Data BrokerBritische Datenschutzbehörde droht Experian mit Bußgeld

Nach wie vor werden die Daten von Millionen Menschen ohne ihr Wissen verkauft und für Marketing und andere Zwecke genutzt. Daran hat die Datenschutzgrundverordnung bisher nichts geändert, doch in Großbritannien drohen einem der größten Datenhändler nun Konsequenzen.

Dashboard für Data Reporting auf einem Bildschirm
Der Handel mit personenbezogenen Daten ist für viele Marketingfirmen großes Geschäft. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Stephen Dawson

Das Information Commisioner’s Office (ICO) geht gegen die Datenhandelsfirma Experian vor. In einem Vollstreckungsbescheid fordert die britische Datenschutzbehörde den Data Broker auf, seinen Umgang mit personenbezogenen Daten maßgeblich zu verändern. Dem Schreiben zufolge betreibt Experian eine umfangreiche „unsichtbare“ Datenverarbeitung, die Millionen von Brit:innen betrifft und in dieser Form illegal ist.

Experian stellt in seinem Kerngeschäft Bonitätsbescheinigungen für Privatpersonen aus. Zusätzlich verdient die Firma aber auch an dem Aggregieren und Verkaufen persönlicher Daten für Marketingzwecke. Diese Daten kauft Experian bei verschiedenen Quellen und führt sie in individuellen Personenprofilen zusammen, die dann wiederum weiterverkauft werden.

In der Untersuchung der Datenschutzbehörde geht es um die Sammlung von Offline-Daten, beispielsweise Adressen oder sonstige Kontaktinformationen. ICO schätzt, dass fast die gesamte britische Bevölkerung in den Datenbanken des Data Brokers katalogisiert wird.

Die Datenschutzbehörde weist den Datenhändler darauf hin, dass einige seiner Praktiken illegal sind. Beispielsweise habe Experian unrechtmäßig Informationen aus seinen Bonitätsdatenbanken mit anderen Quellen abgeglichen, um Aussagen über Kaufkraft von Menschen treffen zu können. Experian wird aufgefordert, diese und ähnliche Praktiken einzustellen. Als Höchststrafe bei Nichtbefolgung der Anordnung drohen 20 Millionen Pfund oder vier Prozent des Jahresumsatzes.

Mangel an Transparenz

Die ICO-Anordnung geht auf eine Beschwerde der Nichtregierungsorganisation Privacy International im Jahr 2018 zurück. Die Datenschutzaufsicht startete daraufhin eine Untersuchung von Experian und zwei weiteren Data Brokern.

Zur Veröffentlichung der Analyse befindet ICO-Chefin Elisabeth Denham: „Der Mangel an Transparenz und das Fehlen gesetzlicher Grundlagen […] hat zu einer schwerwiegenden Verletzung der Informationsrechte von Individuen geführt“. Experian widerspricht den Vorwürfen von ICO in einem Statement.

Das Information Commissioner’s Office kritisiert unter anderem, dass es sich um „unsichtbare“ Datenverarbeitungen handele, also solche, die betroffene Personen nicht nachvollziehen können.

Nach Artikel 14 der Datenschutzgrundverordnung müssen Firmen wie Experian Betroffene über Umfang und Art der Datenverarbeitung informieren, wenn sie diese von Dritten beziehen. Deren Datenschutzrichtlinien hätten Nutzer:innen laut ICO nicht ausreichend über die Weiterverarbeitung ihrer Daten zu Marketingzwecken informiert.

In vielen Fällen wissen die Betroffenen überhaupt nicht, dass Experian im Besitz ihrer Daten ist. Der Datenhändler wendet ein, alle Nutzer:innen zu informieren, wäre zu aufwändig. Es seien schlicht zu viele. Diesen Einwand weist ICO zurück.

Weitere Untersuchungen angekündigt

Die Praktiken von Data Brokern stehen schon lange in der Kritik. Sogar Facebook, selbst nicht unbedingt für Datenschutz bekannt, 2018 die Kooperation mit Experian beendet.

Die Untersuchung betraf auch die Firmen Equifax und TransUnion. Laut ICO hätten diese aber nicht gesetzeskonforme Produkte und Services bereits im Verlaufe der Untersuchungen vom Markt genommen und sich kooperativ gezeigt. Deshalb droht nur Experian eine Strafe.

Wie ICO-Chefin Denham ankündigte, stehen die Ergebnisse weiterer Untersuchungen mit Bezug zu Datenhändlern aus, vor allem im Bereich des Online-Marketings.

1 Ergänzungen

  1. Mir hat das BayLDA gerade mitgeteilt, dass Datenverkauf in Deutschland bei „berechtigtem Interesse“ ausdrücklich erlaubt ist. Ein Versandhändler hatte meine Postanschrift einem anderen Versandhändler verkauft, ohne meine Zustimmung einzuholen und ohne mich darüber explizit zu informieren. Es gab lediglich einen Hinweis in ihrer Datenschutzerklärung.

    Das ist Quatsch, weil das Listenprivileg ja abgeschafft wurde. Aber was will man machen. Das BayLDA ist das BayLDA.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.