ÖsterreichDatenschutzbehörde soll Adresshandel prüfen

Der Handel mit Adressen ist ein einträgliches Geschäft. Die Datenschützer:innen von NOYB denken, dass es dabei nicht mit rechten Dingen zugeht und bringen eine Beschwerde vor die österreichische Aufsichtsbehörde.

Adresshändler AZ Direct
Adresshändler wie die Bertelsmann-Tochter AZ Direct sind darauf spezialisiert, Adressen zu sammeln und weiterzuverkaufen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Bernard Hermant

Die Nichtregierungsorganisation NOYB wirft zwei österreichischen Firmen erhebliche Verstöße gegen die Datenschutzgrundverordnung beim Handel mit Adressdaten vor. Wie die NGO am Donnerstag mitteilte, geht es im Kern darum, dass der Adresshändler AZ Direct Millionen Anschriften von Menschen in Österreich ohne Rechtsgrundlage an die Kreditauskunftei CRIF verkauft haben soll.

Adresshändler wie die Bertelsmann-Tochter AZ Direct sind darauf spezialisiert, Kontaktinformationen von Menschen aus unterschiedlichen Quellen zusammenzusammeln und weiterzuverkaufen. Das ist in Österreich und Deutschland bis zu einem gewissen Grad auch ohne explizite Einwilligung der Betroffenen erlaubt, sofern die Daten nur für Zwecke des Direktmarketings verwendet werden.

AZ Direct hätte die Adressen NOYB zufolge aber nicht an CRIF weiterverkaufen dürfen, da die Informationen dort für sogenanntes Scoring genutzt werden, also für die Prognose von Kreditwürdigkeiten. Beide Firmen würden somit gegen das Gebot der Zweckbindung verstoßen, demzufolge Daten nur für ursprünglich legitimierte Zwecke verarbeitet werden dürfen.

Grundsätzliches Problem

Direktmarketing und Bonitätsbeurteilung seien zwei vollkommen unterschiedliche und nicht vereinbare Zwecke, sagt Alan Dahi, Datenschutzjurist bei NOYB. Er sieht den Fall als Beispiel für ein grundsätzliches Problem der Branche:

Der Großteil der Daten von Kreditauskunfteien stammt von Adressverlagen – und zwar ohne rechtliche Grundlage. Zusätzlich geschieht all dies heimlich, ohne die betroffenen Personen jemals um Einwilligung zu fragen oder sie zu informieren. Auch der Beschwerdeführer wusste bis zu seinem Auskunftsbegehren nicht, dass seine Daten gesammelt werden, obwohl die DSGVO klar vorschreibt, dass er darüber informiert hätte werden müssen.

Die Datenschützer:innen von NOYB waren dem mutmaßlichen DSGVO-Verstoß durch Auskunftsanfrage eines Bürgers bei CRIF auf die Spur gekommen. Die Auskunftei gab an, seinen Namen, sein Geburtsdatum und einige (teils veraltete) Wohnadressen gespeichert zu haben. Als Datenquelle wurde ausschließlich der Adressverlag AZ Direct genannt. Gleichzeitig sei erkennbar gewesen, dass auf Grundlage der Daten auch Bonitäts-Scores errechnet worden seien.

In einer Stellungnahme betont CRIF gegenüber netzpolitik.org, Beschwerden ernst zu nehmen und Ungereimtheiten möglichst rasch aufzuklären. Zum konkreten Fall könne man sich nicht äußern, da von der Datenschutzbehörde noch keine Aufforderung zur Stellungnahme vorliege. Stattdessen betont das Unternehmen, wie wichtig Adressen und Bonitätsprüfungen für das Funktionieren des Online-Handels seien:

Besonders im eCommerce machen wir die Erfahrung, dass die eindeutige Personenidentifizierung essenziell ist und ohne diese Dienstleistung der Kreditauskunfteien das Online-Geschäft nicht gesichert möglich ist.

