Η Schufa Holding AG, ως αποκαλούμενη πιστωτική εταιρεία, κάνει δηλώσεις σχετικά με την πιθανότητα πληρωμής στο μέλλον με βάση την αξιοπιστία πληρωμών των καταναλωτών στο παρελθόν και άλλους παράγοντες. Αυτά τα δημιουργούμενα, τα λεγόμενα σκορ μπορούν να ερωτηθούν από συνεργαζόμενους αντιπροσώπους. Όχι μόνο ο Ευρωπαίος νομοθέτης θεσπίζει κανονισμούς για την προστασία των δεδομένων στο άρθρο 22 του GDPR, αλλά και ο Γερμανός νομοθέτης στο Άρθρο 31 του BDSG. Με τη διάταξη περί παραπομπής του Διοικητικού Δικαστηρίου του Βισμπάντεν (απόφαση της 1ης Οκτωβρίου 2021 – 6 K 788 / 20.WI ), το ΔΕΚ θα έχει πλέον την ευκαιρία όχι μόνο να καθορίσει αυτές τις απαιτήσεις προστασίας δεδομένων για βαθμολόγηση, αλλά και να λάβει θέση σχετικά με το ερώτημα ταυτόχρονα κατά πόσον ο εθνικός νομοθέτης στο πλαίσιο του DSGVO έχει περιθώρια ελιγμών στον τομέα της βαθμολογίας – για το άρθρο 31 BDSG.
Βασικά, δύο ερωτήματα προκύπτουν στο πλαίσιο της διαδικασίας:
- Η δραστηριότητα της Schufa – ο υπολογισμός και η μετάδοση των τιμών σχετικά με την πιθανότητα (επαν) πληρωμής – απευθύνεται σε
(i) Άρθρο 22 GDPR (βλ. πρώτη ερώτηση στο VG) ή/και
(ii) § 31 BDSG (θα αποφασιστεί από το VG); - Μπορεί ο εθνικός νομοθέτης ανεξάρτητα και πέρα από τον GDPR να ρυθμίσει τις απαιτήσεις για τη λεγόμενη βαθμολόγηση; (βλ. δεύτερο ερώτημα του Διοικητικού Δικαστηρίου)
Η ίδια η διάταξη περί παραπομπής πάσχει από πολλές ελλείψεις. Ωστόσο, προσφέρει στο ΔΕΚ την ευκαιρία να τονίσει την προτεραιότητα της εφαρμογής του ευρωπαϊκού δικαίου, ενόψει και του GDPR, και κατά συνέπεια να αρνηθεί έναν (ουσιαστικό) τομέα εφαρμογής λόγω της παρανομίας του δικαίου της Ένωσης – ακόμη και αν το τμήμα 31 Το BDSG μπορεί να ενισχύσει τα δικαιώματα των υποκειμένων των δεδομένων.
Ιστορικό
Το πιστωτικό πρακτορείο Schufa είναι γνωστό ως η εταιρεία βαθμολόγησης στη Γερμανία. Με βάση αναφορές εκκρεμών πληρωμών από συνεργαζόμενες εταιρείες (τα λεγόμενα αρνητικά στοιχεία) καθώς και άλλους παράγοντες, όπως το ιστορικό συμβάσεων, διαμορφώνονται μεμονωμένες αξίες σχετικά με την πιθανότητα (τα λεγόμενα σκορ) με την οποία θα συναντηθεί ο ενδιαφερόμενος τις υποχρεώσεις (επαν) πληρωμής του. Αυτές οι αξίες ζητούνται από τις συνεργαζόμενες εταιρείες κατά περίπτωση, για παράδειγμα σε σχέση με «πληρωμή σε δόσεις» ή άλλα μοντέλα πίστωσης.
