“ mit Blick auf EG 71 S. 1 DS-GVO „ohne jegliches menschliches Eingreifen“.[54] Jede Abschwächung des Maßstabs, die menschliche Mitwirkung abgestuft für unschädlich hält, kehrt sich sowohl sprachlich als auch systematisch von Art. 22 Abs. 1 DS-GVO ab. Zuzugeben ist: Um einer Umgehung zuvorzukommen, darf es zur Verneinung der Anwendbarkeit sicherlich nicht genügen, dass ein Mensch wie eine Attrappe dazwischengeschaltet wird – die Mitwirkung also rein formaler Natur ohne inhaltliche Einflussmöglichkeit ist.[55] Derartige Einwände des Generalanwalts sind insoweit berechtigt und auch in der Literatur anerkannt.[56] Denn teleologisch zielt die Norm darauf ab, betroffene Personen vor sie belastenden Entscheidungen zu schützen, die eine Maschine trifft.[57] Deshalb gewährt Art. 22 Abs. 3 DS-GVO das Recht von derartigen Entscheidungen Betroffener, das Eingreifen einer natürlichen Person zu erwirken. Die Automation soll so durchbrochen werden. Der überprüfende Mensch soll einen inhaltlichen Entscheidungsspielraum haben.[58]
Derartige Entscheidungsspielräume bestehen aber bereits dann, wenn vor jeder einzelnen Entscheidung natürliche Personen diese noch einmal überprüfen und in eine eigene Entscheidung übersetzen.[59] So auch die Entscheidung über die Kreditvergabe. Die Bonitätsprüfung einer Wirtschaftsauskunftei wird neben anderen Faktoren in eine Gesamtentscheidung mit einem gewissen Gewicht einbezogen. Andere Faktoren können eine zunächst positive Entscheidung selbst dann noch kippen, wenn die Bonitätsprüfung aus Sicht der Bank hinreichend positiv ausfällt. Und selbst wenn bereits die Bonitätsprüfung negativ ausfällt, geschieht dies je nach Einzelfall nicht ausschließlich aufgrund des ermittelten Scorewertes, sondern einer typologischen Betrachtung. Hier abstrakte und generelle Ergebnisse zu finden, ist schwierig, denn es hängt eben davon ab, wie die Bank mit dem Scorewert verfährt. Im Übrigen nehmen natürliche Personen schon dadurch inhaltlichen Einfluss auf die Entscheidung über die Kreditvergabe, indem sie festlegen, ab welchem Wert ein Bonitätsscore genügt und welche Grenze keinesfalls unterschritten werden darf. Nicht der Scorewert determiniert die endgültige Entscheidung, sondern dessen Bewertung durch die Bank.[60] Insoweit verzerren sowohl das vorlegende Gericht als auch der Generalanwalt den Blick auf die faktische Sachlage.[61]
II. Verfahren Rs. C-26/22 und C-64/22: Wie lange kann die Kreditauskunftei das Kriterium der Restschuldbefreiung seinem Scoring zugrunde legen?
Ebenfalls weitreichende Auswirkungen könnte die von GA Pikamäe in den verbundenen Rechtssachen C-26/22 sowie C-64/22 vorgeschlagene Rechtsauffassung nach sich ziehen, sofern sich der EuGH diese zu eigen macht. Das VG Wiesbaden[62] als abermals vorlegendes Gericht möchte in diesem Verfahren nun insbesondere wissen, ob die Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien zulässig ist.[63] Anlass des Vorabentscheidungsersuchens bildete das Vorgehen der SCHUFA, personenbezogene Daten über Zahlungsstörungen, darunter auch die Entscheidung über die Restschuldbefreiung, regelmäßig für drei Jahre zu speichern und diese Informationen Kunden auf Anfrage zur Verfügung zu stellen.[64] Die Speicherdauer übersteigt dabei die Speicherdauer für Informationen über Insolvenzverfahren von sechs Monaten nach Abschluss des Verfahrens, § 9 InsO i.V.m. § 3 InsBekV. Letztlich muss ein Schuldner so mit Nachteilen im Wirtschaftsleben auch nach Löschung der Entscheidung über die Restschuldbefreiung rechnen.
