Datenschutzhinweise bei Vertragsabschluss

Ihre Daten sind für uns ein hohes Gut

Datenschutz und Datensicherheit haben bei der Drillisch Online AG einen hohen Stellenwert. Bei der Verarbeitung der Kundendaten werden die telekommunikationsrechtlichen Datenschutzvorgaben sowie weitere datenschutzrechtliche Vorschriften, wie z.B. Datenschutzgrundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG), soweit diese anwendbar sind, beachtet. Mit den folgenden Informationen möchten wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch uns und Ihre diesbezüglichen Rechte sowie Gestaltungsmöglichkeiten geben.

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Drillisch Online AG, Wilhelm-Röntgen-Straße 1-5, 63477 Maintal
Telefon: 06181 7074 030
Fax: 06181 7074 063
E-Mail-Adresse: kontakt@drillisch-online.de
Der betriebliche Datenschutzbeauftragte ist unter der o.g. Anschrift, z.H. Abteilung Datenschutz oder per E-Mail unter datenschutz@drillisch-online.de erreichbar.

Datenverarbeitung durch die Drillisch Online AG
Welche Quellen und Daten nutzen wir?

Wir verarbeiten personenbezogene Daten die wir im Rahmen unserer Vertragsbeziehung von unseren Kunden erhalten bzw. durch die Nutzung unserer Telekommunikationsdienste entstehen. Zudem verarbeiten wir – soweit für die Erbringung unserer Dienstleistung erforderlich – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (insbes. Schuldnerverzeichnisse, Grundbücher, Handels- und Vereinsregister, Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen des United Internet Konzerns oder von sonstigen Dritten (z.B. einer Auskunftei) berechtigt übermittelt werden.
Ihre personenbezogenen Daten bei der Drillisch Online AG sind Vertrags-, Verkehrs- und Nutzungsdaten. Vertragsdaten sind die zur Begründung, Durchführung und ggf. Beendigung des Vertrages, sowie der Abrechnung von Entgelten erhobenen erforderlichen und freiwilligen Daten. Hierzu gehören: Anrede, Nach- und Vorname, Adresse, Geburtsdatum, Telefonnummern und Mail-Adressen, sowie bei passwortgeschützten Diensten auch Benutzername und Kennwort.
Außerdem zählen hierzu die Daten zur Zahlungsabwicklung und Umsatzdaten unter Differenzierung der verwendeten Dienste, Produkte und Tarife. Hierunter fallen keine einzelnen Verkehrs- und Nutzungsdaten.
Verkehrs- und Nutzungsdaten entstehen durch die Nutzung des Anschlusses, sowie des online Servicecenters. Nach Erforderlichkeit für die Abrechnung des genutzten Dienstes verwenden wir die Rufnummer oder Kennung des anrufenden und angerufenen Anschlusses (bzw. Zielgasse), Angaben zum Zeitpunkt und zur Dauer, übermittelte Datenmenge, IMSI (SIM-Kartennummer), IMEI (Gerätenummer), die Verbindungsart und den lokalen Einwahlknoten.

Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

a. Zur Erfüllung von vertraglichen Pflichten (Art. 6 I b) DSGVO)
Die Verarbeitung von Daten erfolgt zur Erbringung von Telekommunikations- und Telemediendiensten im Rahmen der Durchführung und Abrechnung der Kundenverträge oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Die Zwecke der Datenverarbeitung und die daraus resultierende Vertrags- und Kundeninformation richten sich nach dem konkreten Produkt (z.B. Postpaid, Prepaid, Zusatzdienste). Die weiteren Einzelheiten zu den Verarbeitungszwecken können Sie produktspezifisch den maßgeblichen Vertragsunterlagen und Geschäftsbedingungen entnehmen.
b. Im Rahmen der Interessenabwägung (Art. 6 I f) DSGVO)
Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Das berechtigte Interesse an der jeweiligen Verarbeitung ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken). Beispiele:
• Konsultation von und Datenaustausch mit Auskunfteien (z.B. Schufa) und Konzernunternehmen zur Ermittlung von Bonitäts- bzw. Ausfallrisiken
• Bei telefonischen Anfragen, sowie Aufträgen von Kunden und Interessenten erfolgen Audiomitschnitte bei Zustimmung zu Zwecken der Qualitäts- und der Beweissicherung.
• Prüfung und Optimierung von Verfahren zur Bedarfsanalyse zwecks direkter Kundenansprache
• Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben (bspw. Produktinformationen und Meinungsumfragen).
• Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten
• Gewährleistung der IT-Sicherheit und des IT-Betriebs des Mobilfunkanbieters
• Verhinderung und Aufklärung von Bußgeldverfahren und Straftaten
• Videoüberwachung und weitere Maßnahmen zur Wahrung und Sicherstellung des Hausrechts
• Maßnahmen zur Gebäude- und Anlagensicherheit
• Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten
• Risikosteuerung im Konzern der United Internet AG
Ein überwiegend schutzwürdiges Interesse liegt nach Einschätzung der Drillisch Online AG nicht vor, da die Verarbeitungen von Ihrer Eingriffsintensität so gering wie möglich durchgeführt werden, z.B. mittels Verwendung von Pseudonymen.
c. Aufgrund Ihrer Einwilligung (Art. 6 I a) DSGVO)
Soweit Sie uns eine Einwilligung in die Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z.B. Werbeeinwilligung) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.
d. Aufgrund gesetzlicher Vorgaben (Art. 6 I c) DSGVO) oder im öffentlichen Interesse (Art. 6 I e) DSGVO)
Zudem unterliegen wir als Telekommunikationsanbieter diversen rechtlichen Verpflichtungen (z.B. DSGVO, Telekommunikationsgesetz, Telemediengesetz, Geldwäschegesetz, Steuergesetze), sowie telekommunikationsaufsichtsrechtlichen Vorgaben (z.B. der Bundesnetzagentur). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, Betroffenenrechtemanagement, Störungs- und Missbrauchserkennung/ -beseitigung, Auskunftserteilung an inländische Behörden und an weitere nach Gesetz berechtigte inländische Stellen, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken im Konzern der United Internet AG.
e. Zweckänderung
Soweit aufgrund Gesetz ausdrücklich zulässig, verwenden wir personenbezogene Daten auch für neue Zwecke. Im Vertrag und diesen Datenschutzhinweisen sind sämtliche feststehenden Verwendungszwecke aufgeführt.
f. Big Data
Die Verwendung personenbezogener Daten erfolgt anonymisiert oder pseudonymisiert als Grundlage für Big-Data-Analysen zur Verbesserung der Produkte und belastbaren Entscheidungsfindung.