Da insbesondere im deutschsprachigen Raum der Kauf auf Rechnung im Online-Handel beliebt sei, „kann nur durch eine Identitäts- und Bonitätsprüfung diese Zahlungsmethode im eCommerce angeboten werden“, so CRIF weiter. „Darüber, dass CRIF Daten zur Identifikation verarbeitet, hat CRIF jederzeit transparent in ihrer Datenschutzerklärung aufgeklärt.“

NOYB ruft zum Mitmachen auf

Österreicher:innen sind unterdessen aufgefordert, selbst aktiv zu werden: „Auch du kannst herausfinden, ob CRIF deine Daten unzulässiger Weise bei einem Adressverlag wie AZ Direct erhoben hat“, ruft NOYB zum Mitmachen auf. Jede:r könne ein Auskunftsbegehren nach der Datenschutzgrundverordnung stellen.

Nach Artikel 15 der Datenschutzgrundverordnung sind datenverarbeitende Stellen verpflichtet, auf entsprechende Anfragen binnen eines Monats zu reagieren. Wie das im Detail funktioniert, beschreibt die NGO in einem Leitfaden.

4 Ergänzungen

  1. „AZ Direct hätte die Adressen NOYB zufolge aber nicht an CRIF weiterverkaufen dürfen, da die Informationen dort für sogenanntes Scoring genutzt werden, “

    Und
    „obwohl die DSGVO klar vorschreibt, dass er darüber informiert hätte werden müssen.“

    Naja… Wenn die Daten bereits erhoben waren, dann wohl nicht.
    Der Vertrieb dieser (bereits vor Inkrafttreten erhobenen) ist mW, nicht durch irgendeinen Erwägungsgrund eingeschränkt.
    Und ich sehe das Vorgehen zum Scheitern verurteilt aus ErwG62:

    „(62) Ausnahmen von der Informationspflicht
    1Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch,[…] oder mit unverhältnismäßig hohem Aufwand verbunden ist. 2Letzteres könnte insbesondere bei Verarbeitungen für […] oder zu statistischen Zwecken der Fall sein. 3Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden.“

    Das heisst, die Daten sind schon vor Inkrafttreten im Umlauf gewesen. Sie werden zu statistischen Zwecken „Prognosen“ verwendet und es handelt sich nicht um einen Einzelfall.

    Gut – nu könnte man argumentieren ist ja A und nicht D; das Problem ist hier aber noch viel schlimmer.

  2. So ein dummes Gewiesel der Bonitätsbude, um die Rechtsbeugung oder den Rechtsbruch schönzureden:

    „Besonders im eCommerce machen wir die Erfahrung, dass die eindeutige Personenidentifizierung essenziell ist und ohne diese Dienstleistung der Kreditauskunfteien das Online-Geschäft nicht gesichert möglich ist.“

    Und was ist mit e-kiosken? Die nicht mal eine Mailadresse erheben, keine Lieferadresse brauchen und wie zigtausende anderer Onlineshops sehr gut ohne die Dienste irgendwelcher Datenhehler auskommen? Übersehen, dass Zahlungsdaten mindestens so aussagekräftig und zuordbar sind wie andere persönliche Daten? Für die Erkennung von Kreditkartenbetrug gibt es zuverlässige Methoden, das muss man nicht mal selber machen, sondern kann es den Zahlungsdienstleistern überlassen, und seit Anfang des Jahres ist bei Kreditkarten Zwei-Faktor-Authentifizierung Pflicht bei Beträgen über 30 Euro. Handyzahlung analog, dort musste schon Account plus Handy geklaut sein. SEPA-Lastschrift: Die haben eine Schuss frei, danach wird dieses Konto mit „Lastschrift geplatzt“ vom Händler gesperrt. Paypal: Hier herrscht eine von Paypal gewollte Asymmetrie, der Käuferschutz hat Priorität vor dem Händlerschutz, damit möglichst viele Käufer Paypal nutzen – dem können sich dann auch die Händler nicht entziehen. Das ist eher ein Problem mit Paypal als mit Bonität bzw erwünschter Zahlungsgeschichte eines Menschen.

