Adresshändler gewinnen in der breiten Masse wohl keine Popularitätspreise, ebenso wenig wie Kreditauskunfteien. Beide betreiben aber in Österreich ein legales Geschäft. Erstere sammeln Daten und dürfen diese auch zum Zweck der gezielten Werbung weiterverkaufen. Letztere versuchen aus öffentlich einsehbaren Daten eine Aussage über die Kreditwürdigkeit einzelner Personen zu erstellen. Noch einmal: Das ist in Österreich alles legal.

Doch was passiert, wenn ein Adresshändler seine Daten an eine Kreditauskunftei verkauft und diese dann meint, daraus Bonitätsscores erstellen zu können? Dann ist das eine Datenschutzverletzung und ein Verstoß gegen die DSGVO, das sieht man auch bei der österreichischen Datenschutzbehörde so. Im Frühjahr 2023 sorgte genau so ein Fall für Aufsehen: Die Kreditauskunftei CRIF GmbH kauft im großen Stil Daten vom Adresshändler AZ Direkt. Die Auskunftei gelangt so an Informationen, die eigentlich zu Werbezwecken erhoben wurden. Datenschützer sehen darin einen klaren Gesetzesverstoß, bei CRIF hingegen betont man, dass schon Monaten keine Daten mehr gehandelt werden.

Weitergabe für Werbung, nicht für Bonitätsprüfungen

Die Datenschutz NGO Noyb klagt nun im Namen mehrerer Betroffener die beiden Unternehmen auf Unterlassung und Schadenersatz. Man hätte den Datenschutzverstoß zum Geschäftsmodell erhoben, so der Vorwurf der Juristinnen und Juristen von Noyb in der Klage, die dem STANDARD vorliegt.

Das Geschäftsmodell geht so: Der Adressverlag AZ Direct (Teil der Bertelsmann-Gruppe) gibt regelmäßig persönliche Informationen wie Name, Anschrift, Geburtsdatum und Geschlecht von Österreicherinnen und Österreichern an die Kreditauskunftei CRIF weiter. Adressverlage dürfen diese Daten aber eigentlich nur zu Werbezwecken weitergeben, wie auch von der österreichischen Datenschutzbehörde festgestellt wurde.

Die Datenschutzbehörde (DSB) hat in zwei Bescheiden entschieden, dass dieses Vorgehen rechtswidrig ist: Der heimliche Datenhandel ist nicht mit dem datenschutzrechtlichen Prinzip der Zweckbindung vereinbar.

Damit sollte der Fall eigentlich erledigt sein, doch die Behörde hat zwar einen Datenschutzverstoß festgestellt, Konsequenzen gab es aber keine, kritisiert man bei Noyb. Eine Berufung der beiden Unternehmen gegen den Bescheid der Datenschutzbehörde wurde bislang noch nicht behandelt. Deshalb hat die NGO im Namen von sieben betroffenen Personen eine Klage beim Landesgericht für Zivilsachen Wien eingereicht.

Datenverarbeitung soll gestoppt werden

"AZ Direct und CRIF bereichern sich weiterhin illegal an den Daten von Millionen Menschen in Österreich – und die Datenschutzbehörde hat bisher nichts unternommen, um den illegalen Datenhandel dauerhaft zu unterbinden. Wir sehen deshalb keine andere Möglichkeit, als uns an die Zivilgerichte zu wenden", so Max Schrems, Vorsitzender von Noyb.

Die Klage zielt darauf ab, eine Unterlassung zu erwirken. CRIF und AZ Direct soll also verboten werden, mit der Datenverarbeitung fortzufahren. Darüber hinaus fordert Noyb immateriellen Schadenersatz für die betroffenen Personen. CRIF und AZ Direct müssen deshalb darlegen, wie viel Geld sie pro betroffener Person verdient haben, und dieses Geld dann herausgeben, fordert der Datenschützer. "CRIF und AZ Direct handeln hinter dem Rücken der betroffenen Personen mit Millionen Datensätzen, ohne die dafür notwendigen Einwilligungen einzuholen. Wir sind überzeugt, dass hier ein angemessener Schadenersatz zuzusprechen sein wird."

Sieben Millionen Menschen in Österreich betroffen

AZ Direct hat laut Angaben von Schrems die Daten von sieben Millionen Österreicherinnen und Österreichern an CRIF weitergegeben. All diese Personen hätten, so Schrems, die Möglichkeit, gegen die rechtswidrige Verarbeitung ihrer Daten zu klagen. Aktuell prüfe man, wie man solche Ansprüche in einem Sammelklageverfahren geltend machen könne, so Schrems.

Potenziell betroffenen Personen empfiehlt Max Schrems trotz allem, selbst ein Auskunftsbegehren bei der CRIF zu stellen und Beweise zu sammeln.

In einer Stellungnahme gegenüber dem STANDARD schrieb die CRIF, dass die Klage gegenstandslos sei, da man seit 17. Oktober 2023 keinerlei Adressdaten von AZ Direct zur Bonitätsbewertung mehr einhole. "Dies erfolgt freiwillig und unabhängig vom Ausgang des aufgrund von Einsprüchen noch laufenden Verfahrens bei der Datenschutzbehörde", teilte das Unternehmen mit. Adressdaten von AZ Direct kämen nur unter Beachtung aller Datenschutzbestimmungen ausschließlich zur Identitätsüberprüfung zum Einsatz, betont man bei dem Unternehmen. "Die Unterlassungsklage von "noyb" ist damit sachlich und inhaltlich unbegründet und gegenstandslos, worüber CRIF auch die zuständigen Behörden informieren wird."

AZ Direct will sich nicht zu einem laufenden Verfahren äußern. "Die Bescheide, auf die sich die Anfrage bezieht, sind beide vor mehr als einem Jahr ergangen. Die AZ Direkt hat gegen diese Bescheide Berufung eingelegt, über die noch nicht entschieden ist", teilte ein Unternehmenssprecher auf Nachfrage des STANDARD mit. (pez, 4.12.2023)