Informationen und Tipps zur EU Datenschutz Grundverordnung (DSGVO)

Die Wirtschaftsauskunftei CRIF GmbH und der Datenschutz

24. Jul 2019/Conrad Lienhardt /DSGVO / 7. Okt 2019

Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Aus­kunfteien eines, das mit Ag­gre­gation, auto­matisierter Ver­arbei­tung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Man spricht von Bonitätsauskünften. Die CRIF GmbH wirbt sogar mit tagesaktuellen Bonitätsberichten zu Privatpersonen und Unternehmen.  Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO. Die CRIF GmbH hat damit allem Anschein nach Probleme.

Die CRIF GmbH holt sich die personenbezogenen Daten aus öffentlichen Verzeichnissen und Datenbanken. so erklärt die CRIF GmbH: In der von CRIF betriebenen Identitäts- und Bonitätsdatenbank werden Daten aus öffentliche verfügbaren Quellen, Daten von Adressverlagen, und Informationen zu Zahlungserfahrungen, die von einer Vielzahl an Unternehmenskunden sowie von über 60 Inkassopartnern übermittelt werden, gesammelt. Diese Daten werden regelmäßig aktualisiert.

Die CRIF Gmbh nutzt dabei auch aktuelle technologische Entwicklungen, um Ihren Service effektiver und effizienter zu machen - für Kunden, nicht für Betroffene. So berichtete bereits 2014 die Tageszeitung Der Standard, dass die CRIF GmbH sogenannte OCR (Optical Character Reconition) Systeme einsetzt, um beispielsweise via Smartphone App aufgenommene Fotos von Reisepässen, Personalausweisen, Führerscheinen etc.  serverseitig zu verarbeiten und mit eigenen Daten abzugleichen. Schon damals plante die CRIF GmbH laut dieses Berichts, Online-Gesichtserkennung und biometrische Authentifizierung zum Identitätscheck einzusetzen. Das wollte das Unternehmen noch im Laufe des Jahres 2014 realisieren. . Entwickelt werden sollte dieser Identcheck vom Unternehmen Bluesource, Hagenberg.  Über den aktuellen Stand des Einsatzes dieser Technologien findet man leider auf der Webseite des Unternehmens keine Informationen, letzter Stand 2014.  Es ist daher nicht zu sagen, welche Technologien zur Erkennung und Verarbeitung personenbezogener Daten verwendet werden, zumal die CRIF GmbH dazu, wie es den Eindruck macht, die Auskunft verweigert.

Eine Auskunftsanforderung nach Artikel 15 DSGVO

Grund genug, in Erfahrung zu bringen, wie es die CRIF GmbH mit der DSGVO und dem Datenschutz allgemein hält. Einen konkreten Anlass für ein Auskunftsersuchen nach Artikel 15 DSGVO an die CRIF GmbH ergab sich aus der Mitteilung der T-Mobile GmbH, dass diese für eine Kampagne rund um Magenta  personenbezogene Daten von der CRIF GmbH bezogen hätte. (Zur Chronologie der Beantwortung der Auskunftsanfrage siehe Mangelhafte Kenntnis und Umsetzung der DSGVO.)

In der Beantwortung des Auskunftsersuchens nach Artikel 15 DSGVO wird angeführt, dass Name, Geburtsdatum, Adresse und bezüglich des Unternehmens Gründungsjahr, Inhaberschaft und Adresse verarbeitet würden. Ansonsten werden ausschließlich allgemeine Informationen zu Verwendungszwecken und zur automatisierten Entscheidungsfindung und Profiling gegeben. Es findet sich darüber hinaus keinerlei weitergehende Auskunft, beispielsweise zum Bonitätsrating, ob es zu Zahlungsfähigkeit oder Zahlungswilligkeit Angaben gibt et cetera, also zum eigentlichen Kern des Auskunftsersuchens. Die Auskunft erschöpft sich darin, personenbezogene Angaben wie sie in Adressverzeichnissen abrufbar sind, wiederzugeben.

