Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz
Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Auskunfteien eines, das mit Aggregation, automatisierter Verarbeitung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.
Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.
Auskunftei über Kreditverhältnisse
Man spricht von Bonitätsauskünften. Die CRIF GmbH wirbt sogar mit tagesaktuellen Bonitätsberichten zu Privatpersonen und Unternehmen
.
Die CRIF GmbH holt sich die personenbezogenen Daten aus öffentlichen Verzeichnissen und Datenbanken. So erklärt die CRIF GmbH: In der von CRIF betriebenen Identitäts- und Bonitätsdatenbank werden Daten aus öffentlich verfügbaren Quellen, Daten von Adressverlagen, und Informationen zu Zahlungserfahrungen, die von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Diese Daten werden regelmäßig aktualisiert.
⦾
Die CRIF Gmbh nutzt dabei auch aktuelle technologische Entwicklungen, um Ihren Service effektiver und effizienter zu machen - für Kunden, nicht für Betroffene. So berichtete bereits 2014 die Tageszeitung Der Standard, dass die CRIF GmbH sogenannte OCR (Optical Character Recognition) Systeme einsetzt, um beispielsweise via Smartphone App aufgenommene Fotos von Reisepässen, Personalausweisen, Führerscheinen etc. serverseitig zu verarbeiten und mit eigenen Daten abzugleichen. Schon damals plante die CRIF GmbH laut dieses Berichts, Online-Gesichtserkennung und biometrische Authentifizierung zum Identitätscheck einzusetzen. Das wollte das Unternehmen noch im Laufe des Jahres 2014 realisieren. . Entwickelt werden sollte dieser Identcheck vom Unternehmen Bluesource, Hagenberg. Über den aktuellen Stand des Einsatzes dieser Technologien findet man leider auf der Webseite des Unternehmens keine Informationen (lStand 2014). In der Datenschutzerklärung wird darauf hingewiesen, dass Fotos, die im Zusammenhang mit dem Identitätsnachweis z.B. für die Übermittlung einer Auskunft nach Artikel 15 DSGVO vorgelegt werden, nicht verarbeitet würden. Wie es sich allerdings darüber hinaus verhält, lässt diese Formulierung offen.
Es ist daher nicht zu sagen, welche Technologien zur Erkennung und Verarbeitung personenbezogener Daten aktuell verwendet werden, zumal die CRIF GmbH dazu keine Auskunft geben will.
Bonitätsauskunft auf Basis weniger personenbezogener Daten.
Offiziell verarbeitet die CRIF GmbH laut eigenen Auskünften sogenannte Identitätsdaten (Name,Titel, Anrede, Geburtsdatum), Kontaktdaten (Anschrift, (Mobil)Telefonnummern, Fax, E-Mail Adressen, Webseiten), über Webformulare hochgeladene Daten sowie entsprechende Korrespondenzen.
Ebenso werden Kenndaten zu Unternehmen verarbeitet. Bei Ein-Personen-Unternehmen, die als Einzelunternehmen wirtschaftlich tätig sind, werden diese Daten bei Auskunftsanfragen übermittelt, zumeist Name und Kontaktdaten des Unternehmens, das Gründungsjahr und die Funktion der Person im Unternehmen, die die Anfrage gestellt hat. Ob die CRIF GmbH darüber hinaus weitere Unternehmensdaten verarbeitet, darf angenommen werden, zumindest ergibt sich das aus Produkten, die beispielsweise Informationen aus dem Register wirtschaftlicher Eigentümer (WiEReg) verarbeiten.
Im Zusammenhang mit Überprüfung der Identität werden Lichtbildausweis, Meldezettel, oder sonstige übermittelte Dokumente verarbeitet. Liegen keine Negativeinträge vor, also nachprüfbare Zahlungsausfälle bei Verbindlichkeiten oder auch nur Zahlungsverzug beispielsweise bei Ratenzahlungen, gibt es laut Auskunft der CRIF GmbH darüber hinaus keine weiteren personenbezogenen Daten, die das Unternehmen nutzt, um via Bonitätsscore anfragenden Unternehmen Auskunft über die Bonität, d.h. Zahlungsfähigkeit und Zahlungswilligkeit einer Person zu geben.
