CRIF-Analyse zeigt: Staatliche Register werden für Datenhandel zweckentfremdet

Eine umfassende Untersuchung der Datenschutzorganisation noyb bringt Licht in die Herkunft von Millionen Datensätzen bei der Kreditauskunftei CRIF. Die Analyse von über 2.400 Datenauskünften zeigt: Adresshändler greifen systematisch auf staatliche Register zu – vom Firmenbuch über das Vereinsregister bis zum Gewerberegister. Die eigentlichen Zwecke dieser Register spielen dabei keine Rolle.

Grafik Quelle: noyb

Adresshändler beziehen Daten aus staatlichen Registern

Die österreichische Kreditauskunftei CRIF erhält den überwiegenden Teil ihrer Adressinformationen von drei Anbietern: AZ Direct (Teil des Bertelsmann-Konzerns), dem Compass Verlag und DPIT aus Wien. Eine aktuelle Auswertung von noyb auf Basis von mehr als 2.400 Auskunftsersuchen zeigt nun, woher diese Intermediäre ihre Informationen beziehen.

Die Antworten der Adresshändler belegen: Hauptquelle sind öffentlich zugängliche Register wie Firmenbuch, Grundbuch, das Zentrale Vereinsregister (ZVR) und das Gewerbeinformationssystem GISA. Der Compass Verlag nennt zudem die Wirtschaftskammer Österreich als Datenlieferant.

„Diese Register dienen eigentlich der Dokumentation von Eigentumsverhältnissen, Berechtigungen und Vertretungsbefugnissen“, erklärt Max Schrems, Vorsitzender von noyb. „Sie wurden nicht geschaffen, um kommerziellen Datenhandel zu ermöglichen.“

Welche Daten werden erfasst

Bei der Datenerhebung konzentrieren sich die Händler auf persönliche Stammdaten: Namen, Geburtsdaten und Wohnadressen. Die eigentlichen Registerinformationen – etwa zu Eigentum oder gewerblichen Tätigkeiten – finden keinen Eingang in die Bonitätsbewertung.

Betroffen sind potenziell alle Personen, die in einem dieser Register aufscheinen: Selbstständige im Gewerberegister, Immobilieneigentümer im Grundbuch, Vereinsfunktionäre im ZVR oder Firmenbucheinträge. Schrems formuliert es so: „Die Register werden als Adressverzeichnis verwendet, nicht für ihren ursprünglichen Zweck der rechtlichen oder wirtschaftlichen Nachweisführung.“

Fehlende technische Schutzmaßnahmen

Die Digitalisierung staatlicher Register ermöglicht grundsätzlich effizientere Abfragen – etwa zur Überprüfung von Gewerbeberechtigungen oder Eigentumsverhältnissen. Gleichzeitig scheinen elementare Schutzmaßnahmen gegen automatisierte Massenabfragen zu fehlen.

Weder Captcha-Systeme noch IP-basierte Abfragelimits oder vertragliche Nutzungsbeschränkungen für Schnittstellen sind offenbar flächendeckend implementiert. „Technische und rechtliche Vorkehrungen gegen massenhaftes Scraping für fremde Zwecke existieren in Österreich nicht“, kritisiert Schrems. „Personen, die ihre Privatsphäre schützen möchten, werden durch staatliche Stellen exponiert.“

Rechtliche Bewertung: Verstoß gegen Zweckbindung

Nach Artikel 5 Absatz 1 Buchstabe b der DSGVO gilt der Grundsatz der Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Die kommerzielle Nutzung von Registerdaten durch Adresshändler steht dazu in Widerspruch.

Die österreichische Datenschutzbehörde hat bereits in einem Fall zum Grundbuch entschieden, dass eine Weiterverarbeitung für Werbezwecke rechtswidrig ist. Auch die EuGH-Rechtsprechung zum „Recht auf Vergessenwerden“ stellt klar: Selbst rechtmäßig veröffentlichte Daten dürfen nicht beliebig weitergenutzt werden.

„Die öffentliche Zugänglichkeit von Daten legitimiert nicht deren Verwendung für jeden beliebigen Zweck“, betont Schrems. Als Vergleich nennt er das Filmen von Personen im öffentlichen Raum – auch dies sei nicht ohne Weiteres zulässig.

AZ Direct: Keine Quellenangaben für 7 Millionen Datensätze

Besonders problematisch stellt sich die Situation bei AZ Direct dar. Der Bertelsmann-Ableger hat trotz gesetzlicher Auskunftspflicht bei nahezu keinem der 2.400 Teilnehmenden konkrete Datenquellen benannt. Gleichzeitig hat das Unternehmen mehr als 7 Millionen Datensätze an CRIF geliefert.

„Eine Bertelsmann-Tochter, die personenbezogene Daten von 7 Millionen Menschen in Österreich verarbeitet, gibt vor, deren Herkunft nicht zu kennen“, kommentiert Schrems. „Betroffene haben keine Möglichkeit zu überprüfen, ob ausschließlich legale Quellen verwendet wurden.“

Weitere Schritte: Auswertung und mögliche Sammelklage

Parallel läuft die statistische Analyse der erhaltenen Kreditscores. In Kooperation mit einem Professor für Finanzmathematik werden über 28.000 Scores mit den tatsächlichen Finanzdaten der Teilnehmenden verglichen.

Erste Indizien deuten darauf hin, dass der CRIF-Score bei der Mehrheit der Bevölkerung – etwa 90 Prozent, die ihre Zahlungsverpflichtungen erfüllen – hauptsächlich auf demografischen Faktoren basiert: Alter, Geschlecht und Wohnadresse. Eine verlässliche individuelle Risikoeinschätzung scheint in diesen Fällen nicht gegeben.

Nach Abschluss der Auswertung in den kommenden Wochen wird noyb entscheiden, ob eine großangelegte Sammelklage eingereicht wird. Bei rechtswidriger Datenverarbeitung könnten Schadenersatzansprüche für Millionen Betroffene entstehen.

Auch interessant: