Erklärung der KSV1870 Information GmbH zur DSGVO

Einleitung

1.1    Zweck

Zur Bestätigung der rechtskonformen Durchführung der Dienstleistungen der KSV1870 Information GmbH möchten wir folgende Erklärung abgeben:

1.2    Begriffe der DSGVO

Im Sinne der DSGVO bezeichnet der Ausdruck:

„personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Personen) beziehen;
 
„Verarbeitung“:  jeden mit oder ohne Hilfe automatischer Verfahren ausgeführten Vorgang  wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung,  die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

„Verantwortlicher“: die natürliche oder juristische Person, Behörde, Einrichtung oder eine andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
 
„Empfänger“: eine natürliche oder juristische Person, Behörde, Einrichtung etc. der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht;

„Dritter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

„Profiling“: jede Art der automatisierten Verarbeitung personenbezogener Daten in einer Weise  dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
 
„Auftragsverarbeiter“: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

2    KSV1870 Information GmbH

2.1    Rechtsgrundlage der KSV1870 Information GmbH für Ihre Tätigkeit

Der Kreditschutzverband von 1870 ist der führende Gläubigerschutzverband Österreichs und hat das Ziel, Wirtschaftstreibende vor finanziellem Schaden zu bewahren und ihre Liquidität zu fördern. Die KSV1870 Information GmbH gehört zur KSV1870 Gruppe.
 
Die KSV1870 Information GmbH ist ein im Rahmen der gesetzlichen Bestimmungen als Kreditauskunftei tätiges Unternehmen. Die KSV1870 Information GmbH verfügt über Gewerbeberechtigungen nach § 151 (Adressverlage und Direktmarketingunternehmen), § 152 (Auskunfteien über Kreditverhältnisse) und § 153 (Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik) Gewerbeordnung.
 
Aktuell liegen die rechtlichen Grundlagen für die Tätigkeit Kreditauskunftei der KSV1870 Information GmbH in der Gewerbeberechtigung für das Kreditauskunfteiwesen (§ 152 Gewerbeordnung), für die Datenverarbeitung gilt die DSGVO, das Datenschutzanpassungsgesetz und das Datenschutzderegulierungsgesetz.
 
Auch nach dem 25.05. 2018 gilt der § 152 GewO, die Verarbeitung der Daten erfolgt ab 25.05.2018 gemäß Art 6 lit b und lit f DSGVO. Damit sind weiterhin alle rechtlichen Anforderungen an die KSV1870 Information GmbH erfüllt, um unseren Kunden bei bestehendem berechtigten Interesse auch nach dem 25.05.2018 (Inkrafttreten der DSGVO) Bonitätsauskünfte über Unternehmen und Personen zu erteilen.
 
Die DSGVO führt dazu im Artikel 6 unter anderem aus:
 
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
(auszugsweise)
 
lit b: die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartner die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
 
 
lit f: die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt;
 
 
Die relevanten Verarbeitungen im Dienste der Kunden der KSV1870 Information GmbH

  • Wirtschaftsdatenbank (Bonitätsauskünfte über Unternehmen, Funktionsträger und Personen)
    KSV1870 ist Verantwortlicher. Kunden mit einem berechtigten Interesse (Art.6. Abs.1. lit f DSGVO) haben hier Zugriff.
  • KonsumentenKreditEvidenz (KKE)
    KSV1870 ist Verantwortlicher und teilw. Auftragsverarbeiter. Diese Verarbeitung ist Banken, Leasingunternehmen und kreditgebenden Versicherungen als Vertragspartnern vorbehalten.
  • Warnliste
    KSV1870 ist Verantwortlicher und teilw. Auftragsverarbeiter. Diese Verarbeitung ist lediglich Banken als Vertragspartnern vorbehalten.
  • WarenKreditEvidenz (WKE)
    KSV1870 ist Verantwortlicher. Kunden mit einem berechtigten Interesse (Art.6. Abs.1. lit f DSGVO) haben hier Zugriff.

 
2.2    Ist ein Auftragsverarbeitungsvertrag für die klassische Bonitätsauskunft notwendig?

 
Nein, die KSV1870 Information GmbH ist im Rahmen der klassischen Bonitätsanfragen NICHT als Auftragsverarbeiter für Kunden tätig.
 
