Datenschutzerklärung: „CRIF – Auskunftsprojekt“

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten ist der Verein noyb – Europäisches Zentrum für digitale Rechte, Goldschlagstraße 172/4/3/2, 1140 Wien, ZVR: 1354838270, info@noyb.eu (im Weitern „noyb“ / „wir“ / „uns“).

2. Geltungsbereich

Diese Datenschutzerklärung gilt für Personen, die am Projekt gegen CRIF und CRIF-Partner von noyb (in Folge: das „Projekt“) teilnehmen wollen und die hierfür vorgesehenen Webseiten besuchen und mit ihnen interagieren (insbesondere das „CRIF Auskunftsprojekt“ unter https://classaction.noyb.eu).

Diese Erklärung umfasst auch sämtliche darauffolgende Datenverarbeitungen im Zusammenhang mit der Teilnahme am Projekt, wie insbesondere das Sammeln und Auswerten von Beweismitteln, die Prüfung der Anspruchsberechtigung teilnehmender Personen, die Vertretung vor Behörden und Gerichten und die Auszahlung erstrittener Geldbeträge nach erfolgreicher Prozessführung.

Für andere Angebote von noyb gilt die jeweilige Datenschutzinformation auf der jeweiligen Seite.

3. Datenkategorien, Zweck und Rechtsgrundlage

3.1. Datenkategorien

Wir verarbeiten die folgenden Datenkategorien, die je nach Einzelfall verschieden sein können (z.B. je nachdem ob Sie sich mit einer elektronischen ID oder mit einer Ausweiskopie anmelden):

Von teilnehmenden Personen bereitgestellte Daten:

Stammdaten (z.B. Name, Geburtsdatum, Anschrift)
Identifikationsdaten (z.B. Ausweisscans, Daten zur elektronischen ID)
Kontaktdaten (z.B. Telefonnummer, E-Mail-Adresse)
Kommunikationsinhalte (z.B., wenn Sie uns ein E-Mail schicken)
Sonstige von teilnehmenden Personen bereitgestellte Daten (z.B. Angaben in Formularen)

Von noyb technisch erfasste Daten:

IP-Adresse des jeweiligen Zugriffs
Browserdaten (z.B. Browsertyp, Spracheinstellungen)
Zeitstempel (z.B. das Absenden rechtserheblicher Schritte)
Gewählte Sprache

Von noyb oder noyb-Partnern zusätzlich recherchierte Daten:

Öffentlich verfügbare Daten (z.B. statistische Daten zum Bevölkerungseinkommen, die mit den Angaben der teilnehmenden Person in Vergleich gesetzt werden)
Von Dritten bereitgestellte Daten (z.B. Adresskorrekturen, IP-Zuordnungen, Blacklists)

Von Dritten aktiv bereitgestellte Daten:

Daten aus Auskünften nach Artikel 15 DSGVO, die noyb im Zuge des Projekts in Namen und Auftrag der teilnehmenden Person einholt
Daten, die CRIF oder CRIF-Partner als Prozessgegner im Rahmen eines Gerichts- oder Behördenverfahrens vorlegen oder die dort entstehen

Von noyb oder noyb-Partnern generierte Daten:

Daten, die aus Vergleichsvorgängen entstehen (z.B. Prüfung ob Namen in Dokumenten übereinstimmen oder Anschriften existieren, Ergebnisse von Gegenüberstellungen mit Daten von Vergleichsgruppen, wie z.B. Vergleiche des von CRIF zugeschriebenen Credit Scores mit den Scores von Personen desselben Geschlechts und derselben Altersgruppe)
Wissenschaftliche Evaluierung des CRIF-Scores einer teilnehmenden Person bezüglich seiner Richtigkeit

3.2. Rechtsgrundlagen

3.2.1. Vertragsanbahnung und -erfüllung

noyb verarbeitet personenbezogene Daten der teilnehmenden Personen primär zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person sowie zur Vertragserfüllung gemäß Artikel 6(1)(b) DSGVO in Bezug auf den Vertrag über die Teilnahme am Projekt.

