Datenschutzerklärung Auskunftei und Adressverlag

Allgemeines

Datenschutz und Informationssicherheit sind für die CRIF GmbH (kurz „CRIF“ bzw. „wir“), Rothschildplatz 3/Top 3.06.B, 1020 Wien, als datenschutzrechtliche Verantwortliche die Basis für stabile und erfolgreiche Kundenbeziehungen und haben einen hohen Stellenwert in unserer Unternehmensgruppe. Aus diesem Grunde ist uns der Schutz Ihrer personenbezogenen Daten (kurz „Daten“) ein wichtiges Anliegen.

Wir beachten beim Umgang mit Daten alle relevanten Vorschriften – insbesondere jene der Datenschutz-Grundverordnung (DSGVO) sowie des Telekommunikationsgesetzes (TKG) – in der jeweils gültigen Fassung. Darüber hinaus haben wir die für einen angemessenen Datenschutz erforderlichen technischen und organisatorischen Maßnahmen getroffen.

Nachfolgend möchten wir Sie ausführlich gemäß Art 13 und 14 DSGVO darüber informieren, welche Daten die CRIF verarbeitet.

1. Websites

1.1 Betrieb und Anzeige der Website

Unsere Websites www.crif.at, www.crif-online.at sowie www.mycrifdata.at (kurz „Websites“) werden von der CRIF über Server unserer Dienstleister (siehe Abschnitt Empfänger unten) betrieben.

Zwecke

Beim Besuch unserer Websites werden Ihre Daten verarbeitet, um:

Ihnen die Website anzuzeigen;
Cyberattacken und andere unberechtigte Zugriffe zu erkennen und abzuwehren.

Verarbeitete Datenkategorien

Im Zuge Ihres Besuchs unserer Websites verarbeiten wir jene Daten, die uns von Ihrem Internetbrowser übermittelt werden. Dazu zählen insbesondere:

Datum und Uhrzeit des Besuchs
IP-Adresse
Name und Version des Webbrowsers
Browser-Einstellungen
Betriebssystem

Rechtsgrundlage

Zur Verfügungstellung eines ausdrücklich gewünschten Dienstes:

Die Datenverarbeitung zum Zweck der Anzeige der Website erfolgt, um Ihnen einen von Ihnen ausdrücklich gewünschten Dienst, nämlich unsere Website, zur Verfügung zu stellen (§ 165 Abs 3 TKG).

Berechtigte Interessen:

Die Verarbeitung der Logfiles, die zum Zweck der Erkennung und Abwehr von Cyberattacken oder anderer unberechtigter Zugriffe verarbeitet werden, basiert auf Grundlage unseres berechtigten Interesses an der Sicherheit unserer Website (Art 6 Abs 1 lit f DSGVO).

Weiters verarbeiten wir alle genannten Datenkategorien auch auf Grundlage unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) an der Durchführung von Fehler- und Verfügbarkeitsanalysen, um Cyberangriffen frühzeitig vorzubeugen.

Erforderlichkeit der Bereitstellung

Für den Betrieb der Website ist es notwendig, gewisse Daten, durch die ein Personenbezug hergestellt werden kann, zu verarbeiten. Es besteht für Sie grundsätzlich keine Verpflichtung, diese Daten bereitzustellen. Ohne Bereitstellung dieser Daten können Sie unsere Website allerdings nicht nutzen.

Empfänger

Cloudflare

Auf unseren Websites verwenden wir ein sog. Content Delivery Network ("CDN") und Sicherheitsdienste des Technologiedienstleisters Cloudflare, Inc., 101 Townsend St. San Francisco, CA 94107, USA ("Cloudflare"). Bei einem Content Delivery Network handelt es sich um einen Online-Dienst, mit dessen Hilfe insbesondere große Mediendateien (wie z.B. Grafiken, Seiteninhalte oder Skripte) durch ein Netz regional verteilter und über das Internet verbundener Server ausgeliefert werden.
Weiters schützt Cloudflare unsere Websites vor Angriffen, verbessert die Ladezeit durch ein Netzwerk von Servern und hilft uns bei der Optimierung der Ladegeschwindigkeiten unserer Websites. Der Zugriff von Cloudflare erfolgt gemäß Art 6 Abs 1 lit f DSGVO auf Basis unseres berechtigten Interesses an der sicheren und effizienten Bereitstellung unserer Dienste, an der Abwehr von Angriffen und Missbrauch sowie an der Verbesserung der Stabilität und Funktionalität unserer Website. Durch den Einsatz der Data Localization Suite werden Daten nur innerhalb der EU gespeichert und verarbeitet.

Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare unter: https://www.cloudflare.com/de-de/trust-hub/privacy-and-data-protection https://www.cloudflare.com/de-de/trust-hub/privacy-and-data-protection

Betreiber der Websites als Auftragsverarbeiter

www.crif.at: CRIF S.p.A., Via della Beverara 21, 40131 Bologna, Italien
www.mycrifdata.at: Reinhard Janits, Siezenheimer Straße 39A, 5020 Salzburg
www.crif-online.at: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Dublin 18, Irland

Drittlandübermittlung

Der Sitz von Cloudflare befindet sich in den USA. Cloudflare ist unter dem EU-US Datenschutzrahmen zertifiziert, mit dem die EU-Kommission in Form eines Angemessenheitsbeschlusses entschieden hat, dass solche zertifizierten Unternehmen über ein angemessenes Datenschutzniveau verfügen.

Wir haben mit Microsoft Ireland die Verarbeitung innerhalb der Microsoft EU-Datengrenze vereinbart. Beim Einsatz von Microsoft Ireland kann eine Drittlandübermittlung aufgrund des US-Bezugs des Mutterkonzerns Microsoft Corporation und der dort herrschenden Rechtslage (CLOUD-Act, FISA) aber dennoch nicht gänzlich ausgeschlossen werden.

Die Microsoft Corporation ist unter dem zwischen der EU-Kommission und den USA abgeschlossenen Datenschutzrahmen zertifiziert (Angemessenheitsbeschluss gemäß Art 45 Abs 1 DSGVO). Für den Wegfall des Angemessenheitsbeschlusses haben wir nachgelagerte Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/915 der Kommission) mit Microsoft Ireland abgeschlossen (Art 46 Abs 2 lit c DSGVO). Diese sind bei Wegfall des Angemessenheitsbeschlusses auf Anfrage verfügbar.

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter: https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb

Speicherdauer

Die Daten werden für einen Monat gespeichert. Zugleich kann eine längere Speicherung erfolgen, soweit dies erforderlich ist, um festgestellte Angriffe auf unsere Website zu untersuchen oder wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich wird.

Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

1.2 Cookies

Zur Verbesserung des Betriebs unserer Websites greifen wir auf „Cookies“ zurück. Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden kann, wenn Sie eine Website besuchen. Grundsätzlich werden Cookies verwendet, um Nutzern zusätzliche Funktionen auf einer Webseite zu bieten. Cookies können auf keine anderen Daten auf Ihrem Computer zugreifen, diese lesen oder verändern. Weitere Informationen zu den von uns verwendeten Cookies finden Sie gerne in unserer Cookie Policy.

2. Informationen nach Art 14 DSGVO

Dieser Abschnitt der Datenschutzinformation richtet sich an Sie, wenn Sie (potenzieller) Kunde unseres Kunden sind und unser Kunde Informationen zu Ihnen abgefragt hat.

Hinweis: Die Datenschutzinformation betrifft ausschließlich die Verarbeitung Ihrer Daten durch uns. Wir haben keinen Einfluss auf die weitere Verarbeitung Ihrer Daten durch unseren Kunden.

