Illegaler Datenankauf: Noyb erzielt Erfolg gegen Auskunftei CRIF

Notebook
Auch die österreichische Datenschutzbehörde hat das Vorgehen von CRIF bereits als illegal bewertet. (Quelle: IMAGO / Panthermedia)

Die Wirtschaftsauskunftei CRIF hat personenbezogene Daten von dem Adresshändler Acxiom gekauft, um damit die Kreditwürdigkeit von Millionen Menschen in Deutschland zu bewerten. Die Daten wurden ursprünglich für Werbezwecke gesammelt – CRIF hat die Daten zweckentfremdet und gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Das hat nun die bayerische Datenschutzbehörde festgestellt.

Der Adresshändler Acxiom hatte der Auskunftei personenbezogene Daten des Beschwerdeführers wie Namen, Adresse und Geburtsdatum verkauft, wie der Datenschutzverein Noyb am vergangenen Montag mitteilte.

Noyb hatte vor mehr als zwei Jahren Beschwerde bei der Datenschutzbehörde eingelegt, weil die Organisation den Datenhandel der beteiligten Unternehmen als rechtswidrig ansieht. Der Handel laufe heimlich ab und Betroffene würden nicht darüber informiert, kritisiert Noyb. Auch bemängelt die Organisation: “Gemäß dem DSGVO-Grundsatz der Zweckbindung dürfen jedoch für Marketingzwecke erhobene Daten nur mit ausdrücklicher Einwilligung für das Kreditscoring verwendet werden.”

Dieser Einschätzung haben sich die bayerischen Datenschützer nun angeschlossen, wie die Behörde am Freitag gegenüber Posteo bestätigte. Noyb betrachtet dies als “guten ersten Schritt” auf dem Weg zu einer Grundsatzentscheidung. “Es braucht klare Konsequenzen für Wirtschaftsauskunfteien, die glauben über dem Gesetz zu stehen”, fordert der Verein.

Auch Datenhändler in der Kritik

Die Behörde bemängelte zudem, dass die Auskunftei ein Auskunftsersuchen nach DSGVO unvollständig und mit falschen Angaben beantwortet hat. In einem weiteren Verfahren gegen CRIF prüft die Datenschutzbehörde ein generelles Verbot des Datenkaufs von CRIF bei Datenhändlern.

Noyb betrachtet auch den Datenverkauf seitens Acxiom als Verstoß gegen die DSGVO und hat deswegen parallel ein Verfahren gegen den Datenhändler beim hessischen Datenschutzbeauftragten initiiert. Allerdings verläuft dieses nach Angaben von Noyb schleppend – zwischenzeitlich hatte das Unternehmen versucht, eine Akteneinsicht auf Basis des hessischen Informationsfreiheitsgesetzes zu verhindern, war damit aber gescheitert.

Zweite Schlappe für CRIF

Eine ähnliche Entscheidung hatte bereits die österreichische Datenschutzbehörde (DSB) im März 2023 gefällt. Noyb hatte damals Beschwerde gegen CRIF eingelegt, weil er rechtswidrig personenbezogene Daten bei Adresshändlern von Millionen Österreichern für Bonitätseinschätzungen angekauft hatte.

Die Daten in Österreich stammten vom Adressverlag AZ Direct (Bertelsmann-Gruppe). Auch hier hätte der Adresshändler die Daten eigentlich nur für Werbezwecke weitergeben dürfen und nicht für Bonitätsberechnungen. Es seien Millionen Österreicher betroffen gewesen.

Auch in diesem Fall hatte die Datenschutzbehörde dem Beschwerdeführer Recht gegeben.

Nach erfolgreicher Beschwerde in Österreich hatte Noyb Klage gegen CRIF und AZ Direct auf Unterlassung und Schadenersatz eingereicht. CRIF wies die Darstellung von Noyb daraufhin in einer Mitteilung von Dezember 2023 zurück und bestritt, Adressdaten von AZ Direct weiterhin zur Bonitätsbewertung einzusetzen. Die eingekauften Informationen kämen seit Oktober 2023 nur noch zur Identitätsüberprüfung zum Einsatz. (hcz)