Im Internet genutzte Daten und deren Besitzer sind begehrt. Viele Firmen verdienen sich mit dem illegalen Handel solcher Daten eine goldene Nase.
IMAGO/Silas Stein

Der Handel von personenbezogenen Daten wird trotz DSGVO fleißig von zahlreichen Unternehmen weitergetrieben. Beispielsweise kauft die Kreditauskunftei CRIF weiterhin unaufhörlich Namen, Geburtsdaten und Adressen von Millionen Deutschen beim Adresshändler Acxiom, der zu seinen Kunden etwa Meta, Adobe, Google, IBM und Paypal zählt. Obwohl die Daten ursprünglich für Marketingzwecke von Acxioms Kunden erhoben wurden, nutzt CRIF sie zur Beurteilung der Kreditwürdigkeit. "All das geschieht in der Regel ohne eine Einwilligung der Betroffenen", schreibt die österreichische Datenschutz-NGO Noyb in einer aktuellen Aussendung. Die Betroffenen würden nicht einmal über die Verarbeitung ihrer Daten informiert, heißt es, was gleich mehrfach gegen europäisches Datenschutzrecht verstoße.

Diese Verstöße gegen europäisches Datenschutzrecht sind hinlänglich bekannt, und man könnte meinen, die Behörden wären um Aufklärung bemüht. Tatsächlich tut sich wenig, um dem Treiben ein Ende zu machen. Der Fall ist bis heute bei den zuständigen, deutschen Datenschutzbehörde anhängig. Um sich ein Bild vom aktuellen Stand der Dinge zu machen, hat Noyb kürzlich Akteneinsicht beantragt. Die Behörde willigte ein, doch grätschte das datensammelnde Unternehmen mit einem unvorhersehbaren Schachzug dazwischen.

Unrechtmäßige Datenverarbeitung

Noyb erklärt dazu: Nachdem die Datenschutzbehörde bereit war, die beantragte Einsicht zu gewähren, wurde auch Acxiom in dieser Angelegenheit kontaktiert. Als diese erkannte, was da auf sie zukommt, wurde die deutsche Behörde von dem Unternehmen verklagt. Der Adresshändler versucht damit laut der Datenschutz-NGO, eine einstweilige Anordnung vor Gericht zu erwirken, um dem Beschwerdeführer "jeglichen Zugang zu den Akten zu verwehren", während das anvisierte Unternehmen selbst Akteneinsicht beantragte und auch erhielt.

"Die Kreditwürdigkeit von Millionen Menschen heimlich und mithilfe von Daten eines Adresshändlers zu berechnen ist geradezu ein Paradebeispiel für unrechtmäßige Datenverarbeitung unter der DSGVO: Die Verarbeitung erfolgt im Geheimen, zieht eine unrechtmäßige Änderung des Verarbeitungszwecks nach sich – und ihr fehlt schlichtweg die Rechtsgrundlage", erklärt Marco Blocher, Datenschutzjurist bei Noyb.

Gemäß den DSGVO-Grundsätzen der "Zweckbindung und Rechtmäßigkeit" dürfen Daten, die für Marketingzwecke erhoben wurden, nur mit Einwilligung für ein Kredit-Scoring verwendet werden. Das heißt, um die Wahrscheinlichkeiten eines Zahlungsausfalls zu prognostizieren. Für Acxiom und CRIF sollte das "keine Neuigkeit sein", schreibt Noyb. Laut der deutschen Datenschutzkonferenz, hinter der die Aufsichtsbehörden stehen, dürfen Daten, die "keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nur mit Einwilligung für Kredit-Scoring genutzt werden". CRIF und Acxiom unterlassen es laut den Datenschützern kategorisch, derartige Einwilligungen einzuholen.

Verzögerung

Die Vorgehensweise der betroffenen Unternehmen nennt Noyb "Verfahrensverzögerung". Zwar bestünden einige wenige Ausnahmen vom Recht auf Akteneinsicht, beispielsweise bei Geschäftsgeheimnissen. Eine Rechtsgrundlage für den Verschluss der gesamten Verwaltungsakte existiere jedoch nicht. Dessen sei sich Axiom wohl bewusst und versuche mit der unvorhergesehenen Aktion eine Entscheidung in dieser Sache zu verzögern.

"Unternehmen versuchen immer wieder, die Durchsetzung von Datenschutzrechten zu verschleppen, um unsaubere, aber lukrative Geschäftsmodelle künstlich am Leben zu erhalten. Es spricht für sich, wenn Axciom ein Gerichtsverfahren anstrengt und dabei beispielsweise ihre AGB aus dem Jahr 2008 und weitere veraltete Dokumente als Geschäftsgeheimnisse bezeichnet", erklärt der deutsche Rechtsanwalt Jonas Breyer.

Acxioms Verbotsantrag scheint damit dem Konzept sogenannter Slapps ("Strategic Lawsuits Against Public Participation") zu folgen, welche die EU unter Strafe stellen möchte. Durch die Einreichung "missbräuchlicher Anträge in Kombination mit den abschreckenden Kosten und der Komplexität von Gerichtsverfahren" sowie der häufigen Überlastung der Gerichte, sollen "Einzelpersonen und NGOs" davon abgehalten werden, Unternehmen zur Verantwortung zu ziehen.

Die österreichischen Datenschützer scheinen sich allerdings nicht abschrecken zu lassen. Das Vorgehen von Acxiom sei "inakzeptabel", schreibt Noyb. Weitere Beschwerden sollen demnächst eingereicht werden, um so bald als möglich "Unterlassung und Schadenersatz" zu erwirken. (aam, 24.10.2023)