Az osztrák CRIF hitelügynökségnél végzett adatáramlás vizsgálata további fényt derített a kérdésre: a CRIF adatbázisában szereplő címadatok többsége az AZ Direct (Bertelsmann csoport), a Compass-Verlag és a bécsi DPIT címközvetítőktől származik. De honnan szerzik be ezek a címkereskedők az adataikat? Egy új noyb több mint 2400 érintett személy bevonásával végzett értékelés azt mutatja, hogy olyan nyilvános nyilvántartásokhoz férnek hozzá, mint a cég- és telekkönyvek, az egyesületi nyilvántartás és a 2015-ben bevezetett üzleti információs rendszer (GISA). Az iránytű a kereskedelmi kamarát (WKO) is adatforrásként sorolja fel. Az azonban továbbra sem világos, hogy az AZ Direct (a CRIF legnagyobb adatszolgáltatója) honnan szerzi az adatait. Az AZ Direct azt állítja, hogy nem tudja, honnan szerezte be az Ausztriában élő 7 millió emberre vonatkozó adatokat.
Nyilvános nyilvántartásokból származó adatok. A CRIF hitelügynökség a címadatok nagy részét az AZ Direct, a Compass-Verlag és a DPIT címközvetítőktől szerzi be. A CRIF projekt több mint 2400 résztvevője nevében benyújtott hozzáférési kérelmeknek köszönhetően most már tudjuk: a három címközvetítő elsősorban olyan nyilvános nyilvántartásokat használ, mint az anyakönyvtár és a cégjegyzék, az egyesületi nyilvántartás és a kereskedelmi nyilvántartás.
Max Schrems, a noyb: "Természetesen ezek a nyilvántartások valójában nem az adatbrókerek vágyainak kielégítésére szolgálnak, hanem a jogosultságok, a tulajdonjog és a képviseleti jogosultságok igazolására."
A telekkönyv, a kereskedelmi nyilvántartás, a ZVR, a GISA és a WKO. Konkrétan a Compass-Verlag gyakran állítja, hogy a kereskedelmi nyilvántartásból, az egyesületi nyilvántartásból (ZVR) és a kereskedelmi nyilvántartásból (GISA) szerzett adatokat. A kereskedelmi kamara (WKO) szintén forrásként szerepel, és nyilvánvalóan saját tagjaitól származó adatokat ad át. Eközben a DPIT azt állítja, hogy hozzáfér a telekkönyvhöz, a kereskedelmi nyilvántartáshoz és a kereskedelmi nyilvántartáshoz. Ez azt jelenti, hogy minden önálló vállalkozót, minden ingatlantulajdonost és minden egyesületben tevékenykedő személyt potenciálisan nyilvántartásba vettek. A hitelminősítéshez azonban nem az ingatlanokra vagy üzleti tevékenységekre vonatkozó információkat használják fel. Ehelyett csak neveket, születési dátumokat és címeket használnak fel.
Max Schrems: "A közhiteles nyilvántartásokat címjegyzékként használják, nem pedig tényleges céljuk, hogy gazdasági vagy jogi bizonyítékot szolgáltassanak. Végeredményben a gazdaságilag releváns adatokat egyáltalán nem használják fel a hitelminősítéshez - csak a törzsadatokról van szó."
A kormány nem tesz semmit a közhiteles nyilvántartások "lekaparása" ellen? A közhiteles nyilvántartások nélkülözhetetlenek egy jól működő jogállamban (pl. annak ellenőrzéséhez, hogy valaki rendelkezik-e vállalkozói engedéllyel vagy egy ingatlan tulajdonosa-e). A múltban ezt kézzel kellett elvégezni. A digitalizációnak köszönhetően a legtöbb nyilvántartás ma már online is elérhető - de nyilvánvalóan gyakran nem megfelelő védelemmel a nagymértékű "feltörés" ellen. Úgy tűnik, hiányoznak az olyan alapvető védelmi intézkedések, mint a captchák, az IP-címenkénti lekérdezési korlátozások vagy olyan feltételek, amelyek egyértelműen előírják, hogy az adatok csak meghatározott célokra (pl. a kereskedelem, a tulajdonjog vagy a képviseleti jog ellenőrzése) használhatók fel.