Wer bekommt meine Daten? (Kategorien von Empfängern und Übermittlung an ein Drittland)

Innerhalb der Drillisch Online AG erhalten diejenigen Zugriff auf Ihre Daten, die diese zur Erfüllung der vertraglichen und gesetzlichen Pflichten benötigen. Dies sind insbesondere interne Stellen die an der Ausführung der jeweiligen Geschäftsprozesse beteiligt sind (Buchhaltung, Rechnungswesen, Einkauf, Marketing, Vertrieb, Telekommunikation und EDV). Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten.
Für den postalischen Versand erfolgt eine Übermittlung der erforderlichen Daten an Druckdienstleister, Fracht- und Logistikunternehmen. Soweit es für die Abwicklung der Abrechnung erforderlich ist, erfolgt eine Übermittlung an einen Zahlungsdienstleister. Für die Erbringung von Zusatzdiensten (wie bspw. napster oder BILD+) ist eine Übermittlung personenbezogener Daten an Dritte (hier: Partnerunternehmen) erforderlich.
Weitere Empfänger sind bei Beteiligung am jeweiligen Geschäftsprozess im erforderlichen Umfang ebenfalls im europäischen Wirtschaftsraum, in der Schweiz sowie ggf. weiteren Drittländern ansässige externe Auftragnehmer nach Art. 28 DSGVO sowie externe und interne Stellen der United Internet AG. Dies sind insbesondere Kundenbetreuung und Marktforschung, IT-Dienstleistungen, Beratung und Consulting, Vertrieb und Marketing, Anbieter von Teilnehmerverzeichnissen (Telefonbuch), Mobilfunknetzbetreiber die an der jeweiligen Telekommunikation mitwirken.
Informationen zur Zusammenarbeit mit Auskunfteien finden Sie unten stehend.
Im Falle eines außergerichtlichen oder gerichtlichen Verfahrens sind wird zur Beitreibung von Forderungen berechtigt, die zur Forderungsrealisierung notwendigen Abrechnungsunterlagen z. B. an ein Inkassounternehmen weiterzugeben. Die erhobenen Bestands- und Verkehrsdaten dürfen wir verarbeiten, insbesondere an Mobilfunknetzbetreiber und andere Telekommunikationsdienstleister übermitteln, sofern dies zur Aufdeckung des Missbrauchs von Telekommunikationseinrichtungen und der missbräuchlichen Inanspruchnahme von Dienstleistungen beitragen kann und tatsächliche Anhaltspunkte für einen Missbrauch vorliegen. Die Drillisch Online AG unterliegt zudem den gesetzlichen und behördlichen Eingriffsbefugnissen staatlicher Stellen. Darüber hinaus werden keine Daten an Dritte weitergegeben, es sei denn, Sie haben ausdrücklich eingewilligt oder wir hierzu auf Grund Gesetz verpflichtet sind bzw. es ausdrücklich zulässig ist. Personenbezogene Daten verarbeiten wir grundsätzlich in Deutschland. Nur in Einzelfällen und im gesetzlich zulässigen Rahmen findet die Datenverarbeitung auch im Ausland statt.
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet statt, soweit es zur Durchführung des Vertrages erforderlich ist (z.B. Zusatzdienste, Roamingdienste, Notrufdienste), es gesetzlich vorgeschrieben ist oder eine Einwilligung erteilt wurde. Die Drillisch Online AG nutzt für bestimmte Aufgaben Dienstleister, die meistens ebenfalls Dienstleister nutzen, die Ihren Firmensitz, Mutterkonzern oder Rechenzentrum in einem Drittland haben können. Eine Übermittlung an Empfänger in einem Drittland ist zulässig, sofern zu diesen ein entsprechender Angemessenheitsbeschluss der europäischen Kommission existiert oder geeignete Garantien wie Standardvertragsklauseln vorgesehen sind. Mit diesen Dienstleistern werden stets Grundlagen zum Datenschutz unter Einhaltung des europäischen Datenschutzniveaus abgeschlossen.

Wie lange werden meine Daten gespeichert? (Dauer der Speicherung bzw. Kriterien zur Festlegung dieser Dauer)

Die Verarbeitung und Speicherung der personenbezogenen Daten erfolgt, solange es für die Erfüllung der vertraglichen und gesetzlichen Pflichten der Drillisch Online AG erforderlich ist. Dabei ist zu beachten, dass ein Dauerschuldverhältnis vorliegt, welches auf Jahre angelegt ist.
Die Vertragsdaten werden mit der Kündigung Ihres Vertrages gem. § 95 III TKG in gesperrter Form bis zum Ablauf des auf die Beendigung folgenden Kalenderjahres vorgehalten und im Anschluss gelöscht. Sollten vertragliche Pflichten bspw. Forderungen oder Einwendungen nach Kündigung des Vertrages bestehen, werden die Daten über diesen Zeitraum hinaus gespeichert.
Nicht abrechnungsrelevante Verkehrsdaten werden bei postpaid-Verträgen nach sieben Tagen gelöscht. Abgerechnete Verkehrsdaten werden in den Systemen zur Erzeugung der Endkundenrechnung drei Monate nach Rechnungsversand gelöscht, es sei denn es bestehen offene Forderungen oder Einwendungen.
Entgeltpflichtige, abgehende Verbindungen (Telefonie, SMS, Daten) werden bei prepaid-Verträgen drei Monate nach Rechnungsstellung (virtuelle Monatsrechnung) gespeichert. Daten die zur Störungs- und Missbrauchserkennung/ - beseitigung der angebotenen Telekommunikations- und Telemediendienste verwendet werden, werden innerhalb von sieben Tagen gelöscht.
Zur Feststellung einer zweckwidrigen oder missbräuchlichen Nutzung von Roaming zu Inlandspreisen können Verkehrs- und Standortdaten für einen fortlaufenden Zeitraum von vier Monaten verarbeitet werden.
Nachrichteninhalte (SMS, MMS, zwischengespeicherte oder abgelegte Sprachnachrichten) können Sie auf Ihrer SIM-Karte selbstständig löschen.
Sind die Daten für die Erfüllung der Pflichten nicht mehr erforderlich, werden Sie regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:
• Erfüllung handels- und steuerrechtlicher Aufbewahrungsfristen (insbes. HGB, AO, GwG). Die dort vergebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre.
• Erhaltung von Beweismitteln für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195ff. BGB können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.
• Erfüllung von Verordnungen, Gesetzen oder sonstigen Vorschriften der europäischen oder nationalen Gesetzgeber.

