Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) avser att bötfälla en bank med 900 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av LfD Niedersachsens pressmeddelande framgår att en bank använt personuppgifter om nuvarande och tidigare kunder för att skapa kundprofiler i reklamsyfte. För att skapa kundprofilerna använde banken ett personuppgiftsbiträde som analyserade digitala användningsbeteenden och bland annat utvärderade den totala volymen av köp i appbutiker, hur ofta kunderna använde utskrifter av kontoutdrag samt det totala beloppet av överföringar i nätbanken jämfört med användningen av tjänsterna på bankens lokala kontor. Resultaten jämfördes och berikades därefter med ytterligare uppgifter från ett kommersiellt kreditupplysningsföretag. De flesta kunderna informerades i förväg, men inget samtycke hämtades in enligt artikel 6.1 (a) GDPR. Banken grundade istället dataanalysen, dataförädlingen och det efterföljande skapandet av kundprofiler på berättigat intresse enligt artikel 6.1 (f) GDPR.
LfD Niedersachsen konstaterade att analysen av stora datamängder för att skapa kundprofiler inte kunde grundas på ett berättigat intresse enligt artikel 6.1 (f) GDPR. Enligt LfD Niedersachsen kräver en behandling som grundar sig på ett berättigat intresse en avvägning mellan den personuppgiftsansvariges intresse och den registrerades grundläggande rättigheter och friheter. Den personuppgiftsansvarige måste även ta hänsyn till de registrerades rimliga förväntningar.
Enligt LfD Niedersachsen kan en registrerad inte rimligen förvänta sig att stora mängder av dennes personuppgifter kommer att analyseras av den personuppgiftsansvarige för marknadsföringsändamål. Tredjepartsberikning av uppgifter, som användningen av uppgifter från kommersiella kreditupplysningsföretag, åsidosätter ytterligare den personuppgiftsansvariges intresse och ändrar avvägningen mellan de båda parternas berättigade intressen till den registrerades fördel.
Dessutom konstaterade LfD Niedersachsen att berikning av uppgifter från en tredjepartskälla inte heller kan baseras på ett berättigat intresse. Detta skulle enligt LfD Niedersachsen potentiellt göra den möjligt för personuppgiftsansvariga att koppla samman uppgifter från registrerades alla livsområden till en korrekt kundprofil, vilket en kund inte rimligen förvänta sig. Enligt LfD Niedersachsen krävs därför kundens samtycke enligt artikel 6.1 (a) GDPR.
Mot denna bakgrund har LfD Niedersachsen beslutat att bötfälla banken med 900 000 euro, ett beslut som ännu inte är rättsligt bidande.