2010年11月23日,德国联邦汉堡州数据保护机构(“ DPA”)对区域金融机构Hamburger Sparkasse AG(“ Haspa”)处以20万欧元的罚款,原因是该公司非法允许其客户服务代表访问客户的银行数据,以及为客户进行剖析,并授予代表访问此类个人资料的权限。该银行与DPA合作,立即终止了违法行为。

从2005年底到2010年8月,Haspa经常允许未经授权的自雇外部客户服务代表访问客户银行数据,而无需先征得客户的同意。根据DPA,尚不清楚访问的银行帐户数量。银行通过查看详细记录代表访问权限的日志文件来了解这种做法。

此外,银行还创建了可用于所有外部客户服务代表的客户角色档案。该银行使用跟踪的帐户余额和有关金融产品使用的数据来创建客户资料。这些资料基于神经学研究和客户数据,包括客户的社会人口状况和金融产品,例如直接存款帐户和交易次数。概要文件的创建和使用是在不通知客户的情况下进行的。

汉堡DPA负责人约翰内斯·卡斯帕(Johannes Caspar)认为,罚款是基于以下因素:(i)银行数据被认为具有高度敏感性,因为它提供了大量有关个人客户的信息,(ii)严重程度和程度(iii)罚款金额应超过因违规行为所产生的经济利益。此外,DPA试图阻止未来违反数据保护法的行为,同时告诫不要使用现代的神经营销策略来开发客户。

在银行的辩护中,DPA认为该银行的管理层迅速做出了回应,澄清了这些问题,并配合了DPA的调查。此外,7月9日,银行撤回了来自外部服务代表的客户数据访问权限。 DPA还考虑到,该银行在8月实施了旨在满足数据保护要求的新技术程序,并删除了非法客户资料。

该案突显了德国数据保护机构愿意对未能保护客户数据的公司处以巨额罚款。在类似的情况下,Postbank在2010年初被罚款120,000欧元。