Bußgeld für Hannoversche Volksbank: DSGVO-Verstoß bei Kundendaten

Die Hannoversche Volksbank muss 900.000 Euro Bußgeld wegen Verstoßes gegen die DSGVO zahlen. Diese vergleichsweise hohe Strafe setzte jetzt die Datenschutzbehörde Niedersachsen fest, weil das Institut in der Vergangenheit Kundendaten von aktuellen und früheren Kunden ausgewertet haben soll. Ziel war die Ausführung von gezielteren Werbeansprachen. Das Perfide daran: Die Volksbank hatte die Daten mit Hilfe von weiteren Daten einer Wirtschaftsauskunftei – im konkreten Fall wohl Schufa-Daten – angereichert. Doch das ist offenbar bei Weitem nicht der einzige Fall dieser Art in Deutschland.

Nicht alles, was technisch möglich ist und im Interesse einer Bank ist, ist datenschutzrechtlich auch erlaubt. Das musste jetzt die Volksbank Hannover erkennen – und die Erkenntnis ist 900.000 Euro teuer. So hoch ist die Strafe, die die niedersächsische Datenschutzbehörde wegen der Verletzung von Datenschutz bei bestimmten Kundendaten verhängt hat. Wie das Nachrichtenportal Heise sowie einige regionale Medien berichten, hat die niedersächsische Datenschutzbeauftragte Barbara Thiel beanstandet, dass das in Hannover ansässige Institut gegen Artikel 6.1f der Datenschutzgrundverordnung verstoßen habe, indem man das digitale Nutzungsverhalten von Kunden analysiert hat und dies in – aus Sicht der Datenschützer – keinem „berechtigten Interesse“ im Sinne der Güterabwägung stand.

Unter anderem wurde laut den Medienberichten das Gesamtvolumen von Kaufvorgängen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zu Filialbesuchen analysiert. Dies erfolgte offenbar mit Hilfe eines Dienstleisters und unter Einbeziehung von Schufa-Daten. Dies berichtet die taz. Ziel sei offenbar eine verbesserte Kundenbetreuung gewesen.

Die Betroffenen erwarten es in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren.“

Barbara Thiel, Landesdatenschutzbeauftragte Niedersachsen

Kunden erhielten ein 28-seites Schreiben zum Thema

Einige Kunden, die bei der Schufa ein zahlungspflichtiges Upgrade abonniert haben, das sie automatisch über Änderungen ihrer Daten informiert, erhielten Informationen darüber seitens der Schufa, dass die Volksbank hier eine entsprechende Anfrage gestellt habe. Mindestens zwei Beschwerden soll es diesbezüglich bei der Datenschutzbehörde gegeben haben. Laut dem Pressesprecher der Volksbank Markus Volck sei es darum gegangen, wie online-affin eine Person bei ihren Finanzen sei und ob diese etwa auch bei einer Direktbank ist oder einen Online-Kredit hat. Dinge, die eine Bank, wenn ihr der Kunde das nicht selbst auf Anfrage mitteilen will, schlichtweg nichts angehen, DSGVO hin oder her.

Es habe sich dabei, so erklärt das Institut gegenüber der taz, um ein Angebot der Schufa gehandelt, das man „gerne angenommen“ habe. Immerhin habe man sämtliche 220.000 Kunden in einem 28-seitigen (!) Brief unter anderem über die Zusammenarbeit informiert – und, das gehört auch zur Wahrheit – über das Widerrufsrecht informiert. Zur Frage, wie viele der Kunden sich 28-seitige Briefe dieser Art durchlesen, gibt es indes keine genauen Angaben (aber Vermutungen lassen sich durchaus anstellen).

Ziel sei es, so erklärt auch Datenschützerin Thiel, „Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen“.

Alles nur im Sinne der Kunden und der Nachhaltigkeit?

Die Hannoversche Volksbank habe sich kooperativ und einsichtig gezeigt und habe die Erkenntnisse der Auswertung nicht weiterverarbeitet. Doch kann die Bank wohl noch Einspruch einlegen – ob das geschickt wäre, darüber lässt sich streiten.

Eher erstaunlich ist dagegen die Einigkeit von Schufa und Volksbank, wie sie sich in dem taz-Artikel widerspiegelt. Die Abfrage sei im „völligen Kundeninteresse“ geschehen. Auch Ingo Koch, Pressesprecher der Schufa, sagt, dass diese Analyse „pro Verbraucher“ ausgerichtet sei – und den Unternehmen ist es auch nicht peinlich, die Maßnahme als Akt der Nachhaltigkeit darzustellen. Es ginge darum, die Kommunikation der Bank an die Vorlieben der Kunden anzupassen und als ökologische Volksbank „sehr viel Papier einzusparen“.

Weitere DSGVO-Verstöße incoming?

Die Datenschützer wollen an der Volksbank offenbar ein Exempel statuieren. Denn dem LfD in Niedersachsen würden vermehrt Fälle bekannt, in denen Banken und Finanzdienstleister ähnlich vorgehen und Kundendaten, die erst einmal rechtmäßig verarbeitet wurden, zur Profilbildung auswerten und weiterverarbeiten – teils unter Hinzuziehung externer Anbieter oder im Abgleich mit deren Daten.

Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein. Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6.1f der DSGVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“

Barbara Thiel, Landesdatenschutzbeauftragte Niedersachsen

Der Gesetzgeber stufe dieses Interesse als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte (nicht zu begründende) Widerspruchsmöglichkeit vorsieht. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kunden.

Ein Sachverhalt, der bisher allerdings noch nicht thematisiert wurde, ist unseres Erachtens das Angebot der Schufa, das – soviel dürfte dem Unternehmen auch bekannt sein – eben nicht mit der DSGVO in Einklang zu bringen ist. Ob die Datenschutzbehörden auch an diesem Punkt ansetzen, ist nicht bekannt. tw