Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz

Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Aus­kunfteien eines, das mit Ag­gre­gation, auto­matisierter Ver­arbei­tung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.

Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.

Auskunftei über Kreditverhältnisse

Man spricht von Bonitätsauskünften. Die CRIF GmbH wirbt sogar mit tagesaktuellen Bonitätsberichten zu Privatpersonen und Unternehmen. 

Die CRIF GmbH holt sich die personenbezogenen Daten aus öffentlichen Verzeichnissen und Datenbanken. So erklärt die CRIF GmbH: In der von CRIF betriebenen Identitäts- und Bonitätsdatenbank werden Daten aus öffentlich verfügbaren Quellen, Daten von Adressverlagen, und Informationen zu Zahlungserfahrungen, die von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Diese Daten werden regelmäßig aktualisiert. ^⦾

Die CRIF Gmbh nutzt dabei auch aktuelle technologische Entwicklungen, um Ihren Service effektiver und effizienter zu machen - für Kunden, nicht für Betroffene. So berichtete bereits 2014 die Tageszeitung Der Standard, dass die CRIF GmbH sogenannte OCR (Optical Character Recognition) Systeme einsetzt, um beispielsweise via Smartphone App aufgenommene Fotos von Reisepässen, Personalausweisen, Führerscheinen etc.  serverseitig zu verarbeiten und mit eigenen Daten abzugleichen. Schon damals plante die CRIF GmbH laut dieses Berichts, Online-Gesichtserkennung und biometrische Authentifizierung zum Identitätscheck einzusetzen. Das wollte das Unternehmen noch im Laufe des Jahres 2014 realisieren. . Entwickelt werden sollte dieser Identcheck vom Unternehmen Bluesource, Hagenberg.  Über den aktuellen Stand des Einsatzes dieser Technologien findet man leider auf der Webseite des Unternehmens keine Informationen (lStand 2014).  In der Datenschutzerklärung wird darauf hingewiesen, dass Fotos, die im Zusammenhang mit dem Identitätsnachweis z.B. für die Übermittlung einer Auskunft nach Artikel 15 DSGVO vorgelegt werden, nicht verarbeitet würden. Wie es sich allerdings darüber hinaus verhält, lässt diese Formulierung offen.

Es ist daher nicht zu sagen, welche Technologien zur Erkennung und Verarbeitung personenbezogener Daten aktuell verwendet werden, zumal die CRIF GmbH dazu keine Auskunft geben will.

Bonitätsauskunft auf Basis weniger personenbezogener Daten.

Offiziell verarbeitet die CRIF GmbH laut eigenen Auskünften sogenannte Identitätsdaten (Name,Titel, Anrede, Geburtsdatum), Kontaktdaten (Anschrift, (Mobil)Telefonnummern,  Fax, E-Mail Adressen, Webseiten), über Webformulare hochgeladene Daten sowie entsprechende Korrespondenzen.

Ebenso werden Kenndaten zu Unternehmen verarbeitet. Bei Ein-Personen-Unternehmen, die als Einzelunternehmen wirtschaftlich tätig sind, werden diese Daten bei Auskunftsanfragen übermittelt, zumeist Name und Kontaktdaten des Unternehmens, das Gründungsjahr und die Funktion der Person im Unternehmen, die die Anfrage gestellt hat. Ob die CRIF GmbH darüber hinaus weitere Unternehmensdaten verarbeitet, darf angenommen werden, zumindest ergibt sich das aus Produkten, die beispielsweise Informationen aus dem Register wirtschaftlicher Eigentümer (WiEReg) verarbeiten.

Im Zusammenhang mit Überprüfung der Identität werden Lichtbildausweis, Meldezettel, oder sonstige übermittelte Dokumente verarbeitet.  Liegen keine Negativeinträge vor, also nachprüfbare Zahlungsausfälle bei Verbindlichkeiten oder auch nur Zahlungsverzug beispielsweise bei Ratenzahlungen, gibt es laut Auskunft der CRIF GmbH darüber hinaus keine weiteren personenbezogenen Daten, die das Unternehmen nutzt, um via Bonitätsscore anfragenden Unternehmen Auskunft über die Bonität, d.h. Zahlungsfähigkeit und Zahlungswilligkeit einer Person zu geben.

