Datenschutzerklärung (Informationen zur DSGVO)

betreffend die Verarbeitung bonitätsrelevanter Informationen gemäß § 152 Gewerbeordnung 1994 (Auskunftei über Kreditverhältnisse)

A. Namen und Kontaktdaten des Verantwortlichen

CRIF GmbH, Rothschildplatz 3/Top 3.06.B, 1020 Wien, FN 200570g, auskunft@crif.com („CRIF“)

B. Kontaktdaten des Datenschutzbeauftragten

Datenschutzbeauftragter, CRIF GmbH, Rothschildplatz 3/Top 3.06.B, 1020 Wien, datenschutzbeauftragter@crif.com

C. Kategorien verarbeiteter personenbezogener Daten

In der Identitäts- und Bonitätsdatenbank der CRIF werden folgende Kategorien personenbezogener Daten verarbeitet:

Vor- und Nachname(n), Geburtsdatum, Adressdaten, Antragsdaten, Firmenbezeichnung, gegebenenfalls Firmenbuch- und UID-Nummer, Mitarbeiterzahl, Bilanzdaten, ÖNACE-Code, gerichtliche Publikationen (Insolvenzdaten und Daten über gerichtliche Versteigerungen), Zahlungserfahrungsdaten (Daten über die Einhaltung von Zahlungszielen und Zahlungserfahrungsdaten über unbestrittene, nach Eintritt der Fälligkeit unbezahlte und mehrfach gemahnte Forderungen, Saldo fälliger unbezahlter Forderungen); allenfalls Informationen zum von der betroffenen Person angegebenen Arbeitgeber.

Des Weiteren können in Bezug auf auffällige Muster im Bestellverhalten auch IBAN, Lieferadressdaten, E-Mail-Adresse, (Mobil)Telefonnummer und Daten zu Antragswiederholungen erhoben und verarbeitet werden. Darüber hinaus werden bei Benutzung der Websites mancher CRIF-Kunden gewisse Einstellungen und Merkmale der von der betroffenen Person verwendeten Hardware (Computer, Smartphone, Tablet, …) ausgelesen, um Täuschungen durch die Benutzung von als verdächtig erkannten Geräte zu verhindern („Device Fingerprint“). CRIF selbst führt keine Datenbank mit verdächtigen Geräten, sondern zieht hierfür Dritte hinzu, die diesen technischen Service ermöglichen.

Besondere Kategorien personenbezogener Daten (wie etwa Gesundheitsdaten) werden in der Identitäts- und Bonitätsdatenbank von CRIF nicht verarbeitet.

D. Quellen personenbezogener Daten

CRIF erhebt die oben genannten personenbezogenen Daten aus nachstehenden Quellen:

Meldung eines (potentiellen) Vertragspartners/Gläubigers der betroffenen Person oder eines von diesem beauftragten Inkassodienstleisters, Betreibungsdienstleister (Inkassoinstitute und Rechtsanwälte), Vertragspartner der CRIF, Dienstleister, die Datenbanken mit verdächtigen Geräten führen (siehe Ausführungen zu „Device Fingerprint“ unter Punkt C), Adressverlage/Direktmarketingunternehmen gemäß § 151 Gewerbeordnung 1994 (GewO), sowie diverse öffentlich zugängliche Quellen, wie z.B. Firmenbuch, Ediktsdatei, GISA („Gewerberegister“), Zentrales Vereinsregister; in Einzelfällen das zentrale Melderegister oder die betroffene Person selbst.

E. Zwecke der Datenverarbeitung

CRIF verarbeitet die oben genannten personenbezogenen Daten zu den nachstehenden Zwecken:

Risikomanagement (=Berechnung einer zukünftigen Zahlungsausfallswahrscheinlichkeit) Identitätsfeststellung, Erfüllung von Compliance-Vorschriften, denen die Kunden der CRIF unterliegen (insbesondere Bestimmungen zur Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung, sowie die Bestimmungen § 7 VKrG, § 9 HIKrG und § 25 GlSpG) für Unternehmen mit berechtigten Interessen an den jeweils bereitgestellten Informationen (dies sind insbesondere Unternehmen der Kreditwirtschaft, sowie Verpflichtete nach dem FM-GwG oder sonstigen Geldwäsche-Bestimmungen). „Kreditwirtschaft“ umfasst sämtliche Fälle, in denen ein Unternehmen gegenüber der betroffenen Person in Vorleistung tritt (z.B. Kauf auf offene Rechnung, Kreditvergabe, Kreditkartengeschäft, etc.).

