900.000 Euro Bußgeld wegen Profilbildung ohne Einwilligung

Inhalt

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen Barbara Thiel hat gegen ein nicht näher benanntes Kreditinstitut ein Bußgeld in Höhe von 900.000 Euro verhängt, da eine Auswertung aktiver und ehemaliger Kunden zur Profilbildung und zu Werbezwecken ohne erteilte Einwilligung erfolgte.

Hintergrund des Bußgeldes

Das Kreditinstitut wertete personenbezogene Daten aktiver und ehemaliger Kunden ohne deren Einwilligung aus. Hierzu analysierte das Unternehmen

  • das digitale Nutzungsverhalten,
  • das Gesamtvolumen von Einkäufen in App-Stores,
  • die Häufigkeit der Nutzung von Kontoauszügen sowie
  • die Gesamthöhe von Überweisungen im Online-Banking im Gegensatz zur Nutzung des Filialangebots.

Das Unternehmen setzte für diese Auswertung einen Dienstleister ein und glich zudem die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei ab. Die Intention des Kreditinstituts war es, Nutzer mit einer erhöhten Affinität für digitale Medien ausfindig zu machen und diese entsprechend auf elektronischen Kommunikationswegen zu konsultieren.

Der Großteil der Nutzer wurde zwar entsprechend informiert, allerdings wurde die notwendige Einwilligung zu keinem Zeitpunkt eingeholt. Das Kreditinstitut stütze die Auswertung auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Die Landesbeauftragte für den Datenschutz Niedersachsen stellte fest, dass die vorgenommene Auswertung nicht mit Art. 6 Abs. 1 lit. f DSGVO vereinbar ist. Vielmehr überwiegen laut der Pressemitteilung der LfD die Interessen der Betroffenen gegenüber den Interessen des Unternehmens.

Das DSGVO-Bußgeld fiel jedoch vergleichsweise niedrig aus, da das Unternehmen die Ergebnisse seiner Auswertung nicht weiterverwendete und sich im gesamten Verfahren kooperativ zeigte.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung

Daten dürfen gemäß dem Zweckbindungsgrundsatz nur zweckgebunden verarbeitet werden. Zwar darf die Verarbeitung personenbezogener Daten auch für mehrere Zwecke stattfinden, allerdings müssen diese Zwecke grundsätzlich bereits vor der jeweiligen Verarbeitung festgelegt und den Betroffenen gegenüber entsprechend kommuniziert werden.

Vorliegend wurde die Daten ursprünglich vom Kreditinstitut nicht wegen einer Profilbildung für spätere Werbezwecke erhoben. Nach der Erhebung der betroffenen Daten wurden weitere Zwecke verfolgt, die bei der Erhebung von Daten noch nicht festgelegt waren. Damit lag eine nachträglich eingetretene Zweckänderung im Hinblick auf die Nutzung der Daten vor.

Die ursprüngliche Datenerhebung kann aber in bestimmten Fällen mit einer nachträglichen Zweckänderung vereinbar sein und damit die neue Verbreitung der Daten auf dieselbe Rechtsgrundlage gestützt werden. Erwägungsgrund 50 Satz 1 DSGVO fordert dafür, dass die  Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar sind.

Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollten die vernünftigen Erwartungen der betroffenen Personen in Bezug auf die weitere Verwendung dieser Daten im Rahmen einer Interessenabwägung berücksichtigt werden.

Folglich hätte das verantwortliche Unternehmen vorliegend prüfen müssen, ob es im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 50 DSGVO für die Kunden erwartbar war, dass ihre Daten vom Verantwortlichen in großem Umfang genutzt werden, um Neigungen zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren.

Entsprechend der geltenden strengen Zweckbindung in der DSGVO beurteilt die Landesbeauftragte für Datenschutz, dass in einem solchen Fall der Verantwortliche sich nicht auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen kann und stattdessen die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO der Betroffen einholen muss.

Die Betroffenen, die ihre Daten ursprünglich an das Kreditinstitut aufgrund eines anderen Zweckes übergeben hatten, dürften nicht damit rechnen, dass diese Daten auch zur Analyse ihrer Kommunikationspräferenz und ihres Onlinezahlungsverhalten im Vergleich zur Wahrnehmung des Filialangebots genutzt werden.

Es entspricht auch nicht einer vernünftigen Erwartungshaltung, dass auch externe Stellen (wie bspw. eine Wirtschaftsauskunftei) miteinbezogen werden. Dabei können Daten aus unterschiedlichen Lebensbereichen verkettet und damit genauere Profile erstellt werden. Auch deshalb müsste für die Einbeziehung externer Stellen die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO eingeholt werden.

Lesen Sie hier, unter welchen Umständen die Inanspruchnahme einer Wirtschaftsauskunftei im Onlinehandel auch auf Art. 6 Abs. lit. f DSGVO gestützt werden kann.Fazit

Sobald Daten zu Werbezwecken verarbeitet werden, sollten Verantwortliche besondere Vorsicht walten lassen. Es sollte vor allem nicht unbedacht auf Art. 6 Abs. 1 lit. f DSGVO zurückgegriffen werden. Vielmehr ist eine genaue Prüfung erforderlich, da eine werbliche Kommunikation mit Kunden oft nicht den vernünftigen Erwartungen der Betroffen entspricht. Vielmehr sollte eine genaue Prüfung dahingehend vorgenommen werden, ob eine Einwilligung erforderlich ist.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.