None Of Your Business: Florierender Datenhandel erhält Gegenwind aus Bayern

Die Datenschutzorganisation None Of Your Business freut sich über einen Etappensieg: Der bayerischen Datenschutzbehörde zufolge habe die Kreditauskunftei CRIF personenbezogene Daten zweckentfremdet und somit die Datenschutz-Grundverordnung verletzt. Der Bescheid könnte ein weiterer Schritt in Richtung Grundsatzurteil sein.

Der heimliche Handel mit Namen, Adressen und Geburtsdaten erhält einen Dämpfer. So habe die Kreditauskunftei CRIF vom Adresshändler Acxiom gelieferte Daten zweckentfremdet und illegal für das Errechnen von Kreditscores verwendet, berichtet die Nichtregierungsorganisation NOYB unter Berufung auf die bayerische Datenschutzbehörde. Damit hätten beide Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Aus Sicht von NOYB stellt dies einen Etappensieg in dem seit Jahren laufenden Verfahren dar.

Schon im Jahr 2021 hatte sich die NGO in einem vergleichbaren Fall über die zwielichtigen Datengeschäfte beschwert. Sie wirft Adresshändlern wie Acxiom oder AZ Direct vor, Millionen Datenpunkte von Menschen ohne Rechtsgrundlage an die Kreditauskunftei CRIF verkauft zu haben. Diese habe die Daten letztlich verwendet, um die Kreditwürdigkeit von Kund:innen zu bewerten, ohne die Betroffenen zu benachrichtigen. Ursprünglich waren die Daten für Marketingzwecke erhoben worden, eine Weiterverwendung für beispielsweise Scoring würde gegen den Grundsatz der Zweckbindung verstoßen.

NOYB wertet die Entscheidung aus Bayern als wichtigen Schritt in Richtung einer Grundsatzentscheidung. „Die deutschen Behörden haben lange genug dabei zugesehen, wie sich CRIF klammheimlich an den Daten von Millionen Deutschen bereichert“, sagt der NOYB-Gründer Max Schrems in einer Pressemitteilung. Es brauche nun „klare Konsequenzen für Wirtschaftsauskunfteien, die glauben über dem Gesetz zu stehen“, so der Datenschutz-Experte weiter.

Behörden zeigen Grenzen auf

Besagte CRIF hatte schon vor knapp einem Jahr eine herbe Schlappe erlitten. Damals stellte die österreichische Datenschutzbehörde auf Grundlage der DSGVO fest, dass der Adressverlag AZ Direct illegal massenhaft personenbezogene Informationen an die Kreditauskunftei weitergegeben hatte. Zwar folgten darauf bislang keine spürbaren rechtlichen Konsequenzen, NOYB klagte jedoch im Dezember auf Unterlassung und Schadenersatz.

Auch in Deutschland dürfte es für die Datenhändler enger werden: Nach Angaben von NOYB führe die bayerische Datenschutzbehörde derzeit noch ein weiteres Verfahren gegen CRIF Deutschland, in dem ein generelles Verbot des Datenzukaufs bei Adresshändlern wie Acxiom geprüft werde. Federführend ist die Behörde deshalb, weil CRIF seinen deutschen Sitz in München hat.

Derweil läuft das Verfahren gegen Acxiom vor der zuständigen hessischen Datenschutzbehörde weiter, wenn auch mit Verzögerungen. So hatte der Adresshändler zuletzt versucht, Akteneinsicht durch den Beschwerdeführer gerichtlich zu verhindern, blieb dabei allerdings erfolglos. NOYB zufolge habe das Gericht den Antrag Acxioms nun zur Gänze als unzulässig abgelehnt. Ein Wermutstropfen bleibt indes: Der Antrag brachte das gesamte Verfahren zum Erliegen – und Acxiom konnte seine Datengeschäfte ungestört weiterführen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.