Eine NGO wirft der Kreditauskunftei CRIF und ihren Kund:innen und Partnern in Österreich weitreichende Datenflüsse und fragwürdige Scoring-Praktiken vor. CRIF weist die Vorwürfe zurück. Im Zentrum stehen DSGVO-Fragen.
Was Scoring bedeutet
Unter „Scoring“ versteht man Verfahren, bei denen auf Basis verschiedener Daten – etwa Zahlungsverhalten, Wohnort oder bisherige Vertragsbeziehungen – ein Wahrscheinlichkeitswert berechnet wird. Dieser Score soll zeigen, wie hoch das Risiko ist, dass jemand eine Rechnung oder einen Kredit nicht begleicht. Unternehmen wie Banken, Online-Händler oder Energieversorger nutzen solche Werte, um Entscheidungen über Verträge oder Konditionen zu treffen. Kritisch ist dabei, wie nachvollziehbar die Berechnung erfolgt, welche Daten einfließen und ob Betroffene eine faire Möglichkeit haben, den Score anzufechten.
Eine Eskalation mit Ansage
Seit Juni 2025 sammelt die Datenschutz-NGO noyb (gegründet von Max Schrems) Auskünfte von Betroffenen zu ihrem bei CRIF gespeicherten Datensatz. Am 25. September legte noyb erste Ergebnisse vor: Mehr als 2.400 Personen hätten Einsicht genommen, insgesamt seien über 40.000 Abfragen und 28.000 Scores ausgewertet worden. Die NGO zeichnet darin das Bild eines dichten Beziehungsgeflechts zwischen CRIF und bekannten Unternehmen – „Klarna“ erscheine demnach als größter Abrufkunde; auch Banken, Versicherer, Energieanbieter und Telekoms tauchten auf. Zudem stützt noyb seine Kritik auf Adressquellen: Daten kämen „primär von drei Adresshändlern“ (AZ Direct, Compass, DPIT); diese dürften laut § 151 GewO nur zu Marketingzwecken verkaufen – nicht für Scoring. noyb kündigte vertiefte Analysen an und schloss eine Sammelklage nicht aus.
CRIF reagierte wenige Stunden später mit einer klaren Zurückweisung. In einer Aussendung über APA-OTS heißt es, noyb habe „Informationen nicht korrekt wiedergegeben“; CRIF betont, man verarbeite Daten „ausschließlich im Rahmen konkreter Anfragen und klar geregelter vertraglicher Beziehungen“ und dass es „kein ‚Netzwerk‘“ gebe, „in dem Kund:innen miteinander verknüpft werden“. Außerdem verfüge CRIF „über keinerlei Informationen zu Einkommen und Vermögen“. Als Rechtsgrundlage nennt CRIF das „berechtigte Interesse“ nach Art. 6 Abs. 1 DSGVO und verweist auf Löschkonzepte „gemäß EuGH-Urteil vom Dezember 2023“. Man behalte sich rechtliche Schritte gegen noyb vor.
Die beiden Akteure, kurz vorgestellt
noyb positioniert sich als strategische Klägerin für Grundrechte in der digitalen Welt – mit hoher Sichtbarkeit seit den Safe-Harbor/Privacy-Shield-Verfahren. Im aktuellen Vorstoß argumentiert die NGO doppelt: erstens gegen die mutmaßliche Zweckänderung und Reichweite von Adressdaten, die – so die Lesart – über Marketing hinaus im Scoring landen; zweitens gegen die Praxis des Scorings selbst, wenn Unternehmen „stark“ auf solche Werte bauen. „Schon nach der bestehenden Rechtsprechung ist die Datenverarbeitung der CRIF wohl auf Sand gebaut“, wird Schrems zitiert. Zugleich deutet noyb Bias-Fragen an (Unterschiede nach Alter, Geschlecht, Wohnort) und will die statistische Validität prüfen.
CRIF stellt dem die Rolle einer Infrastruktur für Zahlungssicherheit gegenüber: Ohne Auskunfteien müssten Unternehmen höhere Ausfallsrisiken einpreisen – „das könnte […] zu weiteren Preissteigerungen und damit zu einer höheren Inflation führen“. CRIF betont Mathematik statt Einkommensdaten zu verwenden, verweist auf „versicherungsmathematische und statistische Analysemodelle“ und erklärt Adressdaten als „streng zweckgebunden“ – entweder zur Identifikation von Dritten bezogen oder im Rahmen von Kund:innen-Anfragen und Verträgen. Kurz: Scoring als legitimes, standardisiertes Risikowerkzeug – mit definierten Lösch- und Prüfprozessen.
