Die Hannoversche Volksbank muss 900.000 Euro Bußgeld wegen Verstoßes gegen die DSGVO zahlen. Diese vergleichsweise hohe Strafe setzte jetzt die Datenschutzbehörde Niedersachsen fest, weil das Institut in der Vergangenheit Kundendaten von aktuellen und früheren Kunden ausgewertet haben soll. Ziel war die Ausführung von gezielteren Werbeansprachen. Das Perfide daran: Die Volksbank hatte die Daten mit Hilfe von weiteren Daten einer Wirtschaftsauskunftei – im konkreten Fall wohl Schufa-Daten – angereichert. Doch das ist offenbar bei Weitem nicht der einzige Fall dieser Art in Deutschland.

Nicht alles, was technisch möglich ist und im Interesse einer Bank ist, ist datenschutzrechtlich auch erlaubt. Das musste jetzt die Volksbank Hannover erkennen – und die Erkenntnis ist 900.000 Euro teuer. So hoch ist die Strafe, die die niedersächsische Datenschutzbehörde wegen der Verletzung von Datenschutz bei bestimmten Kundendaten verhängt hat. Wie das Nachrichtenportal Heise sowie einige regionale Medien berichten, hat die niedersächsische Datenschutzbeauftragte Barbara Thiel beanstandet, dass das in Hannover ansässige Institut gegen Artikel 6.1f der Datenschutzgrundverordnung verstoßen habe, indem man das digitale Nutzungsverhalten von Kunden analysiert hat und dies in – aus Sicht der Datenschützer – keinem „berechtigten Interesse“ im Sinne der Güterabwägung stand.

Unter anderem wurde laut den Medienberichten das Gesamtvolumen von Kaufvorgängen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zu Filialbesuchen analysiert. Dies erfolgte offenbar mit Hilfe eines Dienstleisters und unter Einbeziehung von Schufa-Daten. Dies berichtet die taz. Ziel sei offenbar eine verbesserte Kundenbetreuung gewesen.

Die Betroffenen erwarten es in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren.“

Barbara Thiel, Landesdatenschutzbeauftragte Niedersachsen

Kunden erhielten ein 28-seites Schreiben zum Thema

Einige Kunden, die bei der Schufa ein zahlungspflichtiges Upgrade abonniert haben, das sie automatisch über Änderungen ihrer Daten informiert, erhielten Informationen darüber seitens der Schufa, dass die Volksbank hier eine entsprechende Anfrage gestellt habe. Mindestens zwei Beschwerden soll es diesbezüglich bei der Datenschutzbehörde gegeben haben. Laut dem Pressesprecher der Volksbank Markus Volck sei es darum gegangen, wie online-affin eine Person bei ihren Finanzen sei und ob diese etwa auch bei einer Direktbank ist oder einen Online-Kredit hat. Dinge, die eine Bank, wenn ihr der Kunde das nicht selbst auf Anfrage mitteilen will, schlichtweg nichts angehen, DSGVO hin oder her.

Es habe sich dabei, so erklärt das Institut gegenüber der taz, um ein Angebot der Schufa gehandelt, das man „gerne angenommen“ habe. Immerhin habe man sämtliche 220.000 Kunden in einem 28-seitigen (!) Brief unter anderem über die Zusammenarbeit informiert – und, das gehört auch zur Wahrheit – über das Widerrufsrecht informiert. Zur Frage, wie viele der Kunden sich 28-seitige Briefe dieser Art durchlesen, gibt es indes keine genauen Angaben (aber Vermutungen lassen sich durchaus anstellen).

Ziel sei es, so erklärt auch Datenschützerin Thiel, „Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen“.

Alles nur im Sinne der Kunden und der Nachhaltigkeit?

Die Hannoversche Volksbank habe sich kooperativ und einsichtig gezeigt und habe die Erkenntnisse der Auswertung nicht weiterverarbeitet. Doch kann die Bank wohl noch Einspruch einlegen – ob das geschickt wäre, darüber lässt sich streiten.

