Artikel 14 Text

infoscore Consumer Data GmbH, Rheinstrasse 99, 76532 Baden-Baden. Der betriebliche Datenschutzbeauftragte der ICD ist unter der aufgeführten Anschrift, zu Händen der Abteilung Datenschutz, oder per E-Mail unter: ICD-Datenschutz@experian.com erreichbar.

Die ICD verarbeitet und speichert personenbezogene Daten, um ihren Vertragspartnern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen sowie zur Prüfung der postalischen Erreichbarkeit von Personen zu geben. Hierzu werden auch Wahrscheinlichkeits- bzw. Scoringwerte errechnet und übermittelt. Solche Auskünfte sind notwendig und erlaubt, um das Zahlungsausfallrisiko z.B. bei einer Kreditvergabe, beim Rechnungskauf oder bei Abschluss eines Versicherungsvertrages vorab einschätzen zu können. Die Datenverarbeitung und die darauf basierenden Auskunftserteilungen der ICD dienen gleichzeitig der Bewahrung der Auskunftsempfänger vor wirtschaftlichen Verlusten und schützen Verbraucher vor der Gefahr der übermäßigen Verschuldung. Die Verarbeitung der Daten erfolgt darüber hinaus zur Identitätsprüfung, Betrugsprävention, Anschriftenermittlung, Risikosteuerung, Festlegung von Zahlarten oder Konditionen sowie zur Tarifierung. Neben den vorgenannten Zwecken verarbeitet die ICD personenbezogene Daten auch zu weiteren Zwecken (z.B. Nachverfolgung und Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, Anonymisierung der Daten, Abrechnung gegenüber Kunden oder Dienstleistern, Weiterentwicklung von Dienstleistungen und Produkten oder Qualitätsanalysen).

Die ICD ist ein Auskunfteiunternehmen, das als solches bei der zuständigen Datenschutzaufsichtsbehörde gemeldet ist. Die Verarbeitung der Daten durch die ICD erfolgt auf Basis einer Einwilligung gemäß Art. 6 Abs. 1 lit. a) i.V.m. Art. 7 Datenschutzgrundverordnung (DSGVO) oder auf Grundlage des Art. 6 Abs. 1 lit. f) DSGVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern die Interessen und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Die ICD stellt ihren Vertragspartnern die Informationen nur dann zur Verfügung, wenn eine Einwilligung des Betroffenen vorliegt oder von den Vertragspartnern ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit wirtschaftlichem Risiko gegeben (z.B. Rechnungskauf, Kreditvergabe, Abschluss eines Mobilfunk-, Festnetz- oder Versicherungsvertrages).

Von der ICD werden Stammdaten (Name, Vorname(n), Geburtsdatum, Anschrift(en), Telefonnummer(n), E-Mail-Adresse(n)), Informationen zum vertragswidrigen Zahlungsverhalten (siehe auch Nummer 5), zu Schuldnerverzeichniseintragungen, (Privat-) Insolvenzverfahren und zur postalischen (Nicht-)Erreichbarkeit sowie entsprechende Scorewerte verarbeitet bzw. gespeichert.

Die Daten der ICD stammen aus den amtlichen Insolvenzveröffentlichungen sowie den Schuldnerverzeichnissen, die bei den zentralen Vollstreckungsgerichten geführt werden. Dazu kommen Informationen von Vertragspartnern der ICD über vertragswidriges Zahlungsverhalten, basierend auf gerichtlichen sowie außergerichtlichen Inkassomaßnahmen. Darüber hinaus werden personenbezogene Daten (siehe Nummer 4) aus den Anfragen von Vertragspartnern der ICD, sowie Daten von Adressdienstleistern oder anderen Auskunfteien gespeichert. 

Empfänger sind ausschließlich Vertragspartner der ICD. Dies sind insbesondere Unternehmen, die ein wirtschaftliches Risiko tragen und ihren Sitz im europäischen Wirtschaftsraum oder ggf. einem Drittstatt haben. Es handelt sich dabei im Wesentlichen um eCommerce-, Telekommunikations- und Versicherungsunternehmen, Finanzdienstleister (z.B. Banken, Kreditkartenanbieter), Energieversorgungs- und Dienstleistungsunternehmen. Darüber hinaus gehören zu den Empfängern solche Unternehmen, die Forderungen einziehen, wie etwa Inkassounternehmen, Abrechnungsstellen, Rechtsanwälte, Adressdienstleister sowie (interne und externe) Dienstleister oder Kooperationspartner der ICD (z.B. Softwareentwickler, Support/Wartung, Rechenzentrum, Universitäten und Forschungseinrichtungen sowie Postdienstleister) oder andere Auskunfteien. Empfänger außerhalb des der Europäischen Union und des europäischen Wirtschaftsraums fallen entweder unter einen gültigen Angemessenheitsbeschluss oder haben die erforderlichen Standardvertragsklauseln zur Sicherstellung eines adäquaten Datenschutzniveaus bei der Verarbeitung von personenbezogenen Daten unterzeichnet. Zudem werden – soweit dies nach anwendbaren Datenschutzgesetzen erforderlich ist – weitere ergänzende Schutzmaßnahmen (z.B. Verschlüsselung und zusätzliche vertragliche Regelungen) ergriffen, um ein angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten.