Die Begründung dafür lautet wie folgt:
Im Rahmen klassischer Bonitätsanfragen werden seitens des Auftraggebers nur Auftragsdaten übermittelt, damit eine Identifikation und eine korrekte Auftragsabwicklung möglich ist. Diese Protokolldaten werden aus rechtlichen Gründen der Nachvollziehbarkeit durch die Kreditauskunfteien gemäß § 152 Gewerbeordnung gespeichert. Die KSV1870 Information GmbH verarbeitet dabei jedoch keine personenbezogenen Daten im Auftrag des Kunden („Auftragsverarbeiter“ – DSGVO Artikel 4 – Ziffer 8 – eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet).

2.3    Wo liegt gegebenenfalls eine Auftragsverarbeitung vor?

Im Zusammenhang mit bestehenden Kundenarchiven und speziellen Marketingdatenanreicherungen wird die Situation einzelfallabhängig anders bewertet. Hier liegt anlassbezogen die Erfordernis eines entsprechenden Auftragsverarbeitungsvertrages vor.

2.4    Betroffenenrechte

In der DSGVO gibt es eine Reihe von Bestimmungen (u.a. Informationspflichten bei der Erhebung, Auskunftsrecht, Löschung, Richtigstellung), die die Rechte der Betroffenen regeln (Art. 12  bis Art. 23 DSGVO).

2.4.1    Information der Betroffenen nach Art. 12 DSGVO

Die KSV1870 Information GmbH informiert Betroffene, wenn diese gem. §152 GEWO in Verarbeitungen aufgenommen werden (Unternehmensgründung, Gewerbescheinanmeldung, Insolvenz).

2.4.2    Auskunftsrecht

Auskunftsrecht nach Art 15 DSGVO
 
Die faire und transparente Verarbeitung von Daten ist wichtig. Entsprechend Art 15 Abs. 1 Datenschutz-Grundverordnung haben Betroffene das Recht, eine Bestätigung darüber zu verlangen, ob über sie personenbezogene Daten verarbeitet werden und sie haben das Recht, Auskunft darüber zu erhalten. In dieser Auskunft erfahren die Betroffenen, welche Daten über sie beim Kreditschutzverband von 1870 und der KSV1870 Information GmbH zum Zweck der Auskunftserteilung in den Anwendungen gespeichert sind: in der KonsumentenKreditEvidenz (KKE) zum Zweck des Gläubigerschutzes und der Risikominimierung, in der Warnliste zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten, in der WarenKreditEvidenz (WKE) und in der Wirtschaftsdatenbank.

2.4.3    Automatische Löschung von Zahlungsanständen

Selbstverständlich gibt es mit der DSGVO – wie bisher auch schon – Löschfristen für Zahlungsanstände (Negativinformationen).
Für die Festlegung der Löschfristen folgen wir der Auffassung der für Datenschutz in Österreich zuständigen Behörde, die in den Bescheiden für KKE und Warnliste die Fristen festgelegt hat.
 
 
Diese Fristen für die Löschung der Eintragungen sind
 
für die KKE: 
•    Die Ablehnung eines Antrags auf Einräumung eines EUR 300,- übersteigenden Kredits wegen mangelnder Bonität spätestens sechs Monate nach Ablehnung.
•    Berichtigung einer in der KKE ausgewiesenen Höhe des Schuldenbetrages unverzüglich, wenn die Unrichtigkeit rechtskräftig festgestellt wurde.
•    Bei rechtskräftiger Feststellung des Nicht-Bestehens einer Schuld unverzügliche Streichung aller diesbezüglichen Eintragungen in der KKE.
 