2.1 Identifikation

Zweck

Wir verarbeiten Ihre Daten, um sie unseren Kunden zur Prüfung der Identität ihrer Kunden, potenziellen Kunden und Interessenten sowie zu deren Altersverifikation und der Erfüllung von gesetzlichen Prüfpflichten unserer Kunden (insbesondere iZm Verbraucherkrediten und dem Spielerschutz) zur Verfügung zu stellen.

Verarbeitete Datenkategorien

Vorname
Nachname
Geburtsdatum
Adresse

Rechtsgrundlagen

Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO):

Unser berechtigtes Interesse liegt in der Bereitstellung unserer Produkte und der Erbringung von Dienstleistungen im Bereich der Auskunftei über Kreditverhältnisse gemäß § 152 Gewerbeordnung 1994 („GewO“). Hierbei handelt es sich um ein allgemein und von der Rechtsordnung anerkanntes Interesse.
Das berechtigte Interesse unserer Kunden – auch berechtigte Interessen Dritter sind gemäß Art 6 Abs 1 lit f DSGVO zu berücksichtigen – besteht in der Identifizierung ihrer potentiellen Vertragspartner, unter anderem zur Bekämpfung von Identitätsmissbrauch und Onlinebetrug , in der Überprüfung des Alters für Zugänge zu Produkten oder Dienstleistungen, die erst ab einem bestimmten Alter konsumiert werden dürfen, wie auch in der sicheren und dokumentierten Einhaltung gesetzlicher Verpflichtungen, denen sie unterliegen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Wir erheben die oben angeführten Datenkategorien von folgenden Quellen:

Kunden der CRIF als (potenzielle) Vertragspartner/Gläubiger von Ihnen
Partner der CRIF (insbesondere Inkassoinstitute und Rechtsanwälte)
Dienstleister im Bereich Missbrauchsprävention, die Datenbanken mit Kennnummern von Endgeräten führen, sowie Dienstleister im Bereich der Identitätsprüfung
Adressverlage und Direktmarketingunternehmen gemäß § 151 GewO
Öffentlich zugängliche Quellen wie Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Gewerberegister, Webseiten
Gesellschaften, die unserem Konzern angehören (Übersicht der Konzerngesellschaften: https://www.crif.com/about-us/our-global-presence/) – insbesondere erheben wir Daten bei der CRIF GmbH, Victor-Gollancz-Straße 5, 76137 Karlsruhe, Deutschland (https://crif.de/datenschutz/ – in der Folge „CRIF Deutschland“), der CRIF AG, Hagenholzstrasse 81, 8050 Zürich, Schweiz (https://www.crif.ch/datenschutz/ – in der Folge „CRIF Schweiz“) sowie bei unserer Muttergesellschaft, CRIF S.p.A, (https://service.synesgy.com/global/#InfoPrivacy und https://www.crif.it/privacy-policy/ - in der Folge „CRIF Italien“).

Empfänger

Kunden/Partner der CRIF mit berechtigtem Interesse an den jeweils bereitgestellten Informationen, insbesondere Unternehmen der Kreditwirtschaft und des (Internet-)Handels, die gegenüber betroffenen Personen in Vorleistung treten (z.B. Kauf auf offene Rechnung, Kreditvergabe, Kreditkartengeschäft, Versicherungen, Leasinggesellschaften, etc.), Unternehmen, die gesetzlichen Prüfpflichten unterliegen sowie Vermieter;
Gesellschaften, die unserem Konzern angehören (siehe oben)
- CRIF Italien (siehe oben);
- CRIF Deutschland (siehe oben), welche die übermittelten Daten zum Betrieb ihres Auskunftei- und Adresshandelsgeschäfts verarbeitet und deren Datenschutzerklärung mit näheren Informationen zur Datenverarbeitung unter www.crif.de/datenschutz eingesehen werden kann;
- CRIF Schweiz (siehe oben), welche die übermittelten Daten zum Betrieb ihres Auskunftei- und Adresshandelsgeschäfts verarbeitet und deren Datenschutzerklärung mit näheren Informationen zur Datenverarbeitung unter https://www.crif.ch/datenschutz/ eingesehen werden kann;
Rechtsvertreter, Gerichte und Behörden;
IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Adressdaten (Vorname, Nachname, Geburtsdatum, Adresse, Telefonnummer, E-Mailadresse): Zehn (10) Jahre nach der letzten Adressbestätigung oder Kundenabfrage.
Abfragedaten durch unsere Kunden: Sieben (7) Jahre nach der Abfrage (§ 152 Abs 2 GewO sowie § 132 Abs 1 BAO).

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

2.2 Betrugsprävention, Bekämpfung von Geldwäsche und Terrorismusfinanzierung

Zweck

Wir verarbeiten Ihre Daten, um unseren Kunden Dienstleistungen zum Zweck der Betrugsprävention anbieten und zur Verfügung stellen zu können, die beispielsweise bei mehreren zeitgleich abgeschlossenen Mobilfunkverträgen zum Tragen kommen oder für die Frage, ob tatsächlich ein “echter” Kunde hinter einer angeführten Identität steckt. Dies betrifft insbesondere unsere Kunden aus dem Telekommunikations- sowie dem Banken- und Versicherungssektor sowie im Onlinehandel. Unsere Produkte und Dienstleistungen helfen unseren Kunden dabei, Betrugsversuche zu verhindern oder zu reduzieren. Wir verarbeiten Ihre Daten auch, um sie unseren Kunden aus dem Finanz- und Nicht-Finanzbereich zum Zweck der Bekämpfung von Geldwäsche und Terrorismusfinanzierung zur Verfügung zu stellen.

Verarbeitete Datenkategorien

Vorname
Nachname
Geburtsdatum
Adresse
Parameter zur Erkennung von Scheinidentitäten:
- Dauer der Bekanntheit bei CRIF
- Anzahl der Quellen
- Zahlungserfahrungsdaten
- Art der einmeldenden/bestätigenden Quellen
- Zeitpunkt der letzten Einmeldung/Bestätigung
- Anzahl der bekannten Telefonnummern

Rechtsgrundlagen

Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO):

Unser Interesse liegt in der Erbringung von Auskunftei‑Dienstleistungen gemäß § 152 GewO.
Das berechtigte Interesse unserer Kunden liegt in der Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung sowie der Einhaltung damit verbundener gesetzlicher Verpflichtungen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Kunden der CRIF
Inkassoinstitute, Rechtsanwälte
Dienstleister im Bereich Missbrauchsprävention und Identitätsprüfung
Adressverlage gemäß § 151 GewO
Öffentliche Register & Quellen
CRIF Italien, CRIF Deutschland, CRIF Schweiz

Empfänger

Kunden/Partner der CRIF mit berechtigtem Interesse, insbesondere Kreditwirtschaft, Onlinehandel, Versicherungen, Leasinggesellschaften, Vermieter sowie Unternehmen mit gesetzlichen Prüfpflichten.
Konzernunternehmen der CRIF-Gruppe
Rechtsvertreter, Gerichte, Behörden
IT‑Dienstleister, insbesondere Microsoft Ireland

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Adressdaten & Parameter zu Scheinidentitäten: 10 Jahre nach letzter Bestätigung oder Abfrage.
Abfragedaten durch Kunden: 7 Jahre nach Abfrage (§ 152 Abs 2 GewO, § 132 Abs 1 BAO).

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

2.3 Auskunft über Zahlungsausfallswahrscheinlichkeit

Zweck

Die Auskunft über Zahlungsausfallswahrscheinlichkeiten soll Kreditgebern aussagekräftige Informationen über bestehende oder potenzielle Kreditnehmer – insbesondere über deren bisherige Schuldenbegleichung – zur Verfügung stellen. Kreditgeber sind jene Personen oder Unternehmen, die ihre Leistung erbringen, bevor der Kreditnehmer bezahlt hat (z.B. Kauf auf Rechnung, Ratenzahlung, Versicherungen oder Leasinggesellschaften).

Die Auskunft soll Kreditgebern ermöglichen, die Wahrscheinlichkeit der Rückzahlung einer Forderung sowie mögliche Schwierigkeiten einzuschätzen.

Verarbeitete Datenkategorien

Negative Zahlungserfahrungsdaten (Negativdaten):
- Es werden nur Daten über qualifizierte Zahlungsverzüge gespeichert, bei denen der Gläubiger die offene Forderung nach angemessener Nachfrist zweimal eingemahnt hat und diese unbestritten blieb.
- Auch bereits beglichene Forderungen („positiv erledigt“) bleiben für die Dauer der Speicherdauer gespeichert, da sie Teil des bonitätsrelevanten Gesamtbildes sind.
- Bereits beglichene Forderungen werden als solche berücksichtigt, bleiben aber relevant, da frühere Zahlungsausfälle statistisch mit höheren künftigen Risiken verbunden sind.
Vorname
Nachname
Alter
Verwendete Adressen im Wirtschaftsleben
Geschlecht
Daten zu gerichtlichen Publikationen (Insolvenzdaten, Versteigerungen)
Abfragedaten durch Kunden der CRIF
Aus den Daten berechneter Scorewert über die Zahlungsausfallswahrscheinlichkeit

Rechtsgrundlagen

Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO):

Bereitstellung von Dienstleistungen der Auskunftei gemäß § 152 GewO.
Interesse unserer Kunden an der Einschätzung der Zahlungsmoral und des Risikos ihrer Vertragspartner, um Konditionen, Vorleistungen und Risikoentscheidungen angemessen treffen zu können.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Kunden der CRIF als Vertragspartner/Gläubiger
Partner der CRIF (z.B. Inkassoinstitute, Rechtsanwälte)
Dienstleister im Bereich Missbrauchsprävention & Identitätsprüfung
Öffentliche Quellen wie Melderegister, Firmenbuch, Ediktsdatei, Gewerberegister, Websites
Konzernunternehmen: CRIF Italien, CRIF Deutschland, CRIF Schweiz

Hinweis: Seit 27.09.2023 verarbeitet CRIF für diesen Zweck keine Adressverlagsdaten mehr.

Erforderlichkeit der Bereitstellung bei Direkterhebung

In Einzelfällen werden Daten direkt bei Ihnen erhoben, etwa bei Nutzung der Selbstanlage. Dies ist freiwillig – ohne Bereitstellung ist die Selbstanlage jedoch nicht möglich.

Empfänger

Kunden/Partner der CRIF mit berechtigtem Interesse, insbesondere Kreditwirtschaft, Onlinehandel, Versicherungen, Leasinggesellschaften, Vermieter sowie Unternehmen mit gesetzlichen Prüfpflichten
Konzernunternehmen (CRIF Italien, CRIF Deutschland, CRIF Schweiz)
Rechtsvertreter, Gerichte und Behörden
IT‑Dienstleister, insbesondere Microsoft Ireland

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Adressdaten: 10 Jahre nach der letzten Adressbestätigung oder Kundenabfrage
Negative Zahlungserfahrungsdaten: 7 Jahre nach Erledigung der Forderung
Restschuldbefreiung: 1 Jahr nach Erteilung der Restschuldbefreiung gemäß § 256 Abs 2 IO
Abfragedaten: 7 Jahre nach der Abfrage

Automatisierte Entscheidung inklusive Profiling

CRIF ermittelt Scorewerte mittels statistischer Verfahren unter Berücksichtigung von Zahlungsausfällen, Alter, Geschlecht und Wohnort.
Der Scorewert darf durch Kunden nicht als einzig maßgebliches Entscheidungskriterium genutzt werden, weshalb keine automatisierte Entscheidung i.S.d. Art 22 DSGVO vorliegt.
Relevant sind u.a. EuGH‑Urteile vom 7.12.2023 (C‑634/22) und 27.2.2025 (C‑203/22).

2.4 Marketingzwecke Dritter

Zweck

Als Adressverlag sind wir gemäß § 151 GewO berechtigt, Daten für die Vorbereitung und Durchführung von Marketingaktionen Dritter zu erheben, zu verarbeiten und an Kunden zu übermitteln.

Verarbeitete Datenkategorien

Vorname
Nachname
Geschlecht
Titel
Akademischer Grad
Anschrift
Geburtsdatum
Berufs-, Branchen- oder Geschäftsbezeichnung
Zugehörigkeit zu Kunden- oder Interessentendateisystemen

Rechtsgrundlage

Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO):
- Unser Interesse liegt in der Bereitstellung von Adressverlags‑Dienstleistungen gemäß § 151 GewO.
- Das Interesse unserer Kunden besteht in der Durchführung zielgerichteter Marketingmaßnahmen.

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Marketingdateisysteme anderer Adressverlage und Direktmarketingunternehmen
Öffentliche Quellen (Melderegister, Firmenbuch, Vereinsregister, Ediktsdatei, Webseiten)
Befragungen der betroffenen Personen
Kunden- und Interessentendateisysteme Dritter

Empfänger

Kunden/Partner der CRIF zur Nutzung für Marketingzwecke
IT‑Dienstleister wie Microsoft Ireland

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Adressverlagsdaten: 10 Jahre nach letzter Adressbestätigung oder Kundenabfrage

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

2.5 Produkt- und Dienstleistungsfortentwicklung

Zweck

Wir evaluieren und verbessern unsere Produkte und Dienstleistungen laufend, um auf die Bedürfnisse des Marktes sowie auf aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung eingehen zu können.

Verarbeitete Datenkategorien

Zur Produkt- und Dienstleistungsfortentwicklung gehen wir nach folgendem Standard vor:
- Soweit möglich, verarbeiten wir ausschließlich anonyme, anonymisierte oder fiktive Daten.
- Wenn dies nicht ausreicht, verarbeiten wir pseudonymisierte Daten, soweit notwendig.
- Nur in Ausnahmefällen werden Echtdaten verarbeitet – stets zeitlich und inhaltlich auf das erforderliche Minimum beschränkt.
Potentiell können alle in den Abschnitten 2.1 bis 2.4 genannten Datenkategorien herangezogen werden.

Rechtsgrundlage

Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO):

Unser berechtigtes Interesse liegt in der Bereitstellung gesetzes- und marktkonformer Produkte und Dienstleistungen im Bereich des Adressverlags (§ 151 GewO) sowie der Auskunftei über Kreditverhältnisse (§ 152 GewO).

Quellen

Die Datenquellen entsprechen jenen der Abschnitte 2.1 bis 2.4.

Empfänger

IT-Dienstleister als Auftragsverarbeiter, insbesondere Microsoft Ireland (siehe Abschnitt 1.1), für den Betrieb unserer IT-Infrastruktur.

Drittlandübermittlung

Weitere Informationen: https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb

Speicherdauer

Echtdaten und pseudonymisierte Daten werden nur so lange verarbeitet, wie es für die Produkt- und Dienstleistungsfortentwicklung unbedingt erforderlich ist.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

3. Informationen nach Art 13 DSGVO

Dieser Abschnitt der Datenschutzinformation richtet sich an Sie, wenn wir die Daten direkt bei Ihnen erheben, insbesondere in Zusammenhang mit Ihrer Selbstanlage in unserer Adressverlags- und Auskunfteidatenbank, einer bevorstehenden oder laufenden Geschäftsbeziehung, einer Kontaktaufnahme oder der Durchführung von Veranstaltungen.

