Der rechtswidrige Adresshandel des Adresshändler Acxiom und der Kreditauskunftei CRIF Bürgel verstößt gegen die DSGVO und geltendes nationales Datenschutzrecht
Der Datenschutzverein none of your business (noyb) reichte darum am 18. Oktober 2021 Beschwerde gegen das Unternehmen und gegen den Adresshändler Acxiom ein. Es ist gängige Praxis, dass Wirtschaftsauskunfteien Adressen hinzukaufen. Auf die Art kam auch die Auskunftei CRIF Bürgel lange Zeit an frische Daten. Geliefert wurden vom Adresshändler Acxiom Adressen von Privatpersonen, die ursprünglich zum Zwecke des Direktmarketings erhoben wurden.
Nun wissen wir alle, das einer der Grundsätze der Datenschutz-Grundverordnung die Zweckbindung ist (Art. 5 DS-GVO). Es ist also verboten, Daten, die ursprünglich einmal für Direktmarketingaktionen gedacht waren, für die Berechnung von Bonitätsscores umzufunktionieren. Schlimmer noch: Im vorliegenden Fall, wird die Kreditwürdigkeit von mehr als 60 Millionen Deutschen aus bloßen Adress- und Geburtsdaten abgeleitet.
Damit verstößt die Wirtschaftsauskunftei CRIF Bürgel nicht nur gegen die DS-GVO sondern auch gegen geltendes Recht, da das Bundesdatenschutzgesetz ganz ausdrücklich verbietet, Bonitätsscores ausschließlich anhand von Adressdaten zu berechnen. Vielmehr müssen Positivdaten, wie z. B. vergangene Zahlungserfahrungen in die Berechnungen einfließen.
Darüber hinaus ist für die Zweckentfremdung der ursprünglich erhobenen Daten natürlich! die Einwilligung der betroffenen Personen erforderlich. Doch Fehlanzeige: Die betroffenen Personen wurden weder informiert geschweige denn wurde ihre Einwilligung durch CRIF Bürgel eingeholt.
Die meisten Betroffenen bemerken den Datenmißbrauch gar nicht – oder wenn überhaupt erst in Situationen, in denen es dann schon zu spät ist. Aus heiterem Himmel wird Verbrauchern der Abschluss eines Handyvertrags, ein Kredit oder z. B. der Kauf auf Rechnung verwehrt – ohne das ein ersichtlicher Grund vorliegt. Fast alle Deutschen sind betroffen. Laut Aussage der Wirtschaftsauskunftei CRFI Bürgel enthält die Datenbank Datensätze von beinahe aller am Wirtschaftsleben teilnehmenden Privatpersonen. In Zahlen bedeutet das: mehr als 62 Millionen Privatpersonen in Deutschland.
Wenn Sie wissen möchten, welche Daten CRIF Bürgel über Sie hat, woher diese stammen und ob und an wen die Daten weitergegeben wurden senden Sie eine Email an selbstauskunft@crifbuergel.de. Auskunftsersuchen müssen innerhalb von 30 Tagen beantwortet werden. Ein Musteranschreiben können Sie hier herunterladen.
Noch ein Wort: Das Unternehmen (im Fachjargon: der Verantwortliche) wird Sie bitten, sich eindeutig zu identifizieren. Das geschieht bei Auskunftsersuchen in der Regel über die Übersendung einer Personalausweiskopie. Soweit ist das auch ok – aber: Gerät ein Personalausweis in die falschen Hände, kann damit sehr viel Unfug angestellt werden. Darum überlegen Sie sich ganz genau, ob Sie Ihren Personalausweis wirklich per Mail und dann wohlmöglich sogar noch unverschlüsselt auf die Reise durch’s Internet schicken wollen? Besser geeignet ist da der gute alte Brief.
Wirtschaftsauskunfteien benötigen zur eindeutigen Identifizierung auch nicht alle Informationen: Angaben, die für die Identifizierung nicht notwendig sind (Seriennummer, Größe, Augenfarbe etc.), sind zu schwärzen. Das ergibt sich aus dem Prinzip der Datensparsamkeit.
Und last but not least verlangen Sie vom Veranwortlichen eine Nachweis der Löschung Ihrer Ausweisdaten, da die reine Einsichtnahme mit Nachweisvermerk zur eindeutigen Identifizierung ausreicht. Eine Speicherung hingegen kann für Sie eine Gefahr darstellen (im Falle einer Cyberattacke) und ist auch nicht nötig – auch hier gilt der Grundsatz der Datensparsamkeit.
Brauchen Sie Unterstützung und überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!
Ansprechpartner:
Anke Blömer
Datenschutzbeauftragter Münsterland
Telefon: 0 25 43 / 9 30 20 29