Informationen und Tipps zur EU Datenschutz Grundverordnung (DSGVO)

Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz

24. Jul 2019/Conrad Lienhardt /DSGVO / 27. Jul 2020

Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Aus­kunfteien eines, das mit Ag­gre­gation, auto­matisierter Ver­arbei­tung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Man spricht von Bonitätsauskünften. Die CRIF GmbH wirbt sogar mit tagesaktuellen Bonitätsberichten zu Privatpersonen und Unternehmen.  Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO. Die CRIF GmbH hat damit allem Anschein nach Probleme.

Vorsicht vor Negativeinträgen in Zeiten von Corona!

Nicht wenige – sowohl Privatpersonen als auch Unternehmen – sind wegen des Lockdowns in Zahlungsschwierigkeiten. Werden fällige Zahlungen nicht bedient, kann es schnell zum Inkasso kommen und zu Negativeinträgen bei Auskunfteiten, wie der CRIF GmbH. Das führt zu schlechter Bonität. Und gerade dies wiederum erschwert einen Neuanfang nach Corona. Denn mit schlechter Bonität sind kaum Kredite zu bekommen, selbst bei neuen Mobilfunkverträgen oder beim Wechsel des Energielieferanten kann das enorme Probleme machen.

In Deutschland     gibt es ein zumindest bis 30. Juni geltendes „Gesetz zur Abmilderung der Folgen der Covid-19-Pandemie”, das in Artikel 5 §1 Abs. 1 ein Leistungsverweigerungsrecht bei Dauerschuldverhältnissen einräumt.   Bis dahin ist man in Deutschland für diese Fälle zumindest vor Negativeinträgen geschützt.

Für Österreich     sind keine vergleichbaren Regelungen bekannt.

Besondere Probleme bereitet die Automatisierung. Diese führt in nicht wenigen Fällen dazu, dass für den Fall ausbleibender fälliger Zahlungen automatisiert Meldungen auch an Auskunfteien gehen und dort in Folge zu Negativeinträgen führen können. Damit wäre die Bonität der Privatpersonen oder der Unternehmen beschädigt — und das auf viele Jahre hinaus.

Fordern Sie daher im Herbst bei den Auskunfteien, wie der CRIF GmbH nach Art. 15 DSGVO Auskunft über die zu Ihrer Person - für Österreich auch für Unternehmen — verarbeteten Daten. Seien Sie hartnäckig und legen Sie Beschwerde bei der Datenschutzbehörde ein, wenn die Auskünfte unzureichend und/oder mangelhaft sind, wenn sie nicht klar und verständlich sind. Gerade bei der CRIF GmbH gilt es nachdrücklich zu sein. Wiederholen Sie die Anfrage nach Ablauf eines Jahres.

Die CRIF GmbH holt sich die personenbezogenen Daten aus öffentlichen Verzeichnissen und Datenbanken. so erklärt die CRIF GmbH: In der von CRIF betriebenen Identitäts- und Bonitätsdatenbank werden Daten aus öffentliche verfügbaren Quellen, Daten von Adressverlagen, und Informationen zu Zahlungserfahrungen, die von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Diese Daten werden regelmäßig aktualisiert.

Die CRIF Gmbh nutzt dabei auch aktuelle technologische Entwicklungen, um Ihren Service effektiver und effizienter zu machen - für Kunden, nicht für Betroffene. So berichtete bereits 2014 die Tageszeitung Der Standard, dass die CRIF GmbH sogenannte OCR (Optical Character Reconition) Systeme einsetzt, um beispielsweise via Smartphone App aufgenommene Fotos von Reisepässen, Personalausweisen, Führerscheinen etc.  serverseitig zu verarbeiten und mit eigenen Daten abzugleichen. Schon damals plante die CRIF GmbH laut dieses Berichts, Online-Gesichtserkennung und biometrische Authentifizierung zum Identitätscheck einzusetzen. Das wollte das Unternehmen noch im Laufe des Jahres 2014 realisieren. . Entwickelt werden sollte dieser Identcheck vom Unternehmen Bluesource, Hagenberg.  Über den aktuellen Stand des Einsatzes dieser Technologien findet man leider auf der Webseite des Unternehmens keine Informationen, letzter Stand 2014.  Es ist daher nicht zu sagen, welche Technologien zur Erkennung und Verarbeitung personenbezogener Daten verwendet werden, zumal die CRIF GmbH dazu, wie es den Eindruck macht, die Auskunft verweigert.