Ob eine Verarbeitung personenbezogener Daten durch Speicherung der Angaben aus öffentlichen Registern in der Form zulässig ist, hängt davon ab, ob die DS-GVO als Prüfungsmaßstab eingehalten wird. Maßgeblich ist nach Art. 6 Abs. 1 lit. f) DS-GVO, ob die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und diese nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen überwiegen.[65] Die zahlreichen Argumente hat Verfasser Thüsing bereits an anderer Stelle vorgetragen, sie sollen daher an dieser Stelle nicht neu aufgerollt werden.[66] Stattdessen nimmt sich dieser Beitrag die Ausführungen des Generalanwalts zum Anschauungsobjekt und soll an den Stellen den Finger in die Wunde legen, an denen es aus Sicht der Verfasser eines genaueren Blickes bedarf, als ihn der Generalanwalt auf die Dinge geworfen hat:
1. Der Blick auf § 3 InsBekV
Das VG Wiesbaden war nicht das erste Gericht, welches sich auf nationaler Ebene mit dieser Frage beschäftigen durfte. Zahlreiche Gerichte haben bereits festgestellt, dass eine Speicherung auch über die in § 9 InsO i.V.m. § 3 InsBekV genannte Frist von sechs Monaten hinaus möglich sei.[67] Andere Gerichte sehen dies anders und lehnen eine über die sechs Monate hinausgehende Speicherung in der privaten Datenbank einer Auskunftei grundsätzlich ab.[68] Der Generalanwalt schlägt sich nun auf die Seite letzterer, was gleich aus mehreren Gründen nicht überzeugend und daher durchaus überraschend ist.
Denn der Generalanwalt missinterpretiert den nationalen Gesetzgeber, wenn er wie folgt formuliert:
„Unter diesem Blickwinkel frage ich mich ernsthaft, wie die Speicherung personenbezogener Daten für eine Dauer von drei Jahren gerechtfertigt sein könnte, während der nationale Gesetzgeber der Ansicht ist, dass eine Speicherfrist von sechs Monaten, d. h. eine deutlich kürzere Dauer, weitgehend ausreicht, um den geschäftlichen Interessen der Wirtschaftsteilnehmer Rechnung zu tragen.“[69]
Denn der Gesetzgeber hat mit § 3 InsBekV alleine eine Aussage bezüglich der Speicherdauer in öffentlich zugänglichen Registern getroffen, nicht aber bezüglich der Speicherdauer in privaten Registern. Hieraus a maiore ad minus zu schließen, Private dürften die Daten erst recht nicht mehr speichern, geht fehl. Es geht hier um ganz andere Interessen. Die vergleichbare Regelung in § 51 BZRG enthält explizit ein Vorhalte- und Verwertungsverbot für Private, nachdem eine Löschung der personenbezogenen Daten aus dem Bundeszentralregister erfolgt ist. Der Gesetzgeber kannte also die Option, auch die Nutzung durch Private zu begrenzen, tat dies in § 3 InsBekV gleichwohl nicht.[70] Die Löschung durch die zuständigen Behörden nach sechs Monaten knüpft stattdessen entscheidend an den Umstand der Veröffentlichung für jedermann an. Der öffentliche Zugang über www.insolvenzbekanntmachungen.de soll auf sechs Monate limitiert werden, einen solchen Zugang gewährt die SCHUFA aber nicht, die Auskünfte nur bei berechtigtem Interesse erteilt.[71] Dass eine Veröffentlichung von Daten eine ganz andere und gewichtigere Eingriffsintensität nach sich zieht als eine Weitergabe nur bei berechtigten Interessen, hat auch der EuGH anerkannt.[72] Die Berücksichtigung der nationalen Vorschrift § 3 InsBekV in der nach Art. 6 Abs. 1 lit. f) DS-GVO durchzuführenden Gesamtabwägung heranzuziehen, ist aufgrund der unterschiedlichen Regelungsgegenstände daher sachfremd, zumal nationales Recht ohnehin nicht zur Auslegung des Europarechts herangezogen werden darf. Vor diesem Hintergrund ist die Gesamtabwägung neu zu akzentuieren.
Und selbst dem Gedankengang des Generalanwalts folgend ist fraglich, weshalb § 3 InsBekV überhaupt eine Rolle spielen soll. Denn GA Pikamäe geht davon aus, die Speicherung öffentlich zugänglicher Registerdaten stelle eine datenschutzrechtliche Zweckänderung dar.[73] Wenn die Verarbeitung durch Auskunfteien aber nicht mehr mit dem ursprünglichen Zweck der dreimonatigen Veröffentlichung vereinbar sein soll, wieso kommt es für die Abwägung dann überhaupt darauf an, welche Funktion § 3 InsBekV erfüllen soll? Die scheinbare gesetzgeberische Abwägung ist dann jedenfalls nicht übertragbar, denn es handelt sich nach Auffassung des GA ja gerade nicht um verschiedene Zwecke. Insofern sind seine Ausführungen in sich nicht ganz in eine Reihe zu bringen.
