AEPD verhängt 6.000.000 Euro Bußgeld gegen CAIXABANK, S.A.
Spanien: Kunden der Bank waren vom Verantwortlichen zur Annahme neuer Datenschutzbestimmungen angehalten worden, die den Bußgeldempfänger dazu ermächtigten, die personenbezogenen Daten der Betroffenen an alle Unternehmen innerhalb der zur Bank gehörenden Unternehmensgruppe (Grupo CaixaBank) zu übermitteln. Dabei wurde den Betroffenen keine Möglichkeit gelassen, speziell dieser Übermittlung grundsätzlich nicht zuzustimmen. Stattdessen sollten sie, sofern sie der Übermittlung ihrer Daten widersprechen wollten, an jedes einzelne Unternehmen einen Widerspruch per Brief versenden. Darüber reichte ein Kunde Beschwerde bei der spanischen Datenschutzbehörde ein.
Die Bank hatte zuvor im Rahmen der Untersuchung in einer Stellungnahme gegenüber der spanischen Datenschutzbehörde erklärt, dass als Anpassung an die DSGVO die Einwilligung der Kunden in die Verarbeitung ihrer personenbezogenen Daten, welche die Grundlage für die Geschäftsbeziehungen darstelle, auf dem Level der Unternehmensgruppe eingeholt werde. Die Kunden werden darum gebeten, in die Datenanalyse und etwaige Werbemaßnahmen durch die zehn der Gruppe zugehörigen Unternehmen einzuwilligen, wodurch eine gemeinsame Auswertung von Informationen zu allen Produkten der Gruppe möglich werden soll. Die Bank betonte dabei, dass nach der Einwilligung der Betroffenen auf dem Unternehmensgruppenlevel jederzeit für einzelne Unternehmen ein Widerspruch ausgesprochen werden kann und dass die Datenschutzbestimmungen ihren Informationspflichten gem. Art. 13 DSGVO entsprechen.
Die Datenschutzbehörde kam jedoch zu dem Schluss, dass die Bank gegen ihre Informationspflichten gem. Art. 13 und 14 DSGVO verstoßen hatte, da die Informationen, die den Bankkunden im Rahmen der Datenschutzbestimmungen in verschiedenen Dokumenten zur Verfügung gestellt wurden, nicht einheitlich waren, ungenaue Begrifflichkeiten enthielten sowie keine hinreichenden Angaben zur Art der verarbeiteten personenbezogenen Daten und der Art der Verarbeitung machten. Ebenso waren die Angaben zu den Rechten der Betroffenen und dem Datenschutzbeauftragten und die Kontaktinformationen des Verantwortlichen nicht einheitlich hinterlegt.
Des Weiteren stellte die Behörde fest, dass der Beklagte die Daten seiner Kunden teils ohne Rechtsgrundlage über seine berechtigten Interessen hinaus verarbeitet hatte und die von ihm bei den Kunden eingeholte Einwilligung nicht den Datenschutzerfordernissen entsprach. Darüber hinaus erlaubten es Unzulänglichkeiten im Betriebsablauf, die Einwilligung der Kunden zu erhalten. Auch als Folge dessen hatte die Bank die personenbezogenen Daten seiner Kunden unrechtmäßig an Unternehmen der Grupo CaixaBank übermittelt. .
Veröffentlicht am: 14-01-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.