Nach einem Aufruf durch noyb haben mehr als 2.400 Betroffene ihre Daten von der Kreditauskunftei CRIF angefordert und nun erhalten. Eine erste Auswertung durch noyb zeigt, dass viele bekannte österreichische Unternehmen, wie etwa die Erste Bank, der Verbund und Drei ihre Kund:innen mittels CRIF-Daten bewerten. Einige Unternehmen wie T-Mobile, der Versandhändler Otto und das Versicherungsunternehmen Allianz scheinen ihre Kund:innendaten der CRIF auch zur Verfügung zu stellen. Die erste Auswertung der über 40.000 Abfragen mit mehr als 28.000 übermittelten Scores zeigt, dass Männer deutlich schlechter bewertet werden als Frauen. Personen in Städten erhalten ein niedrigeren Score. noyb wird in den nächsten Wochen detaillierte Analysen machen, um die individuelle Richtigkeit der CRIF-Scores zu bewerten.
Datenquellen: Drei große Adresshändler. Die Adressdaten der CRIF kommen primär von drei Adresshändlern: AZ Direct (Teil des Bertelsmann-Konzerns), dem Compass Verlag und DPIT aus Wien. Laut § 151 Gewerbeordnung und inzwischen mehreren Gerichtsurteilen dürften Adresshändler diese Anschriften nur zu Marketingzwecken verkaufen. Trotzdem landen sie weiterhin bei der CRIF und bilden die Basis für die CRIF-Bonitätsbewertung. Es ist klar: Sollte diese unrechtmäßige Weitergabe von Adressdaten enden, müsste die CRIF morgen die Daten von fast allen in Österreich lebenden Personen löschen. Um herauszufinden, woher die oben genannten Adressverlage die Daten aller Personen in Österreich haben, hat noyb nun auch Auskunftsbegehren im Namen der 2.440 teilnehmenden Personen bei den genannten Adresshändlern gestellt. Neben den drei großen Adresshändlern tauchen in kleinerem Umfang aber auch Telkos, Banken und Energieanbieter als Quellen für Adressdaten auf. Hier scheinen CRIF-Kunden sich – nach ersten Rückfragen – selbst nicht erklären zu können, wie die Daten bei der CRIF landen.
Max Schrems: "Schon nach der bestehenden Rechtsprechung ist die Datenverarbeitung der CRIF wohl auf Sand gebaut. Nur das Wegsehen der Behörden hat die Datenverarbeitung der CRIF zu jenen 90% der Bevölkerung, die immer ihre Rechnungen bezahlt haben, überhaupt jahrzehntelang ermöglicht."
"Datenverifizierung": Banken und Telkos liefern Infos an CRIF. Zur Überraschung von noyb tauchen auch Unternehmen wie T-Mobile, Drei, bank99, Allianz und Klarna als Quellen für die "Verfizierung" von Anschriften und Daten auf. Das ist insbesondere deshalb problematisch, weil etwa Telekomanbieter oder Banken Kund:innen per Gesetz mit Ausweis identifizieren müssen. Wenn diese Daten schlussendlich bei der CRIF landen, geht das weit darüber hinaus, was gesetzlich zur Identifizierung von Kontoinhaber:innen oder Handykund:innen vorgesehen wäre. Bisher haben diese Unternehmen in direkten Gesprächen immer behauptet, dass sie der CRIF keine Daten zur Verfügung stellen, sondern nur Daten abrufen. Es ist möglich, dass diese Weiternutzung von Daten hinter dem Rücken der Banken und Telkos passiert. noyb wird sich nun an diese Unternehmen wenden, um weitere Klarheit zu schaffen. Unklar ist bisher noch, ob diesen Unternehmen bewusst ist, dass dies geschieht.
Max Schrems: "Neu ist, dass etwa auch T-Mobile oder Drei ihre Kund:innendaten an die CRIF liefern, um Identitäten zu verifizieren. Das ist besonders perfide, weil man sich bei Handyanbietern oder Banken mit Ausweis identifizieren muss. Diese geprüften Daten landen dann wohl bei der CRIF. Ob das irgendwie legal sein kann, prüft noyb nun."
Finanzinfos: Nur ein paar Inkasso-Meldungen. Für gut 10% der Menschen in Österreich hat die CRIF auch Zahlungserfahrungsdaten. Das sind zumeist Inkasso-Forderungen – auch solche, die schon längst bezahlt wurden. Auch bezahlte Forderungen speichert die CRIF bis zu 7 Jahre, wenn diese €20 übersteigen. Insolvenzen scheinen bei 2.440 Testpersonen nur in 15 Fällen auf – vermutlich auch, weil diese Daten nach EuGH-Rechtsprechung nun nach einem Jahr gelöscht werden müssen.
Max Schrems: "Es scheint, die CRIF löscht nun Insolvenzen nach einem Jahr. Bei einer zu spät bezahlten Rechnung von Kleinstbeträgen wird das aber 7 Jahre lang gespeichert. Die Logik, warum eine Insolvenz schnell gelöscht wird, eine zu spät bezahlte Rechnung aber nicht, erschließt sich uns nicht."
