Väliaikainen versio

UNIONIN TUOMIOISTUIMEN TUOMIO (ensimmäinen jaosto)

7 päivänä joulukuuta 2023 (*)

Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – 22 artikla – Automatisoidut yksittäispäätökset – Luottotietopalveluja tarjoavat yritykset – Henkilön kykyä täyttää maksusitoumukset tulevaisuudessa koskevan todennäköisyysarvon automatisoitu määrittäminen (pisteytys) – Kolmannen toteuttama tämän todennäköisyysarvon käyttäminen

Asiassa C‑634/21,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Verwaltungsgericht Wiesbaden (Wiesbadenin hallintotuomioistuin, Saksa) on esittänyt 1.10.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 15.10.2021, saadakseen ennakkoratkaisun asiassa

OQ

vastaan

Land Hessen,

ja jossa asian käsittelyyn osallistuu:

SCHUFA Holding AG,

UNIONIN TUOMIOISTUIN (ensimmäinen jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja A. Arabadjiev sekä tuomarit T. von Danwitz, P. G. Xuereb, A. Kumin (esittelevä tuomari) ja I. Ziemele,

julkisasiamies: P. Pikamäe,

kirjaaja: hallintovirkamies C. Di Bella,

ottaen huomioon kirjallisessa käsittelyssä ja 26.1.2023 pidetyssä istunnossa esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–        OQ, edustajanaan U. Schmidt, Rechtsanwalt,

–        Land Hessen, edustajinaan M. Kottmann ja G. Ziegenhorn, Rechtsanwälte,

–        SCHUFA Holding AG, edustajinaan G. Thüsing ja U. Wuermeling, Rechtsanwalt,

–        Saksan hallitus, asiamiehenään P.-L. Krüger,

–        Tanskan hallitus, asiamiehinään V. Pasternak Jørgensen, M. Søndahl Wolff ja Y. Thyregod Kollberg,

–        Portugalin hallitus, asiamiehinään P. Barros da Costa, I. Oliveira, M. J. Ramos ja C. Vieira Guerra,

–        Suomen hallitus, asiamiehenään M. Pere,

–        Euroopan komissio, asiamiehinään A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

kuultuaan julkisasiamiehen 16.3.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,

on antanut seuraavan

tuomion

1        Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 6 artiklan 1 kohdan ja 22 artiklan tulkintaa.

2        Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat OQ ja Land Hessen (Hessenin osavaltio, Saksa) ja jossa on kyse siitä, että Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hessenin osavaltion tietosuojavaltuutettu ja tiedonvälityksen vapauden valtuutettu, jäljempänä HBDI) kieltäytyi velvoittamasta SCHUFA Holding AG:tä (jäljempänä SCHUFA) hyväksymään OQ:n esittämää pyyntöä, joka koski pääsyn saamista häntä koskeviin henkilötietoihin ja niiden poistamista.

 Asiaa koskevat oikeussäännöt

 Unionin oikeus

3        Yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleessa todetaan seuraavaa:

”Rekisteröidyllä olisi oltava oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka saattaa sisältää hänen henkilökohtaisia ominaisuuksiaan arvioivan toimenpiteen, joka perustuu yksinomaan automaattiseen tietojenkäsittelyyn ja josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin perusteella saatu hylkäävä päätös, joihin ei ole liittynyt ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ’profiloinnin’, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla. Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien petosten ja veronkierron valvomiseksi ja ehkäisemiseksi [Euroopan] unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin tulisi sisältyä käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen.

Rekisteröityä koskevan asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys, rekisterinpitäjän olisi käytettävä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä, toteutettava teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan, sekä turvattava henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon ja estetään muun muassa luonnollisten henkilöiden syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella taikka käsittely, jonka johdosta toteutetaan toimenpiteitä, joilla on tällaisia seurauksia.”

4        Kyseisen asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

– –

4)      ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,

– –”

5        Tämän asetuksen 5 artiklassa, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, säädetään seuraavaa:

”1.      Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)      niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);

b)      ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; – – (’käyttötarkoitussidonnaisuus’);

c)      niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (’tietojen minimointi’);

d)      niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; – – (’täsmällisyys’);

e)      ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; – – (’säilytyksen rajoittaminen’);

f)      niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus – – (’eheys ja luottamuksellisuus’).

2.      Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

6        Yleisen tietosuoja-asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 ja 3 kohdassa säädetään seuraavaa:

”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)      rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b)      käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)      käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)      käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e)      käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f)      käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

– –

3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

a)      unionin oikeudessa; tai

b)       rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. – –”

7        Kyseisen asetuksen 9 artiklan, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, sanamuoto on seuraava:

”1.      Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2.      Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)      rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

– –

g)      käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

– –”

8        Tämän asetuksen 13 artiklan, jonka otsikko on ”Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä”, 2 kohdassa säädetään seuraavaa:

”Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

– –

f)      jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin, olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.”

9        Yleisen tietosuoja-asetuksen 14 artiklan, jonka otsikko on ”Toimitettavat tiedot, kun henkilötietoja ei ole saatu rekisteröidyltä”, 2 kohdassa säädetään seuraavaa:

”Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

– –

g)      jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.”

10      Kyseisen asetuksen 15 artiklan, jonka otsikko on ”Rekisteröidyn oikeus saada tutustua tietoihin”, 1 kohdassa säädetään seuraavaa:

”Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot:

– –

h)      jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.”

11      Tämän asetuksen 22 artiklassa, jonka otsikko on ”Automatisoidut yksittäispäätökset, profilointi mukaan luettuna”, säädetään seuraavaa:

”1.      Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

2.      Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

a)      on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;

b)      perustuu rekisterinpitäjään sovellettav[aan] unionin oikeuteen tai jäsenvaltion lainsäädäntöön, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai

c)      perustuu rekisteröidyn nimenomaiseen suostumukseen.

