Aufgrund mehrerer Beschwerden erließ kürzlich die oberste Datenschutzbehörde Österreichs (DSB) gegen die Auskunftei CRIF GmbH (nachfolgend: CRIF) einen Bescheid, wonach die alleinige Verarbeitung der personenbezogenen Daten „Name, Adresse und Geburtsdatum“ zum Zwecke der Bonitätsbewertung nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genüge.

Hinweis: Zum besseren Verständnis sei auf die thematische Einführung zum Scoring & Bonitätsmanagement in unserem Blogbeitrag verwiesen.

Der Beschwerdeführer (vertreten durch den Verein noyb) setzte sich erst in einem zweiten Schritt gegen die Datenverarbeitung durch die österreichische Auskunftei CRIF zur Wehr (GZ: D124.3816 2023-0.193.268, veröffentlicht auf noyb.eu). Vorangegangen war ein Beschwerdeverfahren, in dem sich der Beschwerdeführer gegen die Weitergabe seiner personenbezogenen Daten „Name, Adresse und Geburtsdatum“ durch die AZ Direct Österreich GmbH (nachfolgend: AZ) an die CRIF wandte (GZ: D124.3817 2021-0.584.299).

Die AZ hatte die personenbezogenen Daten des Beschwerdeführers ursprünglich für Zwecke des Adressverlags und Direktmarketings erhoben und diese auf der Grundlage eines mit der CRIF bestehenden Vertrags an diese für Zwecke der Bonitätsbewertung weitergegeben (sog. Einmeldung, vgl. Einführung).

Die DSB führte im vorangegangenen Verfahren aus, dass diese zweckändernde Weiterverarbeitung der personenbezogenen Daten des Beschwerdeführers (Name, Adresse und Geburtsdatum) sowohl gegen den Zweckbindungsgrundsatz verstoßen hat, als auch nicht rechtmäßig erfolgt sei.

Begründung der DSB

Besonderes Augenmerk verdient die Begründung der DSB hinsichtlich der Prüfung der Rechtmäßigkeitsvoraussetzungen einer Zweckänderung gem. Art. 6 Abs. 1 lit. f in Verbindung mit Art. 6 Abs. 4 DSGVO:

Bei Prüfung der Vereinbarkeit des ursprünglichen Zwecks bei Datenerhebung (hier: „Adressverlags und Direktmarketing“) mit dem Zweck der beabsichtigten Weiterverarbeitung (hier: Bonitätsbewertung) führte die DSB das erhebliche Benachteiligungspotential als mögliche Folge im Sinne von Art. 6 Abs. 4 lit. d DSGVO an, das einer Bonitätsbewertung innewohnt, wenn diese ausschließlich auf Grundlage von Name, Adresse und Geburtsdatum gestützt wird.

Exkurs:

Bereits vor Inkrafttreten der DSGVO stellte in Deutschland das Bundesdatenschutzgesetz a.F. eine Bonitätsbewertung unter die Bedingung, dass diese nicht ausschließlich auf Grundlage von Anschriftendaten erfolgen dürfe, da hierbei das erhebliche Risiko einer Wohnortdiskriminierung (sog. „Redlining“) bestehe. Diese Regelung wurde in § 31 Abs. 1 Nr. 3 und 4 BDSG übernommen, sodass es nach aktueller Gesetzeslage in Deutschland durch nationales Gesetz untersagt ist, für die Berechnung des Wahrscheinlichkeitswerts (= Scorewert) ausschließlich Anschriftendaten zu nutzen.

Die deutsche Regelung formuliert im Hinblick auf das Problem des Redlining klare Vorgaben; eine entsprechende nationale Regelung existiert in Österreich nicht. Der deutschen Regelung wird jedoch entgegengehalten, dass der nationale Gesetzgeber mangels eindeutiger Öffnungsklausel nicht einseitig eine Interessenabwägung vorgeben dürfe; so auch in den Schlussanträgen des Generalanwalts Priit Pikamäe im derzeit erwarteten EuGH-Urteil.

Ergebnis der Prüfung durch die DSB und zweites Verfahren

Im Ergebnis kommt die DSB im vorangegangenen Verfahren somit zum dem Schluss, dass die zweckändernde Datenweitergabe durch die AZ an die CRIF nicht rechtmäßig erfolgt sei.

Im daran anknüpfenden zweiten Verfahren kam die DSB im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO schließlich zu dem Ergebnis, dass die fehlende Rechtmäßigkeit der vorangegangenen Datenverarbeitung (Erhebung durch AZ und Übermittlung an CRIF) die Unzulässigkeit der folgenden Datenverarbeitung durch die CRIF (Datenerhebung bei der AZ) als Empfängerin der personenbezogenen Daten des Beschwerdeführers nach sich ziehe (GZ: D124.3816 2023-0.193.268, veröffentlicht auf noyb.eu, Seite 12):

„[…] Nach der Rechtsprechung des Verwaltungsgerichtshofes bewirkt die rechtswidrige Ermittlung [Anm. des Verfassers: „Erhebung“] personenbezogenen Daten durch einen Verantwortlichen die Rechtswidrigkeit einer anschließenden Übermittlung durch denselben Verantwortlichen (Erkenntnis vom 23. Februar 2021, Ra 2019/04/0054, Rn 41 ff).

Diese Unrechtmäßigkeit der ursprünglichen Datenermittlung zieht in aller Regel die Unzulässigkeit der Datenverarbeitung durch den Empfänger nach sich (Art. 17 Abs. 1 lit. d DSGVO). […]“

Die DSB führt im Rahmen der Interessenabwägung aus, dass im wirtschaftlichen Interesse der CRIF an der Verarbeitung der personenbezogenen Daten zum Zwecke der Bonitätsbewertung als Geschäftsmodell kein zwingendes schutzwürdiges Interesse zu sehen sei, das den schutzwürdigen Gegeninteressen des Beschwerdeführers im gegenständlichen Fall entgegengehalten werden könne.

Fazit

Dieser Fall zeigt von welch existenzieller Bedeutung eine objektive datenschutzrechtliche Interessenabwägung und eine Datenschutz-Folgenabschätzung sein können. Die jüngsten Entwicklungen in Literatur und Rechtsprechung zeigen, dass sowohl Auskunfteien als auch mit diesen kooperierende Unternehmen gut beraten sind, die vorhandenen gesetzlichen Regelungen zum Bonitätsmanagement ernst zu nehmen und im Sinne der durch die DSGVO etablierten Rechenschaftspflicht tragfähige Abwägungen für etwaige behördliche Überprüfungen bereitzuhalten.

Aufgrund der aktuellen behördlichen Einschätzung der DSB darf die bei der CRIF vorherrschende Praxis zum Aufbau und Erhalt des eigenen Datenbestands (Kooperationsverträge mit Unternehmen der Privatwirtschaft) in datenschutzrechtlicher Hinsicht stark in Frage gestellt werden. Daher wird erwartet, dass die CRIF Rechtsmittel gegen den aktuellen Bescheid der DSB einlegen wird. Sofern der bestehende Bescheid bestätigt oder bereits vorher rechtskräftig wird, bedeutet dies, dass zahlreiche durch die CRIF unrechtmäßig erhobene Daten zu löschen sind und die Erhebungspraxis der CRIF auf Grundlage der zwischen CRIF und Unternehmen abgeschlossenen Verträge neu ausgerichtet werden muss.

Wir bleiben für Sie dran!