Klarna größter CRIF-Kunde. Größter CRIF-Kunde scheint auf Basis der 40.000 vorliegenden Datensätzen der schwedische Zahlungsanbieter Klarna zu sein. Aber auch das Versicherungsunternehmen Allianz und der Luxus-Online-Shop Breuninger tauchen unter den Top-Abrufern auf, gefolgt von der Erste Bank, dem kanadischen Verifizierungsanbieter Trulioo, Kreditkartenanbieter card complete, TF Bank und bank99. Bei den Energieanbietern scheinen vor allem MaxEnergy, die Energie AG und der Verbund regelmäßig ihre Kund:innen bewerten zu lassen. Viele Abrufe sind jedoch schwer erklärbar: So haben mitunter Immobilien-Unternehmen oder Anwaltskanzleien die Daten von Betroffenen abgerufen, auch wenn hier kein Kreditvertrag oder ein Kauf auf Rechnung vorlag. Es scheint auch immer wieder "präventive" Abfragen zu geben. Auf den ersten Blick ergibt sich der Eindruck, dass auch einige Unternehmen Abfragen als eine Art "Background-Check" sehen – ohne wirklich einen triftigen Grund für eine Abfrage zu haben. noyb wird daher bei den Betroffenen und den Kunden der CRIF genauere Nachfragen anstellen, um mehr über ihre Geschäftsbeziehung zur CRIF zu erfahren.
Max Schrems: "Einige Abfragen sehen auf den ersten Blick nicht unbedingt berechtigt aus. Wir fragen nun unsere mehr als 2.400 Teilnehmer:innen, ob ihnen in ihren Daten unrechtmäßige Abfragen aufgefallen sind. Es könnte sein, dass hier einige CRIF-Kunden selbst die DSGVO verletzt haben."
Scores: Geschlecht, Alter und Anschrift. Die 28.000 übermittelten Scores zeigen, dass Frauen tendenziell ein höherer Score zugesprochen wird als Männern (547 vs 522). Auch geografische Muster sind erkennbar. So haben die Städte Wien (523), Graz (519) und Linz (513) niedrigere durchschnittliche Scores als der Rest Österreichs (530), wobei es innerhalb der Städte größere Unterschiede gibt. Den größten Einfluss scheint aber das Alter zu haben: im Durchschnitt steigt der Score rund 2,6 Punkte pro Lebensjahr.
Max Schrems: "Auch bei mehr als 28.000 Scores scheint weiterhin klar, dass der Score für die meisten Betroffenen primär aus den Adressdaten besteht. Alter und Geschlecht scheinen nur einen geringen Einfluss auf die Scores zu haben."
noyb bittet Teilnehmer:innen um weitere Tipps. Um weitere Informationen zur Vorgehensweise der CRIF und ihren Partnerunternehmen zu sammeln, ruft noyb alle 2.440 Teilnehmer:innen auf, Auffälligkeiten in ihrem Auskunftsbegehren zu melden. Hierfür hat noyb auch eine genaue Beschreibung aller vorliegenden Datenfelder veröffentlicht.
Max Schrems: "Meistens haben Betroffene die besten Informationen, was warum abgerufen worden könnte oder womöglich falsch ist. Wir haben daher alle Teilnehmenden aufgerufen, ihre Daten zu prüfen und alle Ungereimtheiten an uns zu melden. Wir sind gespannt, was das noch zu Tage fördert."
Detaillierte Auswertung in den nächsten Wochen. noyb wird gemeinsam mit einem Professor für Finanzmathematik die mehr als 28.000 Scores nun auch mit den tatsächlichen Finanzdaten der Betroffenen vergleichen, um herauszufinden, ob die CRIF-Scores statistisch belastbar sind. Aktuell scheinen alle Indizien darauf hinzudeuten, dass der CRIF-Score wenig bis gar nichts mit der tatsächlichen individuellen Finanzlage zu tun hat. Weitere Ergebnisse sind in den nächsten Wochen zu erwarten. Danach wird noyb auch eine Entscheidung treffen, ob es eine größere Sammelklage gegen CRIF einbringt. Bei einer unrechtmäßigen Verarbeitung von personenbezogenen Daten könnten für Betroffene durchaus relevante Schadenersatzforderungen entstehen.
Update mit Reaktion auf CRIF-Stellungnahme:
Trotz des Vorwurfs angeblich „inkorrekter" Angaben in dieser Pressemitteilung, bestätigt die CRIF alle von noyb getätigten Aussagen:
- Die von noyb genannten Unternehmen sind Teil des CRIF-Netzwerks
- Daten werden CRIF von Adresshändlern und auch einigen CRIF-Kunden zur Verfügung gestellt
- CRIF erstellt Bonitätsscores, obwohl es eigenen Angaben zufolge über „keinerlei Informationen zu Einkommen und Vermögen“ verfügt.
Max Schrems: „Im Kern ist unstrittig, was die CRIF und ihre Partner machen. Fundierte inhaltliche Kritik sucht man in der CRIF-Aussendung vergeblich.“
