Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz

Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Aus­kunfteien eines, das mit Ag­gre­gation, auto­matisierter Ver­arbei­tung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.

Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.

Auskunftei über Kreditverhältnisse

Man spricht von Bonitätsauskünften. Die CRIF GmbH wirbt sogar mit tagesaktuellen Bonitätsberichten zu Privatpersonen und Unternehmen. 

Die CRIF GmbH holt sich die personenbezogenen Daten aus öffentlichen Verzeichnissen und Datenbanken. so erklärt die CRIF GmbH: In der von CRIF betriebenen Identitäts- und Bonitätsdatenbank werden Daten aus öffentliche verfügbaren Quellen, Daten von Adressverlagen, und Informationen zu Zahlungserfahrungen, die von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Diese Daten werden regelmäßig aktualisiert. ^⦾

Die CRIF Gmbh nutzt dabei auch aktuelle technologische Entwicklungen, um Ihren Service effektiver und effizienter zu machen - für Kunden, nicht für Betroffene. So berichtete bereits 2014 die Tageszeitung Der Standard, dass die CRIF GmbH sogenannte OCR (Optical Character Reconition) Systeme einsetzt, um beispielsweise via Smartphone App aufgenommene Fotos von Reisepässen, Personalausweisen, Führerscheinen etc.  serverseitig zu verarbeiten und mit eigenen Daten abzugleichen. Schon damals plante die CRIF GmbH laut dieses Berichts, Online-Gesichtserkennung und biometrische Authentifizierung zum Identitätscheck einzusetzen. Das wollte das Unternehmen noch im Laufe des Jahres 2014 realisieren. . Entwickelt werden sollte dieser Identcheck vom Unternehmen Bluesource, Hagenberg.  Über den aktuellen Stand des Einsatzes dieser Technologien findet man leider auf der Webseite des Unternehmens keine Informationen, letzter Stand 2014.  Zwar findet sich in der Datenschutzerklärung ein Hinweis, dass Fotos, die im Zusammenhang mit dem Identitätsnachweis z.B. für die Übermittlung einer Auskunft nach Artikel 15 DSGVO vorgelegt werden, nicht verarbeitet würden. Wie es sich allerdings darüber hinaus verhält, lässt diese Formulierung offen.

Es ist daher nicht zu sagen, welche Technologien zur Erkennung und Verarbeitung personenbezogener Daten verwendet werden, zumal die CRIF GmbH dazu, wie es den Eindruck macht, die Auskunft verweigert.

Bonitätsauskunft auf Basis weniger personenbezogener Daten.

Offiziell verarbeitet die CRIF GmbH Name,Titel, Anschrift, (Mobil)Telefonnummer, Geburtsdatum, Gründungsjahr des Unternehmens und die E-Mail Adresse.  Liegen keine Negativeinträge vor, also nachprüfbare Zahlungsausfälle bei Verbindlichkeiten oder auch nur Zahlungsverzug beispielsweise bei Ratenzahlungen, gibt es laut Auskunft der CRIF GmbH darüber hinaus keine weiteren personenbezogenen Daten, die das Unternehmen nutzt, um via Bonitätsscore anfragenden Unternehmen Auskunft über die Bonität, d.h. Zahlungsfähigkeit und Zahlungswilligkeit einer Person zu geben.

Problem 1: Vieles deutet darauf hin, dass die CRIF GmbH unter „personenbezogene Daten” nur Daten verstehen will, die Personen direkt identifizieren (d.h. im Sinne von Kennung). Das greift allerdings zu kurz. Nach Artikel 4 DSGVO sind alle Daten (ds. Informationen, nicht Daten in Sinne der Informatik), die einen Rückschluss auf eine natürliche Person zulassen, personenbezogene Daten. Personenbezogen sind Daten demnach dann, wenn sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (s. Sydow, G (2018²). Europäische Datenschutzgrundverordnung 4, 8f).