2. Stärkere rechtliche Anbindung der Drittinteressen
Formal prüft GA Pikamäe die Voraussetzungen des Art. 6 Abs. 1 lit. f) DS-GVO mustergültig durch. Er beginnt mit der Untersuchung der Frage, ob ein berechtigtes Interesse die Datenverarbeitung rechtfertigt,[74] bevor er sich der Erforderlichkeit der Verarbeitung für die Zwecke zuwendet und im Anschluss daran eine Abwägung der verschiedenen betroffenen Interessen vornimmt.[75] Dabei betont er mit gebotener Zurückhaltung, dass die Einzelfallprüfung Sache des vorlegenden Gerichts ist.[76] Inhaltlich sind die Ausführungen des Generalanwalts jedoch an entscheidenden Stellen erstaunlich dünn: Gemäß Art. 6 Abs. 1 lit. f) DS-GVO können Datenverarbeitungen gerechtfertigt sein, sofern die Verarbeitung den berechtigten Interessen des Verantwortlichen oder eines Dritten dienen. Die Interessenverfolgung ist dabei anerkanntermaßen nicht nur alternativ, sondern auch kumulativ möglich; das Gewicht der Interessen des Verantwortlichen als auch der Dritten an einer Verarbeitung durch den Verantwortlichen sind gemeinsam zu berücksichtigen und mit diesem kumulativen Gewicht in die Abwägung einzustellen.[77] Zunächst im Rahmen der Prüfung des Bestehens eines berechtigten Interesses zieht der Generalanwalt zwar sowohl die Interessen der SCHUFA als auch die der Kunden der SCHUFA heran. Die Drittinteressen werden jedoch auf das Interesse, die Dienstleistungen der SCHUFA in Anspruch zu nehmen, um die Zahlungsfähigkeit potenzieller Geschäftspartner zu beurteilen, beschränkt.[78] Dagegen bildet die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften eine tragende Säule des Kreditwesens und der Funktionsfähigkeit der Wirtschaft, so auch der nationale Gesetzgeber.[79] Die Auskünfte von Kreditauskunfteien tragen dazu bei, die Ausfallquote bei kreditrelevanten Geschäften zu verringern – im Übrigen ist die Ausfallquote bei restschuldbefreiten Verbrauchen in den ersten drei Jahren ca. drei bis sechsmal größer als beim Rest der Bevölkerung.[80] Die niedrigere Ausfallquote zieht eine Senkung der Risikoaufschläge nach sich, sodass die Kredite allgemein günstiger angeboten werden können. Die Drittinteressen sind daher deutlich vielfältiger, als es der Generalanwalt annimmt und im Übrigen auch unionsrechtlich ausdrücklich verankert:
Das Europarecht erkennt ein öffentliches Interesse an der Förderung der Funktionsfähigkeit des Binnenmarkts an, insbesondere für Verbraucherkredite, für welche die Überprüfung der Kreditwürdigkeit volks- und betriebswirtschaftlich unerlässlich ist.[81] EG 28 S. 1 Richtlinie 2008/48/ EG (Verbraucherkreditrichtlinie) stellt klar, dass zur Bewertung der Kreditsituation des Verbrauchers einschlägige Datenbanken konsultiert werden sollen. EG 28 S. 2 Richtlinie 2008/48/EG betont die Bedeutung für den Wettbewerb im Binnenmarkt. Die Existenz von Kreditauskunfteien ist wichtig für die Verwirklichung des Binnenmarkts, denn sie erleichtert es Unternehmen bei grenzüberschreitenden Geschäften, die Kreditwürdigkeit potenzieller Vertragspartner in anderen Ländern einzuschätzen. Art. 8 Abs. 1 Richtlinie 2008/48/EG verpflichtet Kreditgeber vor dem Abschluss eines Kreditvertrags dazu, die Kreditwürdigkeit des Verbrauchers zu bewerten. Dabei handelt es sich nach der Rechtsprechung des Gerichtshofs auch um eine verbraucherschützende Verpflichtung.[82] Die Verpflichtung kann durch Abfragen bei Kreditauskunfteien erfüllt werden.[83] Sie hilft bei der verantwortungsvollen Vergabe von Krediten und beugt der Überschuldung von Kreditinteressenten vor.