Σε όλες αυτές τις διαδικασίες, υποβάλλονται σε επεξεργασία πληροφορίες που επιτρέπουν την εξαγωγή συμπερασμάτων σχετικά με τα φυσικά πρόσωπα που αξιολογούνται. Ως εκ τούτου, υπάρχουν εργασίες επεξεργασίας προσωπικών δεδομένων, καθεμία από κατασκευαστικούς λόγους απαιτούνται (Άρθρο 6, παρ. 1 DSGVO. Δείτε επίσης το "προφίλ" στο άρθρο 4 Αρ. 4 DSGVO.). Αυτές περιλαμβάνουν, για παράδειγμα, τη συγκατάθεση, την αναγκαιότητα σε σχέση με τη σύναψη σύμβασης ή ειδικής νομικής βάσης. Μια απόφαση που λαμβάνεται αυτόματα σε αυτή τη βάση με νομικό ή αρνητικό αποτέλεσμα, όπως η άρνηση σύναψης σύμβασης πίστωσης, απαιτεί επιπλέον ειδική αιτιολόγηση σύμφωνα με το άρθρο 22 παρ. 2 GDPR. Από την άποψη αυτή, εκτός από τη συναίνεση ή την αναγκαιότητα σε σχέση με τη σύναψη σύμβασης, μπορεί να ληφθεί υπόψη μόνο μια νομική βάση βάσει του δικαίου της Ένωσης ή του κράτους μέλους. Επιπλέον, το υποκείμενο των δεδομένων πρέπει να ενημερώνεται για τη "λογική που εμπλέκεται" (Άρθρο 13 Παράγραφος 2 εδ. στ, Άρθ. 14 Παράγραφος 2 στοιχ. ζ, Άρθρο 15 Παράγραφος 1 στοιχ. η ΓΚΠΔ).
Στην προκειμένη περίπτωση, μια εταιρεία αρνήθηκε να συνάψει σύμβαση δανείου στον αιτούντα. Η εν λόγω εταιρεία είχε ζητήσει προηγουμένως αντίστοιχη βαθμολογία από τη Schufa. Στη συνέχεια, η ενάγουσα απευθύνθηκε στη Schufa και ζήτησε, μεταξύ άλλων, πληροφορίες σχετικά με τα προσωπικά δεδομένα που την αφορούν και τη βαθμολογία που χρησιμοποιήθηκε (άρθρο 15 GDPR). Το Schufa περιόρισε τις πληροφορίες του στη βασική λειτουργικότητα του αλγορίθμου χωρίς να αποκαλύψει συγκεκριμένα κριτήρια και τη στάθμισή τους. Επιπλέον, η Schufa επεσήμανε ότι η πραγματική απόφαση για τη σύναψη της σύμβασης είχε ληφθεί από τη συνεργαζόμενη εταιρεία. Ο Επίτροπος της Έσσης για την Προστασία Δεδομένων και την Ελευθερία της Πληροφορίας ( HDI ) απέρριψε περαιτέρω ενέργειες κατά του Schufa, οπότε ο ενδιαφερόμενος μήνυσε στο Διοικητικό Δικαστήριο του Βισμπάντεν. Ο Schufa παρεμβαίνει στη διαδικασία που ανέστειλε το VG προκειμένου να υποβάλει δύο ερωτήσεις στο ΔΕΚ για προδικαστική απόφαση σύμφωνα με το άρθρο 267 ΣΛΕΕ.
(Υποθετική) αξιολόγηση αποκλειστικά σύμφωνα με τον GDPR
Εάν εξετάσετε πρώτα τη νομική κατάσταση αποκλειστικά σύμφωνα με τον GDPR, πρέπει να τηρούνται οι διατάξεις του άρθρου 6, 22 GDPR. Ως νομική βάση για την επεξεργασία σύμφωνα με το άρθρο 6 του ΓΚΠΔ , η Schufa βασίζεται στη συγκατάθεση ή/και σε έννομο συμφέρον.