Problem 1: Vieles deutet darauf hin, dass die CRIF GmbH unter „personenbezogene Daten” nur Daten verstehen will, die Personen direkt identifizieren (d.h. im Sinne von Kennung). Das greift allerdings zu kurz. Nach Artikel 4 DSGVO sind alle Daten (ds. Informationen, nicht Daten in Sinne der Informatik), die einen Rückschluss auf eine natürliche Person zulassen, personenbezogene Daten. Personenbezogen sind Daten demnach dann, wenn sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (s. Sydow, G (2018²). Europäische Datenschutzgrundverordnung 4, 8f).
Es kann nicht ausgeschlossen werden, dass im Zuge von Auskünften zur Verarbeitung personenbezogener Daten dem nicht zweifelsfrei Rechnung getragen wird.
Problem 2: Es gibt hinreichend begründeten Verdacht, dass über die in den Datenschutzerklärungen angegebenen personenbezogenen Daten weitere personenbezogene Daten verarbeitet werden. Unter Produkte findet sich ein als Hybright beworbes Angebot. Dazu heißt es: Mit Hybright, der neuen DACH-weiten Risikomanagement und Fraud Prevention Suite von CRIF erfolgt Betrugsbekämpfung automatisiert, vernetzt und ganzheitlich
. Was das bedeutet führt die CRIF GmbH aus: Um heutzutage Betrug effektiv zu verhindern, reicht es nicht aus nur physische Identitätsdaten wie Name, Geburtsdatum, Anschrift zu überprüfen. Es bedarf auch der Hinzunahme von digitalen Informationen, wie dem genutzten Endgerät, der Geolokalisierung oder auch der Erkennung von auffälligen Verhaltensmustern im Kaufprozess. Hybright kombiniert diese Identitätsdaten für eine ganzheitliche Sicht auf Ihre Kunden.
„Geolokalisierung” schließt in der Regel die Verarbeitung von Standortdaten über mobile Endgeräte ein, das heißt dass es in irgendeiner Form Zugriff auf diese Geräte geben muss oder entsprechende Daten zugekauft werden. Zweifelsohne sind diese Daten personenbezogen. Bei Durchsicht sämtlicher auf der Webseite der CRIF GmbH verlinkten Datenschutzerklärungen konnte jedoch keine Information dazu gefunden werden.
Da es sich hier keinesfalls um Daten aus öffentlichen Verzeichnissen handelt und auch Kunden in der Regel gegenüber der CRIF GmbH keine Standortdaten ihrer Kunden oder Interessenten übermitteln oder selbst ohne Einwilligung verarbeiten dürfen, stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung dieser Daten.
Problem 3: Die Datenschutzerklärungen der CRIF GmbH sind offenbar im Fluss. Noch im Sommer 2020 lauteten einzelne Datenschutzerklärungen (1) „Datenschutzerklärung Bonitätsdaten” (2) „Datenschutzerklärung Marketingdaten” (3) „Datenschutzerklärung Erhebung aus öffentlichen Quellen” (4) „Datenschutzerklärung CRIF-Kunden und Lieferanten” und so fort. Aktuell (Stand 04.2021) sind die Datenschutzerklärungen (1), (2) und (3) verschwunden. Statt dessen finden sich Datenschutzerklärungen zu „Auskunftei und Adressverlag”, „CRIF-Kunden und Interessenten” und andere. Dabei sind auch etliche Inhalte verloren gegangen oder nicht mehr so leicht aufzufinden.
Betroffene müssten die Datenschutzerklärungen angesichts der Änderungsdynamik regelmäßig überprüfen und kontrollieren, was sich verändert hat und welche Auswirkungen diese Veränderung auf sie haben. Es bleibt die Hoffnung, dass diese Veränderungen dem Anpassungsdruck an das seit 2018 geltende Datenschutzgesetz geschuldet sind.
Problem 4: Waren in einer früheren Version der Datenschutzerklärung noch die öffentlichen Quellen angeführt, aus welchen die personenbezogenen Daten ausgelesen wurden, so konnte diese Information mit vertretbarem Aufwand aktuell nicht mehr aufgefunden werden. Da davon auszugehen ist, dass diese öffentlichen Quellen weiterhin genutzt werden, stellt sich doch die Frage, ob inzwischen weitere Quellen hinzugekommen sind.
