Antrag auf Vollstreckung gegen die CRIF GmbH
Die CRIF GmbH ist in Sachen Datenschutz wenig auskunftsfreudig, selbst dort, wo das Datenschutzgesetz dies vorsieht. Ein konkretes Beispiel mag das veranschaulichen.
Die Beschwerde eines Betroffenen gegen eine unvollständige und mangelhafte Auskunft nach Artikel 15 DSGVO entschied die Datenschutzbehörde mit der Feststellung, dass die Beschwerde zurecht eingereicht wurde und einer Aufforderung an die CRIF GmbH, die gewünschten Auskünfte zu erteilen. Selbst dort, wo die CRIF GmbH gegen den Entscheid keine Beschwerde beim Bundesverwaltungsgericht eingelegt hatte, wurden aus Sicht des Betroffenen wiederum unvollständige und mangelhafte Auskünfte gegeben. Dafür sieht sich die Datenschutzbehörde allerdings nun nicht mehr zuständig. Sie hat dem Betroffenen einen Exekutionstitel an die Hand gegeben, womit gegen die CRIF GmbH bei der zuständigen Bezirksverwaltungsbehörde eine Vollstreckung beantragt und der Entscheid der Datenschutzbehörde durchgesetzt werden kann, solange, bis die Auskünfte vollständig und spruchgemäß gegeben worden sind.
Unzureichende und mangelhafte Auskunft
Die Datenschutzbehörde hat mit Bescheid vom 19. Juni 2020 [DSB-D124.1320/0007-DSB/2019] entschieden, dass die CRIF GmbH einem Beschwerdeführer folgende Auskünfte zu geben:
- eine hinreichend klare Auskunft im Hinblick auf die Verarbeitungszwecke zu erteilen, wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers zwecks Ausübung welchen Gewerbes verarbeitet werden,
- die geplante Speicherdauer für die an die Empfänger übermittelten Bonitätsscores („übermittelter Wert“) in der Datenbank der Beschwerdegegnerin samt den damit zusammenhängenden Informationen zu beauskunften sowie
- aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der den Beschwerdeführer betreffenden
Bonitätsbewertung zu geben.
Auf die ersten beiden Punkte a und b hat die CRIF GmbH in einer Bescheiderfüllung vom 17. Juli 2020 geantwortet. Gegen den dritten Punkt c hat sie Beschwerde beim Bundesverwaltungsgericht eingereicht.
Nachdem die Beantwortung der Punkte a und b nach Auffassung des Betroffenen unvollständig und mangelhaft war und Nachfragen, bzw. Aufforderungen, die Auskunft vollständig zu geben, erfolglos blieben, hat der Betroffene Gebrauch von Exekutionstitel des Bescheids gemacht.
Der Antrag auf Vollstreckung
Im Wesentlichen beschränkt sich der Antrag auf Vollstreckung auf die Dienstleistung Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
.
Erstmals im gesamten Verlauf der Beschwerde nach Art. 77 DSGVO wegen unvollständiger und mangelhafter Auskunft erwähnte die CRIF GmbH in der Bescheiderfüllung einen bislang vorenthaltenen Zweck der Verarbeitung der personenbezogener Daten des Betroffen: Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
. Verwiesen wird dabei allgemein auf den stark regulierten Markt der Bank-, Kredit- und Finanzierungsdienstleistungen sowie auf Telekommunikation und Versicherung et cetera, die strengen Geldwäschebestimmungen unterliegen.
