noyb.eu reichte am Freitag eine DSGVO-Beschwerde gegen die (in über 28 Ländern aktive) Kreditauskunftei „CRIF“ ein. Einem schuldenfreien Stromkunden mit festem Job wies CRIF zuvor einen „Score“ von genau 446 von 700 möglichen Bonitätspunkten zu. Das Verwunderliche: CRIF betonte mehrfach, den Betroffenen nicht zu kennen und keinerlei Daten zu ihm gespeichert zu haben. Ganz real war jedoch die Konsequenz: Der Betroffene erhielt keinen Stromvertrag.
Download: Beschwerde bei der österreichischen Datenschutzbehörde
Wie Copperfield: CRIF erschafft Bonität aus dem Nichts
Ein Stromkunde wollte einen neuen Stromvertrag abschließen. Der Energielieferant lehnte den Vertragsabschluss überraschend ab. Begründung: Der Stromkunde hätte zu niedrige Bonität – angesichts seines Einkommens und Berufs bei einem normalen Stromvertrag eher verwunderlich. Auf weitere Nachfrage wurde erklärt, dass der CRIF-Bonitätsscore lediglich 446 Punkte betragen würde, Voraussetzung für eine Energielieferung seien mindestens 650 Punkte. Der Stromkunde wandte sich daraufhin an CRIF und begehrte eine Datenauskunft nach Artikel 15 DSGVO. Ergebnis: Es werden „keine personenbezogenen Daten gespeichert.“ Der negative Score muss also aus dem Nichts gekommen sein.
„Die Antwort von CRIF ist verblüffend. Wie kann ein genauer Bonitätsscore errechnet werden, wenn zu der Person angeblich keine Daten gespeichert sind? Es scheint, dass CRIF aus den bloßen Anfragedaten, also Name, Anschrift und Geburtsdatum messerscharf einen Score von 446 Punkten berechnet hat. Wer an der falschen Adresse wohnt oder das falsche Geburtsdatum hat, bekommt damit keinen Stromvertrag. Würfeln ist vermutlich fairer.“ – Alan Dahi, Datenschutzjurist bei noyb.eu
Datenverarbeitungen haben nach der DSGVO gewissen Prinzipien zu folgen. Eines davon ist das Prinzip der Datenrichtigkeit – personenbezogene Daten müssen inhaltlich richtig sein. Voodoo-Scores, die Kunden stigmatisieren und von Stromlieferungen ausschießen, sind klar illegal.
„Ist eine Person tatsächlich nicht in der CRIF-Datenbank gespeichert, müsste das Ergebnis etwa „Person unbekannt“ lauten, nicht 446. Eine Score ohne Grundlage ist inhärent unrichtig und damit ein Verstoß gegen die DSGVO.“ – Alan Dahi, Datenschutzjurist bei noyb.eu
Geschäftsgeheimnis? Stromkunde tappt im Dunkeln
Eine Erklärung, wie der Bonitätsscore errechnet worden war, verweigerte CRIF trotz mehrmaliger Nachfrage – obwohl jeder Betroffene nach der DSGVO ein Recht hat, die Logik hinter derartigen Berechnungen erklärt zu bekommen. Begründet wurde diese Verweigerung mit der pauschalen Behauptung, es liege ein „Geschäftsgeheimnis“ der CRIF vor. Ein Geheimnis, das betroffene Stromkunden wortwörtlich im Dunkeln sitzen lässt.
„Erst können Verbraucher keine Verträge mehr schließen, weil vollkommen unlogische Bewertungen erfunden werden. Dann darf man nicht mal wissen, wie es zu diesen Bewertungen kommt. Der Verbraucher wird zum Spielball eines Algorithmus.“ – Alan Dahi
Kein Strom – und kein Verantwortlicher
Der Stromanbieter führte ausschließlich den zu niedrigen CRIF-Bonitätsscore als Grund an, warum eine Energielieferung nicht möglich sei und übermittelte als Nachweis die von CRIF eingeholte Bonitätsauskunft. Dem Kunden wurde keine Möglichkeit geboten, seine in Wahrheit einwandfreie Bonität nachzuweisen und doch noch einen Stromvertrag zu bekommen. CRIF gab jedoch auf Nachfrage an, dass eine Bewertung der Bonität von CRIF gar nicht vorgenommen worden sei. Die Entscheidung über das Zustandekommen des Vertrags träfe allein der Stromanbieter.
„Sowohl der Stromlieferant als auch CRIF zeigen jeweils auf den anderen. Der Betroffene sitzt ohne Stromvertrag zwischen den Stühlen.“ – Alan Dahi
Beschwerde eingebracht. Strafe bis zu € 20 Mio.
Aufgrund der mangelnden Auskunft und die offensichtlich falschen Daten hat noyb eine erste Beschwerde bei der zuständigen österreichischen Datenschutzbehörde eingebracht.
„Wir haben beantragt, dass die Datenschutzbehörde die Verarbeitungen durch CRIF genau unter die Lupe nimmt. Die Behörde kann diese Arten von Bonitäts-Voodoo untersagen und auch eine Strafe verhängen. Damit sollten falsche Bewertungen nicht mehr so leicht möglich sein.“ – Alan Dahi
noyb nimmt Kreditauskunfteien in den Fokus
noyb ist ein gemeinnütziger Verein, der sich der Durchsetzung von der DSGVO verschrieben hat. Kreditauskunfteien haben derzeit mitunter eine große Macht über Verbraucher und zeigten sich bisher wenig verantwortungsvoll. Oft folgen diese es auch eher nationale Traditionen statt der seit 2018 europaweit geltenden DSGVO. Nicht nur die Qualität der Berechnungen ist oft fraglich; unklar ist vielmehr sogar, auf welcher Grundlage private Unternehmen wie CRIF oder die Schufa in Deutschland sich das Recht herausnehmen, über die Finanzen von Millionen Europäern große Datenbestände anzulegen.
„Wir sehen ehrlich gesagt keine Grundlage, dass diese Unternehmen über die Finanzen von jedem Bürger eine Datensammlung anlegen. Die Beschwerde gegen CRIF ist daher nur ein erster Schritt. Wir werden die nächsten Monate und Jahre die ganze Branche stückweise und europaweit beleuchten und entsprechende DSGVO-Verfahren führen.“ – Alan Dahi, Datenschutzjurist bei noyb.eu