Abgesehen von den oben angeführten Fällen hat die Löschung aller Eintragungen betreffend ein konkretes Kreditschuldverhältnis in der KKE zu erfolgen,
 
•    wenn eine Kredit- oder Leasingschuld ohne Zahlungsanstand vollständig abbezahlt und das Kredit- oder Leasingverhältnis somit beendet ist: spätestens 90 Tage nach Abbezahlung;
•    wenn eine Kredit- oder Leasingschuld nach Zahlungsanstand vollständig abbezahlt wurde: spätestens fünf Jahre nach vollständiger Abzahlung der Schuld;
•    falls jedoch das Nichtbestehen des behaupteten Zahlungsanstandes rechtskräftig
festgestellt wird: spätestens 90 Tage nach vollständiger Abbezahlung der Schuld bzw. wenn die Feststellung erst nach dieser Frist erfolgte: unverzüglich nach rechtskräftiger
Feststellung;
•    in allen anderen Fällen: sieben Jahre nach Tilgung der Schuld oder Eintritt eines
sonstigen schuldbefreienden Ereignisses.
 
für die Warnliste:
•    drei Jahre nach vollständiger Bezahlung der Schuld bzw.
•    in allen anderen Fällen sieben Jahre nach Tilgung der Schuld.
 
für die WKE:
Einträge werden bei vollständiger Bezahlung der Schuld nach drei Jahren und in allen anderen Fällen (sonstige schuldbefreiende Zahlungen) nach spätestens sieben Jahren ab der wirtschaftlichen Erledigung gelöscht. Diese Fristen sind an Bescheide der Österreichischen Datenschutzbehörde im Zusammenhang mit anderen Datenbanken des KSV1870 angelehnt.
 
für die Wirtschaftsdatenbank:
Negativeinträge werden bei vollständiger Bezahlung der Schuld nach drei Jahren und in allen anderen Fällen (sonstige schuldbefreiende Zahlungen) nach spätestens sieben Jahren ab der wirtschaftlichen Erledigung gelöscht. Diese Fristen sind angelehnt an Bescheide der Österreichischen Datenschutzbehörde im Zusammenhang mit anderen Datenbanken des KSV1870. Historisierte Stammdaten (z. B. ehemalige Funktionen im Firmenbuch) werden aufgrund möglicher Rechtsansprüche 30 Jahre aufbewahrt.
 
Im Einzelfall ist in allen diesen Fällen bei Übermittlung vollständiger, verständlicher und wesentlicher Dokumente als Nachweis und begründetem Aufzeigen, warum die Frist unter Berücksichtigung der widerstreitenden Interessen gerade in einem konkreten Fall gekürzt werden kann oder muss, auch eine Verkürzung der Frist möglich.

2.4.4    Richtigstellung

Selbstverständlich werden die Rechte der betroffenen Person auch bei diesem Punkt ernst genommen. Nach Artikel 16 DSGVO hat der Betroffene das Recht, unverzüglich die Berichtigung ihn betreffender unrichtiger personenbezogener Daten sowie unter Berücksichtigung der Zwecke der Verarbeitung die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu verlangen. Die Nachweise dazu werden im Sinne einer transparenten Bearbeitung schriftlich verlangt.
 

2.4.5    Widerspruch und Löschbegehren durch den Betroffenen
 
Widersprüche von Betroffenen nach Art. 21 DSGVO werden, wie auch in der Vergangenheit, im Einzelfall geprüft und entsprechend den Normen behandelt.
 
Bei der Vorlage von Löschbegehren nach Art 17 DSGVO wird geprüft, ob die vorliegenden Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind und gegebenenfalls gelöscht. Da sich derartige Löschbegehren in der überwiegenden Anzahl auf sog. Negativkennzeichen beziehen, sind diese Fälle mit den von der Datenschutzbehörde vorgegebenen Löschfristen im Wesentlichen abgedeckt.

2.4.6    Einschränkungen der Verarbeitung

Artikel 18 DSGVO sieht unter anderem das Recht vor, die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
 
•    die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
•    die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt,
•    der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
•    die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
 
Wurde die Verarbeitung demgemäß eingeschränkt, so dürfen diese personenbezogenen Daten u.a. - von ihrer Speicherung abgesehen - zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats schon verarbeitet werden.

2.5    Woher stammen die Daten?

Bei KKE und Warnliste: von Kreditinstituten, kreditgebenden Versicherungsunternehmen und Leasingunternehmen
 
Bei der WKE: von Anbietern aus der Waren- und Versicherungswirtschaft mit Vertragsvereinbarung
 
Insolvenzdaten stammen aus dem Insolvenzregister.
 