F. Rechtsgrundlagen der Datenverarbeitung

CRIF verarbeitet die oben genannten personenbezogenen Daten auf Basis nachstehender Rechtsgrundlagen:

Die Wahrung berechtigter Interessen gemäß Art 6 Abs 1 lit f DSGVO, die von CRIF oder einem Dritten verfolgt werden. Die zu wahrenden Interessen bestehen hierbei auf Seiten der CRIF-Kunden (Dritte) in der Identifizierung neuer Kunden, im Schutz vor einem möglicherweise drohenden Zahlungsausfall, sowie in der Wahrung der unter Punkt E genannten gesetzlichen Verpflichtungen. Auf Seite von CRIF liegt das berechtigte Interesse im Betrieb des Gewerbes einer Auskunftei über Kreditverhältnisse gemäß § 152 GewO.

In Einzelfällen dient auch die Einwilligung der betroffenen Person gemäß Art 6 Abs 1 lit a DSGVO als Rechtsgrundlage für einzelne Datenverarbeitungen.

G. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

Nur Unternehmen, die zuvor ein schriftliches Vertragsverhältnis mit CRIF eingegangen sind und insbesondere die datenschutzrechtlichen Regelungen/Gesetze anerkennen, können Daten von CRIF abfragen. Hierzu zählen insbesondere Unternehmen der Kreditwirtschaft, Betreibungsdienstleister (Inkassounternehmen und Rechtsanwälte) oder Unternehmen, die den unter Punkt E genannten gesetzlichen Verpflichtungen unterliegen und/oder einen Vertrag mit einer betroffenen Person begründen wollen. Diese Unternehmen dürfen personenbezogene Daten nur dann von CRIF erheben, wenn eine Rechtsgrundlage gemäß Art 6 DSGVO vorliegt. Dafür kommen insbesondere eine Einwilligung der betroffenen Person (Art 6 Abs 1 lit a DSGVO) die Erfüllung (vor)vertraglicher Verpflichtungen (Art 6 Abs 1 lit b DSGVO), gesetzlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO) sowie die Wahrung berechtigter Interessen (Art 6 Abs 1 lit f DSGVO) in Frage.

Die CRIF-Kunden, welche personenbezogene Daten von CRIF erheben, befinden sich fast ausschließlich in Österreich. Sofern sich ein Datenempfänger außerhalb der EU bzw. des EWR befindet, erfolgt eine Datenübermittlung nur unter Befolgung der Art 44 ff DSGVO. In solchen Fällen erfolgt eine gesonderte Informationserteilung über diese Datenübermittlung.

H. Dauer, für die die personenbezogenen Daten gespeichert werden/ Kriterien für die Festlegung dieser Dauer

Die personenbezogenen Daten werden gespeichert, solange sie inhaltlich richtig sind, kein gesetzlicher Löschungsgrund nach der DSGVO oder anderen Vorschriften besteht und die Speicherung den Zweck der Verarbeitung (siehe Punkt E) erfüllt. Unrichtige Daten werden von Gesetz wegen, aus eigenem oder auf Antrag der betroffenen Person gelöscht bzw. richtiggestellt. Im Detail werden personenbezogene Daten wie nachstehend dargelegt gespeichert:

Zahlungserfahrungsdaten

Zahlungserfahrungsdaten werden nur gespeichert, solange sich daraus statistisch signifikante Aussagen zur Bonität einer betroffenen Person ableiten lassen. Um dies zu beurteilen, werden insbesondere folgende Parameter berücksichtigt:

  • die Höhe der Forderung und der davon aushaftende (offene) Betrag,
  • der Status der Forderung (z.B. offen, beglichen, ausgebucht, gerichtlich festgestellt, etc.),
  • der Zeitraum, in dem die Forderung – zumindest teilweise – offen aushaftete,
  • der Zeitraum, der seit der vollständigen Begleichung der Forderung vergangen ist,
  • notwendige Betreibungsmaßnahmen (etwa Betreibung durch ein Inkassoinstitut, Rechtsanwalt oder gerichtliche Exekution),
  • die Anzahl und Höhe weiterer Forderungen gegen die betroffene Person, sowie deren zeitliche Nähe zu der zu beurteilenden Forderung, sowie
  • sonstiges bonitätsrelevantes Verhalten der betroffenen Person (gerichtliche Publikationen, Betrugsversuche).