3.      Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

4.      Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.”

12      Yleisen tietosuoja-asetuksen 78 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”, 1 kohdassa säädetään seuraavaa:

”Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.”

 Saksan oikeus

13      Tietosuojasta 30.6.2017 annetun liittovaltion lain (Bundesdatenschutzgesetz, jäljempänä tietosuojalaki) 31 §:ssä, jonka otsikko on ”Liiketoimien suojaaminen pisteyttämisen ja luottotietojen osalta”, säädetään seuraavaa:

”(1)      Luonnollisen henkilön tietyn tulevan käyttäytymisen todennäköisyysarvon (pisteyttäminen) käyttäminen tämän henkilön kanssa solmittavan sopimussuhteen perustamista, täyttämistä tai päättämistä koskevan päätöksen tekemisen yhteydessä on sallittua ainoastaan, jos

1.      tietosuojalainsäädännön säännöksiä on noudatettu

2.      todennäköisyysarvon laskennassa käytetyt tiedot ovat tieteellisesti hyväksytyn matemaattistilastollisen menetelmän perusteella todistettavasti merkityksellisiä kyseisen käyttäytymisen todennäköisyyttä laskettaessa

3.      todennäköisyysarvon laskemiseen ei ole käytetty yksinomaan osoitteisiin liittyviä tietoja ja

4.      osoitteisiin liittyviä tietoja käytettäessä asianomaiselle henkilölle ilmoitettiin näiden tietojen suunnitellusta käytöstä ennen todennäköisyysarvon laskemista; ilmoittaminen on dokumentoitava.

(2)      Luottotietopalveluja tarjoavien yritysten toimittaman luonnollisen henkilön maksukykyä ja ‑valmiutta koskevan todennäköisyysarvon, jonka laskennassa otetaan huomioon saatavia koskevia tietoja, käyttäminen on sallittua vain, mikäli edellä 1 momentissa säädetyt edellytykset täyttyvät ja laskelmassa otetaan huomioon ainoastaan sellaiset saatavat, joita ei ole erääntymisestä huolimatta maksettu ja

1.      jotka on vahvistettu lainvoimaisessa tai tilapäisesti täytäntöönpanokelpoiseksi julistetussa tuomiossa tai joiden osalta on olemassa siviiliprosessilain [(Zivilprozessordnung)] 794 §:n mukainen velkainstrumentti

2.      jotka on vahvistettu maksukyvyttömyydestä annetun lain [(Insolvenzordnung)] 178 §:n mukaisesti ja joita velallinen ei ole riitauttanut määräajassa

3.      jotka velallinen on nimenomaisesti tunnustanut

4.      joiden osalta

a)      velalliselle on lähetetty saatavan erääntymisen jälkeen ainakin kahdesti kirjallinen maksukehotus

b)      ensimmäisen maksukehotuksen lähettämisestä on kulunut vähintään neljä viikkoa

c)      velalliselle on ilmoitettu aikaisemmin, kuitenkin aikaisintaan ensimmäisen maksukehotuksen yhteydessä, siitä, että luottotietopalveluja tarjoava yritys ottaa tämän mahdollisesti huomioon, ja

d)      velallinen ei ole riitauttanut saatavaa tai

5.      joiden perustana oleva sopimussuhde voidaan päättää maksuviivästysten vuoksi välittömästi ja joiden osalta velalliselle on aiemmin ilmoitettu siitä, että luottotietopalvelujen tarjoaja ottaa tämän mahdollisesti huomioon.

Tämä ei vaikuta muiden luottokelpoisuuden kannalta merkityksellisten tietojen käsittelyn, todennäköisyysarvojen määrittäminen mukaan luettuna, yleisen tietosuojalainsäädännön mukaiseen sallittavuuteen.”

 Pääasia ja ennakkoratkaisukysymykset

14      SCHUFA on Saksan lainsäädännön mukaan perustettu yksityinen yhtiö, joka tarjoaa sopimuskumppaneilleen tietoja kolmansien, muun muassa kuluttajien, luottokelpoisuudesta. Tätä varten se laatii ennusteen henkilön lainan takaisinmaksun kaltaisen tulevan toiminnan todennäköisyydestä (pistemäärä) tämän henkilön tiettyjen ominaispiirteiden perusteella matemaattisten ja tilastollisten menetelmien avulla. Pistemäärien laskeminen (pisteytys) perustuu olettamaan siitä, että kun todetaan, että henkilö kuuluu muista vastaavanlaiset ominaispiirteet omaavista ja tietyllä tavalla toimineista henkilöistä muodostuvaan ryhmään, voidaan ennustaa samankaltaista käyttäytymistä.

15      Ennakkoratkaisupyynnöstä ilmenee, että kolmas osapuoli kieltäytyi myöntämästä OQ:lle lainaa sen jälkeen, kun SCHUFA oli laatinut kielteisiä OQ:ta koskevia tietoja ja toimittanut ne tälle kolmannelle. OQ pyysi SCHUFA:a toimittamaan sille tietoja tallennetuista henkilötiedoista ja poistamaan niistä hänen mielestään virheelliset tiedot.

16      Vastauksena tähän pyyntöön SCHUFA antoi OQ:lle tiedoksi hänen pistemääränsä tason ja selitti pääpiirteittäin, miten pistemäärä lasketaan. Se kuitenkin kieltäytyi liikesalaisuuteen vedoten ilmaisemasta tässä laskelmassa huomioon otettuja eri tietoja ja niiden painotusta. Lopuksi SCHUFA ilmoitti, että se ainoastaan välitti tietoja sopimuskumppaneilleen ja että nämä sopimuskumppanit tekivät varsinaiset sopimuksiin liittyvät päätökset.

