En klient hos en österrikisk bank lämnade in en begäran om tillgång till personuppgifter enligt GDPR. När klienten inte fick något svar inom en månad, lämnade hon in ett klagomål till den österrikiska dataskyddsmyndigheten. Banken skickade efter detta ett mejl till klienten och meddelade att de skulle radera hennes personuppgifter, trots att hon inte hade begärt detta utan endast ville få tillgång till sina uppgifter.
Myndigheten fann att banken felaktigt hade tolkat klientens begäran om tillgång som en raderingsbegäran, vilket innebar att banken hade brutit mot klientens rätt till tillgång till sina personuppgifter enligt GDPR. Myndigheten inledde därefter ett sanktionsförfarande mot banken och gav dem möjlighet att försvara sig. Banken hävdade att dataskyddsombudet hade missförstått begäran och därför inlett en raderingsprocess. Banken meddelade också att de planerade att anställa ytterligare personal för att hantera dataskyddsfrågor och överväga extern konsultation för framtida ärenden.
Dataskyddsmyndigheten pausade dock sanktionsförfarandet i väntan på ett beslut från EU-domstolen i ett liknande fall. När domen publicerades i december 2023 konstaterade myndigheten att bankens felaktiga hantering kunde tillskrivas banken som juridisk person, eftersom felet begicks av en anställd inom ramen för bankens ekonomiska verksamhet.
Myndigheten fann dock inga bevis för att banken agerat medvetet, utan att det snarare rörde sig om försumlighet. Med hänsyn till överträdelsens allvar, som bedömdes vara låg eftersom det endast berörde en enskild person, beslutade den österrikiska dataskyddsmyndigheten att banken skulle bötfällas med €9,500. Straffsanktionen syftade till att förhindra framtida överträdelser och öka medvetenheten om bankens skyldigheter enligt GDPR.