[84] Auch die Verordnung (EU) 575/2013 knüpft in EG 42 an die Einholung externer Bonitätsauskünfte durch Kreditinstitute an. In Art. 180 Abs. 2 lit. e) Verordnung (EU) 575/2013 wird die Einholung externer Bonitätsauskünfte erwähnt. Im Bereich der Vergabe von Wohnimmobilienkrediten fordert Art. 18 Abs. 1 S. 1 Richtlinie (EU) 2014/17 eine Kreditwürdigkeitsprüfung. EG 59 erkennt die Abfrage einer Kreditdatenbank als „nützliches Element bei der Kreditwürdigkeitsprüfung“ an. Die Verarbeitung von personenbezogenen Daten durch Kreditauskunfteien dient aus diesen Gründen der Wahrnehmung gewichtiger berechtigter Interessen der Kreditauskunfteien, ihrer Vertragspartner und der Allgemeinheit. All diese Interessen wären im Rahmen der Abwägung zu berücksichtigen. Der Generalanwalt bewertet die berechtigten Interessen dagegen auf sechs Zeilen, ohne zu berücksichtigen, dass das Unionsrecht ein Kreditscoring kennt und billigt.[85] Auf die Beachtung dieser Umstände hätte zumindest in Rn. 78 hingewiesen werden können, wenn der Generalanwalt die konkrete Abwägung dem nationalen Gericht überlässt.[86]
3. Die Maßstäbe der Zweckänderung sind nicht heranzuziehen
Für die Verwendung in öffentlichen Registern zugänglicher Daten durch einen Privaten wie eine Wirtschaftsauskunftei wendet der Generalanwalt die Grundsätze der Zweckänderung an und hält diese vorliegend nicht für gewahrt.[87] Nicht erörtert wird, ob die Voraussetzungen für eine Zweckänderung überhaupt Anwendung finden, was sehr wohl Gegenstand der mündlichen Verhandlung war:
Zwar ist auch die Weitergabe verarbeiteter Daten an Dritte eine Verarbeitung durch den ursprünglich Verantwortlichen i.S.d. Art. 4 Nr. 2 DS-GVO, der dabei nach Art. 5 lit. b) DS-GVO an die ursprünglichen Zwecke der Verarbeitung gebunden ist. Die Entgegennahme durch den dritten Verantwortlichen ist aus seiner Sicht aber eine Erhebung,[88] für die dieser seine Zwecke erstmalig festlegt. Hierfür bedarf es „lediglich“ der Einhaltung der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO, nicht aber des Art. 6 Abs. 4 DS-GVO.[89] Art. 5 Abs. 1 lit. b) DS-GVO verbietet nicht, dass verschiedene Verantwortliche verschiedene Zwecke mit demselben personenbezogenen Datum verfolgen.[90] Der Wortlaut von Art. 5 Abs. 2 DS-GVO zeigt eindeutig, dass die Grundsätze der Verarbeitung jeweils auf den einen konkreten Verantwortlichen bezogen sind. Die Anwendung des Zweckbindungsgrundsatzes über mehrere Verantwortliche hinweg hat der Gerichtshof bislang zu Recht nicht erwogen und sie wäre bei einer Veröffentlichung praktisch nicht möglich, wie Generalanwalt Szpunar zutreffend unter Verweis auf das dort vorlegende Gericht festgestellt hat.[91] Die „Weiterverwendung“[92] durch die SCHUFA kann schon keine Zweckänderung darstellen, da diese die ursprünglichen Zwecke gar nicht gesetzt hat. Die Zweckbindung gilt ab der Erhebung für die Verarbeitung durch einen Verantwortlichen. Dies hat der Gerichtshof bereits unter der Richtlinie indirekt bestätigt, denn anderenfalls hätte er die Zweckbindung beispielsweise in Bezug auch die Verarbeitung von Daten durch Suchmaschinen geprüft.[93] Suchmaschinen erheben aus kommerziellen Interessen veröffentlichte Daten. Dabei können die Suchmaschinenbetreiber die Zwecke, zu denen die Daten veröffentlichen wurden, in der Regel nicht einmal erkennen. Eine Bewertung des ursprünglichen Zwecks der Veröffentlichung kann nicht erfolgen. Eine Bindung daran wäre praktisch nicht umsetzbar. Wollte man für Kreditauskunfteien eine Zweckbindung an den Zweck der Veröffentlichung annehmen, dann müsste eine solche Anforderung auch an Suchmaschinenbetreiber gestellt werden.
