CRIF Datenschutz: Schutz Ihrer Daten

Datenschutz

Allgemeines

Datenschutz und Informationssicherheit sind für die CRIF GmbH (kurz „CRIF“ bzw. „wir“), Rothschildplatz 3/Top 3.06.B, 1020 Wien, als datenschutzrechtliche Verantwortliche die Basis für stabile und erfolgreiche Kundenbeziehungen und haben einen hohen Stellenwert in unserer Unternehmensgruppe. Aus diesem Grunde ist uns der Schutz Ihrer personenbezogenen Daten (kurz „Daten“) ein wichtiges Anliegen.

Wir beachten beim Umgang mit Daten alle relevanten Vorschriften – insbesondere jene der Datenschutz-Grundverordnung (DSGVO) sowie des Telekommunikationsgesetzes (TKG) – in der jeweils gültigen Fassung. Darüber hinaus haben wir die für einen angemessenen Datenschutz erforderlichen technischen und organisatorischen Maßnahmen getroffen.

Nachfolgend möchten wir Sie ausführlich gemäß Art 13 und 14 DSGVO darüber informieren, welche Daten die CRIF verarbeitet.

1. Websites

1.1. Betrieb und Anzeige der Website

Unsere Websites www.crif.at, www.crif-online.at sowie www.mycrifdata.at (kurz „Websites“) werden von der CRIF über Server unserer Dienstleister (siehe Abschnitt Empfänger unten) betrieben.

Zwecke

Beim Besuch unserer Websites werden Ihre Daten verarbeitet, um

Ihnen die Website anzuzeigen;
Cyberattacken und andere unberechtigte Zugriffe zu erkennen und abzuwehren.

Verarbeitete Datenkategorien

Im Zuge Ihres Besuchs unserer Websites verarbeiten wir jene Daten, die uns von Ihrem Internetbrowser übermittelt werden. Dazu zählen insbesondere:

Datum und Uhrzeit des Besuchs unserer Websites
IP-Adresse
Name und Version Ihres Webbrowsers
Browser-Einstellungen
Betriebssystem

Rechtsgrundlage

Zur Verfügungstellung eines ausdrücklich gewünschten Dienstes:

Die Datenverarbeitung zum Zweck der Anzeige der Website erfolgt, um Ihnen einen von Ihnen ausdrücklich gewünschten Dienst, nämlich unsere Website, zur Verfügung zu stellen (§ 165 Abs 3 TKG).
Berechtigte Interessen:

Die Verarbeitung der Logfiles, die zum Zweck der Erkennung und Abwehr von Cyberattacken oder anderer unberechtigter Zugriffe verarbeitet werden, basiert auf Grundlage unseres berechtigten Interesses an der Sicherheit unserer Website (Art 6 Abs 1 lit f DSGVO).

Weiters verarbeiten wir alle genannten Datenkategorien auch auf Grundlage unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) an der Durchführung von Fehler- und Verfügbarkeitsanalysen, um Cyberangriffen frühzeitig vorzubeugen.

Erforderlichkeit der Bereitstellung bei Direkterhebung

Für den Betrieb der Website ist es notwendig, gewisse Daten, durch die ein Personenbezug hergestellt werden kann, zu verarbeiten. Es besteht für Sie grundsätzlich keine Verpflichtung, diese Daten bereitzustellen. Ohne Bereitstellung dieser Daten können Sie unsere Website allerdings nicht nutzen.

Empfänger

Cloudflare

Auf unseren Websites verwenden wir ein sog. Content Delivery Network ("CDN") und Sicherheitsdienste des Technologiedienstleisters Cloudflare, Inc., 101 Townsend St. San Francisco, CA 94107, USA ("Cloudflare"). Bei einem Content Delivery Network handelt es sich um einen Online-Dienst, mit dessen Hilfe insbesondere große Mediendateien (wie z.B. Grafiken, Seiteninhalte oder Skripte) durch ein Netz regional verteilter und über das Internet verbundener Server ausgeliefert werden.

Weiters schützt Cloudflare unsere Websites vor Angriffen, verbessert die Ladezeit durch ein Netzwerk von Servern und hilft uns bei der Optimierung der Ladegeschwindigkeiten unserer Websites. Der Zugriff von Cloudflare erfolgt gemäß Art 6 Abs 1 lit f DSGVO auf Basis unseres berechtigten Interesses an der sicheren und effizienten Bereitstellung unserer Dienste, an der Abwehr von Angriffen und Missbrauch sowie an der Verbesserung der Stabilität und Funktionalität unserer Website. Durch den Einsatz der Data Localization Suite werden Daten nur innerhalb der EU gespeichert und verarbeitet.

Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare unter https://www.cloudflare.com/de-de/trust-hub/privacy-and-data-protection

• Betreiber der Websites als Auftragsverarbeiter:

o Für den Betrieb von www.crif.at wird unsere Konzernmutter CRIF S.p.A., Via della Beverara 21, 40131 Bologna, Italien als Dienstleister eingesetzt.

o Für den Betrieb von www.mycrifdata.at wird unser Dienstleister Reinhard Janits, Siezenheimer Straße 39A, 5020 Salzburg als Dienstleister eingesetzt.

o Für den Betrieb von www.crif-online.at wird Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Dublin 18, D18 P521 Dublin, Irland, (in der Folge „Microsoft Ireland“) als Dienstleister eingesetzt.

Drittlandübermittlung:

Der Sitz von Cloudflare befindet sich in den USA. Cloudflare ist unter dem EU-US Datenschutzrahmen zertifiziert, mit dem die EU-Kommission in Form eines Angemessenheitsbeschlusses entschieden hat, dass solche zertifizierten Unternehmen über ein angemessenes Datenschutzniveau verfügen.

Wir haben mit Microsoft Ireland die Verarbeitung innerhalb der Microsoft EU-Datengrenze vereinbart. Beim Einsatz von Microsoft Ireland kann eine Drittlandübermittlung aufgrund des US-Bezugs des Mutterkonzerns Microsoft Corporation und der dort herrschenden Rechtslage (CLOUD-Act, FISA) aber dennoch nicht gänzlich ausgeschlossen werden.

Die Microsoft Corporation ist unter dem zwischen der EU-Kommission und den USA abgeschlossenen Datenschutzrahmen zertifiziert (Angemessenheitsbeschluss gemäß Art 45 Abs 1 DSGVO). Für den Wegfall des Angemessenheitsbeschlusses haben wir nachgelagerte Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/915 der Kommission) mit Microsoft Ireland abgeschlossen (Art 46 Abs 2 lit c DSGVO). Diese sind bei Wegfall des Angemessenheitsbeschlusses auf Anfrage verfügbar.

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Die Daten werden für einen Monat gespeichert. Zugleich kann eine längere Speicherung erfolgen, soweit dies erforderlich ist, um festgestellte Angriffe auf unsere Website zu untersuchen oder wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich wird.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

1.2. Cookies

Zur Verbesserung des Betriebs unserer Websites greifen wir auf „Cookies“ zurück. Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden kann, wenn Sie eine Website besuchen. Grundsätzlich werden Cookies verwendet, um Nutzern zusätzliche Funktionen auf einer Webseite zu bieten. Cookies können auf keine anderen Daten auf Ihrem Computer zugreifen, diese lesen oder verändern. Weitere Informationen zu den von uns verwendeten Cookies finden Sie gerne in unserer Cookie Policy.

2. Informationen nach Art 14 DSGVO

Dieser Abschnitt der Datenschutzinformation richtet sich an Sie, wenn Sie (potenzieller) Kunde unseres Kunden sind und unser Kunde Informationen zu Ihnen abgefragt hat.

Hinweis: Die Datenschutzinformation betrifft ausschließlich die Verarbeitung Ihrer Daten durch uns. Wir haben keinen Einfluss auf die weitere Verarbeitung Ihrer Daten durch unseren Kunden.

2.1. Identifikation

Zweck

Wir verarbeiten Ihre Daten, um sie unseren Kunden zur Prüfung der Identität ihrer Kunden, potenziellen Kunden und Interessenten sowie zu deren Altersverifikation und der Erfüllung von gesetzlichen Prüfpflichten unserer Kunden (insbesondere iZm Verbraucherkrediten und dem Spielerschutz) zur Verfügung zu stellen.