17      OQ pyysi 18.10.2018 tekemässään kantelussa, että toimivaltainen valvontaviranomainen HBDI velvoittaa SCHUFA:n hyväksymään hänen esittämänsä vaatimuksen, joka koskee tietoihin tutustumista ja niiden poistamista.

18      HBDI hylkäsi 3.6.2020 tekemällään päätöksellä tämän määräyksen antamista koskevan pyynnön ja selitti, ettei ollut osoitettu, että SCHUFA olisi laiminlyönyt BDSG:n 31 §:ssä vahvistettuja vaatimuksia, joita sen on noudatettava toiminnassaan.

19      OQ nosti tästä päätöksestä kanteen ennakkoratkaisua pyytäneessä tuomioistuimessa Verwaltungsgericht Wiesbadenissa (Wiesbadenin hallintotuomioistuin, Saksa) yleisen tietosuoja-asetuksen 78 artiklan 1 kohdan perusteella.

20      Tämän tuomioistuimen mukaan sen käsiteltävänä olevan riita-asian ratkaisemiseksi on selvitettävä, onko pääasiassa kyseessä olevan kaltaisen todennäköisyysarvon määrittäminen yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitettu automatisoitu yksittäispäätös. Jos asia nimittäin on näin, kyseisen toiminnan lainmukaisuus edellyttää tämän asetuksen 22 artiklan 2 kohdan b alakohdan mukaisesti sitä, että tämä päätös perustuu unionin oikeuteen tai rekisterinpitäjään sovellettavaan jäsenvaltion lainsäädäntöön.

21      Tältä osin ennakkoratkaisua pyytäneellä tuomioistuimella on epäilyksiä käsityksestä, jonka mukaan yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa ei sovelleta SCHUFA:n kaltaisten yhtiöiden toimintaan. Se perustaa epäilynsä tosiseikaston kannalta siihen merkitykseen, joka pääasiassa kyseessä olevalla todennäköisyysarvolla on sen tiedoksi saaneiden kolmansien päätöksentekokäytäntöön, ja oikeudelliselta kannalta pääasiallisesti tämän 22 artiklan 1 kohdan tavoitteisiin ja yleisessä tietosuoja-asetuksessa vahvistettuihin oikeussuojatakeisiin.

22      Täsmällisemmin ennakkoratkaisua pyytänyt tuomioistuin korostaa, että todennäköisyysarvo ratkaisee tavallisesti sen, tekeekö kolmas sopimuksen rekisteröidyn kanssa ja millä tavoin tämä tapahtuu. Yleisen tietosuoja-asetuksen 22 artiklan tarkoituksena on nimenomaan suojella henkilöitä pelkästään automatisoituun käsittelyyn perustuviin päätöksiin liittyviltä vaaroilta.

23      Sitä vastoin on niin, että jos yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa on tulkittava siten, että pääasiassa kyseessä olevan kaltaisessa tilanteessa automatisoituna yksittäispäätöksenä voidaan pitää ainoastaan kolmannen tekemää rekisteröityä koskevaa päätöstä, siitä seuraisi aukko oikeussuojassa. Yhtäältä SCHUFA:n kaltaisella yhtiöllä ei nimittäin olisi velvollisuutta antaa pääsyä muihin tietoihin kuin niihin, joihin rekisteröidyllä on oikeus tutustua tämän asetuksen 15 artiklan 1 kohdan h alakohdan nojalla, koska tämä yhtiö ei olisi kyseisessä säännöksessä ja näin ollen tämän asetuksen 22 artiklan 1 kohdassa tarkoitetun automatisoidun päätöksen tekevä yhtiö. Toisaalta todennäköisyysarvon tiedoksi saanut kolmas ei voi antaa näitä muita tietoja, koska sillä ei ole niitä käytettävissään.

24      Ennakkoratkaisua pyytäneen tuomioistuimen mukaan on siis niin, että jotta vältetään tällainen aukko oikeussuojassa, on tarpeen, että pääasiassa kyseessä olevan kaltaisen todennäköisyysarvon määrittäminen kuuluu yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltamisalaan.

25      Se arvioi, että jos tällainen tulkinta hyväksyttäisiin, tällaisen toiminnan lainmukaisuus edellyttää sitä, että asianomaisessa jäsenvaltiossa on olemassa oikeusperusta tämän asetuksen 22 artiklan 2 kohdan b alakohdan mukaisesti. Vaikka onkin totta, että nyt käsiteltävässä asiassa BDSG:n 31 § voi olla tällainen oikeusperusta Saksassa, on kuitenkin vakavia epäilyksiä siitä, onko kyseinen säännös yhteensopiva yleisen tietosuoja-asetuksen 22 artiklan kanssa, koska Saksan lainsäätäjä sääntelee ainoastaan pääasiassa kyseessä olevan kaltaisen todennäköisyysarvon ”käyttämistä” eikä tällaisen arvon määrittämistä sellaisenaan.