Problem 5: In der „Datenschutzerklärung Auskunftei und Adressverlag” findet sich unter Punkt 3 „Verarbeitete Datenkategorien” folgende Information: Zahlungserfahrungsdaten (Daten über die Einhaltung von Zahlungszielen und zu unbestrittenen, nach Eintritt der Fälligkeit unbezahlten und mehrfach gemahnten Forderungen, inklusive Leasingeinzüge, Mietzinszahlungen und Delogierungen) einschließlich Saldo und Dauer deren Aushaftung und Einmahnungen
. Einträge dieser Kategorien werden auch als Negativeinträge bezeichnet.
Zweifellos müssten Negativeinträge in einer Auskunft nach Artikel 15 DSGVO aufscheinen. Sofern keine Negativeinträge vorliegen, müsste eine Negativauskunft gegeben werden, das heiß die ausdrückliche Feststellung, dass es keine Einträge zum Zahlungsverhalten gibt. Die Praxis zeigt, dass die CRIF GmbH keine Negativauskünfte erteilt. Im Vergleich: Der KSV 1870 weist in Auskünften zu Anfragen nach Artikel 15 DSGVO Negativauskünfte aus, sofern keine entsprechenden Einträge vorliegen. Warum ist das wichtig? Wird ausdrücklich festgehalten, dass es keine Negativeinträge gibt, d.h. keine Tatsachen zum Zahlungsverhalten vorliegen, dann wird ersichtlich, dass der Bonitätsscore ausschließlich auf Wahrscheinlichkeitsberechnungen, dh. auf Schätzungen beruht.
Problem 6:Die Bonitätsscores der CRIF GmbH sind für Außenstehende weder überprüfbar noch nachvollziehbar. Dass Bonitätsscores korrekt und fehlerfrei ermittelt werden, bleibt daher zunächst eine Behauptung der CRIF GmbH. Die CRIF GmbH wehrt sich, wie andere Auskunfteien auch, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der […] betreffenden Bonitätsbewertung zu geben.
Das forderte die Österreichische Datenschutzbehörde in einem Entscheid vom 19.6.2020 (D124.1320/0007-DSB2019), gegen den die CRIF GmbH Beschwerde eingelegt hat (Diese Beschwerde ist seit 30.7.2020 beim BVerwG anhängig.)
Bonitätsauskunft auf Basis statistischer Berechnungen und Algorithmen
Sofern keine Negativeinträge oder andere auf Tatsachen beruhenden personenbezogenen Daten zum Zahlungsverhalten vorliegen, stützt sich der Bonitätsscore im Zuge statistischer Verfahren und Wahrscheinlichkeitsberechnungen, algorithmischer Verfahren auf Schätzungen. Mit anderen Worten: Der rein auf Basis von Regressionsverfahren errechnete Bonitätsscore bildet keine Tatsachen ab, sondern Wahrscheinlichkeiten.
Diese Information sollte auch für Kunden der CRIF GmbH interessant sein: Die Übermittlung eines Bonitätsscores ist anders zu gewichten, wenn bekannt ist, ob dieser auf Tatsachen beruht oder ausschließlich auf Schätzungen (zumal Schätzungen bei der CRIF GmbH nicht nachvollziehbar sind und daher prinzipiell auch willkürlich oder Ergebnis fehlerhafter statistischer Verfahren sein könnten.)
Problem 7: Die CRIF GmbH teilt im Zuge eines Beschwerdeverfahrens mit: Anhand welcher genauer Parameter sich der übermittelte Bonitätswert im Detail errechnet und welcher Algorithmus im Hintergrund die zu einer betroffenen Person vorhandenen Daten logisch‐mathematisch evaluiert und verknüpft, ist als Geschäftsgeheimnis zu qualifizieren.
(13. 8.2019)
DSGVO verpflichtet Verantwortliche, in diesem Fall auch die CRIF GmbH, die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person gemäß Art. 13 Abs. 2 lit f und Art. 14 Abs. 2 lit g DSGVO dieser mitzuteilen. (Siehe auch Prinzip der Transparenz Art 5 Abs 1 lit a und Art 12 Abs 1 sowie WP260rev01).
Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung
Als Zweck der Verarbeitung personenbezogener Daten führt die CRIF GmbH u.a. „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” an. Dahinter stecken verschiedene Produkte wie Betrugsbekämpfung (Fraud Prevention), Beneficial Owner Check, AML Info Check, Hybright und andere . Mit anderen Worten, die CRIF GmbH gibt vor, Aussagen über Personen und Unternehmen geben zu können, darüber, ob diese mehr oder weniger verdächtig des Betrugs, der Geldwäsche oder der Terrorismusfinanzierung sind.
