Die Datenschutz-NGO hat eine Beschwerde bei der Datenschutzbehörde gegen die Kreditauskunftei KSV 1870 (KSV) eingereicht. Diese würde, so der Vorwurf, Daten von bislang unbekannten Personen speichern, wenn diese eine Datenauskunft erfragen.

So hätte eine betroffene Person um eine derartige Information, die im Auskunftsrecht der Datenschutzgrundverordnung (DSGVO) vorgeschrieben ist, angefragt. Als Reaktion erfuhr sie, dass bisher zwar keine Daten gespeichert worden waren – nun aber ein Eintrag in der Wirtschaftsdatenbank erstellt worden sei.

"Dreistigkeit erstaunlich"

Marco Blocher, Jurist bei Noyb, findet "die Dreistigkeit erstaunlich". "Der KSV erhält die Daten ausschließlich, um das Auskunftsbegehren zu beantworten, pflegt sie dann aber ungefragt in seine Datenbank ein", sagt Blocher. "Mit diesen Daten werden dann Bonitätsscores berechnet, die der KSV an seine Kunden verkauft." Dieses Vorgehen habe System, so habe Noyb dies in mehreren Fällen verifizieren können.

Jedoch sei das aus Sicht der NGO unzulässig – sie argumentiert mit dem Prinzip der Zweckbindung in der DSGVO, die vorsieht, dass Daten nur zu bestimmten Zwecken erhoben werden dürfen. Eine anderweitige Nutzung sei dann nur gestattet, wenn diese mit dem ursprünglichen Zweck vereinbar sei.

"Menschen stellen Auskunftsbegehren, um sich einer Datenverarbeitung bewusst zu werden – und gegebenenfalls dagegen vorzugehen", so Blocher: "Dass gerade solche Begehren dazu führen, dass man in der Datenbank des KSV landet, ist grotesk." Die DSGVO habe die Zweckbindung eingeführt, um zu verhindern, dass Unternehmen mit sämtlichen Daten, die sie haben, tun und lassen könnten, was sie wollen. "Die Realität schaut im Moment leider noch vollkommen anders aus", sagt Blocher.

Der KSV 1870 erklärt auf Anfrage des STANDARD, dass Verarbeitungen "nach den gültigen Rechtsnormen" durchgeführt würden. Die Erteilung einer Selbstauskunft nach Artikel 15 der DSGVO erfordere, dass zumindest die Identifikationsdaten des Betroffenen verarbeitet werden, andernfalls könne der Vorgang nicht dokumentiert werden. "Wenn Daten in eine Verarbeitung einer Kreditauskunftei aufgenommen werden, ist der Betroffene davon in Kenntnis zu setzen. Dieser Verpflichtung wird über verschiedenste Arten der Kommunikation nachgekommen", heißt es.

AK: Gesetzesreform notwendig

Problematisch sei, laut Daniela Zimmer von der Arbeiterkammer Wien, dass Auskunfteien kaum reguliert seien. So schreibt die Gewerbeordnung vor, dass es sie geben darf – "und daraus leiten die Unternehmen ab, dass sie Daten sammeln können müssen", sagt die Juristin zum STANDARD. Sie dürften zwar nur speichern, was auch bonitätsrelevant sei – aber welche Informationen das konkret seien, "liegt im Auge des Betrachters". Die Branche argumentiere, dass auch positive Datensätze wichtig seien. Grundsätzlich müssten Betroffene aber informiert werden, wenn ihre Daten gespeichert werden.

Aus Zimmers Sicht müsste die Gewerbeordnung aktualisiert werden: "Es braucht einen Regulierungsrahmen, der die Grenzen genauer definiert, was und wann gespeichert werden darf." Auch bräuchte es einheitliche Löschfristen – ein Problem sei etwa, dass Daten zu einer Zahlungsunfähigkeit jahrelang gespeichert werden. Konsumenten müssten dann mit erheblichen Folgen kämpfen. "Der klassische Fall ist der Handyvertrag, wenn Betroffene erfahren, dass dieser aufgrund eines Eintrags bei einer Auskunftei nicht abgeschlossen werden kann", sagt Zimmer.

Algorithmenunterstützt

Häufig würde das sogenannte Kreditscoring, bei dem die Kreditwürdigkeit eines Kunden anhand der vorhandenen Daten berechnet wird, anhand von Algorithmen unterstützt. Bisher haben Wirtschaftsauskunfteien argumentiert, dass auch ein älterer Eintrag valide sei, da dieser von den genutzten Systemen dann weniger stark gewertet werde. Für Zimmer reicht das nicht aus. Sie pocht auf ein Löschrecht – "und mehr Nachvollziehbarkeit". (Muzayen Al-Youssef, 8.2.2021)