Hierzu gehört insbesondere auch die Antragsprüfung (also die Überprüfung von Angaben auf Plausibilität und Richtigkeit und das Ausfiltern von bedenklichen Anträgen) sowie die Erhaltung der Datenqualität. noyb nutzt hierfür auch öffentlich verfügbare Daten und Blacklists (um etwa Anschriften zu prüfen oder zu korrigieren oder IP-Adressen von Bot-Netzwerken zu blockieren).

3.2.2. Gesetzliche Verpflichtungen

noyb unterliegt diversen gesetzlichen Bestimmungen, die eine Verarbeitung von Daten nach Artikel 6(1)(c) DSGVO nötig machen können. Insbesondere bestehen Pflichten zur Buchführung nach der Bundesabgabenordnung, falls noyb für teilnehmenden Personen finanzielle Forderungen geltend machen sollte und Geldbeträge ausbezahlt. Ebenso kann noyb Anordnungen von Gerichten oder Behörden erhalten, die eine Verarbeitung von personenbezogenen Daten nötig machen kann. Andere Fälle sind bisher nicht absehbar.

3.2.3. Berechtigte Interessen

In einigen Fällen können Daten der betroffenen Personen auch auf Basis berechtigter Interessen nach Artikel 6(1)(f) DSGVO verarbeitet werden. Konkret erfolgt dies

aus Gründen der Cybersicherheit, insbesondere zur Abwehr von unzulässigen Zugriffen;
zur Erkennung und Abwehr von feindseligen Handlungen wie Betrug oder anderen Straftaten oder Handlungen, die darauf gerichtet sind, Informationen aus dem Projekt an Verfahrensgegner oder sonstige Dritte abfließen zu lassen oder das Projekt anderweitig zu beinträchtigen;
im Ausnahmefall von Rechtsstreitigkeiten zwischen noyb und teilnehmenden Personen oder zwischen noyb und anderen Dritten (Verfahren gegen CRIF und CRIF-Partner erfolgen, wie oben dargelegt, zur Vertragserfüllung gemäß Artikel 6(1)(b) DGVO); sollte es im Zusammenhang mit solchen Streitigkeiten ausnahmsweise zur Verarbeitung „sensibler Daten“ kommen, stützt sich die Verarbeitung auf Artikel 9(1)(f) DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen)

3.3. Zwecke der Datenverarbeitung
noyb verfolgt die folgenden Zwecke: Anpassung der Webseite (z.B. Auswahl der Sprache oder des Landes); Kommunikation: Identitätsfeststellung; Prüfung der Teilnahmebedingungen für das Projekt; Beweismittelauswertung; Beweismittelbeschaffung für Behörden- oder Gerichtsverfahren; Behördliche bzw. gerichtliche Geltendmachung von Ansprüchen des Teilnehmers gemäß Vertrag über die Teilnahme am Projekt; Auszahlung erstrittener Beträge; Erfüllung gesetzlicher Buchhaltungspflichten; Erfüllung gesetzlicher Auskunftspflichten; Erfüllung sonstiger gesetzlicher Verpflichtungen oder Entsprechung mit behördlichen Anordnungen; Geltendmachung; Ausübung oder Verteidigung allfälliger Rechtsansprüche zwischen noyb und der teilnehmenden Person oder noyb und Dritten (ausg. CRIF und CRIF-Partner), Cybersicherheit; Erkennung und Abwehr von Betrug oder feindseligen Handlungen.

