noyb reichte am 08.02.2021 eine DSGVO‑Beschwerde gegen den Bonitätsdatenanbieter KSV 1870 ein. Die österreichische Kreditauskunftei speichert ungefragt Daten von bislang unbekannten Personen, die ihr gesetzliches Recht auf Auskunft über ihre Daten ausüben.

Recht auf Auskunft als Datenschutz-Boomerang? Jeder hat das Recht zu erfahren, welche Daten ein Unternehmen über einen verarbeitet. Viele Betroffene haben aber Angst eine Auskunft zu beantragen, weil ein Unternehmen dann ja mehr Daten haben könnte als zuvor. So muss man mitunter einen Ausweis vorlegen oder Name, Anschrift und Geburtsdatum bekannt geben, damit man Auskunft erhält. Eigentlich ist diese Angst unbegründet: Unternehmen dürfen die Daten natürlich nur für die Beauskunftung nutzen und müssen sie dann wieder löschen. Nicht so beim Branchenführer der österreichischen Kreditauskunfteien, dem KSV.

KSV: Frage nach – und wir speichern dich… Der Betroffene hatte den KSV um eine Datenauskunft nach Artikel 15 DSGVO gebeten. Fristgerecht kam dann auch die Antwort, dass keine personenbezogenen Daten des Betroffenen verarbeitet werden. Zumindest bis jetzt. Darunter fand sich nämlich folgender Satz: „Nach Erhalt Ihrer Anfrage werden nunmehr in der Wirtschaftsdatenbank zu Ihrer Person die von Ihnen bekannt gegebenen Stammdaten im Rahmen der Ausübung des Gewerbes nach § 152 GewO verarbeitet.“

Diese Dreistigkeit ist erstaunlich. Der KSV erhält die Daten ausschließlich, um das Auskunftsbegehren zu beantworten, pflegt sie dann aber ungefragt in seine Datenbank ein. Mit diesen Daten werden dann Bonitätsscores berechnet, die der KSV an seine Kunden verkauft. Du willst wissen, ob der KSV deine Daten hat? Einfach nachfragen, schon hat er sie mit Sicherheit!“ Marco Blocher, Datenschutzjurist bei noyb.eu

Systematische Auffettung der Datenbank? Die Vorgehensweise des KSV hat System – noyb liegen mehrere ähnliche Fälle vor. War eine Person dem KSV unbekannt, wurden Name, Adresse und Geburtsdatum aus dem Auskunftsbegehren in der Datenbank gespeichert. War die Person schon bekannt, allerdings unter einer anderen Adresse, wurde die Datenbank anhand dieser Daten aktualisiert. Das Vorgehen des KSV verletzt das Prinzip der Zweckbindung gemäß Artikel 5(1)(b) DSGVO. Dieses besagt, dass Daten zu einem bestimmten Zweck erhoben werden müssen. Eine Weiterverarbeitung zu einem anderen Zweck ist nur gestattet, wenn dieser mit dem ursprünglichen Zweck vereinbar ist.

„Menschen stellen Auskunftsbegehren, um sich einer Datenverarbeitung bewusst zu werden – und gegebenenfalls dagegen vorzugehen. Dass gerade solche Begehren dazu führen, dass man in der Datenbank des KSV landet, ist grotesk.“ Marco Blocher, Datenschutzjurist bei noyb.eu

noyb schaut Datenhändlern auf die Finger. An Branchen, deren Kerngeschäft der Datenhandel ist, sind im Datenschutz besonders strenge Maßstäbe zu legen. Dies betrifft neben Kreditauskunfteien und Adressverlagen vor allem auch Big Tech- und Social Media-Unternehmen. Gerade weil diese Unternehmen Zugriff auf viele Daten haben, müssen sie besonders verantwortungsvoll damit umgehen.

 „Leider haben viele so genannte „data driven businesses“ ein komplett verfehltes Selbstverständnis. Sobald sie über Daten verfügen, machen sie damit im Wesentlichen was sie wollen – egal warum und auf welche Weise sie ursprünglich an diese Daten gelangt sind. Die DSGVO hat Konzepte wie die Zweckbindung eingeführt, um solches Treiben zu verhindern. Die Realität schaut im Moment leider noch vollkommen anders aus.“ Marco Blocher, Datenschutzjurist bei noyb.eu

NOYB