DSB Entscheidung: Kreditauskunftei darf keine Daten aus ZMR und Auskunftsbegehren sammeln
Vor zwei Jahren reichte noyb eine DSGVO-Beschwerde gegen die Auskunftei KSV 1870 ein. Die österreichischen Finanz-Sammler speicherte ungefragt Daten von bislang unbekannten Personen, die ihr gesetzliches Recht auf Auskunft über ihre Daten ausübten. Nun hat die österreichische Datenschutzbehörde (DSB) entschieden: die Kreditauskunftei darf keine Daten durch Auskunftsbegehren sammeln und auch nicht im Zentralen Melderegister (ZMR) nachsehen.
Kreditauskunftei speichert Daten von Auskunftsbegehren. Europäer:innen haben das Recht ein Auskunftsbegehren an Unternehmen zu stellen, um zu erfahren, welche Daten über sie verarbeitet werden. Um die Identität der Person zu bestätigen, verlangt ein Unternehmen oft zusätzliche Informationen: einen Ausweis, den Namen, die Anschrift oder das Geburtsdatum zum Beispiel. Unternehmen dürfen die Daten natürlich nur für die Beauskunftung nutzen und müssen sie dann wieder löschen. Nicht so beim Branchenführer der österreichischen Kreditauskunfteien: der KSV 1870 hat bislang Informationen über Personen gespeichert, wenn diese eine Datenauskunft erfragten. Den gesetzlich vorgesehenen Informationsfluss zu den Bürger:innen, hat der KSV dabei einfach umgedreht.
Systematische Vorgehensweise: ZMR Abruf. Die Vorgehensweise des KSV hat System – noyb liegen bereits mehrere ähnliche Fälle vor. Ein Betroffener hatte den KSV um eine Datenauskunft nach Artikel 15 DSGVO gebeten. Der KSV antwortete, dass (bisher) keine personenbezogenen Daten des Betroffenen verarbeitet wurden - aber nur jetzt. Der KSV führte nämlich an, dass die im Auskunftsbegehren ersichtlichen Daten des Betroffenen nun in der “Wirtschaftsdatenbank” gespeichert wurden. Damit nicht genug: davor wurde die Person auch noch im Zentralen Melderegister (ZMR) abgefragt und die Daten aus dem Auskunftsbegehren damit verglichen.
"Die DSB hat uns Recht gegeben: Das Geschäftsmodell des KSV 1870, Auskunftsbegehren betroffener Personen zur Anreicherung seiner Wirtschaftsdatenbank zu verwenden, ist klar rechtswidrig. Auch die Nachschau im Melderegister ist nicht erlaubt. Wir gehen davon aus, dass unzählige weitere Österreicher:innen betroffen sind. Diese können vom KSV die Löschung der rechtswidrig verarbeiteten Daten fordern." – Marco Blocher, Datenschutzjurist bei noyb.eu
DSB und noyb einig: KSV agiert rechtswidrig. Das Vorgehen des KSV verletzt das Prinzip der Zweckbindung gemäß Artikel 5(1)(b) DSGVO. Dieses besagt, dass Daten zu einem bestimmten Zweck erhoben werden müssen. Eine Weiterverarbeitung zu einem anderen Zweck ist nur gestattet, wenn dieser mit dem ursprünglichen Zweck vereinbar ist. Die DSB hielt fest, dass es weder einen erkennbaren Grund für die Verarbeitung der Daten des Auskunftsbegehrens für Bonitätsbewertungen gäbe, noch ein gesetzlicher Auftrag zur generellen Datensammlung bestehe. Zudem ordnete die DSB die Löschung der rechtswidrig erlangten Daten an.
noyb schaut Datenhändlern auf die Finger. An Branchen, deren Kerngeschäft der Datenhandel ist, sind im Datenschutz besonders strenge Maßstäbe zu setzen. Problematisch ist, dass Kreditauskunfteien kaum reguliert werden: während sie nur Daten verarbeiten dürfen die bonitätsrelevant sind, wird jedoch nirgends genau definiert, um welche konkreten Informationen es sich hierbei handelt. Gerade weil Kreditauskunfteien Zugriff auf viele Daten haben, müssen sie besonders verantwortungsvoll damit umgehen.