Eine Auskunftsanforderung nach Artikel 15 DSGVO

Grund genug, in Erfahrung zu bringen, wie es die CRIF GmbH mit der DSGVO und dem Datenschutz allgemein hält. Einen konkreten Anlass für ein Auskunftsersuchen nach Artikel 15 DSGVO an die CRIF GmbH ergab sich aus der Mitteilung der T-Mobile GmbH, dass diese für eine Kampagne rund um Magenta  personenbezogene Daten von der CRIF GmbH bezogen hätte. (Zur Chronologie der Beantwortung der Auskunftsanfrage siehe Praxisbeispiele Auskunftsersuchen nach Artikel 15 DSGVO.) Die Weitergabe von personenbezogenen Daten an Magenta erfolgte laut Auskunft T-Mobile GmbH nicht im Zusammenhang einer Bonitätsauskunft, sondern ausschließlich im Zusammenhang einer Direktmarketing Kampagne. Es deutet vieles darauf hin, dass die CRIF GmbH hier als Direktmarketing Dienstleister handelte. Es stellt sich daher die Frage, ob die für eine Auskunftei in Anspruch genommenen berechtigten Interessen mit den berechtigten Interessen eines Adresshändlers zuungunsten Betroffener vermischt wurden.

Eine unzulängliche erste Auskunft der CRIF GmbH

In der Beantwortung des Auskunftsersuchens nach Artikel 15 DSGVO wird angeführt, dass Name, Geburtsdatum, Adresse und bezüglich des Unternehmens Gründungsjahr, Inhaberschaft und Adresse verarbeitet würden. Ansonsten würden ausschließlich allgemeine Informationen zu Verwendungszwecken und zur automatisierten Entscheidungsfindung und Profiling gegeben.

Es fand sich darüber hinaus keinerlei weitergehende Auskunft, beispielsweise zum Bonitätsrating selbst, zur Zahlungsfähigkeit oder Zahlungswilligkeit et cetera, also zum eigentlichen Kern des Auskunftsersuchens. Die Auskunft erschöpft sich darin, personenbezogene Angaben wie sie in Adressverzeichnissen abrufbar sind, wiederzugeben.

Eine Auskunft, die keine ist

Gewissermaßen als Hohn auf die DSGVO könnte die sogenannte Legende des Schreibens interpretiert werden: Im Folgenden liefern wir Ihnen Informationen über jene Bereiche, zu denen möglicherweise Daten von Ihnen gespeichert sind. Mit anderen Worten: Die CRIF GmbH hat offenbar wenig unternommen, personenbezogene Daten im Zusammenhang mit deren Verarbeitung konkret zu identifizieren. Das Unternehmen gibt vor, nicht zu wissen, ob und wo und in welchen Kategorien und welcher Logik der automatisierten Verarbeitung und im Profiling personenbezogene Daten verarbeitet werden, sondern es verweist darauf, dass es Bereiche geben könnte, in welchen „möglicherweise Daten” gespeichert sind.

Lesen Sie weiter:
Formulierungen der CRIF GmbH im Auskunftsschreiben könnten als „Einschüchterung” interpretiert werden.

Trotz Nachfrage: Auskunft bleibt mangelhaft und unvollständig

Nachdem die CRIF GmbH auf die mangelhafte und unvollständige Auskunft angesprochen worden war, lieferte sie Auskünfte nach. Aber auch diese blieben mangelhaft und unvollständig.

Besonders irritierend war, dass sich Angaben der CRIF GmbH bezüglich Unternehmen, die eine Bonitätsabfrage stellten, zunächst nicht bestätigen ließen, denn zumindest ein Unternehmen teilte auf Anfrage mit, dass es keine Bonitätsauskunft eingeholt hätte. Es zeigte sich jedoch, dass Testabfragen durchgeführt wurden. Die CRIF GmbH hatte das so allerdings nicht gekennzeichnet, weshalb zunächst die Richtigkeit der Auskunft bezweifelt wurde. Jedenfalls war dies ein weiterer Grund, der Auskunft zu misstrauen.

Es wurden Scorings mitgeteilt, jedoch ohne jegliche Legende. Daher ist nicht ersichtlich, was konkret die angegebenen Werte aussagen. Erläuterungen zum Zustandekommen der Scorings wollte die CRIF GmbH mit Verweis auf das Geschäftsgeheimnis nicht machen.

