Det ofta kritiserade kreditupplysningsföretaget CRIF GmbH har samlat in adresser, födelsedatum och namn på nästan alla österrikare för att beräkna "kreditvärdighetsvärden" utan samtycke eller någon annan rättslig grund. Den österrikiska dataskyddsmyndigheten (DPA) har nu i ett testfall slagit fast att dessa uppgifter har behandlats olagligt. Miljontals dataposter måste raderas.
Adressutgivare lämnar olagligt ut personuppgifter till kreditupplysningsföretag. De flesta av de kärnuppgifter (namn, adress, födelsedatum, kön) som CRIF använder för att beräkna tvivelaktiga "kreditvärdighetsvärden" kom från adressutgivaren AZ Direkt (som tillhör den tyska Bertelsmann-koncernen). AZ Direkt får endast vidarebefordra dessa uppgifter för marknadsföringsändamål - inte för kreditvärdighetsberäkningar. Ändå hamnade uppgifterna om miljontals österrikare (nästan hela den bofasta befolkningen) olagligt hos CRIF GmbH för kreditupplysningsändamål. noyb har lämnat in ett testfall om detta problematiska tillvägagångssätt och har nu vunnit.
"GDPR föreskriver att uppgifter endast får användas för specifika ändamål. Du kan inte bara sälja marknadsföringsdata till ett kreditupplysningsföretag. DSB har nu visat att vi har rätt. Miljontals människor i Österrike påverkas av detta." - Max Schrems, ordförande för noyb.
Miljontals människor utan betalningsproblem registreras och "poängsätts". Med hjälp av AZ Direct har CRIF uppgifter om miljontals österrikare, tilldelar alla en "kreditvärdighet" och säljer informationen till vilket företag som helst. Många mobiltelefonoperatörer, nätbutiker och banker använder dessa uppgifter för att ta reda på mer om sina kunder.
"CRIF-databasen erbjuder adresser och födelsedatum för nästan alla österrikare på begäran. För en billig penning beräknas också en tvivelaktig "kreditvärdighet". Kunderna får inget mobiltelefon- eller elavtal om deras poäng är för låg. Man kan bli tvungen att betala högre amorteringar på lån om banken använder sig av denna poäng. Vi anser att uppgifter endast bör samlas in från personer med uppenbara betalningsförsummelser - inte från hela befolkningen." - Max Schrems, ordförande för noyb
Förbud och överklagande väntas. Detta beslut gäller en enskild registrerad och anger endast att databehandlingen inte var laglig. Behandlingen förbjöds dock inte av den österrikiska dataskyddsmyndigheten - myndigheten hänvisar till ett allmänt officiellt förbud, som fortfarande är under behandling. noyb förväntar sig att CRIF kommer att överklaga detta beslut eftersom det är ett stort slag mot deras affärsmodell. En framgångsrik överklagan är dock osannolik.
De som drabbas kan samla bevis och begära information om sina egna data från CRIF. Skadestånd kan också komma att behöva betalas i framtiden. Detta beror på EU-domstolens beslut i ett annat mål, som kommer att avgöras inom kort.
"Vi rekommenderar att man får en gratis kopia av sina uppgifter från CRIF för bevisändamål. Det kan snart komma att klargöras om man också får ersättning för den olagliga databehandlingen. Här väntar vi dock fortfarande på andra domar." - Max Schrems, ordförande i noyb.
CRIF under stark press. noyb har för närvarande flera pågående ärenden mot CRIF: för den inkonsekventa och felbenägna beräkningen av kreditvärdighetspoängen, för att det inte finns någon rättslig grund för att lagra uppgifter om miljontals människor i Österrike och för olagliga datakällor. Här upprepar sig historien: f CRIF var redan på 2000-talet inblandat i en skandal om olaglig dataöverföring från rättsväsendet (då fortfarande under namnet "Deltavista").