Eine Zweckbindung über mehrere Verantwortliche hinweg wäre auch in anderen Konstellationen nicht durchführbar. Wenn beispielsweise die Europäische Kommission bei der Untersuchung eines Missbrauchsfalls im Wettbewerbsrecht oder im Agrarsektor personenbezogene Daten aus öffentlich zugänglichen Quellen erhebt, dann wird die Verarbeitung nicht deshalb rechtswidrig, weil die Daten zu einem anderen Zweck öffentlich zugänglich gemacht wurden. Auch der Gerichtshof verarbeitet im Rahmen seiner Tätigkeit personenbezogene Daten von Dritten, die ihm von den Beteiligten zur Verfügung gestellt wurden. Er ist dabei nicht an die Zwecke gebunden, zu denen die Daten ursprünglich erhoben wurden. Darüber hinaus kann der Gerichtshof selbst Informationen aus öffentlichen Quellen erheben und dürfte insofern nicht an die Zweckbindung der Veröffentlichung gebunden sein. Beispielsweise umfasst die Kontrolle der Zuständigkeit im Rahmen der Verordnung (EG) Nr. 44/2001 „sämtliche Gesichtspunkte, die dem Gericht bekannt sind“.[94] Dazu können auch personenbezogene Daten gehören, und es ist nicht entscheidend, zu welchen Zwecken sie veröffentlicht wurden. Die Zweckbindungskonzeption der DS-GVO führt zu keiner Schutzlücke, denn eine beliebige Verarbeitung von veröffentlichten Daten durch Dritte wird dadurch nicht erlaubt. Kreditauskunfteien dürfen veröffentlichte Daten nur weiterverarbeiten, wenn hierfür eine Rechtsgrundlage vorliegt. Dabei handelt es sich um die Interessenabwägungsklausel nach Art. 6 Abs. 1 lit. f) DS-GVO.[95]
III. Der Versuch einer abschließenden Summa
Wie sich der Gerichtshof zu den hier aufgegriffenen Bestandteilen seiner Schlussanträge positionieren wird, bleibt spannend, denn das Datenschutzrecht könnte hier erheblich weiterentwickelt werden:
1. Rs. C-634/22
„In Anbetracht der vorstehenden Erwägungen bin ich der Ansicht, dass Art. 22 Abs. 1 DS-GVO dahin auszulegen ist, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstellt, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.“[96]
Adressat des in Art. 22 Abs. 1 DS-GVO verankerten Verbots ist ausschließlich der Entscheider. Diese Trennung sollte nicht aufgehoben werden, zumal die DS-GVO den Unterschied zwischen der das Profiling durchführenden Stelle und dem Entscheider kennt und billigt. Die im Übrigen streng vorgesehene Trennung der Verarbeitungsphasen sollte auch im Rahmen des Art. 22 Abs. 1 DS-GVO nicht aufgehoben werden. Eine Zurechnung der späteren Entscheidung zur zeitlich vorab tätigen Stelle sollte nur unter Beachtung der anerkannten Zurechnungsgrundsätze erfolgen. Diese werden bei externem Kreditscoring durch die SCHUFA nicht erfüllt.
„Maßgeblich“ ist etwas anderes als „ausschließlich“, der EuGH sollte die Maßstäbe in seiner Entscheidung stärker präzisieren und sich dabei nicht vom Gesetzeswortlaut entfernen. Dass die bloß vorgeschobene formale Zwischenschaltung einer Person nicht genügen kann, das Verbot des Art. 22 Abs. 1 DS-GVO zu umgehen, ist dagegen folgerichtig.
2. Rs. C-26/22 und C-64/22
„Nach alledem bin ich der Ansicht, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f) DS-GVO rechtmäßig sein kann, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden sind. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar sind, ist es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f) DS-GVO rechtmäßig ist. […] Die vorstehende Analyse führt mich zu dem Ergebnis, dass die Praxis der Wirtschaftsauskunfteien, personenbezogene Daten aus öffentlichen Registern für die Dauer von drei Jahren zu speichern, mit den in der DS-GVO verankerten Grundsätzen für die Verarbeitung personenbezogener Daten nicht in Einklang steht. Dies vorausgeschickt, ist klarzustellen, dass sich diese Schlussfolgerung auf eine Tatsachenwürdigung stützt, die letztlich Sache des vorlegenden Gerichts ist, das den Rechtsstreit zu entscheiden hat.“[97]
Die in Art. 6 Abs. 1 lit. f) DS-GVO vorgesehene Interessenabwägung erfordert eine dezidierte Berücksichtigung und Beachtung der berechtigten Interessen des Verantwortlichen und Dritter. Sie sollten näher betrachtet, ihr Gewicht beurteilt und mit diesem Gewicht in die Abwägung eingestellt werden. § 3 InsBekV sollte dabei keine Berücksichtigung finden, die Vorschrift regelt ausschließlich die Löschung in frei zugänglichen Registern und lässt die Nutzung der Daten durch Private vollkommen unberührt.
Die Erhebung aus öffentlich zugänglichen Registern stellt keine Zweckänderung dar. Die Maßstäbe des Art. 6 Abs. 4 DS-GVO sind auf diese Fälle nicht anwendbar. Die Verwendung durch die SCHUFA kann schon keine Zweckänderung darstellen, da diese die ursprünglichen Zwecke gar nicht gesetzt hat.
* Die Anregung für einen solchen Erfahrungsbericht verdanken wir Herrn Rechtsanwalt Tim Wybitul, der Ähnliches – sehr lesenswert – im jüngsten Heft des Datenschutz-Beraters 2023, 77 im Hinblick auf ein anderes datenschutzrechtliches Verfahren veröffentlicht hat.
Prof. Dr. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit der Universität Bonn und Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.
Dr. Yannick Peisker ist Wissenschaftlicher Mitarbeiter an diesem Institut und promovierte zu dem Thema „Der datenschutzrechtliche Auskunftsanspruch“.
Philip Musiol ist Wissenschaftlicher Mitarbeiter an diesem Institut und promoviert zu einem datenschutzrechtlichen Thema.