26      Ennakkoratkaisua pyytäneen tuomioistuimen mukaan on sitä vastoin niin, että jos tällaisen todennäköisyysarvon määrittämistä ei pidetä yleisen tietosuoja-asetuksen 22 artiklassa tarkoitettuna automatisoituna yksittäispäätöksenä, tämän 22 artiklan 2 kohdan b alakohdassa olevaa poikkeamisen mahdollistavaa sääntöä ei sovelleta myöskään tätä toimintaa koskevaan kansalliseen lainsäädäntöön. Kun otetaan huomioon, että yleinen tietosuoja-asetus on lähtökohtaisesti tyhjentävä eikä ole muuta tällaista kansallista lainsäädäntöä koskevaa lainsäädäntövaltaa, vaikuttaa siltä, että Saksan lainsäätäjä, kun se asettaa todennäköisyysarvojen määrittämisen lainmukaisuudelle täydentäviä sisällöllisiä edellytyksiä, täsmentää säänneltyä alaa mennen yleisen tietosuoja-asetuksen 6 ja 22 artiklassa asetettuja edellytyksiä pidemmälle ilman, että sillä olisi tätä koskevaa sääntelyvaltaa. Jos tämä näkemys on paikkansapitävä, muutetaan kansallisella valvontaviranomaisella olevaa tutkintaa koskevaa harkintamarginaalia siten, että tämän olisi näin ollen arvioitava luottotietopalveluja tarjoavien yritysten toiminnan yhteensopivuutta tämän asetuksen 6 artiklan perusteella.

27      Tässä tilanteessa Verwaltungsgericht Wiesbaden on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)      Onko [yleisen tietosuoja-asetuksen] 22 artiklan 1 kohtaa tulkittava siten, että jo rekisteröidyn kykyä hoitaa tulevaisuudessa luottoa koskevan todennäköisyysarvon automatisoitu määrittäminen muodostaa pelkästään automaattiseen käsittelyyn, kuten profilointiin, perustuvan päätöksen, jolla on rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi, jos rekisterinpitäjä välittää tämän rekisteröidyn henkilötietojen perusteella määritetyn arvon kolmannelle rekisterinpitäjälle ja kyseinen kolmas käyttää tätä arvoa keskeisenä perustana tehdessään päätöksen sopimussuhteen perustamisesta, täyttämisestä tai päättämisestä rekisteröidyn kanssa?

2)      Jos ensimmäiseen kysymykseen vastataan kieltävästi:

Onko [yleisen tietosuoja-asetuksen] 6 artiklan 1 kohtaa ja 22 artiklaa tulkittava siten, että ne ovat esteenä kansalliselle lainsäädännölle, jonka mukaan luonnollisen henkilön tietyn tulevan käyttäytymisen todennäköisyysarvon – joka nyt käsiteltävässä asiassa koskee luonnollisen henkilön maksukykyä ja ‑valmiutta ja jonka laskemisessa on otettu huomioon saatavia koskevia tietoja – käyttäminen tämän henkilön kanssa solmittavan sopimussuhteen perustamista, täyttämistä tai päättämistä koskevan päätöksen tekemisen yhteydessä (pisteyttäminen) on sallittua vain, jos tietyt muut ennakkoratkaisupyynnön perusteluissa tarkemmin esitetyt edellytykset täyttyvät?”

 Ennakkoratkaisupyynnön tutkittavaksi ottaminen

28      SCHUFA kyseenalaistaa sen, voidaanko ennakkoratkaisupyyntö ottaa tutkittavaksi, ja väittää ensiksi, että ennakkoratkaisua pyytäneen tuomioistuimen tehtävänä ei ole valvoa HBDI:n kaltaisen valvontaviranomaisen tekemän kantelua koskevan päätöksen sisältöä, koska tällaista päätöstä koskevan oikeussuojakeinon, josta säädetään yleisen tietosuoja-asetuksen 78 artiklan 1 kohdassa, tarkoituksena on ainoastaan sen valvominen, onko kyseinen viranomainen noudattanut tämän asetuksen mukaisia velvollisuuksiaan ja erityisesti kanteluiden käsittelemistä koskevaa velvollisuuttaan, etenkin, kun tällä viranomaisella on harkintavalta päättää, ryhtyykö se toimiin ja miten se tämän tekee.

29      Toiseksi SCHUFA väittää, että ennakkoratkaisua pyytänyt tuomioistuin ei esitä täsmällisiä syitä sille, miksi esitetyt kysymykset ovat olennaisia pääasiassa annettavan ratkaisun kannalta. Riidan kohteena on tietopyyntö, joka koskee konkreettista pistemäärää ja sen poistamista. SCHUFA katsoo, että se on nyt käsiteltävässä asiassa noudattanut riittävällä tavalla tiedonantovelvollisuuttaan ja jo poistanut menettelyn kohteena olevan pistemäärän.

30      Tältä osin on muistutettava, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan yksinomaan kansallisen tuomioistuimen, jossa asia on vireillä ja joka vastaa annettavasta ratkaisusta, tehtävänä on asian erityispiirteiden perusteella harkita, onko ennakkoratkaisu tarpeen asian ratkaisemiseksi ja onko sen unionin tuomioistuimelle esittämillä kysymyksillä merkitystä asian kannalta. Jos esitetyt kysymykset koskevat unionin oikeussäännön tulkintaa, unionin tuomioistuimen on siten lähtökohtaisesti ratkaistava ne (tuomio 12.1.2023, DOBELES HES, C‑702/20 ja C‑17/21, EU:C:2023:1, 46 kohta oikeuskäytäntöviittauksineen).

31      Tästä seuraa, että unionin oikeutta koskevilla kysymyksillä oletetaan olevan merkitystä asian ratkaisemisen kannalta. Unionin tuomioistuin voi kieltäytyä ratkaisemasta kansallisen tuomioistuimen esittämän ennakkoratkaisukysymyksen ainoastaan silloin, kun on ilmeistä, että pyydetyllä unionin oikeussäännön tulkitsemisella ei ole mitään yhteyttä kansallisessa tuomioistuimessa käsiteltävän asian tosiseikkoihin tai kohteeseen, jos ongelma on luonteeltaan hypoteettinen taikka jos unionin tuomioistuimella ei ole tiedossaan niitä tosiseikkoja ja oikeudellisia seikkoja, jotka ovat tarpeen, jotta se voisi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin (tuomio 12.1.2023, DOBELES HES, C‑702/20 ja C‑17/21, EU:C:2023:1, 47 kohta oikeuskäytäntöviittauksineen).