Übersichtstabelle: Zwecke, Datenkategorien, Rechtsgrundlagen

In nachfolgender Tabelle findet sich eine Aufschlüsslung nach Verarbeitungszwecken, Datenkategorien und den herangezogenen Rechtsgrundlagen:

Verfolgte Verarbeitungszwecke	Hierfür verarbeitete Datenkategorien	Rechtsgrundlage
Anpassung der Webseite (z.B. Auswahl der Sprache oder des Landes)	IP-Adresse, Browserdaten Gewählte Spracheinstellung	Artikel 6(1)(b) DSGVO (Vertragsanbahnung- und Erfüllung)
Kommunikation	Kontaktdaten (Vor- und Nachname, E-Mail, Telefonnummer) Kommunikationsinhaltsdaten
Identitätsfeststellung	Identitätsnachweis (z.B. Scan eines Ausweises oder elektronische Identifikation)	Artikel 6(1)(b) DSGVO (Vertragsanbahnung- und Erfüllung)
Prüfung der Teilnahmebedingungen für das Projekt Beweismittelauswertung Beweismittelbeschaffung für Behörden- oder Gerichtsverfahren Behördliche bzw. gerichtliche Geltendmachung von Ansprüchen des Teilnehmers gemäß Vertrag über die Teilnahme am Projekt	Im Anmeldeformular für das Projekt erhobene Daten (verpflichtend: Geburtsdatum, Vor- und Nachname, Adresse, E-Mail, Telefonnummer und optional: Geschlecht, Angaben zu Einkommen, Vermögen und Schulden, Kontoüberziehung, Inkasso, Insolvenzen und Gerichtsverfahren, Dauer des Aufenthalts in Österreich) Beim Prozessgegner, Dritten oder aus öffentlich verfügbaren Quellen beschaffte Daten Im Rahmen eines Behörden- oder Gerichtsverfahrens bekannt gewordene Daten	Artikel 6(1)(b) DSGVO (Vertragsanbahnung- und Erfüllung)
Auszahlung erstrittener Beträge	Stammdaten, Bankverbindung oder sonstige bereitgestellte Daten zu elektronischen Zahlungsmitteln	Artikel 6(1)(b) DSGVO (Vertragserfüllung)
Erfüllung gesetzlicher Buchhaltungspflichten Erfüllung gesetzlicher Auskunftspflichten Erfüllung sonstiger gesetzlicher Verpflichtungen oder Entsprechung mit behördlichen Anordnungen	In Belegen zu Geldtransaktionen oder sonstigen Belegen ersichtliche Daten Jegliche von einer Anfrage oder Anordnung rechtmäßig umfassten Daten	Artikel 6(1)(c) DSGVO (Rechtliche Verpflichtung) in Verbindung mit §22 Vereinsgesetz und den darin genannten Bestimmungen und mit §132 Bundesabgabenordnung, sonstige gesetzliche Verpflichtungen oder behördliche Anordnungen
Geltendmachung, Ausübung oder Verteidigung allfälliger Rechtsansprüche zwischen noyb und der teilnehmenden Person oder noyb und Dritten (ausg. CRIF und CRIF-Partner)	Daten, die in dem betreffenden Gerichts- oder Behördenverfahren verarbeitet werden	Artikel 6(1)(f) DSGVO (berechtigte Interessen) Artikel 9(1)(f) DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, sofern ausnahmsweise „sensible“ Daten verarbeitet werden.
Cybersicherheit, Erkennung und Abwehr von Betrug oder feindseligen Handlungen	Primär IP-Adressen, Browserdaten, Kontaktdaten und Identitätsnachweise, jedoch auch jegliche anderen Daten die für einen Vorfall relevant sind	Artikel 6(1)(f) DSGVO (berechtigte Interessen)

4. Herkunft der Daten

4.1. Datenquellen

Bei der betroffenen Person selbst (Artikel 13 DSGVO) erheben wir jene Daten, die eine betroffene Person uns im Zuge der Anfrage zur Teilnahme am Projekt, im Rahmen des Vertragsabschlusses oder bei späterer Kommunikation mitteilt oder die wir technisch im Zusammenhang mit dem Besuch der Website https://classaction.noyb.eu/ erheben.

