Datensätze zur Kreditwürdigkeit sind rasch in die Tastatur geklopft. Für Betroffene hat das oft weitreichende Folgen. Wie man sich vor Datensammlern schützen kann.

Eine Frau möchte bei einer Bank ein Girokonto eröffnen. Doch die Bank lehnt den Antrag ab: „Nach Prüfung Ihres Antrages ist es uns zum jetzigen Zeitpunkt nicht möglich, ein Girokonto für Sie zu eröffnen“, heißt es in knappen Worten, und weiter: Die Kriterien zur Kontovergabe setzten sich „aus einer Vielzahl branchenspezifischer Prüfungsprozesse“ zusammen.

Übersetzt: Die Bank hat eine Bonitätsprüfung, also eine Prüfung der Kreditverhältnisse veranlasst. Unternehmen informieren sich regelmäßig über die Kreditwürdigkeit von potenziellen Vertragspartnern. In der Regel geschieht dies über einen Zugriff auf Bonitätsdatenbanken, die von Wirtschaftsauskunftsdiensten erstellt werden. Deren Kunden sind Banken, Versicherungen, Leasingfirmen, Versandhäuser und Mobilfunker.

Auch die zuvor erwähnte Bank hat auf eine solche Datenbank zugegriffen und die Information erhalten, dass es bei der Antragstellerin in der Vergangenheit einen Inkassofall gab. Dass dieser längst „positiv abgeschlossen“ ist, wie in der Datenbank vermerkt, war für die Bank irrelevant. Für sie lag ein Fall von „Kreditunwürdigkeit“ vor.

Was aus der Bonitätsauskunft nicht hervorging: Die Antragstellerin bestellte Waren bei einem Online-Shop. Einige davon retournierte sie wieder. Auf Nachfrage teilte man ihr mit, sie werde eine korrigierte Rechnung zugeschickt bekommen, auf der die Retourware abgezogen ist. Dazu kam es aber nicht, denn als nächstes erhielt die Frau bereits Post vom Inkassoinstitut. Auch der Umstand, dass die Rechnung sofort beglichen wurde, nachdem das Inkassoinstitut – infolge anwaltlicher Intervention – eine korrekte Rechnung übermittelte, ist dem Datensatz nicht zu entnehmen. Was die Bank also nicht wusste: In Wahrheit handelte es sich überhaupt nicht um einen Inkassofall.

Fälle wie diese gibt es häufig. Wer auf einer schwarzen Liste gelandet ist, erhält oft keinen Kredit für die Immobilienfinanzierung, keinen Handyvertrag und Lieferungen nur gegen Vorauszahlung. Ohne Identitäts- und Bonitätsprüfung würde der E-Commerce nicht funktionieren, heißt es meist aus den Reihen der Datensammler. Zu ihnen zählt auch die CRIF GmbH. Mit über 2,5 Millionen Datensätzen ist sie nach eigenen Angaben Marktführer bei Personenauskünften in Österreich. Von ihr erhalten Handel, E-Commerce, die Telekommunikationsbranche, Banken, Leasinggesellschaften und Versicherungen regelmäßig Bonitätsauskünfte zu Privatpersonen und Unternehmen.

Was viele Betroffene nicht wissen: Jeder kann sich gegen die Aufnahme in eine solche Datenbank wehren und unter Umständen sogar Schadenersatz verlangen. Der im Datenschutzrecht verankerte Grundsatz, wonach Daten nur nach Treu und Glauben verwendet werden dürfen, erfordert nämlich eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine – seiner Meinung nach – nicht gerechtfertigte Datenverwendung zur Wehr zu setzen. Wie der Oberste Gerichtshof  festgestellt hat, ist eine Eintragung in eine Warnliste unzulässig, wenn gegen die Benachrichtigungspflicht verstoßen wird. In diesem Fall ist sie auch nicht durch ein überwiegendes Gläubigerschutzinteresse gerechtfertigt.

Die Verständigungspflicht trifft dabei nicht nur das Inkassounternehmen, welches die Daten aufnimmt, verarbeitet und an die Kreditauskunft weiterleitet. Auch die Auskunftei ist zur Information verpflichtet, weil sich der Zweck der Datenanwendung mit der Aufnahme in die Bonitätsdatenbank verändert: Anders als beim Inkassounternehmen werden die übermittelten Daten nämlich nicht zur Einbringlichmachung einer Forderung sondern zur Auskunftserteilung über die Kreditwürdigkeit verwendet. Insofern ist die Aufnahme der Daten in eine Zahlungsverhaltensdatenbank als neuerlicher Eingriff in schutzwürdigen Interessen zu werten, was eine erneute Information des Betroffenen voraussetzt.

Es spielt in diesem Zusammenhang auch keine Rolle, ob die erfassten Daten wie das Datum, der Name oder die Adresse des Betroffenen richtig erfasst sind. Wesentlich ist vielmehr, ob der Betroffene die Möglichkeit hatte, einen Bestreitungsvermerk bei der Eintragung in die Datenbank anbringen zu lassen. Um das tun zu können, muss er im Vorfeld von der Eintragung informiert werden, ansonsten er davon keine Kenntnis erlangen kann.

Betroffene können nicht nur eine Richtigstellung oder Löschung der gespeicherten Daten sondern auch Schadenersatz verlangen, wenn sie durch die unzulässige Datenanwendung bloßgestellt wurden. Ein solches Bloßstellen setzt voraus, dass Tatsachen enthüllt werden, die aus Sicht eines Dritten herabsetzend sind oder das Ansehen untergraben – und zwar unabhängig davon, ob dadurch der höchstpersönliche Lebensbereich betroffen ist oder nicht. Werden also durch die Auskunftserteilung über die Kreditwürdigkeit schutzwürdige Geheimhaltungsinteressen einer Person verletzt oder wird sie bloßgestellt, ist nach höchstgerichtlicher Judikatur ein Schadenersatz in Höhe von EUR 750 für einen einmaligen Verstoß angemessen.

Tipps für die Praxis:

• Eine Auskunft kann einmal im Jahr kostenlos verlangt werden, sofern ein aktueller Datenbestand betroffen ist. Da eine Auskunft nur dann erteilt werden muss, wenn das Begehren richtig gestellt wurde, ist juristischer Beistand oft hilfreich.
• Wird ein Auskunftsbegehren öfter als einmal pro Jahr gestellt, kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, wobei auch höhere Kosten unter Umständen ersetzt werden müssen.
• Ein geleisteter Kostenersatz ist zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
• Ab Kenntnis des Auskunftsbegehrens dürfen die Daten bis zur Klärung der Angelegenheit nicht vernichtet werden.
• Das Auskunftsbegehren ist binnen acht Wochen zu erteilen oder es ist schriftlich zu begründen, warum eine Auskunft nicht oder nicht vollständig erteilt wird.
• Wird die Auskunft verweigert, unzureichend erteilt oder werden Daten nicht gelöscht oder richtiggestellt, sollte ein Anwalt kontaktiert werden.

STEPHAN KLIEMSTEIN