Die CRIF GmbH weist darauf hin, dass unabhängig von der gewerberechtlichen Einordnung die Erteilung von Auskünften an Kunden
ihr Geschäftsmodell darstellt (lt. Bescheidentsprechung vom 17. Juli zum Entscheid der Datenschutzbehörde vom 19. Juni 2020 DSB-D124.1320/0007-DSB/2019).
In der „Datenschutzerklärung Auskunftei und Adressverlag” heißt es dazu unter Punkt 1 „Zwecke der Datenverarbeitung”: […] Erfüllung von Prüfpflichten der Kunden (insbesondere iZm der Bekämpfung von Geldwäsche, Terrorismusfinanzierung und Korruption […]
Es bleibt zu klären, ob damit die in Artikel 12 Abs.1 geforderte Information über die Rechtsgrundlage für diesen Verarbeitungszweck hinreichend erfüllt wird. (Artikel 13 Abs. 1 lit.c, Artikel 14 Abs.1 lit.c, Artikel 15 Abs. 1 lit.a DSGVO) (siehe Sydow, G (2018²). Europäische Datenschutzgrundverordnung 12, 9)
Nach Auskunft der CRIF GmbH werden Dienstleistungen zum Verarbeitungszweck „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” im Rahmen des Gewerbes „Auskunfteien über Kreditverhältnisse” nach § 152 Gewerbeordnung 1994 (GewO) erbracht.
Die Gewerbeordnung kennt keine Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung”. Folglich ist nicht geregelt, welche Gewerbe diese erbringen können. Entsprechend steht nach Auffassung der Gewerbebehörde nichts entgegen, wenn die CRIF GmbH diese Dienstleistung im Rahmen des Gewerbes „Auskunfteien über Kreditverhältnisse” ausübt. Allerdings gibt es das folgende Problem 8.
Problem 8: Das Gewerbe Auskunftei über Kreditverhältnisse wird in §152 GewO geregelt. Dort heißt es jedoch in Absatz 1:
Gewerbetreibende, die zur Ausübung des Gewerbes der „Auskunfteien über Kreditverhältnisse” berechtigt sind, sind nicht zur Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen, berechtigt.
Es ist nicht nachvollziehbar, was die Dienstleistung der „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” mit Kreditwürdigkeit zu tun hat. Wer beispielsweise mit Drogen illegal viel Geld erwirtschaftet hat, ist beispielsweise im Zusammenhang mit Geldwäsche nicht an Krediten interessiert. Die CRIF GmbH gibt dazu keine Erklärungen.
Damit bestehen berechtigte Zweifel, ob § 152 GewO (1994) diese Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” im Rahmen des Gewerbes „Auskunfteien über Kreditverhältnisse” zulässt.
Problem 9: Das Bundeskriminalamt erklärt auf Anfrage, dass die Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung eine hoheitliche Aufgabe sei und mit dem staatlichen Gewaltmonopol verknüpft sei. Letztlich dürfte sich die Dienstleistung der CRIF GmbH auf Auswertung öffentich zugänglicher Quellen und Listen beziehen. Ob allerdings auf dieser Basis darüber hinausgehende Tatsachen bezüglich eines konkreten Geldwäscheverdachts oder von Terrorismusfinanzierung behauptet werden können, darf bezweifelt werden. Letztlich kann es im Rahmen der Geldwäscherichtlinie bei dieser Dienstleistung nur um Prävention gehen. Allerdings bleibt ungklärt, in welcher Form gegenüber Kunden und Interessenenten ein entsprechender Scorewert kommuniziert wird und welche Aussagekraft die CRIF GmbH diesem Score zuschreibt. Hier ist durchaus die Gefahr zu sehen, dass die Algorithmen basierende Ermittlung unter Einsatz von KI ggf. in Richtung Predictive Policing entwickelt werden soll. Dazu bräuchte es allerdings deutlich mehr Daten, als sie nur über öffentlich zugängliche Quellen zur Verfügung stehen. Aufgrund des Auskunftsverhaltens der CRIF GmbH kann das aber weder behauptet, noch ausgeschlossen werden. Daher ist das ein durchaus brisantes Thema.
