Unternehmen: CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.Möglicher Datenschutzverstoß: Fehlen einer ausdrücklichen und in Kenntnis der Sachlage erteilten Einwilligung in das Profiling zu kommerziellen Zwecken.Die Behörde: AEPD (Agencia Española de Protección de Datos) Bußgeldhöhe: 3.000.000 Euro Im Fokus der Betrachtung steht hier die CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U.. Das Verfahren wurde eingeleitet, nachdem mehrere Hinweise darauf vorlagen, dass es sich bei der automatisierten Profilerstellung und Entscheidungsfindung – des für die Verarbeitung Verantwortlichen im Rahmen seiner kommerziellen Tätigkeit – um unzulässige Praxis handeln könnte.
Der festgestellte Datenschutzverstoß in diesem Fall
Die Tätigkeit des Finanz- und Zahlungsinstituts besteht darin, Kredit- oder Debitkarten, Kreditkonten und Darlehen über drei Kanäle zu vertreiben: direkt über Caixabank-Zahlungen, über einen Agenten (La Caixa) und über Verordner (Verkaufsstellen wie zum Beispiel IKEA).
Im Rahmen ihrer kommerziellen Tätigkeit erstellt die Caixabank Profile für folgende Zwecke:
- Analyse des Ausfallrisikos bei der Beantragung eines Produkts.
- Analyse des Ausfallrisikos während der Beantragung eines Produkts.
- Auswahl des Zielpublikums.
Die Zustimmung wird in den verschiedenen Kanälen von Verschreibern und Vertretern für Studien- und Profilierungszwecke eingeholt. So wird die Zustimmung in folgender Form erbeten: „Ich ermächtige die CaixaBank-Gruppe, meine Daten zu Studien- und Profilierungszwecken zu verwenden“.
Im vorliegenden Fall erhält der Betroffene nur allgemeine Informationen über die verschiedenen Profiling-Behandlungen, und mit diesen Informationen kann der Betroffene nicht genau wissen, welcher Verwendung er zustimmt. Es ist auch nicht vorgesehen, dass die betroffene Person ihre Wahl zu allen Zwecken, für die die Daten verarbeitet werden, treffen kann.
Entscheidung der Spanischen Datenschutzbehörde
Die AEPD verhängte daraufhin eine Geldbuße in Höhe von 3.000.000 EUR gegen die CAIXABANK wegen fehlender ausdrücklicher und in Kenntnis der Sachlage erteilter Einwilligung in das Profiling zu kommerziellen Zwecken. Die AEPD wies den für die Verarbeitung Verantwortlichen an, die Verarbeitungen innerhalb von sechs Monaten nach der Entscheidung mit den Bestimmungen der Datenschutz-Grundverordnung in Einklang zu bringen.