Informationen und Tipps zur EU Datenschutz Grundverordnung (DSGVO)

Antrag auf Vollstreckung gegen die CRIF GmbH

28. Okt 2020/Conrad Lienhardt /Akhila / 12. Mai 2021

Blickpunkt: ÖsterreichDie CRIF GmbH ist in Sachen Datenschutz wenig auskunftsfreudig, selbst dort, wo das Datenschutzgesetz dies vorsieht. Ein konkretes Beispiel mag das veranschaulichen.

Die Österreichische Datenschutzbehörde ist der Beschwerde eines Betroffenen gefolgt, sah das Recht des Betroffenen verletzt und hat die CRIF GmbH aufgefordert, die verlangten Auskünfte nach Artikel 15 DSGVO zu erteilen. Die Beschwerde war eingereicht worden, nachdem die CRIF GmbH eine unvollständige und mangelhafte Auskunft gegeben hatte.

Gegen den Entscheid der Österreichischen Datenschutzbehörde hat die CRIF GmbH teilweise Beschwerde beim Bundesverwaltungsgericht (BVwG) eingereicht. Bei der Bescheidentsprechung in anderen Punkten erkannte der Beschwerdeführer weiterhin Mängel in der Auskunft.

Eine direkte Nachfrage bei der CRIF GmbH blieb ergebnislos.

Entsprechend wandte sich der Beschwerdeführer an die Datenschutzbehörde. Diese sah sich allerdings nicht mehr zuständig. Sie habe dem Beschwerdeführer mit dem Entscheid einen Exekutionstitel an die Hand gegeben, womit gegen die CRIF GmbH bei der zuständigen Bezirksverwaltungsbehörde eine Vollstreckung beantragt und der Entscheid der Datenschutzbehörde durchgesetzt werden könne, solange, bis die Auskünfte vollständig und spruchgemäß gegeben worden sind.

Der Antrag auf Vollstreckung

Im Wesentlichen beschränkte sich der Antrag auf Vollstreckung auf den Verarbeitungszweck Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung.

Erstmals im gesamten Verlauf der Beschwerde nach Art. 77 DSGVO wegen unvollständiger und mangelhafter Auskunft erwähnte die CRIF GmbH in der Bescheiderfüllung einen bislang vorenthaltenen Zweck der Verarbeitung der personenbezogener Daten des Betroffen: Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung . Verwiesen wird dabei allgemein auf den stark regulierten Markt der Bank-, Kredit- und Finanzierungsdienstleistungen sowie auf Telekommunikation und Versicherung et cetera, die strengen Geldwäschebestimmungen unterliegen.

Substanzieller wird die Auskunft allerdings nicht, obwohl die Datenschutzbehörde in ihrem Entscheid gefordert hat, dass die Auskunft in „hinreichend klarer“ Weise erfolgen muss, „wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers zwecks Ausübung welchen Gewerbes verarbeitet werden.

Die CRIF GmbH bezieht sich bei Ihrer Auskunft zu Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung auf die gewerbliche Tätigkeit als Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 (GewO). Die Auskunft selbst lässt vermuten, dass die CRIF GmbH die Rechtsgrundlage zur gewerblichen Tätigkeit als Auskunftei über Kreditverhältnissen auf „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ erstreckt, was etliche Fragen aufwirft. Die GewO kennt laut Auskunft der Bezirksverwaltungsbehörde die Dienstleistung von „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ im Zusammenhang mit Gewerbeberechtigungen nicht. Hingegen stellt § 152 Abs. 1 GewO eindeutig fest:

„Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.“

Auskünfte zu „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ dürften daher wohl eher nicht über das Gewerbe Auskunfteien über Kreditverhältnisse gedeckt sein. Dies zu prüfen wäre Aufgabe der Gewerbebehörde bei der zuständigen Bezirksverwaltung.

Fehlende Angaben zu Datenherkunft und Datenverwendung

Die CRIF GmbH teilte mit, dass sämtliche, den Antragsteller betreffenden personenbezogene Daten bezüglich Bonitätsauskunft auch zum Zweck der Erbringung von Dienstleistungen zur „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ verarbeitet würden. Es gab jedoch begründete Zweifel, dass die CRIF GmbH über Namens- und Adressdaten hinausgehend weitere personenbezogene Daten im Zusammenhang mit dem Zweck der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ verarbeitet und nicht alle Quellen ausweist.