Gibt es für mich eine Pflicht zur Bereitstellung von Daten?

Im Rahmen des Vertragsverhältnisses müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung des Vertrages und der Erfüllung der damit verbundenen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir i.d.R. nicht in der Lage sein den Vertrag mit Ihnen zu schließen oder diesen aus- bzw. fortzuführen.
Insbesondere sind wir aus Gründen der Datensicherheit und gesetzlich nach § 111 I TKG verpflichtet die notwendigen Informationen und Unterlagen zu erheben und Sie bei einem Prepaid-Vertrag nach § 111 I S. 2 TKG vor Vertragsschluss anhand Ihres Ausweisdokumentes zu identifizieren.

Inwieweit gibt es eine automatisierte Entscheidungsfindung?

Zur Begründung und Durchführung der Vertragsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gem. Art. 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.

Findet Profiling statt?

Wir verarbeiten teilweise Ihre Daten automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten. Wir setzen Profiling bspw. in folgenden Fällen ein:
• Auf Grund gesetzlicher und regulatorischer Vorgaben sind wir zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und vermögengefährdenden Straftaten verpflichtet. Dabei werden auch Datenauswertungen (u.a. im Zahlungsverkehr) vorgenommen. Diese Maßnahmen dienen zugleich Ihrem Schutz.
• Um Sie zielgerichtet über Produkte informieren und beraten zu können, setzen wir Auswertungsinstrumente ein. Diese ermöglichen eine bedarfsgerechte Kommunikation und Werbung einschließlich Markt- und Meinungsforschung.

Betroffenenrechte
Welche Gestaltungsmöglichkeiten habe ich?

Einzelverbindungsnachweis (EVN)
Als Postpaid-Kunde erhalten Sie bei Beauftragung eines EVN künftig eine Übersicht Ihrer entgeltpflichtigen Verbindungen. Sie können die Kürzung der letzten drei Stellen der B-Rufnummer beauftragen. Dies hat Auswirkungen auf Ihre Möglichkeiten Einwendungen zu einer Rechnung zu erheben. Sie sind verpflichtet sämtliche Nutzer des Anschlusses auf die Speicherung der Verkehrsdaten hinzuweisen.
Teilnehmerverzeichnisse/ Auskunftsdienste
Mit Beauftragung der Eintragung der Mobilfunknummer und weiterer persönlicher Daten in öffentliche gedruckte oder elektronische Teilnehmerverzeichnisse sowie für dieÜbermittlung der Daten an entsprechender Anbieter für Telefonauskünfte (nachfolgend Auskunftsdienste) werden die Daten durch den Diensteanbieter weitergegeben. In diesem Fall erfolgt die Auskunft auch über den Namen und die Anschrift des Kunden, auch wenn dem Auskunftssuchenden nur die Rufnummer des Kunden bekannt ist (sog. Inverssuche). Sie können der Auskunftserteilung und der Inverssuche jederzeit gegenüber dem Anbieter des Auskunftsdienstes oder uns widersprechen. Für die Eintragung und die Richtigkeit der Eintragung durch den Anbieter des Auskunftsdienstes übernimmt die Drillisch Online AG keine Gewähr. Bei einer unrichtigen Eintragung wird auf Hinweis des Kunden eine Berichtigung veranlasst.

Fangschaltung

Mit Aktivierung einer Fangschaltung zur Identifizierung anonymer, bedrohender und/oder belästigender ankommender Telefon- und Telefaxverbindungen werden künftige Anrufe für einen Zeitraum von sieben Tagen ermittelt.

Welche Datenschutzrechte habe ich?

Jede betroffene Person hat das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie das Recht auf Datenübertragbarkeit (Art. 15 – 18, 21 DSGVO). Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen der §§ 34f. BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG). Das Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.
Die Drillisch Online AG arbeitet mit externen Experten und Organisationen zusammen, die insbesondere mittels zyklischer Audits die Datenschutz- und Datensicherheitsorganisation prüfen. Für einen geprüften Datenschutz steht z.B. das TÜV-Zertifikat safer shopping.
Einwilligungen können jederzeit uns gegenüber widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.

Einzelfallbezogenes Widerspruchsrecht

Nach Art. 21 I DSGVO kann der Datenverarbeitung die aufgrund der Art. 6 I e), f) DSGVO erfolgt, sowie einem auf diese Bestimmung gestütztes Profiling, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, widersprochen werden.

Widerspruchsrecht gegen eine Verarbeitung von Daten für Zwecke der Direktwerbung

Nach Art. 21 II DSGVO kann der Datenverarbeitung für Direktwerbung, sowie einem in Verbindung stehenden Profiling, widersprochen werden.

Der jeweilige Widerspruch kann formfrei erfolgen und ist zu richten an:
Drillisch Online AG, Wilhelm-Röntgen-Straße 1-5, 63477 Maintal

Privatkunden, Postpaid: Hinweise zum Date naustausch mit Auskunfteien und Konzernunternehmen

Vor Annahme Ihres Vertragsantrages erfolgt eine branchenübliche Bonitätsprüfung, da die Drillisch Online AG Leistungen erbringt, die erst später vergütet werden. Hierfür werden personenbezogene Daten (Anrede, Vor- und Nachname, Anschrift, Geburtsdatum) an die folgenden Wirtschaftsauskunfteien übermittelt. In deren Bonitätsbewertung fließen das persönliche Zahlungsverhalten und statistische Werte wie die durchschnittliche Bonität im Wohngebiet ein. Zudem erfolgt ein Datenaustausch mit der 1&1 Telecom GmbH.

Datenübermittlung an die SCHUFA

Die Drillisch Online AG übermittelt im Rahmen dieses Vertragsverhältnisses erhobene personenbezogene Datenüber die Beantragung, die Durchführung und Beendigung dieser Geschäftsbeziehung sowie Daten über nicht vertragsgemäßes Verhalten oder betrügerisches Verhalten an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden. Rechtsgrundlagen dieser Übermittlungen sind Art. 6 I b) und Art. 6 I f) DSGVO. Übermittlungen auf der Grundlage von Art. 6 I f) DSGVO dürfen nur erfolgen, soweit dies zur Wahrung berechtigter Interessen der Drillisch Online AG oder Dritter erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,überwiegen. Der Datenaustausch mit der SCHUFA dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen von Kunden (§§ 505a, 506 BGB).
Die SCHUFA verarbeitet die erhaltenen Daten und verwendet Sie auch zum Zwecke der Profilbildung (Scoring), um Ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Nähere Informationen zur Tätigkeit der SCHUFA können dem SCHUFA-Informationsblatt nach Art. 14 DS-GVO entnommen werden.

