Daten-Voodoo: Kreditauskunftei CRIF erschafft Bonität aus dem Nichts. Datenschutzbehörde verlangt Offenlegung der “Scoring”-Logik
Nach gut einem Jahr hat die österreichische Datenschutzbehörde (DSB) eine Entscheidung zu unserer ersten Beschwerde gegen die Kreditauskunftei CRIF getroffen. CRIF hatte einem Betroffenen eine negative Bonität zugeschrieben, obwohl die Person der Auskunftei unbekannt war. Der Betroffene erhielt aufgrund seiner angeblich “schlechten” Bonität keinen Stromvertrag.
Die DSB stellt einerseits fest, dass die CRIF den abfragenden Unternehmen offenlegen muss, dass die “Bonität” nur aus Anschrift, Geschlecht, Name und Geburtsdatum errechnet wurde. Zusätzlich muss die CRIF (anders als etwa in Deutschland) dem betroffenen Konsumenten das Scoring erklären.
Auskunft war unzureichend – CRIF muss Zustandekommen des Scores erklären. Der Betroffene hatte sein Auskunftsrecht nach Artikel 15 DSGVO geltend gemacht, um die Verarbeitungszwecke und Empfänger seiner Daten zu verlangen. Diese Woche hielt die DSB fest, dass die von CRIF betriebene Bonitätsbewertung als “Profiling” gilt, da personenbezogene Daten bewertet und analysiert wurden, um die künftige Zahlungsausfallswahrscheinlichkeit des Betroffenen vorherzusagen. Die Tätigkeiten von CRIF sieht die DSB als besonders intensiven Eingriff in die Datenschutzrechte des Betroffenen – schließlich wurde dem Beschwerdeführer ein negativer Score zugeschrieben, obwohl er niemals echte Zahlungserfahrungsdaten (wie Inkassofälle oder Insolvenzverfahren) verursacht hatte. CRIF hatte versucht, selbst minimale Transparenz zu vermeiden und bis zum Ende des Verfahrens jegliche Erklärung verweigert, wie es zu dem konkreten Score gekommen war. Ohne Erfolg – die DSB hat CRIF nun zur Auskunftserteilung verpflichtet. Lediglich die konkrete Computerlogik ist als Geschäftsgeheimnis geschützt.
Alan Dahi, Datenschutzjurist bei noyb: „Die Entscheidung ist ein wichtiger Schritt für mehr Transparenz für Betroffene. Kreditauskunfteien machen seit jeher ein komplettes Geheimnis aus ihren internen Vorgängen, obwohl sie mit den Informationen anderer Menschen gerne ihr Geld verdienen. Jetzt steht fest: Unter der DSGVO müssen auch Kreditauskunfteien verständlich erklären, wie sich die teilweise absurden Scores zusammensetzen. Wir sind gespannt, wie CRIF im gegenständlichen Fall den vollkommen willkürlich wirkenden Score des Betroffenen erklären will.“
Illegitime Berechnung von Bonität anhand demographischer Daten. Darüber hinaus hat die DSB auch CRIFs Intransparenz gegenüber ihren Kund:innen kritisiert. CRIF legt nicht ausreichend offen, dass der verkaufte Bonitäts-Score in den meisten Fällen bloß anhand von demographischen Daten wie Geschlecht, Alter und Wohnort berechnet wird. Für Kund:innen der CRIF entsteht daher der Eindruck einer schlechten Bonität, ohne dass es dafür einen konkreten Anlass gäbe. Letztendlich kann dies zur Beeinträchtigung des wirtschaftlichen Fortkommens und zur Diskriminierung der betroffenen Person kommen. Die DSB entschied daher, dass sich die CRIF in solchen Fällen nicht auf berechtigte Interessen gemäß Artikel 6(1)(f) DSGVO stützen kann, denn die Interessen des Betroffenen, im Geschäftsverkehr nicht benachteiligt zu werden, überwiegen die Verarbeitungsinteressen von CRIF. Nun muss CRIF seine Bonitätsauskünfte umfassend umgestalten - sodass eine betroffene Person CRIF-Kund:innen gegenüber auf faire Weise darlegen kann, warum der von CRIF ausgegebene Score wenig mit der Realität zu tun hat.
Alan Dahi: „CRIF muss seinen Kunden in der Tat offenlegen, dass es sich in Wahrheit um bloße Voodoo-Scores handelt, die ohne wirklich bonitätsrelevante Daten errechnet wurden. Der von noyb vertretene Betroffene ist kein Einzelfall. Laut Eigenangaben von CRIF liegen zu nicht einmal 10% der Österreicherinnen negative Daten vor - bei 90% sind es also nur Anschrift, Geburtsdatum und Name.“
Der Bescheid der DSB ist nicht rechtskräftig. Wir gehen davon aus, dass noyb aber auch die CRIF Teile der über 20-seitigen Entscheidung bekämpfen wird.