Adresshandlare stämmer tyska datainspektionen för att hindra noyb från att få tillgång till filer
För två år sedan lämnade noyb in ett klagomål mot adresshandlaren Acxiom och kreditupplysningsföretaget CRIF i Tyskland. Trots att det finns starka bevis för att företagens storskaliga handel med människors personuppgifter strider mot GDPR, är ärendet fortfarande anhängigt hos Bavarian and Hessian DPA. Våren 2023 bad noyb därför myndigheten i Hessen att få tillgång till Acxioms klagomålsakt. Adresshandlaren reagerade snabbt - med en begäran om ett interimistiskt föreläggande mot myndigheten för att förhindra någon form av tillgång till filerna.
- Klagomål mot CRIF och Acxiom (tyska)
- Autoöversättning av klagomålet till engelska
- tidslinje för klagomålet
Bakgrund: hemlig och olaglig handel med personuppgifter. Kreditupplysningsföretaget CRIF köper kontinuerligt namn, födelsedatum och adresser till miljontals tyskar från adresshandlaren Acxiom. Uppgifterna samlades ursprungligen in för marknadsföringsändamål, men CRIF använder dem för att bedöma människors kreditvärdighet. Detta görs vanligtvis utan att informera personerna och utan deras samtycke - vilket sannolikt strider mot europeisk dataskyddslagstiftning på flera punkter.
Inget meddelande eller samtycke. Enligt GDPR:s principer om ändamålsbegränsning och laglighet får uppgifter som samlas in för marknadsföringsändamål inte användas utan samtycke för kreditbedömning (dvs. för att förutse sannolikheten för utebliven betalning). Detta borde inte vara någon nyhet för Acxiom och CRIF: Dataskyddskonferensen, en styrelse för alla tyska tillsynsmyndigheter för dataskydd, har flera gånger betonat att andra uppgifter än negativa betalningsupplevelser eller annat icke avtalsenligt beteende endast får användas för kreditbedömning med samtycke. CRIF och Acxiom underlåter inte bara kategoriskt att be sina registrerade om ett sådant samtycke, de låter dem inte ens veta att deras uppgifter kommer att säljas till CRIF. Den registrerade som företräds av noyb fick till exempel bara reda på den olagliga behandlingen av sina uppgifter genom en begäran om tillgång.
Marco Blocher, dataskyddsjurist på noyb: "Att i hemlighet använda uppgifter från en adresshandlare för att beräkna människors kreditvärdighet är ett skolboksexempel på olaglig behandling enligt GDPR. Denna praxis sker i hemlighet, innebär en olaglig förändring av syftet med behandlingen - och den saknar helt enkelt en rättslig grund."
Två års stillestånd. Överträdelserna av den europeiska dataskyddslagstiftningen är svåra att förneka. Ändå är ärendet fortfarande anhängigt hos dataskyddsmyndigheterna i Hessen (ansvarig för Acxiom) och Bayern (ansvarig för CRIF) nästan två år efter det att det lämnades in. För att få en uppfattning om det aktuella läget i dessa ärenden begärde noyb tillgång till ärendehandlingarna från myndigheten i Hessen (Bayern beviljar inte denna rätt, men det är ett problem i sig). DPA i Hessen verkade villig att bevilja den begärda tillgången och hörde Acxiom i ärendet - men blev omedelbart stämda. Adresshandlaren försöker nu få till stånd ett interimistiskt föreläggande i domstol för att förhindra att den klagande får tillgång till filerna, medan företaget självt begärde och beviljades tillgång till filerna.
Fördröjning av förfarandet. Det finns några få undantag från rätten till tillgång till handlingar, t.ex. när det gäller affärshemligheter. Det finns dock ingen rättslig grund för att stänga hela den administrativa akten. Acxiom är förmodligen medvetet om detta. I själva verket verkar företaget försöka fördröja ett beslut från den hessiska dataskyddsmyndigheten genom att skapa en processuell sidospår. Detta gör det möjligt för Acxiom att fortsätta den olagliga försäljningen av personuppgifter.
En SLAPP-liknande åtgärd. Acxioms yrkande om förbud verkar följa konceptet med så kallade "SLAPPs" ("Strategic Lawsuits Against Public Participation"), som EU vill kriminalisera. Inlämnandet av otillbörliga ansökningar, i kombination med de avskräckande kostnaderna och komplexiteten i rättsprocesser, samt den frekventa överbelastningen av domstolarna, är avsedda att avskräcka individer och icke-statliga organisationer som noyb från att hålla företag ansvariga.
Jonas Breyer, tysk advokat som företrädde klaganden och noyb inför förvaltningsdomstolen i Wiesbaden: "Företag försöker hela tiden dra ut på verkställigheten av dataskyddsrättigheter för att hålla skumma men lukrativa affärsmodeller artificiellt vid liv. Det talar för sig självt när Axciom inleder rättsliga förfaranden, till exempel genom att kalla sina allmänna villkor från 2008 och andra föråldrade dokument för affärshemligheter."
Missbruk av rättssystemet. Acxiom-fallet visar än en gång att vissa företag, även efter fem år med GDPR, tror att rättssystemet kan missbrukas för att upprätthålla olagliga affärsmodeller. Detta är oacceptabelt, särskilt för ett företag som hanterar uppgifter om miljontals människor och arbetar med internationella kunder som Meta, Adobe, Google, IBM och PayPal. noyb kommer inte att ge sig och är redo att lämna in ytterligare klagomål eller stämma företag som Acxiom för föreläggande och skadestånd baserat på det nya direktivet om företrädande åtgärder.
