Aufsatz : Scoretransparenz vor dem EuGH : aus der RDV 4/2022, Seite 189 bis 198

2. Steht das durch Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) gewährte Auskunftsrecht mit den durch Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) garantierten Rechten auf Darlegung des eigenen Standpunkts und auf Bekämpfung einer erfolgten automatisierten Entscheidung i.S.d. Art. 22 Datenschutz-Grundverordnung (DS-GVO) insofern in einem Zusammenhang, als der Umfang der aufgrund eines Auskunftsbegehrens i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) zu erteilenden Informationen nur dann ausreichend „aussagekräftig“ ist, wenn der Auskunftsbegehrende und Betroffene i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) in die Lage versetzt wird, die ihm durch Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) garantierten Rechte auf Darlegung seines eigenen Standpunkts und auf Bekämpfung der ihn betreffenden automatisierten Entscheidung i.S.d. Art. 22 Datenschutz-Grundverordnung (DS-GVO) tatsächlich, profund und erfolgversprechend wahrzunehmen?

3a. Ist Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) dahingehend auszulegen, dass nur dann von einer „aussagekräftigen Information“ im Sinne dieser Bestimmung auszugehen ist, wenn diese Information so weitgehend ist, dass es dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) möglich ist festzustellen, ob diese erteilte Information auch den Tatsachen entspricht, daher ob der konkret angefragten automatisierten Entscheidung auch tatsächlich die bekannt gegebenen Informationen zugrunde gelegen sind?

3b. Bejahendenfalls: Wie ist vorzugehen, wenn die Richtigkeit der von einem Verantwortlichen erteilten Information nur dadurch überprüft zu werden vermag, wenn auch von der Datenschutz-Grundverordnung (DS-GVO) geschützte Daten Dritter dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) zur Kenntnis gebracht werden müssen (Black-Box)?

Kann dieses Spannungsverhältnis zwischen dem Auskunftsrecht i.S.d. Art. 15 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) und dem Datenschutzrecht Dritter auch dadurch aufgelöst werden, dass die für die Richtigkeitsüberprüfung erforderlichen Daten Dritter, welche ebenfalls demselben Profiling unterzogen wurden, ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen hat, ob die bekannt gegebenen Daten dieser dritten Personen den Tatsachen entsprechen?

3c. Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h DS-GVO im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte i.S.d. Art. 15 Abs. 4 DS-GVO durch die Schaffung der unter Punkt 3b) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) in diesem Fall jedenfalls die für die Ermöglichung der Überprüfbarkeit der Richtigkeit der Entscheidungsfindung vom Verantwortlichen i.S.d. Art. 15 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) bekannt zu gebenden Daten anderer Personen in pseudoanonymisierter Form bekannt zu geben?

4a. Wie ist vorzugehen, wenn die zu erteilende Information i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) auch die Vorgaben eines Geschäftsgeheimnisses i.S.d. Art. 2 Z 1 der Richtlinie (EU) 2016/943 vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, L 157/1 (Know-How-Richtlinie) erfüllt?

Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) garantierten Auskunftsrecht und dem durch die Know-HowRichtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses aufgelöst werden, indem die als Geschäftsgeheimnis i.S.d. Art. 2 Z 1 der Know-How-Richtlinie einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses i.S.d. Art. 2 Z 1 der Know-How-Richtlinie auszugehen ist und ob die vom Verantwortlichen i.S.d. Art. 15 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) erteilte Information den Tatsachen entspricht?

4b. Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h DatenschutzGrundverordnung (DS-GVO) im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte i.S.d. Art. 15 Abs. 4 Datenschutz-Grundverordnung (DS-GVO) durch die Schaffung der unter Punkt 4a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?

Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DSGVO) bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) völlig zu ermöglichen:

a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten des Betroffenen, die die Überprüfung der Einhaltung der Datenschutz-Grundverordnung (DSGVO) erlauben,

b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten,

c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,

d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,

e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,

f) Erklärung, weshalb der Auskunftsberechtigte i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DSGVO) einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,

g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist?

5. Wird durch die Bestimmung des Art. 15 Abs. 4 Datenschutz-Grundverordnung (DS-GVO) in irgendeiner Weise der Umfang der gemäß Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung zu erteilenden Auskunft beschränkt?

Bejahendenfalls, in welcher Weise wird dieses Auskunftsrecht durch Art. 15 Abs. 4 Datenschutz-Grundverordnung beschränkt, und wie ist im jeweiligen Fall dieser Umfang der Einschränkung zu ermitteln?

6. Ist die Bestimmung des § 4 Abs. 6 Datenschutzgesetz, wonach „das Recht auf Auskunft der betroffenen Person gemäß Art. 15 Datenschutz-Grundverordnung (DS-GVO) gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht (besteht), wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde,“ mit den Vorgaben des Art. 15 Abs. 1 i.V.m. Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vereinbar? Bejahendenfalls, unter welchen Vorgaben liegt eine solche Vereinbarkeit vor?

III. Einordnung und Bewertung

Man mag sich fragen, ob all das zu wissen tatsächlich entscheidungserheblich war. Aber über die Entscheidungserheblichkeit entscheidet nun mal grundsätzlich das vorlegende Gericht. Erst, wenn sie offensichtlich nicht gegeben ist, schreitet der EuGH ein und verweigert die Auskunft.^[1]Konkret: Es ist anerkannt, dass „im Rahmen des Verfahrens nach Art. 267 AEUV nur das nationale Gericht, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof vorgelegten Fragen zu beurteilen hat“.^[2] Dies gilt allein dann nicht, „wenn das Problem hypothetischer Natur ist“.^[3]Denn der EuGH sieht die ihm durch Art. 267 AEUV übertragene Aufgabe im Kern darin, „[…] zur Rechtspflege in den Mitgliedstaaten beizutragen, nicht aber darin, Gutachten zu allgemeinen oder hypothetischen Fragen abzugeben“.^[4]Diese allzu detailreichen Fragen scheinen doch nahe an dem Maßstab zu sein, hier entweder Fragen umzuformulieren oder zusammenzufassen oder schlicht außen vor zu lassen. Auch hierfür gibt es zahlreiche Beispiele.^[5]Auch für die Parteien des Verfahrens dürfte eine solche Vorlage sonst nur schwer zu bearbeiten sein: Die Stellungnahme darf nur 20 Seiten ausmachen – wie soll das gehen, wenn die Fragen schon fast genauso lang sind?

