noyb

Häufig gestellte Fragen

Hintergründe zum Credit Scoring und zur CRIF GmbH

Beim Credit Scoring handelt es sich um ein Verfahren zur Bewertung der Kreditwürdigkeit einer Person. Die Kreditwürdigkeit oder Bonität ist die Fähigkeit oder der Willen einer Person, ihren finanziellen Verpflichtungen nachzukommen. 
 
Die CRIF GmbH ist eine in Österreich tätige Kreditauskunftei und gehört zu einem italienischen Konzern. Die CRIF GmbH sammelt in großem Ausmaß Daten zu Privatpersonen, um damit eine Bewertung der Kreditwürdigkeit vorzunehmen. Nach eigenen Angaben hat die CRIF GmbH persönliche Daten zu fast jeder erwachsenen Person in Österreich.
 
Dabei werden diese Daten oft für viele Jahre von der CRIF GmbH verarbeitet und gespeichert, ohne dass die Betroffenen jemals über das Scoring, dessen Ergebnisse und die Auswirkungen dieses Datenhandels informiert werden.
 
Mehr Informationen zur CRIF GmbH findest du auf der CRIF-Webseite.

Die genaue Berechnung ist unklar und die Angaben der CRIF GmbH ändern sich auch regelmäßig. Der Score ist ein Wert zwischen 250 und 700 Punkten wobei die CRIF GmbH angegeben hat, dass der österreichische Durchschnitt bei 550 Punkten liegt. Die Verteilung des Scores ist eher nach oben verschoben (also keine gleichmäßige Verteilung, die meisten Leute sind über der Mitte der Skala). Zusätzlich werden den Scores auch die Ampelfarben zugeordnet (Rot, Gelb, Grün).
 
Bisher gibt die CRIF GmbH an, dass sie bei 90% der in Österreich lebenden Personen keine Zahlungserfahrungsdaten hat, also keine Daten zu Inkassoforderungen oder Insolvenzen. Für diese Menschen scheint die CRIF GmbH laut eigenen Angaben einen Score nur anhand von Alter (jedes Jahr gibt es hier ein paar Punkte extra), Geschlecht (weiblich ist besser als männlich) und Adresse zu berechnen. 
 
In einzelnen Konstellationen werden anscheinend auch Nachnamen verwendet, um Personen die im gleichen Haushalt wohnen (wie ein Familienmitglied), als wahrscheinlich real existent zu klassifizieren, selbst wenn die Person selbst nicht in der Datenbank ist (z.B. die Tochter der Familie „Huber“ ist noch nicht in der Datenbank, aber weil Eltern „Huber“ an der Adresse auffindbar sind, wird angenommen, dass die Angaben vermutlich stimmen).
 
Auch Personen, die in der Datenbank nicht auffindbar sind, bekommen anscheinend trotzdem einen Score und eine Ampelfarbe zugeordnet. Hier scheint die CRIF GmbH häufig einen „gelben“ Score auszugeben, anstatt einfach anzugeben, keine Daten zu haben. Das betrifft vor allem auch Personen, die neu nach Österreich gezogen sind (z.B. EU-Bürger:innen), die dann mitunter bei Verträgen abgelehnt werden.
 
Zu ca. 10% der in Österreich lebenden Personen scheint die CRIF GmbH Zahlungserfahrungsdaten zu haben. Diese werden wohl vor allem von Inkassobüros weitergegeben. Weiters gibt es auch öffentliche Register, in denen z.B. Insolvenzen veröffentlicht werden.

Ein Beispiel eines CRIF-Berichts kannst du hier herunterladen.

Generell ist es fraglich, wie ein Privatunternehmen wie die CRIF GmbH eine Art „paralleles Melderegister“ zu einem großen Teil der in Österreich lebenden Menschen aufbauen und die Daten ohne Informationen der meisten Betroffenen täglich an hunderte Unternehmen verkaufen kann. Das Grundrecht auf Datenschutz sollte derartig massive Datensammlungen und -verkäufe eigentlich unterbinden.

Hinzu kommt, dass Scores mitunter auch falsch sein dürften. Konsument:innen könnten dann den Zugang zu Dienstleistungen verlieren und müssten mitunter auf teurere Produkte ausweichen. So beschweren sich regelmäßig Konsument:innen, dass sie von günstigen Stromanbietern abgelehnt werden und dann auf teurere Angebote ausweichen müssen. Auch sind Ablehnungen von Mobilfunkanbietern häufig.

