Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz

Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Aus­kunfteien eines, das mit Ag­gre­gation, auto­matisierter Ver­arbei­tung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Man spricht von Bonitätsauskünften. Die CRIF GmbH wirbt sogar mit tagesaktuellen Bonitätsberichten zu Privatpersonen und Unternehmen.  Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO. Die CRIF GmbH hat damit allem Anschein nach Probleme.

Die CRIF GmbH holt sich die personenbezogenen Daten aus öffentlichen Verzeichnissen und Datenbanken. so erklärt die CRIF GmbH: In der von CRIF betriebenen Identitäts- und Bonitätsdatenbank werden Daten aus öffentliche verfügbaren Quellen, Daten von Adressverlagen, und Informationen zu Zahlungserfahrungen, die von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Diese Daten werden regelmäßig aktualisiert. ^⦾

Die CRIF Gmbh nutzt dabei auch aktuelle technologische Entwicklungen, um Ihren Service effektiver und effizienter zu machen - für Kunden, nicht für Betroffene. So berichtete bereits 2014 die Tageszeitung Der Standard, dass die CRIF GmbH sogenannte OCR (Optical Character Reconition) Systeme einsetzt, um beispielsweise via Smartphone App aufgenommene Fotos von Reisepässen, Personalausweisen, Führerscheinen etc.  serverseitig zu verarbeiten und mit eigenen Daten abzugleichen. Schon damals plante die CRIF GmbH laut dieses Berichts, Online-Gesichtserkennung und biometrische Authentifizierung zum Identitätscheck einzusetzen. Das wollte das Unternehmen noch im Laufe des Jahres 2014 realisieren. . Entwickelt werden sollte dieser Identcheck vom Unternehmen Bluesource, Hagenberg.  Über den aktuellen Stand des Einsatzes dieser Technologien findet man leider auf der Webseite des Unternehmens keine Informationen, letzter Stand 2014.  Es ist daher nicht zu sagen, welche Technologien zur Erkennung und Verarbeitung personenbezogener Daten verwendet werden, zumal die CRIF GmbH dazu, wie es den Eindruck macht, die Auskunft verweigert.

Eine Auskunftsanforderung nach Artikel 15 DSGVO

Grund genug, in Erfahrung zu bringen, wie es die CRIF GmbH mit der DSGVO und dem Datenschutz allgemein hält. Einen konkreten Anlass für ein Auskunftsersuchen nach Artikel 15 DSGVO an die CRIF GmbH ergab sich aus der Mitteilung der T-Mobile GmbH, dass diese für eine Kampagne rund um Magenta  personenbezogene Daten von der CRIF GmbH bezogen hätte. (Zur Chronologie der Beantwortung der Auskunftsanfrage siehe Praxisbeispiele Auskunftsersuchen nach Artikel 15 DSGVO.) Die Weitergabe von personenbezogenen Daten an Magenta erfolgte laut Auskunft T-Mobile GmbH nicht im Zusammenhang einer Bonitätsauskunft, sondern ausschließlich im Zusammenhang einer Direktmarketing Kampagne. Es deutet vieles darauf hin, dass die CRIF GmbH hier als Direktmarketing Dienstleister handelte. Es stellt sich daher die Frage, ob die für eine Auskunftei in Anspruch genommenen berechtigten Interessen mit den berechtigten Interessen eines Adresshändlers zuungunsten Betroffener vermischt wurden.

Eine unzulängliche erste Auskunft der CRIF GmbH

In der Beantwortung des Auskunftsersuchens nach Artikel 15 DSGVO wird angeführt, dass Name, Geburtsdatum, Adresse und bezüglich des Unternehmens Gründungsjahr, Inhaberschaft und Adresse verarbeitet würden. Ansonsten würden ausschließlich allgemeine Informationen zu Verwendungszwecken und zur automatisierten Entscheidungsfindung und Profiling gegeben.