Problem 1: Vieles deutet darauf hin, dass die CRIF GmbH unter „personenbezogene Daten” nur Daten verstehen will, die Personen direkt identifizieren (d.h. im Sinne von Kennung). Das greift allerdings zu kurz. Nach Artikel 4 DSGVO sind alle Daten (ds. Informationen, nicht Daten in Sinne der Informatik), die einen Rückschluss auf eine natürliche Person zulassen, personenbezogene Daten. Personenbezogen sind Daten demnach dann, wenn sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (s. Sydow, G (2018²). Europäische Datenschutzgrundverordnung 4, 8f).

Es kann nicht ausgeschlossen werden, dass im Zuge von Auskünften zur Verarbeitung personenbezogener Daten dem nicht zweifelsfrei Rechnung getragen wird.

Problem 2: Es gibt hinreichend begründeten Verdacht, dass über die in den Datenschutzerklärungen angegebenen personenbezogenen Daten weitere personenbezogene Daten verarbeitet werden. Unter Produkte findet sich ein als Hybright beworbes Angebot. Dazu heißt es: Mit Hybright, der neuen DACH-weiten Risikomanagement und Fraud Prevention Suite von CRIF erfolgt Betrugsbekämpfung automatisiert, vernetzt und ganzheitlich. Was das bedeutet führt die CRIF GmbH aus: Um heutzutage Betrug effektiv zu verhindern, reicht es nicht aus nur physische Identitätsdaten wie Name, Geburtsdatum, Anschrift zu überprüfen. Es bedarf auch der Hinzunahme von digitalen Informationen, wie dem genutzten Endgerät, der Geolokalisierung oder auch der Erkennung von auffälligen Verhaltensmustern im Kaufprozess. Hybright kombiniert diese Identitätsdaten für eine ganzheitliche Sicht auf Ihre Kunden. 

„Geolokalisierung” schließt in der Regel die Verarbeitung von Standortdaten über mobile Endgeräte ein, das heißt dass es in irgendeiner Form Zugriff auf diese Geräte geben muss oder entsprechende Daten zugekauft werden. Zweifelsohne sind diese Daten personenbezogen. Bei Durchsicht sämtlicher auf der Webseite der CRIF GmbH verlinkten Datenschutzerklärungen konnte jedoch keine Information dazu gefunden werden.

Da es sich hier keinesfalls um Daten aus öffentlichen Verzeichnissen handelt und auch Kunden in der Regel gegenüber der CRIF GmbH keine Standortdaten ihrer Kunden oder Interessenten übermitteln oder selbst ohne Einwilligung verarbeiten dürfen, stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung dieser Daten.

Problem 3: Die Datenschutzerklärungen der CRIF GmbH sind offenbar im Fluss. Noch im Sommer 2020 lauteten einzelne Datenschutzerklärungen (1) „Datenschutzerklärung Bonitätsdaten” (2) „Datenschutzerklärung Marketingdaten” (3) „Datenschutzerklärung Erhebung aus öffentlichen Quellen” (4) „Datenschutzerklärung CRIF-Kunden und Lieferanten” und so fort. Aktuell (Stand 04.2021) sind die Datenschutzerklärungen (1), (2) und (3) verschwunden. Statt dessen finden sich Datenschutzerklärungen zu „Auskunftei und Adressverlag”, „CRIF-Kunden und Interessenten” und andere.  Dabei sind auch etliche Inhalte verloren gegangen oder nicht mehr so leicht aufzufinden.

Betroffene müssten die Datenschutzerklärungen angesichts der Änderungsdynamik regelmäßig überprüfen und kontrollieren, was sich verändert hat und welche Auswirkungen diese Veränderung auf sie haben. Es bleibt die Hoffnung, dass diese Veränderungen dem Anpassungsdruck an das seit 2018 geltende Datenschutzgesetz geschuldet sind.

Problem 4: Waren in einer früheren Version der Datenschutzerklärung noch die öffentlichen Quellen   angeführt, aus welchen die personenbezogenen Daten ausgelesen wurden, so konnte diese Information mit vertretbarem Aufwand aktuell nicht mehr aufgefunden werden. Da davon auszugehen ist, dass diese öffentlichen Quellen weiterhin genutzt werden, stellt sich doch die Frage, ob inzwischen weitere Quellen hinzugekommen sind. 