Αντιθέτως, η εστίαση είναι στο ζήτημα του πεδίου εφαρμογής του άρθρου 22 του ΓΚΠΔ. Μόνο εάν ο Schufa έχει ήδη λάβει απόφαση με τον υπολογισμό (και τη μετάδοση) της βαθμολογίας που «έχει νομική ισχύ στον ενδιαφερόμενο ή τον επηρεάζει σημαντικά με παρόμοιο τρόπο», απαιτείται περαιτέρω, ειδική απόφαση σύμφωνα με το άρθρο 22 (2). ) GDPR Νομική βάση. Αυτή η νομική βάση απαιτείται ήδη για το έργο του Schufa και όχι μόνο από την πλευρά της εταιρείας, η οποία στη συνέχεια ζητά τη βαθμολογία.
Λαμβάνοντας υπόψη τη διατύπωση του άρθρου 22 (1) GDPR, υπάρχουν αμφιβολίες. Η τελική απόφαση για τη σύναψη σύμβασης λαμβάνεται τελικά από τη συνεργαζόμενη εταιρεία. Τα παραδείγματα στις αιτιολογικές σκέψεις φαίνεται να το επιβεβαιώνουν (π.χ. η "αυτόματη απόρριψη μιας ηλεκτρονικής αίτησης δανείου" στην αιτιολογική σκέψη 71 πρόταση 1 GDPR ). Αυτό τονίζει επίσης η Schufa στη δήλωση προστασίας δεδομένων της : «Σημαντικό να γνωρίζετε: η ίδια η SCHUFA δεν λαμβάνει αποφάσεις».
Η VG εντοπίζει ένα δίλημμα εδώ: Μόνο η Schufa έχει πληροφορίες σχετικά με τη "λογική" στην περίπτωση μιας αυτοματοποιημένης απόφασης σύμφωνα με το άρθρο 22 του GDPR. Εάν οι δραστηριότητες της Schufa δεν υπόκεινται στο άρθρο 22 του GDPR, η Schufa δεν χρειάζεται να παρέχει αυτές τις πληροφορίες και η συνεργαζόμενη εταιρεία δεν μπορεί να τις παράσχει λόγω έλλειψης γνώσης. Με βάση την ανάγκη για αποτελεσματική νομική προστασία και από άλλους λόγους, η VG θεωρεί τελικά ότι το άρθρο 22 GDPR εφαρμόζεται στις δραστηριότητες της Schufa. Η πρώτη ερώτηση προσφέρει τώρα στο ΔΕΚ την ευκαιρία να το εγκρίνει. Δεδομένης της «φιλικής προς την προστασία δεδομένων» νομολογίας του ΔΕΚ στο παρελθόν, αυτό δεν φαίνεται απίθανο. Τέλος, το Δικαστήριο έχει δώσει στα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων ιδιαίτερη προτεραιότητα σε πολλές διαδικασίες (βλ. μόνο ΔΕΚ, απόφαση της 29ης Ιουλίου 2019 – C ‑ 40/17, Rn. 65 με περαιτέρω παραπομπές ).
Μια τέτοια ερμηνεία θα είχε ως συνέπεια ότι το Schufa θα έπρεπε να βασίσει την "απόφασή του" είτε στη συγκατάθεση είτε σε ειδική νομική βάση (ενδεχομένως § 31 BDSG – περισσότερα για αυτό παρακάτω) κατά την έννοια του άρθρου 22 (2) GDPR. Σε περίπτωση συναίνεσης, τα υποκείμενα των δεδομένων δικαιούνται επίσης περαιτέρω δικαιώματα σύμφωνα με το Άρθρο 22 Παρ. 3 του ΓΚΠΔ, όπως το δικαίωμα στην ανθρώπινη παρέμβαση.