Auch bei der Kreditvergabe können die Scores der CRIF GmbH eine Rolle spielen. Bei Online-Krediten könnten Scores direkt über die Vergabe oder den Zinssatz entscheiden. Es ist unklar, wie weit die CRIF GmbH in diesem Geschäftsbereich tätig ist. Bei Bankkrediten gibt es Hinweise, dass Banken CRIF-Scores abrufen und diese eventuell auch bei der Risikobewertung einbeziehen. Ein schlechter Score könnte damit z.B. einen Hypothekarkredit teurer machen. Details sind aber mitunter unklar.

Das Scoring durch die CRIF GmbH wird zur Risikoeinschätzung an Unternehmen wie etwa Banken, Mobilfunkanbieter, Online-Shops und viele mehr (im Folgenden als “CRIF-Partner” bezeichnet) verkauft. 
 
Diese können über eine Computer-Schnittstelle oder ein Web-Interface die Daten von fast jeder erwachsenen Person in Österreich abrufen. Oft passiert das automatisch im Hintergrund. Wenn man z.B. in einem Webshop “Kauf auf Rechnung” auswählt oder einen Handy- oder Stromliefervertrag abschließt, werden innerhalb von Sekunden Scores abgerufen und Leute akzeptiert oder abgelehnt.
 
Beispiele für aktuelle oder ehemalige CRIF-Partner, die in CRIF-Auskünften aufgetaucht sind, sind etwa Online-Angebote (z.B. Zalando), Mobilfunker (z.B. Magenta oder Drei), Energieanbieter (z.B. der Verbund) oder diverse Banken (z.B. die Volksbank Wien AG). Die Anzahl der Unternehmen, die sich Daten von der CRIF GmbH besorgen, geht vermutlich in die Hunderte. Auch hier kann das Auskunftsprojekt (Schritt 1) ein genaueres Bild zeichnen.

Es ist unklar, in welchem Umfang diese Unternehmen wissen, woher die CRIF ihre Daten hat und wie der Score berechnet wird.

In den USA stehen Kreditauskunfteien oft in der Kritik, dass sie gewisse Bevölkerungsschichten strukturell diskriminieren und etwa Personen aus afroamerikanisch dominierten Wohnvierteln strukturell niedriger bewerten.

Es gibt Hinweise, dass niedrige Scores und Ablehnungen besonders häufig Personen treffen, die erst seit Kurzem in Österreich leben. Diese können vermutlich schlicht nicht in der Datenbank der CRIF GmbH gefunden werden und dürften statt einer Antwort wie „nicht gefunden“ einen niedrigen Score erhalten. Das betrifft etwa auch zugezogene Menschen aus reichen EU-Staaten wie Deutschland.

Da die Anschrift beim Scoring der CRIF GmbH eine große Rolle spielen dürfte, wäre es möglich, dass der Algorithmus der CRIF GmbH zu einer indirekten Diskriminierung neigt (also z.B. in Wohngegenden mit niedrigeren Einkommen oder höheren Anteil an Personen mit Migrationshintergrund generell allen Betroffenen niedrigere Scores gibt, egal ob die Einzelperson eine hohe oder niedrige Bonität hat). Hierfür gibt es Hinweise aus der Praxis, wo Scores von Personen eingebrochen sind, wenn sie ihren Wohnsitz in eine günstigere Nachbarschaft mit hohem Ausländeranteil verlegt haben. Genaue Nachweise zu einem diskriminierenden Effekt fehlen jedoch noch.

Ob der Score der CRIF GmbH tatsächlich indirekt diskriminierend wirkt, wollen wir mit diesem Projekt auf den Grund gehen.

Aus Sicht der CRIF GmbH trägt sie zu einem Funktionieren der Wirtschaft bei. Kreditauskunfteien soll auch Konsument:innen vor der Überschuldung bewahren, indem sie z.B. keine weiteren Waren auf Rechnung kaufen können, wenn sie schon bisher nicht bezahlen konnten. Die CRIF GmbH ist der Meinung, dass etwa der Kauf auf Rechnung seltener von Unternehmen angeboten würde, wenn diese keine Scores als Entscheidungsgrundlage hätten. Konsument:innen müssten dann öfter z.B. mit Kreditkarte, Sofortüberweisung oder Vorauskasse zahlen. Insofern sieht die CRIF GmbH hier einen Vorteil für Konsument:innen.

Hierzu ist einzuwenden, dass Scoring in vielen anderen EU-Ländern nicht üblich ist und die Wirtschaft und Onlinehandel auch dort funktioniert. Für eine Art „schwarze Liste“ von regelmäßig auffälligen Konsument:innen wäre es auch nicht nötig, die Daten aller anderen Personen in Österreich zu speichern. Die CRIF GmbH selbst sagt, dass sie zu ca. 90% aller Personen in ihrer Datenbank keine „Zahlungserfahrungsdaten“ (also negative Informationen) hat. Hier werden also ohne konkrete Verfehlung und ohne Einwilligung der Betroffenen deren Daten gespeichert. 

