5 Mio. € Bußgeld CAIXABANK, S.A.
Die spanische Datenschutzbehörde (AEPD) hat gegen die CAIXABANK, S.A., die drittgrößte spanische Privatkundenbank, ein Bußgeld in Höhe von 5 Mio. Euro verhängt.
Grund für das Bußgeld ist die Übermittlung der Quittung eines Kunden an einen unberechtigten Dritten. Ein Kunde konnte nach der Aktualisierung seiner personenbezogenen Daten den Zahlungsnachweis einer unbekannten dritten Person an eine weitere ihm unbekannte Person in seinem Bankkonto einsehen. Er hatte Zugriff auf die Namen des Senders und Empfängers, Wohnadresse, IBAN der Konten sowie Herkunfts- und Zielort der Überweisung. Wegen der unzureichenden Reaktion des eingeschalteten Kundendienstes kontaktierte er die spanische Datenschutzbehörde.
Erst 2021 war gegen die Bank wegen mangelhaftem Nachkommen der Informationspflichten und fehlender Rechtmäßigkeit der Verarbeitung personenbezogener Daten ein Bußgeld in Höhe von 6 Mio. Euro verhängt worden. Und auch danach fiel die Bank immer wieder durch hohe Bußgelder auf. Im Oktober 2021 musste sie wegen der Profilerstellung und Bewertung der Kreditwürdigkeit von Nicht-Kunden ohne deren gültige Einwilligung 3 Mio. Euro zahlen und im Februar 2022 wegen einer monatlichen Gebühr für Kunden, die der Übermittlung an Dritte und Werbemaßnahmen nicht zustimmten 2,1 Mio. Euro.
Und auch bei der neusten Datenpanne kritisierte die Datenschutzbehörde die mangelhafte Klärungsbereitschaft und für die Versuche das von ihr verursachte Datenleck herunterzuspielen. Die Bank sorgte nach der Beschwerde nicht für eine schnelle Klärung, sodass der Beschwerdeführer weiterhin Zugriff auf die Daten der Dritten hatte.
In der Prüfung der Bank durch die Datenschutzbehörde fiel zudem auf, dass die CaixaBank keine ausreichenden technischen und organisatorischen Sicherheitsmaßnahmen implementiert hatte, die derartige Datenpannen verhindern können.
Außerdem gab es keine gesonderte Stelle für Datenschutzbeschwerden, sondern nur den Kundendienst, was keine angemessene Bearbeitung ermöglichte.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.