Datenschützer Max Schrems gab im Juni bekannt, eine Sammelklage gegen die Kreditauskunftei CRIF anzupeilen, die von fast jedem in Österreich Daten gesammelt hat, um die Kreditwürdigkeit mit, so der Vorwurf, fragwürdigen Methoden zu berechnen. „Wir haben mittlerweile für unsere 2.440 Teilnehmer, die die bei CRIF gespeicherten Daten zu ihrer Person abgefragt haben, rund 40.000 Abfragen
mit 28.000 Bonitätsscores erhalten“, heißt es bei der von Schrems gegründeten Datenschutzorganisation Noyb.. Noyb sieht die Vorgangsweise der Kreditauskunftei CRIF kritisch, wenn es um die Herkunft des Datenmaterials von CRIF geht. Aber auch bei der Beurteilung der Bonität von Konsumentinnen und Konsumenten sehen die Datenschützer offene Fragen.
CRIF wiederum sieht sich als Opfer einer „Kampagne“, teilte die Kreditauskunftei in einer Stellungnahme mit und ergänzt: „CRIF hat gewissenhaft auf Interaktion von Max Schrems zeitgerecht über den Sommer die gewünschten Informationen an noyb weitergegeben. Auch Rückfragen wurden in der gewünschten Zeit verlässlich durch CRIF beantwortet. Die nun veröffentlichten Punkte von noyb, die ohne vorherige Abstimmung mit CRIF kommuniziert wurden, werfen aus unserer Sicht erhebliche Fragen auf. Besonders kritisch sehen wir, dass in der Pressemitteilung von noyb Informationen nicht korrekt wiedergegeben wurden.“
Wie Noyb erklärt, soll CRIF die Adressdaten großteils von den Adressverlagen AZ Direct, dem Compass Verlag und DPIT beziehen. Allerdings dürften diese Verlage - so die Rechtsansicht von Noyb - die Adressdaten nur zu Marketingzwecken und nicht als Basis für die Bonitätsbewertung verkaufen. Aber auch Telekomgesellschaften, Energieanbieter und Banken scheinen als Quellen für Adressdaten auf, teilten die Datenschützer rund um Noyb-Gründer Max Schrems weiters mit. CRIF hingegen verwendet die Daten nach eigenen Angaben nur unter klar definierten Rahmenbedingungen, oder sofern dies vertraglich geregelt und in den Geschäftsbedingungen der CRIF-Kunden vorgesehen ist. „Es gibt kein Netzwerk, in dem Kunden miteinander verknüpft werden. Zudem behalten wir uns vor, dass wir geeignete Schritte zum Schutz unserer Kunden und Geschäftsinteressen prüfen und einleiten werden“, heißt es in der Stellungnahmne.
CRIF erhält Prüfauftrag von Unternehmen
Dennoch sieht Noyb es besonders kritisch, dass eben auch Unternehmen wie Magenta, Drei, bank99 und Klarna als Quellen für die Verifizierung von Anschriften und Daten auftauchen. Bei diesen Unternehmen müssen sich Kundinnen und Kunden mit einem Ausweis identifizieren. „Diese geprüften Daten landen dann wohl bei der CRIF“, merkte Schrems an. „Ob das irgendwie legal sein kann, prüft Noyb nun“. „Magenta beauftragt die CRIF als externe Dienstleisterin mit Bonitätschecks“, heißt es dazu etwa von dem Telekom-Unternehmen. „Eine Weitergabe unserer Daten an Dritte oder eine Verwendung für eigene Zwecke ist nicht zulässig.“ Und: „Jede Anfrage eines Vertragspartners von CRIF basiert auf einem berechtigten Interesse gemäß Artikel 6 Absatz 1 DSGVO.“
Bei CRIF weist man außerdem auf den Unterschied zwischen Bonität und Einkommen hin: Zwischen Bonität und Einkommen und Vermögen bestehe ein wesentlicher Unterschied: „CRIF verfügt über keinerlei Informationen zu Einkommen und Vermögen. Unsere Berechnung der Ausfallwahrscheinlichkeit basiert auf fundierten, international anerkannten versicherungsmathematischen und statistischen Analysemodellen.“ Adressdaten, die CRIF im Zuge einer Anfrage übermittelt werden, würden auch nicht automatisch in den Datenbestand einfließen – es sei denn, dies ist ausdrücklich vertraglich geregelt und in den AGB der CRIF-Vertragspartner vorgesehen.“
Insolvenzen schneller gelöscht als Zahlungsverzug
Von rund 10 Prozent der Personen in Österreich verfügt die Kreditauskunftei laut den Datenschützern über Daten zur Zahlungserfahrung. Dabei handle es sich meist um Inkasso-Forderungen, auch wenn diese bereits bezahlt wurden. Übersteige der Betrag 20 Euro, werde diese Information bis zu 7 Jahre gespeichert, so der Vorwurf von Noyb. Unter den 2.440 Testpersonen fanden sich nur 15 Insolvenzen. Noyb vermutet, dass dies auf eine EuGH-Rechtsprechung zurückzuführen ist. Demnach müssen diese Daten nach einem Jahr gelöscht werden. „Die Logik, warum eine Insolvenz schnell gelöscht wird, eine zu spät bezahlte Rechnung aber nicht, erschließt sich uns nicht“, sagte Schrems. Aber auch hier sieht sich die Kreditauskunftei im Recht: Man setze alle Datenschutzgesetze konsequent um. „Daten werden gelöscht, sobald die rechtlichen Voraussetzungen erfüllt sind“, teilte CRIF weiters mit.
Nicht in allen Fällen sah Noyb zudem einen triftigen Grund für Datenabfragen und vermutete präventive Abfragen oder eine Art „Background-Check“. „Es könnte sein, dass hier einige CRIF-Kunden selbst die DSGVO (Datenschutz Grundverordnung, Anm.) verletzt haben“, sagte Schrems - was CRIF wiederum bestreitet.
Männer schneiden tendenziell schlechter ab
Auch die Qualität der Bonitätsbewertungen will sich die Datenschutzorganisation genauer ansehen: So erhielten Frauen tendenziell einen höheren Score als Männer. Zudem stieg die Bewertung mit dem Alter. Aber auch geografische Muster seien erkennbar. Daher sollen die Scores gemeinsam mit einem Professor für Finanzmathematik mit den tatsächlichen Finanzdaten der Betroffenen verglichen werden, ob die Bonitätsbewertungen statistisch belastbar sind. Sollte sich für Noyb der Verdacht erhärten, dass der CRIF-Score wenig bis gar nichts mit der individuellen Finanzlage zu tun hat, werde über weitere Schritte bis hin zu einer Sammelklage entschieden. Aber auch CRIF behält sich vor, rechtliche Schritte gegen die Vorgehensweise von Noyb zu setzen.