Aus rechtlicher Sicht argumentiert die CRIF GmbH, dass die Gewerbeordnung Kreditauskunfteien vorsieht - auch wenn der Umfang der Tätigkeit von der Gewerbeordnung offen gelassen wird. Nach der DSGVO beruft sich die CRIF GmbH üblicherweise auf ein „berechtigtes Interesse“ nach Artikel 6(1)(f) DSGVO. Dies ist jedoch umstritten, da gerade bei Personen ohne negative Informationen die Interessen von Unternehmen, möglichst viel über ihre Kundschaft zu wissen, wohl nicht standardmäßig deren Grundrecht auf Datenschutz übertrumpfen kann.

Die detaillierte Argumentation der CRIF GmbH hat sich über die Jahre immer wieder geändert und wird wohl auch im Rahmen dieses Projekts wieder neue Formen annehmen.

Mehr Informationen zur CRIF GmbH findest du auf der CRIF-Webseite.

Nach bestehenden Gerichtsurteilen und Entscheidungen der österreichischen Datenschutzbehörde sind viele Teile der Datenverarbeitungspraktiken von der CRIF GmbH nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar. Viele dieser Fälle betreffen aber nur Teilaspekte und sind auch noch nicht höchstgerichtlich bestätigt und damit nicht rechtskräftig. Die CRIF GmbH hat auch eine Tendenz, Urteile (wie z.B. ein EuGH-Urteil zur automatisierten Bonitätsentscheidungen nach Artikel 22 DSGVO) eher "unkonventionell" zu interpretieren. Entscheidungen in Einzelfällen werden zwar umgesetzt, aber das Geschäftsmodell läuft im Kern weiter und wird bisher auch von den Behörden nicht unterbunden.
 
Mit dem Auskunftsprojekt (Schritt 1) und vor allem mit einer potentiellen Sammelklage (Schritt 2) will noyb erreichen, dass diese Praktiken umfänglich untersucht und dort, wo sie nicht gesetzeskonform sind, möglichst dauerhaft unterbunden werden. Weiters will noyb evaluieren, inwiefern den an diesem Projekt teilnehmenden Personen Rechtsansprüche (insbesondere auf Schadenersatz) entstanden sind – und ob die Durchsetzung solcher Ansprüche im Wege einer Verbandsklage allenfalls aussichtsreich wäre.
 
Schließlich möchte noyb die in Österreich vorherrschenden Credit-Scoring-Praktiken beleuchten und eine öffentliche Diskussion darüber starten, wie solche Scoring-Verfahren gestalten werden sollen, um die Grundrechte auf Selbstbestimmung und Privatheit ausreichend zu respektieren. Die Erfahrungen aus Österreich können mitunter auch auf andere EU-Mitgliedsstaaten übertragen werden.

Aufgrund mehrerer laufender und auch teilweise rechtskräftig abgeschlossener Verfahren gegen die CRIF GmbH und andere Kreditauskunfteien ist noyb der Ansicht, dass viele Datenverarbeitungspraktiken der CRIF GmbH nicht mit der DSGVO vereinbar sind. 
 
Die CRIF GmbH verarbeitet persönliche Daten (wie Alter, Geschlecht oder Adressdaten), die nach Ansicht von noyb auf unzulässigem Wege und ohne ausreichende rechtliche Grundlage gesammelt wurden. So werden z.B. von der CRIF GmbH auch personenbezogene Daten verwendet, die ursprünglich für Marketingzwecke gesammelt wurden. Artikel 5(1)(b) DSGVO sieht aber eine strikte Zweckbindung vor, die eine solche Weiterverarbeitung für andere Zwecke (z.B. zur Identifikation oder Kreditbewertung) aus Sicht von noyb nicht erlaubt. Damit stellt sich für einen großen Teil des Datenbestands die Frage, ob die CRIF GmbH diese Daten überhaupt rechtmäßig erlangt hat.
 
Zumeist passiert die Verarbeitung ohne das Wissen oder die Zustimmung der betroffenen Personen, obwohl Artikel 14 DSGVO grundsätzlich vorsieht, dass Betroffene über Datensammlungen zu informieren sind. Üblicherweise erfahren Betroffene aber erst dann von der Existenz eines Credit Scores, wenn es zu Problemen kommt: Zum Beispiel, weil sie keinen Handy- oder Energievertrag abschließen können, weil ihnen eine schlechte Kreditwürdigkeit bescheinigt wurde. Die CRIF GmbH vertritt hier den Standpunkt, dass eine aktive Information der Betroffenen allein wegen der großen Anzahl nicht zumutbar wäre. Das würde aber auch bedeuten, wer mehr Daten sammelt, müsste die Leute weniger informieren als Unternehmen, die weniger Daten sammeln - noyb sieht das naturgemäß anders.
 
