Rechtswidriges Profiling - Bußgeld gegen Bank

Ein Bußgeld von 900.000,00 EUR setzt die LfD nun gegen ein Kreditinstitut aufgrund der Profilbildung zu Werbezwecken fest. Grund war, dass das Kreditinstitut das Nutzungsverhalten ehemaliger Kund:innen unter Zuhilfenahme eines Dienstleisters ohne deren Einwilligung analysierte und auswertete und die Datenverarbeitung auf das Vorliegen eines berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DSGVO) stützte. Dabei zielte das Kreditinstitut darauf ab, durch die Auswertung Kund:innen, die ein Interesse an digitalen Medienangeboten haben, zu identifizieren. Diese sollten dann für vertragsrelevante, aber auch werbliche Zwecke über die digitalen Kommunikationswege angesprochen werden.

Dafür analysierte das Unternehmen z.B. das Gesamtvolumen der Einkäufe in App-Stores, wie oft die Kund:innen Kontoauszugsdrucker verwendete oder auch die Gesamthöhe von Überweisungen im Rahmen des Online-Bankings im Vergleich zur Nutzung des Filialangebots. Zudem setzte das Kreditinstitut eine Wirtschaftsauskunftei ein, welche die Ergebnisse der Auswertungen abglich und zudem von dort anreicherte.

Durch dieses Vorgehen können umfassende Profile betroffener Personen erstellt werden, welche verschiedene Daten aus unterschiedlichen Lebensbereichen verknüpfen, so die Landesbeauftragte. Wenngleich eine Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu Werbezwecken wohl im Interesse der Verantwortlichen liege (vgl. auch ErwG 47 S. 7, der besagt, dass eine Verarbeitung zum Zwecke der Direktwerbung als eine im berechtigten Interesse liegende Verarbeitung betrachtet werden kann), so erlaube diese aber dennoch nicht „Profile zu Werbezwecken zu bilden, indem […] große Datenbestände“ ausgewertet werden, so die LfD. Insbesondere müsse in die i.S.d. Art. 6 Abs. 1 S. 1 lif. f DSGVO zu führende Interessenabwägung die vernünftigen Erwartungen der Kund:innen berücksichtigt werden – diese würden aber gerade nicht erwarten, dass der Verantwortliche Datensätze nutze, um ihre Neigungen für bestimmte Produkte oder Kommunikationswege auszuwerten (vgl. auch ErwG 47 S. 1 und 4 DSGVO). Demnach könne hier als taugliche Rechtsgrundlage lediglich die Einwilligung fungieren.

Profiling nur mit Einwilligung und Pflichten der verantwortlichen Stelle

Die Datenschutzkonferenz der Länder und des Bundes positionierte sich im Februar auch schon mit ihrer Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung (zur PDF) dahingehend, dass im Rahmen der Interessenabwägung des Art. 6 Abs. 1 S. 1 lit. f DSGVO mit Blick auf ErwG 47 auf die subjektive Erwartungshaltung der betroffenen Person abzustellen sei sowie, dass das Profiling eine eingriffsintensive Maßnahme darstelle, welche dafür spreche, dass eindeutig die Interessen der betroffenen Person am Ausschluss der Verarbeitung überwiegen (vgl. 4f. der OH). Es bedarf in solchen Fällen somit der Einholung einer freiwilligen und jederzeit widerrufbaren Einwilligung i.S.d. Art. 6 Abs. 1 S. 1 lit. a DSGVO. Zudem bedarf es vor Datenerhebung auch in diesem Fall einer Datenschutzinformation i.S.d. Art. 13 DSGVO. Die Erteilung der Informationspflichten stellt jedoch eine zwingende Pflicht der verantwortlichen Stelle dar (außer in den in Abs. 4 genannten Fällen).

Das Bußgeld gegen das Kreditinstitut ist bisher allerdings noch nicht rechtskräftig, sodass es in diesem Fall noch zu einer gerichtlichen Überprüfung kommen könnte. Das Kreditinstitut hat allerdings angekündigt, das Bußgeld voraussichtlich akzeptieren zu wollen.

Zusammenfassend wird deutlich, dass bei jedem Projekt von Anfang an der Datenschutz und seine Anforderungen bedachte werden müssen, da potentielle Verletzungen für die betroffenen Personen einen Eingriff in ihre Rechte darstellen, den es zu vermeiden gilt. Daher ist insbesondere darauf zu achten, dass die Informationspflichten eingehalten werden und auch die ggf. notwendigen weiteren Unterlagen wie Auftragsverarbeitungsverträge oder Verarbeitungsverzeichnisse sowie Datenschutz-Folgenabschätzungen vorzunehmen sind. Zusätzlich wird durch die Festsetzung des Bußgeldes gegen das Kreditinstitut deutlich, dass insbesondere bei Werbungs- und Profilbildungsmaßnahmen restriktiv zu handeln ist.