32      Ensiksi oikeudenkäyntiväitteestä, joka koskee valvontaviranomaisen tekemien kantelua koskevien päätösten väitetysti rajoitettua tuomioistuinvalvontaa, on muistutettava, että yleisen tietosuoja-asetuksen 78 artiklan 1 kohdan mukaan jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai tuomioistuimen ulkopuolisia oikeussuojakeinoja.

33      Nyt käsiteltävässä asiassa HBDI:n valvontaviranomaisena tekemä päätös on tämän 78 artiklan 1 kohdassa tarkoitettu oikeudellisesti sitova päätös. Tutkittuaan käsiteltäväkseen saatetun kantelun perusteltavuuden tämä viranomainen nimittäin antoi sitä koskevan ratkaisun ja totesi, että kantajan pääasiassa riitauttama henkilötietojen käsittely oli lainmukaista.

34      Tällaiseen päätökseen kyseisen 78 artiklan 1 kohdan mukaisen oikeussuojakeinon yhteydessä kohdistuvan tuomioistuinvalvonnan laajuuden osalta on riittävää todeta, että valvontaviranomaisen tekemän kantelua koskevan päätöksen on oltava täysimääräisen tuomioistuinvalvonnan kohteena (tuomio 7.12.2023, SCHUFA Holding (Veloista vapauttaminen), C‑26/22 ja C‑64/22, EU:C:2023:XXX, tuomiolauselman 1 kohta).

35      SCHUFA:n esittämä ensimmäinen oikeudenkäyntiväite on näin ollen hylättävä.

36      Toiseksi ennakkoratkaisupyynnöstä käy selkeästi ilmi, että ennakkoratkaisua pyytänyt tuomioistuin pohtii, mitä valvontaa koskevaa edellytystä on sovellettava, kun arvioidaan yleisen tietosuoja-asetuksen valossa pääasiassa kyseessä olevaa henkilötietojen käsittelyä, kun kyseinen edellytys riippuu siitä, sovelletaanko tämän asetuksen 22 artiklan 1 kohtaa.

37      Ei siis ole ilmeistä, että pyydetyllä yleisen tietosuoja-asetuksen tulkinnalla ei olisi mitään yhteyttä pääasian tosiseikkoihin tai kohteeseen tai että ongelma olisi luonteeltaan hypoteettinen. Unionin tuomioistuimella on lisäksi tiedossaan ne tosiseikat ja oikeudelliset seikat, jotka ovat tarpeen, jotta se voi antaa hyödyllisen vastauksen sille esitettyihin kysymyksiin.

38      Näin ollen myös toinen SCHUFA:n esittämä oikeudenkäyntiväite on hylättävä.

39      Ennakkoratkaisupyyntö on näin ollen otettava tutkittavaksi.

 Ennakkoratkaisukysymysten tarkastelu

 Ensimmäinen kysymys

40      Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään pääasiallisesti sitä, onko yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa tulkittava siten, että tässä säännöksessä tarkoitettuna automatisoituna yksittäispäätöksenä on pidettävä luottotietopalveluja tarjoavan yrityksen toteuttamaa sellaisen todennäköisyysarvon, joka perustuu henkilön kykyä täyttää maksusitoumukset tulevaisuudessa koskeviin kyseisen henkilön henkilötietoihin, automatisoitua määrittämistä silloin, kun kyseisestä todennäköisyysarvosta riippuu olennaisesti se, perustaako, täyttääkö tai päättääkö tämän todennäköisyysarvon tiedoksi saanut kolmas osapuoli sopimussuhteen tämän henkilön kanssa.

41      Esitettyyn kysymykseen vastaamiseksi aluksi on syytä muistuttaa, että unionin oikeussäännön tulkinta edellyttää, että huomioon otetaan paitsi sen sanamuoto myös asiayhteys, johon se kuuluu, sekä sen toimen tavoitteet ja tarkoitus, jonka osa se on (tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 38 kohta oikeuskäytäntöviittauksineen).

42      Yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan sanamuodon osalta on todettava, että tämän säännöksen mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

43      Tämän säännöksen sovellettavuudella on näin ollen kolme kumulatiivista edellytystä eli ensiksi se, että kyseessä on ”päätös”, toiseksi se, että kyseinen päätös ”perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin”, ja kolmanneksi se, että sillä on ”[rekisteröityä] koskevia oikeusvaikutuksia” tai se vaikuttaa häneen ”vastaavalla tavalla merkittävästi”.

44      Ensiksi edellytyksestä, joka koskee päätöksen olemassaoloa, on todettava, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa olevaa päätöksen käsitettä ei ole määritelty tässä asetuksessa. Tämän säännöksen sanamuodosta käy kuitenkin ilmi, että tämä käsite viittaa paitsi toimiin, joilla on asianomaista henkilöä koskevia oikeusvaikutuksia, myös toimiin, jotka vaikuttavat häneen vastaavalla tavalla merkittävästi.

45      Päätöksen käsitteen laaja ulottuvuus vahvistetaan yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleessa, jonka sanamuodon mukaan henkilön henkilökohtaisia ominaisuuksia arvioiva päätös, jollaisen kohteeksi tällä olisi oltava oikeus olla joutumatta, ”saattaa sisältää – – toimenpiteen”, josta hänelle voi aiheutua ”oikeudellisia vaikutuksia” tai joka voi ”vaikuttaa häneen vastaavalla merkittävällä tavalla”. Tämän perustelukappaleen mukaan päätöksen käsitteeseen kuuluvat esimerkiksi online-luottohakemuksen automatisoitu epääminen tai sähköisen rekrytoinnin perusteella saatu hylkäävä päätös, joihin ei ole liittynyt ihmisen osallistumista.

