Rechtswidriger Datenhandel: Deutsche Wirtschaftsauskunftei ignoriert aufsichtsbehördliche Empfehlung und Bundesdatenschutzgesetz
Heute reichte noyb Beschwerde gegen den Adresshändler Acxiom und die Kreditauskunftei CRIF Bürgel in Deutschland ein. Der rechtswidrige Datenhandel zwischen diesen Unternehmen mit personenbezogenen Daten von Millionen Deutschen verstößt gegen die DSGVO sowie nationales Datenschutzrecht. Daten, die ursprünglich für Direktmarketing erhoben wurden, dürfen ohne Zustimmung der Betroffenen nicht für Bonitätsberechnungen verwendet werden. Nach einer vergleichbaren Beschwerde in Österreich setzt noyb damit einen weiteren Schritt im Kampf gegen den unrechtmäßigen Datenhandel zwischen Adressverlagen und Kreditauskunfteien.
CRIF Bürgel kauft Datensätze von Acxiom, die ursprünglich für Direktmarketing gesammelt wurden und berechnet auf deren Basis die Kreditwürdigkeit von Millionen Bürger:innen. Damit wird klar gegen das grundlegende Prinzip der DSGVO verstoßen, dass Daten nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden dürfen. Eine nachträgliche Änderung des Zwecks, hier von Direktmarketing zu Kreditbewertung, ist generell nicht erlaubt.
„Ein sehr großer Teil der Daten von Kreditauskunfteien stammt von Adressverlagen – und zwar ohne rechtliche Grundlage. All das geschieht heimlich, ohne die betroffenen Personen jemals um Einwilligung zu fragen oder sie zu informieren. Das ist rechtswidrig.“ – Alan Dahi, Datenschutzjurist bei noyb.eu
Gemeinsame Geschäfte im Verborgenen. Betroffene Personen ahnen in der Regel nicht, dass ihre Daten gesammelt, verarbeitet und weitergeben werden. Noch weniger rechnen sie damit, dass auf Basis von Daten wie Name, Adresse und Geburtsdatum Kreditscores berechnet und verkauft werden. Während der Beschwerdeführer in diesem Fall selbst Auskunft von CRIF Bürgel und Acxiom verlangt hatte, werden sich die meisten des Missbrauchs ihrer Daten erst bewusst, wenn sie die Konsequenzen spüren.
„Wenn Personen plötzlich ein Kredit, der Kauf auf Rechnung oder der Abschluss eines Handyvertrags verwehrt werden, sind ihnen die Gründe dafür meist unklar. Wie die Kreditwürdigkeit berechnet wird und woher die Daten dafür stammen, ist höchst intransparent. “ – Alan Dahi
Rechtswidrige Geschäftspraktiken und „Voodoo-Kreditscores“. Kreditscores müssen stets auf Zahlungserfahrungsdaten basieren. Demografische Daten wie Name, Adresse und Geburtsdatum dafür heranzuziehen ist nicht nur fadenscheinig, sondern auch illegal: Im Juni 2018 hielt die deutsche Datenschutzkonferenz fest, dass „Positivdaten“ – also Daten, die nicht auf vergangenen Zahlungserfahrungen beruhen – nur mit Einwilligung der betroffenen Person verarbeitet werden dürfen. Das Bundesdatenschutzgesetz verbietet sogar ausdrücklich, einen Bonitätsscore ausschließlich anhand von Adressdaten zu berechnen. Trotzdem schrieb CRIF Bürgel dem Betroffenen im konkreten Fall einen Score zu, der nur auf Basis seines Namens und seiner aktuellen sowie ehemaligen Wohnadresse errechnet wurde. Derartige „Voodoo-Datengenerierung“ nahm noyb bereits in der Vergangenheit zum Anlass, um Beschwerde gegen die Kreditauskunftei CRIF bei der österreichischen Datenschutzbehörde einzulegen.
Fast alle Personen in Deutschland betroffen. Die Situation des Beschwerdeführers ist bei Weitem keine Ausnahme. In der Datenbank von CRIF Bürgel befinden sich nach eigenen Angaben Datensätze über beinahe alle am Wirtschaftsleben teilnehmenden Privatpersonen.In Zahlen betrifft dies „mehr als 62 Millionen Privatpersonen in Deutschland“, so die CRIF Bürgel.
„Die Situation des Betroffenen, den wir vertreten, ist leider kein Einzelfall. noyb liegen mehrere ähnliche Fälle vor. Wenn Sie einen Wohnsitz in Deutschland haben, ist die Wahrscheinlichkeit hoch, dass Sie ebenfalls betroffen sind und CRIF Bürgel und Acxiom mit Ihren Daten heimlich Geschäfte betreiben.“ – Alan Dahi
Auch andere Wirtschaftsauskunfteien wie die Schufa sind aktuell Gegenstand weiterer Untersuchungen von noyb.
Du möchtest wissen, welche Daten CRIF Bürgel über dich hat und woher sie stammen: sende eine Email an selbstauskunft@crifbuergel.de. CRIF Bürgel muss dir innerhalb eines Monats auf dein Ansuchen antworten.
Wir haben außerdem bei dem Betroffenen nachgefragt, wie er von dem Datenmissbrauch erfahren hat und was er sich in Zukunft von Kreditauskunfteien und Adresshändlern wünscht: