Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Sind die Geschäfte zwischen dem Datenhändler Acxiom und der Scoring-Firma CRIF datenschutzkonform? Darüber muss der Hessische Datenschutzbeauftragte entscheiden. Weil die Nichtregierungsorganisation noyb weitere Informationen zu dem Verfahren einfordert, geht der Databroker juristisch gegen die Aufsichtsbehörde vor.
Verfahren gegen Datenhändler: Kein Aktenzugang für noyb? – Public Domain Midjourney / a file cabinet sealed with barrier tapeDie Nichtregierungsorganisation noyb wirft dem Datenhändler Acxiom Verfahrensverzögerung vor. Im Frühjahr hatte sie im Fall einer laufenden Beschwerde gegen Acxiom Akteneinsicht bei der zuständigen Behörde beantragt, dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Der Adresshändler reagierte mit einer einstweiligen Unterlassungsverfügung gegen die Behörde, um jede Art von Akteneinsicht durch die NGO zu verhindern.
Hintergrund der Auseinandersetzung ist ein Verfahren, das noyb vor zwei Jahren gegen die Kreditauskunftei CRIF und den Datenhändler Acxiom angestrengt hatte. Die Privacy-Organisation wirft CRIF vor, massenhaft Namen, Geburtsdaten und Adressen von Millionen Deutschen bei Acxiom einzukaufen, einem der größten Databroker der Welt. Obwohl die Daten ursprünglich für Marketingzwecke von Acxioms Kunden erhoben worden seien, nutze CRIF sie dazu, um deren Kreditwürdigkeit zu beurteilen.
Das geschehe in der Regel ohne Einwilligung der Betroffenen, diese würden nicht einmal über die Verarbeitung ihrer Daten informiert. „Die Kreditwürdigkeit von Millionen Menschen heimlich und mit Hilfe von Daten eines Adresshändlers zu berechnen, ist ein Paradebeispiel für unrechtmäßige Datenverarbeitung unter der DSGVO“, kritisiert Marco Blocher, Datenschutzjurist bei noyb. „Die Verarbeitung erfolgt im Geheimen, zieht eine unrechtmäßige Änderung des Verarbeitungszwecks nach sich – und ihr fehlt schlichtweg die Rechtsgrundlage.“
noyb sieht Klage als SLAPP
Ausgelöst wurde die Untersuchung der hessischen Aufsichtsbehörde, weil eine betroffene Person gemeinsam mit noyb Beschwerde gegen Acxiom eingelegt hatte. Grundsätzlich gewährt das hessische Datenschutzrecht den Beteiligten in solchen Fällen Akteneinsicht – zumindest solange kein Rechtsgrund dagegen spricht, etwa der Schutz von Geschäftsgeheimnissen. Tatsächlich hatte Acxiom selbst ebenfalls Akteneinsicht beantragt und diese gewährt bekommen.
Die Hessische Datenschutzbehörde bestätigt auf Anfrage, dass Acxiom gerichtlich gegen die Akteneinsicht vorgeht und eine einstweilige Verfügung vorliegt. Weiter möchte sich die Behörde zu dem Fall jedoch nicht äußern, da in der Sache derzeit ein Verfahren beim Verwaltungsgericht laufe.
noyb wertet in einer Pressemitteilung das Agieren des Datenhändlers offen als strategisches Vorgehen, um das Verfahren und die Arbeit von noyb zu behindern. Die Klage gegen die Behörde sei „eine SLAPP-ähnliche Maßnahme“, so noyb. SLAPP steht für „Strategic Lawsuit Against Public Participation“ und meint strategische Gerichtsverfahren, die sich gegen die Beteiligung der Öffentlichkeit richten. „Durch die Einreichung missbräuchlicher Anträge in Kombination mit den abschreckenden Kosten und der Komplexität von Gerichtsverfahren sowie der häufigen Überlastung der Gerichte sollen Einzelpersonen und NGOs wie noyb davon abgehalten werden, Unternehmen zur Verantwortung zu ziehen.“
Zwei Jahre Stillstand?
Tatsache ist, dass Acxiom und CRIF ihre Geschäftsmodelle weiterverfolgen, solange das Verfahren läuft. Erst im Frühjahr dieses Jahres hatte die österreichische Datenschutzbehörde in einem vergleichbaren Fall erhebliche Datenschutzverstöße festgestellt. Auch dieses Verfahren war von noyb angestoßen worden, auch damals ging es um Datenkäufe der Firma CRIF. Allerdings hatte die Firma in Österreich die Daten vom Adresshändler AZ Direct erworben, einem Tochterunternehmen von Bertelsmann.
NOYB übt in diesem Zusammenhang auch deutliche Kritik an den Datenschutzbehörden in Hessen und Bayern. Letztere ist für das Verfahren gegen CRIF zuständig. Seit zwei Jahren herrsche „Stillstand“, so die Nichtregierungsorganisation.
Diesen Vorwurf will die Hessische Datenschutzbehörde nicht auf sich sitzen lassen. Eine Sprecherin der Behörde teilt auf Anfrage mit: „Nachdem dem zuständigen Referat zwei weitere Mitarbeiter zugeordnet werden konnten, wurde die Prüfung in der zweiten Hälfte 2022 intensiviert und von Acxiom um Stellungnahme und Vorlage von Unterlagen gebeten.“ Seitdem erfolge ein reger Austausch mit den Rechtsanwält:innen von Acxiom. „Verzögert wurde der Verlauf des Verfahrens dabei einerseits durch zeitweise personelle Engpässe vonseiten des HBDI und andererseits durch die wechselhafte Kooperationsbereitschaft vonseiten der verantwortlichen Stelle.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Ingo Dachwitz