Zum Vorgang des Verkaufs personenbezogener Daten an Magenta gab die CRIF GmbH keine Auskunft, auch nicht dazu, ob neben Magenta anderen Unternehmen für Direktmarketing Kampagnen personenbezogene Daten geliefert wurden.

 

Mängel bei Informationen zu Betroffenenrechten

Gemäß DSGVO haben Verantwortliche im Rahmen einer Auskunftsanfrage nach Artikel 15 DSGVO Betroffene auf ihre Betroffenenrechte hinzuweisen. Die Betroffenenrechte werden in den Artikeln 13 bis 22 DSGVO geregelt.

Die CRIF GmbH führt nur das Recht auf Löschung (Artikel 17 DSGVO) an und das Recht auf Richtigstellung (Artikel 16 DSGVO), wobei in fetten Lettern mitgeteilt wird: Ein Löschungsrecht ohne Angabe von Gründen ist in der DSGVO nicht vorgesehen. Auf die weiteren Rechte von Betroffenen wird nicht ausdrücklich hingewiesen. Es wird im Anhang ein Link zur Verfügung gestellt.  Allein damit kommt die CRIF GmbH Ihrer Informationspflicht nur unzureichend nach.

Eine unzureichende Auskunft zum Thema Löschung

In Artikel 17 DSGVO heißt es wortwörtlich:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
  • d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Es gilt daher zunächst festzuhalten, dass Betroffene grundsätzlich das Recht auf Löschung haben, sofern einer von sechs möglichen Gründen zutrifft. Im Fall von Auskunfteien ist derzeit ein Verfahren beim Bundesverwaltungsgericht anhängig (DSB-D122.954/0010-DSB/2018). Ein Verantwortlicher wurde auf Grund einer Beschwerde von der Datenschutzbehörde dazu verpflichtet, die Daten eines Betroffenen zu löschen, nachdem der Verantwortliche seiner Informationspflicht nicht nachgekommen war und daher die Verarbeitung rechtswidrig erfolgte. Aufgrund Artikel 17 Absatz 1 lit.d DSGVO folgerte die Datenschutzbehörde, dass wegen rechtswidriger Verarbeitung ein Löschungsanspruch besteht. Dasselbe wäre auch auf die CRIF GmbH anzuwenden, da auch dieses Unternehmen der Informationspflicht nach Artikel 14 DSGVO nicht nachgekommen ist und damit die Verarbeitung rechtswidrig erfolgte.

Zum anderen stellt sich die Frage, ob es seitens der Verantwortlichen und dessen Kunden ein berechtigtes Interesse geben könnten, zu erfahren, ob zu irgendeiner Privatperson oder irgendeinem Unternehmen Einträge vorliegen, die Zahlungsfähigkeit und Zahlungswilligkeit in Frage stellen. Es scheint nicht einsichtig, dass personenbezogene Daten von unbescholtene Privatpersonen oder auch von Unternehmen verarbeitet werden, obwohl es bei diesen zu keinerlei einschlägigen Vorfällen oder Negativeinträgen gekommen ist.

Wenn es darum geht, personenbezogene Daten „unbescholtener” Privatpersonen bezüglich Auskunft zu deren Zahlungskraft et cetera aufgrund berechtigter Interessen zu verarbeiten, ist doch eher davon auszugehen, dass diese berechtigten Interessen dem Schutz der personenbezogenen Daten nachzuordnen sind.  (s. ErwG 47, Artikel 6 Absatz 1 lit 4 DSGVO)

Verkürzte Darstellung des Rechts auf Berichtigung (Richtigstellung)

Artikel 16 DSGVO zum Recht auf Berichtigung:

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Das Unternehmen CRIF GmbH schreibt: Ein Anspruch auf Richtigstellung [Anm. Autor: im Original unterstrichen] besteht nur, wenn die gespeicherten Daten inhaltlich unrichtig oder unvollständig sind. Auch hier ist eine Begründung bez. ein Nachweis der Richtigstellungsgründe Voraussetzung für ein Tätigwerden von CRIF Dass beispielsweise eine ergänzende Erklärung möglich ist, wird verschwiegen.