Eine international profilierte Expertin im Bereich Geldwäsche und Terrorismusfinanzierung erklärte auf Anfrage, dass die angebotenen Produkte (KYC Check, Listencheck, WiEReg etc) eine durchaus hilfreiche Ergänzung darstellen können. Anti-Money Laundering (AML), d.h. Prävention von Geldwäsche jedoch brauche die genaue Kenntnis des Einzelfalls. Zusammenfassend formuliert die Expertin: Ein technisches Angebot kann menschliches Know-How definitiv nicht ersetzen aber definitiv bereichern. Ein systematisches Verlassen auf Algorithmen und Prüfungssoftware würde ich als systemischen Mangel in den Prozessen einschätzen, da dadurch naturgemäß Bewertungslücken entstehen.
Fehlende Informationen nach Artikel 13 und 14 DSGVO
Nach Artikel 13 und 14 besteht eine Informationspflicht bei der Erhebung von personenbezogenen Daten, sei es, dass diese direkt bei einer betroffenen Person erhoben werden oder nicht. Die CRIF GmbH erhebt Daten, ohne dass Betroffene darüber informiert werden, was nach Artikel 14 DSGVO unzulässig ist. Die CRIF GmbH erteilt via Bonitätsscores Auskünfte zu deren Kreditwürdigkeit, ohne dass Betroffene davon Kenntnis erlangen, obwohl diese von einer solchen Auskunft nachteilig betroffen sein können. Wer nicht weiß, dass zu seiner Person personenbezogene Daten erhoben und verarbeitet werden, kann letztlich von seinen Betroffenenrechten (Artikel 12 bis 21 DSGVO) keinen Gebrauch machen.
Nachdem die CRIF GmbH für ihre Tätigkeit laut Auskunft berechtigte Interessen geltend macht, wäre sie gemäß Artikel 14 Abs. 2 lit b DSGV verpflichtet, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
, zu benennen, mit anderen Worten die Rechtsgrundlage für die Verarbeitung mitzuteilen.
Da unter anderem für den Bereich „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” die Datengrundlage intransparent bleibt, kann nicht ausgeschlossen werden, dass hierzu eventuell Daten aus dem Bereich Auskunftei über Kreditverhältnisse verarbeitet werden. Es ist davon auszugehen, dass für diesen Fall Artikel 14 Abs. 4 DSGVO verletzt wird, da Betroffene zu informieren sind, sofern Daten für einen anderen Zweck weiterverarbeitet werden, als den, für den die personenbezogenen Daten erlangt wurden.
Beim Bundesverwaltungsgericht ist noch ein Verfahren anhängig, in welchem über einen Bescheid der Datenschutzbehörde entschieden werden muss. Dort wurde der Löschantrag eines Betroffenen als berechtigt beurteilt, da ein Unternehmen die Informationspflicht verletzte, damit unrechtmäßig die Daten erhoben verarbeitete hatte (DSB-D122.954/0010-DSB/2018). Nach Art 17 Abs 1 lit d DSGVO sind unrechtmäßig verarbeitete Daten zu löschen. Es ist davon auszugehen, dass im Fall der Bestätigung des Entscheids der Datenschutzbehörde durch das Bundesverwaltungsgericht auch die CRIF GmbH mit zahllosen Löschanträgen überzogen werden wird.
Unzureichende Auskünfte nach Artikel 15 DSGVO
Wie die Erfahrung vieler zeigt, gibt die CRIF GmbH nur ungern, zaghaft und vielfach unzureichend Auskunft zu den Rechtsgrundlagen der Datenerhebung und Datenverarbeitung. Es sind etliche Beschwerden bei der Datenschutzbehörde anhängig, einiges liegt zur Entscheidung beim Bundesverwaltungsgericht.
Ein konkreter Fall wird hier auf fokus.genba dokumentiert: Sie finden neben der Chronologie des Auskunftsersuchens auch die der Beschwerde bei der Datenschutzbehörde dort auch den Entscheid der Datenschutzbehörde, dementsprechend die CRIF GmbH das Recht auf Auskunft verletzt hätte. Mittlerweile ist, da auch in der Bescheidentsprechung aus Sicht des Betroffenen unzureichende Informationen und Auskünfte erteilt wurden, ein Vollstreckungsverfahren bei der zuständigen Bezirksverwaltung gegen die CRIF GmbH beantragt worden.
