Vor zu eifrigen Datensammlern kann man sich schützen
Internethandel, Banken oder Versicherungen prüfen über Bonitätsdatenbanken die Kreditwürdigkeit ihrer Kunden. Für Betroffene hat das oft weitreichende Folgen.
Eine Frau möchte bei einer Bank ein Girokonto eröffnen. Doch die Bank lehnt den Antrag ab: „Nach Prüfung Ihres Antrages ist es uns zum jetzigen Zeitpunkt nicht möglich, ein Girokonto für Sie zu eröffnen“, heißt es in knappen Worten, und weiter: Die Kriterien zur Kontovergabe setzten sich „aus einer Vielzahl branchenspezifischer Prüfungsprozesse“zusammen.
Übersetzt: Die Bank hat eine Bonitätsprüfung, also eine Prüfung der Kreditverhältnisse, veranlasst. Unternehmen informieren sich regelmäßig über die Kreditwürdigkeit von potenziellen Vertragspartnern. In der Regel erfolgt das über Bonitätsdatenbanken, die Wirtschaftsauskunftsdienste erstellen. Deren Kunden sind Banken, Versicherungen, Leasingfirmen, Versandhäuser und Mobilfunker.
Auch die zuvor erwähnte Bank hat auf eine solche Datenbank zugegriffen und die Information erhalten, dass es bei der Antragstellerin in der Vergangenheit einen Inkassofall gab. Dass dieser längst „positiv abgeschlossen“ist, wie in der Datenbank vermerkt, war für die Bank irrelevant. Für sie lag ein Fall von „Kreditunwürdigkeit“vor.
Was aus der Bonitätsauskunft nicht hervorging: Die Antragstellerin bestellte Waren bei einem Online-Shop. Einige davon retournierte sie wieder. Auf Nachfrage teilte man ihr mit, sie werde eine korrigierte Rechnung zugeschickt bekommen, auf der die Retourware abgezogen ist. Dazu kam es aber nicht, denn als Nächstes erhielt die Frau bereits Post vom Inkassoinstitut. Auch der Umstand, dass die Rechnung sofort beglichen wurde, nachdem das Inkassoinstitut – infolge anwaltlicher Intervention – eine korrekte Rechnung übermittelte, ist dem Datensatz nicht zu entnehmen. Was die Bank also nicht wusste: In Wahrheit handelte es sich gar nicht um einen Inkassofall.
Fälle wie diese gibt es häufig. Wer auf einer schwarzen Liste gelandet ist, erhält oft keinen Kredit für die Immobilienfinanzierung, keinen Handyvertrag und Lieferungen nur gegen Vorauszahlung. Ohne Identitätsund Bonitätsprüfung würde der E-Commerce nicht funktionieren, heißt es meist aus den Reihen der Datensammler.
Zu ihnen zählt auch die CRIF GmbH. Mit über 2,5 Millionen Datensätzen ist sie nach eigenen Angaben Marktführer bei Personenauskünften in Österreich. Von ihr erhalten Handel, E-Commerce, die Telekommunikationsbranche, Banken, Leasinggesellschaften und Versicherungen regelmäßig Bonitätsauskünfte zu Privatpersonen und Unternehmen.
Was viele Betroffene nicht wissen: Jeder kann sich gegen die Aufnahme in eine solche Datenbank wehren und unter Umständen sogar Schadenersatz verlangen. Der im Datenschutzrecht verankerte Grundsatz, wonach Daten nur nach Treu und Glauben verwendet werden dürfen, erfordert nämlich eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine – seiner Meinung nach – nicht gerechtfertigte Datenverwendung zur Wehr zu setzen.
Wie der Oberste Gerichtshof festgestellt hat, ist eine Eintragung in eine Warnliste unzulässig, wenn gegen die Benachrichtigungspflicht verstoßen wird. In diesem Fall ist sie auch nicht durch ein überwiegendes Gläubigerschutzinteresse gerechtfertigt.
Die Verständigungspflicht trifft dabei nicht nur das Inkassounternehmen, das die Daten aufnimmt, verarbeitet und an die Kreditauskunft weiterleitet. Auch die Auskunftei ist zur Information verpflichtet, weil sich der Zweck der Datenanwendung mit der Aufnahme in die Bonitätsdatenbank verändert: Anders als beim Inkassounternehmen werden die übermittelten Daten nämlich nicht verwendet, um offene Zahlungen einzubringen, sondern um Auskünfte über die Kreditwürdigkeit zu erteilen. Insofern ist die Aufnahme der Daten in eine Zahlungsverhaltensdatenbank als neuerlicher Eingriff in schutzwürdigen Interessen zu werten, was eine erneute Information des Betroffenen voraussetzt.
Es spielt in diesem Zusammenhang auch keine Rolle, ob die entsprechenden Daten, wie Datum, Name oder Adresse des Betroffenen, richtig erfasst sind. Wesentlich ist vielmehr, ob der Betroffene beim Eintrag in die Datenbank einen sogenannten Bestreitungsvermerk anbringen konnte. Und damit er das kann, muss er rechtzeitig informiert werden.
Betroffene können nicht nur verlangen, dass gespeicherte Daten gelöscht oder richtiggestellt werden. Sie können Schadenersatz verlangen, wenn sie durch die unzulässige Datenanwendung bloßgestellt wurden. Ein solches Bloßstellen setzt voraus, dass Tatsachen enthüllt werden, die aus Sicht eines Dritten herabsetzend sind oder das Ansehen untergraben – und zwar unabhängig davon, ob dadurch der höchstpersönliche Lebensbereich betroffen ist oder nicht.