Datenübermittlung an ICD

Die Drillisch Online AG übermittelt Ihre Daten (Name, Adresse und ggf. Geburtsdatum) zum Zweck der Bonitätsprüfung, dem Bezug von Informationen zur Beurteilung des Zahlungsausfallrisikos auf Basis mathematisch-statistischer Verfahren unter Verwendung von Anschriftendaten an die infoscore Consumer Data GmbH, Rheinstr. 99, 76532 Baden-Baden. Detaillierte Informationen zur ICD i.S.d. Art. 14 DSGVO, d.h. Informationen zum Geschäftszweck, zu Zwecken der Datenspeicherung, zu den Datenempfängern, zum Selbstauskunftsrecht, zum Anspruch auf Löschung oder Berichtigung etc. finden Sie in der Anlage.

Datenübermittlung an Bürgel

Die Drillisch Online AG übermittelt im Rahmen dieses Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung dieser Geschäftsbeziehung sowie Daten über nicht vertragsgemäßes Verhalten oder betrügerisches Verhalten an die CRIF Bürgel GmbH, Radlkoferstraße 2, 81373 München.
Rechtsgrundlagen dieser Übermittlungen sind Art. 6 I b) und Art. 6 I f) DSGVO. Übermittlungen auf der Grundlage von Art. 6 I f) DSGVO dürfen nur erfolgen, soweit dies zur Wahrung berechtigter Interessen unseres Unternehmens oder Dritter erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Datenaustausch mit der CRIF Bürgel dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen von Kunden (§§ 505a, 506 BGB).
Die CRIF Bürgel verarbeitet die erhaltenen Daten und verwendet sie auch zum Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. CRIF Bürgel betreibt zu diesen Zwecken unter anderem den Fraud Prevention Pool (FPP), dessen Teilnehmer ausschließlich Telekommunikationsdiensteanbieter sind. Aufgabe des FPP ist es, den Teilnehmern Informationen zu geben, um sie vor Forderungsausfällen und Betrug zu schützen und ihnen gleichzeitig die Möglichkeit zu eröffnen, Kunden bei Verlust von Telekommunikations-Karten oder Missbrauch vor nachteiligen Folgen zu bewahren. Nähere Informationen zur Tätigkeit der CRIF Bürgel können dem CRIF Bürgel-Informationsblatt entnommen werden.

Datenübermittlung im Konzern

Die Drillisch Online AG ruft zum Zweck der Bonitätsprüfung bei den folgenden Konzernunternehmen Daten, die im Zusammenhang mit Ihren Verträgen bei diesen Unternehmen gespeichert sind, ab:
• 1&1 Telecom GmbH, Elgendorfer Straße 57, 56410 Montabaur
Dabei handelt es sich neben personenbezogenen Daten wie Name, Adresse, Geburtsdatum, Mailadresse, Bankverbindung und Kundennummer um Angaben über die Laufzeit der Verträge, Zahlungsabwicklungen, Umsatzzahlen, sowie Angaben zu einer missbräuchlichen oder zweckwidrigen Nutzung regulierter EU-Roamingdienste. Es werden keine Verbindungsdaten abgerufen.
Die Drillisch Online AG wird im Falle nicht vertragsgemäßer Abwicklung (z.B. Kündigung wegen Zahlungsverzug, Betrugsverdacht) Auskünfte an diese Unternehmen zur Wahrung berechtigter Interessen Dritter weitergeben.
Rechtsgrundlagen dieser Übermittlungen sind Artikel 6 I b) und Artikel 6 I f) DSGVO. Übermittlungen auf der Grundlage von Artikel 6 I f) DSGVO erfolgen, soweit dies zur Wahrung berechtigter Interessen der Drillisch Online AG oder Dritter erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Geschäftskunden, Prepaid und Postpaid sowie Privatkunden, Prepaid:

Hinweise zum Datenaustausch mit Konzernunternehmen

Datenübermittlung im Konzern
Die Drillisch Online AG ruft zum Zweck der Bonitätsprüfung bei den folgenden Konzernunternehmen Daten, die im Zusammenhang mit Ihren Verträgen bei diesen Unternehmen gespeichert sind, ab:
• 1&1 Telecom GmbH, Elgendorfer Straße 57, 56410 Montabaur
Dabei handelt es sich neben personenbezogenen Daten wie Name, Adresse, Geburtsdatum, Mailadresse, Bankverbindung und Kundennummer um Angaben über die Laufzeit der Verträge, Zahlungsabwicklungen, Umsatzzahlen, sowie Angaben zu einer missbräuchlichen oder zweckwidrigen Nutzung regulierter EU-Roamingdienste. Es werden keine Verbindungsdaten abgerufen.
Die Drillisch Online AG wird im Falle nicht vertragsgemäßer Abwicklung (z.B. Kündigung wegen Zahlungsverzug, Betrugsverdacht) Auskünfte an diese Unternehmen zur Wahrung berechtigter Interessen Dritter weitergeben.
Rechtsgrundlagen dieser Übermittlungen sind Artikel 6 I b) und Artikel 6 I f) DSGVO. Übermittlungen auf der Grundlage von Artikel 6 I f) DSGVO erfolgen, soweit dies zur Wahrung berechtigter Interessen der Drillisch Online AG oder Dritter erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

SCHUFA-Information

1. Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten
SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Tel.: +49 (0) 6 11-92 78 0;
Der betriebliche Datenschutzbeauftragte der SCHUFA ist unter der o.g. Anschrift, zu Hd. Abteilung Datenschutz oder per E-Mail unter datenschutz@schufa.de erreichbar.

2. Datenverarbeitung durch die SCHUFA

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden

Die SCHUFA verarbeitet personenbezogene Daten, um berechtigten Empfängern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen zu geben. Hierzu werden auch Scorewerte errechnet und übermittelt. Sie stellt die Informationen nur dann zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben. Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung. Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DS-GVO informieren.

2.2 Rechtsgrundlagen für die Datenverarbeitung
Die SCHUFA verarbeitet personenbezogene Daten auf Grundlage der Bestimmungen der Datenschutz-Grundverordnung. Die Verarbeitung erfolgt auf Basis von Einwilligungen sowie auf Grundlage des Art. 6 Abs. 1 Buchstabe f DS-GVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DS-GVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

2.3 Herkunft der Daten
Die SCHUFA erhält ihre Daten von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert) ansässige Institute, Finanzunternehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z.B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energieversorgungs-, Telekommunikations-, Versicherungs-, oder Inkassobereich. Darüber hinaus verarbeitet die SCHUFA Informationen aus allgemein zugänglichen Quellen wie öffentlichen Verzeichnissen und amtlichen Bekanntmachungen (Schuldnerverzeichnisse, Insolvenzbekanntmachungen).

