Antrag auf Vollstreckung gegen die CRIF GmbH
Die CRIF GmbH ist in Sachen Datenschutz wenig auskunftsfreudig, selbst dort, wo das Datenschutzgesetz dies vorsieht. Ein konkretes Beispiel mag das veranschaulichen.
Die Österreichische Datenschutzbehörde ist der Beschwerde eines Betroffenen gefolgt, sah das Recht des Betroffenen verletzt und hat die CRIF GmbH aufgefordert, die verlangten Auskünfte nach Artikel 15 DSGVO zu erteilen. Die Beschwerde war eingereicht worden, nachdem die CRIF GmbH eine unvollständige und mangelhafte Auskunft gegeben hatte.
Gegen den Entscheid der Österreichischen Datenschutzbehörde hat die CRIF GmbH teilweise Beschwerde beim Bundesverwaltungsgericht (BVwG) eingereicht. Bei der Bescheidentsprechung in anderen Punkten erkannte der Beschwerdeführer weiterhin Mängel in der Auskunft.
Eine direkte Nachfrage bei der CRIF GmbH blieb ergebnislos.
Entsprechend wandte sich der Beschwerdeführer an die Datenschutzbehörde. Diese sah sich allerdings nicht mehr zuständig. Sie habe dem Beschwerdeführer mit dem Entscheid einen Exekutionstitel an die Hand gegeben, womit gegen die CRIF GmbH bei der zuständigen Bezirksverwaltungsbehörde eine Vollstreckung beantragt und der Entscheid der Datenschutzbehörde durchgesetzt werden könne, solange, bis die Auskünfte vollständig und spruchgemäß gegeben worden sind.
Der Antrag auf Vollstreckung
Im Wesentlichen beschränkte sich der Antrag auf Vollstreckung auf den Verarbeitungszweck Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
.
Erstmals im gesamten Verlauf der Beschwerde nach Art. 77 DSGVO wegen unvollständiger und mangelhafter Auskunft erwähnte die CRIF GmbH in der Bescheiderfüllung einen bislang vorenthaltenen Zweck der Verarbeitung der personenbezogener Daten des Betroffen: Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
. Verwiesen wird dabei allgemein auf den stark regulierten Markt der Bank-, Kredit- und Finanzierungsdienstleistungen sowie auf Telekommunikation und Versicherung et cetera, die strengen Geldwäschebestimmungen unterliegen.
Substanzieller wird die Auskunft allerdings nicht, obwohl die Datenschutzbehörde in ihrem Entscheid gefordert hat, dass die Auskunft in „hinreichend klarer“ Weise erfolgen muss, „wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers zwecks Ausübung welchen Gewerbes verarbeitet werden.“
Die CRIF GmbH bezieht sich bei Ihrer Auskunft zu Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
auf die gewerbliche Tätigkeit als Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 (GewO). Die Auskunft selbst lässt vermuten, dass die CRIF GmbH die Rechtsgrundlage zur gewerblichen Tätigkeit als Auskunftei über Kreditverhältnissen auf „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ erstreckt, was etliche Fragen aufwirft. Die GewO kennt laut Auskunft der Bezirksverwaltungsbehörde die Dienstleistung von „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ im Zusammenhang mit Gewerbeberechtigungen nicht. Hingegen stellt § 152 Abs. 1 GewO eindeutig fest:
„Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.“
Auskünfte zu „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ dürften daher wohl eher nicht über das Gewerbe Auskunfteien über Kreditverhältnisse gedeckt sein. Dies zu prüfen wäre Aufgabe der Gewerbebehörde bei der zuständigen Bezirksverwaltung.
Fehlende Angaben zu Datenherkunft und Datenverwendung
Die CRIF GmbH teilte mit, dass sämtliche, den Antragsteller betreffenden personenbezogene Daten bezüglich Bonitätsauskunft auch zum Zweck der Erbringung von Dienstleistungen zur „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ verarbeitet würden. Es gab jedoch begründete Zweifel, dass die CRIF GmbH über Namens- und Adressdaten hinausgehend weitere personenbezogene Daten im Zusammenhang mit dem Zweck der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ verarbeitet und nicht alle Quellen ausweist.