Die ICD speichert Informationen über Personen nur für eine bestimmte Zeit, nämlich solange, wie deren Speicherung im Sinne des Art. 17 Abs. 1 lit. a) DSGVO notwendig ist. Die bei der ICD zur Anwendung kommenden Prüf- und Löschfristen entsprechen einer Selbstverpflichtung (Code of Conduct) der im Verband „Die Wirtschaftsauskunfteien e.V.“ zusammengeschlossenen Auskunfteiunternehmen.

• Informationen über fällige, offene und - bei Übermittlung an die ICD - unbestrittene Forderungen bleiben grundsätzlich für drei Jahre gespeichert. Wird der Ausgleich der Forderung bekannt gegeben, erfolgt eine Löschung der personenbezogenen Daten grundsäätzlich taggenau drei Jahre danach. Abweichend davon werden Informationen nach 18 Monaten gelöscht, wenn der ICD bis zu diesem Zeitpunkt keine weiteren Negativdaten gemeldet werden, keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen und der Ausgleich der Forderung innerhalb von 100 Tagen nach Einmeldung erfolgte.
• Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungsgerichte (Eintragungen nach § 882c Abs. 1 Satz 1 Nr. 1 – 3 ZPO) werden taggenau nach drei Jahren gelöscht, jedoch vorzeitig, wenn der ICD eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen wird.
• Informationen über Verbraucher-/Insolvenzverfahren oder Restschuldbefreiungsverfahren werden taggenau sechs Monate nach Beendigung des Insolvenzverfahrens oder nach Erteilung der Restschuldbefreiung gelöscht.
• Informationen über die Abweisung eines Insolvenzantrages mangels Masse, die Aufhebung der Sicherungsmaßnahmen oder über die Versagung der Restschuldbefreiung werden taggenau nach drei Jahren gelöscht.
• Angaben über Anfragen werden spätestens taggenau nach drei Jahren gelöscht.
• Voranschriften bleiben taggenau drei Jahre gespeichert; danach erfolgt die Prüfung der Erforderlichkeit der fortwährenden Speicherung für weitere drei Jahre. Danach werden sie taggenau gelöscht, sofern nicht zum Zwecke der Identifizierung eine länger währende Speicherung erforderlich ist.

Daten zu weiteren Zwecken (siehe 2.) werden unter anderem nach Erreichen der jeweiligen Zwecke gelöscht.

Weitere Details über die Dauer der Datenspeicherung sind im Code of Conduct zu finden.

Jede betroffene Person hat gegenüber der ICD das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO sowie – wenn die Verarbeitung auf einer Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 lit. a) beruht – das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Darüber hinaus besteht die Möglichkeit, sich bei der für die ICD zuständige Aufsichtsbehörde - Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart - zu beschweren. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DSGVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

Nach Art. 21 Abs. 1 DSGVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, gegenüber der ICD widersprochen werden.

Sofern Sie wissen wollen, welche Daten die ICD zu Ihrer Person gespeichert und an wen sie welche Daten übermittelt hat, teilt Ihnen die ICD das gerne im Rahmen einer - unentgeltlichen - schriftlichen Selbstauskunft mit. Die ICD bittet um Ihr Verständnis, dass sie aus datenschutzrechtlichen Gründen keinerlei telefonische Auskünfte erteilen darf, da eine eindeutige Identifizierung Ihrer Person am Telefon nicht möglich ist. Um einen Missbrauch des Auskunftsrechts durch Dritte zu vermeiden, benötigt die ICD folgende Angaben von Ihnen: Name (ggf. Geburtsname), Vorname(n), Geburtsdatum, Aktuelle Anschrift (Straße, Hausnummer, Postleitzahl und Ort), ggf. Voranschriften der letzten fünf Jahre (dies dient der Vollständigkeit der zu erteilenden Auskunft).

Wenn Sie – auf freiwilliger Basis – eine Kopie Ihres Ausweises beifügen, erleichtern Sie der ICD die Identifizierung Ihrer Person und vermeiden damit mögliche Rückfragen. Sie können die Selbstauskunft auch via Internet unter https://www.experian.de/selbstauskunft beantragen.