Es ist nicht die einzige österreichische Vorlage zum Datenschutz,^[6] und es ist nicht die einzige Vorlage zur Auskunft nach Art. 15 DS-GVO,^[7] und auch nicht zum Scoring,^[8] auf das sich die Vorlage inhaltlich bezieht. Aber es ist eine wichtige, schon wegen der Vielzahl der Fragen. Um trotz dieser Vielzahl den Blick für das Wesentliche zu behalten, soll im Folgenden der Kerngehalt der Vorlagefragen herausgearbeitet werden. Zentral kommt es dabei auf zwei Gesichtspunkte an: Erstens ist zu klären, welchen Inhalt eine Auskunft nach Art. 15 Abs. 1 lit. h DS-GVO vorweisen muss, um den gesetzlichen Anforderungen zu genügen. Zweitens ist fraglich, ob und inwieweit Rechte Dritter, insbesondere Betriebs- und Geschäftsgeheimnisse, eine Verweigerung einer Auskunft ermöglichen können und wie sich dies auf den Auskunftsinhalt nach lit. h auswirkt. Abschließend soll skizziert werden, auf welche Weise und zu welchem Zeitpunkt eines Auskunftsverlangens das VwG Wien Behörden und Gerichte an der Bearbeitung zu beteiligen vorschlägt. Hieran orientiert sich die nachfolgende Darstellung, die sich – angesichts des Umfangs – auf einige kurze Hinweise beschränkt.

1. Was nicht gefragt wird: Scoring als vollständig automatisierte Entscheidung

Bei der Vielzahl der Fragen erstaunt es, dass eine – vorgelagerte – Frage gar nicht gestellt wurde: Es geht im Ausgangsverfahren um die Information über die Logik der Scoreberechnung nach Art. 15 Abs. 1 lit. h DS-GVO. Man stutzt: Die Scoreberechnung durch eine Kreditauskunftei ist zwar eine „Verarbeitung“ (gegebenenfalls auch mit Hilfe von „Profiling“ aber sicherlich keine „Entscheidung“ im Sinne des Art. 22 Abs. 1 DS-GVO. Eine Kreditauskunftei entscheidet nicht über den Abschluss oder die Erfüllung eines Vertrages. Eine Entscheidung bedeutet die Auswahl zwischen verschiedenen Möglichkeiten des Handelns. In der bloßen Scoreberechnung liegt keine solche Auswahl. Der Scorewert, der einem Dritten weitergeleitet wird, bereitet dessen Entscheidung vor – ist aber keine eigene Entscheidung. Art. 22 Abs. 1 DS-GVO richtet sich deshalb schon seinem Wortlaut nach ausschließlich an denjenigen, der die „Entscheidung“ trifft. Die Scoreberechnung selbst hat daher keine rechtliche oder ähnliche Wirkung gegenüber der betroffenen Person. Eine rechtliche oder ähnliche Wirkung kann erst durch die Entscheidung des Unternehmens entstehen, das den Scorewert erhält. Der erstellte Scorewert, solange er nicht durch ein solches Unternehmen genutzt wird, beeinträchtigt die betroffene Person nicht. Welche Rolle der Scorewert bei der Entscheidung des Unternehmens spielt, das diesen erhält, und welche Entscheidung es auf dieser Grundlage trifft, ist außerhalb der Kontrolle der Kreditauskunftei. Die Kreditauskunftei erhält keine Kenntnis über die Entscheidung, so dass sie im Einzelfall nicht einmal erkennen kann, ob am Ende eine ausschließlich automatisierte und beeinträchtigende Entscheidung im Sinne von Art. 22 Abs. 1 DS-GVO erfolgt. Die Vorschrift greift nicht für die Scoreberechnung durch eine Kreditauskunftei, die dem Entscheidungsträger eine für seine Entscheidung hilfreiche Zusatzinformation bereitstellt. Nur der Entscheidungsträger selbst kann für die ausschließlich automatisiert getroffene Entscheidung verantwortlich sein. Die ganzen Fragen des Gerichts werden also nur dann entscheidungserheblich, wenn man bei der Beantwortung dieser vorgelagerten, erst gar nicht gestellten Frage „falsch abbiegt“. Dass diese Frage aber entscheidend ist, hat ein anderes Gericht bereits erkannt und dementsprechend vorgelegt.^[9]

Dass es genau darauf ankommt, zeigt auch der Zweck des Auskunftsanspruchs: Es gibt automatisierte Entscheidungen (die auch auf Basis von Scoring stattfinden können) und „normale“ Entscheidungen, denen ebenfalls ein Scoring vorausgehen kann. Bei Letzteren greift Art. 15 Abs. 1 lit. h DSGVO schon ausweislich des Wortlauts nicht – eine entsprechende Auskunft ist nicht geschuldet. Das ist auch richtig so, weil der Betroffene mit der Transparenz nichts anfangen kann. Wofür wäre sie gut? Ein (durch die Aufsichtsbehörden abgenommenes) Verfahren führt notwendig zu richtigen Ergebnissen, eben weil es automatisiert ist. Die Remonstrationsmöglichkeit besteht für den Betroffenen schon deshalb, weil die Entscheidung nicht vollautomatisiert erfolgt. Zu einem Berichtigungsanspruch nach Art. 16 DS-GVO führt das aber nicht, weil der Score für sich allein eine bloße Meinungsäußerung ist – die kann nicht unrichtig sein. Im Anwendungsbereich des Art 22 DS-GVO ist das anders, wenn also tatsächliche eine automatisierte Entscheidungsfindung vorliegt. Zu Erfüllung des Art. 22 Abs. 3 DS-GVO braucht der Betroffene die durch Art. 15 Abs. 1 lit. h DS-GVO zu leistende Transparenz. Die Rechtsfolge endet aber bei Art. 22 Abs. 3 DS-GVO. Eine Korrektur fordert auch Art. 22 Abs. 3 DS-GVO nicht. So wird ein Gleichlauf zwischen der menschlichen und einer „un“menschlichen Entscheidung hergestellt. Deswegen besteht auch keine Schutzlücke.

Mit anderen Worten: Der Zweck des Auskunftsanspruchs über die Logik besteht darin, der betroffenen Person einer automatisierten Entscheidung eine begründete Anfechtung nach Art. 22 Abs. 3 DS-GVO zu ermöglichen. Wenn kein Anfechtungsanspruch nach Art. 22 Abs. 3 DS-GVO besteht, dann braucht die betroffene Person die Information nach Art. 15 Abs. 1 lit. h DS-GVO nicht. Dessen Zweck besteht nicht darin, dass die betroffene Person die Berichtigung des Scorewertes nach Art. 16 DS-GVO fordern kann.