3.1. Selbstanlage

Zweck

Sie haben die Möglichkeit, sich selbst in unserer Adressverlags- und Auskunfteidatenbank anlegen zu lassen. In diesem Fall verarbeiten wir Ihre für die in Abschnitt 2.1 bis 2.5 dieser Datenschutzinformation aufgelisteten Verarbeitungstätigkeiten verarbeitet.

Verarbeitete Datenkategorien

Die verarbeiteten Datenkategorien entnehmen Sie bitte den in den Abschnitten 2.1 bis 2.5 angeführten Verarbeitungstätigkeiten.

Rechtsgrundlagen

Einwilligung (Art 6 Abs 1 lit a DSGVO)

Erforderlichkeit der Bereitstellung bei Direkterhebung

Sie sind nicht verpflichtet, uns Ihre personenbezogenen Daten zu diesem Zweck bereitzustellen. Bei Nichtbereitstellung Ihrer Daten können Sie die Möglichkeit der Selbstanlage nicht nutzen.

Empfänger

Kunden/Partner der CRIF mit berechtigtem Interesse an den bereitgestellten Informationen. Die genauen Empfänger pro Verarbeitungstätigkeit entnehmen Sie bitte den Abschnitten 2.1 bis 2.5.
Rechtsvertreter, Gerichte und Behörden
IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Empfänger), als Dienstleister für den Betrieb unserer IT‑Infrastruktur

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Bei Selbstanlage verarbeiten wir Ihre Daten bis zum Widerruf.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.2. Kontaktaufnahme

Zweck

Wenn Sie per Kontaktformular auf der Website, über soziale Medien, per Brief, E‑Mail oder Telefon mit uns Kontakt aufnehmen, werden die erforderlichen sowie die von Ihnen angegebenen Daten verarbeitet, um Ihre Anfrage zu bearbeiten.

Verarbeitete Datenkategorien

Name
Kontaktdaten je nach Kontaktart:
- Telefonnummer
- E‑Mailadresse
- Adresse
- Kennung in einem sozialen Netzwerk
Inhalt der Anfrage
Zustimmung zu Marketingzwecken

Rechtsgrundlagen

Vertragsanbahnung oder Vertragserfüllung (Art 6 Abs 1 lit b DSGVO)
Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO), Ihre Anfrage zu beantworten
Für Online‑Kontaktformular: Bereitstellung eines ausdrücklich gewünschten Dienstes (§ 165 Abs 3 TKG)

Erforderlichkeit der Bereitstellung bei Direkterhebung

Sie sind nicht verpflichtet, uns Daten bereitzustellen. Ohne diese kann Ihre Anfrage jedoch nicht bearbeitet werden.

Empfänger

CRIF Italien, CRIF Deutschland und/oder CRIF Schweiz (wenn erforderlich)
IT‑Dienstleister wie Microsoft Ireland (siehe Abschnitt 1.1 Empfänger)

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Bei Vertragsbezug: 7 Jahre ab Anfrage (§§ 132 BAO, 190, 212 UGB)
Bei berechtigtem Interesse: Speicherung solange erforderlich

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

3.3 Bewerbungsverfahren

Zwecke

Wenn Sie sich bei uns bewerben, verarbeiten wir die damit verbundenen Daten zur Abwicklung des Bewerbungsverfahrens (Durchführung vorvertraglicher Maßnahmen, Abschluss eines Dienstvertrags). Im Falle einer Absage werden Ihre Daten zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen verarbeitet.

Darüber hinaus halten wir Ihre Daten für zukünftige Positionen in Evidenz, sofern Sie uns eine entsprechende Einwilligung gegeben haben.

Zusätzlich führen wir eine anonyme statistische Auswertung der Bewerberstruktur durch; hierfür werden Ihre Bewerberdaten anonymisiert.

Verarbeitete Datenkategorien

Vorname
Nachname
Titel
Kontaktdaten (Adresse, Telefon, E-Mail)
Bewerbungsdaten:
- Lebenslauf
- Dienstzeugnisse
- Sonstige Nachweise über Qualifikationen

Rechtsgrundlagen

Vertragsanbahnung (Art 6 Abs 1 lit b DSGVO)
Einwilligung (Art 6 Abs 1 lit a DSGVO) für Evidenzhaltung
Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO), Bewerberdaten als Beweis im Falle der Verteidigung gegen einen Ersatzanspruch nach dem GlBG aufzubewahren
Statistische Zwecke ohne personenbezogene Ergebnisse (§ 7 Abs 1 DSG)

Empfänger

Konzernmutter CRIF Italien
IT-Dienstleister, z. B. Microsoft Ireland

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Gemeinsame Verantwortlichkeit

Diese Verarbeitung erfolgt in gemeinsamer Verantwortlichkeit mit unserer Konzernmutter CRIF S.p.A., Via della Beverara 21, 40131 Bologna, Italien. Auf Anfrage stellen wir Ihnen gerne die wesentlichen Inhalte der Vereinbarung gemäß Art 26 DSGVO zur Verfügung.

Datenschutzbeauftragter der Konzernmutter:
CRIF S.p.A – Data Protection Officer
via della Beverara 21, 40131 Bologna, Italien
E-Mail: dirprivacy@crif.com oder crif@pec.crif.com

Speicherdauer

Bewerbungsdaten: 7 Monate nach Absage zur Verteidigung gegen Ansprüche nach dem GlBG. Längere Speicherung nur bei bereits anhängigen Verfahren.
Bei Einwilligung zur Evidenzhaltung: Löschung nach 2 Jahren ab Ablehnung.

Erforderlichkeit der Bereitstellung

Für das Bewerbungsverfahren erforderlich. Ohne Daten kann die Bewerbung nicht bearbeitet und keine Einstellung erfolgen.
Für die Evidenzhaltung besteht keine Verpflichtung; ohne Daten können wir Sie jedoch nicht für zukünftige Positionen kontaktieren.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

3.4 Geschäftsbeziehungen

Zwecke

Wir verarbeiten die Daten unserer (potenziellen) Vertragspartner – Lieferanten wie Kunden – zur Anbahnung, Durchführung und Verwaltung der Geschäftsbeziehung. Dies umfasst insbesondere:

Erfüllung (vor-)vertraglicher Pflichten
Anbahnung und Abwicklung von Bezugs- und Verkaufsprozessen
Gewährleistung resilienter Geschäftsprozesse
Verwaltung von Geschäftsbeziehungen und Kommunikation
Analyse von Kundenbedürfnissen und Nutzung unserer Produkte
Vorhersage von Kundennachfragen
Kundenzufriedenheitsanalysen und Umfragen
Abwicklung des Beschaffungswesens
Bereitstellung interner Arbeitsmaterialien und Infrastruktur
Bereitstellung von Informationen über Produkte, Leistungen und Veranstaltungen
Durchführung von Direktmarketing und Werbung
Erfüllung gesetzlicher Verpflichtungen, insbesondere Betroffenenanfragen

Verarbeitete Datenkategorien

Identitätsdaten (Vor- und Nachname, Titel, Anrede)
Firmenname, Firmenbuchnummer, Sitz, Firmenbuchdaten
Kontaktdaten (Adresse, E-Mail, Telefonnummer, Fax, URL)
Position im Unternehmen
Vertragsinhalte, Angebote, Korrespondenz
Registerdaten (Gewerbe-, Vereinsregister)
Bonitätsdaten
Rechnungslauf, Mahnstatus
Umsatzsteuer-ID, steuerrelevante Daten
Zahlungsdaten (Bankverbindung, Kreditkarte)
Konto- und Belegdaten
Dienstleister-/Lieferantenkategorie
Kundenkategorie
Branche & Interessentenzuordnung
Kaufkraft, Kaufverhalten, Nachfrageinteressen
Unternehmensgröße / Mitarbeiterzahl
Sperrkennzeichen
Liefer-/Leistungsgegenstand und Bedingungen
Boni, Provisionen
Daten zu mitwirkenden Dritten, inkl. Art der Mitwirkung
Finanzierungs- und Zahlungsbedingungen
Versicherungs-, Verzollungs- und Exportkontrolldaten
Zeichnungsbefugnis und Vertretungsberechtigung
Datum/Uhrzeit von Besuchen
E-Mail- und Telefonkommunikation
Reaktionen auf Marketingmaßnahmen
Interaktionshistorie

Rechtsgrundlagen

Einwilligung (Art 6 Abs 1 lit a DSGVO)
Vertragsanbahnung oder Vertragserfüllung (Art 6 Abs 1 lit b DSGVO)
Gesetzliche Verpflichtungen (Art 6 Abs 1 lit c DSGVO)
Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Quellen

Öffentlich verfügbare Quellen wie Internet und öffentliche Register.

