Das Spanische Datenschutzbüro hat das Geldinstitut wegen der illegalen Nutzung von Kundendaten mit zwei Sanktionen belegt
Madrid – Die Spanische Datenschutzbehörde AEPD hat vor einigen Wochen schon das Geldinstitut BBVA mit fünf Millionen Euro sanktioniert, weil Werbung an Kunden, die dies nicht ausdrücklich gestattet hatten, versendet worden war. Nun hat es die CaixaBank getroffen, gegen die von der AEPD wegen der illegalen Nutzung von Kundendaten zwei Bußgelder in Höhe von vier und zwei Millionen Euro verhängt wurden.
Das Sanktionsverfahren gegen die CaixaBank nahm seinen Anfang im Januar 2018, als ein Bankkunde Anzeige bei der Datenschutzbehörde erstattete, weil die Bank ihm aufzwingen wolle, neue Geschäftsbedingungen bezüglich des Datenschutzes zu akzeptieren, welche die Weitergabe seiner persönlichen Daten an alle Unternehmen der Gruppe vorsahen. Um die Zustimmung zur Weitergabe seiner Daten zurückzuziehen, sei es nötig, jedes Unternehmen der Gruppe einzeln anzuschreiben. Da für die Akzeptanz nur eine Handlung nötig war, sei dies unverhältnismäßig.
Die AEPD unternahm laut dem 177-seitigen Verfahrensbericht zahlreiche Überprüfungen und stellte fest, dass eine große Vielzahl an Daten über die Kunden erhoben werden. Es handelt sich um Angaben über die Identität, Steuerangelegenheiten, Kontaktdaten, Arbeitsverhältnisse, Erfahrung, finanzielle Situation und Investitionsziele sowie die Einholung von Einverständniserklärungen zur Nutzung der Daten für kommerzielle Zwecke.
Im Verlauf des Verfahrens ging auch ein Schreiben der Verbraucherorganisation Facua – Consumidores en Acción – bei der AEPD ein, das eine Beschwerde gegen die Verträge, welche die Kunden der CaixaBank unterschreiben müssen, zum Inhalt hatte, in denen die persönlichen Daten der Kunden erhoben werden. Der Inhalt des Vertrages sei für die Kunden nicht verhandelbar, und es werde ihnen aufgezwungen, der Datennutzung und der Weitergabe persönlicher Daten an andere Unternehmen zuzustimmen, auch wenn der betreffende Kunde mit diesen nicht in geschäftlicher Beziehung stehe.
Die Datenschutzbehörde hat in diesem Zusammenhang festgestellt, dass auch dann, wenn der Bankkunde die Option ausgewählt hat, keine kommerziellen Werbeschreiben erhalten zu wollen, im Vertrag die Zusendung solcher Benachrichtigungen mit der Unterschrift akzeptiert wird.
Die Datenschützer gehen davon aus, dass eine Verletzung der Artikel 13 und 14 der Allgemeinen Datenschutzverordnung (RGPD) vorliegt, die eine eingehende Information des Kunden zur Pflicht machen, bevor dessen Daten erhoben werden, außerdem der Artikel 6 und 7, die eine Reihe von Bedingungen festlegen, die erfüllt sein müssen, damit eine gültige Zustimmung des Kunden erfolgen kann.