Noyb sieht Mängel

Kreditauskunftei CRIF in der Datenschutz-Kritik

Noyb wurde vom österreichischen Datenschützer Max Schrems gegründet.(Bild: AFP/JOE KLAMAR)

Die Datenschutzorganisation Noyb sieht die Vorgangsweise der Kreditauskunftei CRIF kritisch – vor allem, wenn es um die Herkunft des Datenmaterials von CRIF geht. Aber auch bei der Beurteilung der Bonität von Konsumenten sehen die Datenschützer offene Fragen. CRIF weist die Vorwürfe als „Kampagne“ zurück.

Das geht aus einer Pressemitteilung am Donnerstag hervor. Dabei beruft sich Noyb auf die Daten von 2440 Personen, die die bei CRIF gespeicherten Daten zu ihrer Person abgerufen haben.

CRIF wirft Datenschützern „Kampagne“ vor
CRIF sieht sich als Opfer einer Kampagne, die im Juni von Noyb gestartet wurde, teilte CRIF in einer Stellungnahme mit. Man habe gewissenhaft und fristgerecht auf Anfragen der Datenschützer reagiert und sei verwundert über die unabgesprochen veröffentlichten Punkte. „Gäbe es Auskunfteien wie CRIF und weitere ähnliche Dienstleister am österreichischen Markt nicht, müssten Unternehmen das Risiko eines Zahlungsausfalls auf die Preise aufschlagen“, wirft man Noyb standortschädigendes Verhalten vor. Eine Klage schließe man nicht aus: „CRIF behält sich vor, rechtliche Schritte gegen die Vorgehensweise von Noyb zu setzen.“  

Wie Noyb erklärt, soll CRIF die Adressdaten großteils von den Adressverlagen AZ Direct, dem Compass Verlag und DPIT beziehen. Allerdings dürften diese Verlage – so die Rechtsansicht von Noyb – die Adressdaten nur zu Marketingzwecken und nicht als Basis für die Bonitätsbewertung verkaufen. Aber auch Telekomgesellschaften, Energieanbieter und Banken scheinen als Quellen für Adressdaten auf, teilten die Datenschützer rund um Noyb-Gründer Max Schrems weiters mit. CRIF hingegen verwendet die Daten nach eigenen Angaben nur unter klar definierten Rahmenbedingungen, oder sofern dies vertraglich geregelt und in den Geschäftsbedingungen der CRIF-Kunden vorgesehen ist.

Auch Unternehmen als Quellen?
Dennoch sieht Noyb es besonders kritisch, dass eben auch Unternehmen wie Magenta, Drei, bank99 und Klarna als Quellen für die Verifizierung von Anschriften und Daten auftauchen. Bei diesen Unternehmen müssen sich Kundinnen und Kunden mit einem Ausweis identifizieren. „Diese geprüften Daten landen dann wohl bei der CRIF“, merkte Schrems an. „Ob das irgendwie legal sein kann, prüft Noyb nun“. „Magenta beauftragt die CRIF als externe Dienstleisterin mit Bonitätschecks“, heißt es dazu etwa von dem Telekom-Unternehmen. „Eine Weitergabe unserer Daten an Dritte oder eine Verwendung für eigene Zwecke ist nicht zulässig.“

Insolvenzen werden schneller gelöscht als Zahlungsverzug
Von rund 10 Prozent der Personen in Österreich verfügt die Kreditauskunftei laut den Datenschützern über Daten zur Zahlungserfahrung. Dabei handle es sich meist um Inkasso-Forderungen, auch wenn diese bereits bezahlt wurden. Übersteige der Betrag 20 Euro, werde diese Information bis zu 7 Jahre gespeichert, so der Vorwurf von Noyb. Unter den 2440 Testpersonen fanden sich nur 15 Insolvenzen. Noyb vermutet, dass dies auf eine EuGH-Rechtssprechung zurückzuführen ist. Demnach müssen diese Daten nach einem Jahr gelöscht werden. „Die Logik, warum eine Insolvenz schnell gelöscht wird, eine zu spät bezahlte Rechnung aber nicht, erschließt sich uns nicht“, sagte Schrems. Aber auch hier sieht sich die Kreditauskunftei im Recht: Man setze alle Datenschutzgesetze konsequent um. „Daten werden gelöscht, sobald die rechtlichen Voraussetzungen erfüllt sind“, teilte CRIF weiters mit.

Nicht in allen Fällen sah Noyb zudem einen triftigen Grund für Datenabfragen und vermutete präventive Abfragen oder eine Art „Background-Check“. „Es könnte sein, dass hier einige CRIF-Kunden selbst die DSGVO (Datenschutz Grundverordnung, Anm.) verletzt haben“, sagte Schrems – was CRIF wiederum bestreitet.

Frauen werden tendenziell besser bewertet
Auch die Qualität der Bonitätsbewertungen will sich die Datenschutzorganisation genauer ansehen: So erhielten Frauen tendenziell einen höheren Score als Männer. Zudem stieg die Bewertung mit dem Alter. Aber auch geografische Muster seien erkennbar. Daher sollen die Scores gemeinsam mit einem Professor für Finanzmathematik mit den tatsächlichen Finanzdaten der Betroffenen verglichen werden, ob die Bonitätsbewertungen statistisch belastbar sind. Sollte sich für Noyb der Verdacht erhärten, dass der CRIF-Score wenig bis gar nichts mit der individuellen Finanzlage zu tun hat, werde über weitere Schritte bis hin zu einer Sammelklage entschieden. Aber auch CRIF behält sich vor, rechtliche Schritte gegen die Vorgehensweise von Noyb zu setzen.