Tyskland: Bank bötfälls med 900 000 euro för olaglig profilering i reklamsyfte

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) avser att bötfälla en bank med 900 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av LfD Niedersachsens pressmeddelande framgår att en bank använt personuppgifter om nuvarande och tidigare kunder för att skapa kundprofiler i reklamsyfte. För att skapa kundprofilerna använde banken ett personuppgiftsbiträde som analyserade digitala användningsbeteenden och bland annat utvärderade den totala volymen av köp i appbutiker, hur ofta kunderna använde utskrifter av kontoutdrag samt det totala beloppet av överföringar i nätbanken jämfört med användningen av tjänsterna på bankens lokala kontor. Resultaten jämfördes och berikades därefter med ytterligare uppgifter från ett kommersiellt kreditupplysningsföretag. De flesta kunderna informerades i förväg, men inget samtycke hämtades in enligt artikel 6.1 (a) GDPR. Banken grundade istället dataanalysen, dataförädlingen och det efterföljande skapandet av kundprofiler på berättigat intresse enligt artikel 6.1 (f) GDPR.

LfD Niedersachsen konstaterade att analysen av stora datamängder för att skapa kundprofiler inte kunde grundas på ett berättigat intresse enligt artikel 6.1 (f) GDPR. Enligt LfD Niedersachsen kräver en behandling som grundar sig på ett berättigat intresse en avvägning mellan den personuppgiftsansvariges intresse och den registrerades grundläggande rättigheter och friheter. Den personuppgiftsansvarige måste även ta hänsyn till de registrerades rimliga förväntningar.

Enligt LfD Niedersachsen kan en registrerad inte rimligen förvänta sig att stora mängder av dennes personuppgifter kommer att analyseras av den personuppgiftsansvarige för marknadsföringsändamål. Tredjepartsberikning av uppgifter, som användningen av uppgifter från kommersiella kreditupplysningsföretag, åsidosätter ytterligare den personuppgiftsansvariges intresse och ändrar avvägningen mellan de båda parternas berättigade intressen till den registrerades fördel.

Dessutom konstaterade LfD Niedersachsen att berikning av uppgifter från en tredjepartskälla inte heller kan baseras på ett berättigat intresse. Detta skulle enligt LfD Niedersachsen potentiellt göra den möjligt för personuppgiftsansvariga att koppla samman uppgifter från registrerades alla livsområden till en korrekt kundprofil, vilket en kund inte rimligen förvänta sig. Enligt LfD Niedersachsen krävs därför kundens samtycke enligt artikel 6.1 (a) GDPR.

Mot denna bakgrund har LfD Niedersachsen beslutat att bötfälla banken med 900 000 euro, ett beslut som ännu inte är rättsligt bidande.

Mer information

Myndighet: Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen)

Land: Tyskland

Lagrum: Art. 6 GDPR

Sanktionsavgift: 900 000 euro

Mottagare: N/A

Beslutsnummer: N/A

Beslutsdatum: 2022-06-28

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.