2.4 Kategorien personenbezogener Daten, die verarbeitet werden (Personendaten, Zahlungsverhalten und Vertragstreue)
- Personendaten, z.B. Name (ggf. auch vorherige Namen, die auf gesonderten Antrag beauskunftet werden), Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften
- Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z.B. Girokonten, Ratenkredite, Kreditkarten, Pfändungsschutzkonten, Basiskonten)
- Informationen über unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
- Informationen zu missbräuchlichem oder sonstigem betrügerischem Verhalten wie Identitäts- oder Bonitätstäuschungen
- Informationen aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen
- Scorewerte

2.5 Kategorien von Empfängern der personenbezogenen Daten
Empfänger sind im europäischen Wirtschaftsraum, in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbesch luss der Europäischen Kommission existiert) ansässige Vertragspartner gem. Ziffer 2.3. Weitere Empfänger können externe Auftragnehmer der SCHUFA nach Art. 28 DS-GVO sowie externe und interne SCHUFA-Stellen sein. Die SCHUFA unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.

2.6 Dauer der Datenspeicherung
Die SCHUFA speichert Informationen über Personen nur für eine bestimmte Zeit. Maßgebliches Kriterium für die Festlegung dieser Zeit ist die Erforderlichkeit. Für eine Prüfung der Erforderlichkeit der weiteren Speicherung bzw. die Löschung personenbezogener Daten hat die SCHUFA Regelfristen festgelegt. Danach beträgt die grundsätzliche Speicherdauer von personenbezogenen Daten jeweils drei Jahre taggenau nach deren Erledigung. Davon abweichend werden z.B. gelöscht:
- Angaben über Anfragen nach zwölf Monaten taggenau
- Informationen über störungsfreie Vertragsdaten über Konten, die ohne die damit begründete Forderung dokumentiert werden (z. B. Girokonten, Kreditkarten, Telekommunikationskonten oder Energiekonten), Informationen über Verträge, bei denen die Evidenzprüfung gesetzlich vorgesehen ist (z.B. Pfändungsschutzkonten, Basiskonten) sowie Bürgschaften und Handelskonten, die kreditorisch geführt werden, unmittelbar nach Bekanntgabe der Beendigung.
- Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungsgerichte nach drei Jahren taggenau, jedoch vorzeitig, wenn der SCHUFA eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen wird
- Informationen über Verbraucher-/Insolvenzverfahren oder Restschuldbefreiungsverfahren taggenau drei Jahre nach Beendigung des Insolvenzverfahrens oder Erteilung der Restschuldbefreiung. In besonders gelagerten Einzelfällen kann auch abweichend eine frühere Löschung erfolgen.
- Informationen über die Abweisung eines Insolvenzantrages mangels Masse, die Aufhebung der Sicherungsmaßnahmen oder über die Versagung der Restschuldbefreiung taggenau nach drei Jahren
- Personenbezogene Voranschriften bleiben taggenau drei Jahre gespeichert; danach erfolgt die Prüfung der Erforderlichkeit der fortwährenden Speicherung für weitere drei Jahre. Danach werden sie taggenau gelöscht, sofern nicht zum Zwecke der Identifizierung eine länger währende Speicherung erforderlich ist.

3. Betroffenenrechte
Jede betroffene Person hat gegenüber der SCHUFA das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO. Die SCHUFA hat für Anliegen von betroffenen Personen ein Privatkunden ServiceCenter eingerichtet, das schriftlich unter SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln, telefonisch unter +49 (0) 6 11-92 78 0 und über ein Internet-Formular unter www.schufa.de erreichbar ist. Darüber hinaus besteht die Möglichkeit, sich an die für die SCHUFA zuständige Aufsichtsbehörde, den Hessischen Datenschutzbeauftragten, zu wenden. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden.

Nach Art. 21 Abs. 1 DS-GVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, widersprochen werden. Der Widerspruch kann formfrei erfolgen und ist zu richten an
SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln.

4. Profilbildung (Scoring)
Die SCHUFA-Auskunft kann um sogenannte Scorewerte ergänzt werden. Beim Scoring wird anhand von gesammelten Informationen und Erfahrungen aus der Vergangenheit eine Prognose über zukünftige Ereignisse erstellt. Die Berechnung aller Scorewerte erfolgt bei der SCHUFA grundsätzlich auf Basis der zu einer betroffenen Person bei der SCHUFA gespeicherten Informationen, die auch in der Auskunft nach Art. 15 DS-GVO ausgewiesen werden. Darüber hinaus berücksichtigt die SCHUFA beim Scoring die Bestimmungen§ 31 BDSG. Anhand der zu einer Person gespeicherten Einträge erfolgt eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit ähnliche Einträge aufwiesen. Das verwendete Verfahren wird als „logistische Regression“ bezeichnet und ist eine fundierte, seit langem praxiserprobte, mathematisch-statistische Methode zur Prognose von Risikowahrscheinlichkeiten.
Folgende Datenarten werden bei der SCHUFA zur Scoreberechnung verwendet, wobei nicht jede Datenart auch in jede einzelne Scoreberechnung mit einfließt: Allgemeine Daten (z.B. Geburtsdatum, Geschlecht oder Anzahl im Geschäftsverkehr verwendeter Anschriften), bisherige Zahlungsstörungen, Kreditaktivität letztes Jahr, Kreditnutzung, Länge Kredithistorie sowie Anschriftendaten (nur wenn wenige personenbezogene kreditrelevante Informationen vorliegen). Bestimmte Informationen werden weder gespeichert noch bei der Berechnung von Scorewerten berücksichtigt, z.B.: Angaben zur Staatsangehörigkeit oder besondere Kategorien personenbezogener Daten wie ethnische Herkunft oder Angaben zu politischen oder religiösen Einstellungen nach Art. 9 DS-GVO. Auch die Geltendmachung von Rechten nach der DS-GVO, also z.B. die Einsichtnahme in die bei der SCHUFA gespeicherten Informationen nach Art. 15 DS-GVO, hat keinen Einfluss auf die Scoreberechnung.
Die übermittelten Scorewerte unterstützen die Vertragspartner bei der Entscheidungsfindung und gehen dort in das Risikomanagement ein. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit erfolgt allein durch den direkten Geschäftspartner, da nur dieser über zahlreiche zusätzliche Informationen – zum Beispiel aus einem Kreditantrag – verfügt. Dies gilt selbst dann, wenn er sich einzig auf die von der SCHUFA gelieferten Informationen und Scorewerte verlässt. Ein SCHUFA-Score alleine ist jedenfalls kein hinreichender Grund einen Vertragsabschluss abzulehnen.
Weitere Informationen zum Kreditwürdigkeitsscoring oder zur Erkennung auffälliger Sachverhalte sind unter www.scoring-wissen.de erhältlich.