Weitere wirtschaftlich relevante Daten stammen aus öffentlichen Registern oder von gewerblich befugten Partnern.

2.6    Profiling

Wir führen Profiling durch. Die Ergebnisse werden u.a. den Vertragspartner der KKE, WKE und Warnliste als Unterstützung zur Erfüllung ihrer gesetzlich und europarechtlich vorgesehenen Konsumentenschutz- und Risikomanagementverpflichtungen zur Verfügung gestellt.
 
PROFILBILDUNG
Die KSV1870 Auskunft kann um sogenannte Scorewerte ergänzt werden. Beim Scoring wird anhand von gesammelten Informationen und Erfahrungen aus der Vergangenheit eine Prognose über zukünftige Ereignisse erstellt. Die Berechnung aller Scorewerte erfolgt beim KSV1870 grundsätzlich auf Basis der zu einer betroffenen Person beim KSV1870 gespeicherten Informationen, die auch in der Auskunft nach Art. 15 DSGVO ausgewiesen werden.
 
Anhand der zu einer Person gespeicherten Einträge erfolgt eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit ähnliche Einträge aufgewiesen haben. Das verwendete Verfahren wird als „logistische Regression“ bezeichnet und ist eine fundierte, seit Langem praxiserprobte, mathematisch-statistische Methode zur Prognose von Risikowahrscheinlichkeiten.
 
Folgende Datenarten werden beim KSV1870 zur Scoreberechnung verwendet, wobei nicht jede Datenart auch in jede einzelne Scoreberechnung miteinfließt: allgemeine Daten (z. B. Geburtsdatum, Anzahl im Geschäftsverkehr verwendeter Anschriften), bisherige Zahlungsstörungen, Kreditaktivitäten, Kreditnutzung, Daten aus öffentlichen Registern). Bestimmte Informationen werden weder gespeichert noch bei der Berechnung von Scorewerten berücksichtigt, z. B. Angaben zur Staatsangehörigkeit oder besondere Kategorien personenbezogener Daten wie ethnische Herkunft oder Angaben zu politischen oder religiösen Einstellungen nach Art. 9 DSGVO. Auch die Geltendmachung von Rechten nach der DSGVO, also z. B. die Einsichtnahme in die beim KSV1870 gespeicherten Informationen nach Art. 15 DSGVO, hat keinen Einfluss auf die Scoreberechnung.
 
Die übermittelten Scorewerte unterstützen die Vertragspartner bei der Entscheidungsfindung und gehen dort in das Risikomanagement ein. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit erfolgt allein durch den direkten Geschäftspartner, da nur dieser über zahlreiche zusätzliche Informationen - zum Beispiel aus einem Kreditantrag - verfügt. Dies gilt selbst dann, wenn er sich einzig auf die vom KSV1870 gelieferten Informationen und Scorewerte verlässt. Ein KSV1870 Score alleine ist jedenfalls kein hinreichender Grund, einen Vertragsabschluss abzulehnen.
 
In den KSV1870 Auskünften können folgende Scorewerte zu natürlichen Personen vorkommen:
 
•    der RiskIndicator (Einschätzung der Wahrscheinlichkeit einer Zahlungsauffälligkeit auf Basis der in der Wirtschaftsdatenbank verfügbaren Informationen)
•    der KKE-Score (Wahrscheinlichkeit einer Zahlungsstörung auf Basis der in der KKE gespeicherten Informationen)
•    der WirtschaftlichkeitsIndex (WIKEX) prognostiziert über ein statistisches Modell eine Zahlungsauffälligkeitswahrscheinlichkeit und fließt in die Berechnung des RiskIndicator ein.

2.7    Datenübertragung in Drittländer

Soweit an ein Drittland oder an eine internationale Organisation übermittelt werden sollte, ist die Einhaltung des Artikels 46 DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien) unser Maßstab für eine rechtmäßige Verarbeitung.

2.8    Datenschutzbeauftragter

Aufgrund seiner Tätigkeit hat die KSV1870 Gruppe einen Datenschutzbeauftragten. Unser Datenschutzbeauftragter ist unter ksv1870.datenschutzbeauftragter@ksv.at erreichbar.