Nach einem Aufruf der Datenschutzorganisation noyb (Vorstandsvorsitzender ist Max Schrems) haben nach noyb-Angaben mehr als 2.400 Menschen in Österreich Auskunft über ihre bei der Kreditauskunft CRIF gespeicherten Daten verlangt. Die Ergebnisse sind laut den Datenschützern brisant: Über 40.000 Abfragen wurden ausgewertet, darunter mehr als 28.000 Bonitätsscores, heißt es. Erste Analysen deuten darauf hin, dass bestimmte Gruppen deutlich schlechter bewertet werden – etwa Männer oder Personen, die in größeren Städten leben.
Laut noyb nutzen zahlreiche bekannte Firmen die Informationen von CRIF. Darunter Banken wie die Erste Bank, Energieversorger wie der Verbund oder Mobilfunkanbieter wie Drei. Besonders pikant: Auch Konzerne wie T-Mobile, Allianz oder der Versandhändler Otto scheinen laut noyb-Auswertung nicht nur Daten abzufragen, sondern auch selbst Informationen an CRIF zu liefern – etwas, das die betroffenen Unternehmen bislang bestritten hatten.
Ein weiteres heißes Eisen: Die Datenbasis der CRIF stammt zu großen Teilen von Adresshändlern wie AZ Direct, dem Compass Verlag oder DPIT. Laut Rechtsprechung dürften diese Daten eigentlich nur zu Marketingzwecken verwendet werden, kritisiert noyb. Sollten die Urteile halten, müsste CRIF einen Großteil ihrer Datensätze löschen – und das beträfe fast die gesamte Bevölkerung Österreichs. noyb hat daher auch bei den Adresshändlern Auskunftsersuchen eingereicht, um die Herkunft der Daten zu klären.
Datenschutzaktivist Max Schrems spricht von einem "auf Sand gebauten" System, das seit Jahrzehnten durch mangelnde Kontrolle der Behörden Bestand habe. Besonders kritisch sehe er die angebliche Weitergabe von Ausweisdaten durch Banken und Telekomfirmen, die Kunden eigentlich gesetzlich eindeutig identifizieren müssen. Sollten diese geprüften Daten tatsächlich bei CRIF landen, sei das ein klarer Rechtsverstoß.
Die Auswertung zeige, dass bei mehr als 90 Prozent der Betroffenen keinerlei Zahlungsausfälle oder offene Rechnungen vermerkt seien. Dennoch würden Faktoren wie Anschrift, Geschlecht und Alter für die Bewertung herangezogen. Auffällig sei auch, unbezahlte oder verspätet bezahlte Forderungen bis zu sieben Jahre lang zu speichern – selbst wenn sie längst beglichen wurden. Insolvenzen hingegen würden bereits nach einem Jahr gelöscht.
Unter den größten Nutzern der CRIF-Daten steche laut noyb der schwedische Zahlungsanbieter Klarna hervor. Aber auch Allianz, Breuninger, Erste Bank oder Energieunternehmen greifen demnach regelmäßig auf die Datenbank zu. In manchen Fällen seien auch Abfragen von Kanzleien oder Immobilienfirmen erfolgt – selbst ohne erkennbaren Grund. noyb prüfe, ob hier nicht sogar einzelne CRIF-Kunden selbst gegen die Datenschutzgrundverordnung (DSGVO) verstoßen haben könnten.
Die Reaktion von CRIF Österreich ließ nicht lange auf sich warten. Geschäftsführerin Anca Eisner-Schwarz wies die Vorwürfe entschieden zurück. Man arbeite ausschließlich auf klarer gesetzlicher und vertraglicher Grundlage, die von noyb skizzierten Netzwerke gebe es nicht, heißt es. Auch der Vorwurf, dass Banken oder Telkos Ausweisdaten weiterreichen, sei abwegig. CRIF geht noch weiter und wirft Schrems vor, personenbezogene Daten der Betroffenen für eigene PR-Zwecke missbraucht zu haben.
„Die aktuelle Kampagne von noyb überschreitet Grenzen – sowohl rechtlich als auch ethisch“Anca Eisner-SchwarzGeschäftsführerin von CRIF Österreich
Das verletze nicht nur vertragliche Vereinbarungen, sondern auch die DSGVO, heißt es. Und: Während noyb behaupte, der Score sei in erster Linie aus Adressdaten konstruiert, spricht CRIF von "wissenschaftlich anerkannten Modellen", die verschiedene Parameter einbeziehen würden – darunter auch die Dauer der Geschäftstätigkeit, Plausibilität der angegebenen Adresse und mögliche Hinweise auf falsche Identitäten. Einkommen oder Vermögen würden hingegen niemals verarbeitet. Der Streit könnte nun juristisch weiter eskalieren.
