Die spanische Datenschutzbehörde (AEPD) hat gegen die CAIXABANK, S.A. eine Geldstrafe in Höhe von insgesamt EUR 6 Mio. wegen der unrechtmäßigen Verarbeitung von Kundendaten und wegen unzureichender Information über die Verarbeitung verhängt. Diese Strafe reiht sich ein in eine Serie von kürzlich quer durch Europa verhängten hohen Strafen wegen Datenschutzverstößen.
Seinen Anfang nahm das Verfahren Nr. PS/00477/2019 im Jahr 2018, als die CAIXABANK ihren Kunden neue Bedingungen zum Datenschutz vorlegte, die diese akzeptieren mussten. In diesen wurde die Bank dazu ermächtigt, Kundendaten an sämtliche Konzernunternehmen zu übermitteln. Ein zentraler Widerspruch gegen diese Bestimmung war nicht möglich. Den Kunden wurde lediglich die Möglichkeit eingeräumt, der Übermittlung gegenüber jeder einzelnen Empfängergesellschaft postalisch zu widersprechen.
Insgesamt stellte die AEPD (Agencia Española de Protección de Datos) folgende Verstöße fest:
– Verstoß gegen die Informationspflichten gemäß Art 13 und 14 DSGVO;
– Unvollständige und intransparente Datenschutzerklärung (ungenaue Begriffe; unvollständige Informationen zur Art der verarbeiteten Daten, zur Art und Zwecke der Verarbeitung, zu den Betroffenenrechte und den Kontaktinformationen);
– Verarbeitung der Kundendaten teilweise rechtsgrundlos (keine berechtigten Interessen, keine gültige Einwilligung);
– ungültige Einwilligungserklärungen.
Die Verstöße im Detail
Die AEPD war der Ansicht, dass die Datenschutzerklärung der Bank weder ausreichende Informationen über die betroffenen Kategorien personenbezogener Daten noch Informationen über die Zwecke der Verarbeitung sowie über die Rechtsgrundlage der Verarbeitung enthielt, insbesondere in Bezug auf die Verarbeitungstätigkeiten, die auf einem berechtigten Interesse der Bank beruhen. Die CAIXABANK hat dadurch gegen Art 13 und 14 DSGVO verstoßen und wurde ein Bußgeld in Höhe von EUR 2 Mio. verhängt.
Zudem stellte die AEPD fest, dass die CAIXABANK keinen Mechanismus zur Einholung der Einwilligung der Betroffenen implementiert hatte sowie dass die Einwilligungserklärung den Anforderungen einer gültigen Einwilligung nicht genügte. Die auf einem berechtigten Interesse beruhenden Verarbeitungstätigkeiten waren überdies nicht ausreichend gerechtfertigt. Die AEPD urteilte, dass dies einen Verstoß gegen Art 6 DSGVO begründet und wurde dafür ein Bußgeld in Höhe von EUR 4 Mio. verhängt.
Bei der Entscheidung über die Höhe der beiden Geldbußen berücksichtigte die AEPD als erschwerende Faktoren insbesondere die Art, Schwere und Dauer des Verstoßes, die fahrlässige Begehung, die (nicht) implementierten technischen und organisatorischen Maßnahmen, die aus dem Verstoß gezogenen Vorteile, die von dem Verstoß betroffenen Kategorien personenbezogener Daten, die Art der Tätigkeit des Unternehmens und dass es sich bei dem Unternehmen um ein Großunternehmen handelt sowie seinen Umsatz.
Zusätzlich zu der Verwaltungsstrafe, der höchsten, die jemals von der AEPD verhängt wurde, ordnete diese an, dass die CAIXABANK ihre Verarbeitungsvorgänge innerhalb der nächsten sechs Monate in Übereinstimmung mit den Art 6, 13 und 14 DSGVO bringen muss.
Bereits einige hohe Strafen im Jahr 2021
Neben der (bis zur Strafe gegen die CAIXABANK) bislang höchsten in Spanien verhängte Strafe iHv EUR 5 Mio. gegen die BBVA Bank, verhängten auch andere europäische Datenschutzbehörden in diesem Jahr bereits sehr hohe Strafen. So verhängte etwa die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel, wegen der unzulässigen Videoüberwachung von Beschäftigten und Kunden ein Bußgeld iHv von EUR 10,4 Mio. gegen die notebooksbilliger.de AG. Wegen der Weitergabe von Nutzerdaten (insbesondere Daten, aus denen sich die sexuelle Orientierung ableiten lässt) an Dritte zu Werbezwecken ohne die wirksame Einwilligung der App-Nutzer wird die norwegische Behörde laut ihrem Entscheidungsentwurf ein Bußgeld iHv etwa EUR 10 Mio. gegen die Grindr LLC verhängen.
