Vor einer Bonitätsabfrage sind die personenbezogenen Daten der betroffenen Person auf ihre Richtigkeit zu überprüfen. Das abfragende Unternehmen und die Auskunftei haben sicher zu stellen, dass die betroffene Person eindeutig identifiziert ist.
Kann dies nicht sicher gestellt werden, dürfen die personenbezogenen Daten nicht verarbeitet werden. Es liegt ein Verstoß gegen den Grundsatz der Rechtmäßigkeit gem. Art. 5 Abs. 1 DSGVO Buchstabe a i.V.m. Art. 6 Abs. 1 DSGVO Buchstabe f vor.
Bei einer Bonitätsabfrage möchte ein Unternehmen von einer Wirtschaftsauskunftei wissen, wie es die Kreditwürdigkeit einer betroffenen Person einschätzt. Solche Anfragen sind bei Kontoeröffnung, Vertragsschlüssen (Mobilfunk, Verbraucherkrediten) und Kreditanträgen üblich.
Das anfragende Unternehmen nutzt dabei Name, Anschrift und (oft) Geburtsdaten um herauszufinden, ob die betroffene Person in der Datenbank der Auskunftei vorhanden ist, ob die Auskunftei die Person kennt. Ist das der Fall wird in der Regel ein Scorewert übermittelt und das anfragende Unternehmen kann die Bonität einschätzen.
Bei diesem Vorgang werden die Daten vom anfragenden Unternehmen erhoben, an die Auskunftei übermittelt, von der Auskunftei mit den vorhandenen Daten abgeglichen und je nach Ergebnis der Anfrage ein Wert übermittelt. Die Anfrage und das Ergebnis der Anfrage werden von der Auskunftei vermerkt und in die Berechnung des Score zukünftig einbezogen. Die Daten werden also in sechsfacher Hinsicht verarbeitet.
Kommt es bei diesen Vorgängen zu Namens- oder Personenverwechslungen, so werden zum einen falsche Daten übermittelt und die Ergebnisse der Abfrage verfälschen den Scorewert.
1
- Rechtsgrundlage der Verarbeitung
-
Art. 6 Abs. 1 DSGVO Buchstabe f