In diesem Zusammenhang ist zu beachten, dass auch Informationen zu „positiv erledigten“ (=beglichenen) Forderungen bonitätsrelevante Daten darstellen, da die Wahrscheinlichkeit künftiger Zahlungsausfälle statistisch signifikant erhöht ist, sobald es in der Vergangenheit zu einem oder mehreren Zahlungsausfällen gekommen ist.

Dabei ist zu beachten, dass der Einfluss einer Forderung auf die Bonitätseinschätzung schon vor der Löschung abnimmt, je kleiner eine Forderung ist, je kürzer sie offen aushaftete und je länger ihre Eröffnung und Begleichung zurückliegen.

Gerichtliche Publikationen (Insolvenzen, gerichtliche Versteigerungen)

Gerichtliche Publikationen werden in der Identitäts- und Bonitätsdatenbank der CRIF gespeichert, solange diese in der Ediktsdatei (https://edikte.justiz.gv.at) veröffentlicht sind. Gerichtliche Publikationen, die bereits aus der Ediktsdatei gelöscht wurden, werden für einen Zeitraum von maximal 7 Jahren ab dem Zeitpunkt der Löschung gespeichert.

Auch der Einfluss gerichtlicher Publikationen auf die Bonitätseinschätzung einer betroffenen Person nimmt ab, je länger ihre Eröffnung und Beendigung zurückliegt.

Adressdaten

In der Identitäts- und Bonitätsdatenbank der CRIF werden Adressdaten zu betroffenen Personen verarbeitet, mit welchen diese– soweit für CRIF ersichtlich – bislang am Wirtschaftsleben teilgenommen haben. Der Datensatz zu einer betroffenen Person beinhaltet demnach aktuelle und historische Adressen dieser betroffenen Person. CRIF trifft keine Aussage darüber, welche Adresse die aktuelle Wohnadresse/Meldeadresse einer betroffenen Person ist, sondern nur darüber, welche Adressen eine betroffene Person im Wirtschaftsleben angegeben hat (z.B. für Bestellungen im Onlineversand).

Adressdaten betroffener Personen werden in der Identitäts- und Bonitätsdatenbank der CRIF gespeichert, solange die betroffene Person diese Adresse im Wirtschaftsverkehr verwendet. Wird ein Adressdatum in einem Zeitraum von zehn Jahren nicht erneut bestätigt, wird dieses automatisch aus Identitäts- und Bonitätsdatenbank der CRIF gelöscht.

I. Automatisierte Entscheidungsfindung/Profiling samt Informationen über die involvierte Logik

Die Datenverarbeitungen durch CRIF sind als Profiling im Sinne des Art 4 Z 4 DSGVO zu qualifizieren. Eine automatisierte Entscheidung im Einzelfall iSd Art 22 DSGVO findet jedoch nicht statt. Die Entscheidung über das Zustandekommen eines Rechtsgeschäftes bzw. in welcher Form ein Rechtsgeschäft zustande kommt, trifft ausschließlich das bei CRIF abfragende Unternehmen (siehe Punkt G) und niemals CRIF selbst. Für das abfragende Unternehmen bieten die von der CRIF allenfalls übermittelten Daten nur eine Entscheidungshilfe.

Der von CRIF anhand einer statistischen Analyse errechnete Wahrscheinlichkeitswert betreffend die Zahlungsfähigkeit und Zahlungswilligkeit einer betroffenen Person, wird unter Verwendung folgender Informationen errechnet: Zahlungserfahrungsdaten, gerichtliche Publikationen und demografische Daten (etwa Alter und Adresse) der betroffenen Person (siehe auch Punkt H).