46      Kuten julkisasiamies on todennut ratkaisuehdotuksensa 38 kohdassa, yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitettuun päätöksen käsitteeseen voi näin ollen sisältyä useita toimia, jotka voivat vaikuttaa rekisteröityyn eri tavoilla, joten tämä käsite on riittävän laaja, jotta siihen voi sisältyä henkilön luottokelpoisuuden laskennan tulos, joka perustuu todennäköisyysarvoon, joka koskee tämän henkilön kykyä täyttää maksusitoumukset tulevaisuudessa.

47      Toiseksi sen edellytyksen osalta, jonka mukaan tämän 22 artiklan 1 kohdassa tarkoitetun päätöksen on perustuttava ”pelkästään automaattiseen käsittelyyn, kuten profilointiin”, on riidatonta, kuten julkisasiamies on todennut ratkaisuehdotuksensa 33 kohdassa, että SCHUFA:n harjoittaman kaltainen toiminta vastaa yleisen tietosuoja-asetuksen 4 artiklan 4 alakohdassa olevaa profiloinnin määritelmää ja näin ollen kyseinen edellytys täyttyy nyt käsiteltävässä asiassa; ensimmäisen ennakkoratkaisukysymyksen sanamuodossa lisäksi viitataan nimenomaisesti sellaisen todennäköisyysarvon, joka perustuu henkilön kykyä täyttää maksusitoumukset tulevaisuudessa koskeviin kyseisen henkilön henkilötietoihin, automatisoituun määrittämiseen.

48      Kolmanneksi sen edellytyksen osalta, jonka mukaan päätöksellä on oltava asianomaista henkilöä ”koskevia oikeusvaikutuksia” tai sen on vaikutettava häneen ”vastaavalla tavalla merkittävästi”, ensimmäisen ennakkoratkaisukysymyksen sisällöstä itsessään käy ilmi, että todennäköisyysarvo on tämän arvon tiedoksi saaneen kolmannen osapuolen toiminnan ”keskeisenä perustana”. Näin ollen ennakkoratkaisua pyytäneen tuomioistuimen esittämien tosiseikkoja koskevien toteamusten mukaan tilanteessa, jossa kuluttaja hakee pankilta lainaa, liian alhaisesta todennäköisyysarvosta seuraa miltei kaikissa tapauksissa, että kyseinen pankki kieltäytyy myöntämästä haettua lainaa.

49      Näissä olosuhteissa on katsottava, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltamiselle asetettu kolmas edellytys täyttyy sekin, koska pääasiassa kyseessä olevan kaltainen todennäköisyysarvo vähintäänkin vaikuttaa rekisteröityyn merkittävällä tavalla.

50      Tästä seuraa, että pääasiassa kyseessä olevan kaltaisissa olosuhteissa, joissa luottotietopalveluja tarjoavan yrityksen määrittämä ja pankille tiedoksi annettu todennäköisyysarvo vaikuttaa olennaisesti luoton myöntämiseen, tämän arvon määrittämistä on pidettävä itsessään päätöksenä, jolla on rekisteröityä ”koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi” yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetulla tavalla.

51      Tätä tulkintaa tukevat yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan asiayhteys sekä kyseisen asetuksen tavoitteet ja tarkoitus.

52      Kuten julkisasiamies on todennut ratkaisuehdotuksensa 31 kohdassa, tältä osin on huomautettava, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa annetaan rekisteröidylle ”oikeus” olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin. Siinä asetetaan periaatteellinen kielto, jonka noudattamatta jättämiseen tällaisen henkilön ei tarvitse erikseen vedota.

53      Kuten yleisen tietosuoja-asetuksen 22 artiklan 2 kohdasta ja tämän asetuksen johdanto-osan 71 perustelukappaleesta yhdessä luettuina ilmenee, pelkästään automatisoituun käsittelyyn perustuvan päätöksen tekeminen on nimittäin sallittua vain tämän 22 artiklan 2 kohdassa mainituissa tapauksissa eli silloin, jos tämä päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täyttämistä varten (a alakohta), perustuu unionin oikeuteen tai rekisterinpitäjään sovellettavaan jäsenvaltion lainsäädäntöön (b alakohta) tai jos se perustuu rekisteröidyn nimenomaiseen suostumukseen (c alakohta).

54      Lisäksi yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa ja 3 kohdassa säädetään, että on vahvistettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tämän asetuksen 22 artiklan 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on taattava rekisteröidylle vähintäänkin oikeus vaatia, että tiedot käsittelee luonnollinen henkilö, sekä oikeus esittää kantansa ja riitauttaa päätös.

55      Lisäksi yleisen tietosuoja-asetuksen 22 artiklan 4 kohdan mukaan tässä 22 artiklassa tarkoitetut automatisoidut yksittäispäätökset voivat perustua tämän asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin ainoastaan tietyissä erityistapauksissa.

56      Lisäksi tapauksessa, jossa tehdään yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetun kaltainen automatisoitu päätös, yhtäältä rekisterinpitäjällä on tietojen toimittamista koskevia lisävelvollisuuksia tämän asetuksen 13 artiklan 2 kohdan f alakohdan ja 14 artiklan 2 kohdan g alakohdan nojalla. Toisaalta rekisteröidyllä on tämän asetuksen 15 artiklan 1 kohdan h alakohdan nojalla oikeus saada rekisterinpitäjältä erityisesti ”merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyy[destä] ja mahdollis[ista] seurauks[ista] rekisteröidylle”.

