Adressenhandelaar klaagt Duitse gegevensbeschermingsautoriteit aan om noyb de toegang tot bestanden te ontzeggen
Twee jaar geleden diende noyb een klacht in tegen de adressenhandelaar Acxiom en het kredietinformatiebureau CRIF in Duitsland. Hoewel er sterke aanwijzingen zijn dat de grootschalige handel van de bedrijven met persoonlijke gegevens van mensen in strijd is met de GDPR, is de zaak nog in behandeling bij de Beierse en Hessische gegevensbeschermingsautoriteiten. Dus in het voorjaar van 2023 vroeg noyb de Hessische autoriteit om toegang tot het dossier van de klacht tegen Acxiom. De adreshandelaar reageerde snel - met een verzoek om een voorlopige voorziening tegen de autoriteit om elke vorm van toegang tot de dossiers te voorkomen.
Achtergrond: geheime en illegale handel in persoonsgegevens. Het kredietinformatiebureau CRIF koopt doorlopend de namen, geboortedata en adressen van miljoenen Duitsers van de adressenhandelaar Acxiom. Hoewel de gegevens oorspronkelijk voor marketingdoeleinden zijn verzameld, gebruikt CRIF ze om de kredietwaardigheid van mensen te beoordelen. Dit gebeurt meestal zonder mensen ooit op de hoogte te stellen en zonder hun toestemming - wat waarschijnlijk in meerdere opzichten in strijd is met de Europese wetgeving inzake gegevensbescherming.
Geen kennisgeving of toestemming. Volgens de GDPR-beginselen van doelbinding en rechtmatigheid mogen gegevens die zijn verzameld voor marketingdoeleinden niet zonder toestemming worden gebruikt voor kredietscoring (d.w.z. om de waarschijnlijkheid van wanbetaling te voorspellen). Dit zou geen nieuws moeten zijn voor Acxiom en CRIF: de Data Protection Conference, een raad van alle Duitse toezichthouders op het gebied van gegevensbescherming, heeft meerdere malen benadrukt dat andere gegevens dan negatieve betalingservaringen of ander niet-contractueel gedrag alleen met toestemming mogen worden gebruikt voor credit scoring. Niet alleen vragen CRIF en Acxiom hun betrokkenen categorisch niet om een dergelijke toestemming, ze laten hen niet eens weten dat hun gegevens worden verkocht aan CRIF. De betrokkene die wordt vertegenwoordigd door noyb, bijvoorbeeld, kwam pas achter de onwettige verwerking van zijn gegevens via een verzoek om toegang.
Marco Blocher, advocaat gegevensbescherming bij noyb: "Het heimelijk gebruiken van gegevens van een adressenhandelaar om de kredietscore van mensen te berekenen lijkt wel een schoolvoorbeeld van onrechtmatige verwerking onder de GDPR. Deze praktijk gebeurt in het geheim, brengt een onrechtmatige wijziging van het doel van de verwerking met zich mee - en het ontbreekt simpelweg aan een rechtsgrondslag."
Twee jaar stilstand. De schendingen van de Europese wetgeving inzake gegevensbescherming zijn moeilijk te ontkennen. Desondanks is de zaak nog steeds in behandeling bij de Hessische (verantwoordelijk voor Acxiom) en Beierse (verantwoordelijk voor CRIF) gegevensbeschermingsautoriteiten (DPA's), bijna twee jaar nadat deze werd ingediend. Om een idee te krijgen van de huidige stand van zaken in deze zaken, vroeg noyb de Hessische autoriteit om toegang tot de dossiers (Beieren geeft dit recht niet, maar dat is een probleem op zich). De Hessische DPA leek bereid om de gevraagde toegang te verlenen en hoorde Acxiom over de zaak - maar werd prompt voor de rechter gedaagd. De adreshandelaar probeert nu een voorlopige voorziening te krijgen bij de rechtbank om de klager elke toegang tot de bestanden te ontzeggen, terwijl het bedrijf zelf toegang tot de bestanden heeft gevraagd en gekregen.
Procedurele vertraging. Er zijn enkele uitzonderingen op het recht op toegang tot dossiers, bijvoorbeeld in het geval van bedrijfsgeheimen. Er is echter geen wettelijke basis om het hele administratieve dossier te sluiten. Acxiom is zich hier waarschijnlijk van bewust. In werkelijkheid lijkt het bedrijf te proberen een beslissing van de Hessische gegevensbeschermingsautoriteit uit te stellen door een procedurele bijzaak te creƫren. Hierdoor kan Acxiom doorgaan met de onwettige verkoop van persoonlijke gegevens.
Een SLAPP-achtige maatregel. De motie tot verbod van Acxiom lijkt het concept van zogenaamde "SLAPPs" ("Strategic Lawsuits Against Public Participation") te volgen, die de EU strafbaar wil stellen. Het indienen van onrechtmatige verzoeken, in combinatie met de afschrikwekkende kosten en complexiteit van rechtszaken, evenals de frequente opstoppingen van de rechtbanken, is bedoeld om individuen en NGO's zoals noyb te ontmoedigen om bedrijven ter verantwoording te roepen.
Jonas Breyer, Duits advocaat die de klager en noyb vertegenwoordigt voor de administratieve rechtbank in Wiesbaden: "Bedrijven blijven proberen de handhaving van gegevensbeschermingsrechten te vertragen om louche maar lucratieve bedrijfsmodellen kunstmatig in leven te houden. Het spreekt voor zich wanneer Axciom een juridische procedure start, bijvoorbeeld door hun algemene voorwaarden uit 2008 en andere verouderde documenten bedrijfsgeheimen te noemen."
Misbruik van het rechtssysteem. De Acxiom-zaak toont eens te meer aan dat zelfs na vijf jaar GDPR sommige bedrijven geloven dat het rechtssysteem kan worden misbruikt om onwettige bedrijfsmodellen in stand te houden. Dit is onaanvaardbaar, vooral voor een bedrijf dat de gegevens van miljoenen mensen verwerkt en samenwerkt met internationale klanten zoals Meta, Adobe, Google, IBM en PayPal. noyb geeft niet op en is bereid om verdere klachten in te dienen of bedrijven zoals Acxiom aan te klagen voor een voorlopige voorziening en schadevergoeding op basis van de nieuwe richtlijn inzake representatieve acties.