Efter ett initiativ av noybbegärde mer än 2.400 berörda personer ut sina uppgifter från kreditupplysningsföretaget CRIF och har nu fått dem. En utvärdering av noyb visar att många välkända österrikiska företag, som Erste Bank, Verbund och Drei, utvärderar sina kunder med hjälp av CRIF-data. Vissa företag, som T-Mobile, online-återförsäljaren Otto och försäkringsbolaget Allianz, verkar också tillhandahålla sina kunddata till CRIF. Den första utvärderingen av över 40.000 frågor med mer än 28.000 överförda poäng visar också att män får betydligt sämre betyg än kvinnor. Människor i städer får lägre poäng än människor på landsbygden. noyb kommer att genomföra detaljerade analyser under de kommande veckorna för att utvärdera den individuella noggrannheten i CRIF-poängen.
Källor för data: Tre stora adressutgivare. CRIF:s adressdata kommer huvudsakligen från tre adressutgivare: AZ Direct (en del av Bertelsmann Group), Compass Verlag och DPIT i Wien. Enligt § 151 i den österrikiska handelslagen och flera domstolsbeslut får adressutgivare endast sälja dessa adresser för marknadsföringsändamål. Trots detta hamnar de hos CRIF och ligger till grund för CRIF:s kreditvärdering. Om den olagliga överföringen av adressuppgifter skulle upphöra skulle CRIF i morgon eventuellt behöva radera uppgifterna för nästan alla som bor i Österrike. För att ta reda på var de ovan nämnda adressutgivarna fick uppgifterna om alla i Österrike har noyb nu också skickat dem åtkomstbegäran på uppdrag av de 2 440 deltagarna. Förutom de tre stora adresshandlarna framstår även telekom, banker och energileverantörer som källor till adressuppgifter i mindre skala. Här verkar CRIF-kunderna själva inte kunna förklara hur uppgifterna hamnar hos CRIF, enligt de första förfrågningarna.
Max Schrems: "Även enligt gällande rättspraxis är CRIF:s databehandling byggd på sand. Myndigheterna har blundat och låtit CRIF behandla uppgifter om de 90 procent av befolkningen som alltid har betalat sina räkningar."
"Verifiering av uppgifter": Banker och telekomföretag lämnar information till CRIF. Till noybs förvåning förekommer företag som T-Mobile, Drei, bank99, Allianz och Klarna också som källor för "verifiering" av adresser och data. Detta är särskilt problematiskt eftersom t.ex. telekomleverantörer och banker enligt lag är skyldiga att identifiera kunder med ID. När dessa uppgifter i slutändan hamnar hos CRIF går de långt utöver vad som krävs enligt lag för att identifiera kontoinnehavare eller mobiltelefonkunder. I direkta diskussioner har dessa företag alltid hävdat att de inte förser CRIF med några uppgifter, utan bara hämtar dem. Det är möjligt att denna ytterligare användning av data sker bakom ryggen på banker och telekombolag. noyb kommer nu att kontakta dessa företag för att få ytterligare klargöranden. Det är fortfarande oklart om dessa företag är medvetna om att detta sker.
Max Schrems:"Det som är nytt är att till exempel T-Mobile och Drei också levererar sina kunddata till CRIF för identitetsverifiering. Detta är särskilt knepigt eftersom du måste identifiera dig med ID hos mobiloperatörer eller banker. Dessa verifierade uppgifter hamnar sedan hos CRIF. noyb undersöker nu om detta kan vara lagligt på något sätt."
Finansiell information: Endast ett fåtal inkassouppgifter. CRIF har uppgifter om betalningshistorik för cirka 10 % av befolkningen i Österrike. Det rör sig mest om inkassokrav - även sådana som har betalats sedan länge. CRIF lagrar också betalda fordringar i upp till 7 år om de överstiger 20 euro. Insolvenser förekommer endast i 15 fall av 2 440 testpersoner - förmodligen för att dessa uppgifter enligt EU-domstolens rättspraxis nu måste raderas efter ett år.
Max Schrems:"Det verkar som om CRIF nu raderar insolvenser efter ett år. Sena betalningar av små belopp lagras dock i sju år. Vi kan inte förstå logiken bakom varför insolvenser raderas snabbt, men inte sena betalningar."
