+++ Kurzmitteilung +++
Die spanische Datenschutzbehörde (AEPD) verhängte am 13.01.2021 eine Geldstrafe in Höhe von 6 Millionen Euro gegen die Caixabank S.A., da diese gegen Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung), Art. 13 DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) und Art. 14 DSGVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) verstoßen hatte.
Im konkreten Fall sollten die Kunden der Bank neue Datenschutzrichtlinien akzeptieren, die es dem Controller erlauben, die personenbezogenen Daten der Kunden an alle Unternehmen der CaixaBank-Gruppe zu übermitteln. Dabei wurde den betroffenen Personen nicht die Möglichkeit gegeben, dieser Übermittlung zu widersprechen. Um einen Widerspruch zum Ausdruck zu bringen, sollten die Kunden der Bank, sich mit ihrem Schreiben an jedes Unternehmen der Gruppe einzeln wenden. Dies widerspricht den Anforderungen einer gültigen Einwilligung im Sinne der DSGVO.
Die folgenden Verstöße werden der Bank zu Lasten gelegt:
- Verstoß gegen ihre Informationspflichten gemäß Art. 13 DSGVO und Art. 14 DSGVO
- mangelhafte Datenschutzerklärung ohne Transparenz: ungenaue Begriffe; keine ausreichenden Informationen über die Art der verarbeiteten personenbezogenen Daten, die Art der Verarbeitung an sich, die Rechte der betroffenen Personen, die Kontaktinformationen des für die Verarbeitung Verantwortlichen
- Verarbeitung der Kundendaten über die berechtigten Interessen des Verantwortlichen hinaus, teilweise ganz ohne Rechtsgrundlage
- unwirksame Einwilligungen der Kunden, da diese nicht den Anforderungen an eine wirksame Einwilligung entsprachen
Die Datenschutzbehörde kam aus all diesen Gründen zum Ergebnis, dass die Daten unrechtmäßig an die Unternehmen der CaixaBank-Gruppe übermittelt wurden und verhängte das Bußgeld an die Bank.
Quelle: GDPR Enforcement Tracker, abgerufen am 21.01.2021 unter https://www.enforcementtracker.com/