    „Da insbesondere im deutschsprachigen Raum der Kauf auf Rechnung im Online-Handel beliebt sei, „kann nur durch eine Identitäts- und Bonitätsprüfung diese Zahlungsmethode im eCommerce angeboten werden“, so CRIF weiter.

    Ach was. Zahlungsart Rechnung ist ein Vertrauensvorschuss des Händlers, und wenn er das nicht will oder nicht kann, sei es, weil er zu klein ist, um eventuelle Verluste aufzufangen oder prinzipiell – ein Händler ist nicht verpflichtet, Kauf auf Rechnung anzubieten, das wird mittlerweile auch nicht mehr erwartet (viele Shops haben nur noch Paypal und Kreditkarte), dann lässt er es halt oder bietet die Zahlungsart Rechnung Neukunden oder wenn die Lieferadresse eine Packstation ist, eben nicht an, sondern nur Bestandskunden, oder Bestandskunden ab einer selbst definierten vorherigen Bestellsumme. Jede vernünftige Shopsoftware erlaubt, diese Regeln festzulegen.

    „Darüber, dass CRIF Daten zur Identifikation verarbeitet, hat CRIF jederzeit transparent in ihrer Datenschutzerklärung aufgeklärt.“

    Ja sicher. Wer verarbeitet denn im kommerziellen Bereich keine Daten zur Identifikation? Nur sind das dann, wenn sich an geltendes Recht gehalten wird, DSGVO-konform Daten, über deren Verwendung man die Inhaber aufgeklärt hat und die man sich nicht auf dem Hehlermarkt besorgt hat. Kleiner Tipp: Wenn die Menschen, die durch eure Daten gekennzeichnet werden, nichts von euch wissen, war’s illegal, was ihr da treibt.

    AZ Direct kommt bei der Betrachtung zu gut weg, denn die haben die Hehlerware verhökert, deshalb: wieso ist „Kontaktinformationen von Menschen aus unterschiedlichen Quellen zusammenzusammeln und weiterzuverkaufen […] auch ohne explizite Einwilligung der Betroffenen erlaubt, sofern die Daten nur für Zwecke des Direktmarketings verwendet werden. “ nicht längst strafbar? Bedeutet Direktmarketing ein höheres Recht als das Recht auf informationelle Selbstbestimmung? Marktkonforme Demokratie und so?

  3. Ist doch ganz klar. Verstoß gegen Art. 6 DSGVO. Nach Art. 32 DSGVO müssten diet horrenden Strafen abgehalten werden. Da sieht man wieder deutlich, dass die DSGVO und alles was Datenschutz heißt, uns gar nicht schützen soll.

    Nicht mal dass man seinen Namen nicht für alle sichtbar an den Briefkasten schreiben muss kann man durchsetzen. Der Postbote weigert sich einfach, Post einzuwerfen und besitzt auch noch die Frechheit vorwurfsvoll zu klingeln, nach Namen zu fragen, zu fordern dass die Namen angebracht werden udn zu drpohen NÖTIGUNG, keine Briefe mehr zuzustellen, wenn kein Name dran steht. Datenschutz? Kennt er nicht, weiß er nicht, interessiert ihn nicht. Onb wir das denn wüssten?!? Was das solle?!?!? Es MÜSSE der Name am Briefkasten stehen. Quatsch!!

    Und es ist noch so viel mehr als das.

    Erst wehrten sich die Banken, als Sie gezwungen wurden, ihre Kunden auszuspionieren. Jetzt haben sie bemerkt, wie viel unsere gestohlenen Identitäten, Bank- und Finanztransaktionesdaten, Wohnadressen usw. wert sind und wollen Kapital daraus schlagen, indem Sie dem staat, selbstverständlich gegen Geld, dabei helfen uns noch umfassender zu überwachen: https://finanz-szene.de/digital-banking/banken-draengen-auf-schluesselrolle-in-neuem-id-oekosystem/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.