Darüber hinaus erheben wir personenbezogene Daten auch bei Dritten (Artikel 14 DSGVO). Dabei handelt es sich insbesondere um Unternehmen, an die wir im Auftrag und Namen der betroffenen Person datenschutzrechtliche Ansprüche richten und die uns hierzu antworten (etwa indem eine Datenkopie nach Artikel 15 DSGVO bereitgestellt wird) oder um Behörden oder Gerichte, bei denen wir diese Ansprüche durchsetzen.

Für das Projekt arbeiten wir auch mit Forschungseinrichtungen oder Unternehmen zusammen, die für uns Datenauswertungen vornehmen (hierzu unter Punkt 5); diese Stellen übermitteln uns sowohl anonymisierte Auswertungen als auch konkrete Auswertungen (einschließlich Scores) zu einzelnen teilnehmenden Personen.

Im Rahmen der Identitätsfeststellung bei Vertragsabschluss erheben wir Daten bei den von der betroffenen Person gewählten Anbietern von elektronischen Identitätsverifizierungsverfahren. Diese erhalten im Rahmen der Identitätsfeststellung bei Vertragsabschluss die Information, dass Sie sich nun bei uns einloggen. noyb nur eine zufällige Nutzer-ID – und erhält die ID-Daten vom Anbieter retour. noyb bindet zudem das Bundesministerium für Inneres, Herrengasse 7, 1010 Wien als Anbieter von „ID Austria“ direkt ein. Über ID-Austria kann es wiederum zu einer Verbindung mit dem jeweils von der betroffenen Person gewählten eID-Anbieter kommen.

4.2. Herkunft nicht personenbezogener, jedoch ev. später zugeordneter Daten

In einigen Fällen erhalten wir Daten von dritten Quellen, die keinen Personen zugeordnet sind, die wir aber bei uns vorhandenen personenbezogenen Daten zuordnen.

Zu Anzeige der korrekten Länderversion, der Vermeidung von betrügerischem Verhalten oder sonstigen Handlungen mit Schädigungsabsicht erheben wir IP-Zuordnungen zu einzelnen Ländern oder den Umstand, dass eine individuelle IP-Adresse auf einer Backlist gespeichert ist bei entsprechenden Anbietern. Im Moment beziehen wir derartige Informationen von MaxMind, Inc., 51 Pleasant Street, #1020, Malden, MA 02148, Vereinigte Staaten von Amerika. Dabei kommt es zu keiner Übermittlung personenbezogener Daten von noyb an MaxMind. Wir beziehen regelmäßig aktualisierte Listen von MaxMind und gleichen diese mit von dir erhaltenen IP-Adressen ab. Damit kann eine IP-Adresse z.B. einem Land oder einem Bot-Netzwerk zugeordnet werden.

Um allfällige Tippfehler oder Ungenauigkeiten zu korrigieren, erheben wir die Schreibweise von Adressbezeichnungen bei entsprechenden Anbietern. Im Moment beziehen wir derartige Informationen von OpenStreetMap Austria, die diese öffentlich zur Verfügung stellt. Auch hier kommt es zu keinem Datenaustausch von noyb an OpenStreetMaps. Wir gleichen lediglich Adressen ab und stellen Unregelmäßigkeiten anhand der öffentlich verfügbaren Adressdaten richtig (z.B. „Goldschlagstraße“ statt „Goldschlag-Straße“).

