In einer Untersuchung der Datenflüsse bei der österreichischen Kreditauskunftei CRIF lichtet sich weiter der Nebel: Die meisten Adressdaten in der CRIF-Datenbank stammen von den Adresshändlern AZ Direct (Bertelsmann-Konzern), dem Compass Verlag und DPIT aus Wien. Doch woher haben diese Adresshändler ihre Daten? Eine neue noyb-Auswertung mithilfe von mehr als 2.400 Betroffenen zeigt: Sie greifen unter anderem auf öffentliche Register wie Grund- und Firmenbuch, das Vereinsregister und dem 2015 eingeführten Gewerbeinformationssystem (GISA) zu. Compass gibt außerdem die WKO als Datenquelle an. Woher hingegen AZ Direct (größter Datenlieferant von CRIF) seine Daten hat, bleibt unklar. AZ Direct sagt, es wisse nicht, woher es die Daten von 7 Millionen Personen in Österreich haben.
Daten aus öffentlichen Registern abgezogen. Die Kreditauskunftei CRIF erhält den Großteil ihrer Adressdaten von den Adresshändlern AZ Direct, dem Compass-Verlag und DPIT. In einem zweiten Schritt galt es deshalb herauszufinden, woher diese Adresshändler selbst ihre Daten haben. Dank Auskunftsersuchen im Namen der mehr als 2.400 Teilnehmenden des CRIF-Projekts wissen wir nun: Die drei Adresshändler bedienen sich vorrangig an öffentlichen Registern wie dem Grund- und Firmenbuch, dem Vereinsregister und dem Gewerberegister.
Max Schrems, Vorsitzender von noyb: „Natürlich sind diese Register eigentlich nicht dafür vorgesehen, die Gelüste von Datenhändlern zu befriedigen, sondern um Berechtigungen, Eigentum und Vertretungsbefugnisse nachzuweisen.“
Grundbuch, Firmenbuch, ZVR, GISA und WKO. Konkret gibt der Compass Verlag in der Beantwortung der Auskunftsersuchen vielfach an, Daten aus dem Firmenbuch, dem Vereinsregister (ZVR) und dem Gewerberegister (GISA) bezogen zu haben. Auch die Wirtschaftskammer (WKO) taucht als Quelle auf und gibt anscheinend Daten der eigenen Mitglieder weiter. DPIT gibt unterdessen an, auf das Grundbuch, das Firmenbuch und das Gewerberegister zuzugreifen. Jede:r Selbstständig:e, Eigentümer:in und jede:r Kassier:in im Elternverein wurde damit potentiell erfasst. Für die Bonitätsbewertung weiterverwendet werden aber nicht die Informationen zu Eigentum oder unternehmerischen Tätigkeiten – sondern nur auffindbare Namen, Geburtsdaten und Anschriften.
Max Schrems: “Öffentliche Register werden hier als Adressbuch genutzt, nicht zum eigentlichen Zweck, wirtschaftliche oder rechtliche Nachweise zu erbringen. Die wirtschaftlich relevanten Daten werden am Ende gar nicht für die Bonitätsbewertung verwendet – es geht nur um die Stammdaten.”
Staat tut nichts gegen “Scraping” öffentlicher Register? Öffentliche Register sind in einem gut administrierten Rechtsstaat unabdingbar (z.B. um zu prüfen, ob jemand eine Gewerbeberechtigung hat oder Eigentümer:in einer Liegenschaft ist). Früher musste hier manuell nachgefragt werden. Durch die (generell zu begrüßende) Digitalisierung sind die meisten Register nun auch online – aber offenbar häufig nicht ausreichend gegen großflächiges “Scraping” geschützt. Grundsätzliche Schutzmechanismen wie ein “Captcha”, Abfragebegrenzungen pro IP-Adresse oder AGB für Schnittstellen, die klar regeln, dass Daten nur für bestimmte Zwecke (z.B. dem Nachweis eines Gewerbes, Eigentums oder einer Vertretungsmacht) verwendet werden dürfen, scheinen zu fehlen.