Die bei CRIF abfragenden Unternehmen legen die Gewichtung der jeweiligen Informationen individuell fest. „Gewichtung“ bedeutet in diesem Zusammenhang, wie stark sich eine gewisse Information (positiv oder negativ) auf einen gegebenenfalls übermittelten Bonitätswert auswirkt. Aus diesem Grund werden – bei gleichem Datenstand – mitunter unterschiedliche Bonitätswerte an verschiedene abfragende Unternehmen übermittelt. Zudem besteht für die abfragenden Unternehmen die Möglichkeit, weitere Parameter (z.B. eigene Zahlungserfahrungen zu der betroffenen Person) in den Wahrscheinlichkeitswert einfließen zu lassen.

J. Rechte betroffener Personen

Betroffene Personen haben gemäß Art 15 ff DSGVO bezüglich ihrer personenbezogenen Daten die folgenden Rechte:

  • Recht auf Auskunft über verarbeitete Daten; dies bedarf keiner Begründung. Nähere Infos finden sich auf der Website von CRIF unter „Konsumenten – Selbstauskunft“ (www.crif.at/konsumenten/selbstauskunft).
  • Recht auf Berichtigung; bei Nachweis, dass die verarbeiteten Daten unrichtig sind, hat die betroffene Person das Recht auf Berichtigung bzw. Vervollständigung ihrer personenbezogenen Daten.
  • Recht auf Löschung; bei Nachweis, dass die gespeicherten Daten unrichtig sind, unrechtmäßig verarbeitet wurden, ein berechtigter Widerspruch erhoben wurde, oder eine gegebenenfalls erteilte Einwilligung zur Verarbeitung widerrufen wurde.
  • Recht auf Einschränkung der Verarbeitung; bei nachgewiesener Unrechtmäßigkeit der Datenverarbeitung kann die betroffene Person statt einer Löschung der Daten die Einschränkung der Verarbeitung begehren.
    Selbiges gilt, wenn die Daten für die Zwecke der Verarbeitung nicht mehr benötigt werden, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
    Auch wenn die betroffene Person die Berichtigung oder Löschung von Daten begehrt oder einen Widerspruch geltend macht, besteht die Möglichkeit, während der Prüfung des Begehrens die Einschränkung der Verarbeitung zu verlangen.
    Solange die Verarbeitung eingeschränkt ist, bleiben die betreffenden Daten bei CRIF gespeichert, werden davon abgesehen aber nicht bzw. nur mit Einwilligung der betroffenen Person verarbeitet.
  • Recht auf Widerspruch gegen die Verarbeitung; aus nachzuweisenden Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben.
  • Recht auf Datenübertragbarkeit; sofern die betreffenden Daten CRIF von der betroffenen Person selbst bereitgestellt wurden.
  • Recht auf Widerruf einer Einwilligung in die Datenverarbeitung; sofern eine solche gegenüber der CRIF erteilt wurde und die jeweilige Datenverarbeitung auf Basis dieser Einwilligung (Art 6 Abs 1 lit a DSGVO) erfolgt.
  • Recht auf Beschwerde an die zuständige Aufsichtsbehörde (österreichische Datenschutzbehörde).

Möchte die betroffene Person datenschutzrechtliche Begehren (z.B. auf Richtigstellung, Löschung oder Widerspruch) erheben, kann sie sich direkt an CRIF wenden (siehe Punkt K). Sollte der Beschwerde nicht oder nicht im gewünschten Umfang stattgegeben werden, so besteht das oben genannte Beschwerderecht an die Aufsichtsbehörde. Als Aufsichtsbehörde ist die Österreichische Datenschutzbehörde (dsb@dsb.gv.at) eingerichtet.

K. Kontakt und Änderungen dieser Datenschutzerklärung

CRIF GmbH
Rothschildplatz 3/Top 3.06.B
1020 Wien
auskunft@crif.com

Diese Datenschutzerklärung wurde zuletzt am 08.05.2020 aktualisiert. Der Tag des Inkrafttretens dieser Erklärung für eine bestimmte Website ist abhängig von dem Tag, an dem die Website erstmalig einen Link zu dieser aktualisierten Erklärung enthält.

Jetzt Termin vereinbaren
Nachricht senden
Jetzt anmelden