Wie lang dürfen Eintragungen in UKV, KKE, WKE und sonstigen 'schwarzen Listen' gespeichert werden? DSGVO Art 6, 13-14, 17, 21, 26, 82-83
Informationen über die Verarbeitung, Weitergabe, Löschung und Aufnahme von Kunden in sogenannte 'schwarze Listen' bzgl. der Bonität.
Immer mehr Unternehmen und Branchen gehen dazu über, Kunden bei denen es Abrechnungs- oder Abwicklungsprobleme gegeben hat, in sogenannten Warndateien (UKV = unerwünschte Kontoverbindungen, KKE = Konsumentenkreditevidenz (auch: Kleinkreditevidenz), WKE = Warenkreditevidenz, etc.) aufzulisten und diese Informationen auch anderen Institutionen und Organisationen zur Verfügung zu stellen.
Um zu beurteilen, ob diese Vorgangsweise zulässig ist, müssen verschiedenste Aspekte, Rechtsmaterien und Interessen gegeneinander abgewogen werden. Die vorliegende Antwort ist sicher nicht abschließend, aber bietet eine gute Hilfestellung, mögliche Datenschutzprobleme zu identifizieren. Ob eine bestimmte Eintragung einen zulässigen oder einen unzulässigen Eingriff in die Privatsphäre darstellt, muss immer auf Grund der konkreten Gegebenheiten geprüft werden.
1. Interne Warndatei eines Unternehmens:
Grundsätzlich besteht in Österreich Vertragsfreiheit und es steht jedem Unternehmen frei, eine interne Liste der besonders erwünschten oder der besonders unerwünschten Kunden zu führen. Regelungen und Einschränkungen dazu gibt es im Normalfall nicht.
2. Weitergabe interner Warndateien an Konzerntöchter, -mütter, ...
Auch Unternehmen mit gemeinsamen Gesellschafter, müssen untereinander so agieren, als ob es fremde Unternehmen wären (siehe Punkt 3)
3. Weitergabe interner Warndateien an Fremdunternehmen
Kundendaten dürfen, abgesehen von gesetzlichen Vorschriften und von einigen wenigen Daten im Rahmen von Spezialgesetzen (Gewerbeordnung) nur mit Zustimmung des Betroffenen weitergegeben werden (Art 6 Abs 1 lit a DSGVO). Dies gilt auch für Bonitätsinformationen, für Informationen über Zahlungsschwierigkeiten usw.
Aufgrund dieser klaren Gesetzeslage gehen immer mehr Unternehmen dazu über Geschäfte nur dann abzuschließen, wenn man mit der Weitergabe von Bonitätsdaten einverstanden ist. Diese Unternehmen verschweigen jedoch regelmäßig, dass die Zustimmung zur Weitergabe jederzeit widerrufen werden kann.
4. Verarbeitung von Personendaten in gemeinsamen Warndateien
Da der Datenaustausch von Kundenwarninformationen zwischen den Unternehmen zu kompliziert ist, haben sich Wirtschaftsauskunftsdienste etabliert, die als Auskunftsdrehscheibe fungieren. Derartige Auskunftssysteme agieren gemäß Art 26 DSGVO als gemeinsame, für die Verarbeitung, Verantwortliche und unterliegen besonderen Datenschutzbestimmungen. In Österreich betreibt derzeit (Stand 05/2018) nur der Kreditschutzverband von 1870 (KSV) zwei Dateien, die der Beurteilung der Bonität dienen. Diese sind die Klein-Kreditevidenz oder auch Konsumentenkreditevidenz, kurz KKE genannt, sowie die „Warnliste der Banken“.
Bescheid zur Kleinkreditevidenz (alte Rechtslage bis 25.05.2018)
In dem Bescheid: K600.033-018/0002-DVR/2007 (http://ftp.freenet.at/beh/K600.033-018_0002-DVR_2007.pdf) findet man sämtliche Bestimmungen und Auflagen, die die Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) den Teilnehmern an der KKE auferlegt hat.
So dürfen ausschließlich Daten über einen abgelehnten Kredit von mehr als 300,- Euro sowie Daten über Kredit- oder Leasingverträge über eine 300,- Euro übersteigende Summe eingetragen werden (Bagatellgrenze).
Vor einer Eintragung muss der Betroffene jedoch, in jedem Fall, darüber informiert werden,
- dass ein Grund vorliegt, der zur Eintragung in die KKE führt
- was der Zweck der KKE ist und wer der Betreiber ist
- dass ausschließlich Kreditinstitute, kreditgewährende Versicherungsunternehmen und Leasinggesellschaften mit Sitz in einem Mitgliedstaat des europäischen Wirtschaftsraums (EWR) Einsicht in die Daten der KKE haben
- welche Rechtsbehelfe im Falle der Eintragung zur Verfügung stehen und wo sie einzubringen sind
Wird ein Betroffener nicht über seine Rechte informiert, so ist die Verarbeitung seiner Daten im Rahmen der KKE unzulässig, wodurch sich ein Löschungsanspruch (siehe Punkt 5) ergibt.