Verarbeitete Datenkategorien

• Vorname

• Nachname

• Geburtsdatum

• Adresse

Rechtsgrundlagen

Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO):

o Unser berechtigtes Interesse liegt in der Bereitstellung unserer Produkte und der Erbringung von Dienstleistungen im Bereich der Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 („GewO“). Hierbei handelt es sich um ein allgemein und von der Rechtsordnung anerkanntes Interesse.

o Das berechtigte Interesse unserer Kunden – auch berechtigte Interessen Dritter sind gemäß Art 6 Abs 1 lit f DSGVO zu berücksichtigen – besteht in der Identifizierung ihrer potentiellen Vertragspartner, unter anderem zur Bekämpfung von Identitätsmissbrauch und Onlinebetrug , in der Überprüfung des Alters für Zugänge zu Produkten oder Dienstleistungen, die erst ab einem bestimmten Alter konsumiert werden dürfen, wie auch in der sicheren und dokumentierten Einhaltung gesetzlicher Verpflichtungen, denen sie unterliegen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Die oben angeführten Datenkategorien erheben wir von nachstehenden Quellen:

• Kunden der CRIF als (potenzielle) Vertragspartner/Gläubiger von Ihnen

• Partner der CRIF (insb. Inkassoinstitute und Rechtsanwälte)

• Dienstleister im Bereich Missbrauchsprävention, die Datenbanken mit Kennnummern von Endgeräten führen, sowie Dienstleister im Bereich der Identitätsprüfung

• Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO

• öffentlich zugängliche Quellen, wie insbesondere Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Gewerberegister, Webseiten

• Gesellschaften, die unserem Konzern angehören (Übersicht der Konzerngesellschaften: https://www.crif.com/about-us/our-global-presence/) – insbesondere erheben wir Daten bei der CRIF GmbH, Leopoldstr. 244, 80807 München, Deutschland (https://crif.de/datenschutz/ – in der Folge „CRIF Deutschland“), der CRIF AG, Hagenholzstrasse 81, 8050 Zürich, Schweiz (https://www.crif.ch/dsgvo/ – in der Folge „CRIF Schweiz“) sowie bei unserer Muttergesellschaft, CRIF S.p.A, (https://service.synesgy.com/global/#InfoPrivacy und https://www.crif.it/privacy-policy/ - in der Folge „CRIF Italien“).

Empfänger

• Kunden/Partner der CRIF mit berechtigtem Interesse an den jeweils bereitgestellten Informationen, insbesondere Unternehmen der Kreditwirtschaft und des (Internet-)Handels, die gegenüber betroffenen Personen in Vorleistung treten (z.B. Kauf auf offene Rechnung, Kreditvergabe, Kreditkartengeschäft, Versicherungen, Leasinggesellschaften, etc.), Unternehmen, die gesetzlichen Prüfpflichten unterliegen sowie Vermieter;

• Gesellschaften, die unserem Konzern angehören (siehe oben)

- CRIF Italien (siehe oben);

- CRIF Deutschland (siehe oben), welche die übermittelten Daten zum Betrieb ihres Auskunftei- und Adresshandelsgeschäfts verarbeitet und deren Datenschutzerklärung mit näheren Informationen zur Datenverarbeitung unter www.crif.de/datenschutz eingesehen werden kann;

- CRIF Schweiz (siehe oben), welche die übermittelten Daten zum Betrieb ihres Auskunftei- und Adresshandelsgeschäfts verarbeitet und deren Datenschutzerklärung mit näheren Informationen zur Datenverarbeitung unter https://www.crif.ch/dsgvo/ eingesehen werden kann;

• Rechtsvertreter, Gerichte und Behörden;

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Adressdaten (Vorname, Nachname, Geburtsdatum, Adresse, Telefonnummer, E-Mailadresse): Zehn (10) Jahre nach der letzten Adressbestätigung oder Kundenabfrage.

• Abfragedaten durch unsere Kunden: Sieben (7) Jahre nach der Abfrage (§ 152 Abs 2 GewO sowie § 132 Abs 1 BAO).

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

2.2. Betrugsprävention, Bekämpfung von Geldwäsche und Terrorismusfinanzierung

Zweck

Wir verarbeiten Ihre Daten, um unseren Kunden Dienstleistungen zum Zweck der Betrugsprävention anbieten und zur Verfügung stellen zu können, die beispielsweise bei mehreren zeitgleich abgeschlossenen Mobilfunkverträgen zum Tragen kommen oder für die Frage, ob tatsächlich ein “echter” Kunde hinter einer angeführten Identität steckt. Dies betrifft insbesondere unsere Kunden aus dem Telekommunikations- sowie dem Banken- und Versicherungssektor sowie im Onlinehandel. Unsere Produkte und Dienstleistungen helfen unseren Kunden dabei, Betrugsversuche zu verhindern oder zu reduzieren. Wir verarbeiten Ihre Daten auch, um sie unseren Kunden aus dem Finanz- und Nicht-Finanzbereich zum Zweck der Bekämpfung von Geldwäsche und Terrorismusfinanzierung zur Verfügung zu stellen.

Verarbeitete Datenkategorien:

• Vorname

• Nachname

• Geburtsdatum

• Adresse

• Sowie folgende Parameter zur Erkennung von Scheinidentitäten:

o Wie lange die Person bei CRIF bekannt ist

o Anzahl der Quellen, aus denen die Person bei CRIF bekannt ist

o Zahlungserfahrungsdaten

o Art der einmeldenden oder bestätigenden Quellen: z.B. Postumzug, Firmenbuch, Adressverlage, Inkassobüros

o Zeitpunkt der Einmeldung oder der letzten Bestätigung

o Anzahl der bekannten Telefonnummern

Rechtsgrundlagen

Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO):

o Unser berechtigtes Interesse liegt in der Bereitstellung unserer Produkte und die Erbringung von Dienstleistungen im Bereich der Auskunftei über Kreditverhältnisse gemäß § 152 GewO. Hierbei handelt es sich um ein allgemein und von der Rechtsordnung anerkanntes Interesse.

o Das berechtigte Interesse unserer Kunden – auch berechtigte Interessen Dritter sind gemäß Art 6 Abs 1 lit f DSGVO zu berücksichtigen – besteht in der Bekämpfung von Betrug (Betrugsprävention), Geldwäsche und Terrorismusfinanzierung sowie der Wahrung allfälliger damit verbundener gesetzlicher Verpflichtungen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Ihre personenbezogenen Daten erheben wir von nachstehenden Quellen:

• Kunden der CRIF als (potenzielle) Vertragspartner/Gläubiger von Ihnen

• Partner der CRIF (insb. Inkassoinstitute und Rechtsanwälte)

• Dienstleister im Bereich Missbrauchsprävention, die Datenbanken mit Kennnummern von Endgeräten führen, sowie Dienstleister im Bereich der Identitätsprüfung

• Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO

• öffentlich zugängliche Quellen, wie insbesondere Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Gewerberegister, Webseiten

• Gesellschaften, die unserem Konzern angehören (siehe oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Empfänger

• Gesellschaften, die unserem Konzern angehören - eine Liste der Konzerngesellschaften findet sich unter folgendem Link: https://www.crif.com/about-us/our-global-presence/; zu diesen Gesellschaften zählen insbesondere

- CRIF Italien (siehe oben);

• Rechtsvertreter, Gerichte und Behörden;

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Adressdaten (Vorname, Nachname, Geburtsdatum, Adresse, Telefonnummer, E-Mailadresse) sowie Parameter zur Erkennung von Scheinidentitäten: Zehn (10) Jahre nach der letzten Adressbestätigung oder Kundenabfrage.

• Abfragedaten durch unsere Kunden: Sieben (7) Jahre nach der Abfrage ((§ 152 Abs 2 GewO sowie § 132 Abs 1 BAO)

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

2.3. Auskunft über Zahlungsausfallswahrscheinlichkeit

Zweck

Die Auskunft über Zahlungsausfallswahrscheinlichkeiten soll Kreditgebern aussagekräftige Informationen über vorhandene oder auch potenzielle Kreditnehmer, und zwar insbesondere über die Art und Weise ihrer bisherigen Schuldenbegleichung, zur Verfügung stellen. Kreditgeber sind in diesem Zusammenhang alle (natürlichen oder juristischen) Personen, die ihre Leistung gegenüber dem Kreditnehmer erbringen, bevor der Kreditnehmer bezahlt hat. Dies ist zB auch der Fall bei Kauf auf Rechnung oder in Raten, bei Versicherungen oder Leasinggesellschaften.

Durch die Erteilung der Auskunft über die Zahlungsausfallswahrscheinlichkeit soll es Kreditgebern ermöglicht werden, die Wahrscheinlichkeit, mit der die Forderung des Kreditgebers am Ende befriedigt wird zu bestimmen, und allenfalls die Prognose, mit wie vielen Schwierigkeiten das verbunden ist anzustellen.

Verarbeitete Datenkategorien

• Negative Zahlungserfahrungsdaten (Negativdaten)

o In der CRIF-Datenbank werden allerdings nur Zahlungserfahrungsdaten gespeichert, die sich auf Informationen beziehen, die einen qualifizierten Verzug mit der Erfüllung einer fälligen Forderung betreffen, sofern die offene Forderung vom Gläubiger (Ihrem Vertragspartner) qualifiziert, also unter Setzung einer angemessenen Nachfrist, zweimal eingemahnt wurde und von Ihnen unbestritten blieb.

o Zu berücksichtigen ist insbesondere, dass auch bereits beglichene („positiv erledigte“) Forderungen diesbezüglich relevante Daten darstellen und daher von uns verarbeitet werden. Der Umstand, dass eine Forderung erst nach zweimaliger qualifizierter Mahnung bzw. Betreibung durch Inkassoinstitute oder Rechtsanwälte beglichen wird, bedeutet einen zumindest temporären Zahlungsausfall und resultiert damit in einem Kreditierungsrisiko bezüglich künftiger Rechtsgeschäfte.

o Um ein sachlich richtiges Bild der zu einer Person gespeicherten bonitätsrelevanten Daten betreffend ihre Zahlungsausfallswahrscheinlichkeit zu vermitteln und damit dem Grundsatz der Datenrichtigkeit nach Art 5 Abs 1 lit d DSGVO Genüge zu tun, ist es daher wichtig, dass auch bereits bezahlte Forderungen für den Zeitraum der Speicherdauer gemäß Punkt 5 in der CRIF-Datenbank verbleiben – die erfolgte Tilgung wird jedoch berücksichtigt. Die Wahrscheinlichkeit künftiger Zahlungsausfälle ist statistisch signifikant erhöht, sobald es in der Vergangenheit zu einem oder mehreren Zahlungsausfällen gekommen ist.