Eine Auskunft, die keine ist

Gewissermaßen als Hohn auf die DSGVO könnte die sogenannte Legende des Schreibens interpretiert werden: Im Folgenden liefern wir Ihnen Informationen über jene Bereiche, zu denen möglicherweise Daten von Ihnen gespeichert sind. Mit anderen Worten: Die CRIF GmbH hat offenbar wenig unternommen personenbezogene Daten im Zusammenhang mit deren Verarbeitung konkret zu identifizieren. Das Unternehmen gibt vor, nicht zu wissen, ob und wo und in welchen Kategorien und welcher Logik der automatisierten Verarbeitung und im Profiling personenbezogene Daten verarbeitet werden, sondern es verweist darauf, dass es Bereiche geben könnte, in welchen „möglicherweise Daten” gespeichert sind.

Formulierungen der CRIF GmbH könnten als „Einschüchterung” interpretiert werden

Außerordentlich ungewöhnlich und bedenklich ist folgender Absatz in der sogenannten Auskunft: Abschließend weisen wir Sie noch darauf hin, dass es Berater und Unternehmen am Markt gibt, die für die Vertretung in datenschutzrechtlichen Belangen, insbesondere die Einholung einer Auskunft nach Ar.t 15 DSGVO, hohe Honorare in Rechnung stellen.

Beim Lesen dieses Passus ist man zunächst irritiert, da nicht ganz klar ist, warum dieser in einem Auskunftsersuchen nach Artikel 15 DSGVO mitgeteilt wurde. Nachdem es für die CRIF GmbH offensichtlich sein musste, dass der Betroffene selbst das Ansuchen stellte und nicht irgendeine dritte Person in dessen Namen, bot sich eine andere Interpretation an, wonach diese Formulierung sehr verdeckt und verschroben als implizite Warnung vor Kostenfolgen verstanden werden könnte - auch wenn es dazu heißt: Es steht Ihnen zu, einmal im Jahr eine unentgeltliche Auskunft anzufordern.

Warum schreibt das Unternehmen das, wenn es genau weiß, dass es verpflichtet ist, Auskünfte nach Artikel 15 DSGVO kostenlos zu erteilen, sofern diese nicht offenkundig unbegründet oder exzessiv sind, was im Zusammenhang einer erstmaligen Anfrage bei einer Wirtschaftsauskunftei ohnehin nicht gegeben ist und von dieser wohl auch nicht begründet nachgewiesen werden könnte.

In einer späteren Stellungnahme im Zuge der Beschwerde bei der Datenschutzbehörde erklärt die CRIF GmbH dazu: Hintergrund dieses Absatzes ist, dass es in der Vergangenheit immer wieder zu Fällen gekommen ist, in denen vermeintliche Berater im Namen von betroffenen Personen Auskunftsbegehren oder sonstige datenschutzrechtliche Begehren gestellt haben und für diese Dienstleistung enorme Honorare von den betroffenen Personen verlangt haben, obwohl die Behandlung datenschutzrechtlicher Begehren durch die Beschwerdegegnerin selbstverständlich kostenlos erfolgt. Wie aus dieser Passage also unmissverständlich hervorgeht, wird ein solches Honorar nicht durch die Beschwerdegegnerin, sondern durch externe unredliche Berater verlangt, wovor die Beschwerdegegnerin die betroffenen Personen, deren Daten in der Datenbank der Beschwerdegegnerin verarbeitet werden, explizit warnen möchte.  

Auch wenn diese Stellungnahme erahnen lässt, was sich die CRIF GmbH möglicherweise dabei gedacht haben mag, diesen Passus in einer Auskunft nach Artikel 15 DSGVO so zu formulieren, bleibt doch zumindest die Verwunderung darüber, dass hier so missverständlich, nicht erfragte Hinweise auf möglicherweise betrügerische Umtriebigkeiten von Beratern mitgeteilt werden, wohingegen die eigentliche Auskunft Mängel aufweist und unvollständig ist.