Substanzieller wird die Auskunft allerdings nicht, obwohl die Datenschutzbehörde in ihrem Entscheid gefordert hat, dass die Auskunft in „hinreichend klarer“ Weise erfolgen muss, „wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers zwecks Ausübung welchen Gewerbes verarbeitet werden.“
Die CRIF GmbH bezieht sich bei Ihrer Auskunft zu Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
auf die gewerbliche Tätigkeit als Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 (GewO). Die Auskunft selbst lässt vermuten, dass die CRIF GmbH die Verarbeitungszwecke von Kreditverhältnissen mit „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ aus Sicht des Betroffenen wohl unzulässig und rechtlich nicht nachvollziehbar vermischt. Die GewO kennt laut Auskunft der Bezirksverwaltungsbehörde die Dienstleistung von „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ im Zusammenhang mit Gewerbeberechtigungen nicht. Vielmehr besagt der seitens der CRIF GmbH angezogene § 152 Abs. 1 GewO:
„Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.“
Auskünfte zu „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ dürften daher eher nicht über das Gewerbe Auskunfteien über Kreditverhältnisse gedeckt sein. Dies zu prüfen ist Aufgabe der Gewerbebehörde bei der zuständigen Bezirksverwaltung. Ein entsprechender Prüfantrag wurde eingebracht.
Fehlende Angaben zu Datenherkunft und Datenverwendung
Die CRIF GmbH gibt keine Auskunft, welche konkreten Daten für den Zweck der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ verarbeitet werden. Die CRIF GmbH teilt mit, dass sämtliche, den Antragsteller betreffenden personenbezogene Daten bezüglich Bonitätsauskunft auch zum Zweck der Erbringung von Dienstleistungen zur „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ verarbeitet werden.
Die CRIF GmbH hat im Zusammenhang mit Ihrer Tätigkeit als Auskunftei/Kreditei angegeben, Name, Anschrift, Geburtsdatum, Gründungsjahr des Unternehmens und Status des Antragstellers als Inhaber zu verarbeiten. Es ist völlig unglaubwürdig und nach Ansicht des Antragstellers unseriös, behaupten zu wollen, dass sich auf Basis dieser Daten irgendwelche seriösen Aussagen im Rahmen von „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ treffen lassen. Selbst bei Verwendung von Algorithmen im Zusammenhang mit statistischen Verfahren der multiplen Regressionsanlyse lassen sich keine auch nur annähernd verlässlichen Aussagen darüber machen, ob bei dieser dürftigen faktischen Datenlage Personen mehr oder weniger des Betrugs, der Geldwäsche oder der Terrorismusfinanzierung verdächtigt werden können.
Laut Auskunft des Bundeskriminalamts sind seriöse Auskünfte zu „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ auf diese Weise nicht zu erlangen. Die Bundeskriminalamt braucht u.a. Gerichtsbeschlüsse zur Konteneinsicht etc. pp. um Verdachtsfällen auf Geldwäsche und Terrorismusfinanzierung auch nur ansatzweise nachgehen zu können, und das international.
Keinesfalls reichen Daten, die ggf. im Zusammenhang mit Algorithmen gestützten statistischen Verfahren für Bonitätsratings noch zureichen können (obwohl auch das in Frage zu stellen ist, solange die involvierte Logik als Betriebsgeheimnis intransparent bleibt), als Grundlage zur Auskunft, ob eine Person, wie bspw. der Antragsteller, mehr oder weniger verdächtig ist, Geldwäsche oder Terrorismusfinanzierung zu betreiben.
Völlig ungeklärt ist, was unter „Betrugsbekämpfung“ in diesem Zusammenhang zu verstehen ist. Sollte die Beauskunftung auf Basis der kommunizierten Datenlage erfolgen, so ist davon auszugehen, dass die Auskunft schwerlich valide ist, was ggf. im Einzelfall den Tatbestand übler Nachrede und Geschäftsschädigung erfüllen könnte.
Daher bleibt die Frage, welche Daten einer Dienstleistung von „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ im Rahmen der Tätigkeit der CRIF GmbH als Auskunftei über Kreditverhältnis zugrunde liegen.