Max Schrems: "Ausztriában nincsenek egyértelmű technikai és jogi előírások, amelyek megakadályoznák a tömeges, más célú adatgyűjtést. Bárki, aki megpróbálja megvédeni a saját magánéletét, jelenleg az állam "kiteszi" - és a vállalatok nagy mennyiségben gyűjtik ezeket az adatokat. Legfőbb ideje, hogy a politikusok technikai lekérdezési korlátokkal és egyértelmű célkorlátozásokkal megfékezzék ezt a visszaélést. Nem vezetünk egyesületi nyilvántartást sem a reklámipar, sem az adatkereskedők számára"
A törvény egyértelmű: a közhiteles nyilvántartásokra "célhoz kötöttség" vonatkozik. Nemcsak az nyilvánvaló, hogy ez a kereskedelmi célú újrafelhasználás nem szolgálja a közérdeket, hanem a GDPR "célhoz kötöttség" elvét is sérti, amennyiben A GDPR 5. cikke (1) bekezdésének b) pontját. Az osztrák adatvédelmi hatóság (DSB) már döntött az Okmányirodával kapcsolatban, hogy például a reklámcélú további feldolgozás sérti a GDPR-t. A jól ismert EUB-határozat az "elfeledtetéshez való jogról" szintén jogszerűen közzétett adatokra vonatkozott, amelyeket azonban a Google Search nem tudott egyszerűen újra felhasználni.
Max Schrems: "Csak azért, mert az adatok nyilvánosan hozzáférhetők, még nem jelenti azt, hogy bármilyen célra felhasználhatók. Nem filmezhetsz egyszerűen embereket egy nyilvános utcán a saját céljaidra"
AZ Direct: 7 millió adatrekord forrás nélkül? Eközben a nagy német Bertelsmann csoporthoz tartozó AZ Direct egy egészen más problémát tár fel: a címkereskedő a törvényi tájékoztatási kötelezettsége ellenére a 2400 résztvevő közül szinte egyetlen egy esetében sem közölt konkrét adatforrást. Az AZ Direct azonban összesen több mint 7 millió adatrekordot adott el a CRIF-nek. Jelenleg teljesen tisztázatlan, hogy a CRIF legnagyobb adatszolgáltatója honnan szerzi az adatait - ami szintén lehetetlenné teszi a GDPR szerinti jogok gyakorlását.
Max Schrems: "Teljesen nevetséges, hogy a Bertelsmann leányvállalata, amely 7 millió ausztriai ember magánadataival rendelkezik, nem tudja, honnan származnak az adatok. Jelenleg az Ausztriában szinte mindenkit tartalmazó adathalmaz bármilyen forrásból származhat - az érintetteknek nincs módjuk ellenőrizni, hogy a források jogszerűek-e."
Út a csoportos keresethez: A részletes értékelés majdnem befejeződött. noyb továbbra is dolgozik a 2400 résztvevőtől kapott hitelpontok részletes értékelésén. Egy pénzügyi matematika professzorral közösen összehasonlítják a több mint 28 000 beérkezett pontszámot az érintettek tényleges pénzügyi adataival, hogy kiderüljön, a CRIF-pontszámok statisztikailag megalapozottak-e. Jelenleg minden jel arra utal, hogy a CRIF-pontszámnak kevés köze van a tényleges egyéni pénzügyi helyzethez, és nem nyújt megbízható kockázatértékelést azok számára, akik mindig fizetik a számláikat. A lakosság ezen 90%-a esetében a pontszám lényegében csak az életkoron, a nemen és a lakcímen alapul. További eredmények a következő hetekben várhatóak. Ezt követően a noyb eldönti, hogy indít-e nagyobb csoportos keresetet a CRIF ellen, amely valószínűleg több millió embert érint. A személyes adatok jogellenes feldolgozása esetén minden egyes érintett személy jogosult lehet a vonatkozó kártérítési igényekre.