Verweis auf Website zu weiteren Betroffenenrechten

Anstelle die weiteren Betroffenenrechte im Schreiben selbst näher zu benennen, wird auf die Webseite der CRIF GmbH verwiesen. Damit bleiben im Schreiben selbst diese Betroffenenrechte unerwähnt. Das sind das Informationsrecht (Artikel 12 DSGVO), die Informationspflicht und das Auskunftsrecht (Artikel 13, 14 DSGVO), das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO), das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), das Widerspruchsrecht (Artikel 21 DSGVO) und das Recht im Zusammenhang mit automatisierten Entscheidungen im Einzelfall einschließlich Profiling.

Fazit

Es stellt sich die Frage, ob das Unternehmen CRIF GmbH in Unkenntnis der DSGVO handelt, oder ob Kalkül dahinter steht. Jedenfalls sollte eine solche zweifelhafte Praxis durch die Daten­schutz­behörde geklärt und abgestellt werden.

 

Gegen die CRIF GmbH wurde am 19.8.2019 Beschwerde bei der Datenschutzbehörde eingebracht. (Siehe →)


Am 19.6.2020 erging der Bescheid der Datenschutzbehörde, in welchem festgestellt wurde, dass die CRIF GmbH das Recht auf Auskunft verletzt hat, in dem es unvollständige Auskünfte erteilte. Der CRIF GmbH wurde aufgetragen, innerhalb von vier Wochen

  1. eine hinreichend klare Auskunft im Hinblick auf die Verarbeitungszwecke zu erteilen, wobei insbesondere darzulegen ist, welche konkreten Daten des Beschwerdeführers zwecks Ausübung welchen Gewerbes verarbeitet werden,
  2. die geplante Speicherdauer für die an die Empfänger übermittelten Bonitätsscores („übermittelter Wert“) in der Datenbank der Beschwerdegegnerin samt den damit zusammenhängenden Informationen zu beauskunften sowie
  3. aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der den Beschwerdeführer betreffenden
    Bonitätsbewertung zu geben.

Die CRIF GmbH hat gegen den Bescheid der Datenschutzbehörde in Punkt 2 lit. c Beschwerde beim Bundesverwaltungsgericht eingelegt. D.h. die CRIF GmbH ist nicht bereit, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der den Beschwerdeführer betreffenden Bonitätsbewertung zu geben.

 

Weiterführende Links zu CRIF GmbH und Datenschutz in diesem Blog

 

 

 
Dr. Conrad Lienhardt (Ausschnitt Portraitfoto)

Dr. Conrad Lienhardt
Unternehmensberater
Ausgestaltung und Optimierung von Kundenbeziehungen, Leadmanagement

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
E-Mail

Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

 

 

Seiten: 1·

Tags: AuskunfteiAuskunftspflichtBetroffenenrechteBonitätCRIF GmbHDSGVODatenschutzTransparenz

Editionsgeschichte:

Eingetragen von Conrad Lienhardt am 24.07.2019 – Last touched: 27.07.2020 – Contents updated: 27.07.2020

2 Kommentare

Benutzerwertungen
5 Stern:
 
 (1)
4 Stern:
 
 (0)
3 Stern:
 
 (0)
2 Stern:
 
 (0)
1 Stern:
 
 (0)
1 Bewertung
Durschn. Benutzerwertung:
(5.0)

Kommentar von: Martin Kainz Besucher

Martin Kainz

Wenn CRIF falsche Informationen von mir verarbeitet, wieso muss ich dann nachweisen, dass diese falsch sind? Müsste nicht eher CRIF nachweisen, dass die Angaben zutreffen, z.B. durch Offenlegung der Quellen?
Das scheint mir doch sehr problematisch, dass da Auskunfteien alles mögliche behaupten können und ich hätte dann den Aufwand, nachzuweisen, dass die Informationen falsch oder unvollständig sind.

Kommentar von: Wolfgang Miggisch Besucher

Wolfgang Miggisch

Aber Sie können CRIF oder andere Auskunfteien oder Datenverarbeiter auf Schadensersatz klagen, wenn Sie durch falsche Informationen geschädigt wurden, d.h. wenn Sie z.B. keinen Kredit bekommen, weil die Auskunftei einen Fehler gemacht hat und Ihnen eine schlechte Bonität verpasste. Allerdings wird es dann heiter werden, wenn es darum geht, dies aufzuklären. Denn dann müssen Sie das wiederum nachweisen. Das ganze hat nur wirklich Aussicht auf Erfolg, sofern der Gesetzgeber und damit die Politik endlich damit aufhören, auf Kosten der Bevölkerung weiterhin so schlampig mit Datenschutz umzugehen.


Formular wird geladen...