Bußgelder, Werbung

900.000 EUR Bußgeld wegen Werbeprofilen

by  •  • Kommentare deaktiviert für 900.000 EUR Bußgeld wegen Werbeprofilen

Die Landesbeauftragte für den Datenschutz (LFD) Niedersachsen setzte 2022 eine noch nicht rechtskräftige Geldbuße gegen eine Bank fest, die Daten von Kunden und ehemaligen Kunden auswertete, anreicherte und Daten-Profile bildete – ohne um Erlaubnis zu fragen.

900.000 Euro Bußgeld gegen Bank wegen Profilbildung zu Werbezwecken ohne Einwilligung

Nehmen Sie einmal kurz die Position eines betroffenen Bankkunden ein:

1. Erwarten Sie als Bankkunde, dass Ihre Bank Ihr digitales Nutzerverhalten analysiert und dazu folgendes auswertet:

  • Ihr Einkaufsvolumen in App-Stores,
  • wie oft Sie an den Kontoauszugsdrucker gehen
  • in welche Gesamthöhe Sie Ihre Online-Überweisung tätigen
  • wie Sie Filialangebote nutzen
  • und im Anschluss daran dann das Ergebnis mit einer Wirtschafstaukunftei abgeglichen und angereichert wird?

2. Hätten Sie sich transparent und ausreichend informiert gefühlt, wenn Sie eine Aufklärung über eine derartige Verarbeitung Ihrer Daten lediglich im Zuge anderer Bankunterlagen zugesandt bekommen hätten?

3. Wären Sie damit einverstanden gewesen, dass man, mit diesen Informationen, ein Profil von Ihnen erstellt, was darüber Auskunft gibt, wie es um Ihre Neigung für digitale Medien bestellt ist?

Das Ziel der Bank war, mit Ihnen, wenn Sie als digitalaffine Person „erkannt“ worden wären, verstärkt digital zu kommunizieren – sowohl werblich als auch vertraglich. Wäre das für Sie in Ordnung?

So sieht es die Bank:

Die Bank war der Meinung, dass sie Sie hierzu nicht um Ihre Erlaubnis fragen müsse sondern ihre eigenen berechtigten, wirtschaftlichen Interesse den Ihrigen überwiegen. Mit dieser Überlegung entschied sich die Bank, diese profilbildende Datenverarbeitung mit der Rechtsgrundlage des berechtigten Interesses (Art. 6 (1) f DSGVO) für sich zu legalisieren.

So sieht es die Aufsichtsbehörde:

Das sah die Aufsicht Niedersachsen anders. Für sie sind Ihre vernünftigen Erwartungen ausschlaggebend. Dementsprechend ist sie der Meinung, das Sie mit einer solchen Verarbeitung nicht gerechnet hätten – schon gar nicht mit der zusätzlichen Anreicherung Ihrer Daten aus externen Quellen. Sie wertet damit Ihre Interessen höher als die der Bank und sieht gemäß der DSGVO in diesem Fall grundsätzlich nur Ihre Einwilligung (Art. 6 (1) a DSGVO) als adäquate Rechtsgrundlage für dieses Profiling an.

Mildernd wirkten sich auf die Bußgeldsumme folgende zwei Umstände aus:

    1. Die Bank hat die Auswertungsergebnisse nicht verwendet.
    2. Die Bank hat mit der Aufsichtsbehörde kooperiert.

Es kommt also immer auf die richtige Rechtsgrundlage an. Auch wenn die Einwilligung i.d.R. nur das letzte Mittel der Wahl ist, kommt man für eine derartige Datenverarbeitung ohne sie nicht aus.