5. Datenempfänger und Datenübermittlungen

5.1. Empfängerkategorien und bereits bekannte konkrete Empfänger

Wir übermitteln personenbezogene Daten der betroffenen Personen an folgende Empfänger und Kategorien von Empfängern:

Diverse Anbieter von elektronischen Identitätsverifizierungsverfahren (z.B. eID, Bankidentverfahren) erhalten im Rahmen der Identitätsfeststellung bei Vertragsabschluss die Information, dass Sie sich nun bei uns einloggen. noyb selbst übermittelt nur eine zufällige Nutzer-ID und erhält die ID-Daten retour. Aktuell bindet noyb die Funktion „ID Austria“ ein, die vom Bundesministerium für Inneres, Herrengasse 7, 1010 Wien, Österreich betrieben wird. ID Austria kann mitunter auf andere europäische eIDAS Anbieter weiterleiten, wenn Sie einen solchen Anbieter auswählen oder nutzen;
Unserem SMS-Dienst (OnlineCity.IO ApS Buchwaldsgade 50, 5000 Odense, C Dänemark, als Auftragsverarbeiter (Artikel 4(8) DSGVO)), im Rahmen der Verifizierung einer von der betroffenen Person angegebenen Handynummer. OnlineCity.IO ApS leitet dabei SMS zwischen unserem System und ihrem Mobilfunkanbieter weiter;
Unserem Newsletter-Anbieter (dialog-Mail eMarketing Systems GmbH, Nußgasse 31, 3434 Wilfersdorf, als Auftragsverarbeiter (Artikel 4(8) DSGVO)) im Zusammenhang mit der Kommunikation via E-Mail;
Unternehmen, deren Tätigkeiten wir im Rahmen des Projekts untersuchen oder denen gegenüber wir im Auftrag und Namen der betroffenen Person bestimmte datenschutzrechtliche Ansprüche geltend machen (z.B. Betroffenenrechte wie Auskunft oder Löschung oder Ansprüche auf Schadenersatz oder Unterlassung), sowie möglicherweise deren Auftragnehmer (z.B. Anwälte);
Behörden oder Gerichte vor denen wir derartige Ansprüche durchsetzen (absehbar die österreichische Datenschutzbehörde, das LGfZRS Wien, das HG Wien, sowie das OLG Wien und der OGH);
Universitäten, Forscher oder sonstige Forschungseinrichtungen oder Unternehmen mit denen wir im Zusammenhang mit der Auswertung erhaltener Daten zusammenarbeiten, etwa Datenverarbeitungen durch ein belangtes Unternehmen technisch nachvollziehen zu können oder statistische Erkenntnisse zu diesen zu gewinnen (der genaue Empfänger ist noch nicht bekannt), die als unser Auftragsverarbeiter (Artikel 4(8) DSGVO) tätig werden;
Bankinstitute oder andere Zahlungsdienstleister im Zusammenhang mit der Auszahlung von erstrittenen Geldbeträgen an die betroffene Person;
Soweit nötig Rechtsanwaltskanzleien, die im Auftrag von noyb im Zusammenhang mit dem Projekt tätig werden.

5.2. Technische Dienstleister

Wir setzen Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland als technischen Dienstleister ein (Serverinfrastruktur); eine Auftragsverarbeitung iSd Artikel 4(8) DSGVO findet dabei nicht statt, da Hetzner keinen Zugriff auf die Daten hat.
In Einzelfällen kann unser externer Backend Support (foundata GmbH, Steinhäuserstraße 20, 76135 Karlsruhe, Deutschland) Zugang zu Daten erhalten um Fehler zu finden und Probleme zu lösen.

6. Keine Datenübermittlungen in Drittländer

Sämtliche Datenverarbeitungen durch noyb finden innerhalb des Europäischen Wirtschaftsraums (EWR) statt. Mitunter können einzelne von Ihnen genutzte Systeme (z.B. der von Ihnen genutzte eIDAS-Anbieter, E-Mail-Anbieter oder Mobilfunkanbieter) auch Daten außerhalb des EWRs verarbeiten.

7. Notwendigkeit der Datenbereitstellung

Die Bereitstellung der mit einem im Online-Formular mit einem Stern (*) markierten Angaben ist erforderlich, um den Vertrag zwischen noyb und der betroffenen Person über die Teilnahme am Projekt abzuschließen und damit noyb den Vertrag vollständig erfüllen kann. Die Angabe mancher Daten im Anmeldeformular (z.B. zum Geschlecht, Einkommen und Vermögen) ist optional. Mangels Angaben sind wir jedoch mitunter nicht in der Lage die Auswertung der Daten vollständig vorzunehmen.

