Vor gut einem Jahr legte Noyb, das Unternehmen von Datenschutzaktivist Max Schrems, in Österreich Beschwerde gegen die Kreditauskunftei CRIF Bürgel (Beschwerde an die DSB gegen CRIF final_geschwärzt.pdf (noyb.eu)) ein. Dabei ging es darum, dass CRIF dem Betroffenen eine negative Bonität zugeschrieben hat, obwohl die Person der Auskunftei überhaupt nicht bekannt war. Der Betroffene erhielt daraufhin keinen Stromvertrag.
Rechtswidrige Geschäftspraktiken und Berechnung von „Voodoo-Kreditscores“
Datensätze von Axciom werden von CRIF Bürgel aufgekauft. Diese Datensätze wurden ursprünglich für Direktmarketing gesammelt und auf deren Basis wurde somit die Kreditwürdigkeit von Millionen Bürger:innen berechnet. Dies ist ausdrücklich ein Verstoß gegen die DSGVO, nach der Daten nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden dürfen. Eine nachträgliche Änderung des Zwecks, hier von Direktmarketing zu Kreditbewertung, stellt grundsätzlich einen Verstoß dar. Nun legte Noyb erneut Beschwerde gegen die Kreditauskunftei CRIF ein. Diesmal in Deutschland (Beschwerde_CRIFBuergel_Acxiom_Redacted.pdf (noyb.eu)).
Noyb zufolge hat der Betroffene der ersten österreichischen Beschwerde einen Kreditscore von CRIF nur auf Grundlage seines Namens und der aktuellen sowie ehemaligen Wohnadresse zugewiesen bekommen. Dabei sei es dahingehend jedoch illegal, die Kreditwürdigkeit auf Basis von Daten, die nicht auf früheren Zahlungen beruhen, zuzuschreiben. In diesem Zusammenhang spricht Noyb von “Voodoo-Kreditscores”, die auch gegen das Bundesdatenschutzgesetz verstoßen, wonach es verboten ist, „einen Bonitätsscore ausschließlich anhand von Adressdaten zu berechnen“. Das hielt im Juni 2018 die deutsche Datenschutzkonferenz fest; „Positivdaten“ – also Daten, die nicht auf vergangenen Zahlungserfahrungen beruhen – dürfen nur mit Einwilligung der betroffenen Person verarbeitet werden. Kreditscores dürfen lediglich auf Zahlungserfahrungsdaten beruhen.
„Ein sehr großer Teil der Daten von Kreditauskunfteien stammt von Adressverlagen – und zwar ohne rechtliche Grundlage. All das geschieht heimlich, ohne die betroffenen Personen jemals um Einwilligung zu fragen oder sie zu informieren. Das ist rechtswidrig.“ – Alan Dahi, Datenschutzjurist bei noyb.eu
Fast alle Personen in Deutschland betroffen
Nach eigenen Angaben der CRIF hat diese von mehr als 62 Millionen Privatpersonen die Datensätze. Der Beschwerdeführer des Verfahrens ist somit nicht alleine mit seiner Situation.
„Die Situation des Betroffenen, den wir vertreten, ist leider kein Einzelfall. noyb liegen mehrere ähnliche Fälle vor. Wenn Sie einen Wohnsitz in Deutschland haben, ist die Wahrscheinlichkeit hoch, dass Sie ebenfalls betroffen sind und CRIF Bürgel und Acxiom mit Ihren Daten heimlich Geschäfte betreiben.“ – so Alan Dahi
Nun hat die österreichische Datenschutzbehörde (DSB) eine Entscheidung bezüglich der von Noyb eingereichten Beschwerde in Österreich vor gut einem Jahr getroffen: Die CRIF muss den abfragenden Unternehmen offenlegen, dass die Bonität nur aus Anschrift, Geschlecht, Name und Geburtsdatum errechnet wird. Zudem muss die CRIF in Österreich dem betroffenen Konsumenten das Scoring erklären.
Alan Dahi, Datenschutzjurist bei noyb äußerte sich bezüglich der Entscheidung: „Die Entscheidung ist ein wichtiger Schritt für mehr Transparenz für Betroffene. Kreditauskunfteien machen seit jeher ein komplettes Geheimnis aus ihren internen Vorgängen, obwohl sie mit den Informationen anderer Menschen gerne ihr Geld verdienen. Jetzt steht fest: Unter der DSGVO müssen auch Kreditauskunfteien verständlich erklären, wie sich die teilweise absurden Scores zusammensetzen. Wir sind gespannt, wie CRIF im gegenständlichen Fall den vollkommen willkürlich wirkenden Score des Betroffenen erklären will.“
Noyb bietet zudem seine Hilfe an, sollte man wissen wollen, welche Daten CRIF Bürgel von einem hat und woher sie stammen. Unter selbstauskunft@crifbuergel.de kann man CRIF Bürgel kontaktieren und nachfragen. Diese müssen innerhalb von 30 Tagen auf die etwaige Ansuchen antworten.
Bildquelle: Thomas Heß von Datenschutz-Stockfotos