57      Automatisoidun päätöksenteon laillisuutta koskevat tiukemmat vaatimukset sekä tähän liittyvät rekisterinpitäjän tietojen toimittamista koskevat lisävelvollisuudet ja niihin liittyvät rekisteröidyn tietoihin tutustumista koskevat lisäoikeudet selittyvät yleisen tietosuoja-asetuksen 22 artiklan tarkoituksella, joka on henkilöiden suojaaminen niitä erityisiä vaaroja vastaan, joita henkilötietojen automatisoitu käsittely, kuten profilointi, aiheuttaa heidän oikeuksilleen ja vapauksilleen.

58      Kuten yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleesta käy ilmi, kyseinen käsittely nimittäin merkitsee sen kohteena olevaa luonnollista henkilöä koskevien henkilökohtaisten ominaisuuksien arviointia erityisesti hänen työsuorituksensa, taloudellisen tilanteensa, terveytensä, henkilökohtaisten mieltymystensä tai kiinnostuksen kohteidensa, luotettavuutensa tai käyttäytymisensä, sijaintinsa tai liikkumisensa analysoimiseksi tai ennakoimiseksi.

59      Nämä erityiset vaarat voivat kyseisen perustelukappaleen mukaan kohdistua rekisteröidyn oikeutettuihin etuihin ja oikeuksiin, kun erityisesti otetaan huomioon mahdolliset syrjivät vaikutukset, jotka kohdistuvat luonnollisiin henkilöihin rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella. Kyseisen perustelukappaleen mukaan on siis sovellettava asianmukaisia suojatoimia ja varmistettava rekisteröityä koskeva asianmukainen ja läpinäkyvä käsittely, erityisesti käyttämällä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä ja toteuttamalla teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että virheriski minimoidaan.

60      Edellä 42–50 kohdassa oleva tulkinta ja erityisesti yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetun päätöksen käsitteen laaja ulottuvuus vahvistavat kyseisellä säännöksellä tavoiteltua tehokasta suojaa.

61      Sitä vastoin pääasiassa kyseessä olevan kaltaisissa olosuhteissa, joissa on mukana kolme toimijaa, on vaara yleisen tietosuoja-asetuksen 22 artiklan kiertämisestä ja tämän seurauksena oikeussuojan aukosta, jos kyseistä säännöstä tulkittaisiin suppeasti siten, että kyseistä todennäköisyysarvoa olisi pidettävä vain valmistelevana toimena ja ainoastaan kolmannen osapuolen antamaa tointa voitaisiin tarvittaessa pitää tämän asetuksen 22 artiklan 1 kohdassa tarkoitettuna päätöksenä.

62      Tässä tilanteessa pääasiassa kyseessä olevan kaltaisen todennäköisyysarvon määrittäminen nimittäin jäisi yleisen tietosuoja-asetuksen 22 artiklan 2–4 kohdassa säädettyjen erityisten vaatimusten ulkopuolelle siitä huolimatta, että kyseinen menettely perustuu automatisoituun käsittelyyn ja se vaikuttaa rekisteröityyn merkittävällä tavalla, koska kyseinen todennäköisyysarvo ohjaa olennaisesti tämän arvon tiedoksi saaneen kolmannen osapuolen toimintaa.

63      Kuten julkisasiamies on todennut ratkaisuehdotuksensa 48 kohdassa, yhtäältä rekisteröity ei myöskään voisi vedota häntä koskevan todennäköisyysarvon määrittävää luottotietopalveluja tarjoavaa yritystä vastaan oikeuteensa saada tutustua yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdassa tarkoitettuihin erityisiin tietoihin tilanteessa, jossa kyseinen yhtiö ei ole tehnyt automatisoitua päätöstä. Toisaalta on niin, että vaikka oletettaisiin, että kolmannen osapuolen antama toimi kuuluu tämän asetuksen 22 artiklan 1 kohdan soveltamisalaan, jos se täyttää kyseisen säännöksen soveltamisedellytykset, kyseinen kolmas osapuoli ei pystyisi toimittamaan näitä erityisiä tietoja, koska sillä ei yleensä ole niitä.

64      Siitä, että pääasiassa kyseessä olevan kaltaisen todennäköisyysarvon määrittäminen kuuluu yleisen tietosuoja-asetuksen 22 artiklan 1 kohdan soveltamisalaan, seuraa – kuten edellä 53–55 kohdassa on todettu –, että se on kiellettyä, paitsi jos voidaan soveltaa jotakin yleisen tietosuoja-asetuksen 22 artiklan 2 kohdassa säädetyistä poikkeuksista ja jos noudatetaan tämän asetuksen 22 artiklan 3 ja 4 kohdassa säädettyjä erityisiä vaatimuksia.

65      Täsmällisemmin yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan, johon ennakkoratkaisua pyytänyt tuomioistuin viittaa, osalta kyseisen säännöksen sanamuodostakin käy ilmi, että kansallisessa lainsäädännössä, jossa sallitaan automatisoidun yksittäispäätöksen tekeminen, on vahvistettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

66      Yleisen tietosuoja-asetuksen johdanto-osan 71 perustelukappaleen valossa tällaisiin toimenpiteisiin on erityisesti kuuluttava rekisterinpitäjän velvollisuus käyttää asianmukaisia matemaattisia tai tilastollisia menetelmiä ja toteuttaa teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että virheriski minimoidaan ja virheet korjataan, sekä velvollisuus turvata henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon, ja estää muun muassa häneen kohdistuva syrjintä. Näihin toimenpiteisiin kuuluu lisäksi vähintäänkin rekisteröidyn oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeus esittää kantansa ja riitauttaa päätös.