Problem 5: In der „Datenschutzerklärung Auskunftei und Adressverlag” findet sich unter Punkt 3 „Verarbeitete Datenkategorien” folgende Information: Zahlungserfahrungsdaten (Daten über die Einhaltung von Zahlungszielen und zu unbestrittenen, nach Eintritt der Fälligkeit unbezahlten und mehrfach gemahnten Forderungen, inklusive Leasingeinzüge, Mietzinszahlungen und Delogierungen) einschließlich Saldo und Dauer deren Aushaftung und Einmahnungen. Einträge dieser Kategorien werden auch als Negativeinträge bezeichnet.

Zweifellos müssten Negativeinträge in einer Auskunft nach Artikel 15 DSGVO aufscheinen. Sofern keine Negativeinträge vorliegen, müsste eine Negativauskunft gegeben werden, das heiß die ausdrückliche Feststellung, dass es keine Einträge zum Zahlungsverhalten gibt. Die Praxis zeigt, dass die CRIF GmbH keine Negativauskünfte erteilt. Im Vergleich: Der KSV 1870 weist in Auskünften zu Anfragen nach Artikel 15 DSGVO Negativauskünfte aus, sofern keine entsprechenden Einträge vorliegen. Warum ist das wichtig? Wird ausdrücklich festgehalten, dass es keine Negativeinträge gibt, d.h. keine Tatsachen zum Zahlungsverhalten vorliegen, dann wird  ersichtlich, dass der Bonitätsscore ausschließlich auf Wahrscheinlichkeitsberechnungen, dh. auf Schätzungen beruht.

Problem 6:Die Bonitätsscores der CRIF GmbH sind für Außenstehende weder überprüfbar noch nachvollziehbar. Dass Bonitätsscores korrekt und fehlerfrei ermittelt werden, bleibt daher zunächst eine Behauptung der CRIF GmbH. Die CRIF GmbH wehrt sich, wie andere Auskunfteien auch, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der […] betreffenden Bonitätsbewertung zu geben. Das forderte die Österreichische Datenschutzbehörde in einem Entscheid vom 19.6.2020 (D124.1320/0007-DSB2019), gegen den die CRIF GmbH Beschwerde eingelegt hat (Diese Beschwerde ist seit 30.7.2020 beim BVerwG anhängig.)

Bonitätsauskunft auf Basis statistischer Berechnungen und Algorithmen

Sofern keine Negativeinträge oder andere auf Tatsachen beruhenden personenbezogenen Daten zum Zahlungsverhalten vorliegen, stützt sich der Bonitätsscore im Zuge statistischer Verfahren und Wahrscheinlichkeitsberechnungen, algorithmischer Verfahren auf Schätzungen. Mit anderen Worten: Der rein auf Basis von Regressionsverfahren errechnete Bonitätsscore bildet keine Tatsachen ab, sondern Wahrscheinlichkeiten.

Diese Information sollte auch für Kunden der CRIF GmbH interessant sein: Die Übermittlung eines Bonitätsscores ist anders zu gewichten, wenn bekannt ist, ob dieser auf Tatsachen beruht oder ausschließlich auf Schätzungen (zumal Schätzungen bei der CRIF GmbH nicht nachvollziehbar sind und daher prinzipiell auch willkürlich oder Ergebnis fehlerhafter statistischer Verfahren sein könnten.)

Problem 7: Die CRIF GmbH teilt im Zuge eines Beschwerdeverfahrens mit: Anhand welcher genauer Parameter sich der übermittelte Bonitätswert im Detail errechnet und welcher Algorithmus im Hintergrund die zu einer betroffenen Person vorhandenen Daten logisch‐mathematisch evaluiert und verknüpft, ist als Geschäftsgeheimnis zu qualifizieren. (13. 8.2019)

DSGVO verpflichtet Verantwortliche, in diesem Fall auch die CRIF GmbH, die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person gemäß Art. 13 Abs. 2 lit f und Art. 14 Abs. 2 lit g DSGVO dieser mitzuteilen. (Siehe auch Prinzip der Transparenz Art 5 Abs 1 lit a und Art 12 Abs 1 sowie WP260rev01).

Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung

Als Zweck der Verarbeitung personenbezogener Daten führt die CRIF GmbH u.a. „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” an. Dahinter stecken verschiedene Produkte wie Betrugsbekämpfung (Fraud Prevention), Beneficial Owner Check, AML Info Check, Hybright und andere  . Mit anderen Worten, die CRIF GmbH gibt vor, Aussagen über Personen und Unternehmen geben zu können, darüber, ob diese mehr oder weniger verdächtig des Betrugs, der Geldwäsche oder der Terrorismusfinanzierung sind.

Die CRIF GmbH weist darauf hin, dass unabhängig von der gewerberechtlichen Einordnung die Erteilung von Auskünften an Kunden ihr Geschäftsmodell darstellt (lt. Bescheidentsprechung vom 17. Juli zum Entscheid der Datenschutzbehörde vom 19. Juni 2020 DSB-D124.1320/0007-DSB/2019).  

In der „Datenschutzerklärung Auskunftei und Adressverlag” heißt es dazu unter Punkt 1 „Zwecke der Datenverarbeitung”: […] Erfüllung von Prüfpflichten der Kunden (insbesondere iZm der Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Korruption […] Es bleibt zu klären, ob damit die in Artikel 12 Abs.1 geforderte Information über die Rechtsgrundlage für diesen Verarbeitungszweck hinreichend erfüllt wird. (Artikel 13 Abs. 1 lit.c, Artikel 14 Abs.1 lit.c, Artikel 15 Abs. 1 lit.a DSGVO) (siehe Sydow, G (2018²). Europäische Datenschutzgrundverordnung 12, 9)

Nach Auskunft der CRIF GmbH werden Dienstleistungen zum Verarbeitungszweck „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” im Rahmen des Gewerbes „Auskunfteien über Kreditverhältnisse” nach § 152 Gewerbeordnung 1994 (GewO) erbracht.

Die Gewerbeordnung kennt keine Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung”. Folglich ist nicht geregelt, welche Gewerbe diese erbringen können. Entsprechend steht nach Auffassung der Gewerbebehörde nichts entgegen, wenn die CRIF GmbH diese Dienstleistung im Rahmen des Gewerbes „Auskunfteien über Kreditverhältnisse” ausübt. Allerdings gibt es das folgende Problem 8.

Problem 8: Das Gewerbe Auskunftei über Kreditverhältnisse wird in §152 GewO geregelt. Dort heißt es jedoch in Absatz 1:

Gewerbetreibende, die zur Ausübung des Gewerbes der „Auskunfteien über Kreditverhältnisse” berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.

Es ist nicht nachvollziehbar, was die Dienstleistung der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” mit Kreditwürdigkeit zu tun hat. Wer beispielsweise mit Drogen illegal viel Geld erwirtschaftet hat, ist beispielsweise im Zusammenhang mit Geldwäsche nicht an Krediten interessiert. Die CRIF GmbH gibt dazu keine Erklärungen.

Damit bestehen berechtigte Zweifel, ob § 152 GewO (1994) diese Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” im Rahmen des Gewerbes „Auskunfteien über Kreditverhältnisse” zulässt.

Problem 9: Das Bundeskriminalamt erklärt auf Anfrage, dass die Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung eine hoheitliche Aufgabe sei und mit dem staatlichen Gewaltmonopol verknüpft sei. Letztlich dürfte sich die Dienstleistung der CRIF GmbH auf Auswertung öffentich zugänglicher Quellen und Listen beziehen. Ob allerdings auf dieser Basis darüber hinausgehende Tatsachen bezüglich eines konkreten Geldwäscheverdachts oder von Terrorismusfinanzierung behauptet werden können, darf bezweifelt werden. Letztlich kann es im Rahmen der Geldwäscherichtlinie bei dieser Dienstleistung nur um Prävention gehen. Allerdings bleibt ungklärt, in welcher Form gegenüber Kunden und Interessenenten ein entsprechender Scorewert kommuniziert wird und welche Aussagekraft die CRIF GmbH diesem Score zuschreibt. Hier ist durchaus die Gefahr zu sehen, dass die Algorithmen basierende Ermittlung unter Einsatz von KI ggf. in Richtung Predictive Policing entwickelt werden soll. Dazu bräuchte es allerdings deutlich mehr Daten, als sie nur über öffentlich zugängliche Quellen zur Verfügung stehen. Aufgrund des Auskunftsverhaltens der CRIF GmbH kann das aber weder behauptet, noch ausgeschlossen werden. Daher ist das ein durchaus brisantes Thema.