Συμπερίληψη της § 31 BDSG – πιθανώς αντίθετη με το δίκαιο της Ένωσης
Ο Γερμανός νομοθέτης αποφάσισε να θέσει ειδικές απαιτήσεις για τη βαθμολογία στην Ενότητα 31 BDSG . Για τη χρήση βαθμολογίας για συμβατικές αποφάσεις γενικά, το άρθρο 31 (1) BDSG απαιτεί, μεταξύ άλλων, ότι (δηλωτικά) «έχουν τηρηθεί οι διατάξεις της νομοθεσίας περί προστασίας δεδομένων», ότι μια επιστημονικά αναγνωρισμένη μαθηματική-στατιστική διαδικασία είναι χρησιμοποιείται και ότι τα δεδομένα διεύθυνσης δεν χρησιμοποιούνται αποκλειστικά. Στην περίπτωση της χρήσης μιας τιμής πιθανότητας που καθορίζεται από πιστωτικά γραφεία, το Τμήμα 31 (2) BDSG θέτει επίσης αυξημένες απαιτήσεις για τη συμπερίληψη αρνητικών εγγραφών – πληροφοριών σχετικά με τις εκκρεμείς πληρωμές – πέρα από την αθέτηση (π.χ. τελεσίδικη απόφαση ή αξίωση που αναγνωρίζεται ρητά από ο οφειλέτης). Το HDI ανέφερε, μεταξύ άλλων, ότι το Schufa «γενικά» πληροί τις απαιτήσεις της Ενότητας 31 του Ομοσπονδιακού Νόμου για την Προστασία Δεδομένων (BDSG). Υπάρχουν σημαντικές αμφιβολίες ότι αυτό αρκεί ενόψει του άρθρου 6, 22 GDPR.
Ο κανονισμός δεν είναι σε καμία περίπτωση αριστούργημα του γερμανικού νομοθέτη (βλ. νωρίτερα σε αυτό το σημείο με περαιτέρω παραπομπές ). Όπως υπονοείται από το VG σε σχέση με τους λόγους του νόμου (βλ. π.χ. BT-Drucks. 18/11325, σελ. 101 ), ο κανονισμός μπορεί να θεωρηθεί ως προσπάθεια εφαρμογής κανονισμών βαθμολόγησης στη Γερμανία πριν από την έναρξη ισχύος του GDPR επίσης στην Εποχή του GDPR για διατήρηση. Το πικάντικο εδώ: Ο κανονισμός ρυθμίζει μόνο τη «χρήση» βαθμολογίας για συμβατικές αποφάσεις. Ωστόσο, χρησιμοποιείται από τη συνεργαζόμενη εταιρεία και όχι από τη Schufa. Παραμένει μυστικό της VG κατά πόσον η συμβατότητα της διάταξης με τον GDPR (βλ. δεύτερη ερώτηση) είναι σχετική στην παρούσα υπόθεση ενόψει των δραστηριοτήτων της Schufa. Απαιτείται τουλάχιστον μια προσπάθεια αιτιολόγησης προκειμένου να επεκταθεί η § 31 BDSG στις δραστηριότητες της Schufa μέσω μιας ευρύτερης ερμηνείας. Επιπλέον, δεν είναι σαφές γιατί, κατά τη γνώμη της VG, αυτή η δεύτερη ερώτηση πρέπει να απαντηθεί μόνο στην περίπτωση που το άρθρο 22 παράγραφος 1 του ΓΚΠΔ δεν καλύπτει τις δραστηριότητες της Schufa. Ειδικά εάν το άρθρο 22 παράγραφος 1 GDPR ισχύει για τις δραστηριότητες της Schufa, το ζήτημα των πρόσθετων απαιτήσεων από την Ενότητα 31 BDSG εκτός από το άρθρο 22 GDPR θα ήταν ακόμη πιο επείγον. Το δελτίο τύπου μπορεί επίσης να γίνει κατανοητό σε αυτήν την προτιμώμενη κατεύθυνση. Στη συνέχεια, θεωρείται η δυνατότητα εφαρμογής του άρθρου 22 GDPR, § 31 BDSG στις δραστηριότητες της Schufa και εξετάζεται η ρύθμιση του § 31 BDSG και η συμβατότητά του με τον GDPR.