Vielmehr ergeben sich aus den von der CRIF GmbH rund um den Verarbeitungszweck „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ angebotenen Produkten begründete Hinweise dafür, dass deutlich mehr personenbezogene Daten verarbeitet werden könnten. Beispielsweise das als Hybright beworbene Angebot. Dazu heißt es: „Mit Hybright, der neuen DACH weiten Risikomanagement und Fraud Prevention Suite von CRIF, erfolgt Betrugsbekämpfung automatisiert, vernetzt und ganzheitlich“. Was das bedeutet, führt die CRIF GmbH aus: „Um heutzutage Betrug effektiv zu verhindern, reicht es nicht aus nur physische Identitätsdaten wie Name, Geburtsdatum, Anschrift zu überprüfen. Es bedarf auch der Hinzunahme von digitalen Informationen, wie dem genutzten Endgerät, der Geolokalisierung oder auch der Erkennung von auffälligen Verhaltensmustern im Kaufprozess. Hybright kombiniert diese Identitätsdaten für eine ganzheitliche Sicht auf Ihre Kunden.“
„Geolokalisierung” schließt in der Regel die Verarbeitung von Standortdaten über mobile Endgeräte ein, das heißt, dass es in irgendeiner Form ggf. Zugriff auf diese Endgeräte geben muss oder entsprechende Daten zugekauft werden. Zweifelsohne sind diese Daten personenbezogen. Offen ist in diesem Zusammenhang bei dieser Formulierung auch, inwieweit personenbezogene Daten aus Sozialen Netzwerken etc. verarbeitet werden. Ebenso fraglich ist, wie aus den bekanntgegebenen personenbezogenen Daten, die die CRIF GmbH ausschließlich zu verarbeiten erklärte, auffällige Verhaltensmuster im Kaufprozess erkannt werden können. Dazu gibt die CRIF GmbH keine Auskunft, auch keine Negativauskünfte.
Fehlende Auskunft zu Rechtsgrundlagen
Die Aufforderung der Datenschutzbehörde nach „hinreichend klarer Auskunft in Hinblick auf die Verarbeitungszwecke“ verlangt auch Auskunft darüber, inwieweit diese Zwecke gesetzeskonform mit der DSGVO sind, d.h. u.a. mit den Prinzipien der Rechtmäßigkeit und der Legitimität. Lt. Feiler/Forgó EU-DSGVO, Art. 5 Rz1 bedeutet der Grundsatz der Rechtmäßigkeit „dass personenbezogene Daten nur bei Vorliegen einer entsprechenden Rechtsgrundlage nach Art 6,9 bzw. 10 verarbeitet werden dürfen.“
Die CRIF GmbH bleibt Auskünfte über die Rechtsgrundlage zur Verarbeitung personenbezogener Daten im Zusammenhang mit der angebotenen Dienstleistung der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ zunächst schuldig.
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur unter bestimmten, in Artikel 6 angeführten Fällen. Eine Einwilligung hat der Antragsteller zu keiner Zeit gegeben. Es fragt sich, auf welcher gesetzlichen Grundlage in diesem Zusammenhang die personenbezogenen Daten des Antragstellers verarbeitet werden. Eine Auskunft dazu ist erforderlich.
Einleitung eines Zwangsstrafenverfahrens gegen die CRIF GmbH
In Folge des Antrags auf Vollstreckung des Bescheids der Datenschutzbehörde hat die zuständige Abteilung des Magistrats Wien ein Zwangsstrafenverfahren eingeleitet. Unter Androhung einer Zwangsstrafe wurde die CRIF GmbH aufgefordert binnen einer gesetzten Frist die geforderten Informationen vollständig und ohne Mängel zu geben. Nach Verhängung einer Zwangsstrafe und erneuter Fristsetzung erteilte die CRIF GmbH vertreten durch eine renommierte Anwaltskanzlei jene Informationen zu welchen Sie rechtlich verpflichtet ist.
Einstellung des Vollstreckungsverfahrens
Nachdem CRIF GmbH die geforderte Auskunft in einem noch vertretbaren Umfang erteilte und eine Fortführung des Zwangsstrafenverfahrens unverhältnismäßig gewesen wäre, wurde seitens des Antragstellers beantragt, das Verfahren einzustellen.
Lessons Learned
Die Vollstreckung eines Entscheids der Datenschutzbehörde wird spätestens dann kritsch, wenn der Beschwerdegegner die Gründe, die dafür geltend gemacht werden, zurückweist. Für diesen Fall stehen sich zwei konkurrierende Rechtsauffassungen gegenüber. Nachdem die Datenschutzbehörde nicht bereit ist, qua Behörden- und Sachkompetenz dazu Stellung zu nehmen und sofern die Bezirksverwaltungsbehörde das nicht entscheiden kann, könnte das Zwangsstrafenverfahren weiter voran getrieben werden, bis letztlich die CRIF GmbH gegen die Verwaltungsbehörde ein, wie man erklärte, Disziplinarverfahren einleiten würde, was in der Sache wohl auch keine Entscheidung brächte. Niemand könnte sagen, wie sich die Angelegenheit entwickeln würde.
