Die Hannoversche Volksbank soll ein Bußgeld in Höhe von 900.000 Euro aufgrund von Verstößen gegen die Datenschutzgrundverordnung zahlen. Die vergleichsweise hohe Strafe hat die niedersächsische Datenschutzbehörde festgesetzt, da das Institut Kundendaten ausgewertet und zur Profilbildung für Marketingbelange angereichert haben soll – verbunden mit dem Ziel, die Ausführung von gezielteren Werbeansprachen zu ermöglichen.
Dabei wurden die Daten mithilfe von weiteren Daten einer Wirtschaftsauskunftei – im konkreten Fall handelte es sich laut Medienberichten um Schufa-Daten – angereichert. Laut der Mitteilung hat die niedersächsische Datenschutzbeauftragte (LfD) Barbara Thiel beanstandet, dass das in Hannover ansässige Institut gegen Artikel 6.1f der Datenschutzgrundverordnung verstoßen habe. Die sieht zwar einerseits vor, dass bei „berechtigtem Interesse“ im Sinne der Güterabwägung durchaus mit den Daten gearbeitet werden darf.
„Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet“, beschreibt Thiel und ergänzt: „Die Betroffenen erwarten es in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren.“
Denn genutzt wurden hier offenbar unter anderem Daten über das Gesamtvolumen von Kaufvorgängen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und die Gesamthöhe von Überweisungen im Onlinebanking im Vergleich zu Filialbesuchen. Das Institut erklärte gegenüber der TAZ, Ziel sei eine verbesserte Kund:innenbetreuung gewesen und man habe die Kund:innen, durchaus mit einem 28-seitigen (!) Schreiben über den Sachverhalt informiert. Wie viele dieses gelesen und in seiner Tragweite verstanden haben, ist nicht bekannt.
Volksbank beruft sich auf Kundeninteressen und Nachhaltigkeit
Einige Kund:innen, die bei der Schufa ein zahlungspflichtiges Upgrade abonniert haben, das sie automatisch über Änderungen ihrer Daten informiert, erhielten Informationen darüber seitens der Schufa, dass die Volksbank hier eine entsprechende Anfrage gestellt habe – und die Kund:innen fragen wohl nach. Man bedauere, erklärt ein Volksbank-Sprecher, dass es hier zu Irritationen gekommen sei.
Es sei vor allem darum gegangen, wie onlineaffin eine Person bei ihren Finanzen sei und ob diese etwa auch bei einer Direktbank ist oder einen Onlinekredit hat. Es heißt seitens der Volksbank, jene Maßnahmen seien im „völligen Kundeninteresse“ geschehen und es gehe darum, die Kommunikation der Bank an die Vorlieben der Kund:innen anzupassen und als ökologische Volksbank „sehr viel Papier einzusparen“.
Ziel war es, so bestätigt es auch Datenschützerin Thiel, Kund:innen mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Doch all das sind aus gutem Grund Informationen, die eine Bank, wenn ihr der:die Kund:in das nicht selbst auf Anfrage mitteilen will, schlichtweg nichts angehen, was im Übrigen auch schon vor der DSGVO so gewesen sein dürfte.
DSGVO-Verletzung offenbar kein Einzelfall in der Bankenwelt
Dass die niedersächsischen Datenschützer:innen hier so rigide vorgehen und eine für eine Regionalbank doch erstaunlich hohe Strafe ansetzen, könnte auch damit zusammenhängen, dass man ein Zeichen in der Branche setzen will: Laut der Mitteilung der LfD Niedersachsen seien nämlich vermehrt Fälle bekannt geworden, in denen Banken ähnlich vorgehen und Kund:innendaten, die erst einmal rechtmäßig verarbeitet wurden, zur Profilbildung auswerten und weiterverarbeiten – teilweise unter Hinzuziehung externer Anbieter oder im Abgleich mit deren Daten.
Dass sich die Banken hierfür häufig keine Einwilligung der Kund:innen einholen, sondern sich einfach auf die Interessenabwägung nach Artikel 6.1f DSGVO berufen, ist den Datenschützer:innen ein Dorn im Auge. „Diese Rechtsgrundlage erlaubt es nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet“, erklärt Thiel, da der Gesetzgeber das Interesse der Banken als weniger gewichtig einstuft und Kund:innen eine erleichterte (nicht zu begründende) Widerspruchsmöglichkeit einräumt.
Immerhin habe sich die Hannoversche Volksbank gegenüber den Landesdatenschützer:innen kooperativ und einsichtig gezeigt und habe die Erkenntnisse der Auswertung nicht weiterverarbeitet. Doch kann die Bank wohl noch Einspruch einlegen – ob das geschickt wäre, darüber lässt sich streiten.
Hoffentlich wird das nicht die einzige Strafe bei Banken in dieser Höhe bleiben.