CRIF: Praktiken des Bonitätsprüfers unter der Lupe

Wenn man als Neukunde bei einem Unternehmen Produkte oder Dienstleistungen bestellt, setzt das im Hintergrund einige Prozesse in Gang. Das Unternehmen ist unter anderem interessiert daran, herauszufinden, wie hoch bei einem neuen Kunden das Risiko eines Zahlungsausfalls ist. Dafür werden die Dienste von sogenannten Kreditauskunfteien in Anspruch genommen. Eine der größten ist CRIF, ein italienisches Unternehmen, das in über 35 Ländern aktiv ist.

Hauptkriterium für Bonität ist die Adresse

Auch für österreichische Konsumenten vergibt es Bonitätsbewertungen, sogenannte „Scores“. Der Datenschützer Max Schrems und seine Organisation Noyb vermuten, dass diese Bewertungen wenig mit der tatsächlichen Kreditwürdigkeit von Kunden zu tun haben. Als Anhaltspunkte dafür dienen laut Schrems lediglich Angaben zu Alter, Geschlecht und Wohnadresse. Wo man wohnt, könnte ihm zufolge also maßgeblich dafür sein, ob man ein Produkt - etwa einen Kredit - nur mit einem gewissen Risikozuschlag erhält. Die Scores von Männern, jüngeren Menschen und Stadtbewohnern seien im Schnitt geringer. Das habe man durch mehrere Tests herausgefunden.

Über einen Kamm geschert zu werden sei ungerecht, deshalb versuche man, der Praxis auf den Grund zu gehen. Im Juni hat Noyb eine Aktion gestartet, bei der im Namen von Privatpersonen Daten bei CRIF angefordert wurden. Das ist dank der Datenschutzgrundverordnung möglich. CRIF hat die Daten geliefert und Noyb hat nun eine erste Auswertung vorgelegt, die zeigt, woher CRIF seine Informationen bezieht und welchen Unternehmen sie ihre Scores zur Verfügung stellt.

Daten stammten auch von Mobilfunkern

Abfragen für 2.440 Personen erweitern das Bild, das man bisher von den Geschäftspraktiken von CRIF hatte. Adresshändler sind die hauptsächlichen Datenquellen für die Auskunftei, von Inkassoinstituten bekommt CRIF Auskünfte zu Inkassofällen. Daneben bezieht das Unternehmen aber auch Daten vom Zahlungsdienstleister Klarna, der Post-Tochter Bank99, der Allianz Versicherung, den Telekom-Unternehmen T-Mobile und Drei und anderen.

Sie haben bei CRIF nicht nur Scores abgefragt. Ihre Kundendaten hat der Anbieter angeblich auch genutzt, um Adressen zu verifizieren. Ob das legal ist, prüft Noyb nun. Es sei bisher noch unklar, ob den Unternehmen bewusst war, wozu CRIF ihre Daten nutzte. T-Mobile teilt etwa mit, CRIF als externe Dienstleisterin mit Bonitätschecks zu beauftragen. „Eine Weitergabe unserer Daten an Dritte oder eine Verwendung für eigene Zwecke ist nicht zulässig.“

Bonität aus Neugier abgefragt

Noyb ist überzeugt, dass manche CRIF-Kunden ohne berechtigtes Interesse Bonitätsabfragen massenweise vornahmen,etwa weil es für einen Kauf auf Rechnung notwendig wäre. Manchmal seien Unternehmen wohl einfach nur neugierig gewesen, welche Bonität ein potenzieller Käufer hat. Noyb prüft nun eine Sammelklage. Die Datenschutzbehörde hat sich bisher stets mit Individualbeschwerden befasst, etwa wenn eine Person die ihr zugeschriebene Bonität nicht akzeptieren wollte. Die Verwendung bestimmter Datenquellen sei aber nicht generell unterbunden worden.

CRIF weist die Vorwürfe vehement zurück und sagt, sie basieren auf fehlerhaften Interpretationen. „Die aktuelle Kampagne von Noyb überschreitet Grenzen – sowohl rechtlich als auch ethisch“, sagt Österreich-Geschäftsführerin Anca Eisner-Schwarz.

Gesetzliche Grundlagen seien eingehalten worden

Das Unternehmen verarbeite Daten auf Basis klarer vertraglicher und gesetzlicher Grundlagen. Der Score basiere auf wissenschaftlich anerkannten statistischen Modellen zur Zahlungsausfallwahrscheinlichkeit. Schrems wird vorgeworfen, sich lediglich als „Aufdecker“ profilieren zu wollen und Geschäftsgeheimnisse zu verraten.