In Artikel 12 Abs 5 DSGVO heißt es ausdrücklich:

Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

  • a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
  • b) sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Zudem geht aus Artikel 12 hervor, dass im Falle eines nachgewiesenen offenkundig unbegründeten oder exzessiven Charakters Kosten ohnehin nur hin Höhe der angefallenen Verwaltungskosten als Entgelte in Rechnung gestellt werden dürfen. Wobei das nicht bedeutet, dass hier hohe Rechtsanwaltshonorare weiterverrechnet werden könnten.

Mängel bei Informationen zu Betroffenenrechten

Im Rahmen der DSGVO haben Verantwortliche im Rahmen einer Auskunftsanfrage nach Artikel 15 DSGVO Betroffene auf ihre Betroffenenrechte hinzuweisen. Die Betroffenenrechte werden in den Artikeln 13 bis 22 DSGVO geregelt.

Die CRIF GmbH führt nur das Recht auf Löschung (Artikel 17 DSGVO) an und das Recht auf Richtigstellung (Artikel 16 DSGVO), wobei in fetten Lettern mitgeteilt wird: Ein Löschungsrecht ohne Angabe von Gründen ist in der DSGVO nicht vorgesehen. Auf die weiteren Rechte von Betroffenen wird nicht ausdrücklich hingewiesen. Es wird im Anhang ein Link zur Verfügung gestellt.  Allein damit kommt die CRIF GmbH Ihrer Informationspflicht nur unzureichend nach.

Eine unzureichende Auskunft zum Thema Löschung

In Artikel 17 DSGVO heißt es wortwörtlich:

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
  • d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Es gilt daher zunächst festzuhalten, dass Betroffene grundsätzlich das Recht auf Löschung haben, sofern einer von sechs möglichen Gründen zutrifft. Im Fall von Auskunfteien ist derzeit ein Verfahren beim Bundesverwaltungsgericht anhängig (DSB-D122.954/0010-DSB/2018). Ein Verantwortlicher wurde auf Grund einer Beschwerde von der Datenschutzbehörde dazu verpflichtet, die Daten eines Betroffenen zu löschen, nachdem der Verantwortliche seiner Informationspflicht nicht nachgekommen war und daher die Verarbeitung rechtswidrig erfolgte. Aufgrund Artikel 17 Absatz 1 lit.d DSGVO folgerte die Datenschutzbehörde, dass wegen rechtswidriger Verarbeitung ein Löschungsanspruch besteht. Dasselbe wäre auch auf die CRIF GmbH anzuwenden, da auch dieses Unternehmen der Informationspflicht nach Artikel 14 DSGVO nicht nachgekommen ist und damit die Verarbeitung rechtswidrig erfolgte.

Zum anderen stellt sich die Frage, ob es seitens der Verantwortlichen und dessen Kunden ein berechtigtes Interesse geben könnten, zu erfahren, ob zu irgendeiner Privatperson oder irgendeinem Unternehmen Einträge vorliegen, die Zahlungsfähigkeit und Zahlungswilligkeit in Frage stellen. Es scheint nicht einsichtig, dass personenbezogene Daten von unbescholtene Privatpersonen oder auch von Unternehmen verarbeitet werden, obwohl es bei diesen zu keinerlei einschlägigen Vorfällen gekommen ist.