Die CRIF GmbH scheint darüber hinaus keine ausreichende Information zum Scoring-Algorithmus zur Verfügung zu stellen. Hier hat der Europäische Gerichtshof zu Artikel 15 und 22 DSGVO bereits klare Entscheidungen getroffen. Die Auskünfte der CRIF GmbH sind bisher aus Sicht von noyb hinter dieser Interpretation der DSGVO zurückgeblieben. Auch in vielen anderen Bereichen scheint die CRIF GmbH regelmäßig keine vollständige Auskunft über die bei ihren gespeicherten Daten zu erteilen, auch wenn sie inzwischen mitunter mehr Daten zur Verfügung stellt.
 
Nicht zuletzt ist es auch sehr fraglich, ob die von CRIF errechneten Credit Scores überhaupt ausreichend treffsicher, also richtig sind, wie es datenschutzrechtliche Grundsätze in Artikel 5(1)(d) DSGVO verlangen. Nach Ansicht von noyb gibt es Hinweise, die es sehr wahrscheinlich machen, dass der CRIF-Score nicht die nötige Treffsicherheit hat, um damit Menschen in einem sehr sensiblen Bereich zu bewerten.
 
Es ist auch fraglich, ob die CRIF GmbH bzw. die CRIF-Partner Entscheidungen zu Verträgen oder Krediten einer ausreichenden menschlichen Prüfung unterziehen, wie es Artikel 22 DSGVO vorsieht. Hinweise legen nahe, dass Menschen von undurchsichtigen Algorithmen pauschal „abgelehnt“ wurden und oft keine ernsthafte Nachprüfung angeboten wurde. Die CRIF GmbH hat hierzu Verbesserungen angekündigt, die richtige Umsetzung scheint für noyb aber fraglich.
 
noyb wird untersuchen, ob bzw. inwieweit bei der Verarbeitung deiner Daten etwaige Verstöße (wie oben beschrieben) vorliegen. Falls ja, könnte ein ersatzfähiger Schaden entstanden sein. 

Deine Teilnahme am Auskunftsprojekt (Schritt 1)

noyb arbeitet evidenzbasiert. Obwohl aus verschiedenen Verfahren schon sehr viel bekannt ist, brauchen wir noch weitere Beweise, um eine Sammelklage einzubringen. Daher hat sich noyb entschlossen, ein allfälliges Verfahren gegen die CRIF GmbH (und möglicherweise auch gegen ihre Partner) in zwei Schritte zu teilen:
 
In einem Auskunftsprojekt (Schritt 1) versucht noyb zuerst genug Freiwillige zu finden, um auf breiter Basis die Datenverarbeitung der CRIF GmbH wissenschaftlich zu evaluieren und die Korrektheit des Scorings zu berechnen. Dafür sind viele Datensätze notwendig, um statistisch saubere Analysen zu machen. Bisher liegen noyb nur viele einzelne Hinweise vor, die noch weiter untersucht und untermauert werden sollen.
 
Auf Basis der Beweise aus dem Auskunftsprojekt (Schritt 1) könnte dann eine mögliche Sammelklage (Schritt 2) resultieren. Das könnte z.B. eine Unterlassungsklage (also eine Klage, die es der CRIF GmbH untersagt, die Daten aller in Österreich lebender Personen weiter zu verarbeiten) oder auch eine Abhilfeklage (also z.B. um Schadenersatz für bestimmte Personen zu erhalten) sein. Hierfür können sich Betroffene allenfalls später gesondert anmelden. Wie aussichtsreich das im Einzelfall ist, hängt von den Ergebnissen des Auskunftsprojekts aus.

Mit dem Auskunftsprojekt (Schritt 1) wird noyb in einem ersten Schritt untersuchen, ob das sogenannte Credit Scoring, das das Unternehmen CRIF GmbH mit den persönlichen Daten von nahezu allen in Österreich wohnhaften Erwachsenen durchführt, den Datenschutzgesetzen entspricht.
 
Dazu wird noyb im Namen der teilnehmenden Personen ein Auskunftsersuchen nach Artikel 15 Datenschutz-Grundverordnung (DSGVO) an die CRIF GmbH und auch bei CRIF-Partnern (wie z.B. Adresshändler, Mobilfunkunternehmen oder Online-Versandhändler) stellen. Das ermöglicht uns, alle persönlichen Daten zu erhalten, die die CRIF GmbH über dich verarbeitet hat und z.B. festzustellen, ob deine Daten rechtmäßig bei der CRIF GmbH gelandet sind und ob diese auch erlaubterweise von CRIF-Partnern abgerufen wurden.
 
