noyb heeft een rechtszaak aangespannen tegen het kredietinformatiebureau CRIF GmbH en de adressenhandelaar AZ Direct. De bedrijven verhandelen in het geheim de adresgegevens van bijna elke volwassene in Oostenrijk. Op die manier verkrijgt CRIF informatie die eigenlijk voor reclamedoeleinden werd verzameld - om kredietratings te berekenen. Zoals de Oostenrijkse autoriteit voor gegevensbescherming heeft bevestigd in twee besluitenis dit in strijd met de GDPR. noyb eist nu onder andere een voorlopige voorziening en schadevergoeding.
Schending van gegevensbescherming als bedrijfsmodel. De adressenhandelaar AZ Direct (onderdeel van de Bertelsmann Group) verstrekt regelmatig persoonlijke gegevens zoals naam, adres, geboortedatum en geslacht van Oostenrijkers aan het kredietinformatiebureau CRIF. Dit is illegaal, omdat adresuitgevers deze gegevens alleen mogen delen voor advertentiedoeleinden. In werkelijkheid gebruikt CRIF de gegevens echter om de (vermeende) kredietwaardigheid van mensen te berekenen. Dit kan verstrekkende gevolgen hebben, zoals het afwijzen van contracten of slechtere voorwaarden bij het verstrekken van leningen.
De onwettige handel in gegevens ging gewoon door. De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft in twee besluiten (naar aanleiding van een noyb-klacht ) bevestigd dat deze praktijk onwettig is: de geheime gegevenshandel is niet verenigbaar met het gegevensbeschermingsbeginsel van doelbinding en vindt plaats zonder passende rechtsgrondslag in overeenstemming met de GDPR. Ondanks dit duidelijke standpunt heeft de autoriteit nog geen maatregelen genomen om de illegale gegevensverwerking te stoppen. noyb heeft daarom namens zeven getroffen personen een rechtszaak aangespannen bij de regionale rechtbank voor burgerlijke zaken in Wenen.
Max Schrems, voorzitter van noyb: "AZ Direct en CRIF blijven illegaal profiteren van de gegevens van miljoenen mensen in Oostenrijk - en de gegevensbeschermingsautoriteit heeft tot nu toe niets gedaan om deze illegale handel in gegevens definitief te stoppen. We zien daarom geen andere optie dan ons tot de civiele rechter te wenden."
Bevel, schadevergoeding en teruggave van de verrijking geëist. Het doel van de rechtszaak is het verkrijgen van een gerechtelijk bevel. Het moet CRIF en AZ Direct verboden worden om door te gaan met de illegale gegevensverwerking. Daarnaast eist noyb een immateriële schadevergoeding voor de betrokkenen van wie de gegevens jarenlang heimelijk en onrechtmatig zijn verwerkt. Last but not least hebben de twee bedrijven zich onrechtmatig verrijkt door de gegevensverwerking. CRIF en AZ Direct moeten daarom uitleggen hoeveel geld ze per betrokkene hebben verdiend en dit geld vervolgens overhandigen.
Max Schrems: "CRIF en AZ Direct verhandelen miljoenen gegevensrecords achter de rug van de betrokkenen om, zonder de noodzakelijke toestemming te verkrijgen. Wij zijn ervan overtuigd dat hier een passende schadevergoeding moet worden toegekend."
Slechts de eerste stap. De rechtszaak met zeven gedupeerden is nog maar het begin. CRIF beschikt over de gegevens van miljoenen mensen in Oostenrijk, waarvan de meeste afkomstig zijn van adresuitgevers zoals AZ Direct. In de meeste gevallen weten de betrokkenen hier niets van, omdat noch AZ Direct noch CRIF hun informatieplicht volgens de wet op de gegevensbescherming nakomen.
Max Schrems: "Uit de procedure voor de toezichthoudende autoriteit weten we dat AZ Direct de gegevens van meer dan 7 miljoen mensen in Oostenrijk heeft gedeeld met CRIF. Al deze mensen hebben de mogelijkheid om juridische stappen te ondernemen tegen de onrechtmatige verwerking. We onderzoeken momenteel de mogelijkheden om dergelijke claims in te dienen in een class action procedure."
Maak gebruik van uw rechten! Ook jij kunt te weten komen of CRIF jouw gegevens onrechtmatig heeft verzameld bij een adresuitgever zoals AZ Direct. Dien hiervoor een verzoek om informatie in conform artikel 15 GDPR bij CRIF(auskunft@crif.com) en vraag in het bijzonder naar de herkomst van de verwerkte gegevens. Let op: CRIF houdt bepaalde consumentengegevens systematisch achter; het kan nodig zijn om dit op te volgen. Meer informatie vindt u hier. CRIF is verplicht u alle informatie uiterlijk binnen een maand te verstrekken.
