Het vaak bekritiseerde kredietinformatiebureau CRIF GmbH heeft zonder toestemming of enige andere wettelijke basis adressen, geboortedata en namen van bijna alle Oostenrijkers verzameld om "kredietwaardigheidswaarden" te berekenen. De Oostenrijkse gegevensbeschermingsautoriteit (DPA) heeft nu in een proefproces geoordeeld dat deze gegevens illegaal zijn verwerkt. Miljoenen gegevensrecords moeten worden verwijderd.
- Besluit van de gegevensbeschermingsautoriteit (Duits)
- Autotranslated besluit (Engels)
- Link naar de testcase van noyb
Uitgever van adressen geeft illegaal persoonlijke gegevens aan kredietinformatiebureau. De meeste kerngegevens (naam, adres, geboortedatum, geslacht) die CRIF gebruikt om twijfelachtige "kredietwaardigheidswaarden" te berekenen, zijn afkomstig van de adresuitgever AZ Direkt (die deel uitmaakt van de Duitse Bertelsmann Group). AZ Direct mag deze gegevens alleen doorgeven voor marketingdoeleinden - niet voor kredietwaardigheidsberekeningen. Desondanks kwamen de gegevens van miljoenen Oostenrijkers (bijna de gehele inwonende bevolking) onrechtmatig terecht bij CRIF GmbH voor kredietbeoordelingsdoeleinden. noyb heeft een proefproces aangespannen over deze problematische aanpak en heeft nu gewonnen.
"De GDPR bepaalt dat gegevens alleen voor specifieke doeleinden mogen worden gebruikt. Je kunt niet zomaar marketinggegevens verkopen aan een kredietbeoordelingsbureau. De DSB heeft ons nu in het gelijk gesteld. Miljoenen mensen in Oostenrijk worden hierdoor getroffen." - Max Schrems, voorzitter van noyb.
Miljoenen mensen zonder betalingsproblemen geregistreerd en "gescoord". Met behulp van AZ Direct heeft CRIF gegevens van miljoenen Oostenrijkers, kent iedereen een "kredietscore" toe en verkoopt die informatie aan bedrijven. Veel providers van mobiele telefonie, online winkels en banken gebruiken deze gegevens om meer te weten te komen over hun klanten.
"De CRIF-database biedt op aanvraag adressen en geboortedata van bijna elke Oostenrijker. Voor weinig geld wordt ook een twijfelachtige 'kredietscore' berekend. Klanten krijgen geen gsm- of elektriciteitscontract als hun score te laag is. Als de bank deze score gebruikt, moet men misschien hogere aflossingen voor leningen betalen. Wij vinden dat er alleen gegevens moeten worden verzameld van mensen die duidelijk in gebreke blijven - niet van de hele bevolking." - Max Schrems, voorzitter van noyb
Verbod & Beroep verwacht. Deze beslissing gaat over een individuele betrokkene en stelt alleen dat de gegevensverwerking niet rechtmatig was. De verwerking werd echter niet verboden door de Oostenrijkse gegevensbeschermingsautoriteit - de autoriteit verwijst naar een algemeen officieel verbod, dat nog in behandeling is. noyb verwacht dat CRIF in beroep zal gaan tegen deze beslissing, aangezien het een grote klap is tegen hun bedrijfsmodel. Een succesvol beroep is echter onwaarschijnlijk.
Getroffenen kunnen bewijs verzamelen en informatie over hun eigen gegevens opvragen bij CRIF. Het is ook mogelijk dat er in de toekomst schadevergoeding moet worden betaald. Dit hangt af van de uitspraak van het Hof van Justitie in een andere zaak, waarover binnenkort wordt beslist.
"We raden aan om een gratis kopie van je gegevens op te vragen bij CRIF voor bewijsdoeleinden. Binnenkort kan duidelijk worden of men ook een schadevergoeding krijgt voor de onrechtmatige gegevensverwerking. Hier wachten we echter nog op andere uitspraken." - Max Schrems, voorzitter van noyb.
CRIF zwaar onder druk. noyb heeft momenteel verschillende lopende zaken tegen CRIF: voor de intrasparente en foutgevoelige berekening van de kredietwaardigheidsscores, voor het ontbreken van een wettelijke basis voor het opslaan van de gegevens van miljoenen mensen in Oostenrijk, en onrechtmatige gegevensbronnen. Op dit punt herhaalt de geschiedenis zich: f CRIF was al betrokken bij een schandaal over illegale gegevensoverdracht van justitie in de jaren 2000 (toen nog onder de naam "Deltavista").