Die spanische Datenschutzbehörde AEPD hat in einer Entscheidung vom September 2021 einer Bank ein Bußgeld in Höhe von 3 Millionen Euro auferlegt, weil diese Marketing-Profile ihrer Kunden erstellt hatte, ohne von diesen zuvor eine DSGVO-konforme Einwilligung eingeholt zu haben.

Hintergrund der Entscheidung

Ausgangspunkt des Verfahrens war eine Beschwerde eines Kunden bei der Datenschutzbehörde. Dieser gab an, die Bank habe seine Daten an ein anderes Unternehmen weitergegeben, obwohl er seit Jahren keinerlei Geschäftsbeziehungen mehr zu der Bank unterhalte. Diese erklärte daraufhin, sie lege Profile ihrer Kunden an, um einerseits deren Kreditwürdigkeit zu ermitteln und andererseits, um diese Daten für Marketingzwecke zu nutzen. Hinsichtlich der Nutzung der Profile zu Marketingzwecken beruft sich die Bank auf eine Einwilligung ihrer Kunden. Bei den für diese Zwecke verarbeiteten personenbezogenen Daten handelte es sich konkret um Angaben zur Identität wie Ausweisnummer und Geburtsdatum, soziodemografische Daten wie Postleitzahl, Geburtsland, Staatsangehörigkeit, Art der Wohnung, Alter und Personenstand, wirtschaftliche Daten wie Einkommen, Beruf, Dauer der Kundenbeziehung sowie eine Risikobewertung. Die Daten stammten von den Betroffenen selbst, von Kreditbewertungsunternehmen sowie von der Bank und ihren Schwesterunternehmen.

Entscheidung der Behörde

Die AEPD prüfte daraufhin die Art und Weise, wie die Bank die erforderlichen Einwilligungen eingeholt hatte und stellte fest, dass die Betroffenen nicht ausreichend über die Verarbeitung ihrer Daten informiert waren, um wirksam einwilligen zu können. Konkret konnten die Betroffenen aus den bereitgestellten Informationen nicht entnehmen, welche Daten genau wozu verarbeitet wurden und wie detailliert das Profil war. Weiterhin war es den Betroffenen nicht möglich, in jeden der Zwecke getrennt einzuwilligen.

In der Konsequenz waren die Einwilligungen insgesamt unwirksam, die Verarbeitung der Daten durch die Bank verstieß daher gegen die DSGVO und war somit rechtswidrig. Die AEPD verhängte deshalb das erwähnte Bußgeld und verpflichtete die Bank, innerhalb von sechs Monaten sicherzustellen, die genannten Fehler zu beheben.

Hohe Anforderungen an die Einwilligung

Die Entscheidung der spanischen Datenschutzbehörde verdeutlicht ein weiteres Mal, wie hoch die Anforderungen der DSGVO an eine wirksame Einwilligung sind. Erforderlich ist insbesondere eine für die Adressaten der Einwilligung verständliche und klare Beschreibung der Zwecke, für die die Daten verarbeitet werden, sodass diese für den Betroffenen genau nachvollziehbar sind. Allgemeine oder beschönigende Floskeln genügen dem nicht. Die Argumentation der AEPD liegt damit auf einer Linie mit den übrigen europäischen Datenschutzbehörden ein – insbesondere zur jüngsten Entscheidung zum TCF 2.0 aus Belgien.