noyb’s Verfahren gegen die Kreditauskunftei CRIF legen einen Sumpf an Rechtsverletzungen und zynischer Interpretation der DSGVO trocken. Neben unrichtigen Bonitätscores und unrechtmäßigen Datenerhebungen hält CRIF bewusst Informationen zurück, wenn betroffene Personen Auskunftsbegehren an die Auskunftei stellen. CRIF setzt auf eine Salamitaktik in der Hoffnung, dass die meisten Betroffenen aufgeben. noyb bringt eine weitere Beschwerde sowie eine Anzeige gegen diese wohl tausendfach wiederholten Rechtsverletzungen ein.
Strukturelle Teilantworten: Jeder Konsument hat ein Recht nach Artikel 15 DSGVO alle Daten die Kreditauskunfteien wie die CRIF speichern, innerhalb eines Monats zu erhalten. In der Antwort fehlte jedoch jegliche Angabe, woher CRIF die Daten des Betroffenen hatte. Auch die Empfänger der mitunter falschen Bonitätsdaten waren nur für die letzten sechs Monate enthalten. Die DSGVO verlangt alle Informationen unverzüglich und vollständig zu schicken und erlaubt einem Unternehmen nicht, willkürlich Informationen zurückzuhalten.
Max Schrems, Vorsitzender von noyb: „Es ist fast schon bizarr, in welchem Ausmaß CRIF die DSGVO mit Füßen tritt. Unter jedem Stein, den man umdreht, wartet eine neue Rechtsverletzung. Die Motive für die unvollständige Auskunftserteilung sind dabei leicht auszumachen: Indem man Informationen verschweigt, hofft man, lästige Nachfragen zu vermeiden. Die meisten Konsumenten werden nicht verstehen, dass das nur ein Teilauszug ist und damit die Datenverarbeitung nie verstehen.“
Rechtsverletzung geschieht absichtlich und mit System: Die unvollständige Auskunftserteilung durch CRIF hat System. noyb liegen eine Vielzahl an Fällen vor, wo Betroffene erst nach weiteren Nachfragen und intensiven “Bohren” weitere Informationen erhalten haben – oft auch erst wenn die Datenschutzbehörde eingeschaltet wurde. Je hartnäckiger Betroffene dabei sind, desto mehr Informationen scheinen plötzlich vorzuliegen. Meist stellt sich heraus, dass die Daten bei einem Adressverlag erhoben und weitaus öfter weitergeben wurden, als zuerst angegeben. Die DSGVO lässt jedoch klar erkennen, dass das Auskunftsrecht eine Bringschuld des Verantwortlichen und keine Holschuld des Betroffenen ist und betont sogar, dass ein Verantwortlicher die Ausübung des Auskunftsrechts erleichtern muss – CRIF tut das genaue Gegenteil.
Max Schrems: „Die CRIF versucht mit jedem Trick ihre fragwürdige Praxis zu verschleiern. Während die DSGVO klar vorsieht, dass man unmittelbar alle Informationen erhalten muss, spielt die CRIF mit jedem Konsumenten Katz und Maus.“
Anzeige bei der Datenschutzbehörde, substanzielle Strafe könnte drohen: Der systematische, absichtliche und offenkundige Rechtsbruch von CRIF ist ohne Zweifel strafwürdig. noyb hat daher neben der Individualbeschwerde des Betroffenen auch eine Anzeige bei der Datenschutzbehörde eingebracht. Nach Schätzungen von noyb dürfte jährlich eine fünfstellige Personenzahl von den unvollständigen Auskünften betroffen sein.
Max Schrems: „Wenn ein Unternehmen, das primär mit personenbezogen Daten arbeitet, strukturell die DSGVO ignoriert, muss die Behörde sicherlich auch mit ordentlichen Strafen ein Zeichen setzen. Hier geht es nicht um ein Missverständnis oder eine andere Rechtsansicht, hier werden Konsumenten absichtlich ihrer Rechte beraubt.“