Profilbildung zu Werbezwecken mit Smart-Data-Verfahren
Die Datenschutzbehörde hat erneut mehrere Bußgeldverfahren im Zusammenhang mit Smart-Data-Verfahren zum Abschluss gebracht. Einzelne Kreditinstitute bildeten mit vorhandenen personenbezogenen Daten aktiver Kundinnen und Kunden Profile zur werblichen Ansprache. Ausgewertet wurden Zahlungsdaten (zum Beispiel das im Vorjahr eingegangene Gehalt, Zahlungen per E-Payment und Grundkosten wie Energieversorgung), Stammdaten (zum Beispiel Alter, Familienstand und Dauer der Kundenbeziehung) sowie Angaben zum Wohnumfeld (zum Beispiel Anteil der Erwerbstätigen und Anzahl der PKW-Neuzulassungen im sogenannten Mikromarkt).
Ziel der Institute war es, anhand der so gebildeten Profile Kundinnen und Kunden zu identifizieren, die für spezifische Produkte besonders zugänglich sein könnten. Solche Auswertungen der vorhandenen Daten sowie die Hinzuziehung weiterer Daten für Werbezwecke waren von den Kundinnen und Kunden vernünftigerweise nicht zu erwarten. Die Unternehmen konnten sich daher nicht auf ein berechtigtes Interesse als Rechtsgrundlage stützen. In 12 Verfahren hat die Datenschutzbehörde Geldbußen in Höhe von insgesamt 631.000 Euro festgesetzt. Weitere Verfahren sind anhängig.
Ebenfalls im Smart-Data-Kontext hat die Wirtschaftsaufsicht bei der Datenschutzbehörde aufgrund von Beschwerden in drei gesonderten Verwaltungsverfahren die Art der Einholung von Einwilligungen überprüft. Die Beschwerdeführer hatten im Onlinebanking in den geprüften Einzelfällen keine Möglichkeit, die Erteilung der Einwilligung abzulehnen. Wollten sie keine Einwilligung erteilen, konnten sie das entsprechende Dialogfenster lediglich durch Betätigung der Schaltfläche „Jetzt nicht zustimmen“ schließen. Dies führte dazu, dass die Abfrage alle sechs Wochen erneut erschien. Somit war nicht gewährleistet, dass die Kundinnen und Kunden ihre Einwilligung freiwillig erteilen. Den Kreditinstituten wurde angekündigt, die Nutzung dieser Einwilligungen verwaltungsrechtlich zu untersagen. Die Untersagung musste nicht mehr ausgesprochen werden, weil die Institute rechtzeitig eine Schaltfläche zum Ablehnen der Einwilligung integriert hatten. Bußgeldverfahren wurden nicht eingeleitet.
Quelle: Der Landesbeauftragte für den Datenschutz Niedersachsen
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks