noyb heeft een etappeoverwinning behaald in haar procedure tegen het kredietinformatiebureau CRIF en de adressenhandelaar Acxiom in Duitsland. De bedrijven handelen illegaal in de persoonlijke gegevens van miljoenen Duitsers. Iets meer dan twee jaar geleden noyb daarom een klacht ingediend. Nu heeft de Beierse autoriteit voor gegevensbescherming geoordeeld dat CRIF de gekochte gegevens heeft misbruikt - en daarmee de Europese wetgeving voor gegevensbescherming heeft overtreden. Ondertussen heeft de Hessische autoriteit een verzoek van Acxiom afgewezen om noyb de toegang tot de dossiers te ontzeggen.
Achtergrond: Geheime, illegale handel in gegevens. Het kredietinformatiebureau CRIF koopt voortdurend persoonlijke gegevens zoals namen, adressen en geboortedata van miljoenen Duitsers van adressenhandelaar Acxiom en gebruikt deze om hun kredietwaardigheid te beoordelen. De handel gebeurt in het geheim en zonder toestemming of kennisgeving van de betrokkenen. Volgens het GDPR-principe van doelbinding mogen gegevens die zijn verzameld voor marketingdoeleinden alleen met toestemming worden gebruikt voor kredietscores. Als gevolg hiervan overtreden beide bedrijven de Europese wetgeving inzake gegevensbescherming.
Gegevenshandel illegaal verklaard. De Beierse autoriteit voor gegevensbescherming (DPA), die de procedure tegen CRIF behandelt, heeft deze beoordeling nu gevolgd: CRIF verwerkte de gegevens van de klager in strijd met het beginsel van doelbinding en schond haar plicht om hem te informeren over het verkrijgen van zijn gegevens van Acxiom. Maar dat is nog niet alles: de autoriteit stelt dat het kredietagentschap onvolledige antwoorden heeft gegeven op een verzoek om informatie van de klager en dat het zelfs valse informatie heeft verstrekt.
Max Schrems, voorzitter van de noyb: "De Duitse autoriteiten hebben lang genoeg toegekeken terwijl CRIF zich heimelijk verrijkte met de gegevens van miljoenen Duitsers. Het feit dat de Beierse autoriteit voor gegevensbescherming de gegevenshandel met Acxiom nu illegaal heeft verklaard, is een goede eerste stap. Er zijn duidelijke consequenties nodig voor kredietbureaus die denken dat ze boven de wet staan."
Algemeen verbod wordt herzien. Met haar beslissing volgt de Beierse gegevensbeschermingsautoriteit een uitspraak van de Oostenrijkse autoriteit (DSB) uit maart 2023. In een noyb-zaak tegen de Oostenrijkse tak van CRIF oordeelde de DSB destijds dat geheime handel tussen kredietbureaus en adreshandelaren in strijd is met de GDPR en dus illegaal is. Hierop voortbouwend heeft noyb onlangs ook een rechtszaak aangespannen tegen CRIF in Oostenrijk. De Beierse gegevensbeschermingsautoriteit voert momenteel verdere procedures tegen CRIF Duitsland, waarbij een algemeen verbod op de aankoop van gegevens van adressenhandelaren zoals Acxiom wordt onderzocht.
Vertraging in de procedure door Acxiom. De procedure tegen Acxiom (behandeld door de gegevensbeschermingsautoriteit van Hessen) heeft enkele maanden vertraging opgelopen. De adreshandelaar stapte naar de rechter om te voorkomen dat de klager toegang kreeg tot de dossiers. Hierdoor kwam de hele procedure stil te liggen - waardoor Acxiom door kon gaan met zijn illegale gegevenshandel. De rechtbank heeft Acxiom's verzoek nu niet-ontvankelijk verklaard