Stand 09.06.2026. Ein Bonitätsscore wirkt für Verbraucher oft wie eine technische Kennzahl. Im CRIF-Fall zeigt noyb nun, wie schnell daraus ein Datenschutzproblem wird, wenn Menschen anhand von Meldedaten, Adresse, Alter und Geschlecht bewertet werden, obwohl echte Finanzinformationen fehlen.

Die Datenschutzorganisation noyb hat am 09.06.2026 eine Unterlassungs- und Sammelklage gegen die österreichische Kreditauskunftei CRIF angekündigt. Laut noyb verfügt CRIF über ein weitgehend unbekanntes Register mit Namen, Geburtsdatum und Anschrift fast aller Erwachsenen in Österreich. Diese Daten sollen genutzt werden, um Menschen mit einem Score zwischen 250 und 700 zu bewerten. Für Unternehmen ist der Fall relevant, weil er zeigt, dass Scoring nicht erst bei sensiblen Bankdaten zum Datenschutzthema wird. Schon scheinbar einfache Stammdaten können erhebliche Folgen haben, wenn daraus Vertragsentscheidungen abgeleitet werden.

Warum der CRIF-Fall über Österreich hinaus wichtig ist

noyb beschreibt CRIF als eine der größten Kreditauskunfteien in Österreich. Nach Darstellung der Organisation hat CRIF bei gut 90 Prozent der Menschen in der eigenen Datenbank keine Finanzinformationen. Der Score basiere bei diesen Personen vor allem auf Adresse, Geschlecht und Alter. Trotzdem könne die Bewertung praktisch darüber mitentscheiden, ob jemand einen Vertrag bei Mobilfunkanbietern, Stromlieferanten oder Banken erhält.

Genau an dieser Stelle entsteht der Datenschutzkern. Ein Score ist nicht neutral, nur weil er numerisch aussieht. Wenn eine Auskunftei aus allgemeinen Meldedaten eine Aussage über Kreditwürdigkeit ableitet, geht es um Zweckbindung, Datenminimierung, Transparenz und die Frage, ob die verwendeten Daten überhaupt geeignet sind. noyb hält die anlasslose Datensammlung und das Scoring von Menschen ohne bonitätsrelevante Daten für einen Verstoß gegen die Datenschutzgrundverordnung. Die Datenschutzgrundverordnung, kurz DSGVO, soll verhindern, dass personenbezogene Daten ohne klare Rechtsgrundlage, ohne nachvollziehbaren Zweck und ohne ausreichende Kontrolle über Betroffene verarbeitet werden.

Die Tagesaktualität ist belastbar. Neben der Primärquelle noyb berichten unter anderem ORF, Der Standard, Kleine Zeitung und FONDS professionell über die geplante Sammelklage gegen CRIF. Eine eigenständige CRIF-Stellungnahme wurde im Intraday-Check nicht als tagesaktueller Treffer gefunden. Redaktionell heißt das, die Vorwürfe müssen als noyb-Darstellung eingeordnet werden. Für die Publikationsreife reicht die Quellenlage trotzdem aus, weil die Primärquelle ausführlich ist und mehrere unabhängige Medien den Vorgang am selben Tag aufgreifen.

Was Unternehmen aus dem Scoring-Streit lernen sollten

Für Unternehmen liegt die Lehre nicht nur bei Auskunfteien. Der Fall betrifft jede Organisation, die Profile, Risikowerte oder automatisierte Einstufungen nutzt. Wer Daten sammelt, weil sie verfügbar sind, hat damit noch keine tragfähige Begründung für ihre Nutzung. Besonders riskant wird es, wenn ein Modell aus indirekten Merkmalen eine Aussage über Menschen erzeugt und diese Aussage anschließend Vertragschancen, Preise oder Zugang zu Leistungen beeinflusst.

Datenschutzverantwortliche sollten deshalb drei Fragen stellen, bevor Scoring oder ähnliche Bewertungen produktiv eingesetzt werden. Erstens, welche Daten fließen wirklich ein und stammen sie aus einem Zweck, der zur neuen Bewertung passt. Zweitens, kann das Unternehmen erklären, warum diese Daten für die konkrete Entscheidung geeignet und erforderlich sind. Drittens, erfahren Betroffene verständlich genug, dass eine Bewertung stattfindet, welche Folgen sie haben kann und wie sie dagegen vorgehen können.

Gerade die scheinbar harmlosen Daten sind dabei gefährlich. Adresse, Geburtsdatum und Geschlecht wirken weniger sensibel als Gesundheitsdaten oder Kontoinformationen. In einem Scoring-System können sie trotzdem zu einem mächtigen Entscheidungsinstrument werden. Wenn der Wohnort oder das Alter eine Bonitätseinschätzung prägen, kann daraus schnell eine Benachteiligung entstehen, die für Betroffene kaum nachvollziehbar ist. Datenschutz ist in solchen Fällen kein Formularproblem, sondern eine Frage der Fairness und Erklärbarkeit.

Der praktische Prüfauftrag für Datenmodelle

Unternehmen sollten den CRIF-Fall als Anlass nehmen, eigene Bewertungslogiken zu prüfen. Das gilt für klassische Bonitätsprüfungen ebenso wie für Betrugsprävention, Kundenpriorisierung, Risikomodelle, Marketing-Scoring oder KI-gestützte Vorauswahlen. Je stärker ein Wert spätere Entscheidungen beeinflusst, desto höher ist die Pflicht, Datenherkunft, Zweck, Aussagekraft und Schutzmaßnahmen sauber zu dokumentieren.

Wichtig ist auch die Rollenklärung mit Dienstleistern. Wer externe Scoring-Daten einkauft, kann die Datenschutzfrage nicht vollständig auslagern. Verantwortliche müssen verstehen, welche Datenbasis ein Dienstleister nutzt, auf welcher Rechtsgrundlage die Verarbeitung beruht und wie Betroffene informiert werden. Ein Vertrag ersetzt keine Prüfung der tatsächlichen Datenflüsse.

Der CRIF-Streit ist deshalb mehr als eine österreichische Meldung. Er zeigt, dass datengetriebene Entscheidungen dort angreifbar werden, wo Datenverfügbarkeit mit Aussagekraft verwechselt wird. Unternehmen, die Scoring einsetzen, sollten nicht warten, bis eine Aufsicht oder Klage die Schwachstellen offenlegt. Sie sollten jetzt prüfen, ob ihre Bewertungen fachlich erklärbar, rechtlich begründet und für Betroffene nachvollziehbar sind.

Quellen. noyb, Geheimes Scoring. Melde dich jetzt zur CRIF-Sammelklage an; ORF, Klage gegen Kreditauskunftei CRIF; Der Standard, Datenschützer Noyb bereiten Sammelklage gegen Kreditauskunftei CRIF vor; Kleine Zeitung, Bonität als Blackbox; FONDS professionell, Streit um Bonitätsscoring.

Bildquelle. Pexels / https://www.pexels.com/photo/8296978/