[1] VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719
[2] Zur Funktionsweise, insbesondere der SCHUFA, ausführlich Rühlicke, in: Recht als Infrastruktur für Innovation, S. 9 ff.
[3] VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 16.
[4] Rs. C-634/21, Vorlagefrage 2.
[5] Siehe VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719.
[6] Vgl. Horstmann/Dalmer, ZD 2022, 260, 261.
[7] Einen ersten Überblick darüber, welche Daten wichtig für die Score-Berechnung sind, liefert die SCHUFA selbst unter https://www.schufa.de/scoringdaten/scoring-schufa/ (letzter Abruf: 27.03.2023).
[8] VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 25
[9] VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 25
[10] Übersichtliche Darstellung m.w.N. bei Blasek, ZD 2022, 433, 436. Die Commerzbank etwa macht deutlich, dass der Score immer nun ein zusätzliches Datum ist, das berücksichtigt wird, s. https://www.commerzbank.de/kreditfinanzierung/wissen/bonitaet-so-wird-ihre-kreditwuerdigkeit-ermittelt/. (letzter Abruf: 27.03.2023). Das dürfte repräsentativ sein
[11] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 33, 34, 35.
[12] So auch GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 33
[13] Etwa Kühling/Buchner/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 22.
[14] Anders noch der Entwurf der Kommission, der in Art. 20 DS-GVO-E (KOM) ein umfassendes Profilingverbot vorsah
[15] BeckOK DatenschutzR/v. Lewinski, 42. Ed. Stand 01.11.2022, Art. 22 DS-GVO Rn. 4.
[16] Kühling/Buchner/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 23; Sydow/ Marsch/Helfrich, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 42; so schon Kugelmann, DuD 2016, 566, 569.
[17] Die Ablehnung eines Vertragsschlusses fällt jedenfalls unter die zweite Alternative, Kühling/Buchner/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 24.
[18] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 35; so auch VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 20.
[19] Zum nicht legaldefinierten Begriff der Entscheidung BeckOK DatenschutzR/v. Lewinski, 42. Ed. Stand 01.11.2022, Art. 22 DS-GVO Rn. 14; vgl. auch GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 35
[20] So zu Recht auch Kühling/Buchner/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 22; Gola/Heckmann/Schulz, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 13; Taeger/Gabel/Taeger, 4. Aufl. 2022, Art. 22 DS-GVO Rn. 35 ff.; Blasek, ZD 2022, 433, 436; Buck-Heeb, BKR 2023, 137, 140; Horstmann/Dalmer, ZD 2022, 260, 263; zu § 6a BDSG a.F. schon OLG Frankfurt a.M., Urt. v. 14.12.2015 – 1 U 128/15, ZD 2016, 137. A.A. Härting, Datenschutz-Grundverordnung, Rn. 610, 617.
[21] Taeger/Gabel/Taeger, 4. Aufl. 2022, Art. 22 DS-GVO Rn. 37.
[22] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 42
[23] So schon VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 25
[24] So schon Horstmann/Dalmer, ZD 2022, 260, 263.
[25] Paal/Pauly/Martini, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 9; so auch Horstmann/ Dalmer, ZD 2022, 260, 263. Art. 20 DS-GVO-E (KOM) normierte ein umfassendes Profilingverbot
[26] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 41.
[27] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 41
[28] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 43
[29] Dies ist logische Konsequenz der Zielrichtung der Vorschrift, vgl. Kühling/ Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 23; Sydow/Marsch/Helfrich, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 42.
[30] Etwa EuGH, Urt. v. 29.07.2019 – C-40/17 – Fashion ID, BeckRS 2019, 15831 Rn. 74.
[31] EuGH, Urt. v. 29.07.2019 – C-40/17 – Fashion ID, BeckRS 2019, 15831 Rn. 74.
[32] So auch Horstmann/Dalmer, ZD 2022, 260, 263 f.
[33] Diese Frage hat das VG Wiesbaden dem EuGH vorgelegt und ist wohl a.A., Beschl. v. 31.01.2022 – 6 K 2249/18.WI, BeckRS 2022, 1204, Az. beim EuGH C-63/22.
[34] GA Bobek, Schlussantr. v. 19.12.2018 – C-40/17, BeckRS 2018, 32835 Rn. 72
[35] A.A. Horstmann/Dalmer, ZD 2022, 260, 263 f
[36] Die Rechtslage kann anders sein, wenn der Score die Entscheidung vollständig vorwegnimmt, so ist die Sachlage hier aber nicht, vgl. Freund/Schmidt/Heep/ Roschek/Strassmeyer/Quiel, Praxiskommentar DS-GVO, Art. 22 DS-GVO Rn. 36.
[37] Der EuGH hat entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher angesehen werden kann, vgl. EuGH, Urt. v. 10.07.2018 – C-25/17, NJW 2019, 285 Rn. 68; EuGH, Urt. v. 29.07.2019 – C-40/17, NJW 2019, 2755 Rn. 68
[38] EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Rn. 62.
[39] Zur gemeinsamen Verantwortlichkeit umfassend Schneider, Gemeinsame Verantwortlichkeit, 2021, der zugleich eine einordnende Analyse der maßgeblichen EuGH Rechtsprechung vornimmt.
[40] 1 So GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 42.
[41] VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 31; GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 48
[42] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 48. Ähnlich auch VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 31.
[43] Paal/Pauly/Martini, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 9; so auch Horstmann/ Dalmer, ZD 2022, 260, 263. Art. 20 DS-GVO-E (KOM) normierte ein umfassendes Profilingverbot.
[44] Horstmann/Dalmer, ZD 2022, 260, 263
[45] Art.-29-Datenschutzgruppe, WP251rev.01, S. 28.
[46] Hierzu allg. und umfassend Peisker, Der datenschutzrechtliche Auskunftsanspruch, 2023.
[47] BGH, Urt. v. 28.01.2014 – VI ZR 156/13, NJW 2014, 1235 Rn. 27
[48] Kühling/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 23; Sydow/Marsch/Helfrich, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 42.
[49] Zuletzt zu Art. 15 DS-GVO: EuGH, Urt. v. 12.01.2023 – C-154/21, GRUR-RS 2023, 89 Rn. 29 f
[50] BeckOK DatenschutzR/v. Lewinski, 42. Ed. Stand 01.11.2022, Art. 22 DS-GVO Rn. 16; Plath/Kamlah, 3. Aufl. 2018, Art. 22 DS-GVO Rn. 2; Paal/Pauly/Martini, 3. Aufl. 2021, Art. 22 DS-GVO Rn. 24; Blasek, ZD 2022, 433, 436; Kumkar/RothIsigkeit, JZ 2020, 277, 279; Taeger, RDV 2017, 3, 6.
[51] Etwa Darstellung der Positionen bei Blasek, ZD 2022, 433, 436.
[52] Duden Cornelsen GmbH, https://www.duden.de/rechtschreibung/ausschlieszlich_Adverb_nur (letzter Abruf: 27.03.2023).
[53] PONS Langenscheidt GmbH, https://de.pons.com/text-%C3%BCbersetzung/ deutsch-estnisch (letzter Abruf: 27.3.2023).
[54] So auch Kühling/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 14; Paal/Pauly/ Martini, 3. Aufl. 2021, Art. 22 DS-GVO Rn. 17b.
[55] Kühling/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 15.
[56] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 44. Aus der Literatur Kühling/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 15; DWWS/Weichert, 2. Aufl. 2021, Art. 22 DS-GVO Rn. 25.
[57] Gola/Heckmann/Schulz, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 1.
[58] Art.-29-Datenschutzgruppe, WP 251 rev. 01, 10.
[59] BeckOK DatenschutzR/v. Lewinski, 42. Ed. Stand 01.11.2022, Art. 22 DS-GVO Rn. 23.
[60] So i.E. auch Gola/Heckmann/Schulz, 3. Aufl. 2022, Art. 22 DS-GVO Rn. 17.
[61] VG Wiesbaden, Beschl. v. 01.10.2021 – 6 K 788/20.WI, BeckRS 2021, 30719 Rn. 25; GA Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 45.
[62] VG Wiesbaden, Beschl. v. 31.01.2022 – 6 K 1052/21.WI, BeckRS 2022, 15772 sowie VG Wiesbaden, Beschl. v. 31.01.2022 – 6 K 2249/18.WI, BeckRS 2022, 1204.
[63] Vgl. GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 54.
[64] Zur Sachlage auch Decker/Mitzscherlich, VIA 2022, 73.
[65] Dass nach Art. 40 DS-GVO genehmigte Verhaltensregeln keine Rechtsgrundlage darstellen, stellt GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 97 ff. zu Recht klar. Zur Bedeutung solcher Verhaltensregelungen m.w.N. Gola/Heckmann/Lepperhoff, 3. Aufl. 2022, Art. 40 DS-GVO Rn. 5
[66] Siehe Thüsing/Flink/Rombey, NZI 2021, 951. Vgl. auch Decker/Mitzscherlich, VIA 2022, 73.