Das könnte erklären, warum es bei Auskünften nach Artikel 15 DSGVO zu unzureichenden Angaben bei personenbezogenen Daten kommt.

Problem 2: Warum werden in der Datenschutzerklärung der CRIF GmbH unter Punkt C „Verarbeitete personenbezogene Daten” Negativeinträge nicht anführt, obwohl Zahlungsausfälle einer Person direkt zugeordnete werden können?

In der „Datenschutzerklärung Auskunftei und Adressverlag” findet sich unter Punkt 3 „Verarbeitete Datenkategorien” folgende Information: Zahlungserfahrungsdaten (Daten über die Einhaltung von Zahlungszielen und zu unbestrittenen, nach Eintritt der Fälligkeit unbezahlten und mehrfach gemahnten Forderungen, inklusive Leasingeinzüge, Mietzinszahlungen und Delogierungen) einschließlich Saldo und Dauer deren Aushaftung und Einmahnungen. Nachdem sich Daten dieser Kategorie zwangsläufig auf identifizierbare Personen beziehen und die Beschaffung, Auswertung und Weitergabe dieser Daten letztlich Kern des Geschäftsmodells ist, ist nicht nachvollziehbar, warum diese zweifellos personenbezogenen Daten nicht unter der entsprechenden Rubrik in der „Datenschutzerklärung Betroffenenrechte” aufscheinen.

Zweifellos müssten Negativeinträge in einer Auskunft nach Artikel 15 DSGVO aufscheinen. Die Praxis zeigt, dass in Auskünften keine Auskunft dazu gegeben wird, ob Negativeinträge vorliegen oder nicht. Im Vergleich: Der KSV 1870 führt in Auskünften zu Anfragen nach Artikel 15 DSGVO auch an, wenn keine Negativeinträge vorliegen. Warum ist das wichtig? Wird ausdrücklich festgehalten, dass es keine Negativeinträge gibt, d.h. keine Tatsachen zum Zahlungsverhalten vorliegen, dann wird  ersichtlich, dass der Bonitätsscore ausschließlich auf Wahrscheinlichkeitsberechnungen, dh. auf Schätzungen beruht.

Bonitätsauskunft auf Basis statistischer Berechnungen und Algorithmen

Sofern keine Negativeinträge oder andere auf Tatsachen beruhenden personenbezogenen Daten zum Zahlungsverhalten vorliegen, stützt sich der Bonitätsscore im Zuge statistischer Verfahren und Wahrscheinlichkeitsberechnungen, algorithmischer Verfahren auf Schätzungen. Mit anderen Worten: Der rein auf Basis von Regressionsverfahren errechnete Bonitätsscore bildet keine Tatsachen ab, sondern Wahrscheinlichkeiten.

Diese Information sollte auch für Kunden der CRIF GmbH interessant sein: Die Übermittlung eines Bonitätsscores ist anders zu gewichten, wenn bekannt ist, ob dieser auf Tatsachen beruht oder ausschließlich auf Schätzungen (zumal Schätzungen bei der CRIF GmbH nicht nachvollziehbar sind und daher prinzipiell auch willkürlich oder Ergebnis fehlerhafter statistischer Verfahren sein könnten.)

Problem 3: Die CRIF GmbH teilt im Zuge eines Beschwerdeverfahrens mit: Anhand welcher genauer Parameter sich der übermittelte Bonitätswert im Detail errechnet und welcher Algorithmus im Hintergrund die zu einer betroffenen Person vorhandenen Daten logisch‐mathematisch evaluiert und verknüpft, ist als Geschäftsgeheimnis zu qualifizieren. (13. 8.2019)

DSGVO verpflichtet Verantwortliche, in diesem Fall auch die CRIF GmbH, die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person gemäß Art. 13 Abs. 2 lit f und Art. 14 Abs. 2 lit g DSGVO dieser mitzuteilen. (Siehe auch Prinzip der Transparenz Art 5 Abs 1 lit a und Art 12 Abs 1 sowie WP260rev01).

Dies bestätigte die Datenschutzbehörde in ihrem bescheidmäßig ergangenen Entscheid vom 19. Juni 2020. Hier wird die CRIF GmbH verpflichtet, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der den Beschwerdeführer betreffenden Bonitätsbewertung zu geben. Die CRIF GmbH hat gegen diesen Punkt des Entscheids Beschwerde beim Bundesverwaltungsgericht eingereicht. Das Urteil bleibt abzuwarten. 

Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung

Als Dienstleistung führt die CRIF GmbH u.a. „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” an. Mit anderen Worten, die CRIF GmbH gibt vor, Aussagen über Personen zu machen, ob diese mehr oder weniger verdächtig des Betrugs, der Geldwäsche oder der Terrorismusfinanzierung sind. In der „Datenschutzerklärung Auskunftei und Adressverlag” heißt es unter Punkt 1 „Zwecke der Datenverarbeitung”: […] Erfüllung von Prüfpflichten der Kunden (insbesondere iZm der Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Korruption […] Damit ist jedoch mE die in Artikel 12 Abs.1 geforderte Information über die Rechtsgrundlage für diesen Verarbeitungszweck nicht hinreichend erfüllt. (Artikel 13 Abs. 1 lit.c, Artikel 14 Abs.1 lit.c, Artikel 15 Abs. 1 lit.a DSGVO) (siehe Sydow, G (2018²). Europäische Datenschutzgrundverordnung 12, 9)

Die CRIF GmbH weist in der Datenschutzerklärung darauf hin, dass unabhängig von der gewerberechtlichen Einordnung die Erteilung von Auskünften an Kunden ihr Geschäftsmodell darstellt (lt. Bescheidentsprechung vom 17. Juli zum Entscheid der Datenschutzbehörde vom 19. Juni 2020 DSB-D124.1320/0007-DSB/2019). Allerdings sollte klar sein,  wo diese gewerberechtlich zuordenbar sind.  In einer Auskunft der CRIF GmbH wird der Zweck „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” unmissverständlich auf §152 Gewerbeordnung 1994 (GewO) bezogen. Ein Prüfantrag, ob diese Dienstleistung gewerberechtlich im Rahmen des Gewerbes „Auskunftei über Kreditverhältnisse” ausgeübt werden kann, bzw. ob eine solche Dienstleistung gewerberechtlich überhaupt zulässig ist und wenn, unter welchen Bedingungen, wurde bei der zuständigen Behörde eingereicht.

Problem 4: Das Gewerbe Auskunftei über Kreditverhältnisse wird in §152 GewO geregelt. Dort heißt es jedoch in Absatz 1: Gewerbetreibende, die zur Ausübung des Gewerbes der Auskunfteien über Kreditverhältnisse berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt. Es ist nicht nachvollziehbar, was die Dienstleistung der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” mit Kreditwürdigkeit zu tun hat. Wer beispielsweise mit Drogen illegal viel Geld erwirtschaftet hat, ist nicht an Krediten interessiert. Die CRIF GmbH gibt dazu keine Erklärungen.

Problem 5: Das Bundeskriminalamt erklärt auf Anfrage, dass die Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung eine hoheitliche Aufgabe sei und mit dem staatlichen Gewaltmonopol verknüpft sei. Wie will die CRIF GmbH einen Geldwäscheverdacht belegen oder Terrorismusfinanzierung begründen, ohne Konteneinsicht, Verfolgung von Finanzströmen international et cetera?

Man war erstaunt, dass ein privates Unternehmen, zumal im Gewerbe Auskunftei über Kreditverhältnisse, Dienstleistungen dazu anbietet. In dieser allgemeinen Formulierung bestehe der Verdacht, dass es sich um Irreführung handeln könne.