Es fand sich darüber hinaus keinerlei weitergehende Auskunft, beispielsweise zum Bonitätsrating selbst, zur Zahlungsfähigkeit oder Zahlungswilligkeit et cetera, also zum eigentlichen Kern des Auskunftsersuchens. Die Auskunft erschöpft sich darin, personenbezogene Angaben wie sie in Adressverzeichnissen abrufbar sind, wiederzugeben.

Eine Auskunft, die keine ist

Gewissermaßen als Hohn auf die DSGVO könnte die sogenannte Legende des Schreibens interpretiert werden: Im Folgenden liefern wir Ihnen Informationen über jene Bereiche, zu denen möglicherweise Daten von Ihnen gespeichert sind. ^⦾ Mit anderen Worten: Die CRIF GmbH hat offenbar wenig unternommen personenbezogene Daten im Zusammenhang mit deren Verarbeitung konkret zu identifizieren. Das Unternehmen gibt vor, nicht zu wissen, ob und wo und in welchen Kategorien und welcher Logik der automatisierten Verarbeitung und im Profiling personenbezogene Daten verarbeitet werden, sondern es verweist darauf, dass es Bereiche geben könnte, in welchen „möglicherweise Daten” gespeichert sind.

Lesen Sie weiter:
Formulierungen der CRIF GmbH im Auskunftsschreiben könnten als „Einschüchterung” interpretiert werden.

Trotz Nachfrage: Auskunft bleibt mangelhaften und unvollständigen

Nachdem die CRIF GmbH auf die mangelhafte und unvollständige Auskunft angesprochen worden war, lieferte sie Auskünfte nach. Aber auch diese blieben mangelhaft und unvollständig.

Besonders irritierend war, dass sich Angaben der CRIF GmbH als falsch erwiesen. Die CRIF GmbH benannte Unternehmen, an welche eine Bonitätsauskunft erteilt worden sein soll, obwohl das offensichtlich nicht den Tatsachen entsprach. Auf Nachfrage bei einem der angeführten Unternehmen – ebenfalls über ein Auskunftsersuchen nach Artikel 15 DSGVO – zeigte sich, dass dieses Unternehmen über diese Person zu keiner Zeit eine Bonitätsauskunft eingeholt hatte. Das wurde wiederholt versichert. Wie kommt daher die CRIF GmbH dazu, ein Unternehmen als Empfänger anzuführen, obwohl das offensichtlich nicht zutrifft? Grund genug, der Auskunft zu misstrauen.

Es wurden Scorings mitgeteilt, jedoch ohne jegliche Legende. Daher ist nicht ersichtlich, was konkret die angegebenen Werte aussagen. Erläuterungen zum Zustandekommen der Scorings wollte die CRIF GmbH mit Verweis auf das Geschäftsgeheimnis nicht machen.

Zum Vorgang des Verkaufs personenbezogener Daten an Magenta gab die CRIF GmbH keine Auskunft, auch nicht dazu, ob neben Magenta anderen Unternehmen für Direktmarketing Kampagnen personenbezogene Daten geliefert wurden.

Mängel bei Informationen zu Betroffenenrechten

Gemäß DSGVO haben Verantwortliche im Rahmen einer Auskunftsanfrage nach Artikel 15 DSGVO Betroffene auf ihre Betroffenenrechte hinzuweisen. Die Betroffenenrechte werden in den Artikeln 13 bis 22 DSGVO geregelt.

Die CRIF GmbH führt nur das Recht auf Löschung (Artikel 17 DSGVO) an und das Recht auf Richtigstellung (Artikel 16 DSGVO), wobei in fetten Lettern mitgeteilt wird: Ein Löschungsrecht ohne Angabe von Gründen ist in der DSGVO nicht vorgesehen. Auf die weiteren Rechte von Betroffenen wird nicht ausdrücklich hingewiesen. Es wird im Anhang ein Link zur Verfügung gestellt.  Allein damit kommt die CRIF GmbH Ihrer Informationspflicht nur unzureichend nach.

