Informationen zur DSGVO

betreffend die Verarbeitung bonitätsrelevanter Informationen gemäß § 152 Gewerbeordnung 1994 (Auskunftei über Kreditverhältnisse)

A. Namen und Kontaktdaten des Verantwortlichen

CRIF GmbH, Diefenbachgasse 35, 1150 Wien, FN 200570g, auskunft@crif.com („CRIF“)

B. Kontaktdaten des Datenschutzbeauftragten

Datenschutzbeauftragter, CRIF GmbH, Diefenbachgasse 35, 1150 Wien, datenschutzbeauftragter@crif.com

C. Kategorien verarbeiteter personenbezogener Daten und deren Quellen

Kategorien: Vor- und Nachname(n), Geburtsdatum, Antragsdaten, Firmenbezeichnung, gegebenenfalls Firmenbuch- und UID-Nummer, ÖNACE-Code, Adressdaten, Insolvenzdaten und Daten über gerichtliche Versteigerungen, Zahlungserfahrungsdaten über die Einhaltung von Zahlungszielen und Zahlungserfahrungsdaten über unbestrittene, nach Eintritt der Fälligkeit unbezahlte und mehrfach urgierte Forderungen, Saldo fälliger unbezahlter Forderungen; allenfalls Informationen zum von der betroffenen Person angegebenen Arbeitgeber.

Des Weiteren können in Bezug auf Betrugsverdachtsfälle auch IBAN, Lieferadressdaten, E-Mail-Adresse, (Mobil)Telefonnummer und Daten zu Antragswiederholungen erfasst und verarbeitet werden. Darüber hinaus werden bei Benutzung der Websites mancher CRIF-Kunden gewisse Einstellungen und Merkmale der von der betroffenen Person verwendeten Hardware (Computer, Smartphone, Tablet, …) ausgelesen, um Betrug durch die Benutzung von als verdächtig erkannter Geräte zu verhindern („Device Fingerprint“). CRIF selbst führt keine Datenbank mit verdächtigen Geräten, sondern zieht hierfür Dritte hinzu, die diesen technischen Service ermöglichen.

Besondere Kategorien personenbezogener Daten (wie etwa Gesundheitsdaten oder biometrische Daten) werden in der Identitäts- und Bonitätsdatenbank von CRIF nicht verarbeitet.

Quellen: Meldung eines (potentiellen) Vertragspartners/Gläubigers der betroffenen Person oder eines von diesem beauftragten Inkassodienstleisters, Adressverlage sowie diverse öffentlich zugängliche Quellen, wie z.B. Firmenbuch, Ediktsdatei, GISA („Gewerberegister“), Zentrales Vereinsregister; in Einzelfällen die betroffene Person selbst.

D. Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage für die Verarbeitung

Zwecke: Risikomanagement (=Berechnung einer zukünftigen Zahlungsausfallswahrscheinlichkeit) und Identitätsfeststellung, sowie Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung über eine IT-gestützte Adress- und Bonitätsdatenbank mittels Datenbankprodukten für Unternehmen der Kreditwirtschaft (siehe Punkt E).

Rechtsgrundlage: § 151 (Adressverlage und Direktmarketingunternehmen), § 152 (Auskunfteien über Kreditverhältnisse) und § 153 (Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik) Gewerbeordnung 1994 (GewO) sowie Art 6 Abs 1 lit f DSGVO (siehe Punkt F) sowie in Einzelfällen auch die Einwilligung der betroffenen Person gemäß Art 6 Abs 1 lit a DSGVO.

E. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Konsumenten sind als Empfänger ausgeschlossen. Nur Unternehmen, die zuvor ein schriftliches Vertragsverhältnis mit der CRIF GmbH eingegangen sind und unter anderem die datenschutzrechtlichen Regelungen/Gesetze anerkennen, können Daten von CRIF beziehen. Hierzu zählen vor allem Unternehmen der Kreditwirtschaft, Betreibungsdienstleister (Inkassounternehmen) oder Unternehmen, die einen Vertrag mit einem Endkunden/betroffenen Person begründen wollen.

„Kreditwirtschaft“ umfasst sämtliche Fälle, in denen ein Unternehmen in Vorleistung tritt (z.B. Kauf auf offene Rechnung, Kreditierung, Kreditkartengeschäft, …).

F. Berechtigte Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden

Wahrung berechtigter Interessen der Empfänger der personenbezogenen Daten (siehe Punkt E). Die zu wahrenden Interessen bestehen hierbei in der Identifizierung neuer Kunden, im Schutz vor einem möglicherweise drohenden Zahlungsausfall, sowie in der Wahrung gesetzlicher Verpflichtungen betreffend Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung.

G. Dauer, für die die personenbezogenen Daten gespeichert werden/ Kriterien für die Festlegung dieser Dauer

Die Daten werden gespeichert, solange sie inhaltlich richtig sind, kein gesetzlicher Löschungsgrund nach der DSGVO oder anderen Vorschriften besteht und die Speicherung den Zweck der Verarbeitung erfüllt. Unrichtige Daten werden von Gesetz wegen, aus eigenem oder auf Antrag der betroffenen Person gelöscht bzw. richtiggestellt.