Diese Informationen und die von dir bereitgestellten Daten zu deiner Einkommens- und Vermögenssituation werden wir dann mit Hilfe von Expert:innen analysieren und mit den CRIF-Scores vergleichen. Damit kann man herausfinden, ob der Score (der laut CRIF GmbH meist nur auf Alter, Geschlecht und Anschrift basieren soll) mit deiner realen Bonität ausreichen korreliert. Es geht also darum, ob die Scores wissenschaftlich und rechtlich gesehen “richtig” sind oder oft weit weg von der Realität liegen.
 
Falls die Ergebnisse einen Verstoß gegen Gesetze nahelegen, kann noyb in einem zweiten Schritt deine Rechte einklagen. Das könnte zum Beispiel eine Unterlassungsklage oder eine Verbandsklage wegen Schadenersatzansprüchen im Namen der Betroffenen sein.

Alle Personen, die volljährig und aktuell in Österreich wohnhaft sind oder das in den letzten Jahren waren, können am Auskunftsprojekt (Schritt 1) teilnehmen. Wenn du mitmachen möchtest, kannst du hier deine Details eintragen. 
 
Damit wir dich vertreten können, musst du dich ausweisen – entweder mit einer Ausweiskopie oder über deine elektronische Identität (ID Austria oder mit einer europäischen eID). Außerdem müssen wir deine Telefonnummer und E-Mail-Adresse verifizieren, um dich auch später kontaktieren zu können. Das Ganze dauert nur ein paar Minuten und schon bist du Teil unseres Projekts!
 
In manchen Fällen kann es sein, dass wir das Auskunftsbegehren an die CRIF GmbH nicht stellen können (z.B. weil wichtige Informationen fehlen oder etwas bei der Anmeldung nicht geklappt hat). In diesem Fall werden wir dich benachrichtigen. 

Die Teilnahme am Auskunftsprojekts (Schritt 1) ist für dich völlig kostenfrei. 

Für den Fall, dass CRIF das Auskunftsbegehren nicht oder nicht vollständig beantwortet und noyb daraufhin eine Klage vor Gericht einbringt, gilt: Falls CRIF tatsächlich Schadenersatz zahlen muss, können wir externe Kosten (z.B. marktübliche Anwaltskosten, Sachverständigenkosten, Gerichtgebühren) vom erzielten Schadenersatz abziehen. Du musst aber nie (egal ob wir gewinnen oder verlieren) selbst etwas zahlen. Die Details zur Frage der Kosten findest Du in den Vertragsbedingungen in Punkt 5. 

Falls noyb in einem zweiten Schritt auch eine Sammelklage (Schritt 2) einbringt, werden die Kosten dafür (z.B. eine Teilnahmegebühr) getrennt festgelegt und du kannst dann entscheiden ob du mitmachen willst.

noyb finanziert sich vor allem durch Fördermitglieder, die uns Geld spenden. Zu einem Teil werden wir auch von Stiftungen, der Stadt Wien, der Arbeiterkammer und dem Sozialministerium gefördert. Das Auskunftsprojekt (Schritt 1) wird von diesen Geldern finanziert.

Wenn du uns helfen willst, derartige Projekte zu ermöglichen, kannst du ein noyb Fördermitglied werden.

Oft dauern Sammelklagen mehrere Jahre und E-Mail-Adressen und Telefonnummern ändern sich in der Zwischenzeit. Primär werden wir uns per E-Mail bei dir melden, aber viele Teilnehmer:innen werden ihre E-Mail-Adresse ändern und erfahrungsgemäß diese Änderung nicht mitteilen. Wir müssen Teilnehmer:innen später wieder kontaktieren können, weshalb wir auf korrekte Daten angewiesen sind und zumindest zwei elektronische Kontaktmöglichkeiten (E-Mail und SMS) haben wollen.
 
Die zwei Kontaktmöglichkeiten haben auch noch einen zweiten Vorteil: Damit noyb für dich tätig werden kann, müssen wir auch nachweisen können, dass du selbst eine gültige Vollmacht erteilt hast und eine real existente Person bist. Durch die Bestätigung einer Telefonnummer beugen wir missbräuchliche Anmeldungen vor, weil man z.B. mehrere Telefonnummern nicht so leicht erstellen kann wie weitere E-Mail-Adressen.

Ja, du kannst dich einfach im Self-Service-Tool anmelden und deine Angaben korrigieren. Aus rechtlichen Gründen werden solche Änderungen protokolliert.