Klarna är CRIF:s största kund. Baserat på de 40.000 dataposter som finns tillgängliga verkar den svenska betalningsleverantören Klarna vara CRIF:s största kund. Försäkringsbolaget Allianz och den lyxiga nätbutiken Breuninger finns också bland de största användarna, följt av Erste Bank, den kanadensiska verifieringsleverantören Trulioo, kreditkortsleverantören card complete, TF Bank och bank99. Bland energileverantörerna verkar MaxEnergy, Energie AG och Verbund utvärdera sina kunder på regelbunden basis. Många förfrågningar är dock svåra att förklara: till exempel har fastighetsbolag eller advokatbyråer ibland fått tillgång till uppgifter om registrerade personer trots att det inte fanns något kreditavtal eller köp på konto. Det verkar också förekomma "förebyggande" förfrågningar. Vid första anblicken verkar det som om vissa företag använder dem som en slags "bakgrundskontroll" - utan att egentligen ha en giltig anledning till att göra en förfrågan. noyb kommer därför att ställa mer detaljerade frågor till de berörda och CRIF:s kunder för att ta reda på mer om deras affärsrelation med CRIF.
Max Schrems: "Vid första anblicken verkar vissa frågor inte nödvändigtvis vara berättigade. Vi frågar nu våra mer än 2 400 deltagare om de har lagt märke till några olagliga frågor i sina uppgifter. Det kan vara så att vissa CRIF-kunder själva har brutit mot GDPR."
Poäng: kön, ålder och adress. De 28.000 poängen visar att kvinnor tenderar att få högre poäng än män (547 mot 522). Geografiska mönster är också tydliga. Städerna Wien (523), Graz (519) och Linz (513) har lägre genomsnittspoäng än resten av Österrike (530), även om det finns betydande skillnader inom städerna. Åldern verkar dock ha störst inverkan: i genomsnitt ökar poängen med cirka 2,6 poäng per levnadsår.
Max Schrems:"Även med mer än 28.000 poäng verkar det fortfarande tydligt att för de flesta av de drabbade är poängen främst baserad på adressdata. Ålder och kön verkar bara ha en liten inverkan på poängen."
noyb ber deltagarna om ytterligare tips. För att samla in ytterligare information om CRIF:s och dess partnerföretags praxis uppmanar noyb alla 2 440 deltagare att rapportera eventuella avvikelser i sina åtkomstförfrågningar. För detta ändamål har noyb också publicerat en detaljerad beskrivning av alla tillgängliga datafält.
Max Schrems: "Ide flesta fall har de som berörs bäst information om vad som kan ha varit åtkomligt eller vad som kan vara felaktigt. Vi har därför uppmanat alla deltagare att kontrollera sina uppgifter och rapportera eventuella inkonsekvenser till oss. Vi ser fram emot att se vad detta kommer att visa
Detaljerad utvärdering under de kommande veckorna . noyb kommer nu att arbeta med en professor i finansiell matematik för att jämföra de mer än 28.000 poängen med de faktiska finansiella uppgifterna för de drabbade för att ta reda på om CRIF-poängen är statistiskt tillförlitliga. För närvarande tyder allt på att CRIF-poängen har lite eller inget att göra med den faktiska individuella ekonomiska situationen. Ytterligare resultat väntas under de kommande veckorna. Efter det kommer noyb också att besluta om att lämna in en större grupptalan mot CRIF. Om personuppgifter har behandlats olagligt kan de drabbade mycket väl ha rätt till relevanta skadeståndsanspråk.
Uppdatering med anledning av CRIF:s uttalande:
Trots påståenden om "felaktig " information i detta pressmeddelande bekräftar CRIF alla uttalanden som gjorts av noyb:
- De företag som nämns av noyb är en del av CRIF-nätverket
- Data tillhandahålls till CRIF av adressmäklare och även vissa CRIF-kunder
- CRIF genererar kreditpoäng trots att man enligt egen utsago "inte har någon information om inkomster och tillgångar".
Max Schrems: "I grund och botten råder det ingen oenighet om vad CRIF och dess samarbetspartner gör. CRIF:s pressmeddelande innehåller ingen substantiell kritik
