DSGVO-Verstöße als österreichisches Geschäftsmodell?
Die österreichische Datenschutzorganisation noyb hat Beschwerde gegen die Kreditauskunftei CRIF und den Adressverlag AZ Direct Österreich eingereicht. Der Vorwurf: Millionenfache Weitergabe personenbezogener Daten ohne rechtliche Grundlage.
Ein Betroffener hatte ein Auskunftsbegehren nach Art. 15 DSGVO an CRIF gestellt. Diese hatte neben Personenstammdaten auch veraltete Wohnadressen des Betroffenen gespeichert. Als Quelle für die erhobenen Daten hatte CRIF ausschließlich den Adressverlag AZ Direct Österreich angegeben, einer Tochterfirma der Bertelsmann Stiftung.
Die österreichische Datenschutzorganisation noyb legte Beschwerde gegen beide Unternehmen ein. Noyb wirft ihnen vor ohne rechtliche Grundlage personenbezogene Daten ausgetauscht zu haben. Außerdem fehle es an der Wahrnehmung der Informationspflichten seitens CRIF und AZ Direct. Der Informationsaustausch soll ohne Einwilligungen der Betroffenen stattgefunden haben. Auch fehle es laut noyb an einer etwaigen Zweckbindung der Datenweitergabe. Die im Gewerberegister als Adressverlag eingetragene AZ Direct GmbH dürfe als solche personenbezogene Daten lediglich zu Direktmarketingzwecken weitergeben. CRIF soll die Daten entgegen dieser rechtlichen Regelung zu Zwecken der Bonitätsprüfungen genutzt haben. Damit verstoßen CRIF und AZ Direct laut noyb gegen das datenschutzrechtliche Prinzip der Zweckbindung.
Der Fall soll laut noyb keinen Einzelfall darstellen. Schätzungsweise seien über Jahre Millionen von Datensätzen gesammelt worden. Sollte sich noyb mit der Beschwerde gegen CRIF und AZ Direct durchsetzen, drohen beiden Bußgelder in Millionenhöhe.