Am Donnerstag hat die Datenschutz-NGO Noyb eine DSGVO-Beschwerde gegen die Kreditauskunftei CRIF und AZ Direct, einen Adressverlag und ein Tochterunternehmen der Bertelsmann-Gruppe, eingereicht, DER STANDARD berichtete. Den beiden Unternehmen wird vorgeworfen, Daten des Adressverlags an die Kreditauskunftei weitergeleitet zu haben, wodurch diese etwa zur Beurteilung der Bonität herangezogen werden könnten.

"Eindeutige Personenidentifizierung ist essenziell"

DER STANDARD hat die beiden Unternehmen um eine Stellungnahme gebeten. Von Bertelsmann folgte darauf ein kurzes Statement, dass man zu laufenden Verfahren grundsätzlich keine Stellung beziehe. Seitens CRIF wiederum betont man, dass man seit mehr als 30 Jahren im Risikomanagement als "wichtiger Partner der österreichischen Wirtschaft" agiere. Man werde die Sachlage noch genau prüfen – da zu diesem Fall jedoch noch keine Aufforderung zur Stellungnahme der Datenschutzbehörde eingelangt sei, könne man sich zu diesem Zeitpunkt noch nicht umfassend äußern.

"Besonders im E-Commerce machen wir die Erfahrung, dass die eindeutige Personenidentifizierung essenziell ist und ohne diese Dienstleistung der Kreditauskunfteien das Online-Geschäft nicht gesichert möglich ist", heißt es jedoch weiter in der schriftlichen Stellungnahme: "Insbesondere im Dach-Raum, wo zum Beispiel 'Kauf auf Rechnung' im Online-Handel bei den deutschsprachigen KonsumentInnen besonders beliebt ist, kann nur durch eine Identitäts- und Bonitätsprüfung diese Zahlungsmethode im E-Commerce angeboten werden."

Datenschutzerklärung: Woher CRIF welche Daten bekommt

Darüber, dass CRIF Daten zur Identifikation verarbeitet, habe CRIF jederzeit transparent in der eigenen Datenschutzerklärung aufgeklärt, heißt es abschließend. In der Datenschutzerklärung von CRIF werden die folgenden Datenquellen angeführt, dort werden auch explizit Adressverlage genannt:

• Kunden der CRIF GmbH als (potenzielle) Vertragspartner/Gläubiger der betroffenen Person
• Partner der CRIF GmbH (insbesondere Inkassoinstitute und Rechtsanwälte)
• Dienstleister im Bereich Missbrauchsprävention, die Datenbanken mit Kennnummern von Endgeräten führen, sowie Dienstleister im Bereich der Identitätsprüfung
• Adressverlage und Direktmarketingunternehmen gemäß § 151 Gewerbeordnung 1994
• öffentlich zugängliche Quellen, wie insbesondere Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Gewerberegister, Webseiten

"In Einzelfällen erheben wir Ihre personenbezogenen Daten direkt bei Ihnen selbst. Es besteht diesfalls keine Verpflichtung, uns Ihre personenbezogenen Daten, um die wir Sie bitten, zur Verfügung zu stellen", heißt es weiter: "Allerdings kann es sein, dass wir Ihre Anfragen bzw. die von Ihnen gewünschten Leistungen nicht oder nicht vollständig erfüllen bzw. erbringen können, wenn Sie Ihre personenbezogenen Daten nicht bereitstellen. Sollte die Bereitstellung Ihrer Daten ausnahmsweise gesetzlich verpflichtend sein, werden wir Sie gesondert darauf hinweisen."

CRIF verarbeitet auch technische und Geolocation-Daten

Zu den verarbeiteten Daten gehören unter anderem auch Daten über die Einhaltung von Zahlungszielen und zu unbezahlten Forderungen, inklusive Leasingeinzügen, Mietzinszahlungen und Delogierungen, sowie Daten zur Bonität (inkl. aggregierte Bonitätskriterien und Score-Wert).

Auf technischer Ebene werden auch Daten zu Hard- und Software (inkl. verwendeter Browser, Endgerätekennung), Geolocation-Daten (auf Grundlage der Anschriften errechnet) und "Lichtbilder aus Google Maps zur Analyse potentieller missbräuchlicher Auffälligkeiten" (soweit vom Kunden mit Einwilligung des Betroffenen erhoben und dann an CRIF GmbH übermittelt) in der Datenschutzerklärung genannt.

Möglichkeit zur Selbstauskunft

Wer wissen möchte, welche Daten CRIF über einen selbst gespeichert hat, kann über ein entsprechendes Kontaktformular eine Anfrage zur Selbstauskunft stellen. (Stefan Mey, 19.3.2021)