Wenn es darum geht, personenbezogene Daten „unbescholtener” Privatpersonen bezüglich Auskunft zu deren Zahlungskraft et cetera aufgrund berechtigter Interessen zu verarbeiten, ist doch eher davon auszugehen, dass diese berechtigten Interessen dem Schutz der personenbezogenen Daten nachzuordnen sind.  (s. ErwG 47, Artikel 6 Absatz 1 lit 4 DSGVO)

Verkürzte Darstellung des Rechts auf Berichtigung (Richtigstellung)

Artikel 16 DSGVO zum Recht auf Berichtigung:

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Das Unternehmen CRIF GmbH schreibt: Ein Anspruch auf Richtigstellung [Anm. Autor: im Original unterstrichen] besteht nur, wenn die gespeicherten Daten inhaltlich unrichtig oder unvollständig sind. Auch hier ist eine Begründung bez. ein Nachweis der Richtigstellungsgründe Voraussetzung für ein Tätigwerden von CRIF Dass beispielsweise eine ergänzende Erklärung möglich ist, wird verschwiegen.

Verweis auf Website zu weiteren Betroffenenrechten

Anstelle die weiteren Betroffenenrechte im Schreiben selbst näher zu benennen, wird auf die Webseite der CRIF GmbH verwiesen. Damit bleiben im Schreiben selbst diese Betroffenenrechte unerwähnt. Das sind das Informationsrecht (Artikel 12 DSGVO), die Informationspflicht und das Auskunftsrecht (Artikel 13, 14 DSGVO), das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO), das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO), das Widerspruchsrecht (Artikel 21 DSGVO) und das Recht im Zusammenhang mit automatisierten Entscheidungen im Einzelfall einschließlich Profiling.

Fazit

Es stellt sich die Frage, ob das Unternehmen CRIF GmbH in Unkenntnis der DSGVO handelt, oder ob Kalkül dahinter steht. Jedenfalls sollte eine solche zweifelhafte Praxis durch die Daten­schutz­behörde geklärt und abgestellt werden.

 
Gegen die CRIF GmbH wurde Beschwerde bei der Datenschutzbehörde eingebracht.

 

Weiterführende Links zu CRIF GmbH und Datenschutz in diesem Blog

 

 

 
Dr. Conrad Lienhardt (Ausschnitt Portraitfoto)

Dr. Conrad Lienhardt
Unternehmensberater
Ausgestaltung und Optimierung von Kundenbeziehungen, Leadmanagement

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
E-Mail

Hinweis:

Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

 

Tags: AuskunfteiAuskunftspflichtBetroffenenrechteBonitätDSGVODatenschutz

Editionsgeschichte:

Eingetragen von Conrad Lienhardt am 24.07.2019 – Last touched: 7.10.2019 – Contents updated: 7.10.2019

2 Kommentare

Benutzerwertungen
5 Stern:
 
 (1)
4 Stern:
 
 (0)
3 Stern:
 
 (0)
2 Stern:
 
 (0)
1 Stern:
 
 (0)
1 Bewertung
Durschn. Benutzerwertung:
(5.0)

Kommentar von: Martin Kainz Besucher

Martin Kainz

Wenn CRIF falsche Informationen von mir verarbeitet, wieso muss ich dann nachweisen, dass diese falsch sind? Müsste nicht eher CRIF nachweisen, dass die Angaben zutreffen, z.B. durch Offenlegung der Quellen?
Das scheint mir doch sehr problematisch, dass da Auskunfteien alles mögliche behaupten können und ich hätte dann den Aufwand, nachzuweisen, dass die Informationen falsch oder unvollständig sind.

Kommentar von: Wolfgang Miggisch Besucher

Wolfgang Miggisch

Aber Sie können CRIF oder andere Auskunfteien oder Datenverarbeiter auf Schadensersatz klagen, wenn Sie durch falsche Informationen geschädigt wurden, d.h. wenn Sie z.B. keinen Kredit bekommen, weil die Auskunftei einen Fehler gemacht hat und Ihnen eine schlechte Bonität verpasste. Allerdings wird es dann heiter werden, wenn es darum geht, dies aufzuklären. Denn dann müssen Sie das wiederum nachweisen. Das ganze hat nur wirklich Aussicht auf Erfolg, sofern der Gesetzgeber und damit die Politik endlich damit aufhören, auf Kosten der Bevölkerung weiterhin so schlampig mit Datenschutz umzugehen.


Formular wird geladen...