• Vorname

• Nachname

• Alter

• Adressen, die bei der Teilnahme am Wirtschaftsleben verwendet werden

• Geschlecht

• Daten zu gerichtlichen Publikationen (Insolvenzdaten und Daten über gerichtliche Versteigerungen)

• Daten im Zuge der Abfrage durch Kunden der CRIF in der CRIF-Datenbank („Abfragedaten“)

• Aus den vorstehenden Daten errechneter Scorewert über die Zahlungsausfallswahrscheinlichkeit

Rechtsgrundlagen

Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO):

o Das berechtigte Interesse unserer Kunden – auch berechtigte Interessen Dritter sind gemäß Art 6 Abs 1 lit f DSGVO zu berücksichtigen – sind die verbesserte Vorhersehbarkeit der Zahlungsmoral und –wahrscheinlichkeit (potentieller) Vertragspartner, um eine angemessene Entscheidung darüber treffen können, ob in Vorleistung getreten werden kann und soll, und / oder welche (Zahlungs-)Konditionen angeboten werden, sowie in der besseren Planbarkeit von Rücklagen.. Besonders schützenswert sind die Interessen der unserer Kunden, ihre Risiken vor Zahlungsausfällen und Betrug zu minimieren, um wirtschaftliche Schäden zu vermeiden sowie bestehende gesetzliche Verpflichtungen zu erfüllen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Ihre personenbezogenen Daten erheben wir von nachstehenden Quellen:

• Kunden der CRIF als (potenzielle) Vertragspartner/Gläubiger der betroffenen Person

• Partner der CRIF (insb. Inkassoinstitute und Rechtsanwälte)

• Dienstleister im Bereich Missbrauchsprävention, die Datenbanken mit Kennnummern von Endgeräten führen, sowie Dienstleister im Bereich der Identitätsprüfung

• öffentlich zugängliche Quellen, wie insbesondere Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Gewerberegister, sonstige Websites

• Gesellschaften, die unserem Konzern angehören (siehe oben) – insbesondere erheben wir Daten bei CRIF Italien, CRIF Deutschland und CRIF Schweiz.

Hinweis: Seit dem 27.09.2023 verarbeitet CRIF keine Daten, die von Adressverlagsdaten stammen, mehr zu Zwecken der Auskunft über Zahlungsausfallswahrscheinlichkeiten.

Erforderlichkeit der Bereitstellung bei Direkterhebung

In Einzelfällen erheben wir Ihre Daten direkt bei Ihnen selbst, insbesondere wenn Sie die Möglichkeit der Selbstanlage nutzen. Dies erfolgt freiwillig, weshalb keine Verpflichtung besteht, uns Ihre Daten zur Verfügung zu stellen. Ohne die Bereitstellung Ihrer Daten ist eine Selbstanlage und damit die daran anknüpfende Verarbeitung für den oben angeführten Zweck nicht möglich. Sollte die Bereitstellung Ihrer Daten ausnahmsweise gesetzlich verpflichtend sein, werden wir Sie gesondert darauf hinweisen.

Empfänger

• Kunden/Partner der CRIF mit berechtigtem Interesse an den jeweils bereitgestellten Informationen, insbesondere Unternehmen der Kreditwirtschaft und des (Internet-)Handels, die gegenüber betroffenen Personen in Vorleistung treten (z.B. Kauf auf offene Rechnung, Kreditvergabe, Kreditkartengeschäft, etc.), Unternehmen, die gesetzlichen Prüfpflichten unterliegen sowie Vermieter;

• Gesellschaften, die unserem Konzern angehören (siehe oben):

- CRIF Italien (siehe oben)

• Rechtsvertreter, Gerichte und Behörden;

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Adressdaten (Vorname, Nachname, Geburtsdatum, Adresse, Telefonnummer, E-Mailadresse): Zehn (10) Jahre nach der letzten Adressbestätigung oder Kundenabfrage.

• Negative Zahlungserfahrungsdaten: Sieben (7) Jahre nach Erledigung der Forderung (§ 152 Abs 2 GewO)

• Restschuldbefreiung/Ediktsdatei: In Entsprechung der Judikatur des EuGH zur Restschuldbefreiung (EuGH vom 7.12.2023, C-26/22 und C-64/22) werden Informationen über die vorzeitige Einstellung oder Beendigung des Abschöpfungsverfahrens oder Informationen, die von einer Restschuldbefreiung umfasst sind, dann gelöscht, wenn diese auch von der Einsicht in die Insolvenzdatei ausgenommen werden. Derzeit erfolgt dies ein (1) Jahr nach Erteilung der Restschuldbefreiung. (§ 256 Abs 2 IO)

• Abfragedaten durch unsere Kunden: Sieben (7) Jahre nach der Abfrage (§ 152 Abs 2 GewO sowie § 132 Abs 1 BAO)

Automatisierte Entscheidung inklusive Profiling

• CRIF ermittelt die Ausfallswahrscheinlichkeit einer Forderung in Zusammenhang mit einem Vertragsabschluss einer Person auf Basis von statistischen Berechnungen nach wissenschaftlich anerkannten und nachvollziehbaren Verfahren. Dabei werden Faktoren wie frühere Zahlungsausfälle (wie Inkassoeinträge und Insolvenzen), das Alter, das Geschlecht und der Wohnort der Person berücksichtigt (siehe verarbeitete Daten oben).

• Im Zusammenhang mit Scorewerten ergingen zwei relevante Urteile des EuGH, einerseits die Entscheidung zum SCHUFA-Scoring am 7.12.2023 (C-634/22) sowie andererseits jene zu Dun & Bradstreet Austria GmbH am 27.2.2025 (C-203/22). Zentral für die Beurteilung des Vorliegens einer automatisierten Entscheidungsfindung im Sinne des Art 22 DSGVO ist die Maßgeblichkeit des Scorewerts sowie die mit seinem Einsatz verbundene rechtliche Wirkung oder Beeinträchtigung in ähnlicher Weise.

• Sofern wir für die Erstellung dieses Scorewerts datenschutzrechtlich verantwortlich sind, verpflichten wir unsere Kunden dazu, unseren Wert nicht als maßgebliches Kriterium für die Entscheidung eines Vertragsabschlusses oder ähnliche Entscheidungen, die mit rechtlichen Wirkungen oder Beeinträchtigung in ähnlicher Weise verbunden sind, zu nutzen. Daher fallen diese Verarbeitungstätigkeiten nicht in den Anwendungsbereich der automatisierten Entscheidung und Profiling im Sinne des Art 22 DSGVO.

2.4. Marketingzwecke Dritter

Zweck

Als Adressverlag sind wir im Einklang mit § 151 GewO dazu berechtigt, Ihre Daten für die Vorbereitung und Durchführung von Marketingaktionen Dritter einschließlich der Gestaltung und des Versands für Werbemittel oder das Listbroking zum Zweck unserer Geschäftstätigkeit zu erheben und zu verarbeiten sowie an unsere Kunden zur Nutzung zu übermitteln.

Verarbeitete Datenkategorien

• Vorname

• Nachname

• Geschlecht

• Titel

• Akademischer Grad

• Anschrift

• Geburtsdatum

• Berufs-, Branchen- oder Geschäftsbezeichnung

• Zugehörigkeit der betroffenen Person zu diesem Kunden- und Interessentendateisystem

Rechtsgrundlage

• Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO):

o Unser berechtigtes Interesse liegt in der Bereitstellung unserer Produkte und die Erbringung von Dienstleistungen im Bereich des Adressverlags gemäß § 151 GewO. Hierbei handelt es sich um ein allgemein und von der Rechtsordnung anerkanntes Interesse.

o Das berechtigte Interesse unserer Kunden – auch berechtigte Interessen Dritter sind gemäß Art 6 Abs 1 lit f DSGVO zu berücksichtigen – besteht in der Setzung von zielgerichteten Marketingmaßnahmen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Ihre personenbezogenen Daten erheben wir von nachstehenden Quellen:

• Marketingdateisysteme anderer Adressverlage und Direktmarketingunternehmen gemäß § 151 Gewerbeordnung 1994

• öffentlich zugängliche Quellen, wie insbesondere Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Gewerberegister, Webseiten

• Befragung bei den betroffenen Personen selbst

• Kunden- und Interessentendateisysteme Dritter

Empfänger

• Kunden/Partner der CRIF zur Nutzung zu Marketingzwecken.

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Adressverlagsdaten (siehe oben): Zehn (10) Jahre nach der letzten Adressbestätigung oder Kundenabfrage.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

2.5. Produkt- und Dienstleistungsfortentwicklung

Zweck

Wir evaluieren und verbessern unsere Produkte und Dienstleistungen laufend, um auf die Bedürfnisse des Marktes sowie auf aktuelle Entwicklungen aus der Gesetzgebung und Rechtsprechung eingehen zu können.