Zweifel an der Rechtmäßigkeit der Verarbeitung

Zentrales Kriterium für eine rechtskonforme Verarbeitung personenbezogener Daten ist das Prinzip der Rechtmäßigkeit (Artikel 5 Abs. 1 DSGVO). Trotz intensivem Bemühens der Recherche auf den Webseiten der CRIF GmbH und trotz Nachfrage findet sich für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” keine relevante Information zur Rechtsgrundlage.

Ob die Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” §152 GewO „Auskunftei über Kreditverhältnisse” zugeordnet werden kann, ist mehr als fraglich, eher nicht. Sie ist auch nicht durch das Gewerbe „Adresshandel” oder das Gewerbe „Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik” gedeckt. Mit anderen Worten, es ist begründet davon auszugehen, dass für die Verarbeitung personenbezogener Daten im Zusammenhang mit „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” über die gemeldeten Gewerbe keine Rechtsgrundlage abgeleitet werden kann.

Da die CRIF GmbH keine Auskunft über mögliche berechtigte Interessen gibt, also zur Rechtsgrundlage dieses Zwecks der Datenerhebung und Datenverarbeitung und bezogen auf die eigene Zuordnung zum Gewerbe der Auskunftei, darf angenommen werden, dass die CRIF GmbH für den Zweck  „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung”  dieselbe Rechtsgrundlage geltend zu machen versucht wie für die Auskunftei über Kreditverhältnisse. Gründe dafür bleibt die CRIF GmbH allerdings schuldig und die bloße Behauptung stellt allein noch keine ausreichende Rechtsgrundlage dar.

Eine Auskunftsanfrage bezüglich der Rechtsgrundlage für die Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” antwortete die CRIF GmbH am 4.9.2020: Wir weisen darauf hin, dass Art. 15 DSGVO weder ein Auskunftsrecht betreffend die Rechtsgrundlage einer Datenverarbeitung im Allgemeinen vorsieht, noch im Speziellen darüber, auf welche rechtliche Grundlage sich die Erbringung einer Dienstleistung gegebenenfalls stützt. Im Zuge eines Antrags auf Vollstreckung des Entscheids der Datenschutzbehörde an die zuständige Bezirksverwaltung vom 27.20.2020 soll der Anspruch auf Auskunft zu den Rechtsgrundlagen durchgesetzt werden.

Zweifel an der Transparenz der Verarbeitung

Die CRIF Gmbh verarbeitet personenbezogene Daten von zahllosen unbescholtenen Bürgern, die nie im Fokus von Ermittlungen zu Betrug, Geldwäsche oder Terrorismusfinanzierung standen, geschweige denn verurteilt wurden (Wir erinnern uns an den Rechtsgrundsatz: Es ist so lange von der Unschuld eines Verdächtigen auszugehen, bis ein Gericht rechtskräftig dessen Schuld festgestellt hat.) Es stellt sich daher die Frage: Wie kommt die CRIF GmbH dazu, personenbezogene Daten unbescholtener Bürger zum Zweck der Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung zu verarbeiten?

Wenn keine einschlägigen Tatsachen vorliegen kann sich die Auskunft der CRIF GmbH nur auf statistische Berechnungen und Algorithmen stützen, die man, solange die Logik der Verarbeitung und die Validität der Ergebnisse von multivariaten Analysen wie beispielsweise multipler linearer Regressionsanalysen geheim gehalten werden, durchaus als obskur bezeichnen kann. Obskur meint das Gegenteil von transparent.

Fehlende Informationen nach Artikel 13 und 14 DSGVO

Nach Artikel 13 und 14 besteht eine Informationspflicht bei der Erhebung von personenbezogenen Daten, sei es, dass diese direkt bei einer betroffenen Person erhoben werden oder nicht. Die CRIF GmbH erhebt Daten, ohne dass Betroffene darüber informiert werden, was nach Artikel 14 DSGVO unzulässig ist. Die CRIF GmbH erteilt via Bonitätsscores Auskünfte zu deren Kreditwürdigkeit, ohne das Betroffene davon Kenntnis erlangen, obwohl diese von einer solchen Auskunft nachteilig betroffen sein können. Wer nicht weiß, dass zu seiner Person personenbezogene Daten erhoben und verarbeitet werden, kann letztlich von seinen Betroffenenrechten (Artikel 12 bis 21 DSGVO) keinen Gebrauch machen.

