欧洲法院关于“信用评分”的判决——欧盟法律下访问权...
欧洲法院 (ECJ) 于 2025 年 2 月 27 日做出的最新裁决(C-203/22 - Dun & Bradstreet Austria GmbH) 明确指出,根据《欧盟数据保护条例》第 6 条,数据主体享有全面的信息权利。 15 段h GDPR,特别是关于与信用评分程序相关的自动决策。在此背景下,欧洲法院还就奥地利数据保护法(DSG)第 4(6)条规定的适用性作出了裁决。艺术意义内的信息提供范围。 15 段1 升GDPR
法律诉讼的起点是数据主体对判决中提到的信贷机构处理其个人数据的投诉。数据主体认为该机构提供的有关其数据处理的信息不足。虽然提供了数据处理的一般信息,但并未透露数据的具体来源以及分数值的具体组成和计算逻辑。奥地利数据保护机构将此案提交给维也纳行政法院,后者最终将有关访问权范围和与评分程序相关的个人数据定义的几个问题提交给欧洲法院进行初步裁决。
具体来说,欧洲法院的裁决现在意味着数据主体有权获得有关用于计算其信用状况的程序和原则的具体、透明和易于理解的解释,这些程序和原则与在自动化决策的情况下提供信息的义务有关(GDPR 第 15 条第 1 款 h 项与 GDPR 第 22 条第 1 款结合)。
欧洲法院在其裁决中指出,“[…] 数据主体可以要求控制者以相关信息和简洁、透明、易懂和易于访问的形式,解释为通过自动化手段使用有关该人的个人数据而实际应用的程序和原则,作为‘有关所涉及逻辑的有意义的信息’,以获得特定结果,例如信用概况”(参见欧洲法院 2025 年 2 月 27 日,C-203/22 第 66 段)。
此外,抽象的解释和一般的原则是不够的。仅仅指出复杂的数学公式或详细描述自动决策的每个步骤都是不够的。相反,美国商业传真列表 需要个别参考——信息必须与具体个案相关,包括数据差异的可能影响(欧洲法院 2025 年 2 月 27 日,C-203/22 第 59-62 段)。
DSG(奥地利数据保护法)第 4(6)条在这里发挥多大作用?
DSG 第 4 条第 (6) 款规定,“根据 GDPR 第 15 条,数据主体对控制者的访问权 […]尽管有其他法律限制,但如果提供此类信息会危及控制者或第三方的商业或贸易秘密,则通常不存在该权利。”
该规定导致这样的假设:如果要保护控制者的商业秘密,奥地利数据主体的访问权通常会受到限制。因此,邓白氏奥地利有限公司在诉讼中声称,某些信息,特别是信用评分的计算逻辑和确切数据来源,构成商业秘密或贸易秘密,披露这些信息将危及其经济利益。
不过,欧洲法院就此澄清,尽管对商业或贸易秘密的威胁可能作为合法利益普遍发挥作用,但原则上并不排除《1989 年欧洲数据保护条例》第 6 条规定的数据主体的访问权。 15 GDPR。
相反,艺术。 15 段1升
因此,欧洲法院认为,DSG 第 4(6)条的奥地利规定违反了欧盟法律。
奥地利数据保护机构已经对欧洲法院的裁决作出回应,向 WKO(金融服务提供商专业协会)发出了一封通函,以履行其根据《欧盟数据保护条例》第 6 条所规定的任务。第57段1 升d GDPR(提高控制者和处理者对其义务的认识)。
结论与展望
鉴于这一决定,未来欧洲可能会普遍对《第 14 条》规定的访问权范围采取高标准。 15 段1 升h GDPR。当数据主体请求信息时,建议控制者提供所使用的具体和实际应用的程序的描述,并解释在自动决策的背景下处理哪些特定的个人数据以及如何处理。
尤其是奥地利的控制员,不能再像以前一样援引 DSG 第 4(6)条。该规定仍然正式包含在奥地利数据保护法中并有效。然而,由于欧盟法律的统一解释和优先性,奥地利当局和法院不得再适用这项违反联盟法律的规定。这意味着,危害商业秘密不再意味着数据主体没有访问权。
总体而言,可以观察到国家数据保护标准与欧盟法律相抵触的情况并不少见。例如在奥地利,已经就 DSG 第 12 和 13 条(图像处理特别规定)作出裁定,这些条款与 GDPR 不兼容且不适用,因为没有相应的开篇条款(请参阅,ia,数据保护局(dsb 奥地利共和国)通讯 1/2020以及奥地利联邦行政法院 (BVwG) 的决定或裁决此处和此处) 。
欧洲法院也已经处理过德国国家员工数据保护法的适用性问题。我们上次在这里报道过此事。
頁:
[1]