Verbotener Datenhandel zwischen Adressverlagen und Kreditauskunfteien
noyb reichte am 18.03.2021 eine DSGVO-Beschwerde gegen die Kreditauskunftei CRIF GmbH und den Adressverlag AZ Direct ein. Der muntere Datenhandel zwischen den beiden Unternehmen verstößt gegen die DSGVO und österreichisches Recht. Adressverlage dürfen Daten nur zu Werbezwecke, aber nicht an Kreditauskunfteien zur Bonitätsberechnung weitergeben.
Download: Beschwerde bei der österreichische Datenschutzbehörde (PDF)
Download: Englische Maschinenübersetzung der Beschwerde (PDF)
CRIF und AZ Direct: DSGVO-Verletzung als gemeinsames Geschäftsmodell. Der Betroffene hatte ein Auskunftsbegehren gemäß Artikel15 DSGVO an CRIF gestellt. CRIF gab an, seinen Namen, sein Geburtsdatum und einige (teils veraltete) Wohnadressen gespeichert zu haben. Als Datenquelle wurde ausschließlich der Adressverlag AZ Direct genannt. Adressverlage dürfen Daten jedoch nur zu Werbezwecken weitergeben. Außerdem war ersichtlich, dass CRIF anhand der von AZ Direct erhaltenen Daten mehrere Bonitätsscores berechnet und an verschiedene Unternehmen verschickt hatte.
Heimlicher Datenhandel im großen Stil. Kreditauskunfteien greifen auf öffentlich verfügbare Daten, etwa aus dem Firmenbuch oder Grundbuch zu um Identifikationsdaten zu erheben. Dort findet sich aber nur ein Bruchteil der Bevölkerung. Die meisten Daten kommen daher offenbar von einer ganz anderen Quelle, nämlich Adressverlagen. Und das, obwohl Adressverlage nach geltendem Recht Daten nur zu Werbezwecken weitergeben dürfen.
„Der Großteil der Daten von Kreditauskunfteien stammt von Adressverlagen – und zwar ohne rechtliche Grundlage. Zusätzlich geschieht all dies heimlich, ohne die betroffenen Personen jemals um Einwilligung zu fragen oder sie zu informieren. Auch der Beschwerdeführer wusste bis zu seinem Auskunftsbegehren nicht, dass seine Daten gesammelt werden, obwohl die DSGVO klar vorschreibt, dass er darüber informiert hätte werden müssen“ Alan Dahi, Datenschutzjurist bei noyb.eu
Zweckbindung als Fremdwort. Das Prinzip der Zweckbindung besagt, dass Daten nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden und nicht für andere, damit nicht vereinbare Zwecke weiterverarbeitet werden dürfen. Ein Blick ins Gewerberegister belegt jedoch, dass AZ Direct als Adressverlag registriert ist und damit Daten ausschließlich zu Direktmarketingzwecken weitergeben darf. Dennoch hatte CRIF die Daten offensichtlich zu Bonitätsbeurteilungszwecken verwendet – ein schwerer Verstoß gegen das Prinzip der “Zweckbindung” gemäß Artikel 5 DSGVO.
„Direktmarketing und Bonitätsbeurteilung sind zwei vollkommen unterschiedliche und nicht vereinbare Zwecke. CRIF und AZ Direct verstoßen damit beide gegen das Prinzip der Zweckbindung. Hinzu kommen mögliche Verstöße gegen österreichisches Gewerberecht, die wir ebenso prüfen.“ Alan Dahi, Datenschutzjurist bei noyb.eu
Kein Einzelfall. CRIF macht kein Geheimnis aus der Beziehung zu Adressverlagen: Adressverlage werden in der Datenschutzerklärung als regelmäßige Datenlieferanten genannt. Zudem erklärt CRIF auf ihrer Website, von mehr als 90 % der gespeicherten Personen keine Negativdaten (also keine Daten zu unbezahlten Schulden) zu haben. Die Daten dieser Personen beziehen sie also zwangsläufig größtenteils von Adressverlagen.
„Die Situation des Betroffenen, den wir vertreten, ist leider kein Einzelfall. noyb liegen mehrere ähnliche Fälle vor. CRIF hat offenbar über Jahre Millionen von Datensätzen von Adressverlagen wie AZ Direct erworben, ohne auch nur einen einzigen Betroffenen darüber zu informieren. Wenn Sie einen Wohnsitz in Österreich haben, ist die Wahrscheinlichkeit hoch, dass Sie ebenfalls betroffen sind.“ Alan Dahi, Datenschutzjurist bei noyb.eu
Behörde am Zug. Folgt die österreichische Datenschutzbehörde (DSB) unserer Beschwerde, muss CRIF derartige Datenerhebungen künftig unterlassen – und die DSGVO-widrig erhobenen Daten allesamt löschen. Des Weiteren kann die DSB eine Geldstrafe von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes verhängen und zwar sowohl über CRIF, als auch über AZ Direct.
„Der Adresshandel und die Bonitätsbeurteilungsbranche sind jahrzehntelang erfolgreich unter dem Radar geflogen und haben ihre Geschäftspraktiken bis heute nicht an die Erfordernisse der DSGVO angepasst. Es wird höchste Zeit, dass auch diese Branchen in der Gegenwart ankommen und den Datenschutz achten!“ Alan Dahi, Datenschutzjurist bei noyb.eu
Nimm deine Rechte wahr! Auch du kannst herausfinden, ob CRIF deine Daten unzulässiger Weise bei einem Adressverlag wie AZ Direct erhoben hat. Richte hierfür ein Auskunftsbegehren gemäß Artikel 15 DSGVO an CRIF (auskunft@crif.com) und frage insbesondere nach der Herkunft der verarbeiteten Daten. Nähere Infos gibt es hier. CRIF ist verpflichtet, dir diese Informationen binnen eines Monats zu erteilen. Danach kannst du dich gerne bei uns für die weiteren Schritte melden.
