Die häufig kritisierte Kreditauskunftei CRIF GmbH hat zu fast allen Österreicher:innen Anschriften, Geburtsdatum und Namen gesammelt um daraus "Bonitäts-Werte" zu berechnen - ohne eine Einwilligung oder sonstige Rechtsgrundlage zu haben. Die österreichische Datenschutzbehörde (DSB) hat nun in einem Musterfall entschieden, dass diese Daten illegal verarbeit wurden. Millionen Datensätze sind zu löschen.
- Bescheid der Datenschutzbehörde zur CRIF GmbH
- Vorausgegangener Bescheid der Datenschutzbehörde zu AZ Direct
- Link zum Musterverfahren von noyb
Bertelsmann-Firma gibt Name, Geburtsdatum und Anschrift illegal an Kreditauskunftei. Der größte Teil der Stammdaten (Name, Anschrift, Geburtsdatum, Geschlecht) die die CRIF nutzt, um fragwürdige "Bonitäts-Werte" zu berechnen, stammten vom Adressverlag AZ Direkt (der zur deutschen Bertelsmann-Gruppe gehört). AZ Direct hätte diese Daten nur für Marketingzwecke weitergeben dürfen - nicht für Bonitätsberechnung. Zur rechtswidrigen Nutzung durch AZ Direct hat die Datenschutzbehörde schon zuvor entscheiden. Trotzdem landeten die Daten von Millionen Österreicher:innen (fast der gesamten Wohnbevölkerung) weiter rechtswidrig bei der CRIF für Zwecke der Kreditauskunftei. noyb hat hierzu ein Musterverfahren geführt und nun gewonnen.
"Die DSGVO sieht vor, dass Daten immer nur zu bestimmten Zwecken verwendet werden dürfen. Man kann Marketingdaten nicht einfach für Bonitätsberechnungen weiterverkaufen. Die DSB hat uns nun Recht gegeben. Millionen von Personen in Österreich sind davon betroffen." - Max Schrems, Vorsitzender von noyb.
Millionen Personen ohne Zahlungsprobleme erfasst und "gescored". CRIF hat mittels der Zusammenarbeit mit AZ Direct Millionen Österreicher:innen erfasst, einen "Bonitäts-Score" zugewiesen und die Daten jedem Unternehmen zum Kauf angeboten. Viele Mobilfunkanbieter, Online-Shops wie Zalando oder Media Markt und Banken nutzen diese Daten, um mehr über ihre Kunden herauszufinden.
"In der CRIF-Datenbank können sie auf Knopfdruck die Anschriften und Geburtsdaten von fast jedem Österreicher finden. Für wenig Geld wird auch ein fraglicher 'Bonitäts-Score' ausgerechnet. Den Kunden wird bei zu niedrigen Punktzahlen kein Handyvertrag oder Stromvertrag gegeben. Es kann auch sein, dass man höhere Kreditraten zahlen muss, wenn die Bank diesen Score heranzieht. Wir sind der Meinung, dass maximal von manifest säumigen Personen Daten erfasst werden dürfen - nicht von der gesamten Wohnbevölkerung." - Max Schrems, Vorsitzender von noyb
Untersagung & Berufung erwartet. Der nun zugestellte Bescheid zu einem einzelnen Betroffenen stellt bisher nur fest, dass die Datenverarbeitung nicht rechtmäßig war. Die Verarbeitung wurde von der DSB jedoch nicht untersagt - die Behörde verweist auf eine generelle amtswegige Untersagung, die wohl noch aussteht. Es wird davon ausgegangen, dass die CRIF gegen den Bescheid in Berufung geht - immerhin geht es um ihr Kerngeschäft. Die Aussicht auf Erfolg ist aber überschaubar.
In der Zwischenzeit können Betroffene schon mal Beweise sammeln und bei der CRIF eine Auskunft über die eigenen Daten verlangen. Es könnte in Zukunft auch Schadenersatz zu zahlen sein. Dies hängt vom EuGH-Urteil zum Fall der österreichischen Post ab, das bald entschieden wird.
"Wir empfehlen bei der CRIF eine Gratiskopie seiner Daten zu Beweiszwecken zu holen. Schon bald könnte geklärt sein, ob man für die unrechtmäßige Datenverarbeitung auch Schadenersatz erhält. Hier warten wir aber noch auf andere Urteile." - Max Schrems
CRIF nun an mehreren Fronten unter Druck. noyb hat aktuell mehrere Verfahren gegen die CRIF laufen, da einerseits die Berechnung der Scores höchst fehleranfällig zu sein scheint, es für die Speicherung der Daten von Millionen Menschen in Österreich keine Rechtsgrundlage gibt und auch die Datenquellen der CRIF unrechtmäßig sind. An diesem Punkt wiederholt sich die Geschichte: So war die CRIF schon in den 2000ern (damals noch unter dem Namen "Deltavista") in einen Skandal um illegale Datenweitergabe aus der Justiz involviert.