Geht es nach der Datenschutz-NGO Noyb, sind die Regeln eigentlich klar: Adressverlage dürfen die Daten von Österreicherinnen und Österreichern nur zu Werbezwecken weitergeben. Umso größer war die Aufregung, als ein Betroffener vor rund zwei Jahren ein Auskunftsbegehren an die Kreditauskunftei CRIF stellte – und die Information erhielt, dass diese sowohl Namen, Geburtsdatum als auch mehrere (teils veraltete) Wohnadressen gespeichert hatte. Das Problem dabei: Als einzige Quelle wurde der Adressverlag AZ Direct genannt.

Weil damals ersichtlich gewesen sei, dass die ergatterten Informationen zur Erstellung von Bonitätsscores verwendet wurden, reichte Noyb eine Datenschutzbeschwerde gegen die genannten Unternehmen ein. Nun hat die österreichische Datenschutzbehörde (DSB) entschieden, dass CRIF die genannten Informationen – und jene von Millionen in Österreich sesshaften Personen – unrechtmäßig verarbeitet hat.

Ein "fragwürdiger Bonitätsscore"

Grund dafür ist, dass ein Großteil der von CRIF zur Erstellung von Bonitätsscores genutzten Stammdaten von AZ Direct stammt. Obwohl diese nur für Marketingzwecke weitergegeben werden dürften, seien die Daten fast aller in Österreich lebenden Menschen "rechtswidrig bei der CRIF GmbH für Zwecke der Kreditauskunftei" gelandet, heißt es in einer aktuellen Presseaussendung der NGO. Die daraus gewonnen Informationen seien anschließend an alle möglichen Unternehmen weiterverkauft worden, die mehr über ihre Kunden hinausfinden möchten.

Laut dem Noyb-Vorsitzenden Max Schrems ermögliche das derzeit, "auf Knopfdruck die Anschriften und Geburtsdaten von fast jedem Österreicher" in der Datenbank der CRIF zu finden. Gegen bescheidene Geldbeträge werde außerdem "ein fraglicher ‚Bonitätsscore‘ ausgerechnet". Problematisch sei das unter anderem deshalb, weil ein schlechter Score für Kundinnen und Kunden bedeuten könne, keinen Handy- oder Stromvertrag mehr abschließen zu können. "Es kann auch sein, dass man höhere Kreditraten zahlen muss, wenn die Bank diesen Score heranzieht", sagt Schrems.

Nicht rechtmäßig, aber nicht untersagt

Trotz der DSB-Entscheidung dürfte der Konflikt nicht fertig ausgetragen sein. Die Datenschutzbehörde habe zwar festgestellt, dass die Datenverarbeitung nicht rechtmäßig war, diese aber nicht untersagt. Eine Löschung der umstrittenen Daten wurde bisher also noch nicht angeordnet. Dies soll laut der NGO über eine separate, "generelle amtswegige Untersagung" angeordnet werden.

Potenziell betroffenen Personen empfiehlt Max Schrems trotz allem, selbst ein Auskunftsbegehren bei der CRIF zu stellen und Beweise zu sammeln. "Schon bald könnte geklärt sein, ob man für die unrechtmäßige Datenverarbeitung auch Schadenersatz erhält", sagt der Datenschützer. Hier warte man noch auf ein Urteil des Europäischen Gerichtshofs im Verfahren gegen die Österreichische Post.

CRIF geht in Berufung

In einer Stellungnahme gegenüber dem STANDARD schreibt die CRIF, dass jedes Unternehmen das Recht habe, "Sicherheit über die Identität seiner potentiellen Kunden zu erlangen und diese unabhängig verifizieren zu lassen". Durch die Kooperation mit CRIF hätten Unternehmen im E-Commerce eine zuverlässige Grundlage für den Onlinehandel. Man sehe es als Aufgabe, "sicheres und vertrauenswürdiges wirtschaftliches Handeln zu ermöglichen".

Wie von Noyb bereits vermutet, bestätigt die CRIF, Rechtsmittel gegen den Bescheid der Datenschutzbehörde einlegen zu wollen. Es handle sich um eine gänzlich neu aufgeworfene Rechtsfrage, außerdem habe das Wirtschaftsministerium bestätigt, "dass Adressverlage Adressdaten an Kreditauskunfteien zu Zwecken der Bonitätsbewertung übermitteln dürfen". (Mickey Manakas, 28.3.2023)