2. Anforderungen den Inhalt der Auskunft nach lit. h

a) Keine Übertragung nationaler Umsetzungen der DS-RL

Betrachtet der Leser die Regelung des Art. 15 Abs. 1 lit. h DS-GVO im Vergleich mit der vormals geltenden nationalen Umsetzungsregelung des Art. 12 lit. a Richtlinie 95/46/EG (DS-RL), wird deutlich, wie groß doch ein Konkretisierungsbedürfnis ist. Während die Richtlinie ebenfalls kurz und bündig von „Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Art. 15 Abs. 1“ sprach, mutete die deutsche Umsetzungsnorm mit § 34 Abs. 2 und 4 BDSG a.F. geradezu überkomplex an. Der Umfang der hiesigen Vorlagefragen legt aber nahe: § 34 BDSG a.F. war wohl weniger überkomplex, vielmehr scheint Art. 15 Abs. 1 lit. h DS-GVO unterkomplex.

Nicht umsonst wird in Teilen vorgeschlagen, zumindest § 34 Abs. 2 und 4 BDSG a.F. und die hierzu ergangenen Gerichtsentscheidungen als zulässige Konkretisierung des Art. 15 Abs. 1 lit. h DS-GVO heranzuziehen.^[10] Für die Praxis – auch die anwaltliche Beratungspraxis – mag es hilfreich sein, diese Konkretisierungen als Leitfaden und Orientierungshilfe zur neuen Rechtslage zu verwenden. Rechtssicherheit wird hierdurch freilich nicht geschaffen. Denn mitgliedstaatliches Recht kann eine Verordnung nur dort konkretisieren, wo eine Öffnungsklausel den Mitgliedstaaten eine Befugnis hierzu einräumt.^[11] Der Unionsgesetzgeber hat ausdrückliche Öffnungsklauseln in die DS-GVO eingebettet, und damit – zumindest konkludent – impliziten Öffnungsklauseln der Tendenz nach eine Absage erteilt.^[12] In der Tat: Eine stillschweigende Einräumung würde den Vorrang des Unionsrechts und die umfassende Verbindlichkeit der Verordnung aushebeln. Enthält eine Rechtsnorm konkretisierungsbedürftige Rechtsvorschriften, ist es eben Aufgabe der Auslegung, den wahren Inhalt zu ermitteln. Dies fällt aber zunächst in die Kompetenz des EuGH. Deshalb ist eine Vorlage hierzu – auch wenn sie derart umfangreich ist – zu begrüßen, da sie dem EuGH die Gelegenheit zur Auslegung und Konkretisierung des Art. 15 DS-GVO gibt und so zur Schaffung rechtssicherer Maßstäbe für die Praxis beiträgt. ^[13]

Dies gilt umso mehr vor dem Hintergrund, dass auch das European Data Protection Board eine so dringend notwendige Konkretisierung zu lit. h bislang nicht vorgenommen hat. Es beschränkt sich größtenteils auf die Wiedergabe des Normtextes und formuliert lediglich:

„Art. 15(1)(h) provides that every data subject should have the right to be informed, in a meaningful way, interalia, about the existence and underlying logic of automated decision-making including profiling concerning the data subject and about the significance and the envisaged consequences that such processing could have. If possible, information under Art. 15(1)(h) has to be more specific in relation to the reasoning that lead to specific decisions concerning the data subject who asked for access.“^[14]

b) Informationen über die involvierte Logik sowie über die Tragweite und die angestrebten Auswirkungen

Bereits unklar ist, in welchen Fällen die Informationspflicht über Logik, Tragweite sowie die angestrebten Auswirkungen der Verarbeitung besteht. In einem ersten Schritt gewährt lit. h einen Informationsanspruch darüber, ob eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO vorliegt. So weit, so verständlich. In einem zweiten Schritt stellt sich jedoch die Frage, ob der Verantwortliche bejahendenfalls dann auch immer über Logik, Tragweite sowie die angestrebte Auswirkung informieren muss, oder nur im Falle des Profilings.^[15] Der Wortlaut der Norm legt dies zwar nahe, angesichts der auch ansonsten wohl unglücklichen Konzeption des Art. 15 DS-GVO lässt sich dies schwerlich mit Gewissheit sagen.^[16] In der Tat: Der Wortlaut ist hier vielleicht ein allzu schwaches Argument. Dass jedenfalls freiwillig auch außerhalb eines Profilings oder sogar einer automatisierten Datenverarbeitung über Logik, Tragweite und Auswirkungen einer Datenverarbeitung informiert werden kann, ist zwar gesichert.^[17] Ob dies hingegen auch Teil des umfassenden Pflichtenkatalogs des Verantwortlichen ist, dürfte hingegen Teil weiterer Vorlagen an den EuGH sein. Denn das hiesige Verfahren zielt prinzipiell auf Fragen des Profilings ab, womöglich bezieht der EuGH aber in einem obiter dictum Stellung.

Daneben ist noch nicht rechtssicher geklärt, wie weit der besagte Informationsanspruch reicht, also was Logik, Tragweite sowie angestrebte Auswirkungen begrifflich umfassen. Auch die Erwägungsgründe lassen nähere Hinweise vermissen.^[18] Es ist aber zu hoffen, dass der EuGH die hiesige Vorlagefrage 1 zum Anlass nimmt, jedenfalls den Begriff der „involvierten Logik“ näher zu bestimmen. Denn ersucht wird um Entscheidung darüber, ob hierunter auch die Bekanntgabe der verarbeiteten Daten des Betroffenen, die Bekanntgabe der für die Ermöglichung der Nachvollziehbarkeit erforderlichen Teile des dem Profiling zugrunde gelegenen Algorithmus und die maßgeblichen Informationen zur Erschließung des Zusammenhangs zwischen verarbeiteter Information und erfolgter Valuierung fallen. Im systematischen Zusammenhang spricht vieles dafür, zumindest nicht die personenbezogenen Daten selbst als erfasst anzusehen, denn diese sind bereits Gegenstand der Auskunftspflicht nach Art. 15 Abs. 1 Hs. 2 Var. 1 DS-GVO – ein Bedürfnis für eine abermalige Beauskunftung über lit. h besteht damit nicht.[19] Die Beauskunftung der Daten des Betroffenen über lit. h ist nur dann sinnvoll, wenn es um die konkret im Falle des Profilings verarbeiteten Daten geht, die Auskunft also auf die Ermittlung der konkreten Datengrundlage für den Algorithmus abzielt. Dass diese Datengrundlage selbst Auskunftsgegenstand ist, war bereits vor Inkrafttreten der DSGVO zumindest in Deutschland anerkannt.^[20] Insofern genießt die Vorlagefrage 1 daher ihre Berechtigung.