Verarbeitete Datenkategorien

• Zur Produkt- und Dienstleistungsfortentwicklung gehen wir nach dem folgenden Standard vor:

o Soweit dies zur Produkt- und Dienstleistungsfortentwicklung ausreicht, verarbeiten wir hierfür ausschließlich anonyme, anonymisierte oder fiktive Daten.

o Sollte der Zweck nicht mit anonymen, anonymisierten oder fiktiven Daten erreicht werden können, verarbeiten wir hierfür pseudonymisierte Daten, soweit dies zur Zweckerreichung führt.

o Bloß in Ausnahmefällen ziehen wir Echtdaten für die Produkt- und Dienstleistungsfortentwicklung heran, immer beschränkt auf das zeitliche und umfänglich erforderliche Maß.

• Potentiell kommen zur Produkt- und Dienstleistungsfortentwicklung sämtliche Datenkategorien in Betracht, die wir im Rahmen der in den Abschnitten 2.1 bis 2.4 aufgezählten Zwecke verarbeiten.

Rechtsgrundlage

Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO):

o Unser berechtigtes Interesse liegt in der Bereitstellung von gesetzes- und marktkonformen Produkten und Dienstleistungen im Bereich des Adressverlags (§ 151 GewO) sowie der Auskunftei über Kreditverhältnisse (§ 152 GewO).

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Die Datenquellen entnehmen Sie bitte den in den Abschnitten 2.1 bis 2.4 angeführten Verarbeitungstätigkeiten.

Empfänger

IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Echtdaten und pseudonymisierte Daten werden für die Produkt- und Dienstleistungsfortentwicklung bloß solange wie unbedingt zur Zweckerreichung erforderlich verarbeitet.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3. Informationen nach Art 13 DSGVO

Dieser Abschnitt der Datenschutzinformation richtet sich an Sie, wenn wir die Daten direkt bei Ihnen erheben, insbesondere in Zusammenhang mit Ihrer Selbstanlage in unserer Adressverlags- und Auskunfteidatenbank, einer bevorstehenden oder laufenden Geschäftsbeziehung, einer Kontaktaufnahme oder der Durchführung von Veranstaltungen.

3.1. Selbstanlage

Zweck

Sie haben die Möglichkeit, sich selbst in unserer Adressverlags- und Auskunfteidatenbank anlegen zu lassen. In diesem Fall verarbeiten wir Ihre für die in Abschnitt 2.1 bis 2.5 dieser Datenschutzinformation aufgelisteten Verarbeitungstätigkeiten verarbeitet.

Verarbeitete Datenkategorien

Die verarbeiteten Datenkategorien entnehmen Sie bitte den in den Abschnitten 2.1 bis 2.5 angeführten Verarbeitungstätigkeiten.

Rechtsgrundlagen

Einwilligung (Art 6 Abs 1 lit a DSGVO)

Erforderlichkeit der Bereitstellung bei Direkterhebung

Sie sind nicht verpflichtet uns Ihre personenbezogenen Daten zu diesem Zweck bereitzustellen. Bei Nichtbereitstellung Ihrer Daten können Sie die Möglichkeit der Selbstanlage nicht nutzen.

Empfänger

• Kunden/Partner der CRIF mit berechtigtem Interesse an den jeweils bereitgestellten Informationen. Die genaueren Empfänger pro Verarbeitungstätigkeit entnehmen Sie bitte den in den Abschnitten 2.1 bis 2.5 angeführten Verarbeitungstätigkeiten.

• Rechtsvertreter, Gerichte und Behörden;

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Bei Selbstanlage verarbeiten wir Ihre Daten bis zum Widerruf.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.2. Kontaktaufnahme

Zweck

Wenn Sie per Kontaktformular auf der Website, über unsere Auftritte in sozialen Medien, per Brief, E-Mail oder per Telefon mit uns Kontakt aufnehmen, werden die für die Verwendung der jeweiligen Kontaktart erforderlichen sowie die von Ihnen angegebenen Daten zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen von uns verarbeitet, um Ihre Anfrage zu bearbeiten.

Verarbeitete Datenkategorien

• Name

• Kontaktdaten, je nach gewählter Kontaktart, etwa

o Telefonnummer

o E-Mailadresse

o Adresse

o Kennung in einem Sozialen Netzwerk

• Inhalt der Anfrage

• Zustimmung zu Marketingzwecke

Rechtsgrundlagen

• Vertragsanbahnung oder Vertragserfüllung, falls Ihre Anfrage im Zusammenhang mit einem Vertrag mit uns steht (Art 6 Abs 1 lit b DSGVO)

• Unser berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) daran, Ihre Anfrage zu beantworten.

• Bezüglich des Online-Kontaktformulars auf unserer Website die Bereitstellung eines von Ihnen ausdrücklich gewünschten Dienstes (§ 165 Abs 3 TKG).

Erforderlichkeit der Bereitstellung bei Direkterhebung

Sie sind nicht verpflichtet uns Ihre personenbezogenen Daten zu diesem Zweck bereitzustellen. Die Nichtbereitstellung Ihrer Daten hätte jedoch zur Folge, dass wir Ihre Anfrage nicht (weiter) bearbeiten können.

Empfänger

• Ihre Daten werden, sofern dies für die Bearbeitung der Anfrage erforderlich ist, an unsere Konzerngesellschaften CRIF Italien, CRIF Deutschland und/oder CRIF Schweiz. Eine Weiterleitung an sonstige Dritte erfolgt nicht.

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Bei Verarbeitung im Zusammenhang mit einem Vertragsverhältnis: 7 Jahre ab Anfrage (§§ 132 BAO, 190, 212 UGB), sofern die Daten für die unternehmerische Buchführung relevant sind.

• Bei berechtigtem Interesse: Da Anfragen sehr unterschiedlich sein können, kann keine pauschale Speicherdauer festgelegt. Die Daten werden so lange gespeichert, wie es für die Bearbeitung Ihrer Anfrage erforderlich ist.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.3. Bewerbungsverfahren

Zwecke

Wenn Sie sich bei uns bewerben, verarbeiten wir die damit verbundenen Daten zur Abwicklung des Bewerbungsverfahrens (Durchführung vorvertraglicher Maßnahmen, Abschluss eines Dienstvertrags).. Im Falle einer Absage werden Ihre Daten zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen verarbeitet.

Darüber hinaus halten wir Ihre Daten in Evidenz für zukünftige Positionen, sofern Sie uns eine entsprechende Einwilligung dafür gegeben haben.

Ebenso führen wir eine anonyme statistische Auswertung der Bewerberstruktur durch, wofür Ihre Bewerberdaten anonymisiert werden.

Verarbeitete Datenkategorien

• Vorname

• Nachname

• Titel

• Kontaktdaten (etwa Adresse, Telefon, E-Mail)

• Bewerbungsdaten:

o Lebenslauf

o Dienstzeugnisse

o sonstige Nachweise über Qualifikationen

Rechtsgrundlagen

Die Verarbeitung basiert auf folgenden Rechtsgrundlagen:

• Vertragsanbahnung (Art 6 Abs 1 lit b DSGVO) bezüglich des konkreten Bewerbungsverfahrens

• Einwilligung (Art 6 Abs 1 lit a DSGVO) in Zusammenhang mit der Evidenzhaltung

• Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO), die Bewerberdaten als Beweis im Falle der Verteidigung gegen einen Ersatzanspruch nach dem GlBG aufzubewahren

• Statistische Zwecke, die keine personenbezogenen Ergebnisse zum Ziel haben (§ 7 Abs 1 DSG).

Empfänger

• Ihre Daten werden an unsere Konzernmutter CRIF Italien, jedenfalls aber nicht an sonstige Dritte weitergeleitet.

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Gemeinsame Verantwortlichkeit

Diese Datenverarbeitung erfolgt in gemeinsamer Verantwortlichkeit gemäß Art 26 DSGVO mit unserer Konzernmutter CRIF S.p.A., Via della Beverara 21, 40131 Bologna, Italien. Gerne informieren wir sie auf Anfrage über das Wesentliche der zwischen uns und unserer Konzernmutter gem Art 26 DSGVO geschlossenen Vereinbarung betreffend die gemeinsame Verantwortlichkeit.

Den Datenschutzbeauftragten unserer Konzernmutter erreichen Sie unter

CRIF S.p.A

Data Protection Officer

via della Beverara 21

40131 Bologna

Italien

dirprivacy@crif.com oder crif@pec.crif.com

Speicherdauer

• Wir speichern Ihre Daten in Zusammenhang mit Ihrer Bewerbung für sieben (7) Monate nach Absage als Beweis im Falle der Verteidigung gegen einen Ersatzanspruch nach dem GlBG. Danach werden sie gelöscht, außer sie werden in zu diesem Zeitpunkt bereits anhängigen Verfahren zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.

• Im Falle Ihrer Einwilligung im Rahmen der Evidenzhaltung werden Ihre Bewerbungsdaten erst nach zwei (2) Jahren ab Ablehnung gelöscht.