Information gem. Art. 14 EU-DSGVO über die infoscore Consumer Data GmbH („ICD“)

1. Name und Kontaktdaten der ICD (verantwortliche Stelle) sowie des betrieblichen Datenschutzbeauftragten
infoscore Consumer Data GmbH, Rheinstr. 99, 76532 Baden-Baden
Der betriebliche Datenschutzbeauftragte der ICD ist unter der o.a. Anschrift, zu Hd. Abteilung Datenschutz, oder per E-Mail unter: datenschutz@arvato-infoscore.de erreichbar.

2. Zwecke der Datenverarbeitung der ICD
Die ICD verarbeitet und speichert personenbezogene Daten, um ihren Vertragspartnern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen sowie zur Prüfung der Erreichbarkeit von Personen unter den von diesen angegebenen Adressen zu geben. Hierzu werden auch Wahrscheinlichkeits- bzw. Scoringwerte errechnet und übermittelt. Solche Auskünfte sind notwendig und erlaubt, um das Zahlungsausfallrisiko z.B. bei einer Kreditvergabe, beim Rechnungskauf oder bei Abschluss eines Versicherungsvertrages vorab einschätzen zu können. Die Datenverarbeitung und die darauf basierenden Auskunftserteilungen der ICD dienen gleichzeitig der Bewahrung der Auskunftsempfänger vor wirtschaftlichen Verlusten und schützen Verbraucher gleichzeitig vor der Gefahr der übermäßigen Verschuldung. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, zur Risikosteuerung, zur Festlegung von Zahlarten oder Konditionen sowie zur Tarifierung.

3. Rechtsgrundlagen für die Datenverarbeitung der ICD
Die ICD ist ein Auskunfteiunternehmen, das als solches bei der zuständigen Datenschutzaufsichtsbehörde gemeldet ist. Die Verarbeitung der Daten durch die ICD erfolgt auf Basis einer Einwilligung gemäß Art. 6 Abs. 1a i.V.m. Art. 7 Datenschutzgrundverordnung (DSGVO) oder auf Grundlage des Art. 6 Abs. 1 f DSGVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern die Interessen und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Die ICD stellt ihren Vertragspartnern die Informationen nur dann zur Verfügung, wenn eine Einwilligung des Betroffenen vorliegt oder von den Vertragspartnern ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist.Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit wirtschaftlichem Risiko gegeben (z.B. Rechnungskauf, Kreditvergabe, Abschluss eines Mobilfunk-, Festnetz- oder Versicherungsvertrages).

4. Kategorien der personenbezogenen Daten der ICD
Von der ICD werden personenbezogene Daten (Name, Vorname, Geburtsdatum, Anschrift, frühere Anschriften), Informationen zum vertragswidrigen Zahlungsverhalten (siehe auch Ziff. 5), zu Schuldnerverzeichniseintragungen, (Privat-) Insolvenzverfahren und zur (Nicht-)Erreichbarkeit unter der angegebenen Adresse sowie entsprechende Scorewerte verarbeitet bzw. gespeichert.
5. Herkunft der Daten der ICD
Die Daten der ICD stammen aus den amtlichen Insolvenzveröffentlichungen sowie den Schuldnerverzeichnissen, die bei den zentralen Vollstreckungsgerichten geführt werden. Dazu kommen Informationen von Vertragspartnern der ICD über vertragswidriges Zahlungsverhalten basierend auf gerichtlichen sowie außergerichtlichen Inkassomaßnahmen. Darüber hinaus werden personenbezogene Daten (Name, Vorname, Geburtsdatum, Anschrift, frühere Anschriften) aus den Anfragen von Vertragspartnern der ICD gespeichert.

6. Kategorien von Empfängern der personenbezogenen Daten der ICD
Empfänger sind ausschließlich Vertragspartner der ICD. Dies sind insbesondere Unternehmen, die ein wirtschaftliches Risiko tragen und ihren Sitz im europäischen Wirtschaftsraum, in Großbritannien und in der Schweiz haben. Es handelt sich dabei im Wesentlichen um Versandhandels- bzw. eCommerce-, Telekommunikations- und Versicherungsunternehmen, Finanzdienstleister (z.B. Banken, Kreditkartenanbieter), Energieversorgungs- und Dienstleistungsunternehmen. Darüber hinaus gehören zu den Vertragspartnern der ICD Unternehmen, die Forderungen einziehen, wie etwa Inkassounternehmen, Abrechnungsstellen oder Rechtsanwälte.

7. Dauer der Datenspeicherung der ICD
Die ICD speichert Informationen über Personen nur für eine bestimmte Zeit, nämlich solange, wie deren Speicherung i.S.d. Art. 17 Abs. 1 lit. a) DSGVO notwendig ist. Die bei ICD zur Anwendung kommenden Prüf- und Löschfristen entsprechen einer Selbstverpflichtung (Code of Conduct) der im Verband „Die Wirtschaftsauskunfteien e.V.“ zusammengeschlossenen Auskunfteiunternehmen.
• Informationen über fällige und unbestrittene Forderungen bleiben gespeichert, so lange deren Ausgleich nicht bekannt gegeben wurde; die Erforderlichkeit der fortwährenden Speicherung wird jeweils taggenau nach vier Jahren überprüft. Wird der Ausgleich der Forderung bekannt gegeben, erfolgt eine Löschung der personenbezogenen Daten taggenau drei Jahre danach.
• Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungsgerichte (Eintragungen nach § 882c Abs. 1 Satz 1 Nr. 1 – 3 ZPO) werden taggenau nach drei Jahren gelöscht, jedoch vorzeitig, wenn der ICD eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen wird.
• Informationen über Verbraucher-/Insolvenzverfahren oder Restschuldbefreiungsverfahren werden taggenau drei Jahre nach Beendigung des Insolvenzverfahrens oder nach Erteilung oder Versagung der Restschuldbefreiung gelöscht.
• Informationen über die Abweisung eines Insolvenzantrages mangels Masse, die Aufhebung der Sicherungsmaßnahmen oder über die Versagung der Restschuldbefreiung werden taggenau nach drei Jahren gelöscht.
• Angaben über Anfragen werden spätestens taggenau nach drei Jahren gelöscht.
• Voranschriften bleiben taggenau drei Jahre gespeichert; danach erfolgt die Prüfung der Erforderlichkeit der fortwährenden Speicherung für weitere drei Jahre. Danach werden sie taggenau gelöscht, sofern nicht zum Zwecke der Identifizierung eine länger währende Speicherung erforderlich ist.