Mit Spannung zu erwarten sein dürfte die Entscheidung darüber, ob auch Teile des Algorithmus selbst bekanntzugeben sind. So wird unter anderem vertreten, Logik bedeute hier nur allgemeine Prinzipien, nicht aber konkrete Scoreformeln und Algorithmen.^[21] Dies entspricht der Rechtsprechung des BGH zu § 34 Abs. 4 S. 1 Nr. 4 BDSG a.F., der im Jahr 2014 entschied, dass die „sog. Scoreformel, also die abstrakte Methode der Scorewertberechnung […] nicht mitzuteilen“ sei.^[22] Das ist richtig – schon aus Gründen des Geheimnisschutzes. Ob hieran festzuhalten ist, bleibt abzuwarten und dürfte insbesondere davon abhängen, welche Informationen erforderlich sind, um eine hinreichende Aussagekraft zu besitzen, hierzu sogleich.^[23]

Leider nicht Gegenstand einer Vorlagefrage geworden ist die Auslegung der Begriffe Tragweite und Auswirkungen. Dies erscheint insofern erstaunlich, als dass das VwG Wien in der Begründung des Vorlagebeschlusses selbst erkannte, dass auch die Auslegung dieser Wendungen „unbedingt geboten“^[24] sei. Erneut ist aber zu hoffen, dass der EuGH dem Normanwender zumindest in Gestalt eines obiter dictums auch insoweit Konkretisierungen an die Hand gibt.

c) Aussagekraft der Information

Wann Informationen hinreichend aussagekräftig sind, dürfte in Übereinstimmung mit dem VwG Wien von der Funktion des Art. 15 DS-GVO abhängen.^[25]Erwägungsgrund 63 S. 1 DS-GVO benennt die Kenntniserlangung von der Verarbeitung selbst sowie die Möglichkeit, ihre Rechtmäßigkeit zu überprüfen, ausdrücklich als Zwecke des Auskunftsanspruchs. Gleichzeitig soll die Auskunft den Betroffenen in die Lage versetzen, andere Betroffenenrechte wirksam ausüben zu können.^[26] Daher ist es folgerichtig, die Reichweite der lit. h mit Blick auf Art. 22 Abs. 3 DS-GVO zu interpretieren, der den Verantwortlichen unter anderem dazu verpflichtet, dem Betroffenen ein Recht auf Darlegung des eigenen Standpunkts und auf Anfechtung der automatisierten Entscheidung zu gewähren.^[27]Dass hier ein Zusammenhang zur Auskunft nach Art. 15 Abs. 1 lit. h DS-GVO sowie zu den korrespondieren Informationspflichten nach Art. 13 Abs. 2 lit. f DS-GVO und Art. 14 Abs. 2 lit. g DSGVO besteht, liegt auf der Hand.^[28]

Gleichwohl kann die Tendenz des vorlegenden Gerichts, aufgrund dieser Verknüpfung mit Art. 22 Abs. 3 DS-GVO eine extensive Interpretation des Art. 15 Abs. 1 lit. h DS-GVO zu vollziehen,^[29] nicht überzeugen. Sie geht in die falsche Richtung, denn eine solche Wechselwirkung zwischen Art. 22 Abs. 3 DS-GVO und Art. 15 Abs. 1 lit. h DS-GVO lässt sich auch in umgekehrter Richtung herstellen: Ist der Informations- und Auskunftsumfang restriktiv aufzufassen, dann kann auch die Darlegung des eigenen Standpunkts nach Art. 22 Abs. 3 DS-GVO auch eben nur eingeschränkt erfolgen. Die Frage muss vielmehr allgemein formuliert werden: Was ist zu einem effektiven Schutz des Betroffenen und zur Ermöglichung einer Richtigkeitskontrolle und Geltendmachung anderer Rechte erforderlich?

Hierfür ist es sicherlich nicht zwingend, dem Betroffenen auch den konkrete Algorithmus einschließlich der Informationen zur Gewichtung des einzelnen Datums mitzuteilen.^[30] Und das ist entscheidend. Denn Einfluss auf die Verarbeitung kann der Betroffene prinzipiell auch dann schon nehmen, wenn er einzelne Parameter, die in die Verarbeitung einfließen, kennt und deren Gewichtung ihm zumindest in Grundzügen erläutert wird. Ob der Betroffene dagegen die „zentralen Teile“ des Algorithmus in Gestalt einer mathematischen Formel kennen muss, in die sämtliche Parameter nur noch eingesetzt werden müssen, wie das vorlegende Gericht unter III. ad. Frage 1 formuliert, ist jedoch mehr als fraglich. Zwar ist zutreffend, dass der Betroffene mit steigender Informationsdichte effektiver Einfluss auf die Verarbeitung nehmen kann.^[31] Vorlagefrage 3b bietet dem EuGH hier womöglich einen Ausweg, die bei zur Richtigkeitsüberprüfung erforderlichen Daten Dritter vorschlägt, eine Übermittlung ausschließlich an zuständige Behörden und Gerichte, nicht aber über eine Auskunftserteilung an den Betroffenen zu ermöglichen. Die Debatte zeigt jedoch, wie unklar die Rechtslage hier ist – das Bedürfnis nach einer Klärung durch den EuGH ist offensichtlich.

