Die Übermittlung personenbezogener Daten ist zulässig, sofern der KUNDE als Empfänger ein berechtigtes Interesse an den personenbezogenen Daten glaubhaft dargelegt hat. Bei Anfragen nutzt der KUNDE daher die in der Anlage M „Merkmalsliste“ aufgeführten Anfragemerkmale zur Dokumentation seines jeweils berechtigten Interesses am Erhalt der konkreten Auskunft über einen Betroffenen. Liegt ein solches berechtigtes Interesse im Sinne eines der zur Verfügung stehenden Anfragemerkmale bei einer konkreten Anfrage nicht vor, darf keine Anfrage erfolgen.
Der KUNDE versichert, dass er die übermittelten Daten ausschließlich für den Zweck verarbeitet, zu dessen Erfüllung sie ihm übermittelt werden. Die Verarbeitung für andere Zwecke ist nur unter den Voraussetzungen der Datenschutz-Grundverordnung (DSGVO) zulässig. Der KUNDE verpflichtet sich, der Informationsverpflichtung gegenüber der betroffenen Person gemäß Artikeln 13, 14 DSGVO selbst und eigenverantwortlich nachzukommen. Er weist seine eigenen Kunden in hinreichender Weise gemäß den Anforderungen von Artikel 12 DSGVO auf die Erhebung und Verarbeitung von deren personenbezogenen Daten hin. Darüber hinaus verpflichtet sich der KUNDE, die Informationspflicht von CRIF gemäß Artikel 14 DSGVO zu übernehmen.
Hierbei ist der nachfolgende oder ein inhaltsgleicher – gegebenenfalls angepasster – Hinweistext im Rahmen der Kundenkommunikation (z. B. spezieller Datenschutzhinweis auf der Website in einem Kaufprozess, Aufdruck auf Antragsformular oder Bestellschein) zu verwenden. Die Information muss so erfolgen, dass sie von der betroffenen Person zur Kenntnis genommen wird und im Nachhinein gemäß Artikel 5 Absatz 2 DSGVO zweifelsfrei nachgewiesen werden kann:
„Wir übermitteln im Rahmen dieses Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung und die Durchführung dieser Geschäftsbeziehung sowie Daten über nicht vertragsgemäßes Verhalten an die CRIF GmbH, Leopoldstraße 244, 80807 München. Rechtsgrundlagen dieser Übermittlung sind Artikel 6 Absatz 1 Satz 1 Buchstabe b und Buchstabe f der Datenschutzgrundverordnung (DSGVO). Der Datenaustausch mit der CRIF GmbH dient auch der Erfüllung gesetzlicher Pflichten zur Durchführung von Kreditwürdigkeitsprüfungen (§§ 505a und 506 des Bürgerlichen Gesetzbuches). Die CRIF GmbH verarbeitet die erhaltenen Daten und verwendet sie auch zum Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Die Übermittlung von personenbezogenen Daten in Drittländer erfolgt gemäß Art. 44 ff. DSGVO. Nähere Informationen zur Tätigkeit der CRIF GmbH können deren Informationsblatt entnommen oder online unter www.crif.de/datenschutz eingesehen werden.“
Erläuterungen zu der vorgenannten Klausel:
Satz 1: Der Verweis auf die Durchführung einer Geschäftsbeziehung ist nur dann relevant, sofern der KUNDE ein Monitoring Produkt bezieht. Der Verweis auf nicht vertragsgemäßes Verhalten ist nur dann relevant, wenn der Kunde einmeldet.
Satz 2 und Satz 3: Die Rechtsgrundlagen der Übermittlung müssen zwingend genannt werden.
Satz 4: Der Verweis auf Scoring, Übermittlung an Drittländer und der Link zum Datenschutzhinweis der CRIF muss zwingend genannt werden.
Bei Einbettung des vorstehenden Hinweistextes in eine Website des KUNDEN ist die Verlinkung auf das bei CRIF hinterlegte Informationsblatt auf die URL www.crif.de/datenschutz auszugestalten. In schriftlichen Unterlagen sind sowohl der im vorangegangenen Absatz formulierte kurze Informationstext als auch das ausführliche Informationsblatt gemäß Artikel 14 DSGVO – welches unter dem oben genannten Link zu finden ist und diesem Vertrag als Anlage I „Informationsblatt gemäß Artikel 14 DSGVO“ beigefügt ist – in der jeweils aktuellen Fassung zu verwenden. Bei einem Vertragsabschluss unter Anwesenden müssen alle Informationen des Hinweistextes und des Informationsblattes in der konkreten Situation verfügbar sein.
Der KUNDE weist CRIF die vertraglich vereinbarte Umsetzung der Informationspflichten bei Vertragsschluss in geeigneter Form (z. B. Screenshot, Link auf die Datenschutzhinweise des KUNDEN) nach. Ohne diesen Nachweis erfolgt kein Zugang zum Abrufverfahren (z. B. durch Freischaltung des Accounts oder Aktivierung der Schnittstelle).