Unabsichtliche Fehler können immer passieren. Du kannst dich einfach im Self-Service-Tool anmelden und die Daten richtigstellen.
 
Absichtlich falsche Angaben (z.B. um sich die Daten einer anderen Person anzueignen) können jedoch strafbar sein. noyb prüft die Angaben. Die CRIF GmbH muss die Angaben selbst ebenfalls prüfen. Hier kann es vorkommen, dass bewusste Falschangaben gemeldet werden.

Eine detaillierte Beschreibung der Tätigkeiten und der Rechte und Pflichten von noyb und den Teilnehmer:innen ist in den Vertragsbedingungen enthalten.

Alle Details zur Verarbeitung und Geheimhaltung deiner persönlichen Daten im Rahmen dieses Projektes findest du in der Datenschutzerklärung

Du kannst innerhalb von 14 Tagen ab dem Zeitpunkt, an dem noyb deine Teilnahme am Projekt bestätigt hat, ohne Angabe von Gründen zurücktreten.  Bitte schreibe uns dazu eine Nachricht an crifprojekt@noyb.eu
 
Wenn du später aus dem Vertrag aussteigen möchtest, kannst du das ebenso jederzeit mittels Kündigung tun. Wir werden dann alles, was wir in deinem Namen ausgeführt haben, wieder zurückziehen.
 
Die Details bzgl. eines Rücktrittes findest du unter Punkt 3.2. der Vertragsbedingungen. Bezüglich einer Kündigung des Vertrages siehe Punkt 4.1. der Vertragsbedingungen

Du kannst jederzeit selbst gegen CRIF oder CRIF-Partner wegen Datenschutzverstößen vorgehen. Wir raten davon aber eher ab, weil es kompliziert werden kann, das zu koordinieren. 

Bitte gib uns in diesem Fall unverzüglich Bescheid, da wir im Fall von widersprüchlichen Rechtsausübungen zwischen dir und noyb den Vertrag und die Vertretung kündigen müssen. 

Zu den Details siehe die Vertragsbedingungen Punkt 1.5.3. und Punkt 1.4.

Falls die CRIF GmbH das Auskunftsbegehren (Schritt 1) nicht fristgemäß oder nicht vollständig beantwortet, kann noyb in deinem Namen eine Beschwerde bei der österreichischen Datenschutzbehörde oder eine Klage bei Gericht einbringen (inklusive potentieller Schadenersatzansprüche wegen unterlassener oder verspäteter Auskunft).

noyb wird auch prüfen, ob eine Sammelklage (Schritt 2) zur Durchsetzung weiterer Ansprüche aus der rechtswidrigen Verwendung deiner persönlichen Daten eingebracht werden kann. Sollten wir eine Schadenersatzklage einbringen, wirst du extra kontaktiert und kannst dann entscheiden, ob du auch bei diesem Schritt dabei sein möchtest.

Falls die CRIF GmbH oder einer ihrer Partner die Auskunft über deine persönlichen Daten nicht oder nicht vollständig erteilt, wird noyb prüfen, ob dein Recht auf Auskunft mittels einer Klage bei Gericht oder eine Beschwerde bei der Datenschutzbehörde durchgesetzt werden kann.

Bei einer Klage vor Gericht könnten eventuell auch Schadenersatzansprüche wegen des Verstoßes gegen die DSGVO für dich geltend gemacht werden. Dazu trittst du – mit deiner Teilnahme am Projekt - allfällige Schadenersatzansprüche wegen Problemen bei der Auskunftserteilung zur Rechtsdurchsetzung an noyb ab. Ist noyb erfolgreich, erhältst du diese möglichen Schadenersatzzahlungen, abzüglich der externen Kosten für die Durchsetzung (z.B. marktübliche Anwaltskosten, Sachverständigenkosten oder Gerichtskosten). Wir gehen aber nicht davon aus, dass dies notwendig werden sollte.

Sobald CRIF oder CRIF-Partner die in deinem Namen eingeholte Datenauskunft erteilen, werden wir dir diese möglichst schnell zukommen lassen. Je nach Format, in dem wir die Daten erhalten, kann das auch ein paar Wochen dauern.

noyb wird auch versuchen, dir die Ergebnisse der wissenschaftlichen Auswertung deiner Daten, die z.B. die Einschätzung der Richtigkeit deines konkreten Credit Scores beinhalten kann, zur Verfügung zu stellen. Letzteres können wir jedoch – je nach Ergebnis – nicht garantieren.

Sollten CRIF oder andere Unternehmen die Auskunftsdaten nicht an noyb, sondern direkt an dich schicken, ist es sehr wichtig, dass du uns darüber informierst und diese umgehend an uns weiterleitest. Wir werden dafür passende Möglichkeiten anbieten.

