noyb kann einen Etappensieg in den Verfahren gegen die Kreditauskunftei CRIF und den Adresshändler Acxiom in Deutschland verzeichnen. Die Unternehmen treiben rechtswidrigen Handel mit personenbezogenen Daten von Millionen Deutschen. Vor etwas mehr als zwei Jahren hatte noyb deshalb eine Beschwerde eingereicht. Nun hat die bayerische Datenschutzbehörde entschieden, dass CRIF die zugekauften Daten zweckentfremdet – und damit gegen europäisches Datenschutzrecht verstoßen hat. Die hessische Behörde hat unterdessen einen Antrag von Acxiom, noyb jegliche Akteneinsicht zu verwehren, abgeschmettert.

Hintergrund: Heimlicher, illegaler Datenhandel. Die Kreditauskunftei CRIF kauft permanent personenbezogene Daten wie die Namen, Adressen und Geburtsdaten von Millionen Deutschen beim Adresshändler Acxiom und nutzt sie, um deren Kreditwürdigkeit zu bewerten. Der Handel passiert heimlich und ohne die Einwilligung oder einer Benachrichtigung der Betroffenen. Gemäß dem DSGVO-Grundsatz der Zweckbindung dürfen jedoch für Marketingzwecke erhobene Daten nur mit ausdrücklicher Einwilligung für das Kreditscoring verwendet werden. Dadurch verstoßen beide Unternehmen gegen europäisches Datenschutzrecht.

Datenhandel für illegal erklärt. Dieser Einschätzung hat sich nun auch die zuständige bayerische Datenschutzbehörde angeschlossen: CRIF hat die Daten des Beschwerdeführers entgegen dem Grundsatz der Zweckbindung verarbeitet und zudem die Pflicht verletzt, ihn über die Erhebung seiner Daten bei Acxiom zu informieren. Aber nicht nur das: Die Behörde hält fest, dass die Auskunftei ein Auskunftsersuchen des Beschwerdeführers unvollständig beantwortet und falsche Angaben gemacht hat.

Max Schrems, Vorsitzender von noyb„Die deutschen Behörden haben lange genug dabei zugesehen, wie sich CRIF klammheimlich an den Daten von Millionen Deutschen bereichert. Dass die bayerische Datenschutzbehörde den Datenhandel mit Acxiom nun für illegal erklärt hat, ist ein guter erster Schritt. Es braucht klare Konsequenzen für Wirtschaftsauskunfteien, die glauben über dem Gesetz zu stehen.“

Generelles Verbot wird geprüft. Mit ihrer Entscheidung schließt sich die bayerische Behörde einer Entscheidung der österreichischen Datenschutzbehörde (DSB) vom März 2023 an. In einem noyb-Verfahren gegen den österreichischen Ableger von CRIF entschied die DSB damals, dass der heimliche Datenhandel zwischen Auskunfteien und Adresshändlern die DSGVO verletzt und daher illegal ist. Darauf aufbauend hat noyb unlängst auch Klage gegen CRIF Österreich eingereicht. Die bayerische Behörde führt derzeit noch ein weiteres Verfahren gegen CRIF Deutschland, in dem ein generelles Verbot des Datenzukaufs bei Adresshändlern wie Acxiom geprüft wird.

Verfahrensverzögerung durch Acxiom. Das Verfahren gegen Acxiom (geführt von der hessischen Datenschutzbehörde) hinkt mehrere Monate hinterher. Der Adresshändler hat versucht, Akteneinsicht durch den Beschwerdeführer gerichtlich zu verhindern. Dadurch kam das ganze Verfahren zum Stillstand – was Acxiom die Fortführung seines illegalen Datenhandels ermöglicht hat. Das Gericht hat Acxioms Antrag nun zur Gänze als unzulässig abgelehnt.

noyb