Ebenfalls im Zusammenhang mit der Aussagekraft der Informationen wirft das VwG Wien die Frage auf, ob von einer „aussagekräftigen Information“ im Sinne der Vorschrift nur dann auszugehen sei, wenn der Betroffene in die Lage versetzt wird, die Richtigkeit der ihm bekanntgegebenen Informationen zu überprüfen.^[32] Dem Betroffenen durch einen Auskunftsanspruch ein solches Überprüfungsrecht zu gewähren, ist jedoch weder zur Wahrung der Betroffenenrechte erforderlich, noch wäre es vereinbar mit der Natur des Art. 15 DS-GVO als Auskunftsanspruch. Die Befürchtung des VwG Wien, dass das Auskunftsrecht des Art. 15 Abs. 1 lit. h DS-GVO „völlig inhaltsleer und überflüssig“ sei, weil jeder Betroffene „rechtmäßig in die Lage versetzt wird, falsche und unzutreffende Auskünfte“ zu erteilen,^[33] ist unbegründet: Denn nach Art. 83 Abs. 5 lit. b DS-GVO drohen bei einer Verletzung des Auskunftsrechts Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Das ist saftig und schreckt ab. Durch die Erteilung unzutreffender Auskünfte kann ein Verantwortlicher den Auskunftsanspruch nicht rechtmäßig erfüllen.^[34] Daher ist jedenfalls nicht zu befürchten, dass „rechtmäßig“ falsche und unzutreffende Auskünfte erteilt werden. Vielmehr zeigt sich, dass es Sache des Verantwortlichen – und nicht der Gerichte oder Behörden – ist, die Verpflichtungen nach der DS-GVO rechtmäßig zu erfüllen.^[35] Die Prüfung, ob eine Auskunftserteilung rechtmäßig oder rechtswidrig war, erfolgt dann erst in einem zweiten Schritt durch die Behörden und Gerichte. Es besteht daher kein Anlass, den Betroffenen selbst in die Lage zu versetzen, die Richtigkeit der bekannt gegebenen Informationen zu überprüfen. Das entspricht auch dem Sinn und Zweck des Auskunftsanspruchs. Einerseits zielt der Auskunftsanspruch auf die Beauskunftung personenbezogener Daten (und der in lit. a-h) genannten Informationen) ab, nicht aber auf sämtliche Verarbeitungsvorgänge, die bei dem Verantwortlichen stattfinden. Andererseits ist es einem Auskunftsanspruch immanent, dass der Betroffene an eine beauskunftende Stelle herantreten muss, um von dieser Informationen zu erhalten. Die Prüfung, ob die bekannt gegebenen Informationen zutreffend sind, kann schon aus systematischen und rechtstaatlichen Erwägungen nicht in der Hand des Betroffenen liegen. Hierzu müsste ihm Art. 15 DS-GVO tiefgreifende Einsichtnahmerechte in das Unternehmen des Verantwortlichen geben. Frage 3b, die als Folgefrage Bezug auf Frage 3a nimmt, lässt die praktischen Probleme erahnen, die unweigerlich mit der Gewährung eines solchen Überprüfungsrechts einhergingen. Ebenso ist unklar, wo die Grenze zu ziehen wäre, denn der Betroffene könnte nie sicher sein, dass er sämtliche zutreffenden Informationen über sich erhalten hat, bis er die gesamte Unternehmensstruktur untersucht hat.

3. Einschränkung der Auskunftserteilung

a) Einschränkung durch Art. 15 Abs. 4 DS-GVO

Die zentrale Frage zur Einschränkbarkeit der Auskunft nach Art. 15 Abs. 1 lit. h DS-GVO stellt das VwG erst mit Vorlagefrage 5. Das ist ein langer Aufgalopp. Im Raum steht, ob Art. 15 Abs. 4 DS-GVO überhaupt den Umfang der zu erteilenden Auskunft nach Art. 15 Abs. 1 lit. h DS-GVO beschränkt. Denn der Wortlaut des Abs. 4 bezieht sich ausdrücklich nur auf das Recht auf Kopie gemäß Abs. 3. Möchte man ein eigenständiges Recht auf Kopie anerkennen, hätte dies zur Folge, dass Art. 15 DS-GVO selbst das Recht auf Auskunft nach Abs. 1 nicht beschränkt.^[36] Dass dieses Ergebnis auch vom Normgeber nicht bezweckt sein kann, leuchtet insbesondere im vorliegenden Fall ein. Anderenfalls müsste bei extensiver Interpretation der lit. h womöglich einschränkungslos auch der abstrakte Algorithmus beauskunftet werden, Erwägungsgrund 63 S. 5 DS-GVO steht dem jedoch offensichtlich entgegen. Jedenfalls wird deutlich: Ein Urteil des EuGH in dieser Sache hat Auswirkungen, die weit über den Auskunftsanspruch nach lit. h hinausgehen. Der BGH ging in einer zumindest rechtlich vergleichbaren Situation zurecht einen anderen Weg und verzichtete auf eine Vorlage an den EuGH. Auch der Auskunftsanspruch nach Art. 15 Abs. 1 lit. g DS-GVO sei durch Rechte und Freiheiten anderer Personen eingeschränkt, denn Art. 15 DSGVO sei im Lichte der Grundrechte der Europäischen Union auszulegen.^[37] Vor diesem Hintergrund sei die Annahme einer einschränkungslosen Gewährung des Auskunftsrechts in Art. 15 Abs. 1 DS-GVO kaum zu begründen.^[38] Auch der Geheimnisschutz ist Teil der unternehmerischen Freiheit des Art. 16 GRCh,^[39] eine Abwägung des Rechts auf Auskunft als Bestandteil des Art. 8 Abs. 2 GRCh sowie der unternehmerischen Freiheit nach Art. 16 GRCh ist damit bereits grundrechtlich angelegt.^[40] Selbiges gilt für etwaige Vergleichsprofilingfälle, auch deren Recht auf Schutz personenbezogener Daten muss angemessen berücksichtigt werden.^[41]

In welchem Maße eine Einschränkung der inhaltlichen Reichweite des Art. 15 Abs. 1 lit. h DS-GVO aufgrund kollidierender Rechte anderer Personen eintritt, hängt dabei von allen Umständen des Einzelfalles ab. Das vorlegende Gericht erhofft sich hier zurecht eine Anleitung durch den EuGH.^[42] Im Einzelnen zielen die Vorlagefragen 1, 3b, 3c, 4a, sowie 4b auf eine solche Konkretisierung ab.