Erforderlichkeit der Bereitstellung

Für die Vertragsanbahnung/-erfüllung notwendig. Ohne Bereitstellung kann es zu Verzögerungen oder fehlender Vertragsmöglichkeit kommen.
Für die Einhaltung gesetzlicher Verpflichtungen teilweise erforderlich. Ohne Bereitstellung könnten wir gesetzliche Pflichten nicht erfüllen.
In allen anderen Fällen besteht keine Pflicht zur Bereitstellung.

Empfänger

IT-Dienstleister (z. B. Microsoft Ireland)
Rechtsvertreter
Banken
Steuerberater und Wirtschaftstreuhänder
Gerichte und Behörden
Vertrags- und Geschäftspartner, die an unserer Leistung mitwirken
Versicherungen
Konzernunternehmen (CRIF Italien, CRIF Deutschland, CRIF Schweiz)

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Gemeinsame Verantwortlichkeit

Diese Verarbeitung erfolgt gemeinsam mit CRIF S.p.A., Via della Beverara 21, 40131 Bologna, Italien. Auf Anfrage stellen wir Ihnen die wesentlichen Inhalte der Art‑26‑Vereinbarung zur Verfügung.

Datenschutzbeauftragter der Konzernmutter:
CRIF S.p.A – Data Protection Officer
via della Beverara 21, 40131 Bologna, Italien
E-Mail: dirprivacy@crif.com oder crif@pec.crif.com

Speicherdauer

Vertragsbezogene Daten: 7 Jahre ab Ende des Kalenderjahres gemäß § 132 BAO, §§ 190, 212 UGB.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

3.5 Gästemanagement und Videoüberwachung

Zwecke

Bei Besuch unternehmensfremder Personen im Gebäude der CRIF verarbeiten wir personenbezogene Daten zu folgenden Zwecken:

Aushändigung von Besucherausweisen
Vermeidung des Zutritts unbefugter Personen
Gewährleistung der Sicherheit und des Schutzes unserer Mitarbeiter, Besucher und Geschäftspartner sowie unseres Eigentums und unserer Räumlichkeiten
Verhinderung, Eindämmung und Aufklärung potentiell strafrechtlich relevanten Verhaltens
Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Verarbeitete Datenkategorien

Identitätsdaten (Namen, Titel, Anrede, Geburtsdatum und -ort)
Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer, Faxnummer)
Information, dass ein Ausweis vorgezeigt wurde
Unternehmen und Funktion
Ihre Kontaktperson im Unternehmen
Grund Ihres Besuchs
Datum und Uhrzeit Ihres Besuchs
Videoaufzeichnungen
Ort und Zeit der Videoaufzeichnung

Rechtsgrundlage

Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) am Schutz unserer Mitarbeiter, Besucher, Geschäftspartner, unseres Eigentums sowie von Geschäfts- und Betriebsgeheimnissen.

Erforderlichkeit der Bereitstellung

Es besteht keine Verpflichtung zur Bereitstellung. Allerdings kann ohne Daten kein Zutritt zu den Räumlichkeiten gewährt werden.

Empfänger

Im Falle einer Sicherheitsverletzung oder strafrechtswidrigem Verhalten:

Rechtsvertreter
Gerichte und Verwaltungsbehörden
Sicherheitsbehörden
Versicherungen
IT‑Dienstleister (z. B. Microsoft Ireland)
Konzernunternehmen (CRIF Italien, CRIF Deutschland, CRIF Schweiz)

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Daten zum Gästemanagement: 6 Monate nach Besuch
Videoüberwachung: 72 Stunden

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

3.6 Veranstaltungsmanagement inklusive Bild- und Tonaufnahmen und deren Vermarktung & Veröffentlichung

Zwecke

Bei Teilnahme an Veranstaltungen der CRIF verarbeiten wir personenbezogene Daten zu folgenden Zwecken:

Organisation, Durchführung und Nachbereitung der Veranstaltung
Berichterstellung und Archivierung zur Dokumentation der Firmengeschichte
Anfertigung, Präsentation und Veröffentlichung von Fotos und Videos
Bereitstellung im Intranet und Internet, inkl. Galerien
Durchführung von Direktmarketing und Umfragen
Durchführung von Öffentlichkeitsarbeit (PR)

Verarbeitete Datenkategorien

Vor- und Nachname
Kontaktdaten (Telefon, E-Mail, Adresse)
Zu-/Absage
Korrespondenz zur Organisation/Abwicklung
Bild- und Tonaufnahmen
Präsentationsunterlagen
Daten, die im Rahmen der Veranstaltung, Umfrage oder PR-Aktivität bereitgestellt wurden

Rechtsgrundlagen

Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an der Durchführung von Veranstaltungen, Dokumentation, Archivierung und Kommunikation.
Einwilligung (Art 6 Abs 1 lit a DSGVO) für bestimmte Marketingaktionen (einzelne Fotos/Videos).

Erforderlichkeit der Bereitstellung

Es besteht keine Verpflichtung. Ohne Daten kann die Teilnahme an der Veranstaltung oder PR-Aktivität jedoch eingeschränkt sein.

Empfänger

IT‑Dienstleister wie Microsoft Ireland
Online- und Printmedien
Soziale Netzwerke und Videoplattformen
Externe Dienstleister für Organisation und Durchführung
Konzernunternehmen (CRIF Italien, CRIF Deutschland, CRIF Schweiz)

Drittlandübermittlung

Eine Übermittlung in die USA kann nicht ausgeschlossen werden. Microsoft ist unter dem EU‑US Datenschutzrahmen zertifiziert; ergänzend bestehen SCCs.

Weitere Informationen: https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb

Speicherdauer

Daten zur Anmeldung: 3 Monate nach der Veranstaltung.
Fotos/Videos & Teilnahmeinformationen: unbegrenzt für interne Archivzwecke; Löschung, wenn ungeeignet oder auf Wunsch der betroffenen Person.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

3.7 Livestreaming von Veranstaltungen

Zwecke

Einige unserer Veranstaltungen finden hybrid statt – das heißt, sie werden zusätzlich zur Abhaltung vor Ort auch online übertragen So können auch Personen an den Veranstaltungen teilnehmen, die nicht vor Ort dabei sein können. Die Livestreams erfolgen über Microsoft Teams und YouTube. Wenn ein Livestream über YouTube läuft, ist er für alle Personen, die über den Link zu der Übertragung verfügen, zugänglich.

Während der Übertragung werden die Vortragenden in der Regel namentlich genannt. Es kann außerdem vorkommen, dass Personen im Aufnahmebereich der Kamera zu sehen sind. Wir beabsichtigen nicht, diese Personen zu identifizieren, können es aber nicht vollständig ausschließen. Die Bereiche, die in den Übertragungen zu sehen sind, werden gekennzeichnet, um es Personen zu ermögliche, diese Bereiche zu meiden.