Nachdem die CRIF GmbH für ihre Tätigkeit laut Auskunft berechtigte Interessen geltend macht, wäre sie gemäß Artikel 14 Abs. 2 lit b DSGV verpflichtet, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zu benennen, mit anderen Worten die Rechtsgrundlage für die Verarbeitung mitzuteilen. Das geschieht jedenfalls bezüglich der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” völlig unzureichend.

Da unter anderem für den Bereich „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” die Datengrundlage intransparent bleibt,kann nicht ausgeschlossen werden, dass hierzu eventuell Daten aus dem Bereich Auskunftei über Kreditverhältnisse verarbeitet werden. Es ist davon auszugehen, dass für diesen Fall Artikel 14 Abs. 4 DSGVO verletzt wird, da Betroffene zu informieren sind, sofern Daten für einen anderen Zweck weiterverarbeitet werden, als den, für den die personenbezogenen Daten erlangt wurden.

Beim Bundesverwaltungsgericht ist noch ein Verfahren anhängig, in welchem über einen Bescheid der Datenschutzbehörde entschieden werden muss. Dort wurde der Löschantrag eines Betroffenen als berechtigt beurteilt, da ein Unternehmen die Informationspflicht verletzte, damit unrechtmäßig die Daten erhoben verarbeitete hatte (DSB-D122.954/0010-DSB/2018). Nach Art 17 Abs 1 lit d DSGVO sind unrechtmäßig verarbeitete Daten zu löschen. Es ist davon auszugehen, dass im Fall der Bestätigung des Entscheids der Datenschutzbehörde durch das Bundesverwaltungsgericht auch die CRIF GmbH mit zahllosen Löschanträgen überzogen werden wird.

Unzureichende Auskünfte nach Artikel 15 DSGVO

Wie die Erfahrung vieler zeigt, gibt die CRIF GmbH nur ungern, zaghaft und vielfach unzureichend Auskunft zu den Rechtsgrundlagen der Datenerhebung und Datenverarbeitung. Es sind etliche Beschwerden bei der Datenschutzbehörde anhängig, einiges liegt zur Entscheidung beim Bundesverwaltungsgericht.

Ein konkreter Fall wird hier auf fokus.genba dokumentiert: Sie finden neben der Chronologie des Auskunftsersuchens auch die Chronologie der Beschwerde bei der Datenschutzbehörde dort auch den Entscheid der Datenschutzbehörde, dementsprechend die CRIF GmbH das Recht auf Auskunft verletzt hätte. Mittlerweile ist, da auch in der Bescheidentsprechung aus Sicht des Betroffenen unzureichende Informationen und Auskünfte erteilt wurden, ein Vollstreckungsverfahren bei der zuständigen Bezirksverwaltung gegen die CRIF GmbH beantragt worden.

Weitere Mängel im Zusammenhang mit Betroffenenrechten

Gemäß DSGVO haben Verantwortliche im Rahmen einer Auskunftsanfrage nach Artikel 15 DSGVO Betroffene auf ihre Betroffenenrechte hinzuweisen. Die Betroffenenrechte werden in den Artikeln 13 bis 22 DSGVO geregelt. Die CRIF GmbH listet unter Datenschutzerklärung im Zusammenhang mit der Wahrnehmung von Betroffenenrechten unter Punkt G „Wahrung Ihrer Rechte” taxativ die Betoffenenrechte auf, d.s. Auskunft, Berichtigung oder Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit an. Dabei bleiben allerdings das Recht auf Information gemäß Artikel 13 und 14 DSGVO, das Recht darauf,  keiner automatisierten Entscheidung (bspw. durch Profiling) unterworfen zu werden (Artikel 22 DSGVO) ebenso unerwähnt, wie das im österreichischen Datenschutzrecht hinzukommende Recht auf Geheimhaltung (§1 Abs. 1 DSG). Die CRIF GmbH informiert zu den Betroffenenrechten mangelhaft und unvollständig.