Eine unzureichende Auskunft zum Thema Löschung

Es gilt daher zunächst festzuhalten, dass Betroffene grundsätzlich das Recht auf Löschung haben, sofern einer von sechs möglichen Gründen zutrifft. Im Fall von Auskunfteien ist derzeit ein Verfahren beim Bundesverwaltungsgericht anhängig (DSB-D122.954/0010-DSB/2018). Ein Verantwortlicher wurde auf Grund einer Beschwerde von der Datenschutzbehörde dazu verpflichtet, die Daten eines Betroffenen zu löschen, nachdem der Verantwortliche seiner Informationspflicht nicht nachgekommen war und daher die Verarbeitung rechtswidrig erfolgte. Aufgrund Artikel 17 Absatz 1 lit.d DSGVO folgerte die Datenschutzbehörde, dass wegen rechtswidriger Verarbeitung ein Löschungsanspruch besteht. Dasselbe wäre auch auf die CRIF GmbH anzuwenden, da auch dieses Unternehmen der Informationspflicht nach Artikel 14 DSGVO nicht nachgekommen ist und damit die Verarbeitung rechtswidrig erfolgte.

Zum anderen stellt sich die Frage, ob es seitens der Verantwortlichen und dessen Kunden ein berechtigtes Interesse geben könnten, zu erfahren, ob zu irgendeiner Privatperson oder irgendeinem Unternehmen Einträge vorliegen, die Zahlungsfähigkeit und Zahlungswilligkeit in Frage stellen. Es scheint nicht einsichtig, dass personenbezogene Daten von unbescholtene Privatpersonen oder auch von Unternehmen verarbeitet werden, obwohl es bei diesen zu keinerlei einschlägigen Vorfällen oder Negativeinträgen gekommen ist.

Wenn es darum geht, personenbezogene Daten „unbescholtener” Privatpersonen bezüglich Auskunft zu deren Zahlungskraft et cetera aufgrund berechtigter Interessen zu verarbeiten, ist doch eher davon auszugehen, dass diese berechtigten Interessen dem Schutz der personenbezogenen Daten nachzuordnen sind.  (s. ErwG 47, Artikel 6 Absatz 1 lit 4 DSGVO)

Verkürzte Darstellung des Rechts auf Berichtigung (Richtigstellung)

Das Unternehmen CRIF GmbH schreibt: Ein Anspruch auf Richtigstellung [Anm. Autor: im Original unterstrichen] besteht nur, wenn die gespeicherten Daten inhaltlich unrichtig oder unvollständig sind. Auch hier ist eine Begründung bez. ein Nachweis der Richtigstellungsgründe Voraussetzung für ein Tätigwerden von CRIF Dass beispielsweise eine ergänzende Erklärung möglich ist, wird verschwiegen.

Verweis auf Website zu weiteren Betroffenenrechten

Anstelle die weiteren Betroffenenrechte im Schreiben selbst näher zu benennen, wird auf die Webseite der CRIF GmbH verwiesen. Damit bleiben im Schreiben selbst diese Betroffenenrechte unerwähnt. Das sind das Informationsrecht (Artikel 12 DSGVO), die Informationspflicht und das Auskunftsrecht (Artikel 13, 14 DSGVO), das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO), das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), das Widerspruchsrecht (Artikel 21 DSGVO) und das Recht im Zusammenhang mit automatisierten Entscheidungen im Einzelfall einschließlich Profiling.

Fazit

Es stellt sich die Frage, ob das Unternehmen CRIF GmbH in Unkenntnis der DSGVO handelt, oder ob Kalkül dahinter steht. Jedenfalls sollte eine solche zweifelhafte Praxis durch die Daten­schutz­behörde geklärt und abgestellt werden.

Dr. Conrad Lienhardt
Unternehmensberater
Ausgestaltung und Optimierung von Kundenbeziehungen, Leadmanagement

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
E-Mail

Seiten: 1· 2