Wie lange ein Eintrag in der KKE bleibt ist unterschiedlich. Bei vollständiger, fristgerechter Bezahlung bis zu max. 90 Tage nach Abbezahlung. Sollte ein Kredit nach Zahlungsanstand vollständig abbezahlt werden, bis zu fünf Jahre nach Bezahlung. In allen anderen Fällen (falls ein Kredit nicht vollständig zurückgezahlt wird) kann ein Eintrag bis zu sieben Jahre nach Tilgung der Schuld oder Eintritt eines sonstigen schuldbefreienden Ereignisses gespeichert werden.
Datenschutz-Bescheid zur Warnliste der Banken (alte Rechtslage bis 25.05.2018)
Details über die Warnliste der Banken findet man im Bescheid der Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) K095.014/021-DSK/2001 (http://ftp.freenet.at/beh/K095.0140_021-DSK_2001.pdf).
In diese Warnliste dürfen Betroffene grundsätzlich nur eingetragen werden, falls diese ihr Konto unerlaubt über mehr als 1000,- Euro überzogen haben oder eine Konto- bzw. Kreditverbindung über mehr als 1000,- Euro aufgekündigt bzw. fällig gestellt wurde.
Auch vor der Eintragung in die Warnliste muss der Betroffene über den Zweck der Warnliste und über die drohende Eintragung in die Warnliste informiert werden, falls innerhalb der gesetzten Zahlungsfrist die Schuld nicht bezahlt, bzw. eine Zahlungsvereinbarung getroffen wird. Fehlt diese Information, so wäre eine Eintragung unzulässig und es besteht ein Löschungsanspruch gemäß Art 17 DSGVO.
In der Warnliste bleiben Einträge generell drei Jahre nach vollständiger Bezahlung der Schuld, wobei eine vollständige Bezahlung unverzüglich in der Warnliste vermerkt werden muss, bzw. sieben Jahre nach Tilgung der Schuld gespeichert.
5. Löschen von Personendaten aus gemeinsamen Warndateien
„Unrichtige“ (falsche, aber auch unvollständige oder veraltete) Daten müssen gemäß Art 17 DSGVO. gelöscht werden.
Des Weiteren kann sich ein Löschungsanspruch auch aus der besonderen Situation des Betroffen ergeben falls sein Schutz personenbezogener Daten verletzt wird.
Gespeicherte Daten müssen ebenfalls gelöscht werden, falls gegen die Informationspflicht vor der Eintragung verstoßen wurde (Art 13 und 14 iVm Art 17 DSGVO).
6. Widerspruchsrecht
Betroffene haben gemäß Art 21 Abs 1 DSGVO das Recht jederzeit gegen die Datenverarbeitungen der Auskunftsdienste Widerspruch einzulegen. Das Widerspruchsbegehren ist von Betroffenen zu begründen.
Der Verantwortliche darf nach einem Widerspruchsbegehren die personenbezogenen Daten nicht mehr für Wirtschaftsauskunftszwecke oder vergleichbare Zwecke verarbeiten. Es sei denn, er kann überwiegend berechtigte Gründe für die Verarbeitung nachweisen oder die Verarbeitung erfolgt auf asis gegensätzlicher Verpflichtungen gemäß Bankwesengesetz (BWG), Verbraucherkreditgesetz (VKrG) oder Hypothekar- und Immobilienkreditgesetz (HlKrG).
Geldstrafen und Schadenersatz drohen
Bei Datenschutzverletzungen drohen hohe Geldstrafen gemäß Art 83 DSGVO. Die Datenschutzbehörde ist zuständig für Geldstrafen. Des Weiteren haben Betroffene das Recht auf Schadenersatz gemäß Art 82 DSGVO. Die Zivilgerichte sind für Schadenersatzklagen zuständig.
Fazit - Aktiv werden.
Auch wenn es keinen generellen Löschungsanspruch mehr gibt, sollten Betroffene die in der KKE oder der Warnliste gespeichert sind, sich nicht auf die Aktualisierung ihrer Daten durch die Banken verlassen. Unsere Erfahrungen zeigen, dass Banken die Daten zwar generell aktualisieren, jedoch meist nicht unverzüglich. Selbst die entsprechenden Bescheide der Datenschutzkommission sehen eine Aktualisierung durch die Banken nur einmal jährlich vor. Bestimmte Daten in der KKE müssen sogar nur alle drei Jahre aktualisiert werden. Sollte man daher feststellen, dass falsche Daten gespeichert werden, oder die Einträge veraltet sind, sollte man sich am besten selbst um die Aktualisierung bzw. Löschung seiner Daten kümmern. Die ARGE Daten stellt dazu die entsprechenden Musterbriefe zur Verfügung.
mehr --> Wann müssen Daten berichtigt oder gelöscht werden, Empfänger v... mehr --> Auf Einträge in "schwarzen Listen" richtig reagieren mehr --> Widerspruch bzw. Löschung gemäß DSGVO Art 17-21 (Wirtschaftsau... mehr --> Auskunftsbegehren gemäß DSGVO Art 15 (Finanzdienstleister, Ban... mehr --> http://ftp.freenet.at/beh/K600.033-018_0002-DVR_2007.pdf mehr --> http://ftp.freenet.at/beh/K095.0140_021-DSK_2001.pdf mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|