Max Schrems: „Klare technische und rechtliche Regelungen, um massenhaftes Scraping für andere Zwecke zu unterbinden, fehlen in Österreich. Jede Person, die selbst ihre Privatsphäre schützt, wird aktuell vom Staat ‘geoutet’ – und Unternehmen sammeln diese Daten im großen Stil. Es ist höchste Zeit, dass die Politik mit technischen Abfragelimits und einer klaren Zweckbindungen den Missbrauch eindämmt. Wir führen das Vereinsregister nicht für die Werbeindustrie oder für Datenhändler.“
Recht ist klar: Öffentliche Register fallen unter “Zweckbindung”. Es ist nicht nur offensichtlich, dass diese kommerzielle Weiterverwendung nicht im Sinne des öffentlichen Interesses ist, sie verstößt wohl auch gegen den DSGVO-Grundsatz der “Zweckbindung” in Artikel 5(1)(b) DSGVO. Die österreichische Datenschutzbehörde (DSB) hat in Bezug auf das Grundbuch bereits entschieden, dass z.B. eine Weiterverarbeitung für Werbung gegen die DSGVO verstößt. Auch das bekannte EuGH-Urteil zum “Recht auf Vergessenwerden” betraf rechtmäßig veröffentlichte Daten, die aber von der Google-Suche nicht einfach weitergenutzt werden durften.
Max Schrems: „Nur weil Daten öffentlich abrufbar sind, darf man sie noch lange nicht für jeglichen Zweck nutzen. Man darf ja auch Leute auf einer öffentlichen Straße nicht einfach für seine eigenen Zwecke filmen.“
AZ Direct: 7 Millionen Datensätze ohne Quelle? Bei AZ Direct, einem Teil des großen deutschen Bertelsmann-Konzerns, ergibt sich unterdessen ein ganz anderes Problem: Der Adresshändler hat trotz gesetzlich verankerter Auskunftspflicht bei fast keinem der 2.400 teilnehmenden Personen konkrete Datenquellen bereitgestellt. Insgesamt hat AZ Direct aber mehr als 7 Millionen Datensätze an die CRIF verkauft. Es ist aktuell völlig unklar, woher CRIFs größter Datenlieferant seine Informationen bezieht – was es auch unmöglich macht, seine DSGVO-Rechte auszuüben.
Max Schrems: „Es ist völlig lächerlich, dass eine Bertelsmann-Tochter, die die privaten Daten von 7 Millionen Personen in Österreich hat, nicht weiß, woher die Daten kommen. Aktuell könnte ein Datensatz, in dem fast jeder in Österreich erfasst ist, aus jeglicher Quelle kommen – Betroffene können in keiner Weise prüfen, ob es sich nur um legale Quellen handelt.“
Weg zur Sammelklage: Detaillierte Auswertung fast abgeschlossen. noyb arbeitet weiterhin an einer detaillierten Auswertung der erhaltenen Kreditscores von den 2.400 teilnehmenden Personen. Gemeinsam mit einem Professor für Finanzmathematik werden die mehr als 28.000 erhaltenen Scores mit den tatsächlichen Finanzdaten der Betroffenen verglichen, um herauszufinden, ob die CRIF-Scores statistisch belastbar sind. Aktuell scheinen alle Indizien darauf hinzudeuten, dass der CRIF-Score wenig mit der tatsächlichen individuellen Finanzlage zu tun hat und bei Personen, die immer ihre Rechnungen zahlen, keine belastbare Risikoeinschätzung bietet. Bei diesen 90% der Bevölkerung beruht der Score im Kern nur auf Alter, Geschlecht und Anschrift. Weitere Ergebnisse sind in den nächsten Wochen zu erwarten. Danach wird noyb auch eine Entscheidung treffen, ob es eine größere Sammelklage gegen CRIF einbringt, mit vermutlich Millionen Betroffenen. Bei einer unrechtmäßigen Verarbeitung von personenbezogenen Daten könnten für jeden Betroffenen durchaus relevante Schadenersatzforderungen bestehen.