Die Aufnahmen dienen ausschließlich der Liveübertragung. Eine weitere Verwendung – etwa eine Speicherung oder Veröffentlichung – ist nicht vorgesehen.

Verarbeitete Datenkategorien

Namen von Vortragenden
Bild- und Tonaufnahmen
Daten der Online-Profile der Teilnehmenden (Profilname, Profilbild, geteilte Inhalte)

Rechtsgrundlage

Wir verarbeiten die oben genannten Daten auf Grundlage unseres berechtigten Interesses und den Interessen der Online-Teilnehmer (Art 6 Abs 1 lit f DSGVO) daran, den Zugang zu unserer Veranstaltung auch für jenen Personenkreis zu ermöglichen, der nicht vor Ort daran teilnehmen kann.

Erforderlichkeit der Bereitstellung

Es besteht für Sie als teilnehmende Person keine Verpflichtung, sich filmen zu lassen. Bitte meiden Sie hierfür insbesondere den gekennzeichneten Aufnahmebereich der Kamera. Die Nichtbereitstellung Ihrer Daten hat für Sie keine negativen Folgen.

Empfänger

Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Betreiber von MS Teams sowie Dienstleister für den Betrieb unserer IT-Infrastruktur (Auftragsverarbeiter)
Google Ireland Limited (siehe Abschnitt 14 Unterabschnitt Soziale Medien im Einzelnen unten) als Betreiber von YouTube (Auftragsverarbeiter)
Alle Personen, die über die Zugangsinformation (Veranstaltungseinladung für MS Teams oder Zugangslink zu dem YouTube-Stream) verfügen

Drittlandübermittlung

Microsoft Corporation und Google LLC sind unter dem EU‑US Datenschutzrahmen zertifiziert.

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Die Videoübertragung erfolgt in Echtzeit, es findet keine darüberhinausgehende Speicherung der Bild- und Tonaufnahmen statt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO statt.

4. Verwaltung von Anfragen zu Ihren Betroffenenrechten

Zwecke

Die Verarbeitung Ihrer Daten im Zusammenhang mit der Ausübung von Betroffenenrechten erfolgt zu folgenden Zwecken:

Erfüllung unserer gesetzlichen Verpflichtungen (Art 6 Abs 1 lit c DSGVO) rund um die Beantwortung und Umsetzung von datenschutzrechtlichen Betroffenenanfragen
Bestätigung Ihrer Identität zur Verhinderung einer missbräuchlichen Geltendmachung von Betroffenenrechten
Nachweis der Erfüllung unserer gesetzlichen Pflichten rund um die Beantwortung von Betroffenenanfragen
Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Wir erheben Ihre personenbezogenen Daten entweder direkt von Ihnen im Rahmen unserer Kommunikation, oder – wenn wir begründete Zweifel an Ihrer Identität oder den von Ihnen angegebenen Kontaktdaten haben – aus öffentlich zugänglichen Datenbanken um Ihre Angaben zu überprüfen.

Verarbeitete Datenkategorien

Identitätsdaten (Vorname, Nachname, Titel, Anrede, Geburtsdatum)
Kontaktdaten (insbesondere Adresse mit Straße, Hausnummer, PLZ, Stadt, Telefonnummer, Fax, E-Mail, Website)
Identitätsnachweis (etwa Lichtbildausweis oder Meldezettel), sofern zur Bestätigung Ihrer Identität erforderlich
Inhalte der Spezialvollmacht Ihres Vertreters, sofern Sie sich bei der Ausübung Ihrer Betroffenenrechte vertreten lassen
Weitere von Ihnen im Rahmen unserer Kommunikation bereitgestellte Daten sowie Korrespondenz
Sämtliche Daten, die wir im Rahmen Ihrer Anfrage zur Geltendmachung der Betroffenenrechte verarbeiten müssen, wie zB Daten, die beauskunftet werden. Dies können potenziell sämtlich in dieser Datenschutzinformation genannten Datenkategorien sein.

Rechtsgrundlagen

Gesetzliche Verpflichtung (Art 6 Abs 1 lit c iVm Art 12 ff DSGVO)
Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO) an der Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen sowie Erfüllung unserer Rechenschaftspflichten gemäß Art 5 Abs 2 DSGVO

Quellen, sofern die Daten nicht direkt bei Ihnen erhoben werden

Wir erheben Ihre personenbezogenen Daten in der Regel direkt von Ihnen über das Online-Kontaktformular oder im Rahmen unserer Kommunikation. Sollten wir aus Datensicherheitsgründen Zweifel an Ihrer Identität oder den von Ihnen angegebenen Kontaktdaten haben, werden wir aus öffentlich zugänglichen Datenbanken (insbesondere aus dem Zentralen Melderegister) Daten erheben, um Ihre Angaben zu überprüfen.

Erforderlichkeit der Bereitstellung

Die Bereitstellung Ihrer Identitätsdaten ist gesetzlich vorgeschrieben. Ohne die Bereitstellung Ihrer Daten können wir Ihre Anträge auf Ausübung Ihrer Betroffenenrechte nicht bearbeiten.

Empfänger

IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur
Rechtsvertreter
Gerichte und Verwaltungsbehörden
Gesellschaften, die unserem Konzern angehören (siehe oben); insbesondere bei CRIF Italien; CRIF Deutschland und CRIF Schweiz

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Die für die Identifikation erforderlichen Daten (Identitätsnachweise) werden nach einem Monat gelöscht.
Die Daten rund um die Beantwortung Ihrer Betroffenenbegehren („Selbstauskunft“ sowie Korrespondenz) bewahren wir für drei (3) Jahre ab dem letzten Kontakt in Zusammenhang mit der Geltendmachung eines Betroffenenrechts auf, einerseits zur Verteidigung in einem allfälligen Beschwerdeverfahren (§ 24 DSG), andererseits zum Nachweis der Erfüllung der uns obliegenden Rechenschaftspflicht (Art 5 Abs 2 DSGVO) gegenüber Gerichten und Verwaltungsbehörden (§ 31 Abs 2 VStG). Im Falle eines laufenden Verfahrens werden die Daten für den Zeitraum des laufenden Verfahrens aufbewahrt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

5. Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

Zwecke

Um unsere Rechtsansprüche außergerichtlich, gerichtlich und vor Verwaltungsbehörden geltend machen, ausüben und verteidigen zu können, verarbeiten wir Ihre Daten, soweit dies hierfür erforderlich ist.

Verarbeitete Datenkategorien

Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen sowie zur Abwicklung von Verfahren vor Behörden (einschließlich Gerichten) verarbeiten wir alle Datenkategorien, die hierfür erforderlich sind. Es handelt sich potenziell um sämtliche Datenkategorien, die wir von Ihnen bereits zu anderen Zwecken verarbeiten und darüber hinaus Daten, die wir nicht von Ihnen erheben, sondern zB im Rahmen des Verfahrens (meistens von Ihnen oder dem Gericht oder der Behörde) erlangen.

Rechtsgrundlage

Wir verarbeiten Ihre Daten auf Grundlage unseres berechtigten Interesses (Art 6 Abs 1 lit f DSGVO) an der Durchsetzung bestehender und Abwehr nicht bestehender Ansprüche sowie in der unsere Rechtsposition schützenden Abwicklung von behördlichen (einschließlich gerichtlichen) Verfahren. Hierbei handelt es sich um einen zulässigen Weiterverarbeitungszweck (Art 6 Abs 4 DSGVO).

Quellen & Erforderlichkeit der Bereitstellung

Es besteht für Sie keine Verpflichtung, uns personenbezogene Daten zu dem Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen bereitzustellen, wir können aber sämtliche Datenkategorien, die wir bereits zu anderen Zwecken von Ihnen verarbeiten, dafür weiterverarbeiten.

