Die Datenschutzbehörde ("DSB") hat kürzlich eine folgenreiche Entscheidung zur Nutzung von zugekauften Daten durch eine Kreditauskunftei – im konkreten Fall die CRIF GmbH – zur Erstellung von Kredit-Scorings erlassen. Hintergrund ist eine bereits im Juli 2022 ergangene (noch nicht rechtskräftige) Entscheidung der DSB, wonach ein Adressverlag und ein Direktmarketingunternehmen iSv § 151 GewO die für diesen Zweck erhobenen Daten nicht an Kreditauskunfteien für Bonitätsbeurteilungen weitergeben dürfen. Dies wäre ein Verstoß gegen den Grundsatz der Zweckbindung sowie Art 6 Abs 1 iVm Abs 4 DSGVO. Aus Sicht der DSB haftet diese Unrechtmäßigkeit der Datenweitergabe insoweit an den Daten, als auch die nachfolgende Verarbeitung durch die empfangende Kreditauskunftei unzulässig sei. Unsere DORDA Datenschutzexperten haben die aktuelle, noch nicht rechtskräftige Entscheidung gerne für Sie zusammengefasst:
Rechtswidrigkeit der Datenerhebung bewirkt auch Unzulässigkeit der Verarbeitung durch Empfänger
Die Kreditauskunftei hat von dem Adressverlag (Stamm-)Daten von Betroffenen erworben und für ihr Kerngeschäft – also Kredit-Scoring – verwendet. Nachdem die DSB im vorgelagerten Verfahren bereits zum Ergebnis gekommen war, dass die Datenweitergabe durch den Adressverlag unzulässig war, hat sie nun die Weiterverarbeitung durch die Kreditauskunftei nach demselben Maßstab geprüft: Da weder eine Einwilligung des Betroffenen vorlag noch § 151 f GewO iSv Art 6 Abs 1 lit c oder lit e DSGVO eine taugliche Rechtsgrundlage für ein Kredit-Scoring ist, komme für die Datenverarbeitung durch die Kreditauskunftei nur eine Rechtfertigung auf der Grundlage von berechtigten Interessen in Frage. Diese hat die DSB jedoch im konkreten Fall verneint: Der Umstand, dass der Adressverlag die Daten unrechtmäßig zu Bonitätsbeurteilungszwecken verkauft hat, schlage auch auf die Interessensabwägung in Bezug auf die nachfolgende Verarbeitung durch die Kreditauskunftei durch. Die DSB verweist dazu auf die Rechtsprechung des VwGH, wonach die rechtswidrige Ermittlung personenbezogener Daten auch die Unzulässigkeit ihrer Übermittlung an Dritte bewirke. Die Behörde schließt daraus, dass sie auch die Unzulässigkeit der Verarbeitung durch diese Dritte – also die Kreditauskunftei – nach sich zieht. Das treffe nach Ansicht der DSB nur dann nicht zu, wenn der Empfänger zwingende schutzwürdige Interessen nachweisen könnte, wie zB eine erforderliche Vorlage als Beweis in einem Gerichtsverfahren. Die Monetarisierung von Daten sei jedoch kein solches schutzwürdige Interesse.
Strengerer Sorgfaltsmaßstab bei der Überprüfung des Vertragspartners
Die DSB hält in der Entscheidung fest, dass die Kreditauskunftei die sorgfältige Überprüfung der Auswahl ihres Vertragspartners – also des Adressverlags als Datenzulieferer – nicht (hinreichend) nachweisen konnte. Dies wirkt sich jedoch nicht nur auf den Zukauf von Daten durch Kreditauskunfteien aus, sondern hat eine wesentlich größere Breitenwirkung: Bei einem Datentransfer von einem Verantwortlichen an den anderen muss der Empfänger der Daten die Rechtsgrundlage, auf die sich der Sender beruft, sorgfältig nachprüfen und das Ergebnis nachweisbar dokumentieren. Der bloße Verweis auf eine aufrechte Gewerbeberechtigung als Adresshandel und die damit verbundene Aufsicht durch die zuständige Gewerbebehörde waren im konkreten Fall für sich allein nicht ausreichend.
Offen bleibt, ob ein geeigneter Nachweis dazu geführt hätte, dass die Interessenabwägung zu Gunsten der Kreditauskunftei ausgeschlagen hätte. Gegen diese Ansicht spricht, dass die ursprünglich unrechtmäßige Erhebung objektiv weiterhin bestehen bleibt. Es ist fraglich, ob und inwieweit die subjektive Verschuldensfrage diesen objektiven "Makel" der verarbeiteten Daten überhaupt beheben kann oder vielmehr (nur) für ein etwaiges Verwaltungsstrafverfahren relevant ist.
Handlungsbedarf in der Praxis
Die klare Feststellung, dass ein Mangel der ursprünglich unrechtmäßigen Datenerhebung auch in der weiteren Datenverarbeitungskette durchschlägt, wirkt sich auf sämtliche Datenübermittlungen aus, die von einem Verantwortlichen zum nächsten – auch ohne gemeinsame Verantwortung – stattfindet. Der Empfänger der Daten muss daher – ähnlich bei der Auswahl eines Auftragsverarbeiters – eine initiale Prüfung des Vertragspartners, der Daten zur Verfügung stellt, durchführen. Zudem sind in den zugehörigen Verträgen (zumindest) entsprechende Zusicherungen zur Rechtmäßigkeit des Datenbestands vorzusehen. Diese Prüfung und die getroffenen, absichernden vertraglichen Maßnahmen sind – vergleichbar zum Transfer Impact Assessment – zudem sauber zu dokumentieren, um im Bedarfsfall entsprechende Nachweise vorlegen zu können.
Parallel bleibt das weitere Vorgehen von CRIF abzuwarten: Die Kreditauskunftei kann sich noch mit einer Beschwerde an das BVwG wenden. Wir rechnen damit, dass die Thematik wegen ihrer Tragweite einer Klärung in der Instanz zugeführt wird. Wir werden jedenfalls über weitere Entwicklungen berichten.