Nach Ansicht der Österreichischen Datenschutzbehörde ist die von der Auskunft CRIF zu Millionen Österreichern angestellte Bonitätsberechnung (Scoring) datenschutzwidrig, weil die zugrundeliegenden Daten nicht für diese Zwecke hätten verwendet werden dürfen (DSB, Beschl. v. 24.03.2023 - Az.: D124.381 / 2023-0.193.268).
Die Beschwerdegegnerin ist die österreichische Auskunftei CRIF, die zu den meisten Österreichern u.a. Bonitätsdaten gespeichert hat.
Die Bonitätsprüfung erfolgte u.a. auf Daten (Name, Adresse und Geburtsdatum), die sie vom österreichischen Adressverlag AZ Direct Österreich übermittelt bekommen hatte.
Diese Daten durfte AZ Direct Österreich jedoch nur zu Marketingzwecken benutzen und weitergeben, zu keinem sonstigen Zweck. Gleichwohl erfolgte die Übermittlung an die Auskunftei CRIF, damit diese entsprechende Bonitäten zur österreichischen Bevölkerung errechnen konnte.
Die Österreichischen Datenschutzbehörde stufte diese Weitergabe als Datenschutzverletzung ein:
"Zum anderen hat (...) die Datenschutzbehörde im gegen die AZ Direct Österreich GmbH gerichteten Parallelverfahren u.a. einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung festgestellt (nicht rechtskräftig).
Dieser Verstoß hat unmittelbare Auswirkungen auf den Erlaubnistatbestand gemäß Art. 6 Abs. 1 lit. f DSGVO: Im gegenständlichen Fall kann eine Interessenabwägung nicht zugunsten der Beschwerdegegnerin ausfallen.
Als (zu) gewichtiger Faktor im Rahmen der Interessenabwägung ist nämlich zu berücksichtigen, dass die AZ Direct Österreich GmbH nicht befugt war, diese Daten der
Beschwerdegegnerin zu Bonitätsbeurteilungszwecken offenzulegen (...).Nach der Rechtsprechung des Verwaltungsgerichtshofes bewirkt die rechtswidrige Ermittlung personenbezogenen Daten durch einen Verantwortlichen die Rechtswidrigkeit einer anschließenden Übermittlung durch denselben Verantwortlichen (Erkenntnis vom 23. Februar 2021, Ra 2019/04/0054, Rn 41 ff).
Diese Unrechtmäßigkeit der ursprünglichen Datenermittlung zieht in aller Regel die Unzulässigkeit der Datenverarbeitung durch den Empfänger nach sich (Art. 17 Abs. 1 lit. d DSGVO).
Bei der Monetisierung der Daten des Beschwerdeführers kann aber nicht von zwingend schutzwürdigen Interessen der Beschwerdegegnerin ausgegangen werden.
Nach ausdrücklicher Nachfrage der Datenschutzbehörde konnte die Beschwerdegegnerin auch nicht überzeugend nachweisen, dass sie vor der Datenerhebung eine sorgfältige Überprüfung der Auswahl ihres Vertragspartners – also der AZ Direct Österreich GmbH – durchgeführt hat (vgl. das Urteil des
EuGH vom 27. Oktober 2022, C-129/21, Rn 81, wonach der für die Verarbeitung Verantwortliche den Nachweis für die Einhaltung aller Datenschutzgrundsätze zu erbringen hat).Ein Verweis auf eine aufrechte Gewerbeberechtigung der AZ Direct Österreich GmbH sowie der Umstand, dass die AZ Direct Österreich GmbH der Aufsichts der Gewerbebehörde unterliegt, vermag den seitens des EuGH vorgegebenen Maßstab iZm Art. 5 Abs. 2 DSGVO nicht erfüllen, zumal – wie bereits oben ausgeführt wurde – vom Umstand einer Gewerbeberechtigung nicht auf die Rechtmäßigkeit der Datenverarbeitung geschlossen werden kann. "
Inhaltlich bewertet die Datenschutzbehörde den Vorgang somit als sogenannte Zweckänderung, für die ein Erlaubnistatbestand (z.B. eine Einwilligung) hätte vorliegen müssen. Da kein solcher Grund besteht, ist die Speicherung datenschutzwidrig.
Sowohl die Entscheidung der Österreichischen Datenschutzbehörde gegen die Auskunft CRIF (DSB, Beschl. v. 24.03.2023 - Az.: D124.381 2023-0.193.268) als auch gegen den Adressverlag AZ Direct Österreich GmbH (DSB, Beschl. v. 22.07.2022 - Az.: D124.3817 / 2021-0.584.299) sind beide nichts rechtskräftig, sondern es wurden Rechtsmittel eingelegt bzw. es können noch Rechtsmittel eingelegt werden.