Eine betroffene Person, die einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 EU-DSGVO unterworfen wird, hat das Recht, eine aussagekräftige Information über die bei dieser automatisierten Entscheidungsfindung involvierte Logik, somit die Methode und die Kriterien, die der Verantwortliche dafür verwendet hat, zu erhalten.
EuGH. Schlussanträge. Der EuGH hat sich mit einer Frage aus dem Bereich des Auskunftsrechts zu befassen. Der Generalanwalt hat nun seine Schlussanträge mit den Entscheidungsempfehlungen veröffentlicht.
Art 15 Abs 1 lit h EU-DSGVO räumt der betroffenen Personen das Recht ein, Informationen über die zugrunde liegende Logik von automatisierten Entscheidungsprozessen, einschließlich Profiling, zu erhalten. Gegenständlich ist der Umfang dieser Informationen, die ein Verantwortlicher im Rahmen eines Auskunftsverlangens zur Verfügung stellen muss, Streitthema.
Der betroffenen Person wurde ein Vertrag verweigert. Diese Entscheidung wurde vollständig automatisiert getroffen und basierte auf einem Profiling-Prozess, der verschiedene Daten und Faktoren berücksichtigte, um die Kreditwürdigkeit der Person einzuschätzen. Daraufhin forderte die betroffene Person im Rahmen von Art 15 EU-DSGVO Zugang zu Informationen über die Logik hinter einer automatisierten Entscheidung. Die Auskunftei, die die Bonitätseinschätzung abgegeben hatte, stellte allgemeine Informationen über die Methodik bereit, weigerte sich jedoch, detaillierte technische Informationen über den verwendeten Algorithmus offenzulegen. Dabei würde es sich um ein Geschäftsgeheimnis handeln.
Der EuGH soll nun klären, ob und in welchem Umfang der Verantwortliche Informationen über die Logik hinter der automatisierten Entscheidung offenlegen muss und, ob der Schutz von Geschäftsgeheimnissen die Rechte der betroffenen Person auf Zugang zu Informationen gemäß der EU-DSGVO einschränken kann.
Die wichtigsten Empfehlungen des Generalanwalts an den EuGH:
- Eine betroffene Person, die einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 EU-DSGVO unterworfen wird, hat das Recht, eine aussagekräftige Information über die bei dieser automatisierten Entscheidungsfindung involvierte Logik, somit die Methode und die Kriterien, die der Verantwortliche dafür verwendet hat, zu erhalten.
- Die Information gemäß Art 15 Abs 1 lit h EU-DSGVO müssen es der betroffenen Person ermöglichen, Betroffenenrechte und insbesondere durch diesen Art 22 EU-DSGVO garantierten Rechte auszuüben.
- Sie müssen präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein.
- Sie müssen hinreichend vollständig und kontextbezogen sein, um es dieser Person zu ermöglichen, ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.
- Der Verantwortliche ist jedoch nicht verpflichtet, der betroffenen Person Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen, die nicht über besondere technische Fachkenntnisse verfügen, nicht nachvollzogen werden können.
- Die Mitteilung von Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung verwendet werden, ist somit nicht erforderlich.
- Wird der Geschäftsgeheimnisschutz eingewendet, müssen diese Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht übermittelt werden, damit diese in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit sowie der Vertraulichkeit der Informationen die widerstreitenden Interessen abwägen und den Umfang des der betroffenen Person zu gewährenden Auskunftsrechts bestimmen können.