8. Betroffenenrechte gegenüber der ICD
Jede betroffene Person hat gegenüber der ICD das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO. Darüber hinaus besteht die Möglichkeit, sich an die für die ICD zuständige Aufsichtsbehörde -Der Landesdatenschutzbeauftragte für den Datenschutz Baden-Württemberg, Königstr. 10a, 70173 Stuttgart- zu wenden. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DSGVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

Nach Art. 21 Abs. 1 DSGVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, gegenüber der ICD widersprochen werden.

Sofern Sie wissen wollen, welche Daten die ICD zu Ihrer Person gespeichert und an wen sie welche Daten übermittelt hat, teilt Ihnen die ICD das gerne im Rahmen einer -unentgeltlichen- schriftlichen Selbstauskunft mit. Die ICD bittet um Ihr Verständnis, dass sie aus datenschutzrechtlichen Gründen keinerlei telefonische Auskünfte erteilen darf, da eine eindeutige Identifizierung Ihrer Person am Telefon nicht möglich ist. Um einen Missbrauch des Auskunftsrechts durch Dritte zu vermeiden, benötigt die ICD folgende Angaben von Ihnen: Name (ggf. Geburtsname), Vorname(n), Geburtsdatum, Aktuelle Anschrift (Straße, Hausnummer, Postleitzahl und Ort), ggf. Voranschriften der letzten fünf Jahre (dies dient der Vollständigkeit der zu erteilenden Auskunft)
Wenn Sie –auf freiwilliger Basis– eine Kopie Ihres Ausweises beifügen, erleichtern Sie der ICD die Identifizierung Ihrer Person und vermeiden damit mögliche Rückfragen. Sie können die Selbstauskunft auch via Internet unter https://www.arvato.com/finance/de/verbraucher/selbstauskunft/selbstauskunft-anfordern.html beantragen.

9. Profilbildung/Profiling/Scoring
Die ICD-Auskunft kann um sogenannte Scorewerte ergänzt werden. Beim Scoring der ICD wird anhand von Informationen und Erfahrungen aus der Vergangenheit eine Prognose insbesondere über Zahlungswahrscheinlichkeiten erstellt. Das Scoring basiert primär auf Basis der zu einer betroffenen Person bei der ICD gespeicherten Informationen. Anhand dieser Daten, von adressbezogenen Daten sowie von Anschriftendaten erfolgt auf Basis mathematisch-statistischer Verfahren (insbes. Verfahren der logistischen Regression) eine Zuordnung zu Personengruppen, die in der Vergangenheit ähnliches Zahlungsverhalten aufwiesen.
Folgende Datenarten werden bei der ICD für das Scoring verwendet, wobei nicht jede Datenart auch in jede einzelne Berechnung mit einfließt: Daten zum vertragswidrigen Zahlungsverhalten (siehe Ziff. 4. u. 5.), zu Schuldnerverzeichnis-Eintragungen und Insolvenzverfahren (siehe Ziff. 4. u. 5.), Geschlecht und Alter der Person, adressbezogene Daten (Bekanntsein des Namens bzw. des Haushalts an der Adresse, Anzahl bekannter Personen im Haushalt (Haushaltsstruktur), Bekanntsein der Adresse), Anschriftendaten (Informationen zu vertragswidrigem Zahlungsverhalten in Ihrem Wohnumfeld (Straße/Haus)), Daten aus Anfragen von Vertragspartnern der ICD.
Besondere Kategorien von Daten i.S.d. Art. 9 DSGVO (z.B. Angaben zur Staatsangehörigkeit, ethnischen Herkunft oder zu politischen oder religiösen Einstellungen) werden von ICD weder gespeichert noch bei der Berechnung von Wahrscheinlichkeitswerten berücksichtigt. Auch die Geltendmachung von Rechten nach der DSGVO, also z.B. die
Einsichtnahme in die bei der ICD gespeicherten Informationen nach Art. 15 DSGVO, hat keinen Einfluss auf das Scoring.
Die ICD selbst trifft keine Entscheidungen über den Abschluss eines Rechtsgeschäfts oder dessen Rahmenbedingungen (wie z.B. angebotene Zahlarten), sie unterstützt die ihr angeschlossenen Vertragspartner lediglich mit ihren Informationen bei der diesbezüglichen Entscheidungsfindung. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit sowie die darauf basierende Entscheidung erfolgt allein durch Ihren Geschäftspartner.

Information nach Art. 14 EU-DSGVO der CRIF Bürgel GmbH

1. Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten
CRIF Bürgel GmbH, Radlkoferstraße 2, 81373 München,
Tel.: +49 40 89803-0
Der betriebliche Datenschutzbeauftragte der CRIF Bürgel GmbH ist unter der o. g. Anschrift, zu Hd. Abteilung Datenschutz oder per E-Mail unter datenschutz@buergel.de erreichbar.

2. Datenverarbeitung durch die CRIF Bürgel GmbH

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der CRIF Bürgel GmbH oder einem Dritten verfolgt werden

Die CRIF Bürgel GmbH verarbeitet personenbezogene Daten, um berechtigten Empfängern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen zu geben. Hierzu werden auch Scorewerte errechnet und übermittelt. Die CRIF Bürgel GmbH stellt die Informationen nur dann zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben. Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Geldwäscheprävention, Identitätsprüfung, Anschriftenermittlung, Kundenbetreuung, Risikosteuerung und zum Direktmarketing. Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die CRIF Bürgel GmbH gemäß Art. 14 Abs. 4 DS-GVO informieren.

