AEPD verhängt 5.000.000 Euro Bußgeld gegen BANCO BILBAO VIZCAYA ARGENTARIA, S.A.,

Spanien: Bei der spanischen Aufsichtsbehörde AEPD gingen in den Jahren 2018 bis 2019 fünf Beschwerden über die Banco Bilbao Vizcay Argentaria (BBVA) ein. Darunter waren Beschwerden über unerwünschte Werbung per SMS und Telefon sowie mangelhafte Datenschutzhinweise.
Im Laufe der Untersuchungen prüfte die AEPD die Datenschutzhinweise der BBVA gründlich. Dabei wurden zahlreiche Mängel bei der Erfüllung der Informationspflichten sowie der Rechtmäßigkeit der Verarbeitungen festgestellt.
Bei den Datenschutzhinweisen wurden die unpräzise Form und die nicht klare und nicht einfache Sprache bemängelt. Die BBVA hat nur allgemeine Formulierungen verwendet und somit gegen den Grundsatz der Transparenz verstoßen. Den Betroffenen erschließt sich so nicht die tatsächliche Bedeutung und Tragweite der Verarbeitungen, insbesondere derer, die sich auf Einwilligungen und das berechtigte Interesse stützen. Es wurden hierbei Formulierungen wie beispielsweise “zur Verbesserung der Qualität von Produkten und Dienstleistungen” oder “Sie besser kennen zu lernen” verwendet. Die Formulierungen in der Datenschutzerklärung finden sich teilweise als Negativbeispiele in der Leitlinie zur Transparenz gemäß der Verordnung 2016/679 der Artikel-29-Arbeitsgruppe wieder. 
Darüber hinaus stellt die AEPD fest, dass aus den Datenschutzhinweisen der Zweck und die Rechtsgrundlage, insbesondere für Verarbeitungen, die sich auf das berechtigte Interesse stützen, nicht transparent und klar verständlich hervorgehen. Hierbei wurde beispielhaft aufgeführt, dass die Datenschutzerklärung nicht hinreichend über die Verwendungszwecke von Bonitätsdaten unterrichtet, die über die Abfrage von Auskunfteien erhoben werden. Für die Verwaltung der vertraglich vereinbarten Produkte und Leistungen ist dies rechtmäßig, jedoch nicht etwa für die Erstellung von Kundenprofilen zu Marketingzwecken.
Auch wurde festgestellt, dass die Kategorien personenbezogener Daten nicht angegeben wurden. Dem Betroffenen wird nicht klar, welche seiner Daten für welche der zahlreichen Verarbeitungszwecke verwendet werden. Die BBVA änderte erst im Juni 2020 die Datenschutzerklärung.
Im Weiteren wurde bemängelt, dass die Anforderungen an eine spezifische, eindeutige und informierte Einwilligung nicht erfüllt sind. Für einige der Verarbeitungen wurde ein Opt-Out über Dokumente angeboten, die gar nicht im Zusammenhang mit den unspezifischen Zwecken standen. Ein solches Dokument ist die “Erklärung zur wirtschaftlichen Tätigkeit und Unternehmenspolitik”, das bei zahlreichen Geschäftsvorgängen von Betroffenen zu unterzeichnen ist.
Die AEPD befand zudem, dass die Rechtfertigung für das berechtigte Interesse von Verarbeitungen unzureichend ist. Die Kunden gehen vernünftigerweise nicht davon aus, dass deren Daten zur Verbesserung von Produkten und Dienstleistungen und zur Steigerung des Kundenerlebnisses verwendet werden. Auch wird festgestellt, dass das Kriterium der Erforderlichkeit als Teil der Verhältnismäßigkeitsprüfung für die genannten Zwecke nicht erfüllt ist. Ohne klare Benennung der Zwecke der Verarbeitung ist es schwierig, hierfür berechtigte Interessen vorzubringen, die höher wiegen, als die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Die Unbestimmtheit der verwendeten Daten und der Zwecke erlauben keine Aussage zur Verhältnismäßigkeit. Auch wurden Daten, die aufgrund rechtlicher Anforderungen zur Verhinderung von Geldwäsche erhoben wurden, für andere Zwecke verarbeitet. 
Die AEPD spricht für die Verstöße gegen Art. 13 und 14 DSGVO ein Bußgeld in Höhe von 2 Mio. Euro aus. Für die Verstöße gegen Art. 6 DSGVO beläuft sich das Bußgeld auf 3 Mio. Euro. Bei der Zumessung des Bußgelds kam erschwerend zum Tragen, dass 8,3 Mio. Kunden der BBVA von den Verstößen betroffen sind. .

Verwandter Beitrag  ANSPDCP verhängt 7.989 Euro Bußgeld gegen Ana Hotels

Veröffentlicht am: 12-12-2020

Quelle von dsgvo-portal.de