Die Exekution eines Entscheids der Datenschutzbehörde kann in ein Dilemma führen, das enorme Aufwände auf allen Seiten verursacht und in der Sache nicht wirklich etwas bewirkt. Hier zeigt sich, dass sich Betroffenenrechte am Ende nicht wirksam durchsetzen lassen, selbst bei Vorliegen eines entsprechenden Exekutionstitel - zumindest nicht, wenn das seitens einer Privatperson mit begrenzten Ressourcen betrieben wird.
Chronologie
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 27.10.2020 | fokus.genba → MA06 Wien | Antrag auf Vollstreckung gegen die CRIF GmbH eingereicht | |
| 2 | 20.01.2021 | MA06 Wien → fokus.genba | Mitteilung durch Magistrat Wien, auf Nachfrage: Mittlerweile wurde ein Zwangsstrafverfahren gegen die CRIF GmbH durch den Magistrat Wien eingeleitet. Unter Androhung einer Zwangsstrafe wurde die CRIF GmbH am 12.01.2021 aufgefordert, die ausstehenden Informationen bis spätestens 23.02.2021 mitzuteilen. |
|
| 3 | 08.02.2021 | MA06 Wien → fokus.genba | Die zuständige MA teilt mit, dass die CRIF GmbH einen Antrag auf Einstellung des Zwangsstrafenverfahrens gestellt hat, nach deren Ansicht "sämtiche, durch den gegenständlichen Bescheid aufgetragenen Verpflichtungen " erfüllt wurden. Bitte um Stellungnahme, ob die zu erbringende Leistung durch die Crif GmbH Ihrer Ansicht nach erfüllt wurde. |
|
| 4 | 08.02.2021 | fokus.genba → MA06 Wien | Mit Verweis auf die Begründung des Vollstreckungsantrags und dem Hinweis, dass die CRIF GmbH zwischenzeitlich ihrer Verpflichtung nicht nachgekommen ist, sollte der Antrag auf Einstellung abgewiesen werden und das Zwangsstrafenverfahren fortgeführt werden. | |
| 5 | 10.03.2021 | MA06 Wien → DSB | Der Vorgang wurde Mitte Februar an die Datenschutzbehörde herangetragen, nachdem es in der Sache unterschiedliche Rechtsauffassungen gibt. Es gilt die Entscheidung der DSB abzuwarten. | lt. tel. Auskunft |
| 6 | 06.04.2021 | MA06 Wien → fokus.genba | Nachdem die gesetzte Frist zur Leistungserbringung deutlich überschritten wurde, wird nachgefragt, ob die CRIF mittlerweile die Leistungen erbracht hat | |
| 7 | 08.04.2021 | MAo6 Wien → CRIF GmbH | Erneute Fristsetzung bis 18.05.2021 und Verhängung einer Zwangsstrafe in Höhe von EUR 100 | |
| 8 | 06.05.2021 | MA06 Wien → fokus.genba |
Nachfrage, ob zwischenzeitlich eine Auskunft durch die CRIF GmbH gegeben wurde. |
|
| 9 | 06.05.2021 | fokus.genba → CRIF GmbH |
Nochmalige Zusammenstellung der offen gebliebenen Fragen samt Begründungen |
|
| 10 | 11.05.2021 | CRIF GmbH → fokus.genba |
In einem ausführlichen Telefonat gab der die CRIF GmbH vertretende Anwalt die geforderten Auskünfte und teilte das zusammenfassend schriftlich via eMail nochmals gesondert mit. |
|
| 11 | 11.05.2021 | fokus.genba → MA06 |
Mitteilung an die MA06, dass die geforderten Auskünfte erteilt wurden und das Vollstreckungsverfahren daher eingestellt werden kann |
|
| 12 | 12.05.2021 | MA06 → fokus.genba |
Mitteilung, dass das Vollstreckungsverfahren eingestellt wurde |
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
1 Kommentar
(5.0)
Kommentar von: Claus
Hallo
Interessant wäre zu wissen was den Crif zu Punkt a. sagt .
a. eine hinreichend klare Auskunft im Hinblick auf die Verarbeitungszwecke zu erteilen, wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers Ausübung welchen Gewerbes verarbeitet werden,
schöne Grüße
Formular wird geladen...