Empfänger

IT-Dienstleister als Auftragsverarbeiter, etwa Microsoft Ireland (siehe Abschnitt 1.1 Unterabschnitt Empfänger oben) als Dienstleister für den Betrieb unserer IT-Infrastruktur
Rechtsvertreter
Gerichte und Behörden
Konzernunternehmen (CRIF Italien, CRIF Deutschland, CRIF Schweiz (siehe oben))

Drittlandübermittlung

Nähere Informationen zur Microsoft EU-Datengrenze finden Sie unter https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb.

Speicherdauer

Zur Ausübung, Geltendmachung und Verteidigung von Rechtsansprüchen (Art 6 Abs 1 lit f DSGVO) sowie im unternehmenseigenen Dokumentationsinteresse, um gleich-, verarbeiten wir Ihre Daten für drei (3) Jahre nach Abschluss des Verfahrens (§ 24 DSG iVm § 31 VStG) oder ab dem letzten Kontakt in Zusammenhang mit der Geltendmachung eines Betroffenenrechts.
Die mit laufenden Verträgen zusammenhängenden Daten etwa werden aufgrund der allgemeinen Verjährungsfrist des § 1489 ABGB grundsätzlich dreißig (30) Jahre lang aufbewahrt. Dient die Verarbeitung von Daten ausschließlich dem Zweck der Ausübung, Geltendmachung und Verteidigung von Rechtsansprüchen, wird deren Verarbeitung bis zum Löschzeitpunkt eingeschränkt.

Automatisierte Entscheidungsfindung inkl. Profiling

Es findet keine automatisierte Entscheidungsfindung inkl. Profiling gemäß Art 22 DSGVO statt.

6. Soziale Medien

Allgemeines zu Auftritten in Sozialen Medien

Wenn Sie unsere Unternehmensprofile auf sozialen Medien besuchen, werden dabei Daten über Sie und Ihr Nutzungsverhalten verarbeitet. Wir verarbeiten diese Daten mit den Anbietern sozialer Medien als gemeinsame Verantwortliche. Die Anbieter sozialer Medien verwenden diese Daten auch als selbstständig Verantwortliche, um Werbung gezielt an Ihre Interessen anzupassen oder um Marktforschung zu betreiben. Das bedeutet zum Beispiel, dass die Anbieter erkennen, welche Themen Sie interessieren, und Ihnen darauf basierend passende Werbeanzeigen zeigen – sowohl innerhalb der Plattform als auch außerhalb. Genauere Informationen darüber, welche Daten von den Anbietern sozialer Medien als selbstständig Verantwortliche verarbeitet werden und wie Sie der Nutzung widersprechen oder Ihre Einwilligung widerrufen können, finden Sie in den Datenschutzinformationen der jeweiligen Plattform (siehe Abschnitt „Soziale Medien im Einzelnen“ weiter unten).

Durch CRIF verarbeitete Daten

Im Folgenden informieren wir Sie darüber, zu welchen Zwecken welche personenbezogenen Daten wir über Sie anhand welcher Rechtsgrundlage verarbeiten.

Zwecke

Wir nutzen unsere Auftritte in sozialen Medien, um Sie über unser Unternehmen, die CRIF GmbH, offene Stellen sowie unsere Produkte und Dienstleistungen zu informieren. Gleichzeitig möchten wir mit Ihnen in Kontakt treten und Ihnen den Austausch mit uns ermöglichen.

Zusätzlich stellen uns die Plattformen anonyme Statistiken zur Verfügung – also Auswertungen darüber, wie viele Menschen unsere Inhalte sehen oder mit ihnen interagieren. Diese Informationen helfen uns dabei, unsere Inhalte besser auf Ihre Interessen abzustimmen.

Verarbeitete Datenkategorien

Zu den Nutzungsdaten, die bei Ihrem Besuch unserer Unternehmensprofile auf sozialen Medien verarbeitet werden, zählen:

Follower:innen
Interaktionen mit unseren Postings

Wenn Sie über unsere Auftritte auf sozialen Medien mit uns in Kontakt treten, verarbeiten wir weiters die Daten, die Sie uns dabei mitteilen, zum Beispiel:

Nutzername
Name
Kontaktinformationen
Kommunikationsinhalt

Rechtsgrundlagen

Vertragsanbahnung oder Vertragserfüllung (Art 6 Abs 1 lit b DSGVO)
Berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), insbesondere:
- Beantwortung Ihrer Kontaktaufnahme
- der Information über unser Unternehmen, offener Stellen und unserer Produkte und Dienstleistungen, sowie
- der Datenverarbeitung zu Analyse- und Marketingzwecken zur stetigen Verbesserung unseres Auftritts auf sozialen Medien.

Erforderlichkeit der Bereitstellung

Sofern Ihre Nutzung im Rahmen der Kontaktaufnahme zur Vertragsanbahnung erfolgt, ist die Angabe Ihrer Daten für den Vertragsabschluss erforderlich. Die Nichtbereitstellung Ihrer Daten im Rahmen der Kontaktaufnahme zur Vertragsanbahnung hat zur Folge, dass wir Ihre Kontaktaufnahme nicht weiter behandeln können. Sofern Ihre Nutzung aus anderen Gründen erfolgt, besteht für Sie keine Verpflichtung, Ihre Daten bereitzustellen. Die Nichtbereitstellung bei der Nutzung aus anderen Gründen hat für Sie keine negativen Folgen.

Empfänger

Ihre Daten werden unter Umständen an die CRIF S.p.A, die CRIF GmbH (Deutschland) und/oder die CRIF AG (Schweiz) sowie an LinkedIn Ireland Unlimited Company, New Work SE sowie Google Ireland Limited (siehe dazu Abschnitt 14 Unterabschnitt Soziale Medien im Einzelnen unten) übermittelt, jedenfalls aber nicht an sonstige Dritte.

Drittlandübermittlung

Bei den sozialen Medien LinkedIn und YouTube kann es unter Umständen vorkommen, dass Nutzungsdaten außerhalb der Europäischen Union, konkret in den USA verarbeitet werden. Dies ist aufgrund des Datenschutzrahmens EU-USA (Angemessenheitsbeschlusses der EU-Kommission vom 10.07.2023) gemäß Art 45 DSGVO oder aufgrund von Standardvertragsklauseln gemäß Art 46 Abs 2 lit c DSGVO zulässig.

Datenschutzrechtliche Rollenverteilung

Laut einem Urteil des Europäischen Gerichtshofs sind wir gemeinsam mit dem jeweiligen Anbieter des sozialen Netzwerks für die Verarbeitung Ihrer Nutzungsdaten verantwortlich – das nennt man „gemeinsame Verantwortlichkeit“ nach Art 26 DSGVO. Wir haben dafür entsprechende Vereinbarungen mit den Plattformen getroffen.

Wir erhalten nicht alle Daten, die bei Ihrem Besuch unserer Unternehmensprofile auf sozialen Medien verarbeitet werden. Da nur die Anbieter der sozialen Medien einen vollständigen Zugriff auf diese Daten haben, empfehlen wir Ihnen, sich bei Fragen oder zur Ausübung Ihrer Datenschutzrechte an den jeweiligen Anbieter zu wenden. Die Links zu den Datenschutzhinweisen der Anbieter finden Sie im Abschnitt „Soziale Medien im Einzelnen“.

Natürlich können Sie sich auch an uns wenden. In diesem Fall nehmen wir Kontakt mit dem jeweiligen Anbieter auf, um Ihr Anliegen zu klären.

