CRIF vs. noyb: Bonitätsprüfung im Spannungsfeld von Datenschutz und Transparenz

CRIF weist Vorwürfe zurück

Die aktuelle Debatte rund um die Wirtschaftsauskunftei CRIF und die Datenschutzorganisation noyb verdeutlicht den Konflikt zwischen wirtschaftlichen Interessen und datenschutzrechtlichen Pflichten. Auf der einen Seite weist CRIF die Vorwürfe entschieden zurück und betont, dass keine „Netzwerke“ von Kundendaten existieren, keine Einkommens- oder Vermögensdaten verarbeitet würden und sämtliche Anfragen ausschließlich auf Basis des „berechtigten Interesses“ gemäß Art. 6 Abs. 1 lit. f DSGVO erfolgen. Auch die Löschpraxis sei an die EuGH-Vorgaben angepasst worden. CRIF kritisiert die Kampagne von noyb als populistisch und wirtschaftlich schädigend. [1]

noyb sieht systematische Probleme

Auf der anderen Seite legt noyb nach Auswertung von über 40.000 CRIF-Abfragen nahe, dass Banken, Telkos und Energieversorger in einem „CRIF-Netzwerk“ verstrickt seien und teilweise selbst Daten liefern. Besonders problematisch sei der Rückgriff auf Adresshändler, deren Daten rechtlich nur zu Marketingzwecken genutzt werden dürften. Zudem zeigen erste Analysen auffällige Muster: Männer und Städter erhalten tendenziell schlechtere Scores als Frauen oder Personen in ländlichen Regionen. Auch die Speicherung von Inkassodaten über bis zu sieben Jahre, selbst bei beglichenen Forderungen, wirft Fragen zur Rechtmäßigkeit auf. noyb spricht von möglichen systematischen Verstößen und prüft Sammelklagen. [2]

Informationsansuchen vs. Auskunftsbegehren

Im Zentrum steht nicht nur die Frage nach der Datenquelle und der inhaltlichen Qualität des Scorings, sondern auch die rechtliche Verpflichtung zur Transparenz. Hierbei ist zwischen einem Informationsansuchen und einem Auskunftsbegehren zu unterscheiden. Während das Informationsansuchen – wie im aktuellen Fall durch noyb – eine eher informelle Bitte um Klarstellung oder freiwillige Beantwortung bestimmter Fragen darstellt, handelt es sich beim Auskunftsbegehren gemäß Art. 15 DSGVO um ein formelles Betroffenenrecht. Dieses verpflichtet Verantwortliche, umfassend Auskunft über Herkunft, Kategorien, Zwecke, Empfänger und Speicherdauer personenbezogener Daten zu geben und eine Kopie der Daten bereitzustellen. Unternehmen können ein Informationsansuchen ablehnen oder ignorieren, riskieren damit aber, dass daraus förmliche Auskunftsbegehren entstehen, die innerhalb der gesetzlichen Frist von einem Monat beantwortet werden müssen.

Folgen von Positivmeldungen

Eine besondere Rolle spielen in diesem Zusammenhang sogenannte „Positivmeldungen“, also Informationen, die dokumentieren, dass Kund:innen ihre Rechnungen ordnungsgemäß und pünktlich bezahlt haben. Für Betroffene können solche Einträge vorteilhaft sein, weil sie ihre Bonität erhöhen. Für Verantwortliche bergen sie jedoch erhebliche Risiken: Zum einen handelt es sich um personenbezogene Daten, deren Verarbeitung eine klare Rechtsgrundlage erfordert. Zum anderen entsteht durch die langfristige Speicherung auch solcher positiver Informationen die Gefahr einer unzulässigen Vorratsdatensammlung. Gerade wenn Positivmeldungen mit Adressdaten oder anderen Profilmerkmalen verknüpft werden, kann dies zu einer verdeckten Totalerfassung von Konsument:innen führen – was nicht nur rechtlich angreifbar, sondern auch reputationsschädigend sein kann.

Datenschutzrechtlich sind Unternehmen daher verpflichtet, bei jeder Meldung – ob positiv oder negativ – eine Abwägung vorzunehmen. Auch für Positivmeldungen gilt: Sie dürfen nur so lange gespeichert werden, wie dies für den ursprünglichen Zweck erforderlich ist, und müssen nach Wegfall des Zwecks gelöscht werden. Werden sie ohne klare Notwendigkeit oder Einwilligung weitergegeben, drohen dieselben Sanktionen wie bei Negativdaten.

Mögliche Haftungsfolgen für Unternehmen

Sollten sich die Vorwürfe von noyb gegen CRIF bestätigen – etwa die illegale Weitergabe von Adressdaten, eine unzulässige Zweckänderung oder die Erstellung diskriminierender Scores ohne tragfähige Rechtsgrundlage –, drohen den beteiligten Unternehmen möglicherweise erhebliche Haftungsrisiken.

Nach Art. 82 DSGVO könnten Betroffene Schadenersatzansprüche für materielle und immaterielle Schäden geltend machen. Zusätzlich sind hohe Bußgelder nach Art. 83 DSGVO möglich, die je nach Schwere bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen können. Behörden könnten zudem die Verarbeitung untersagen oder die Löschung unrechtmäßig erhobener Daten anordnen, was zu erheblichen betrieblichen Eingriffen führt. Überdies riskieren Unternehmen einen nachhaltigen Vertrauensverlust bei Kunden und Geschäftspartnern.

Besonders kritisch: Wer wissentlich oder fahrlässig Daten aus unrechtmäßigen Prozessen bezieht oder weiterverarbeitet, kann sich mithaftbar machen – eine kaskadierende Haftung entlang der Verarbeitungskette ist möglich.

Handlungspflichten für Unternehmen

Für Verantwortliche bedeutet dies konkret: Informations- und Auskunftsersuchen sind ernst zu nehmen und fristgerecht zu beantworten. Unternehmen sollten ihre Datenquellen sorgfältig dokumentieren und prüfen, ob sie sich tatsächlich auf eine tragfähige Rechtsgrundlage berufen können. Im Zweifel empfiehlt es sich, Informationsansuchen wie das von noyb konstruktiv zu beantworten, um eine Flut formeller Auskunftsbegehren und die damit verbundenen administrativen Belastungen zu vermeiden.

Darüber hinaus sollten Prozesse zur Löschung und Aktualisierung von Bonitätsdaten – einschließlich Positivmeldungen – transparent und nachvollziehbar gestaltet sein. Nur so lässt sich das Spannungsfeld zwischen wirtschaftlichem Interesse an Bonitätsprüfung und den hohen datenschutzrechtlichen Anforderungen der DSGVO nachhaltig beherrschen.

Empfehlungen für Verantwortliche

• Informationsansuchen nicht ignorieren: Auch wenn sie rechtlich nicht identisch mit einem Auskunftsbegehren sind, sollte eine konstruktive Antwort erfolgen, um das Risiko formeller Verfahren zu minimieren.

• Vertretungsvollmacht prüfen: Bei Auskunftsbegehren, die durch Dritte (z. B. noyb) geltend gemacht werden, muss die Vorlage einer gültigen Vollmacht verlangt und geprüft werden, um sicherzustellen, dass die Anfrage tatsächlich im Namen des Betroffenen erfolgt.

• Klare Unterscheidung treffen: Zwischen informellen Informationsanfragen und formellen Auskunftsbegehren nach Art. 15 DSGVO muss differenziert werden. Letztere sind zwingend und fristgebunden.

• Vertraulichkeit: Da die Daten über einen Dritten (noyb) laufen, muss geprüft werden, ob die Übermittlung an den Vertreter rechtskonform ist. Mit gültiger Vollmacht ist das vermutlich datenschutzrechtlich zulässig. Allerdings wäre auch zu prüfen, ob die Vertragsbedingungen mit CRIF im konkreten Fall eine Übermittlung von geschäftsbezogenen Informationen an Dritte gestattet.

• Transparenz und Dokumentation sicherstellen: Herkunft, Zweck und Speicherdauer der Daten müssen jederzeit belegbar sein.

• Kommunikation vorbereiten: Neben der rechtlichen Pflicht kann eine klare öffentliche Stellungnahme helfen, Vertrauen zu sichern und Reputationsschäden vorzubeugen.

[1] CRIF stellt klar: noyb-Informationen sind unkorrekt / noyb-Kampagne schwächt Konsument:innen und steigert Inflation, Pressemeldung vom 25.09.2025, URL: https://www.crif.at/aktuelles-events/news-presse/crif-stellt-klar-noyb-informationen-sind-unkorrekt/;

[2] Über 40.000 CRIF-Abfragen: Klarna, Banken und Telkos verstrickt in CRIF-Netzwerk, Pressemeldung vom 25.09.2025, https://noyb.eu/de/over-40000-crif-queries-klarna-banks-and-telecoms-entangled-crif-network;