8. Speicherdauer

Wir speichern die genannten Daten grundsätzlich für drei Jahre nach Eintreten folgender Umstände:

noyb hat den Vertrag mit der betroffenen Person erfüllt;
alle damit verknüpfen Gerichts- und Behördenverfahren (einschließlich Exekutionsverfahren) sind rechtskräftig abschlossen und
allenfalls erstrittene Geldbeträge sind an die betroffene Person ausgezahlt worden.

Falls Sie oder wir den Vertrag über die Teilnahme am Projekt vor Eintritt dieser Bedingungen kündigen, speichern wir die genannten Daten aus Beweisgründen für drei Jahre nach Wirksamkeit der Kündigung.

Sofern es zu einer Auszahlung erstrittener Geldbeträge an betroffene Personen kommt, speichern wir in Belegen zu unserer Buchführung enthaltene personenbezogene Daten in Entsprechung mit den gemäß § 22 Vereinsgesetz anwendbaren Bestimmungen und mit § 132 Bundesabgabenordnung für einen Zeitraum von sieben Jahren, beginnend mit dem Ende des Kalenderjahres in dem die Belege erstellt wurden.

9. Rechte betroffener Personen

Betroffene Personen haben noyb gegenüber folgende Rechte in Bezug auf ihre personenbezogenen Daten:

Auskunft über verarbeitete Daten (Artikel 15 DSGVO);
Berichtigung inhaltlich unrichtiger Daten (Artikel 16 DSGVO);
Löschung, insbesondere wenn die Daten zur Zweckerreichung nicht mehr notwendig sind oder unrechtmäßig verarbeitet werden (Artikel 17 DSGVO);
Einschränkung der Verarbeitung, insbesondere wenn die Richtigkeit der Daten bestritten wird, während wir diese überprüfen oder wenn die betroffene Person die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt (Artikel 18 DSGVO);
Datenübertragbarkeit betreffend selbst bereitgestellte Daten (Artikel 20 DSGVO) und
Widerruf allenfalls erteilter Einwilligungen; dabei ist zu beachten, dass der Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitungen nicht berührt.
Es findet keine automatisierte Entscheidung im Einzelfall (Artikel 22 DSGVO) statt, weshalb die in Artikel 22 DSGVO genannten Rechte nicht zur Anwendung gelangen.

Derartige Anträge sind oder Fragen hierzu sind bitte an crifprojekt@noyb.eu zu richten. Dies gilt auch für Datenverarbeitungen, die von einem Auftragsverarbeiter nach Artikel 4(8) DSGVO in unserem Auftrag vorgenommen werden. Wir haben kein/n Datenschutzbeauftragte/n benannt, da wir hierzu nach Artikel 37(1) DSGVO gesetzlich nicht verpflichtet sind.

Betroffene Personen haben das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde (Artikel 77 DSGVO) zu erheben, wenn Sie der Ansicht sind, dass noyb ihre Rechte nach der DSGVO verletzt hat. In Österreich ist die Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at, zuständig.

10. Information über anonyme Statistiken und Auswertungen

Für zukünftige Projekte wollen wir den Umgang der teilnehmenden Personen mit unserer Software nachvollziehen und unsere Software und Angebote weiter optimieren, damit die Teilnahme so einfach wie möglich gestaltet werden kann. Wir nutzen hierfür anonyme Statistiken und erfassen etwa, welche Funktionen wie oft geklickt werden, oder an welcher Stelle teilnehmende Personen den Vorgang abbrechen.

Da wir diese Informationen keinen bestimmten teilnehmenden Personen zuordnen, fallen diese nicht unter die DSGVO, jedoch wollen wir trotzdem über diese Statistiken und Auswertungen informieren.