67      Lisäksi on todettava, että unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan henkilötietojen käsittelyssä on yhtäältä noudatettava yleisen tietosuoja-asetuksen 5 artiklassa mainittuja tietojen käsittelyä koskevia periaatteita ja toisaalta, kun otetaan huomioon erityisesti kyseisen artiklan 1 kohdan a alakohdan mukainen käsittelyn lainmukaisuuden periaate, jonkin saman asetuksen 6 artiklassa luetellun lainmukaisuuden edellytyksen on täytyttävä kyseisen käsittelyn osalta (tuomio 20.10.2022, Digi, C‑77/21, EU:C:2022:805, 49 kohta oikeuskäytäntöviittauksineen). Rekisterinpitäjän on voitava osoittaa noudattavansa kyseisiä periaatteita tämän asetuksen 5 artiklan 2 kohdassa säädetyn osoitusperiaatteen mukaisesti (ks. vastaavasti tuomio 20.10.2022, Digi, C‑77/21, EU:C:2022:805, 24 kohta).

68      Näin ollen tilanteessa, jossa jäsenvaltion oikeudessa sallitaan yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaisesti pelkästään automatisoituun käsittelyyn perustuvan päätöksen tekeminen, kyseisessä käsittelyssä on noudatettava paitsi tässä säännöksessä ja asetuksen 22 artiklan 4 kohdassa asetettuja edellytyksiä myös asetuksen 5 ja 6 artiklassa asetettuja edellytyksiä. Näin ollen jäsenvaltiot eivät voi antaa yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan nojalla säännöstöä, jossa sallitaan profilointi näissä 5 ja 6 artiklassa, sellaisina kuin niitä on tulkittu unionin tuomioistuimen oikeuskäytännössä, asetettujen vaatimusten vastaisesti.

69      Erityisesti yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a, b ja f alakohdassa, joita voidaan soveltaa pääasiassa kyseessä olevan kaltaisessa tapauksessa, säädettyjen lainmukaisuutta koskevien edellytysten osalta on todettava, että jäsenvaltiot eivät voi säätää näiden edellytysten soveltamista koskevia täydentäviä sääntöjä, vaan tällainen mahdollisuus on rajoitettu kyseisen asetuksen 6 artiklan 3 kohdan mukaisesti asetuksen 6 artiklan 1 kohdan c ja e alakohdassa oleviin perusteisiin.

70      Lisäksi erityisesti yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan osalta on todettava, että jäsenvaltiot eivät voi tämän asetuksen 22 artiklan 2 kohdan b alakohdan nojalla sivuuttaa unionin tuomioistuimen 7.12.2023 antamaan tuomioon SCHUFA Holding (Veloista vapauttaminen) (C‑26/22 ja C‑64/22, EU:C:2023:XXX) perustuvasta oikeuskäytännöstä johtuvia vaatimuksia varsinkaan vahvistamalla lopullisesti, mikä on kyseessä olevien oikeuksien ja intressien punninnan tulos (ks. vastaavasti tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 62 kohta).

71      Nyt käsiteltävässä asiassa ennakkoratkaisua pyytänyt tuomioistuin esittää, että ainoastaan BDSG:n 31 § voisi olla yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa tarkoitettu kansallinen oikeusperusta. Kuitenkin sillä on vakavia epäilyksiä siitä, onko kyseinen 31 § yhteensopiva unionin oikeuden kanssa. Jos oletetaan, että kyseinen säännös todetaan unionin oikeuden vastaiseksi, SCHUFA paitsi toimii ilman oikeusperustaa myös rikkoo ipso iure yleisen tietosuoja-asetuksen 22 artiklan 1 kohdassa säädettyä kieltoa.

72      Tältä osin ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä, voidaanko BDSG:n 31 §:ää pitää oikeusperustana, jonka perusteella on yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan nojalla sallittua tehdä pelkästään automatisoituun käsittelyyn perustuva päätös. Jos kyseinen tuomioistuin päätyy katsomaan, että kyseinen 31 § on tällainen oikeusperusta, sen on vielä selvitettävä, täyttyvätkö yleisen tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa ja 4 kohdassa sekä tämän asetuksen 5 ja 6 artiklassa vahvistetut edellytykset nyt käsiteltävässä asiassa.

73      Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 22 artiklan 1 kohtaa on tulkittava siten, että luottotietopalveluja tarjoavan yrityksen toteuttamaa sellaisen todennäköisyysarvon, joka perustuu henkilön kykyä täyttää maksusitoumukset tulevaisuudessa koskeviin kyseisen henkilön henkilötietoihin, automatisoitua määrittämistä on pidettävä tässä säännöksessä tarkoitettuna automatisoituna yksittäispäätöksenä silloin, kun kyseisestä todennäköisyysarvosta riippuu olennaisesti se, perustaako, täyttääkö tai päättääkö tämän todennäköisyysarvon tiedoksi saanut kolmas osapuoli sopimussuhteen tämän henkilön kanssa.

 Toinen kysymys

74      Ensimmäiseen kysymykseen annetun vastauksen perusteella toiseen kysymykseen ei ole tarpeen vastata.

 Oikeudenkäyntikulut

75      Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (ensimmäinen jaosto) on ratkaissut asian seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 22 artiklan 1 kohtaa

on tulkittava siten, että

luottotietopalveluja tarjoavan yrityksen toteuttamaa sellaisen todennäköisyysarvon, joka perustuu henkilön kykyä täyttää maksusitoumukset tulevaisuudessa koskeviin kyseisen henkilön henkilötietoihin, automatisoitua määrittämistä on pidettävä tässä säännöksessä tarkoitettuna automatisoituna yksittäispäätöksenä silloin, kun kyseisestä todennäköisyysarvosta riippuu olennaisesti se, perustaako, täyttääkö tai päättääkö tämän todennäköisyysarvon tiedoksi saanut kolmas osapuoli sopimussuhteen tämän henkilön kanssa.

Allekirjoitukset

*      Oikeudenkäyntikieli: saksa.