Συμβατότητα του § 31 BDSG με το δίκαιο της Ένωσης
Αν κάποιος αγνοήσει τις ασυνέπειες στη διάταξη περί παραπομπής, το ΔΕΚ έχει την ευπρόσδεκτη ευκαιρία να αποφασίσει σχετικά με τη συμβατότητα του άρθρου 31 του BDSG με το δίκαιο της Ένωσης. Ο GDPR εφαρμόζεται ως κανονισμός κατά την έννοια του άρθρου 288 εδάφιο 2 της ΣΛΕΕ απευθείας στα κράτη μέλη και έχει προτεραιότητα έναντι των αντικρουόμενων εθνικών κανονισμών. Ο ΓΚΠΔ βασικά επιδιώκει τον στόχο της πλήρους εναρμόνισης (βλ., για παράδειγμα, την αιτιολογική σκέψη 10 του ΓΚΠΔ και τις πολυάριθμες εναρκτήριες ρήτρες). Αυτή η υπόθεση πρέπει να ελεγχθεί με γνώμονα το εκάστοτε αντικείμενο και τους σχετικούς κανονισμούς (βλ. σύμφωνα με την Οδηγία για την Προστασία Δεδομένων 95/46 / απόφαση ΔΕΚ της 19ης Οκτωβρίου 2016 – C ‑ 582/14, περιθωριακός αριθμός 62 ). Ακόμη και βάσει του GDPR, ο Ευρωπαίος νομοθέτης δεν μπορεί τελικά να θεωρηθεί ότι θέλει να ρυθμίσει επιτέλους κάθε συνοριακή περιοχή αστικού ή διοικητικού δικαίου – ανεξάρτητα από το ζήτημα της αρμοδιότητας.
Θα μπορούσε κανείς αρχικά να σκεφτεί να δει την § 31 BDSG ως ειδική νομική βάση κατά την έννοια του άρθρου 22 παράγραφος 2 στοιχείο β) του GDPR, στο βαθμό που οι τομείς εφαρμογής των δύο διατάξεων αλληλοκαλύπτονται. Ενόψει της εστίασης στην «απόφαση» που βασίζεται στην αυτοματοποιημένη επεξεργασία (Άρθρο 22 Παρ. 2 εδ. β GDPR) ή στη «χρήση», είτε είναι αυτοματοποιημένη είτε όχι (Τμήμα 31 BDSG), η VG ορθώς αναφέρει ανησυχίες. Η διατύπωση της Ενότητας 31 (1) BDSG («επιτρέπεται μόνο », η έμφαση που προστέθηκε από τον συγγραφέα) εγείρει επίσης αμφιβολίες ως προς το κατά πόσο η Ενότητα 31 BDSG προορίζεται πράγματι να εγκρίνει αποφάσεις κατά την έννοια του άρθρου 22 GDPR. Αντίστοιχα, αν υποθέσει κανείς ότι το § 31 BDSG δεν παρέχει νομική βάση κατά την έννοια του άρθρου 22, παράγραφος 2, στοιχείο b GDPR, υπάρχουν σημαντικές αμφιβολίες ως προς την εφαρμογή του § 31 BDSG.