Vielmehr ergeben sich aus den von der CRIF GmbH rund um den Verarbeitungszweck „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ angebotenen Produkten begründete Hinweise dafür, dass deutlich mehr personenbezogene Daten verarbeitet werden könnten. Beispielsweise das als Hybright beworbene Angebot. Dazu heißt es: „Mit Hybright, der neuen DACH weiten Risikomanagement und Fraud Prevention Suite von CRIF, erfolgt Betrugsbekämpfung automatisiert, vernetzt und ganzheitlich“. Was das bedeutet, führt die CRIF GmbH aus: „Um heutzutage Betrug effektiv zu verhindern, reicht es nicht aus nur physische Identitätsdaten wie Name, Geburtsdatum, Anschrift zu überprüfen. Es bedarf auch der Hinzunahme von digitalen Informationen, wie dem genutzten Endgerät, der Geolokalisierung oder auch der Erkennung von auffälligen Verhaltensmustern im Kaufprozess. Hybright kombiniert diese Identitätsdaten für eine ganzheitliche Sicht auf Ihre Kunden.

Geolokalisierung” schließt in der Regel die Verarbeitung von Standortdaten über mobile Endgeräte ein, das heißt, dass es in irgendeiner Form ggf. Zugriff auf diese Endgeräte geben muss oder entsprechende Daten zugekauft werden. Zweifelsohne sind diese Daten personenbezogen. Offen ist in diesem Zusammenhang bei dieser Formulierung auch, inwieweit personenbezogene Daten aus Sozialen Netzwerken etc. verarbeitet werden. Ebenso fraglich ist, wie aus den bekanntgegebenen personenbezogenen Daten, die die CRIF GmbH ausschließlich zu verarbeiten erklärte, auffällige Verhaltensmuster im Kaufprozess erkannt werden können. Dazu gibt die CRIF GmbH keine Auskunft, auch keine Negativauskünfte.

Fehlende Auskunft zu Rechtsgrundlagen

Die Aufforderung der Datenschutzbehörde nach „hinreichend klarer Auskunft in Hinblick auf die Verarbeitungszwecke“ verlangt auch Auskunft darüber, inwieweit diese Zwecke gesetzeskonform mit der DSGVO sind, d.h. u.a. mit den Prinzipien der Rechtmäßigkeit und der Legitimität. Lt. Feiler/Forgó EU-DSGVO, Art. 5 Rz1 bedeutet der Grundsatz der Rechtmäßigkeit „dass personenbezogene Daten nur bei Vorliegen einer entsprechenden Rechtsgrundlage nach Art 6,9 bzw. 10 verarbeitet werden dürfen.“

Die CRIF GmbH bleibt Auskünfte über die Rechtsgrundlage zur Verarbeitung personenbezogener Daten im Zusammenhang mit der angebotenen Dienstleistung der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ zunächst schuldig.

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur unter bestimmten, in Artikel 6 angeführten Fällen. Eine Einwilligung hat der Antragsteller zu keiner Zeit gegeben. Es fragt sich, auf welcher gesetzlichen Grundlage in diesem Zusammenhang die personenbezogenen Daten des Antragstellers verarbeitet werden. Eine Auskunft dazu ist erforderlich.

Einleitung eines Zwangsstrafenverfahrens gegen die CRIF GmbH

In Folge des Antrags auf Vollstreckung des Bescheids der Datenschutzbehörde hat die zuständige Abteilung des Magistrats Wien ein Zwangsstrafenverfahren eingeleitet. Unter Androhung einer Zwangsstrafe wurde die CRIF GmbH aufgefordert binnen einer gesetzten Frist die geforderten Informationen vollständig und ohne Mängel zu geben. Nach Verhängung einer Zwangsstrafe und erneuter Fristsetzung erteilte die CRIF GmbH vertreten durch eine renommierte Anwaltskanzlei jene Informationen zu welchen Sie rechtlich verpflichtet ist.

Einstellung des Vollstreckungsverfahrens

Nachdem CRIF GmbH die geforderte Auskunft in einem noch vertretbaren Umfang erteilte und eine Fortführung des Zwangsstrafenverfahrens unverhältnismäßig gewesen wäre, wurde seitens des Antragstellers beantragt, das Verfahren einzustellen.

Lessons Learned

Die Vollstreckung eines Entscheids der Datenschutzbehörde wird spätestens dann kritsch, wenn der Beschwerdegegner die Gründe, die dafür geltend gemacht werden, zurückweist. Für diesen Fall stehen sich zwei konkurrierende Rechtsauffassungen gegenüber. Nachdem die Datenschutzbehörde nicht bereit ist, qua Behörden- und Sachkompetenz dazu Stellung zu nehmen und sofern die Bezirksverwaltungsbehörde das nicht entscheiden kann, könnte das Zwangsstrafenverfahren weiter voran getrieben werden, bis letztlich die CRIF GmbH gegen die Verwaltungsbehörde ein, wie man erklärte, Disziplinarverfahren einleiten würde, was in der Sache wohl auch keine Entscheidung brächte. Niemand könnte sagen, wie sich die Angelegenheit entwickeln würde.

