Barclays Bank Irelands Hamburg-filial har dömts av tysk domstol för att ha brutit mot GDPR genom att otillåtet dela en kunds personuppgifter med den tyska kreditvärderingsbyrån SCHUFA. Fallet gäller en kund som efter att ha avslutat sitt kreditkortskonto med banken blev ombedd att betala över 1 000 euro, en summa han bestred. Trots kundens invändningar rapporterade banken skulden till kredidtvärderingsbyrån, vilket senare ledde till att två andra banker nekade kunden lån och blockerade hans kreditkort.
Kunden tog ärendet till domstol och hävdade att bankens rapportering till SCHUFA var omotiverad och orsakade honom skada. Domstolen höll med och konstaterade att banken inte hade någon legitim grund enligt GDPR för att dela kundens uppgifter med SCHUFA, särskilt eftersom skulden var omtvistad. Domstolen avvisade också bankens argument om att rapporteringen var nödvändig för att skydda kreditbranschen. Domstolen betonade att bankens handlingar hade orsakat kunden både materiella och immateriella skador, inklusive en försämrad social status och ekonomiska konsekvenser.
Domstolen dömde banken till att betala 2 000 euro i skadestånd till kunden för den första felaktiga rapporteringen. Efter att kunden överklagat skadeståndsbeloppet fastslog den högre regionala domstolen att banken gjort ytterligare en felaktig rapportering till SCHUFA, trots kundens fortsatta invändningar. Domstolen ansåg att detta visade på en allvarlig nonchalans från bankens sida och höjde skadeståndsbeloppet till totalt 4 000 euro.