Erforderlichkeit der Bereitstellung bei Direkterhebung

• Für die Abwicklung des Bewerbungsverfahrens ist die Bereitstellung Ihrer Daten im Zuge Ihrer Bewerbung für den möglichen Vertragsabschluss erforderlich. Ohne die Bereitstellung Ihrer Daten können wir Ihre Bewerbung nicht weiter behandeln und Sie daher in weiterer Folge auch nicht einstellen.

• Für die Bereitstellung Ihrer Daten zur Evidenzhaltung besteht für Sie keine Verpflichtung. Ohne die Bereitstellung Ihrer Daten zur Evidenzhaltung können wir Sie bei zukünftigen Stellenausschreibungen aber nicht mehr kontaktieren.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.4. Geschäftsbeziehungen

Zwecke

Wir verarbeiten die Daten unserer (potentiellen) Vertragspartner, sowohl die Daten zu unseren Lieferanten als auch jene zu unseren Kunden, zur Anbahnung und Abwicklung der konkreten (potentiellen) Geschäftsbeziehung. Dazu gehören insbesondere die folgenden Zwecke:

• Erfüllung (vor-)vertraglicher Pflichten;

• Anbahnung und Abwicklung von Bezugs- und Verkaufsprozessen;

• Gewährleistung resilienter Geschäftsprozesse;

• Verwaltung unserer Geschäftsbeziehungen, einschließlich Kontaktpflege und Kommunikation, inklusive Analyse von Kundenbedürfnissen und der Art, wie unsere Produkte und Leistungen verwendet werden;

• Analyse und Vorhersage der Kundennachfrage;

• Durchführung von Kundenzufriedenheitsanalysen und Umfragen;

• Abwicklung unseres Beschaffungswesens;

• Bereitstellung von Arbeitsmaterialien und Infrastruktur zur Gewährleistung effizienter interner Arbeitsabläufe;

• Bereitstellung von Informationen über unsere Produkte, Leistungen und Veranstaltungen;

• Durchführung von Direktmarketing und Werbung über elektronische und nicht-elektronische Wege;

• Erfüllung unserer gesetzlichen Verpflichtungen, wie insb. die Beantwortung und Umsetzung von datenschutzrechtlichen Betroffenenanfragen.

Verarbeitete Datenkategorien

• Identitätsdaten (Vor- und Nachname, Titel, Anrede)

• Firmenname, Firmenbuchnummer, Sitz und andere Firmenbuchdaten

• Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer, Faxnummer, URL)

• Position im Unternehmen

• Inhalte abgeschlossener Verträge, Entwürfe und Angebote sowie damit zusammenhängende Korrespondenz

• Gewerberegisterdaten

• Vereinsregisterdaten

• Bonitätsdaten

• Rechnungslauf

• Mahnstatus

• Umsatzsteuer-Identifikationsnummer

• Daten zur Steuerpflicht und Steuerberechnung

• Zahlungsdaten (insb. Bankverbindung und Kreditkartendaten)

• Konto- und Belegdaten

• Dienstleister- bzw. Lieferantenkategorie

• Kundenkategorie

• Branche und Zugehörigkeit zu einer bestimmten Interessentenklasse

• Kaufkraftklassifizierung, Kaufverhalten und Nachfrageinteressen

• Unternehmensgröße/Mitarbeiterzahl

• Sperrkennzeichen

• Lieferungs-/Leistungsgegenstand sowie Lieferungs-/Leistungsbedingungen

• Bonus-, Provisionsdaten udgl.

• Identitätsdaten von bei der Leistungserbringung mitwirkenden Dritten einschließlich Angaben über die Art der Mitwirkung

• Lieferungs-/Leistungsbedingungen

• Finanzierungs- und Zahlungsbedingungen

• Daten zur Versicherung der Leistung und zu ihrer Finanzierung

• Daten zur Verzollung und Exportkontrolle

• Zeichnungsbefugnis und Vertretungsberechtigung

• Datum und Uhrzeit von Besuchen

• Kommunikationsinhalte (von E-Mails und Telefonaten etc.)

• Empfang und Reaktion auf Marketing- und Vertriebsinitiativen

• Historie früherer Interaktionen mit uns

Rechtsgrundlagen

• Einwilligung (Art 6 Abs 1 lit a DSGVO)

• Vertragsanbahnung oder Vertragserfüllung (Art 6 Abs 1 lit b DSGVO)

• Erfüllung von gesetzlichen Verpflichtungen (Art 6 Abs 1 lit c DSGVO)

• Unser berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Verfügbare öffentliche Quellen wie das Internet sowie öffentliche Register.

Erforderlichkeit der Bereitstellung bei Direkterhebung

• Für die Vertragsanbahnung oder -erfüllung ist die Bereitstellung Ihrer Daten notwendig. Die Folgen der Nichtbereitstellung können bspw. die Verzögerungen in der Bearbeitung Ihrer Anfrage, die Unmöglichkeit eines Vertragsabschlusses oder die Vertragsauflösung sein.

• Die Bereitstellung Ihrer Daten kann ebenso zur Erfüllung unserer gesetzlichen Verpflichtungen erforderlich sein, vor allem von Dokumentationspflichten. Eine Nichtbereitstellung hätte zur Folge, dass wir unsere gesetzlichen Verpflichtungen nicht einhalten könnten, was Sie im Fall der Verhängung einer Strafe uns gegenüber schadenersatzpflichtig machen könnte.

• In anderen als den oben genannten Gründen besteht für Sie keine Verpflichtung, Ihre Daten bereitzustellen.

Empfänger

Sofern dies zu den oben genannten Zwecken erforderlich ist, werden wir Ihre personenbezogenen Daten an folgende Kategorien von Empfängern übermitteln:

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur

• Rechtsvertreter

• Banken

• Steuerberater und Wirtschaftstreuhänder

• Gerichte und Verwaltungsbehörden

• Vertrags- und Geschäftspartner, die an unserer Leistung mitwirken

• Versicherungen

• Gesellschaften, die unserem Konzern angehören (siehe Abschnitt 1.1 Unterabschnitt Quellen oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Gemeinsame Verantwortlichkeit

Den Datenschutzbeauftragten unserer Konzernmutter erreichen Sie unter

CRIF S.p.A

Data Protection Officer

via della Beverara 21

40131 Bologna

Italien

dirprivacy@crif.com oder crif@pec.crif.com

Speicherdauer

• Daten in Zusammenhang mit der Vertragserfüllung bewahren wir zur Erfüllung von gesetzlichen Dokumentationspflichten (insbesondere § 132 BAO, §§ 190, 212 UGB) sieben (7) Jahren lang ab dem Ende des jeweiligen Kalenderjahres, in dem das die Dokumentationspflicht auslösende Ereignis stattfand, auf.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.5. Gästemanagement und Videoüberwachung

Zwecke

Bei Besuch unternehmensfremder Personen im Gebäude der CRIF verarbeiten wir personenbezogene Daten zu folgenden Zwecken:

• Aushändigung von Besucherausweisen

• Vermeidung des Zutritts unbefugter Personen

• Gewährleistung der Sicherheit und des Schutzes unserer Mitarbeiter, Besucher und Geschäftspartner sowie unseres Eigentums und unserer Räumlichkeiten

• Verhinderung, Eindämmung und Aufklärung potentiell strafrechtlich relevanten Verhaltens

• Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Verarbeitete Datenkategorien

• Identitätsdaten (insbesondere Namen, Titel, Anrede, Geburtsdatum und -ort)

• Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer, Faxnummer)

• Information, dass ein Ausweis vorgezeigt wurde

• Unternehmen, bei dem Sie tätig sind, sowie ihre dortige Funktion

• Ihre Kontaktperson in unserem Unternehmen

• Grund Ihres Besuchs

• Datum und Uhrzeit Ihres Besuchs

• Videoaufzeichnungen

• Ort und Zeit der Videoaufzeichnung

Rechtsgrundlage

Unser berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an der Sicherstellung des Schutzes unserer Mitarbeiter, anderer Besucher und Geschäftspartner sowie unserem Eigentum sowie zum Schutz von Geschäfts- und Betriebsgeheimnissen.

Erforderlichkeit der Bereitstellung bei Direkterhebung

Es besteht keine Verpflichtung, uns Ihre Daten zur Verfügung zu stellen. Allerdings ist Zutritt zu unseren Räumlichkeiten mitunter nicht möglich, wenn Sie Ihre Daten nicht bereitstellen.

Empfänger

Im Falle einer Sicherheitsverletzung oder strafrechtswidrigem Verhalten werden wir Ihre personenbezogenen Daten an folgende Kategorien von Empfängern übermitteln:

• Rechtsvertreter

• Gerichte und Verwaltungsbehörden

• Sicherheitsbehörden

• Versicherungen

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur

• Gesellschaften, die unserem Konzern angehören (siehe oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Die Daten in Zusammenhang mit dem Gästemanagement werden für sechs (6) Monate nach Ihrem Besuch aufbewahrt.