[67] OLG München, Urt. v. 29.11.2022 – 18 U 1032/22, BeckRS 2022, 35132; OLG Stuttgart, Urt. v. 10.08.2022 – 9 U 24/22, ZD 2022, 691; OLG Dresden, Urt. v. 09.08.2022 – 4 U 243/22, NZI 2022, 863; OLG Oldenburg, Urt. v. 23.11.2021 – 13 U 63/21, GRUR-RS 2021, 35540; OLG Frankfurt a.M., Urt. v. 27.09.2022 – 7 U 16/22, BeckRS 2022, 26759; OLG Köln, Urt. v. 27.01.2022 – I-15 U 153/21, juris; LG Heilbronn, Urt. v. 11.04.2019 – I 3 O 140/18, juris; KG Berlin, Urt. v. 15.02.2022 – 27 U 51/21, ZD 2022, 335.
[68] A.A. OLG München, Urt. v. 24.10.2022 – 3 U 2040/22, VuR 2023, 108; OLG Schleswig, Urt. v. 03.06.2022 – 17 U 5/22, NZI 2022, 714; OLG Schleswig, Urt. v. 02.07.2021 – 17 U 15/21, NZI 2021, 794.
[69] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22 Rn. 74
[70] Hierzu ausführlich Thüsing/Flink/Rombey, NZI 2021, 951, 952.
[71] Insofern tritt auch keine „Verbreitung sensibler Informationen“ ein, GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 87
[72] EuGH, Urt. v. 04.05.2017 – C-13/16, DAR 2017, 698 Rn. 32; Urt. v. 24.11.2011 – C-468/10 und C-469/10, NZA 2011, 1409, Rn. 44 f. Hierzu ausführlich Thüsing/ Flink/Rombey, NZI 2021, 951, 952
[73] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 79 ff.; siehe hierzu sogleich unter II. 3.
[74] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 61 ff.
[75] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 65 ff. bzw. Rn. 69 ff.
[76] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 59 ff.
[77] Simitis/Hornung/Spiecker gen. Döhmann/Schantz, Art. 6 DS-GVO Rn. 99, 137; Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, Art. 6 DS-GVO Rn. 27. Auch der EuGH bezieht die Interessen Dritter ein, so etwa in der Rs. Google Spain, EuGH, Urt. v. 13.05.2014 – C-131/12, NJW 2014, 2257 Rn. 97.
[78] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 63.
[79] BT-Drs. 18/11325, S. 101.
[80] Ulbricht, PinG 6/2021, 1.
[81] V. Lewinski/Pohl, ZD 2018, 17, 19; Taeger, ZRP 2016, 72, 73; so dem Grunde nach auch EuGH, Urt. v. 23.11.2006 – C-238/05, EU:C:2006:734, Rn. 55f.
[82] EuGH, Urt. v. 27.03.2014 – C-565/12, EU:C:2014:190, Rn. 43; EuGH, Urt. v. 05.03.2020 – C-679/18, EU:C:2020:167, Rn. 20.
[83] EuGH, Urt. v. 18.12.2014 – C-449/13, EU:C:2014:2464, Rn. 39.
[84] EuGH, Urt. v. 05.03.2020 – C.679/18, EU:C:2020:167, Rn. 20; EuGH, Urt. v. 27.03.2014 – C-565/12, EU:C:2014:190, Rn. 42-43.
[85] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 70.
[86] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 78.
[87] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 79 ff.
[88] Zum Begriff der Erhebung Sydow/Marsch/Reimer, 3. Aufl. 2022, Art. 4 DS-GVO Rn. 55.
[89] Eine erneute Erhebung sei ohnehin die Konsequenz bei fehlender Vereinbarkeit, BeckOK DatenschutzR/Schantz, 42. Ed. Stand 01.11.2021, Art. 5 DS-GVO Rn. 23 m.w.N.
[90] Simitis/Hornung/Spiecker gen. Döhmann/Roßnagel, Art. 5 DS-GVO Rn. 96. Dies lässt Kühling/Buchner/Herbst, 3. Aufl. 2020, Art. 5 DS-GVO Rn. 23 außer Acht.
[91] GA Szpunar, Schlussantr. v. 17.12.2020 – C-439/19, BeckRS 2020, 35946, Rn. 130. Im Urteil mangels Entscheidungserheblichkeit nicht aufgegriffen, EuGH, Urt. v. 22.06.2021 – C-439/19, ZD 2021, 625
[92] GA Szpunar, Schlussantr. v. 17.12.2020 – C-439/19, BeckRS 2020, 35946, Rn. 80
[93] EuGH, Urt. v. 13.05.2014 – C 131/12, EU:C:2014:317.
[94] EuGH, Urt. v. 28.01.2015 – C-375/13, NJW 2015, 1581, Rn. 64; EuGH, Urt. v. 16.06.2016 – C-12/15, EuZW 2016, 583, Rn. 45
[95] Zu den Maßstäben der Abwägung siehe bereits II. 1.
[96] A Pikamäe, Schlussantr. v. 16.03.2023 – C-634/21, Rn. 59.
[97] GA Pikamäe, Schlussantr. v. 16.03.2023 – C-26/22, C-64/22, Rn. 77, 78, 89.