b) Einschränkung durch mitgliedstaatliches Recht

Abseits der unionsrechtlichen Grundlagen hat Österreich in § 4 Abs. 6 DSG eine Regelung geschaffen, die das Recht auf Auskunft nach Art. 15 DS-GVO wie folgt einschränkt: „Das Recht auf Auskunft […] besteht […] in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.“ Das VwG Wien stellt mit Vorlagefrage 6 wohl zu Unrecht die Frage, ob diese Norm mit den Vorgaben des Art. 15 Abs. 1 i.V.m. Art. 22 Abs. 3 DS-GVO vereinbar ist. Schon die Formulierung dieser Frage begegnet Zweifeln, fragt das VwG Wien doch nach der Vereinbarkeit einer konkreten nationalen Norm mit dem Unionsrecht, während der EuGH allein zur Auslegung des Unionsrechts berufen ist, weshalb das nationale Recht abstrakt zu umschreiben ist.^[43] Die Frage kann der EuGH nicht beantworten, formuliert er sie nicht um. Ebenso ist zu bezweifeln, ob die Vorlagefrage an die richtige unionsrechtliche Norm anknüpft. Zutreffender Anknüpfungspunkt wäre wohl Art. 23 DS-GVO gewesen, denn nur dieser enthält eine Öffnungsklausel zugunsten der Mitgliedstaaten,^[44] die, wie eingangs gesehen, gerade keine verbindlichen Auslegungsregeln schaffen können.^[45] Ob die Anforderungen des Art. 23 DSGVO gewahrt sind, ist ebenfalls zweifelhaft. Zum einen ist schon fraglich, ob mit der nationalen Norm überhaupt eine „Beschränkung“ im Sinne von Art. 23 DS-GVO vorliegt. Es gilt zu beachten, dass bloße Normwiederholungen nach allgemeinen Grundsätzen unzulässig sind, sofern sie den Verordnungscharakter der Norm verschleiern.^[46] Eine allgemeine Abwägung, wie sie Art. 15 Abs. 4 DS-GVO vorsieht, dürfte daher wohl nicht in mitgliedstaatliches Recht gegossen werden, mangels Beschränkungscharakters auch nicht über Art. 23 DS-GVO. Zwar erlaubt Erwägungsgrund 8 die Aufnahme von Teilen der DS-GVO nationales Recht, sofern die Mitgliedstaaten Beschränkungen vornehmen dürfen und dies zur Verständlichkeit der nationalen Rechtsvorschriften beiträgt. Eine solche Wiedergabe ist damit nur als Annex zu einer Beschränkung nach mitgliedstaatlichem Recht zulässig, nicht aber zur Erläuterung der Verordnung selbst.^[47] Überträgt man diese Erkenntnisse auf den vorliegenden Fall, so ist danach zu fragen, ob die Wendung „in der Regel“ innerhalb des § 4 DSG eine Beschränkung des Art. 15 DS-GVO darstellt, oder ob die Formulierung den Abwägungsmaßstab des Art. 15 Abs. 4 DS-GVO inhaltlich nicht verschiebt – schließlich kann von jeder Regel abgewichen werden. Ob insoweit eine Beschränkung vorliegt, hängt wohl davon ab, wie Art. 15 Abs. 4 DS-GVO den Konflikt zwischen Geschäftsinteressen und dem Recht auf Schutz der personenbezogenen Daten grundsätzlich auflöst.

Sofern man insoweit eine Beschränkung der Betroffenenrechte annimmt, ist in einem zweiten Schritt zu prüfen, ob die der Vorlage zugrundeliegende österreichische Regelung die engen Grenzen der Verhältnismäßigkeit wahrt. Denn jede Einschränkung der Betroffenenrechte muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen sowie einen der in Abs. 1 lit. a-j genannten Zwecke verfolgen, Art. 23 Abs. 1 DS-GVO. Zwar fällt der Schutz von Betriebsgeheimnissen unter lit. i.^[48] Allgemein gilt, dass der Nutzen der Beschränkung nicht außer Verhältnis zu der Beeinträchtigung des Betroffenen stehen darf, die die Beschränkung mit sich bringt.^[49] Dies hat auch das BVerfG für eine Beschränkung des aus den nationalen Grundrechten fließenden Auskunftsrechts ausdrücklich so entschieden.^[50] Auch verlangt der Schutz des Grundrechts auf Achtung des Privatlebens, dass sich Einschränkungen des Rechts auf Schutz personenbezogener Daten nur auf das absolut Notwendige beschränken.^[51] Ob diese Vorgaben auch für Art. 23 DS-GVO gelten, bleibt abzuwarten. Sollte man hier einen ähnlichen – auf das absolut Notwendigste beschränkten – Maßstab anlegen, erscheint es zumindest fraglich, ob eine mitgliedstaatliche Norm die Rechte und Interessen Dritter anders gewichten darf als Art. 15 Abs. 4 DS-GVO. Denn letztlich setzten sowohl Art. 15 Abs. 4 DS-GVO als auch Art. 23 DS-GVO eine Prüfung des Grundsatzes der Verhältnismäßigkeit voraus. Dass hier andere Ergebnisse möglich sind, erscheint wenig wahrscheinlich. Art. 15 Abs. 4 DS-GVO könnte daher womöglich gar nicht i.S.d. Art. 23 DS-GVO beschränkt werden. Es ist zu hoffen, dass der EuGH, wie schon in der Vergangenheit geschehen,^[52] die Vorlagefrage umformuliert, um trotz des Bezugs auf eine konkrete nationale Norm insoweit für Klarheit zu sorgen.

4. Rolle der Behörden und Gerichte

Ein letzter Punkt: Das VwG Wien nutzt die Kleinteiligkeit der Vorlagefragen, um dem EuGH eigene Vorschläge für die Lösung der von ihm aufgeworfenen Probleme zu unterbreiten. So sollen Spannungsverhältnisse zwischen dem Datenschutzrecht Dritter bzw. der Geschäftsgeheimnisrichtlinie sowie der Know-How-Richtlinie und dem Auskunftsanspruch nach lit. h gelöst werden können, indem die betreffenden Informationen, zwischen denen eine Abwägung vorzunehmen ist, ausschließlich einer Behörde oder einem Gericht offengelegt werden, sodass diese Stelle – wohl anstatt des Verantwortlichen – prüft, ob die Voraussetzungen für die Ablehnung des Auskunftsgesuchs vorliegen.^[53] Eine solche Verlagerung der Abwägungsentscheidung auf Behörden und Gerichte begegnet denselben Bedenken,^[54] die gegen eine Einschaltung der Behörden und Gerichte zur Sicherstellung der Richtigkeit der Informationen sprechen. Ebenso, wie es Sache des Verantwortlichen ist, zutreffende Auskünfte zu geben, ist es seine Verpflichtung, eine rechtmäßige Abwägungsentscheidung zu treffen.[55] Ein in camera-Verfahren wäre der falsche Weg.

IV. Fazit

Nicht alle Fragen haben also die nötige Qualität und Treffsicherheit, doch handelt es sich zweifellos um eine umfang- sowie detailreiche Vorlage an den EuGH, die in vielerlei Hinsicht Gelegenheit dazu gibt, rechtssichere Maßstäbe für eine praxistaugliche Handhabung der Reichweite und der Grenzen des Auskunftsanspruchs nach Art. 15 Abs. 1 lit. h DS-GVO zu setzten. Zum einen betrifft dies Unsicherheiten, die originär in lit. h der Norm angelegt sind. Dabei ist zu hoffen, dass der EuGH auch zu weiteren spannenden – in der Vorlagefrage nicht explizit problematisierten – Fragen im Rahmen der lit. h Stellung nimmt, etwa dazu, ob Auskunft über einen hypothetischen, noch nicht errechneten Scoringwert erteilt werden muss. Aber auch über den Anwendungsbereich der lit. h hinaus ist die Entscheidung des EuGH mit Spannung zu erwarten. Das betrifft insbesondere die beiden Vorlagefragen 5 und 6. Der EuGH erhält hierdurch die Gelegenheit, sich allgemein zur Anwendbarkeit des Art. 15 Abs. 4 DS-GVO auf Abs. 1 (lit. a-h) zu äußern und damit das Verhältnis von Abs. 1 und Abs. 3 zu klären. Auch die sechste Vorlagefrage ist womöglich spektakulärer als gedacht: Denn der EuGH könnte die Gelegenheit nutzen und konkrete Vorgaben dazu machen, wie Art. 15 DS-GVO durch mitgliedstaatliche Regelungen eingeschränkt werden kann.

_{[1] St. Rspr., s. EuGH, Urt. v. 25.11.2021 – C-233/20, AP Richtlinie 2003/88/EG Nr. 43; Urt. v. 17.03.2022 – C-232/20, NZA 2022, 549, 551; BGH, Urt. v. 22.02.2022 – VI ZR 14/21, ZD 2022, 326, 327.}

_{[2] EuGH, Urt. v. 26.02.2013 – C-617/10, NJW 2013, 1415 – Åkerberg Fransson; vgl. u. a. Urt. v. 08.09.2011 – C-78/08 bis C-80/08, EuZW 2011, 878, 879 Rn. 30 und die dort angeführte Rspr. – Paint Graphos u. a}

_{[3] EuGH, Urt. v. 26.02.2013 – C-617/10, NJW 2013, 1415 – Åkerberg Fransson; in diesem Sinne Urt. v. 08.09.2011 – C-78/08 bis C-80/08, EuZW 2011, 878, 879 Rn. 31 und die dort angeführte Rspr. – Paint Graphos u. a.}

_{[4] Wiederum EuGH, Urt. v. 26.02.2013 – C-617/10, NJW 2013, 1415 Åkerberg Fransson.}

_{[5] St. Rspr., s. EuGH, Urt. v. 11.07.2002 – 62/00 Rn. 32, DB 2002, 1486 – Marks & Spencer; Urt. v. 28.11.2000 – C-88/99 Rn. 18, NJW 2001, 741; Urt. v. 18.10.2012 – C-302/11 Rn. 27, 29, BeckRS 2012, 82049.}

_{[6] S. EuGH, Gerichtsmitteilung v. 09.03.2021 – C-154/21, BeckEuRS 2021, 708019; Gerichtsmitteilung v. 09.08.2021 – C-487/21, BeckEuRS 2021, 745193; Gerichtsmitteilung, v. 09.08.2021 – C-300/21, BeckEuRS 2021, 738287; Gerichtsmitteilung v. 20.07.2021 – C-446/21, BeckEuRS 2021, 744849.}

_{[7] S. EuGH, Gerichtsmitteilung v. 01.04.2019 – C-272/19, BeckEuRS 2019, 605242; Gerichtsmitteilung v. 09.03.2021 – C-154/21, BeckEuRS 2021, 708019; Gerichtsmitteilung v. 09.08.2021 – C-487/21, BeckEuRS 2021, 745193; Gerichtsmitteilung v. 22.09.2021 – C-579/21, BeckEuRS 2021, 746655; BGH, Beschl. v. 29.03.2022 – VI ZR 1352/20, BeckRS 2022, 9584.}

_{[8] S. EuGH, Gerichtsmitteilung v. 15.10.2021 – C-634/21, BeckEuRS 2021, 748489; Gerichtsmitteilung v. 07.09.2021 – C-552/21, BeckEuRS 2021, 747832.}

_{[9] VG Wiesbaden, Verfahren Rs. C-634/21, der Mitautor Thüsing ist Prozessbevollmächtigter in diesem Verfahren.}

_{[10] BeckOK DatenschutzR/Schmidt-Wudy, 40. Ed. 01.05.2022, DS-GVO Art. 15 Rn. 76; insoweit zurückhaltend Auernhammer/Stollhoff, 7. Aufl. 2021, Art. 15 DS-GVO Rn. 24.}

_{[11] Calliess/Ruffert/Ruffert, 6. Aufl. 2022, Art. 288 AEUV Rn. 21.}

_{[12] Vgl. Moos/Rothkegel, ZD 2016, 561, 567-568; vgl. bereits Basedow, Anm. zu EuGH, Urt. v. 22.10.2012 – C-239/11, ZEuP 2014, 400, 403, Lücken seien durch Gemeinschaftsrecht zu schließen.}

_[13]

_{[14] EDPB, Guidelines 01/2022 on data subject rights – Right of access, Version 1.0, adopted on 18.01.2022 – version for public consultation, Rn. 119.}

_{[15] Für eine Beschränkung der Informationspflicht auf Fälle des Profilings s. etwa BeckOK DatenschutzR/Schmidt-Wudy, 40. Ed. 01.05.2022, DSGVO Art. 15 Rn. 77; für eine Informationspflicht auch in nicht unter Art. 22 DS-GVO subsumierbaren Fällen Kühling/Buchner/Bäcker, 3. Aufl. 2020, Art. 13 DS-GVO Rn. 52.}

_{[16] Umfassend hierzu Plath/Kamlah, 3. Aufl. 2018, Art. 13 DS-GVO Rn. 27.}

_{[17] Vgl. NK/Dix, 1. Aufl. 2019, Art. 13 DS-GVO Rn. 18, Art. 15 DS-GVO Rn. 25.}

_{[18] Plath/Kamlah, 3. Aufl. 2018, Art. 13 DS-GVO Rn. 27}

_{[19] Zum Verhältnis von den Informationspflichten nach lit. a-h zur Auskunftspflicht über die personenbezogenen Daten selbst auch Ehmann/ Selmayr/Ehmann, 2. Aufl. 2018, Art. 15 DS-GVO Rn. 15.}

_{[20] BGH, Urt. v. 28.01.2014 – VI ZR 156/13, ZD 2014, 306 Rn. 20; Simitis/ Dix, 8. Aufl. 2014, § 34 BDSG Rn. 33, m.w.N.}

_{[21] Plath/Kamlah, 3. Aufl. 2018, Art. 13 DS-GVO Rn. 28a a.E.; Paal/Pauly/ Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 13 Rn. 31b; Auernhammer/Eßer, 7. Aufl. 2021, Art. 13 DS-GVO Rn. 48}

_{[22] BGH, Urt. v. 28.01.2014 – VI ZR 156/13, ZD 2014, 306; krit. hierzu Kühling/Buchner/Bäcker, 3. Aufl. 2020, Art. 13 DS-GVO Rn. 54.}