• Die Daten in Zusammenhang mit der Videoüberwachung werden für 72 Stunden aufbewahrt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.6. Veranstaltungsmanagement inklusive Bild- und Tonaufnahmen und deren Vermarktung & Veröffentlichung

Zwecke

Bei Teilnahme an Veranstaltungen der CRIF verarbeiten wir personenbezogene Daten zu folgenden Zwecken:

• Organisation, Durchführung und Nachbereitung der Veranstaltung;

• Herstellung von Berichten über die Veranstaltung sowie deren Archivierung zur Dokumentation der Firmengeschichte;

• Anfertigung, Präsentation und Veröffentlichung von Fotos und/oder Videos

• Interne und öffentliche Information über die Veranstaltung in unserem Intranet und im Internet, inklusive Zurverfügungstellung einer Galerie;

• Durchführung von Direktmarketing und Umfragen über elektronische und nicht-elektronische Wege;

• Durchführung von Öffentlichkeitsarbeit (PR), insbesondere zum Aufbau bzw. zur Pflege von Beziehungen mit Stakeholdern und Medien.

Verarbeitete Datenkategorien

• Vor- und Nachname

• Kontaktdaten (Telefonnummer, E-Mailadresse, Adresse)

• Zu-/ Absage

• Korrespondenz im Zusammenhang mit der Organisation, Durchführung und Nachbereitung der Veranstaltung;

• Bild- und Tonaufnahmen;

• Präsentationsunterlagen;

• Daten, die Sie uns in Zusammenhang mit der Organisation und Durchführung der Veranstaltung, Umfrage oder PR-Aktivität bekannt gegeben haben.

Rechtsgrundlagen

• Wir verarbeiten diese Daten auf Grundlage unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) an der Durchführung und Organisation von Veranstaltungen sowie an der Anfertigung, Präsentation und Veröffentlichung der damit einhergehenden Fotos und/oder Videos. Konkret liegt es in unserem berechtigten Interesse, die unsere Veranstaltungen zu dokumentieren und auch in einem Archiv aufzubewahren. Darunter fällt auch das Interesse, die Öffentlichkeit, Kunden sowie Interessenten über Veranstaltungen der Unternehmensgruppe zu informieren sowie die eigene Unternehmensgeschichte mit Foto- und Videoaufnahmen für die zukünftigen Generationen zu dokumentieren.

• Die Verarbeitung zu Marketingzwecken erfolgt auf Grundlage der von Ihnen im Anlassfall noch eigens eingeholten, diesbezüglichen Einwilligungserklärung (Art 6 Abs 1 lit a DSGVO), ein bestimmtes Foto oder eine bestimmte Videosequenz für dann konkret bezeichnete Marketingaktionen zu verwenden. Bitte signalisieren Sie den Fotografen und Filmteams auf der Veranstaltung, wenn Sie nicht aufgezeichnet werden wollen. Alle mit einer entsprechenden Aufgabe betrauten Personen auf der Veranstaltung werden von uns instruiert, entsprechende Wünsche zu respektieren und auch schon aufgezeichnetes Bildmaterial von Ihnen auf Ihren Wunsch wieder zu löschen.

Erforderlichkeit der Bereitstellung bei Direkterhebung

Es besteht keine Verpflichtung, uns personenbezogene Daten zur Verfügung zu stellen. Allerdings kann eine Teilnahme an der Veranstaltung bzw. oder die Durchführung der PR-Aktivität unmöglich oder erschwert sein, wenn Sie Ihre Daten nicht bereitstellen.

Empfänger

Sofern dies zu den oben genannten Zwecken erforderlich ist, werden wir Ihre personenbezogenen Daten an folgende Kategorien von Empfängern übermitteln:

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur

• Online- und Printmedien

• soziale Netzwerke und Videoplattformen

• externe Dienstleister in Zusammenhang mit der Organisation, Durchführung und Nachbereitung der Veranstaltung oder PR-Aktivität

• Gesellschaften, die unserem Konzern angehören (siehe oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Die Daten zu Ihrer Anmeldung werden von uns zu Zwecken des Einladungs- und Veranstaltungsmanagements für drei Monate nach der Veranstaltung gespeichert. Danach speichern wir die Tatsache, dass Sie an der Veranstaltung teilgenommen haben, sowie die angefertigten Fotos und Videos für einen unbegrenzten Zeitraum zu internen Archivzwecken. Eine Veröffentlichung für andere Zwecke als zuvor beschrieben und ohne Ihre Einwilligung erfolgt jedoch nicht. Foto-/Videoaufnahmen werden grundsätzlich sofort gelöscht, wenn sie für die oben genannten Zwecke nicht geeignet sind oder die berechtigten Interessen der abgebildeten Person an der Löschung überwiegen oder im Falle eines Widerspruchs durch betroffene Personen.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.7. Livestreaming von Veranstaltungen

Zwecke

Einige unserer Veranstaltungen finden hybrid statt – das heißt, sie werden zusätzlich zur Abhaltung vor Ort auch online übertragen So können auch Personen an den Veranstaltungen teilnehmen, die nicht vor Ort dabei sein können. Die Livestreams erfolgen über Microsoft Teams und YouTube. Wenn ein Livestream über YouTube läuft, ist er für alle Personen, die über den Link zu der Übertragung verfügen, zugänglich.

Während der Übertragung werden die Vortragenden in der Regel namentlich genannt. Es kann außerdem vorkommen, dass Personen im Aufnahmebereich der Kamera zu sehen sind. Wir beabsichtigen nicht, diese Personen zu identifizieren, können es aber nicht vollständig ausschließen. Die Bereiche, die in den Übertragungen zu sehen sind, werden gekennzeichnet, um es Personen zu ermögliche, diese Bereiche zu meiden.

Die Aufnahmen dienen ausschließlich der Liveübertragung. Eine weitere Verwendung – etwa eine Speicherung oder Veröffentlichung – ist nicht vorgesehen.

Verarbeitete Datenkategorien

• Namen von Vortragenden

• Bild- und Tonaufnahmen

• Daten der Online-Profile der Teilnehmenden (Profilname und -bild sowie von der teilnehmenden Person während der Teilnahme geteilte Daten)

Rechtsgrundlage

Wir verarbeiten die oben genannten Daten auf Grundlage unseres berechtigten Interesses und den Interessen der Online-Teilnehmer (Art 6 Abs 1 lit f DSGVO) daran, den Zugang zu unserer Veranstaltung auch für jenen Personenkreis zu ermöglichen, der nicht vor Ort daran teilnehmen kann.

Erforderlichkeit der Bereitstellung bei Direkterhebung

Es besteht für Sie als teilnehmende Person keine Verpflichtung, sich filmen zu lassen. Bitte meiden Sie hierfür insbesondere den gekennzeichneten Aufnahmebereich der Kamera. Die Nichtbereitstellung Ihrer Daten hat für Sie keine negativen Folgen.

Empfänger

• Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Betreiber von MS Teams sowie Dienstleister für den Betrieb unserer IT-Infrastruktur (Auftragsverarbeiter)

• Google Ireland Limited (siehe Abschnitt 14 Unterabschnitt Soziale Medien im Einzelnen unten) als Betreiber von YouTube (Auftragsverarbeiter)

• Alle Personen, die über die Zugangsinformation (Veranstaltungseinladung für MS Teams oder Zugangslink zu dem YouTube-Stream) verfügen

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Sowohl die Microsoft Corporation als auch Google LLC sind unter dem zwischen der EU-Kommission und den USA abgeschlossenen Datenschutzrahmen zertifiziert (Angemessenheitsbeschluss gemäß Art 45 Abs 1 DSGVO).

Speicherdauer

Die Videoübertragung erfolgt in Echtzeit, es findet keine darüberhinausgehende Speicherung der Bild- und Tonaufnahmen statt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

4. Verwaltung von Anfragen zu Ihren Betroffenenrechten

Zwecke

Die Verarbeitung Ihrer Daten im Zusammenhang mit der Ausübung von Betroffenenrechten erfolgt zu folgenden Zwecken:

• Erfüllung unserer gesetzlichen Verpflichtungen (Art 6 Abs 1 lit c DSGVO) rund um die Beantwortung und Umsetzung von datenschutzrechtlichen Betroffenenanfragen

• Bestätigung Ihrer Identität zur Verhinderung einer missbräuchlichen Geltendmachung von Betroffenenrechten

• Nachweis der Erfüllung unserer gesetzlichen Pflichten rund um die Beantwortung und Umsetzung von datenschutzrechtlichen Betroffenenanfragen

• Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Wir erheben Ihre personenbezogenen Daten entweder direkt von Ihnen im Rahmen unserer Kommunikation, oder – wenn wir begründete Zweifel an Ihrer Identität oder den von Ihnen angegebenen Kontaktdaten haben – aus öffentlich zugänglichen Datenbanken um Ihre Angaben zu überprüfen.

Verarbeitete Datenkategorien

• Identitätsdaten (Vorname, Nachname, Titel, Anrede, Geburtsdatum)

• Kontaktdaten (insbesondere Adresse mit Straße, Hausnummer, PLZ, Stadt, Telefonnummer, Fax, E-Mail, Website)

• Identitätsnachweis (etwa Lichtbildausweis oder Meldezettel), sofern zur Bestätigung Ihrer Identität erforderlich

• Inhalte der Spezialvollmacht Ihres Vertreters, sofern Sie sich bei der Ausübung Ihrer Betroffenenrechte vertreten lassen

• Weitere von Ihnen im Rahmen unserer Kommunikation bereitgestellte Daten sowie Korrespondenz

• Sämtliche Daten, die wir im Rahmen Ihrer Anfrage zur Geltendmachung der Betroffenenrechte verarbeiten müssen, wie zB Daten, die beauskunftet werden. Dies können potenziell sämtlich in dieser Datenschutzinformation genannten Datenkategorien sein.