Recht auf Löschung

Im Zusammenhang mit einer Auskunftsanfrage spezifiziert die CRIF GmbH das Recht auf Löschung (Artikel 17 DSGVO) und das Recht auf Richtigstellung (Artikel 16 DSGVO), wobei in fetten Lettern, einschränkend, mitgeteilt wird: Ein Löschungsrecht ohne Angabe von Gründen ist in der DSGVO nicht vorgesehen — was in dieser Absolutheit allerdings nicht zutreffend ist.

Es gilt festzuhalten, dass Betroffene grundsätzlich nach DSGVO das Recht auf Löschung haben, sofern einer der in Artikel 17 DSGVO genannten sechs möglichen Gründen zutrifft.

Beim Bundesverwaltungsgericht ist seit 2018 eine Bewerde bezöglich Löschung anhängig (DSB-D122.954/0010-DSB/2018). Die Datenschutzbehörde hatte aufgrund Artikel 17 Absatz 1 lit.d DSGVO einen Löschungsanspruch festgestellt, nachdem der Verantwortliche seiner Informationspflicht nicht nachgekommen war und daher die Verarbeitung rechtswidrig erfolgte. Dasselbe wäre auch auf die CRIF GmbH anzuwenden, da auch dieses Unternehmen der Informationspflicht nach Artikel 14 DSGVO zumindest in den hier bekannten Fällen nicht nachgekommen ist, damit die Verarbeitung ebenfalls rechtswidrig erfolgte.

Recht auf Richtigstellung

Nach Artikel 16 DSGVO hat eine betroffene Person das Recht auf Richtigstellung, d.h. das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Das Unternehmen CRIF GmbH hingegen schreibt einschränkend: Ein Anspruch auf Richtigstellung [im Original unterstrichen] besteht nur, wenn die gespeicherten Daten inhaltlich unrichtig oder unvollständig sind. Auch hier ist eine Begründung bez. ein Nachweis der Richtigstellungsgründe Voraussetzung für ein Tätigwerden von CRIF.

Selbst im Fall unrichtiger, d.h. Tatsachen widersprechender Negativeinträge ist es nicht einfach, eine Richtigstellung bei der CRIF GmbH zu erwirken und stellt sich oft aufwändig dar.

Im Fall, dass keine Negativeinträge vorliegen und die Bonitätsscores über automatisierte algorithmische Verfahren basierend auf statistischen Methode wie beispielsweise der multiplen Regressionsanalyse errechnet, besser geschätzt werden, ist eine Richtigstellung in der Praxis kaum zu erwirken. Zunächst verweist die CRIF GmbH darauf, dass die Bonitätsscores jeweils bei Anfrage aktuell ermittelt würden und daher keine gespeicherte Größe darstellen und schließlich verweigert die CRIF GmbH Auskunft über die Logik der Verarbeitung. Der Nachweis, dass den statistischen Berechnungen zugrunde liegende Annahmen falsch seien, ist so nicht zu erbringen. Daher muss der Gesetzgeber auf die CRIF GmbH einwirken, dass diese die Logik der Verarbeitung offenlegt und Auskunft darüber gibt, welche Annahmen konkret zu einem Score führen. Darüber hinaus muss nachvollziehbar sichergestellt werden, dass die statistischen Berechnungen richtig und fehlerfrei erfolgen.

Fazit

Es stellt sich die Frage, ob das Unternehmen CRIF GmbH in Unkenntnis der DSGVO handelt, oder ob Kalkül dahinter steht. Jedenfalls sollte eine solche zweifelhafte Praxis durch die Daten­schutz­behörde geklärt und abgestellt werden.

Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
per E-Mail