(Bild: © iStock/theendup) 
Die spanische Datenschutzbehörde (AEPD) hat gegen die CAIXABANK, S.A. eine Geldstrafe in Höhe von insgesamt EUR 6 Mio. wegen der unrechtmäßigen Verarbeitung von Kundendaten und wegen unzureichender Information über die Verarbeitung verhängt. Diese Strafe reiht sich ein in eine Serie von kürzlich quer durch Europa verhängten hohen Strafen wegen Datenschutzverstößen.
Seinen Anfang nahm das Verfahren Nr. PS/00477/2019 im Jahr 2018, als die CAIXABANK ihren Kunden neue Bedingungen zum Datenschutz vorlegte, die diese akzeptieren mussten. In diesen wurde die Bank dazu ermächtigt, Kundendaten an sämtliche Konzernunternehmen zu übermitteln. Ein zentraler Widerspruch gegen diese Bestimmung war nicht möglich. Den Kunden wurde lediglich die Möglichkeit eingeräumt, der Übermittlung gegenüber jeder einzelnen Empfängergesellschaft postalisch zu widersprechen.
Insgesamt stellte die AEPD (Agencia Española de Protección de Datos) folgende Verstöße fest:
– Verstoß gegen die Informationspflichten gemäß Art 13 und 14 DSGVO;
– Unvollständige und intransparente Datenschutzerklärung (ungenaue Begriffe; unvollständige Informationen zur Art der verarbeiteten Daten, zur Art und Zwecke der Verarbeitung, zu den Betroffenenrechte und den Kontaktinformationen);
– Verarbeitung der Kundendaten teilweise rechtsgrundlos (keine berechtigten Interessen, keine gültige Einwilligung);
– ungültige Einwilligungserklärungen.
Die Verstöße im Detail
Die AEPD war der Ansicht, dass die Datenschutzerklärung der Bank weder ausreichende Informationen über die betroffenen Kategorien personenbezogener Daten noch Informationen über die Zwecke der Verarbeitung sowie über die Rechtsgrundlage der Verarbeitung enthielt, insbesondere in Bezug auf die Verarbeitungstätigkeiten, die auf einem berechtigten Interesse der Bank beruhen. Die CAIXABANK hat dadurch gegen Art 13 und 14 DSGVO verstoßen und wurde ein Bußgeld in Höhe von EUR 2 Mio. verhängt.
Zudem stellte die AEPD fest, dass die CAIXABANK keinen Mechanismus zur Einholung der Einwilligung der Betroffenen implementiert hatte sowie dass die Einwilligungserklärung den Anforderungen einer gültigen Einwilligung nicht genügte. Die auf einem berechtigten Interesse beruhenden Verarbeitungstätigkeiten waren überdies nicht ausreichend gerechtfertigt. Die AEPD urteilte, dass dies einen Verstoß gegen Art 6 DSGVO begründet und wurde dafür ein Bußgeld in Höhe von EUR 4 Mio. verhängt.
Bei der Entscheidung über die Höhe der beiden Geldbußen berücksichtigte die AEPD als erschwerende Faktoren insbesondere die Art, Schwere und Dauer des Verstoßes, die fahrlässige Begehung, die (nicht) implementierten technischen und organisatorischen Maßnahmen, die aus dem Verstoß gezogenen Vorteile, die von dem Verstoß betroffenen Kategorien personenbezogener Daten, die Art der Tätigkeit des Unternehmens und dass es sich bei dem Unternehmen um ein Großunternehmen handelt sowie seinen Umsatz.
Zusätzlich zu der Verwaltungsstrafe, der höchsten, die jemals von der AEPD verhängt wurde, ordnete diese an, dass die CAIXABANK ihre Verarbeitungsvorgänge innerhalb der nächsten sechs Monate in Übereinstimmung mit den Art 6, 13 und 14 DSGVO bringen muss.
Bereits einige hohe Strafen im Jahr 2021
Neben der (bis zur Strafe gegen die CAIXABANK) bislang höchsten in Spanien verhängte Strafe iHv EUR 5 Mio. gegen die BBVA Bank, verhängten auch andere europäische Datenschutzbehörden in diesem Jahr bereits sehr hohe Strafen. So verhängte etwa die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel, wegen der unzulässigen Videoüberwachung von Beschäftigten und Kunden ein Bußgeld iHv von EUR 10,4 Mio. gegen die notebooksbilliger.de AG. Wegen der Weitergabe von Nutzerdaten (insbesondere Daten, aus denen sich die sexuelle Orientierung ableiten lässt) an Dritte zu Werbezwecken ohne die wirksame Einwilligung der App-Nutzer wird die norwegische Behörde laut ihrem Entscheidungsentwurf ein Bußgeld iHv etwa EUR 10 Mio. gegen die Grindr LLC verhängen.