Rechtsgrundlagen

• Gesetzliche Verpflichtung (Art 6 Abs 1 lit c iVm Art 12 ff DSGVO)

• Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen sowie Erfüllung unserer Rechenschaftspflichten gemäß Art 5 Abs 2 DSGVO

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Wir erheben Ihre personenbezogenen Daten in der Regel direkt von Ihnen über das Online-Kontaktformular oder im Rahmen unserer Kommunikation. Sollten wir aus Datensicherheitsgründen Zweifel an Ihrer Identität oder den von Ihnen angegebenen Kontaktdaten haben, werden wir aus öffentlich zugänglichen Datenbanken (insbesondere aus dem Zentralen Melderegister) Daten erheben, um Ihre Angaben zu überprüfen.

Erforderlichkeit der Bereitstellung bei Direkterhebung

Die Bereitstellung Ihrer Identitätsdaten ist gesetzlich vorgeschrieben. Ohne die Bereitstellung Ihrer Daten können wir Ihre Anträge auf Ausübung Ihrer Betroffenenrechte nicht bearbeiten.

Empfänger

Sofern dies zu den oben genannten Zwecken erforderlich ist, werden wir Ihre personenbezogenen Daten an folgende Kategorien von Empfängern übermitteln:

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur

• Rechtsvertreter

• Gerichte und Verwaltungsbehörden

• Gesellschaften, die unserem Konzern angehören (siehe oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Die für die Identifikation erforderlichen Daten (Identitätsnachweise) werden nach einem Monat gelöscht.

• Die Daten rund um die Beantwortung Ihrer Betroffenenbegehren („Selbstauskunft“ sowie Korrespondenz) bewahren wir für drei (3) Jahre ab dem letzten Kontakt in Zusammenhang mit der Geltendmachung eines Betroffenenrechts auf, einerseits zur Verteidigung in einem allfälligen Beschwerdeverfahren (§ 24 DSG), andererseits zum Nachweis der Erfüllung der uns obliegenden Rechenschaftspflicht (Art 5 Abs 2 DSGVO) gegenüber Gerichten und Verwaltungsbehörden (§ 31 Abs 2 VStG). Im Falle eines laufenden Verfahrens werden die Daten für den Zeitraum des laufenden Verfahrens aufbewahrt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

5. Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Zwecke

Um unsere Rechtsansprüche außergerichtlich, gerichtlich und vor Verwaltungsbehörden geltend machen, ausüben und verteidigen zu können, verarbeiten wir Ihre Daten, soweit dies hierfür erforderlich ist.

Verarbeitete Datenkategorien

Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen sowie zur Abwicklung von Verfahren vor Behörden (einschließlich Gerichten) verarbeiten wir alle Datenkategorien, die hierfür erforderlich sind. Es handelt sich potenziell um sämtliche Datenkategorien, die wir von Ihnen bereits zu anderen Zwecken verarbeiten und darüber hinaus Daten, die wir nicht von Ihnen erheben, sondern zB im Rahmen des Verfahrens (meistens von Ihnen oder dem Gericht oder der Behörde) erlangen.

Rechtsgrundlage

Wir verarbeiten Ihre Daten auf Grundlage unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) an der Durchsetzung bestehender und Abwehr nicht bestehender Ansprüche sowie in der unsere Rechtsposition schützenden Abwicklung von behördlichen (einschließlich gerichtlichen) Verfahren. Hierbei handelt es sich um einen zulässigen Weiterverarbeitungszweck (Art 6 Abs 4 DSGVO).

Quellen & Erforderlichkeit der Bereitstellung

Es besteht für Sie keine Verpflichtung, uns personenbezogene Daten zu dem Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereitzustellen, wir können aber sämtliche Datenkategorien, die wir bereits zu anderen Zwecken von Ihnen verarbeiten, dafür weiterverarbeiten.

Empfänger

Sofern dies zu den oben genannten Zwecken erforderlich ist, werden wir Ihre personenbezogenen Daten an folgende Kategorien von Empfängern übermitteln:

• IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur

• Rechtsvertreter

• Gerichte und Verwaltungsbehörden

• Gesellschaften, die unserem Konzern angehören (siehe oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Drittlandübermittlung:

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

• Zur Ausübung, Geltendmachung und Verteidigung von Rechtsansprüchen (Art 6 Abs 1 lit f DSGVO) sowie im unternehmenseigenen Dokumentationsinteresse, um gleich-, verarbeiten wir Ihre Daten für drei (3) Jahre nach Abschluss des Verfahrens (§ 24 DSG iVm § 31 VStG) oder ab dem letzten Kontakt in Zusammenhang mit der Geltendmachung eines Betroffenenrechts.

• Die mit laufenden Verträgen zusammenhängenden Daten etwa werden aufgrund der allgemeinen Verjährungsfrist des § 1489 ABGB grundsätzlich dreißig (30) Jahre lang aufbewahrt. Dient die Verarbeitung von Daten ausschließlich dem Zweck der Ausübung, Geltendmachung und Verteidigung von Rechtsansprüchen, wird deren Verarbeitung bis zum Löschzeitpunkt eingeschränkt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

6. Soziale Medien

Allgemeines zu Auftritten in Sozialen Medien

Wenn Sie unsere Unternehmensprofile auf sozialen Medien besuchen, werden dabei Daten über Sie und Ihr Nutzungsverhalten verarbeitet. Wir verarbeiten diese Daten mit den Anbietern sozialer Medien als gemeinsame Verantwortliche. Die Anbieter sozialer Medien verwenden diese Daten auch als selbstständig Verantwortliche, um Werbung gezielt an Ihre Interessen anzupassen oder um Marktforschung zu betreiben. Das bedeutet zum Beispiel, dass die Anbieter erkennen, welche Themen Sie interessieren, und Ihnen darauf basierend passende Werbeanzeigen zeigen – sowohl innerhalb der Plattform als auch außerhalb. Genauere Informationen darüber, welche Daten von den Anbietern sozialer Medien als selbstständig Verantwortliche verarbeitet werden und wie Sie der Nutzung widersprechen oder Ihre Einwilligung widerrufen können, finden Sie in den Datenschutzinformationen der jeweiligen Plattform (siehe Abschnitt „Soziale Medien im Einzelnen“ weiter unten).

Durch CRIF verarbeitete Daten

Im Folgenden informieren wir Sie darüber, zu welchen Zwecken welche personenbezogenen Daten wir über Sie anhand welcher Rechtsgrundlage verarbeiten.

Zwecke

Wir nutzen unsere Auftritte in sozialen Medien, um Sie über unser Unternehmen, die CRIF GmbH, offene Stellen sowie unsere Produkte und Dienstleistungen zu informieren. Gleichzeitig möchten wir mit Ihnen in Kontakt treten und Ihnen den Austausch mit uns ermöglichen.

Zusätzlich stellen uns die Plattformen anonyme Statistiken zur Verfügung – also Auswertungen darüber, wie viele Menschen unsere Inhalte sehen oder mit ihnen interagieren. Diese Informationen helfen uns dabei, unsere Inhalte besser auf Ihre Interessen abzustimmen.

Verarbeitete Datenkategorien

Zu den Nutzungsdaten, die bei Ihrem Besuch unserer Unternehmensprofile auf sozialen Medien verarbeitet werden, zählen:

• Follower:innen

• Interaktionen mit unseren Postings

Wenn Sie über unsere Auftritte auf sozialen Medien mit uns in Kontakt treten, verarbeiten wir weiters die Daten, die Sie uns dabei mitteilen, zum Beispiel:

• Nutzernamen

• Namen

• Kontaktinformationen.

• Kommunikationsinhalt

Rechtsgrundlage

Wir verarbeiten diese Daten nach den folgenden Rechtsgrundlagen:

• Vertragsanbahnung oder Vertragserfüllung (Art 6 Abs 1 lit b DSGVO)

• Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO) an

o der Beantwortung Ihrer Kontaktaufnahmen,

o der Information über unser Unternehmen, offener Stellen und unserer Produkte und Dienstleistungen, sowie

o der Datenverarbeitung zu Analyse- und Marketingzwecken zur stetigen Verbesserung unseres Auftritts auf sozialen Medien.

Erforderlichkeit der Bereitstellung bei Direkterhebung

Sofern Ihre Nutzung im Rahmen der Kontaktaufnahme zur Vertragsanbahnung erfolgt, ist die Angabe Ihrer Daten für den Vertragsabschluss erforderlich. Die Nichtbereitstellung Ihrer Daten im Rahmen der Kontaktaufnahme zur Vertragsanbahnung hat zur Folge, dass wir Ihre Kontaktaufnahme nicht weiter behandeln können. Sofern Ihre Nutzung aus anderen Gründen erfolgt, besteht für Sie keine Verpflichtung, Ihre Daten bereitzustellen. Die Nichtbereitstellung bei der Nutzung aus anderen Gründen hat für Sie keine negativen Folgen.