2.2 Rechtsgrundlagen für die Datenverarbeitung
Die CRIF Bürgel GmbH verarbeitet personenbezogene Daten auf Grundlage der Bestimmungen der Datenschutz-Grundverordnung. Die Verarbeitung erfolgt auf Basis von Einwilligungen sowie auf Grundlage des Art. 6 Abs. 1 Buchstabe f DS-GVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,überwiegen. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben.Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DS-GVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

2.3 Herkunft der Daten
Die CRIF Bürgel GmbH erhält ihre Daten von ihren Vertragspartnern. Dies sind im Europäischen Wirtschaftsraum oder in der Schweiz ansässige Unternehmen aus den Bereichen Handel, Dienstleistung, Vermietung, Energieversorgung, Telekommunikation, Versicherung oder Inkasso sowie Kreditinstitute, Finanz- und Zahlungsdienstleister und weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der CRIF Bürgel GmbH nutzen. Darüber hinaus verarbeitet die CRIF Bürgel GmbH Informationen aus allgemein zugänglichen Quellen wie öffentlichen Verzeichnissen und amtlichen Bekanntmachungen (Handelsregister, Schuldnerverzeichnisse, Insolvenzbekanntmachungen).

2.4 Kategorien personenbezogener Daten, die verarbeitet werden
• Personendaten, z. B. Name (ggf. auch vorherige Namen, die auf gesonderten Antrag beauskunftet werden), Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften
• Informationen über unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
• Hinweise auf missbräuchliches oder sonstiges betrügerisches Verhalten wie Identitäts- oder Bonitätstäuschungen im Zusammenhang mit Verträgen über Telekommunikationsleistungen oder Verträgen mit Kreditinstituten oder Finanzdienstleistern (Kredit- oder Anlageverträge, Girokonten)
• Informationen aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen
• Wahrscheinlichkeitswerte

2.5 Kategorien von Empfängern der personenbezogenen Daten
Empfänger sind Vertragspartner der in Ziffer 2.3 genannten Branchen. Die Übermittlung von Daten in Länder außerhalb des Europäischen Wirtschaftsraumes erfolgt gemäß den Anforderungen der Europäischen Kommission. Weitere Empfänger können Auftragnehmer der CRIF Bürgel GmbH nach Art. 28 DS-GVO sein.

2.6 Dauer der Datenspeicherung
Die CRIF Bürgel GmbH speichert Informationen über Personen nur für eine bestimmte Zeit.
Maßgebliches Kriterium für die Festlegung dieser Zeit ist die Erforderlichkeit. Im Einzelnen sind die Speicherfristen in einem Code of Conduct des Verbandes „Die Wirtschaftsauskunfteien e. V.“ festgelegt. Danach beträgt die grundsätzliche Speicherdauer von personenbezogenen Daten jeweils drei Jahre auf den Tag genau nach deren Erledigung. Davon abweichend werden z. B. gelöscht:
• Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungsgerichte nach drei Jahren auf den Tag genau, jedoch vorzeitig, wenn der CRIF Bürgel GmbH eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen wird.
• Informationen über Verbraucher-/Insolvenzverfahren oder Restschuldbefreiungsverfahren auf den Tag genau drei Jahre nach Beendigung des Insolvenzverfahrens oder Erteilung der Restschuldbefreiung. In besonders gelagerten Einzelfällen kann auch abweichend eine frühere Löschung erfolgen.
• Informationen über die Abweisung eines Insolvenzantrags mangels Masse, die Aufhebung der Sicherungsmaßnahmen oder über die Versagung der Restschuldbefreiung auf den Tag genau nach drei Jahren.
• Voranschriften bleiben auf den Tag genau drei Jahre gespeichert; danach erfolgt die Prüfung der Erforderlichkeit der fortwährenden Speicherung für weitere drei Jahre. Danach werden sie auf den Tag genau gelöscht, sofern nicht zum Zwecke der Identifizierung eine länger währende Speicherung erforderlich ist.

3. Betroffenenrechte
Jede betroffene Person hat gegenüber der CRIF Bürgel GmbH das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO. Darüber hinaus besteht die Möglichkeit, sich an die für die CRIF Bürgel GmbH zuständige Aufsichtsbehörde, das Bayerische Landesamt für Datenschutzaufsicht zu wenden. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden.

Nach Art. 21 Abs. 1 DS-GVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, widersprochen werden. Der Widerspruch kann formfrei erfolgen und ist zu richten an die CRIF Bürgel GmbH, Datenschutz, Radlkoferstraße 2, 81373 München.

4. Profilbildung (Scoring)
Vor Geschäften mit einem wirtschaftlichen Risiko möchten Geschäftspartner möglichst gut einschätzen können, ob den eingegangenen Zahlungsverpflichtungen nachgekommen werden kann. Durch die Auskunft und mittels sogenannter Wahrscheinlichkeitswerte unterstützt die CRIF Bürgel GmbH Unternehmen bei der Entscheidungsfindung und hilft dabei, alltägliche (Waren-)Kreditgeschäfte rasch abzuwickeln.
Hierbei wird anhand von gesammelten Informationen und Erfahrungen aus der Vergangenheit eine Prognose über zukünftige Ereignisse erstellt. Die Berechnung der Wahrscheinlichkeitswerte erfolgt bei der CRIF Bürgel GmbH primär auf Basis der zu einer betroffenen Person bei der CRIF Bürgel GmbH gespeicherten Informationen, die auch in der Auskunft gemäß Art. 15 DSGVO ausgewiesen werden. Zudem finden Anschriftendaten Verwendung. Anhand der zu einer Person gespeicherten Einträge und der sonstigen Daten erfolgt eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit ein ähnliches Zahlungsverhalten aufwiesen. Das verwendete Verfahren wird als „logistische Regression“ bezeichnet und ist eine fundierte, seit Langem praxiserprobte, mathematisch-statistische Methode zur Prognose von Risikowahrscheinlichkeiten.
Folgende Daten werden bei der CRIF Bürgel GmbH zur Scoreberechnung verwendet, wobei nicht jede Datenart auch in jede einzelne Scoreberechnung mit einfließt: Geburtsdatum, Geschlecht, Warenkorbwert, Anschriftendaten und Wohndauer, bisherige Zahlungsstörungen, öffentliche Negativmerkmale wie Nichtabgabe der Vermögensauskunft, Gläubigerbefriedigung ausgeschlossen, Gläubigerbefriedigung nicht nachgewiesen, Inkassoverfahren und Inkassoüberwachungsverfahren.
Die CRIF Bürgel GmbH selbst trifft keine Entscheidungen, sie unterstützt die ihr angeschlossenen Vertragspartner lediglich mit ihren Informationen bei der Entscheidungsfindung. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit erfolgt allein durch den direkten Geschäftspartner, da nur dieser über zahlreiche zusätzliche Informationen verfügt. Dies gilt auch dann, wenn er sich allein auf die Informationen und Wahrscheinlichkeitswerte der CRIF Bürgel GmbH verlässt.