§ 31 Το BDSG δεν έχει απαιτήσεις για την αυτοματοποίηση. Από αυτή την άποψη, είναι δυνατόν να γίνουν κατανοητές περιστάσεις στις οποίες εφαρμόζεται η § 31 BDSG, αλλά όχι το άρθρο 22 GDPR, το οποίο απαιτεί αυτοματοποιημένη επεξεργασία. Για τέτοιες περιπτώσεις, θα μπορούσε κανείς να υποθέσει ότι ισχύει το § 31 BDSG, αφού εκ πρώτης όψεως δεν έρχεται σε αντίθεση με το άρθρο 22 του GDPR. Στην πράξη, ωστόσο, τέτοιες μη αυτοματοποιημένες αποφάσεις δύσκολα θα προκύψουν (σκεφτείτε, για παράδειγμα, τις συνήθως αυτοματοποιημένες αποφάσεις συμβάσεων στις ηλεκτρονικές συναλλαγές). Τουλάχιστον όσον αφορά την εν μέρει αυτοματοποιημένη επεξεργασία, ο GDPR ισχύει επίσης ως σύνολο. Από αυτή την άποψη, μπορεί να συναχθεί το συμπέρασμα ότι οι αποφάσεις και οι προπαρασκευαστικές ενέργειες που βασίζονται σε μερική αυτοματοποιημένη επεξεργασία δεν θα πρέπει να υπόκεινται σε περαιτέρω απαιτήσεις ανεξάρτητα από το άρθρο 22 του ΓΚΠΔ. Οι ρήτρες έναρξης επεξεργασίας που περιλαμβάνονται στο άρθρο 6 του ΓΚΠΔ αφορούν συνεπώς μόνο την ίδια την επεξεργασία και όχι με τέτοιες αποφάσεις και προπαρασκευαστικές ενέργειες. Η εκτενής ρήτρα έναρξης του άρθρου 23 παράγραφος 1 στοιχείο ι) του ΓΚΠΔ, η οποία αποσκοπεί στη διευκόλυνση της επιβολής αξιώσεων αστικού δικαίου, δεν φαίνεται σχετική.
Όσο και αν η § 31 BDSG μπορεί να λειτουργήσει όσον αφορά την προστασία των υποκειμένων των δεδομένων (βλ. άρθρο 1 παράγραφος 2 GDPR, άρθρο 8 παράγραφος 1 GRCh) και να δημιουργήσει ένα αυξημένο επίπεδο προστασίας σε θέματα βαθμολόγησης – η διάταξη πιθανότατα παραμένει όσον αφορά τον GDPR δεν υπάρχει σημαντικός τομέας εφαρμογής. Μένει να φανεί με ενθουσιασμό εάν το ΔΕΚ θα συμφωνήσει με αυτό ή εάν, παραδόξως, θα δοθεί στα κράτη μέλη κάποιο περιθώριο ελιγμών.
Τελική εξέταση
Τέλος, θα πρέπει να επισημανθεί για άλλη μια φορά ότι οι εταιρείες που χρησιμοποιούν τις βαθμολογίες – ανεξάρτητα από το Schufa – πρέπει να τηρούν ανεξάρτητα τις απαιτήσεις του άρθρου 6, 22 GDPR για την επεξεργασία και τη λήψη αποφάσεων.
Η διάταξη περί παραπομπής εγείρει επίσης πολύ περισσότερα από τα δύο υποβληθέντα ερωτήματα. Παρόλα αυτά, προσφέρει στο ΔΕΚ την ευκαιρία να προσδιορίσει τις απαιτήσεις του άρθρου 22 του ΓΚΠΔ υπέρ μιας ευρείας ερμηνείας και να ονομάσει την αποτυχημένη § 31 BDSG ως τέτοια. Από την άποψη αυτή, το ΔΕΚ μπορεί να αναπτύξει περαιτέρω αρχές που αναπτύχθηκαν προηγουμένως βάσει της Οδηγίας για την Προστασία Δεδομένων 95/46 / ΕΚ και να τις τεκμηριώσει με υψηλότερο επίπεδο εναρμόνισης ενόψει του GDPR.
Αυτή είναι μια αυτόματη μετάφραση μιας ανάρτησης που δημοσιεύτηκε στο Verfassungsblog στη διεύθυνση URL https://verfassungsblog.de/schufa-dsgvo/ στις Tue, 02 Nov 2021 09:24:29 +0000.