Wenn du bei diesem Projekt mitmachen willst, braucht noyb von dir eine Vollmacht. 
 
Diese besagt, dass noyb in deinem Namen und Auftrag tätig werden, dich also ihm Rahmen des Auskunftsprojekts (Schritt 1) vertreten kann. Diese Vertretung gilt für sämtliche Erklärungen und Handlungen gegenüber der CRIF GmbH und CRIF-Partnern, die im Rahmen dieses Projekts erfolgen.
 
Die Vollmacht erlaubt auch, dass noyb deine Rechte geltend macht (insbesondere dein Recht auf Auskunft). Für den (unwahrscheinlichen) Fall, dass die CRIF GmbH oder ihre Partner die Auskunft nicht fristgerecht und vollständig beantworten, ist auch die Möglichkeit einer Schadenersatzklage vorgesehen. 
 
Die Vertretungsbefugnis ist im Detail in den Vertragsbedingungen unter Punkt 1.4. beschrieben 

Wir gehen davon aus, dass CRIF oder CRIF-Partner die in deinem Namen eingeholte Datenauskunft innerhalb von einem Monat erteilen werden. Diese werden wir dir dann auch zukommen lassen. Je nach Anlieferung der Daten durch die CRIF GmbH und CRIF-Partner kann die Weiterleitung etwas verzögert sein.
 
Falls diese Daten für die Datenanalyse geeignet sind, wird eine statistische Auswertung vorgenommen. Ziel dieser Auswertung ist es, die Datenverarbeitungen durch CRIF und die CRIF-Partner besser nachvollziehen zu können und in Hinblick auf ihre datenschutzrechtliche Zulässigkeit qualifiziert bewerten zu können. Insbesondere sollen die Plausibilität und Datenrichtigkeit der ausgegebenen Scores untersucht werden, mit denen die CRIF GmbH deine vermeintliche Kreditwürdigkeit einstuft. Falls möglich, werden wir auch diese Auswertung in Bezug auf deine konkreten Daten übermitteln.
 
Schließlich wird noyb anhand sämtlicher vorliegender Informationen prüfen, ob dir gegen die CRIF GmbH bzw. CRIF-Partner Ansprüche auf Schadenersatz oder auch Ansprüche auf Herausgabe des mit deinen Daten erzielten Gewinns zustehen. Falls noyb dann weitere Schritte zur Durchsetzung deiner Ansprüche, wie zum Beispiel mittels Verbandsklage (“Schritt 2”), für sinnvoll erachtet, werden wir dich darüber informieren. Dann kannst du dich einer solchen Klage anschließen. 

Generell musst du deine Identität ausreichend nachweisen. Ideal wäre dein Reisepass oder Personalausweis, da hier kein Zweifel besteht, dass es ein amtliches Identifikationsdokument ist.
 
Viele Personen haben aber keinen (aktuell gültigen) Personalausweis oder Reisepass. noyb ist der Ansicht das auch andere amtliche Lichtbildausweise (wie z.B. ein Führerschein, Identitätsausweis, amtlicher Dienstausweis, amtlicher Studierendenausweis, Aufenthaltstitel) ausreichend sind. 

Um für dich das Auskunftsersuchen stellen zu können, brauchen wir deine persönlichen Daten wie Name, Kontaktdaten und Geburtsdatum. Wir müssen dich außerdem aus rechtlichen Gründen hinreichend identifizieren – sonst kann die CRIF GmbH die Auskunft verweigern. Ohne diese Informationen kannst du daher leider nicht teilnehmen.
 
Für unsere Analyse, ob der CRIF-Score rechtskonform ist und statistisch den wissenschaftlichen Standards entspricht, wollen wir den CRIF-Score mit realen Daten zur Bonität vergleichen. Dazu benötigen wir diese tatsächlichen Informationen zur individuellen finanziellen Situation von möglichst vielen Personen. 
 
Wir verstehen natürlich, wenn nicht alle diese Informationen mit uns teilen möchten. Daher kannst du auch bei nicht strikten notwendigen Feldern „Ich möchte diese Frage nicht beantworten“ auswählen. In diesem Fall kann noyb trotzdem ein Auskunftsbegehren für dich an die CRIF GmbH stellen. Es kann allerdings sein, dass die spätere Datenanalyse in deinem Fall nicht möglich ist oder eventuell kein aussagekräftiges Ergebnis erzielt werden kann.