Fehlende Auskunft zu Rechtsgrundlagen
Die Aufforderung der Datenschutzbehörde nach „hinreichend klarer Auskunft in Hinblick auf die Verarbeitungszwecke“ verlangt auch Auskunft darüber, inwieweit diese Zwecke gesetzeskonform mit der DSGVO sind, d.h. u.a. mit den Prinzipien der Rechtmäßigkeit und der Legitimität. Lt. Feiler/Forgó EU-DSGVO, Art. 5 Rz1 bedeutet der Grundsatz der Rechtmäßigkeit „dass personenbezogene Daten nur bei Vorliegen einer entsprechenden Rechtsgrundlage nach Art 6,9 bzw. 10 verarbeitet werden dürfen.“
Die CRIF GmbH bleibt Auskünfte über die Rechtsgrundlage zur Verarbeitung personenbezogener Daten im Zusammenhang mit der angebotenen Dienstleistung der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ schuldig.
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur unter bestimmten, in Artikel 6 angeführten Fällen. Eine Einwilligung hat der Antragsteller zu keiner Zeit gegeben. Anders als im Fall der Auskunftei über Kreditverhältnisse dürfte es hier keine berechtigten Interessen geben, da die „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung“ lt. Auskunft des Bundeskriminalamtes eine hoheitliche Domäne ist. Es fragt sich daher, auf welcher gesetzlichen Grundlage in diesem Zusammenhang die personenbezogenen Daten des Antragstellers verarbeitet werden. Eine Auskunft dazu ist erforderlich.
Einleitung eines Zwangsstrafenverfahrens gegen die CRIF GmbH
In Folge des Antrags auf Vollstreckung des Bescheids der Datenschutzbehörde hat die zuständige Abteilung des Magistrats Wien ein Zwangsstrafenverfahren eingeleitet. Unter Androhung einer Zwangsstrafe wurde die CRIF GmbH aufgefordert binnen einer gesetzten Frist die geforderten Informationen vollständig und ohne Mängel zu geben.
Chronologie
| # | Datum | Von | Betreff / Inhalt | Bemerkung |
|---|---|---|---|---|
| 1 | 27.10.2020 | fokus.genba → MA06 Wien | Antrag auf Vollstreckung gegen die CRIF GmbH eingereicht | |
| 2 | 20.01.2021 | MA06 Wien → fokus.genba | Mitteilung durch Magistrat Wien, auf Nachfrage: Mittlerweile wurde ein Zwangsstrafverfahren gegen die CRIF GmbH durch den Magistrat Wien eingeleitet. Unter Androhung einer Zwangsstrafe wurde die CRIF GmbH am 12.01.2021 aufgefordert, die ausstehenden Informationen bis spätestens 23.02.2021 mitzuteilen. |
|
| 3 | 08.02.2021 | MA06 Wien → fokus.genba | Die zuständige MA teilt mit, dass die CRIF GmbH einen Antrag auf Einstellung des Zwangsstrafenverfahrens gestellt hat, nach deren Ansicht "sämtiche, durch den gegenständlichen Bescheid aufgetragenen Verpflichtungen " erfüllt wurden. Bitte um Stellungnahme, ob die zu erbringende Leistung durch die Crif GmbH Ihrer Ansicht nach erfüllt wurde. |
|
| 4 | 08.02.2021 | fokus.genba → MA06 Wien | Mit Verweis auf die Begründung des Vollstreckungsantrags und dem Hinweis, dass die CRIF GmbH zwischenzeitlich ihrer Verpflichtung nicht nachgekommen ist, sollte der Antrag auf Einstellung abgewiesen werden und das Zwangsstrafenverfahren fortgeführt werden. | |
| 5 | MA06 Wien → DSB | Der Vorgang wurde Mitte Februar an die Datenschutzbehörde herangetragen, nachdem es in der Sache unterschiedliche Rechtsauffassungen gibt. Es gilt die Entscheidung der DSB abzuwarten. | lt. tel. Auskunft vom 10.3. |
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Noch kein Feedback
Formular wird geladen...