Im Juli 2025 verhängte die italienische Aufsichtsbehörde für Datenschutz (Garante per la protezione dei dati personali, GPDP) ein Bußgeld in Höhe von 100.000 Euro gegen die Banco Bilbao Vizcaya Argentaria SA (BBVA).
Was war passiert?
Ein Kunde der Bank, der dort ein Girokonto hatte, wurde Opfer eines Betrugs und verlangte Zugang zu Telefonaufzeichnungen seiner Gespräche mit dem Kundenservice, um eine strittige Überweisung von ca. 10.000 Euro zu klären. Die Aufzeichnungen wollte er nutzen, um die Überweisung anzufechten und den Vorfall aufzuklären.
Die Bank stellte die Aufzeichnungen zunächst nicht zur Verfügung. Erst Wochen nach dem Antrag auf Zugang zu den Daten und erst nach einer Beschwerde des Kunden bei der zuständigen Aufsichtsbehörde übermittelte die Bank die geforderten Aufzeichnungen.
Erklärungen der Bank
Die Bank erklärte, dass der Fehler auf eine interne Umstellung des Verfahrens zur Übermittlung von Telefonaufzeichnungen zurückzuführen sei, die im Januar 2024 erfolgt war. Diese Umstellung führte zu Verzögerungen bei der Identifikation und Bereitstellung der Aufzeichnungen.
Die Entscheidung der Aufsichtsbehörde
Nach Ansicht der Datenschutzaufsichtsbehörde hat die Bank gegen die Art. 12 DSGVO (Fristen für die Beantwortung von Auskunftsanfragen) und Art. 15 DSGVO (Recht auf Auskunft) verstoßen, weil sie den Antrag des Kunden auf Zugang zu seinen personenbezogenen Daten nicht innerhalb des gesetzlich vorgeschriebenen Zeitrahmens von einem Monat bearbeitet hatte. Zudem hat die Bank den Kunden nicht über die Gründe für die Verzögerung informiert und keine Hinweise auf seine Rechte gegeben.
Obwohl die Bank Schritte unternommen hatte, um das Verfahren zu verbessern, wurde der Verstoß als erheblich eingestuft, da er die Rechte des Kunden auf Auskunft und Transparenz verletzte. Die Behörde verhängte eine Geldbuße in Höhe von 100.000 Euro aufgrund der Verstöße gegen die DSGVO. Bei der Bemessung der Bußgeldhöhe hat die Aufsichtsbehörde den Umsatz der Bank, die Kooperation im Verfahren sowie das Fehlen vorheriger Verstöße berücksichtigt.
Empfehlungen für die Praxis
Diese Entscheidung verdeutlicht die Notwendigkeit, dass Unternehmen ihre Prozesse zur Bearbeitung von Anfragen gemäß der DSGVO kontinuierlich anpassen, optimieren und sicherstellen, dass alle Fristen und Informationspflichten strikt eingehalten werden.
Unternehmen müssen sicherstellen, dass sie Anfragen auf Zugang zu personenbezogenen Daten unverzüglich und spätestens innerhalb eines Monats nach Eingang bearbeiten. Verzögerungen, wie sie im oben beschriebenen Fall auftraten, können zu erheblichen rechtlichen Konsequenzen führen, einschließlich Bußgeldern. Fristverlängerungen bei Auskunftsersuchen sind nur in bestimmten Fällen legitim (mehr dazu lesen Sie hier).
In jedem Fall müssen Unternehmen bzw. Verantwortliche sicherstellen, dass sie betroffene Personen klar und rechtzeitig über Verzögerungen informieren. In der Praxis bedeutet das, dass Unternehmen ihre internen Prozesse zur Bearbeitung solcher Anfragen optimieren und ggf. zusätzliche Ressourcen bereitstellen müssen, um der DSGVO gerecht zu werden.
Die Entscheidung aus Italien zeigt, dass Datenschutzverstöße nicht nur zu einer Beeinträchtigung der Rechte der betroffenen Personen führen, sondern auch erhebliche wirtschaftliche Auswirkungen für das Unternehmen haben können. Ein Bußgeld in Höhe von 100.000 Euro mag für große Unternehmen, wie die BBVA, möglicherweise überschaubar erscheinen, für kleinere Unternehmen kann dies jedoch eine existenzielle Bedrohung darstellen. Es wird daher empfohlen, dass Unternehmen vorbeugende Maßnahmen ergreifen, um Verstöße zu vermeiden und im Falle einer Überprüfung schnell und kooperativ zu reagieren.