En undersökning av dataflödena hos det österrikiska kreditinstitutet CRIF har kastat ytterligare ljus över frågan: de flesta adressuppgifterna i CRIF-databasen kommer från adressmäklarna AZ Direct (Bertelsmann Group), Compass-Verlag och DPIT i Wien. Men varifrån får dessa adresshandlare sina uppgifter? En ny noyb utvärdering med över 2.400 drabbade personer visar att de använder sig av offentliga register som bolags- och fastighetsregister, föreningsregister och Business Information System (GISA) som infördes 2015. Compass listar även handelskammaren (WKO) som en datakälla. Det är dock fortfarande oklart varifrån AZ Direct (CRIF:s största dataleverantör) får sina uppgifter. AZ Direct säger att man inte vet varifrån man fått uppgifterna om 7 miljoner människor i Österrike.
Uppgifter hämtade från offentliga register. Kreditupplysningsföretaget CRIF hämtar merparten av sina adressuppgifter från adressmäklarna AZ Direct, Compass-Verlag och DPIT. Tack vare begäran om tillgång för de över 2 400 deltagarna i CRIF-projektet vet vi nu att de tre adressmäklarna i första hand använder offentliga register som lagfarts- och bolagsregistret, föreningsregistret och handelsregistret.
Max Schrems, ordförande i noyb: "Naturligtvis är dessa register faktiskt inte avsedda att tillfredsställa datamäklarnas önskningar, utan att bevisa rättigheter, ägande och representationsbefogenheter."
Fastighetsregister, handelsregister, ZVR, GISA och WKO. Compass-Verlag uppger ofta att det har inhämtat uppgifter från handelsregistret, föreningsregistret (ZVR) och handelsregistret (GISA). Handelskammaren (WKO) förekommer också som källa och vidarebefordrar uppenbarligen uppgifter från sina egna medlemmar. Samtidigt uppger DPIT att man har tillgång till fastighetsregistret, handelsregistret och handelsregistret. Detta innebär att varje egenföretagare, varje fastighetsägare och varje person som är aktiv i en förening potentiellt kan registreras. Det är dock inte information om fastigheter eller affärsverksamhet som används för kreditvärderingsändamål. Istället används endast namn, födelsedatum och adresser.
Max Schrems: "Offentliga register används som adressböcker, inte för sitt egentliga syfte att tillhandahålla ekonomiska eller juridiska bevis. I slutändan används de ekonomiskt relevanta uppgifterna inte alls för kreditbedömning - det handlar bara om masterdata."
Regeringen gör ingenting för att bekämpa "skrapning" av offentliga register? Offentliga register är oumbärliga i en väladministrerad rättsstat (t.ex. för att kontrollera om någon har en affärslicens eller är ägare till en fastighet). Förr i tiden var man tvungen att göra detta manuellt. Tack vare digitaliseringen finns de flesta register nu också tillgängliga online - men uppenbarligen ofta utan tillräckligt skydd mot storskalig "skrapning". Det verkar saknas grundläggande skyddsåtgärder som captchas, begränsningar av antalet sökningar per IP-adress eller villkor som tydligt anger att uppgifterna endast får användas för särskilda ändamål (t.ex. för att verifiera en affär, äganderätt eller representationsrätt).
Max Schrems: "Österrike saknar tydliga tekniska och rättsliga bestämmelser för att förhindra massskrapning för andra ändamål. Alla som försöker skydda sin egen integritet blir för närvarande "uthängda" av staten - och företag samlar in dessa uppgifter i stor skala. Det är hög tid att politikerna sätter stopp för detta missbruk genom tekniska begränsningar av sökningar och tydliga ändamålsbegränsningar. Vi upprätthåller inte föreningsregistret för reklambranschen eller för datahandlare."
Lagen är tydlig: offentliga register är föremål för "ändamålsbegränsning". Det är inte bara uppenbart att denna kommersiella återanvändning inte ligger i allmänhetens intresse, den bryter också mot GDPR-principen om "ändamålsbegränsning" i Artikel 5.1 b i dataskyddsförordningen. Den österrikiska dataskyddsmyndigheten (DSB) har i fråga om lagfartsregistret redan beslutat att t.ex. vidare bearbetning för reklamändamål strider mot dataskyddsförordningen. Det välkända EU-domstolens beslut om "rätten att bli bortglömd gällde också lagligt publicerade uppgifter, som dock inte helt enkelt kunde återanvändas av Google Search.
Max Schrems: "Bara för att data är allmänt tillgängliga betyder det inte att de kan användas för vilket syfte som helst. Du kan inte bara filma människor på en allmän gata för dina egna syften."
AZ Direct: 7 miljoner dataposter utan källa? Samtidigt avslöjar AZ Direct, som ingår i den stora tyska Bertelsmann-koncernen, ett helt annat problem: trots sin lagstadgade skyldighet att tillhandahålla information har adressåterförsäljaren inte avslöjat specifika datakällor för nästan någon av de 2.400 deltagarna. AZ Direct har dock sålt sammanlagt mer än 7 miljoner dataposter till CRIF. Det är för närvarande helt oklart varifrån CRIF:s största dataleverantör får sin information - vilket också gör det omöjligt att utöva sina GDPR-rättigheter.
Max Schrems: "Det är helt löjligt att ett dotterbolag till Bertelsmann, som har privata uppgifter om 7 miljoner människor i Österrike, inte vet varifrån uppgifterna kommer. För närvarande kan ett dataset som innehåller nästan alla i Österrike komma från vilken källa som helst - de drabbade har ingen möjlighet att kontrollera om källorna är lagliga."
Vägen till grupptalan: Detaljerad utvärdering nästan slutförd. noyb fortsätter att arbeta med en detaljerad utvärdering av de kreditpoäng som erhållits från de 2 400 deltagarna. Tillsammans med en professor i finansiell matematik jämförs de mer än 28.000 poäng som erhållits med de faktiska finansiella uppgifterna för de drabbade för att ta reda på om CRIF-poängen är statistiskt korrekta. För närvarande tyder allt på att CRIF-poängen har lite att göra med den faktiska individuella ekonomiska situationen och inte ger en tillförlitlig riskbedömning för personer som alltid betalar sina räkningar. För dessa 90% av befolkningen baseras poängen i stort sett bara på ålder, kön och adress. Ytterligare resultat väntas under de kommande veckorna. Därefter kommer noyb att besluta om man ska lämna in en större grupptalan mot CRIF, som sannolikt kommer att påverka miljontals människor. I händelse av olaglig behandling av personuppgifter kan varje berörd person ha rätt till relevanta skadeståndsanspråk.