Nicht wenige – sowohl Privatpersonen als auch Unternehmen – sind wegen der Lockdowns in Zahlungsschwierigkeiten. Werden fällige Zahlungen nicht bedient, kann es schnell zum Inkasso kommen und zu Negativeinträgen bei Auskunfteiten, wie der CRIF GmbH. Das führt zu schlechter Bonität. Und gerade dies wiederum erschwert einen Neuanfang nach Corona. Denn mit schlechter Bonität sind kaum Kredite zu bekommen, selbst bei neuen Mobilfunkverträgen oder beim Wechsel des Energielieferanten kann das enorme Probleme machen.
Besondere Probleme bereitet die Automatisierung. Diese führt in nicht wenigen Fällen dazu, dass für den Fall ausbleibender fälliger Zahlungen automatisiert Meldungen auch an Auskunfteien gehen und dort in Folge zu Negativeinträgen führen können. Damit wäre die Bonität der Privatpersonen oder der Unternehmen beschädigt — und das auf viele Jahre hinaus.
Fordern Sie daher bei den Auskunfteien, wie der CRIF GmbH nach Art. 15 DSGVO Auskunft über die zu Ihrer Person - für Österreich auch für Unternehmen — verarbeteten Daten. Seien Sie hartnäckig und legen Sie Beschwerde bei der Datenschutzbehörde ein, wenn die Auskünfte unzureichend und/oder mangelhaft sind, wenn sie nicht klar und verständlich sind. Wiederholen Sie die Anfrage nach Ablauf eines Jahres.
Weiterführende Links zu CRIF GmbH und Datenschutz in diesem Blog
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
5 Kommentare
(5.0)
Kommentar von: cal
Im März 2021 hat noyb eine Beschwerde gegen die CRIF GmbH „Illegal data exchange between address publisher and credit ranking agency” bei der österr. Datenschutzbehörde eingebracht. Siehe auch derstandard.at vom 18.3. und 19.3.2021.
Kommentar von: Martin Kainz
Wenn CRIF falsche Informationen von mir verarbeitet, wieso muss ich dann nachweisen, dass diese falsch sind? Müsste nicht eher CRIF nachweisen, dass die Angaben zutreffen, z.B. durch Offenlegung der Quellen?
Das scheint mir doch sehr problematisch, dass da Auskunfteien alles mögliche behaupten können und ich hätte dann den Aufwand, nachzuweisen, dass die Informationen falsch oder unvollständig sind.
Kommentar von: Wolfgang Miggisch
Aber Sie können CRIF oder andere Auskunfteien oder Datenverarbeiter auf Schadensersatz klagen, wenn Sie durch falsche Informationen geschädigt wurden, d.h. wenn Sie z.B. keinen Kredit bekommen, weil die Auskunftei einen Fehler gemacht hat und Ihnen eine schlechte Bonität verpasste. Allerdings wird es dann heiter werden, wenn es darum geht, dies aufzuklären. Denn dann müssen Sie das wiederum nachweisen. Das ganze hat nur wirklich Aussicht auf Erfolg, sofern der Gesetzgeber und damit die Politik endlich damit aufhören, auf Kosten der Bevölkerung weiterhin so schlampig mit Datenschutz umzugehen.
Kommentar von: Cosimo
Das mit Schadensersatz wird schwierig. Auskunfteien argumentieren, dass sie nur eine Bonitätsauskunft erteilen, damit aber keine Empfehlung etc. ausgesprochen wird. Ob ein Kredit gewährt wird oder nicht, liege ganz bei den Kunden. Auskunfteien übernehmen keine Verantwortung dafür. Und ja; da besteht dringender Handlungsbedarf durch den Gesetzgeber.
Kommentar von: Markus
Schau Dir doch bitte mal dieses OGH Urteil (OGH 24. 11. 2011, 1 Ob 206/11t) an: http://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Justiz&Dokumentnummer=JJT_20111124_OGH0002_0010OB00206_11T0000_000
Eine Zusammenfassung: https://www.compliance-praxis.at/Themen/Aktuelles_Meinung/Archiv/OGH-Urteil-_Haftung_fuer_falsche_Bonitaetsauskunft.html
Formular wird geladen...