Empfänger

Ihre Daten werden unter Umständen an die CRIF S.p.A, die CRIF GmbH (Deutschland) und/oder die CRIF AG (Schweiz) sowie an LinkedIn Ireland Unlimited Company, New Work SE sowie Google Ireland Limited (siehe dazu Abschnitt 14 Unterabschnitt Soziale Medien im Einzelnen unten) übermittelt, jedenfalls aber nicht an sonstige Dritte.

Drittlandübermittlung

Bei den sozialen Medien LinkedIn und YouTube kann es unter Umständen vorkommen, dass Nutzungsdaten außerhalb der Europäischen Union, konkret in den USA verarbeitet werden. Dies ist aufgrund des Datenschutzrahmens EU-USA (Angemessenheitsbeschlusses der EU-Kommission vom 10.07.2023) gemäß Art 45 DSGVO oder aufgrund von Standardvertragsklauseln gemäß Art 46 Abs 2 lit c DSGVO zulässig.

Datenschutzrechtliche Rollenverteilung

Laut einem Urteil des Europäischen Gerichtshofs sind wir gemeinsam mit dem jeweiligen Anbieter des sozialen Netzwerks für die Verarbeitung Ihrer Nutzungsdaten verantwortlich – das nennt man „gemeinsame Verantwortlichkeit“ nach Art 26 DSGVO. Wir haben dafür entsprechende Vereinbarungen mit den Plattformen getroffen.

Wir erhalten nicht alle Daten, die bei Ihrem Besuch unserer Unternehmensprofile auf sozialen Medien verarbeitet werden. Da nur die Anbieter der sozialen Medien einen vollständigen Zugriff auf diese Daten haben, empfehlen wir Ihnen, sich bei Fragen oder zur Ausübung Ihrer Datenschutzrechte an den jeweiligen Anbieter zu wenden. Die Links zu den Datenschutzhinweisen der Anbieter finden Sie im Abschnitt „Soziale Medien im Einzelnen“.

Natürlich können Sie sich auch an uns wenden. In diesem Fall nehmen wir Kontakt mit dem jeweiligen Anbieter auf, um Ihr Anliegen zu klären.

Speicherdauer

• Wenn Sie über unsere Auftritte auf den sozialen Medien mit uns in Kontakt treten, speichern wir die dabei von uns verarbeiteten Daten grundsätzlich so lange, wie Ihr Account beim jeweiligen sozialen Netzwerk besteht. Wenn wir die Daten zur Durchsetzung oder Abwehr von rechtlichen Ansprüchen benötigen, kann eine längere Speicherung erforderlich sein. Sobald keiner dieser Gründe mehr vorliegt, löschen wir Ihre Daten.

• Die Verhaltensdaten, also Informationen über Ihr Verhalten auf der Plattform, erhalten wir ausschließlich in anonymisierter Form.

• Für Informationen zur Speicherdauer betreffend die Verarbeitung Ihrer Daten durch die Anbieter von sozialen Medien als selbstständige Verantwortliche empfehlen wir Ihnen, die Datenschutzhinweise des jeweiligen sozialen Netzwerks zu lesen, welche wir in im Punkt „Soziale Medien im Einzelnen“ verlinkt haben.

Automatisierte Entscheidungsfindung inklusive Profiling

Durch uns erfolgt in diesem Zusammenhang keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO.

Soziale Medien im Einzelnen

• Unternehmen: LinkedIn Ireland Unlimited Company

• Adresse: Wilton Place, Dublin 2, Irland

• Datenschutzinformation: https://www.linkedin.com/legal/privacy-policy?_l=de_DE

• Gemeinsame Verantwortlichkeit: https://de.linkedin.com/legal/l/dpa

• Drittlandübermittlung:

o Datenschutzrahmen als Angemessenheitsbeschluss zwischen EU und USA: https://www.dataprivacyframework.gov/list

o Standardvertragsklauseln https://www.linkedin.com/help/linkedin/answer/a1343190?trk=microsites-frontend_legal_privacy-policy&lang=en

Xing

• Unternehmen: New Work SE

• Adresse: Dammtorstraße 30, 20354 Hamburg, Deutschland

• Datenschutzinformationen: https://privacy.xing.com/de/datenschutzerklaerung

YouTube

• Unternehmen: Google Ireland Limited

• Adresse: Gordon House, 4 Barrow Street, Dublin, D4 E5W5, Irland

• Drittlandübermittlung:

o Datenschutzrahmen als Angemessenheitsbeschluss zwischen EU und USA https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI&status=Active

• Datenschutzinformationen: https://policies.google.com/privacy?gl=AT&hl=de#about

Auftritte der CRIF

• LinkedIn: https://www.linkedin.com/company/crif-austria/

• XING: https://www.xing.com/pages/crifgmbh

• YouTube: https://www.youtube.com/@crifaustria4736

7. Ihre Rechte

Wir möchten Sie darüber informieren, dass Sie das Recht haben,

• eine Bestätigung darüber zu verlangen, ob wir Ihre Person betreffende personenbezogene Daten verarbeiten oder nicht; ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und die in Art 15 Abs 1 und 2 DSGVO angeführten Informationen; zum Recht auf Erhalt einer Kopie der Sie betreffenden personenbezogenen Daten, die Gegenstand der Verarbeitung sind, siehe Art 15 Abs 3 und 4 DSGVO;

• die Berichtigung oder Vervollständigung Sie betreffender unrichtiger oder unvollständiger Daten zu verlangen (siehe im Detail Art 16 DSGVO);

• die Löschung Ihrer Daten zu verlangen, sofern keine Rechtsgrundlage für die weitere Verarbeitung Ihrer Daten vorliegt (siehe im Detail Art 17 DSGVO); in diesem Zusammenhang können wir einer Löschung etwa dann nicht nachkommen, wenn die Verarbeitung (Aufbewahrung) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (gesetzliche Aufbewahrungspflichten) oder wir hierzu aufgrund überwiegender Interessen berechtigt sind (z.B. Geltendmachung, Ausübung oder Verteidigung konkreter Rechtsansprüche);

• bei Vorliegen bestimmter Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen (siehe im Detail Art 18 DSGVO);

• gegen eine Verarbeitung Ihrer Daten, die zur Wahrung unserer berechtigten Interessen oder eines Dritten erforderlich ist (Art 6 Abs 1 lit f DSGVO), Widerspruch einzulegen. Im Fall eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder wir weisen zwingende schutzwürdige Gründe für die Verarbeitung nach, die Ihre Interessen (ggf. unter Berücksichtigung Ihrer besonderen Situation) überwiegen. Widersprechen Sie einer Verarbeitung für Zwecke der Direktwerbung (einschließlich Profiling, soweit es mit solcher Direktwerbung in Verbindung steht), so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten (siehe im Detail Art 21 DSGVO);

• die Übertragung der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf Datenübertragbarkeit besteht jedoch nur, sofern die Verarbeitung auf Ihrer Einwilligung oder auf einem Vertrag beruht (siehe im Detail Art 20 DSGVO).

Diesbezügliche Anträge und Anfragen können jederzeit unter den untenstehenden Kontaktdaten, vorzugsweise aber per E-Mail an auskunft@crif.com oder über das auf unserer Website im Bereich „Selbstauskunft“ befindliche Kontaktformular gestellt werden.

Sofern wir Ihre Daten auf Basis Ihrer Einwilligung verarbeiten, haben Sie das Recht, diese Einwilligung jederzeit unter den untenstehenden Kontaktdaten, vorzugsweise aber per E-Mail unter auskunft@crif.com zu widerrufen. Dadurch wird die Rechtmäßigkeit der bis zu diesem Zeitpunkt erfolgten Datenverarbeitung nicht beeinträchtigt (Art 7 Abs 3 DSGVO).

Sollten Sie, trotz unserer Verpflichtung, Ihre Daten rechtmäßig zu verarbeiten, wider Erwarten der Ansicht sein, dass Ihre personenbezogenen Daten nicht rechtmäßig verarbeitet werden, setzen Sie sich bitte mit uns postalisch oder per E-Mail in Verbindung (Kontaktdaten siehe unten), damit wir von Ihren Bedenken erfahren und diese behandeln können. Sie haben aber auch das Recht, eine Beschwerde bei der Österreichischen Datenschutzbehörde oder bei einer anderen Datenschutz-Aufsichtsbehörde in der EU, insbesondere an Ihrem Aufenthalts- oder Arbeitsort, zu erheben.

8. Unsere Kontaktdaten

Sollten Sie zu der Verarbeitung Ihrer personenbezogenen Daten Fragen oder Anliegen haben, wenden Sie sich bitte an uns:

CRIF GmbH

Rothschildplatz 3/Top 3.06.B

1020 Wien

info.at@crif.com

Alternativ können Sie sich auch gerne an unseren Datenschutzbeauftragten wenden:

CRIF GmbH

Datenschutzbeauftragte/r

Rothschildplatz 3/Top 3.06.B

1020 Wien

datenschutz.at@crif.com

Wir möchten Sie darauf hinweisen, dass durch die Nutzung unserer Websites und Auftritte in sozialen Medien Urheber-, Namens- und Markenrechte sowie sonstige Rechte Dritter zu beachten sind. Sie verpflichten sich, eine missbräuchliche Nutzung des gesamten Inhaltes (insbesondere von Bildern, Videos, Schriften und Marken) zu unterlassen.

Zuletzt aktualisiert am 26.08.2025