Je mehr Personen an unserem Projekt teilnehmen, desto effektiver kann noyb potentielle Datenschutzverletzungen durch die CRIF GmbH oder CRIF-Partner überprüfen, weil die Daten immer solider und klarer werden und die Verhandlungsposition der Teilnehmer:innen dadurch gestärkt wird. Wir zielen aktuell auf zumindest 1.500 Teilnehmer:innen ab. 
 
Über die Gesamtzahl hinaus, ist es aber auch statistisch relevant “Datendoppelgänger:innen” zu finden, also insbesondere Personen mit der gleichen Anschrift (z.B. Familienmitglieder, Nachbar:innen und Mitbewohner:innen), dem gleichen Alter an der gleichen Anschrift (z.B. Partner:innen, Mitbewohner:innen oder Geschwister) oder mit ähnlichem Einkommen (z.B. Arbeitskolleg:innen).
 
Du kannst uns helfen, indem du Freund:innen, Kolleg:innen, Familienmitglieder, Mitbewohner:innen oder Nachbar:innen auch einlädst, beim diesem Projekt mitzumachen.

Mögliche technische Problem bei der Teilnahme

ID Austria ist ein Dienst des Innenministeriums. Wir schicken dich zu ID Austria und bekommen (wenn es funktioniert) die Daten vom Innenministerium zurück. Bei Problemen mit ID Austria musst du dich leider an das Innenministerium wenden. 
 
Du hast auch die Möglichkeit, dich mit einem Personalausweis oder Reisepass zu registrieren.

ID Austria unterstützt nur die elektronischen IDs aus bestimmen EU-Ländern und auch da nur die höchste Sicherheitsstufe. Falls deine eID nicht unterstützt wird, nutze bitte den Ausweisscan.

Stelle sicher, dass du deine Kamera freigibst. Bei gewissen Browsern (z.B. Firefox) musst du mitunter jede Kamera einzeln freigeben, wenn du mehrere Kameras hast. Du kannst die Kamera über den Wechsel-Button, z.B. zwischen Front-Kamera und Hauptkamera, am Handy wechseln.
 
Alternativ kannst du auch ein Foto eines Ausweises machen und dieses dann hochladen.
 
Du kannst den Scan bis zu drei Mal wiederholen, falls dir beim ersten Foto ein Fehler passiert ist. Falls unser System den Ausweis auch drei Mal nicht erkannt hat, keine Sorge – wir prüfen deine Fotos in diesem Fall manuell. Da wir nicht unbedingt wissen, welches der Fotos am besten geworden ist, speichern wir alle Fotos, die du hochgeladen hast.

Wahrscheinlich ist unser E-Mail in deinem Spam-Folder gelandet. Schau dort nach.
 
Falls du kein E-Mail erhalten hast, kannst du zurückgehen und es nochmal schicken. Wenn möglich, nutze eine andere E-Mail-Adresse.

Es kann sein, dass deine SMS nicht bei uns angekommen ist, zum Beispiel wenn du uns von einer ausländischen Telefonnummer schreibst. Du kannst sie nochmal schicken oder du klickst auf den Link im Erklärungstext, um dir alternativ einen Code auf dein Handy zu schicken, den du dann eingeben kannst. Das funktioniert meist auch, wenn wir deine SMS nicht bekommen haben.

Wir freuen uns, wenn du uns Hinweise auf Fehler schickst. Schick einfach eine E-Mail an crifprojekt@noyb.eu. Für technische Probleme ist eine genaue Fehlerbeschreibung wichtig. Bitte stelle sicher, dass du (1) die genaue URL aus der Adresszeile deines Browsers kopierst und mitschickst, (2) das Betriebssystem (z.B. Windows, Linux, iOS, Android) und (3) den verwendeten Browser (z.B. Safari, Chrome, Brave oder Firefox) angibst. Wenn möglich, sind auch Screenshots hilfreich.

Viele Fehler hängen mit Browsereinstellungen zusammen. Oft funktioniert es, wenn du einen anderen Browser nutzt. Manchmal funktionieren gewisse Funktionen auch auf gewissen Mobiltelefonen nicht. Wenn du einen PC hast, kannst du es auch dort probieren. 
 
Wenn du ein Problem bei der Anmeldung hast, kannst du dich auch jederzeit bei uns unter crifprojekt@noyb.eu melden – wir helfen gerne weiter! 
 
Für technische Probleme ist eine genaue Fehlerbeschreibung wichtig. Bitte stelle sicher, dass du (1) die genaue URL aus der Adresszeile deines Browsers kopierst und mitschickst, (2) das Betriebssystem (z.B. Windows, Linux, iOS, Android) und (3) den verwendeten Browser (z.B. Safari, Chrome, Brave oder Firefox) angibst. Wenn möglich, sind auch Screenshots hilfreich.