In diesem Zusammenhang ist zu beachten, dass auch Informationen zu „positiv erledigten“ (=beglichenen) Forderungen bonitätsrelevante Daten darstellen, da die Wahrscheinlichkeit künftiger Zahlungsausfälle statistisch signifikant erhöht ist, sobald es in der Vergangenheit zu einem oder mehreren Zahlungsausfällen gekommen ist. Je kleiner eine Forderung ist, je kürzer sie offen aushaftete und je länger ihre Eröffnung und Begleichung zurückliegen, desto geringer kann sie sich negativ auf die Bonitätsbewertung auswirken und desto eher wird sie gelöscht.

H. Automatisierte Entscheidungsfindung/Profiling samt Informationen über die involvierte Logik

CRIF nimmt keine Bonitätsbeurteilung im Sinne einer automatisierten Entscheidung im Einzelfall und kein Profiling iSd Art 22 DSGVO vor. Die Entscheidung über das Zustandekommen eines Rechtsgeschäftes bzw. in welcher Form das Rechtsgeschäft zustande kommt, trifft ausschließlich das bei CRIF abfragende Unternehmen (siehe Punkt E) und niemals CRIF selbst. Für das abfragende Unternehmen bieten die von der CRIF allenfalls übermittelten Daten nur eine Entscheidungshilfe.

Die Empfehlung der CRIF betreffend die Zahlungsfähigkeit und Zahlungswilligkeit wird aufgrund der statistischen Wahrscheinlichkeit folgender Paramater errechnet: qualifizierte Zahlungsausfälle (Inkassoeinträge, Insolvenz etc.), Alter und Wohnort der betroffenen Person.

Die Unternehmen haben weiters die Möglichkeit, die Gewichtung bzw. weitere Parameter (z.B. eigene Zahlungserfahrungen mit dem Endkunden/der betroffenen Person) in die Logik einfließen zu lassen. „Gewichtung“ bedeutet in diesem Zusammenhang, wie stark sich eine gewisse Art von Informationen (positiv oder negativ) auf einen gegebenenfalls übermittelten Bonitätswert auswirkt. Aus diesem Grund kann es vorkommen, dass an verschiedene abfragende Unternehmen unterschiedliche Bonitätswerte übermittelt werden.

I. Rechte betroffener Personen

Betroffene Personen haben bezüglich der sie betreffenden personenbezogenen Daten die Rechte auf:

  • Auskunft über gespeicherte Daten; bedarf keiner Begründung und ist kostenfrei möglich. Nähere Infos entnehmen Sie bitte unserer Website unter „Konsumenten – Selbstauskunft“
  • Berichtigung oder Löschung, bei Nachweis, dass die gespeicherten Daten unrichtig sind, unrechtmäßig verarbeitet wurden oder eine gegebenenfalls erteilte Einwilligung zur Verarbeitung widerrufen wurde.
  • Einschränkung der Verarbeitung: Bei nachgewiesener Unrechtmäßigkeit der Datenverarbeitung kann die betroffene Person statt einer Löschung der Daten die Einschränkung der Verarbeitung begehren. Selbiges gilt, wenn die Daten für die Zwecke der Verarbeitung nicht mehr benötigt werden, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Auch wenn die betroffene Person die Berichtigung oder Löschung von Daten begehrt oder einen Widerspruch geltend macht, besteht die Möglichkeit, während der Prüfung des Begehrens die Einschränkung der Verarbeitung zu verlangen. Solange die Verarbeitung eingeschränkt ist, bleiben die betreffenden Daten bei CRIF gespeichert, werden aber nicht bzw. nur mit Einwilligung der betroffenen Person verarbeitet.
  • Widerspruch gegen die Verarbeitung, aus nachzuweisenden Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben.
  • Datenübertragbarkeit, sofern die betreffenden Daten CRIF von der betroffenen Person selbst bereitgestellt wurden.
  • Recht auf Widerruf einer Einwilligung in die Datenverarbeitung gegenüber dem Unternehmen, dass die Daten an CRIF übermittelt hat, sofern eine solche erteilt wurde.
  • Recht auf Beschwerde: Möchte die betroffene Person datenschutzrechtliche Begehren (z.B. auf Richtigstellung, Löschung oder Widerspruch) erheben, kann sie sich direkt an die CRIF GmbH Diefenbachgasse 35, 1150 Wien, crif.at) wenden. Sollte der Beschwerde nicht oder nicht im gewünschten Umfang stattgegeben werden, so besteht darüber hinaus ein Beschwerderecht an die Aufsichtsbehörde. Als Aufsichtsbehörde ist die Österreichische Datenschutzbehörde eingerichtet.

J. Kontakt und Änderungen dieser Datenschutzerklärung

CRIF GmbH
Diefenbachgasse 35
1150 Wien
auskunft@crif.com

Diese Datenschutzerklärung wurde zuletzt am 07.05.2019 aktualisiert. Der Tag des Inkrafttretens dieser Erklärung für eine bestimmte Website ist abhängig von dem Tag, an dem die Website erstmalig einen Link zu dieser aktualisierten Erklärung enthält.

Jetzt Termin vereinbaren
Einzelbericht erwerben
Jetzt anmelden