noyb heeft een overwinning behaald in zijn klachtenprocedure tegen het Oostenrijkse kredietinformatiebureau KSV1870 en de energieleverancier Unsere Wasserkraft. De Oostenrijkse gegevensbeschermingsautoriteit heeft de volledig geautomatiseerde kredietbeoordeling van KSV1870 - waardoor de klager geen contract voor energielevering kon afsluiten - onwettig bevonden. De DSB heeft KSV1870 ook verboden om in de toekomst dergelijke kredietcontroles uit te voeren zonder toestemming van de klager. Last but not least heeft de toezichthouder de twee bedrijven ook berispt voor hun gebrek aan transparantie. Ze moeten nu ook een begrijpelijke uitleg geven over de beslissingen die ze hebben genomen.
Klacht tegen onrechtmatige kredietscores. Ongeveer een jaar geleden, heeft noyb een klacht ingediend tegen KSV1870 en de energieleverancier Unsere Wasserkraft bij de Oostenrijkse autoriteit voor gegevensbescherming (DSB). De klager, vertegenwoordigd door noybwerd ongevraagd onderworpen aan een volledig geautomatiseerde kredietbeoordeling door KSV1870. Dit leidde tot een - eveneens volledig geautomatiseerde - weigering van Unsere Wasserkraft om een contract te sluiten met de betrokkene. Dit alles gebeurde zonder dat de potentiële klant hiervan op de hoogte werd gesteld. De GDPR maakt ondubbelzinnig duidelijk dat volledig geautomatiseerde beslissingen met dergelijke verstrekkende gevolgen in het algemeen verboden zijn (met slechts enkele uitzonderingen).
Business as usual ondanks duidelijke uitspraak HvJEU. Met betrekking tot geautomatiseerde kredietratings door kredietinformatiebureaus, heeft het HvJEU in 2023 al duidelijk gemaakt dat een dergelijke praktijk onwettig is. In zijn uitspraak in een zaak tegen het Duitse kredietinformatiebureau SCHUFA stelde het Hof dat als bedrijven de resultaten van een kredietbeoordeling gebruiken als doorslaggevende factor bij hun beslissingen, deze kredietbeoordeling wordt beschouwd als een verboden beslissing onder artikel 22 GDPR. Alleen als aan speciale voorwaarden is voldaan - zoals de uitdrukkelijke toestemming van de betrokkene - zou een dergelijk besluit toelaatbaar zijn.
Martin Baumann, advocaat gegevensbescherming bij noyb: "Hopelijk helpen de bevindingen van het DSB om een einde te maken aan illegale praktijken in de kredietbeoordelingssector. Enkele jaren geleden heeft het HvJEU al duidelijk gemaakt dat volledig geautomatiseerde ratings in deze vorm ontoelaatbaar zijn. Dit moet nu eindelijk in de praktijk worden gebracht
DSB vaardigt verwerkingsverbod uit. De DSB heeft nu verduidelijkt dat de acties van KSV1870 in strijd zijn met het verbod op geautomatiseerde individuele besluitvorming en dat het kredietinformatiebureau niet heeft voldaan aan de respectieve transparantieverplichtingen. Opmerkelijk is dat de DSB KSV niet alleen heeft opgedragen om een begrijpelijke uitleg te geven over de (onrechtmatige) credit rating. De autoriteit heeft ook een verbod uitgevaardigd om in de toekomst zonder toestemming van de klager geautomatiseerde kredietcontroles uit te voeren met behulp van zijn gegevens.
Martin Baumann, advocaat gegevensbescherming bij noyb: "We zijn blij met de harde actie van de DSB in deze zaak. Het toont aan dat bedrijven grondig moeten controleren of de geautomatiseerde beslissingen die ze nemen verenigbaar zijn met het fundamentele recht op gegevensbescherming
Niet-transparant gedrag door energieleverancier. Het DSB berispte ook de aanpak van energieleverancier Unsere Wasserkraft. In verband met de volledig geautomatiseerde afwijzing van de klager schond de leverancier zijn transparantieverplichtingen. Als Unsere Wasserkraft de kredietwaardigheid van zijn potentiële klanten wil blijven beoordelen, moet het de relevante processen aanpassen om ze in overeenstemming te brengen met de toepasselijke wetgeving inzake gegevensbescherming.
De beslissing van het DSB is niet definitief; noyb verwacht dat de verantwoordelijken voor de verwerking hiertegen in beroep zullen gaan.