_{[23] BeckOK DatenschutzR/Schmidt-Wudy, 40. Ed. Stand 01.05.2022, Art. 15 DS-GVO Rn. 78.3; in diese Richtung auch die hiesigen Vorlagefragen 1, 2, 3a sowie 3b.}

_{[24] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44.}

_{[25] So auch VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44}

_{[26] So zur Richtlinie 95/46/EG EuGH, Urt. v. 07.05.2009 – C-533/07, BeckRS 2009, 70483 Rn. 49, 51, 52 – Rijkeboer.}

_{[27] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, Vorlagefrage 2, s. auch unter III. ad Frage 1.}

_{[28] Siehe etwa auch Kühling/Buchner/Buchner, 3. Aufl. 2020, Art. 22 DSGVO Rn. 32 ff.}

_{[29] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, unter IV. ad Frage 2.}

_{[30] Vgl. etwa v. Lewinski/Pohl, ZD 2018, 17, 22 f.; in diese Richtung auch VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, Vorlagefrage 1 c, d.}

_{[31] Vgl. etwa Kühling/Buchner/Buchner, 3. Aufl. 2020, Art. 22 DS-GVO Rn. 35a; BeckOK DatenschutzR/Schmidt-Wudy, 40. Ed. Stand 01.05.2022, Art. 15 DS-GVO Rn. 78.3; NK/Dix, 1. Aufl. 2019, Art. 15 DS-GVO Rn. 25.}

_{[32] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, Frage 3a.}

_{[33] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, unter V. ad Frage 3a}

_{[34] Vgl. Kühling/Buchner/Bergt, 3. Aufl. 2020, Art. 83 DS-GVO Rn. 76, nach dem auch eine „schlampige Auskunftserteilung“ den Bußgeldtatbestand auslösen kann.}

_{[35] OLG Köln, Urteil vom 26.07.2019 – 20 U 75/18, ZD 2019, 462, Rn. 66; Auernhammer/Stollhoff, 7. Aufl. 2021, Art. 15 DS-GVO Rn. 38}

_{[36] Ein unbeschränktes Auskunftsrecht nach Abs. 1 annehmend DWWS/ Däubler, 2. Aufl. 2020, Art. 15 DS-GVO Rn. 31; Ehmann/Selmayr/Ehmann, 2. Aufl. 2018, Art. 15 DS-GVO Rn. 35 ff. hingegen eine analoge Anwendung des Abs. 4 befürwortend: BeckOK DatenschutzR/SchmidtWudy, 40. Ed. Stand 01.05.2022, Art. 15 DS-GVO Rn. 49.}

_{[37] BGH, Urt. v. 22.02.2022 – VI ZR 14/21, BeckRS 2022, 5496 Rn. 18.}

_{[38] BGH, Urt. v. 22.02.2022 – VI ZR 14/21, BeckRS 2022, 5496 Rn. 18.}

_{[39] EuArbRK/Schubert, 4. Aufl. 2022, Art. 1 RL 2016/943/EU Rn. 9.}

_{[40] Einschränkungen des Art. 8 GRCh können sich insbesondere auch aus kollidierenden Grundrechten ergeben, Jarass/Jarass, 4. Aufl. 2021, Art. 8 GRC Rn. 18; vgl. etwa auch EuGH, Urt. v. 13.05.2014 – C-131/12, NJW 2014, 2257 Rn. 81 – Google Spain u. Google.}

_{[41] Vgl. zum Verhältnis des Rechts auf Auskunft zum Recht Dritter auf Schutz ihrer personenbezogenen Daten auch BGH, Urt. v. 22.02.2022 – VI ZR 14/21, BeckRS 2022, 5496 Rn. 18.}

_{[42] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, unter VI. ad Frage 3b.}

_{[43] EuGH, Urt. v. 18.10.2012 – C-302/11, Rn. 27, 29, BeckRS 2012, 82049; Streinz/Ehricke, 3. Aufl. 2018, AEUV Art. 267 Rn. 16; Latzel/Streinz, NJOZ 2013, 102.}

_{[44] Plath/Grages, 3. Aufl. 2018, Art. 23 DS-GVO Rn. 1; Paal/Pauly/Paal, 3. Aufl. 2021, Art. 23 DS-GVO Rn. 8; Taeger/Gabel/Koreng, 4. Aufl. 2022, Art. 23 DS-GVO Rn. 1.}

_{[45] S. hierzu bereits III. 1. a.}

_{[46] EuGH, Urt. v. 10.10.1973 – 34/73, BeckRS 2004, 70873 Rn. 9 ff.; Streinz/W. Schroeder, 3. Aufl. 2018, Art. 288 AEUV Rn. 43; Ehmann/ Selmayr/Heberlein, 2. Aufl. 2018, Art. 6 DS-GVO Rn. 46.}

_{[47] EuGH, Urt. v. 28.03.1985 – C-272/83, Slg. 1985, 1057 Rn. 25; Ehmann/ Selmayr/Selk, 2. Aufl. 2018, DS-GVO Art. 88 Rn. 60.}

_{[48] Paal/Pauly/Paal, 3. Aufl. 2021, Art. 23 DS-GVO Rn. 42; BeckOK DatenschutzR/Stender-Vorwachs/Wolff, 40. Ed. 01.11.2021, Art. 23 DS-GVO Rn. 51.}

_{[49] Kühling/Buchner/Bäcker, 3. Aufl. 2020, Art. 23 DS-GVO Rn. 58.}

_{[50] BVerfG, Beschl. v. 10.03.2008 – 1 BvR 2388/03, BVerfGE 120, 351, 364 ff.; BVerfG, Urt. v. 20.04.2016 – 1 BvR 966/09, 1 BvR 1140/09, BeckRS 2016, 44821 Rn. 137.}

_{[51] So ausdrücklich EuGH, Urt. v. 06.10.2015 – C-362/14 – Schrems/Digital Rights Ireland, NJW 2015, 3151 Rn. 92; EuGH, Urt. v. 08.04.2014 – C-293/12, C-594/12 – Digital Rights Ireland Ldt/Minister for Communciations, Marine and Naturale Recources ua, EuZW 2014, 459 Rn. 52.}

_{[52] S. etwa in EuGH, Urt. v. 18.10.2012 – C-302/11, Rn. 27, 29, BeckRS}

_{[53] VwG Wien v. 11.02.2022 – VGW-101/042/791/2020-44, Vorlagefrage 3b, 4a sowie VI. ad Frage 3c und VIII. ad Frage 4a.}

_{[54] III. 1. c).}

_{[55] Auernhammer/Stollhoff, 7. Aufl. 2021, Art. 15 DS-GVO Rn. 38.}