Die ICD-Auskunft kann um sogenannte Scorewerte ergänzt werden. Beim Scoring der ICD wird anhand von Informationen und Erfahrungen aus der Vergangenheit eine Prognose insbesondere über Zahlungswahrscheinlichkeiten erstellt. Das Scoring basiert primär auf Basis der zu einer betroffenen Person bei derICD gespeicherten Informationen. Anhand dieser Daten erfolgt auf Basis mathematisch-statistischer Verfahren (insbesondere Verfahren der logistischen Regression) eine Zuordnung zu Personengruppen, die in der Vergangenheit ähnliches Zahlungsverhalten aufgewiesen haben. Dabei werden die eingesetzten Verfahren in regelmäßigen Abständen durch unabhängige, externe Gutachter validiert, wodurch sichergestellt ist, dass diese wissenschaftlich fundiert sind. Auf Wunsch werden diese Verfahren nebst den Gutachten der zuständigen Aufsichtsbehörde offengelegt. Die von der ICD eingesetzten Verfahren sind damit seit langem praxiserprobte, mathematisch-statistische Methoden zur Prognose von Risikowahrscheinlichkeiten bzw. Erfüllungswahrscheinlichkeiten.

Mit welcher Wahrscheinlichkeit eine betroffene Person einen Kredit zurückzahlen wird, muss nicht der Wahrscheinlichkeit entsprechen, mit der sie eine offene Rechnung im E-Commerce ausgleicht. Aus diesem Grund bietet die ICD ihren Vertragspartnern unterschiedliche Scoreverfahren an. Scorewerte betroffener Personen verändern sich häufiger, da sich auch die Informationen, die über eine Person gespeichert sind, verändern. So kommen neue Informationen hinzu, während andere aufgrund von Speicherfristen gelöscht werden.

Scoring dient vorwiegend der Bonitätsprüfung und der Betrugsprävention. Zudem kann es den weiteren Zwecken unter 2. dienen. Folgende Datenarten werden bei der ICD für das Scoring verwendet, wobei nicht jede Datenart auch in jede einzelne Berechnung mit einfließt: Daten zum vertragswidrigen Zahlungsverhalten, zu Eintragungen im Schuldnerzeichnis sowie dem Insolvenzregister, Geschlecht und Alter der Person, adressbezogene Daten (Bekanntsein des Namens bzw. des Haushalts an der Adresse, Anzahl bekannter Personen im Haushalt (Haushaltsstruktur), Bekanntsein der Adresse, Anschriftendaten (Informationen zu vertragswidrigem Zahlungsverhalten in Ihrem Wohnumfeld (Straße/Haus)), Daten aus Anfragen von Vertragspartnern der ICD.

Besondere Kategorien von Daten i.S.d. Art. 9 DSGVO (z.B. Angaben zur Staatsangehörigkeit, ethnischen Herkunft oder zu politischen oder religiösen Einstellungen) werden von ICD weder gespeichert noch bei der Berechnung von Wahrscheinlichkeitswerten berücksichtigt. Auch die Geltendmachung von Rechten nach der DSGVO, also z.B. die Einsichtnahme in die bei der ICD gespeicherten Informationen nach Art. 15 DSGVO, hat keinen Einfluss auf das Scoring.

Die ICD trifft selbst darüber hinaus keine Entscheidungen über den Abschluss eines Rechtsgeschäfts oder dessen Rahmenbedingungen (wie z.B. angebotene Zahlarten), sie unterstützt die ihr angeschlossenen Vertragspartner lediglich mit ihren Informationen bei der diesbezüglichen Entscheidungsfindung. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit sowie die darauf basierende Entscheidung erfolgt allein durch Ihren Geschäftspartner. Verlässt sich ein Vertragspartner bei seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses maßgeblich auf das Scoring der ICD, gelten ergänzend die Bestimmungen des Art. 22 DSGVO. Das Scoring der ICD kann in diesem Fall z. B. dabei helfen, alltägliche Geschäfte rasch abwickeln zu können; es kann unter Umständen aber auch dazu führen, dass ein Vertragspartner eine negative, möglicherweise ablehnende Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses trifft.

 Informationen zum Scoring enthalten auch unsere FAQ https://www.experian.de/selbstauskunft/selbstauskunft-faqs.

Sofern Sie als Verbraucher weitere Fragen haben, stehen wir Ihnen gerne zur Verfügung. Bitte senden Sie hierzu eine E-Mail an ICD-Datenschutz@experian.com

Diese Darstellung hat den Stand vom August 2024 und ist in der Version 2 veröffentlicht worden. Die Darstellung wird in regelmäßigen Abständen überprüft und gegebenenfalls aktualisiert.