Die Exekution eines Entscheids der Datenschutzbehörde kann in ein Dilemma führen, das enorme Aufwände auf allen Seiten verursacht und in der Sache nicht wirklich etwas bewirkt. Hier zeigt sich, dass sich Betroffenenrechte am Ende nicht wirksam durchsetzen lassen, selbst bei Vorliegen eines entsprechenden Exekutionstitel - zumindest nicht, wenn das seitens einer Privatperson mit begrenzten Ressourcen betrieben wird.

 

 

Chronologie

# Datum Von Betreff / Inhalt Bemerkung
1 27.10.2020 fokus.genba → MA06 Wien Antrag auf Vollstreckung gegen die CRIF GmbH eingereicht  
2 20.01.2021 MA06 Wien → fokus.genba Mitteilung durch Magistrat Wien, auf Nachfrage:
Mittlerweile wurde ein Zwangsstrafverfahren gegen die CRIF GmbH durch den Magistrat Wien eingeleitet.
Unter Androhung einer Zwangsstrafe wurde die CRIF GmbH am 12.01.2021 aufgefordert, die ausstehenden Informationen bis spätestens  23.02.2021 mitzuteilen.		  
3 08.02.2021 MA06 Wien → fokus.genba Die zuständige MA teilt mit, dass die CRIF GmbH einen Antrag auf Einstellung des Zwangsstrafenverfahrens gestellt hat, nach deren Ansicht "sämtiche, durch den gegenständlichen Bescheid aufgetragenen Verpflichtungen " erfüllt wurden.
Bitte um Stellungnahme, ob die zu erbringende Leistung durch die Crif GmbH Ihrer Ansicht nach erfüllt wurde.		  
4 08.02.2021 fokus.genba → MA06 Wien Mit Verweis auf die Begründung des Vollstreckungsantrags und dem Hinweis, dass die CRIF GmbH zwischenzeitlich ihrer Verpflichtung nicht nachgekommen ist, sollte der Antrag auf Einstellung abgewiesen werden und das Zwangsstrafenverfahren fortgeführt werden.  
5 10.03.2021 MA06 Wien → DSB Der Vorgang wurde Mitte Februar an die Datenschutzbehörde herangetragen, nachdem es in der Sache unterschiedliche Rechtsauffassungen gibt. Es gilt die Entscheidung der DSB abzuwarten. lt. tel. Auskunft
6 06.04.2021 MA06 Wien → fokus.genba Nachdem die gesetzte Frist zur Leistungserbringung deutlich überschritten wurde, wird nachgefragt, ob die CRIF mittlerweile die Leistungen erbracht hat  
7 08.04.2021 MAo6 Wien → CRIF GmbH Erneute Fristsetzung bis 18.05.2021 und Verhängung einer Zwangsstrafe in Höhe von EUR 100  
8 06.05.2021 MA06 Wien → fokus.genba

Nachfrage, ob zwischenzeitlich eine Auskunft durch die CRIF GmbH gegeben wurde.
Verlängerung auf Bitten des Antragstellers, die Fristsetzung von 18.5. auf 25.5. zu erstrecken, um der CRIF GmbH Gelegenheit zu geben, auf eine neuerliches Schreiben in der Angelegenheit zu reagieren.

  
9 06.05.2021 fokus.genba → CRIF GmbH

Nochmalige Zusammenstellung der offen gebliebenen Fragen samt Begründungen

  
10 11.05.2021 CRIF GmbH → fokus.genba

In einem ausführlichen Telefonat gab der die CRIF GmbH vertretende Anwalt die geforderten Auskünfte und teilte das zusammenfassend schriftlich via eMail nochmals gesondert mit.

  
11 11.05.2021 fokus.genba → MA06

Mitteilung an die MA06, dass die geforderten Auskünfte erteilt wurden und das Vollstreckungsverfahren daher eingestellt werden kann

  
12 12.05.2021 MA06 → fokus.genba

Mitteilung, dass das Vollstreckungsverfahren eingestellt wurde

  

 

 

Dr. Conrad Lienhardt (Ausschnitt Portraitfoto)Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 |  E-Mail

 


Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

 

Tags: BezirksverwaltungCRIF GmbHDSGVOExekutionGeldwäscheGewO 1994TerrorismusbekämpfungVollstreckung

Editionsgeschichte:

Eingetragen von Conrad Lienhardt am 28.10.2020 – Last touched: 21.05.2021 – Contents updated: 21.05.2021

1 Kommentar

Benutzerwertungen
5 Stern:
 
 (1)
4 Stern:
 
 (0)
3 Stern:
 
 (0)
2 Stern:
 
 (0)
1 Stern:
 
 (0)
1 Bewertung
Durschn. Benutzerwertung:
(5.0)

Kommentar von: Claus Besucher

Claus

Hallo

Interessant wäre zu wissen was den Crif zu Punkt a. sagt .

a. eine hinreichend klare Auskunft im Hinblick auf die Verarbeitungszwecke zu erteilen, wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers Ausübung welchen Gewerbes verarbeitet werden,

schöne Grüße


Formular wird geladen...