Der Rechtsrahmen: Artikel 22 DSGVO und das EuGH-Signal
Die rechtliche Kulisse ist seit Dezember 2023 schärfer konturiert. Der EuGH entschied im Verfahren C-634/21 (SCHUFA – Scoring), dass ein Kreditscore als „automatisierte Entscheidung“ im Sinne von Artikel 22 DSGVO gelten kann – wenn Dritte „stark“ auf diesen Wert gestützt Verträge anbahnen oder ablehnen. Das Urteil stärkt Betroffenenrechte (Transparenz, Anfechtung, menschliches Eingreifen) und zwingt Akteure zu sorgfältiger Begründung der Rechtsgrundlage und Schutzmaßnahmen. Gleichzeitig ließ der EuGH offen, ob nationale Regeln (z. B. Spezialnormen) ADM in engen Grenzen rechtfertigen können – das klären die Fachgerichte im Einzelfall.
In der Praxis heißt das: Zweckbindung und Datenminimierung sind nicht bloß Etiketten. Wer Adressdaten für Identitätsprüfung erhebt, darf sie nicht automatisch fürs Scoring recyceln; wer Scoring nutzt, muss prüfen, ob die Entscheidung allein oder maßgeblich darauf beruht – und welche geeigneten Maßnahmen (Transparenz, Widerspruch, manuelle Überprüfung) implementiert sind. Genau hier kollidieren die Narrative: noyb sieht strukturelle Grenzverschiebungen und Intransparenz – CRIF betont eng gefasste Prozesse, Verträge und Löschläufe.
Streitpunkt Datenquellen: Wer liefert was – und darf er das?
noyb listet in seiner Auswertung Adresshändler als Hauptquelle und nennt daneben Kund:innen der CRIF – darunter Telkos, Banken, Versicherer – als „Verifizierungsanbieter“. Besonders heikel erscheint der NGO, dass Unternehmen, die Kund:innen gesetzlich identifizieren müssen (z. B. nach KYC-Vorgaben), diese verifizierten Daten „am Ende bei CRIF“ landeten. Einige Unternehmen hätten noyb zufolge stets bestritten, Daten zu liefern, sondern nur Scores abzufragen – die NGO will das nun mit Betroffenen und Firmen klären. CRIF hält dagegen, dass Adressen ausschließlich zur Identifikation verwendet würden und nicht automatisch in den Datenbestand einflössen, sofern es nicht ausdrücklich vertraglich geregelt sei. Der Vorwurf eines „Netzwerks“ werde ausdrücklich zurückgewiesen.
Sieben Jahre „Kleinstbeträge“ – ein rotes Tuch
noyb beanstandet, dass bezahlte Inkassoforderungen von mehr als 20 Euro bis zu sieben Jahren gespeichert blieben, während Insolvenzdaten – gestützt auf die EuGH-Rechtsprechung – nach einem Jahr gelöscht würden; die Verhältnismäßigkeit sei fraglich. CRIF verweist pauschal auf die Umsetzung der EuGH-Vorgaben und die Löschung, „sobald die rechtlichen Voraussetzungen erfüllt sind“. Für beide Seiten ist dieser Punkt politisch sensibel: Er berührt nicht nur Datenschutz-Dogmatik, sondern die soziale Wirkung von Scores in Miet-, Mobilfunk-, Energie- oder BNPL-Entscheidungen.
noyb will die 28.000 Scores statistisch gegen reale Finanzdaten spiegeln und kündigt weitere Anfragen bei mutmaßlichen Datenlieferanten an – mit Blick auf Zweckänderung und Berechtigung jeder einzelnen Abfrage. CRIF wiederum signalisiert Gesprächsbereitschaft, aber auch juristische Abwehr, und verweist auf vertragliche Pflichten und das „berechtigte Interesse“ als tragfähige Basis.
Forerunners Summary
Für Unternehmen im ESG-Kontext ist diese Auseinandersetzung ein Lackmustest in der G-Säule (Governance): Transparenz über Datenketten, Zweckbindung an der Quelle, minimierte Datennutzung und prüfbare Rechtsgrundlagen sind keine Compliance-Floskeln mehr, sondern Wettbewerbsfaktoren. Wer Scoring nutzt, braucht ADM-Kontrollen (Artikel 22) – inklusive verständlicher Erklärungen für Kund:innen und manueller Review. Für die S-Säule stellen sich Fairness-Fragen: Welche Gruppen werden wie bewertet, und wie werden Fehler korrigiert?
Quellen: CRIF-Stellungnahme (25. 9. 2025), APA-OTS/CRIF (25. 9. 2025), noyb-Beitrag (25. 9. 2025), EuGH-Pressemitteilung 186/23 (7. 12. 2023).
