Die europäischen Datenschutzaufsichtsbehörden bleiben im Bankensektor weiterhin aktiv und haben in den vergangenen Monaten erneut signifikante Bußgelder verhängt. Besonders hervorzuheben ist die spanische Datenschutzbehörde, die in zwei Fällen aufgrund von Beschwerden einzelner Personen hohe Strafen verhängte.

Mangelnde technisch-organisatorische Maßnahmen

Im November 2023 reagierte die spanische Datenschutzbehörde auf die Beschwerde einer Privatperson, die Kundin bei der betroffenen war. Die Kundin hatte ihre Handtasche verloren, in der sich auch ihre Bankkarte befand. Daraufhin beantragte sie bei der Bank die Sperrung all ihrer Bankprodukte. Die Bank kam diesem Antrag jedoch nicht nach, wodurch es Dritten möglich war, unter falschen Identitäten auf die Bankprodukte der Kundin zuzugreifen und Geld zu überweisen. Bei der Untersuchung stellte die Datenschutzbehörde fest, dass die Bank es versäumt hatte, geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen, um solche Vorfälle zu verhindern und personenbezogene Daten zu schützen.

Als Konsequenz wurde ein Bußgeld in Höhe von 800.000 EUR gegen die Bank verhängt.

Ableitungen und Handlungsempfehlungen:

Die jüngsten Fälle zeigen deutlich, wie wichtig es ist, umfassende technisch-organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO zu implementieren und aufrechtzuerhalten. Überprüfen Sie regelmäßig die Einhaltung und Umsetzung dieser Maßnahmen durch Ihre Mitarbeitenden!

Abfrage von personenbezogenen Daten

Am 17. April 2024 reagierte die spanische Datenschutzbehörde auf die Beschwerde einer Privatperson. Diese hatte sich darüber beschwert, dass die Bank eine Reihe von personenbezogenen Daten von ihr angefordert hatte. Dazu wurde ihr ein Dokument zur Unterschrift vorgelegt, in dem ihre personenbezogenen Daten bereits vorausgefüllt waren. Das Dokument enthielt zudem eine Klausel, mit der die Person der Bank die Erlaubnis erteilte, ihre Daten bei der Sozialversicherungskasse anzufordern. Die Möglichkeit, diese Zustimmung zu verweigern, gab es nicht.

Nachdem die Person der Bank mitgeteilt hatte, dass sie der Datenverarbeitungspraxis nicht zustimme, drohte die Bank mit der Sperrung des Kontos.

Das ursprünglich verhängte Bußgeld von 2.000.000 EUR wurde nach einem Schuldeingeständnis und der freiwilligen Zahlung um jeweils 20 Prozent reduziert, sodass die finale Strafe 1.200.000 EUR betrug.

Ableitungen und Handlungsempfehlungen:

Achten Sie bei der Erstellung von Dokumenten darauf, dass die abgefragten personenbezogenen Daten zweckgebunden sind und eine entsprechende Rechtsgrundlage vorliegt! Der Hinweis zum Widerspruch sollte grundsätzlich enthalten sein.

Die ETL consit GmbH unterstützt Sie gerne bei der Überprüfung Ihrer Datenschutzorganisation, Prozesse und Dokumente. Unser Ziel ist es, potenzielle Risiken frühzeitig zu erkennen und durch gezielte Maßnahmen zu beseitigen oder zu minimieren.

Lesen Sie auch: 
Schwachstellen-Scans gemäß DORA