Profilbildung für Werbung: Hohes DSGVO-Bußgeld für Hannoversche Volksbank
Die Datenschutzbehörde Niedersachsen setzte die Strafe fest, weil das Kreditinstitut Kundendaten ohne Einwilligung auch mithilfe der Schufa auswertete.
(Bild: TippaPatt/Shutterstock.com)
Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat der Hannoverschen Volksbank eine Geldbuße in Höhe von 900.000 Euro aufgebrummt. Das Finanzinstitut wertete Daten aktueller sowie früherer Kunden ohne deren Einwilligung aus, um eine gezieltere Werbeansprache durchführen zu können, heißt es zur Begründung. Thiel wirft der Bank vor, damit gegen Artikel 6.1f der Datenschutz-Grundverordnung (DSGVO) verstoßen zu haben.
Datenabgleich mit Schufa
Die Klausel erlaubt prinzipiell eine Verarbeitung persönlicher Informationen auch ohne Einwilligung der Betroffenen, wenn ein "berechtigtes Interesse" vorliegt – allerdings nur nach einer sorgfältigen Güterabwägung. So müssen die Interessen oder Grundrechte und Grundfreiheiten der schutzwürdigen Personen gewahrt werden, was Thiel in dem Fall nicht nachvollziehen konnte.
Die Bank analysierte laut der Aufsichtsbehörde das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zu Filialbesuchen aus. Dazu habe das Kreditinstitut einen Dienstleister herangezogen. Ferner seien die Ergebnisse der Analyse mit Daten einer Wirtschaftsauskunftei abgeglichen und mit dortigen Zusatzinformationen angereichert worden.
Laut Medienberichten handelte es sich bei der Auskunftei um die Schufa. Volksbankkunden, die dort einen zahlungspflichtigen Zusatzdienst abonniert hatten, erhielten demnach einen Hinweis auf eine erfolgte Datenabfrage. Dies führte zu Irritationen und Anfang 2020 zu Beschwerden bei der Datenschutzbeauftragten, die diesen seitdem nachging.
Keine Informationen zur Datenauswertung
Ziel der Aktion war es Thiel zufolge, Kunden "mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen". Den meisten Klienten seien zwar vorab zusammen mit anderen Unterlagen Informationen dazu zugeschickt worden. Diese hätten die notwendigen Einwilligungen aber nicht ersetzen können.
Die Bank hatte auf einen 28-seitigen Brief verwiesen, in dem sie in einem Absatz auch über die Zusammenarbeit mit der Schufa im Rahmen eines "verbesserten Kundenkontakts" sowie über ein Widerrufsrecht aufgeklärt habe. Die Auskunftei und das Finanzinstitut waren sich einig, dass die Abfrage und Analyse im Kundeninteresse erfolgt seien. Die Schufa habe hier etwa Angaben zugesteuert, wie online-affin eine Person sei, hatte ein Sprecher der Bank das Vorgehen verteidigt.
Thiel und ihr Team teilten diese Argumentation nur bedingt. Beim Festlegen der Sanktion berücksichtigten sie nach eigenen Angaben, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet habe. Zudem habe sich die Bank "im gesamten Verfahren kooperativ gezeigt". Diese kann noch Einspruch erheben, sodass der Bußgeldbescheid bislang nicht rechtskräftig ist.
Hinweise auf ähnliche Fälle
Die Kontrolleurin will mit der Strafe offenbar auch ein Exempel statuieren. Sie hob hervor, dass der Behörde vermehrt Fälle zu Ohren kämen, in denen Verantwortliche zunächst rechtmäßig erlangte Kundendaten zur Profilbildung nutzten und dafür auf externe Anbieter und Scoring-Dienstleister zurückgriffen. Immer wieder beriefen sich die Zuständigen auf die "berechtigten Interessen". Die entsprechende DSGVO-Rechtsgrundlage erlaube es aber nicht, "Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet".
Die werbliche Ansprache bestehender und potenzieller Kunden liege zwar im Interesse etwa einer Bank, erläutert Thiel. Der Gesetzgeber stufe dieses aber als weniger gewichtig ein, indem er für die Betroffenen etwa eine erleichterte Widerspruchsmöglichkeit vorsehe. Diese rechneten zudem in der Regel nicht damit, dass "ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen" ausgespäht und dafür mithilfe externer Stellen Daten aus unterschiedlichen Lebensbereichen verkettet würden. An einem informierten und freiwilligen Opt-in führe daher hier kein Weg vorbei.
(mho)