Speicherdauer

Wenn Sie über unsere Auftritte auf den sozialen Medien mit uns in Kontakt treten, speichern wir die dabei von uns verarbeiteten Daten grundsätzlich so lange, wie Ihr Account beim jeweiligen sozialen Netzwerk besteht. Wenn wir die Daten zur Durchsetzung oder Abwehr von rechtlichen Ansprüchen benötigen, kann eine längere Speicherung erforderlich sein. Sobald keiner dieser Gründe mehr vorliegt, löschen wir Ihre Daten.
Die Verhaltensdaten, also Informationen über Ihr Verhalten auf der Plattform, erhalten wir ausschließlich in anonymisierter Form.
Für Informationen zur Speicherdauer betreffend die Verarbeitung Ihrer Daten durch die Anbieter von sozialen Medien als selbstständige Verantwortliche empfehlen wir Ihnen, die Datenschutzhinweise des jeweiligen sozialen Netzwerks zu lesen, welche wir in im Punkt „Soziale Medien im Einzelnen“ verlinkt haben.

Automatisierte Entscheidungsfindung inkl. Profiling

Durch uns erfolgt in diesem Zusammenhang keine automatisierte Entscheidungsfindung inkl. Profiling im Sinne des Art 22 DSGVO.

Soziale Medien im Einzelnen

Unternehmen: LinkedIn Ireland Unlimited Company
Adresse: Wilton Place, Dublin 2, Irland
Datenschutzinformation: https://www.linkedin.com/legal/privacy-policy?_l=de_DE
Gemeinsame Verantwortlichkeit: https://de.linkedin.com/legal/l/dpa
Drittlandübermittlung:
- Datenschutzrahmen als Angemessenheitsbeschluss zwischen EU und USA:: https://www.dataprivacyframework.gov/list
- Standardvertragsklauseln: https://www.linkedin.com/help/linkedin/answer/a1343190

Xing

Unternehmen: New Work SE
Adresse: Dammtorstraße 30, 20354 Hamburg, Deutschland
Datenschutzinformation: https://privacy.xing.com/de/datenschutzerklaerung

YouTube

Unternehmen: Google Ireland Limited
Adresse: Gordon House, 4 Barrow Street, Dublin D4 E5W5
Datenschutzinformation: https://policies.google.com/privacy
Drittlandübermittlung (USA): https://www.dataprivacyframework.gov

Auftritte der CRIF

7. Ihre Rechte

Wir möchten Sie darüber informieren, dass Sie das Recht haben,

eine Bestätigung darüber zu verlangen, ob wir Ihre Person betreffende personenbezogene Daten verarbeiten oder nicht; ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und die in Art 15 Abs 1 und 2 DSGVO angeführten Informationen; zum Recht auf Erhalt einer Kopie der Sie betreffenden personenbezogenen Daten, die Gegenstand der Verarbeitung sind, siehe Art 15 Abs 3 und 4 DSGVO;
die Berichtigung oder Vervollständigung Sie betreffender unrichtiger oder unvollständiger Daten zu verlangen (siehe im Detail Art 16 DSGVO);
die Löschung Ihrer Daten zu verlangen, sofern keine Rechtsgrundlage für die weitere Verarbeitung Ihrer Daten vorliegt (siehe im Detail Art 17 DSGVO); in diesem Zusammenhang können wir einer Löschung etwa dann nicht nachkommen, wenn die Verarbeitung (Aufbewahrung) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (gesetzliche Aufbewahrungspflichten) oder wir hierzu aufgrund überwiegender Interessen berechtigt sind (z.B. Geltendmachung, Ausübung oder Verteidigung konkreter Rechtsansprüche);
bei Vorliegen bestimmter Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen (siehe im Detail Art 18 DSGVO);
gegen eine Verarbeitung Ihrer Daten, die zur Wahrung unserer berechtigten Interessen oder eines Dritten erforderlich ist (Art 6 Abs 1 lit f DSGVO), Widerspruch einzulegen. Im Fall eines Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder wir weisen zwingende schutzwürdige Gründe für die Verarbeitung nach, die Ihre Interessen (ggf. unter Berücksichtigung Ihrer besonderen Situation) überwiegen. Widersprechen Sie einer Verarbeitung für Zwecke der Direktwerbung (einschließlich Profiling, soweit es mit solcher Direktwerbung in Verbindung steht), so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten (siehe im Detail Art 21 DSGVO);
die Übertragung der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das Recht auf Datenübertragbarkeit besteht jedoch nur, sofern die Verarbeitung auf Ihrer Einwilligung oder auf einem Vertrag beruht (siehe im Detail Art 20 DSGVO).

Diesbezügliche Anträge und Anfragen können jederzeit unter den untenstehenden Kontaktdaten, vorzugsweise aber per E-Mail an auskunft@crif.com oder über das auf unserer Website im Bereich „Selbstauskunft“ befindliche Kontaktformular gestellt werden.

Sofern wir Ihre Daten auf Basis Ihrer Einwilligung verarbeiten, haben Sie das Recht, diese Einwilligung jederzeit unter den untenstehenden Kontaktdaten, vorzugsweise aber per E-Mail unter auskunft@crif.com zu widerrufen. Dadurch wird die Rechtmäßigkeit der bis zu diesem Zeitpunkt erfolgten Datenverarbeitung nicht beeinträchtigt (Art 7 Abs 3 DSGVO).

Sollten Sie, trotz unserer Verpflichtung, Ihre Daten rechtmäßig zu verarbeiten, wider Erwarten der Ansicht sein, dass Ihre personenbezogenen Daten nicht rechtmäßig verarbeitet werden, setzen Sie sich bitte mit uns postalisch oder per E-Mail in Verbindung (Kontaktdaten siehe unten), damit wir von Ihren Bedenken erfahren und diese behandeln können. Sie haben aber auch das Recht, eine Beschwerde bei der Österreichischen Datenschutzbehörde oder bei einer anderen Datenschutz-Aufsichtsbehörde in der EU, insbesondere an Ihrem Aufenthalts- oder Arbeitsort, zu erheben.

8. Unsere Kontaktdaten

Sollten Sie zu der Verarbeitung Ihrer personenbezogenen Daten Fragen oder Anliegen haben, wenden Sie sich bitte an uns:

CRIF GmbH
Rothschildplatz 3/Top 3.06.B
1020 Wien
E-Mail: info.at@crif.com

Datenschutzbeauftragte/r:
CRIF GmbH
Rothschildplatz 3/Top 3.06.B
1020 Wien
E-Mail: datenschutz.at@crif.com

Wir möchten Sie darauf hinweisen, dass durch die Nutzung unserer Websites und Auftritte in sozialen Medien Urheber-, Namens- und Markenrechte sowie sonstige Rechte Dritter zu beachten sind. Sie verpflichten sich, eine missbräuchliche Nutzung des gesamten Inhaltes (insbesondere von Bildern, Videos, Schriften und Marken) zu unterlassen.

Zuletzt aktualisiert am 04.03.2026

Risikomanagement

Compliance - KYC

ESG Risikomanagement

Identitätsmanagement

Marketing Services

Consulting

KMU & Großunternehmen

E-Commerce & Payment

Banken & Finanzinstitute

Immobilien

Risikoprognose

Identität

Nachhaltigkeit

Zum Kunden-Login

FRAGEN FÜR KONSUMENTINNEN

FRAGEN ZU DEN GESPEICHERTEN INFORMATIONEN

FRAGEN ZUR DSGVO

FRAGEN ZUM UNTERNEHMEN

Risikoprognose

Nachhaltigkeit

Identität

Datenschutzerklärung Auskunftei und Adressverlag

Lösungen

Branchen

Trend Topics

Highlights

Zum Kunden-Login

FAQs zur Selbsauskunft

Highlights

Wie komme ich zu meiner Selbstauskunft?

Highlights

Sustainability

Datenschutzerklärung Auskunftei und Adressverlag