Eher erstaunlich ist dagegen die Einigkeit von Schufa und Volksbank, wie sie sich in dem taz-Artikel widerspiegelt. Die Abfrage sei im „völligen Kundeninteresse“ geschehen. Auch Ingo Koch, Pressesprecher der Schufa, sagt, dass diese Analyse „pro Verbraucher“ ausgerichtet sei – und den Unternehmen ist es auch nicht peinlich, die Maßnahme als Akt der Nachhaltigkeit darzustellen. Es ginge darum, die Kommunikation der Bank an die Vorlieben der Kunden anzupassen und als ökologische Volksbank „sehr viel Papier einzusparen“.

Weitere DSGVO-Verstöße incoming?

Die Datenschützer wollen an der Volksbank offenbar ein Exempel statuieren. Denn dem LfD in Niedersachsen würden vermehrt Fälle bekannt, in denen Banken und Finanzdienstleister ähnlich vorgehen und Kundendaten, die erst einmal rechtmäßig verarbeitet wurden, zur Profilbildung auswerten und weiterverarbeiten – teils unter Hinzuziehung externer Anbieter oder im Abgleich mit deren Daten.

Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein. Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6.1f der DSGVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“

Barbara Thiel, Landesdatenschutzbeauftragte Niedersachsen

Der Gesetzgeber stufe dieses Interesse als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte (nicht zu begründende) Widerspruchsmöglichkeit vorsieht. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kunden.

Ein Sachverhalt, der bisher allerdings noch nicht thematisiert wurde, ist unseres Erachtens das Angebot der Schufa, das – soviel dürfte dem Unternehmen auch bekannt sein – eben nicht mit der DSGVO in Einklang zu bringen ist. Ob die Datenschutzbehörden auch an diesem Punkt ansetzen, ist nicht bekannt. tw

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/144063

Jürgen Philippi sagt:

3. August 2022 um 9:22 Uhr

Für mich stellt sich die Frage, welche Interessenguppen haben die DSGVO auf den Weg gebracht?
Dass sie überall nur schadet, ist inzwischen hinlänglich bekannt. Wenn Wissenschaftler ihre Arbeit nicht
machen können und, wie in der Pandemie gesehen, zum Schaden der Menschen führen, dann ist hier dringend Handlungsbedarf angesagt.

Antworten

Christoph sagt:

4. August 2022 um 10:23 Uhr

Ist die Kundeninformation zu knapp oder zu verständlich im Sinne von Umgangssprache, gibt es Strafe.
Gibt es eine ausführliche und vermutlich vom Gesetz in diesem Umfang vorgegebene Aufklärung, die Kunden lesen sie aber nicht, gibt es Strafe.

Klare no-win Situation?

Stefan sagt:

8. November 2022 um 15:26 Uhr

Das die Informationen nicht gelesen werden erscheint Paradox. Das selbe gilt für Umweltschutz vs. eigenes Verhalten oder Tierwohl vs. Einkaufsverhalten. Die Menschen legen trotzdem Wert auf Privatsphäre, denn viele Verarbeitungen bergen Risiken. Alleine die Speicherung solcher Informationen.
Datenschutz ist zu komplex um es schnell mal zu verstehen. Daher werden diese Informationen auch nicht gelesen. Im Zuge der Digitalisierung wird sich das ändern und das Wissen darüber bei den Betroffenen steigen.

Antworten

Torsten sagt:

2. Dezember 2022 um 18:54 Uhr

Als Betroffener habe ich mich bei der Datenschutzbehörde beschwert. Wie kommt die Volksbank dazu, ohne mich zu informieren oder mein Einverständnis einzuholen Daten von der Schufa abzufragen?
Hinweis: ich bin schon seit ca. 10 Jahren kein Kunde mehr bei der Bank und habe daher auch gar kein Schreiben erhalten. Bin nur zufällig drauf gestoßen, weil ich eine Selbstauskunft von der Schufa angefordert habe. Das kann jeder kostenlos machen. Das Formular dafür ist auf der Schufaseite aber nur sehr schwer zu finden. Ein Schelm, der Böses dabei denkt.

Bußgeld für Hannoversche Volksbank: DSGVO-Verstoß bei Kundendaten

Kunden erhielten ein 28-seites Schreiben zum Thema

Alles nur im Sinne der Kunden und der Nachhaltigkeit?

Weitere DSGVO-Verstöße incoming?

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

Crypto Assets Conference

IT-Woche

Finanzdienstleister der nächsten Generation – Digitale Transformation, Cloud & Generative AI

ibi-Seminar “Update Zahlungsverkehr”

FIBE – Fintech Berlin