Eine international profilierte Expertin im Bereich Geldwäsche und Terrorismusfinanzierung erklärte auf Anfrage, dass die angebotenen Produkte (KYC Check, Listencheck, WiEReg etc) eine durchaus hilfreiche Ergänzung darstellen können. Anti-Money Laundering (AML), d.h. Prävention von Geldwäsche jedoch brauche die genaue Kenntnis des Einzelfalls. Zusammenfassend formuliert die Expertin: Ein technisches Angebot kann menschliches Know-How definitiv nicht ersetzen aber definitiv bereichern. Ein systematisches Verlassen auf Algorithmen und Prüfungssoftware würde ich als systemischen Mangel in den Prozessen einschätzen, da dadurch naturgemäß Bewertungslücken entstehen.

Fehlende Informationen nach Artikel 13 und 14 DSGVO

Nach Artikel 13 und 14 besteht eine Informationspflicht bei der Erhebung von personenbezogenen Daten, sei es, dass diese direkt bei einer betroffenen Person erhoben werden oder nicht. Die CRIF GmbH erhebt Daten, ohne dass Betroffene darüber informiert werden, was nach Artikel 14 DSGVO unzulässig ist. Die CRIF GmbH erteilt via Bonitätsscores Auskünfte zu deren Kreditwürdigkeit, ohne dass Betroffene davon Kenntnis erlangen, obwohl diese von einer solchen Auskunft nachteilig betroffen sein können. Wer nicht weiß, dass zu seiner Person personenbezogene Daten erhoben und verarbeitet werden, kann letztlich von seinen Betroffenenrechten (Artikel 12 bis 21 DSGVO) keinen Gebrauch machen.

Nachdem die CRIF GmbH für ihre Tätigkeit laut Auskunft berechtigte Interessen geltend macht, wäre sie gemäß Artikel 14 Abs. 2 lit b DSGV verpflichtet, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zu benennen, mit anderen Worten die Rechtsgrundlage für die Verarbeitung mitzuteilen. 

Da unter anderem für den Bereich „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” die Datengrundlage intransparent bleibt, kann nicht ausgeschlossen werden, dass hierzu eventuell Daten aus dem Bereich Auskunftei über Kreditverhältnisse verarbeitet werden. Es ist davon auszugehen, dass für diesen Fall Artikel 14 Abs. 4 DSGVO verletzt wird, da Betroffene zu informieren sind, sofern Daten für einen anderen Zweck weiterverarbeitet werden, als den, für den die personenbezogenen Daten erlangt wurden.

Beim Bundesverwaltungsgericht ist noch ein Verfahren anhängig, in welchem über einen Bescheid der Datenschutzbehörde entschieden werden muss. Dort wurde der Löschantrag eines Betroffenen als berechtigt beurteilt, da ein Unternehmen die Informationspflicht verletzte, damit unrechtmäßig die Daten erhoben verarbeitete hatte (DSB-D122.954/0010-DSB/2018). Nach Art 17 Abs 1 lit d DSGVO sind unrechtmäßig verarbeitete Daten zu löschen. Es ist davon auszugehen, dass im Fall der Bestätigung des Entscheids der Datenschutzbehörde durch das Bundesverwaltungsgericht auch die CRIF GmbH mit zahllosen Löschanträgen überzogen werden wird.

Unzureichende Auskünfte nach Artikel 15 DSGVO

Wie die Erfahrung vieler zeigt, gibt die CRIF GmbH nur ungern, zaghaft und vielfach unzureichend Auskunft zu den Rechtsgrundlagen der Datenerhebung und Datenverarbeitung. Es sind etliche Beschwerden bei der Datenschutzbehörde anhängig, einiges liegt zur Entscheidung beim Bundesverwaltungsgericht.

Ein konkreter Fall wird hier auf fokus.genba dokumentiert: Sie finden neben der Chronologie des Auskunftsersuchens auch die der Beschwerde bei der Datenschutzbehörde dort auch den Entscheid der Datenschutzbehörde, dementsprechend die CRIF GmbH das Recht auf Auskunft verletzt hätte. Mittlerweile ist, da auch in der Bescheidentsprechung aus Sicht des Betroffenen unzureichende Informationen und Auskünfte erteilt wurden, ein Vollstreckungsverfahren bei der zuständigen Bezirksverwaltung gegen die CRIF GmbH beantragt worden.