Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Hannoversche Volksbank ein Bußgeld in Höhe von 900.000 EUR verhängt. Das Geldinstitut hatte auf datenschutzrechtlich unzulässige Weise Kundenprofile erstellt, um Werbemaßnahmen zielgruppengerecht steuern zu können.
Die zunächst rechtmäßige Verarbeitung personenbezogener Kundendaten wurde durch die Verknüpfung mit Schufa-Daten illegal, da dafür die Einwilligung der Kunden fehlte.
Hannoversche Volksbank ließ Daten aktiver und ehemaliger Kunden auswerten
Um digital-affine Kunden identifizieren zu können, die verstärkt auf elektronischen Kommunikationswegen zielgruppengerecht angesprochen und beworben werden sollten, hat die Hannoversche Volksbank 2019 die Schufa mit der Auswertung von Daten aktiver und ehemaliger Kunden beauftragt. Dabei wurden Daten von 220.000 Kunden ausgewertet. Analysiert wurde zunächst das digitale Nutzungsverhalten. Dazu gehörten unter anderem das Einkaufsvolumen in App-Stores, die Höhe von Überweisungen per Online-Banking oder Bankfiliale und die Häufigkeit der Nutzung von Kontoauszugsdruckern. Diese Daten wurden dann zusätzlich noch mit den vorhandenen Schufa-Informationen zu den einzelnen Kunden angereichert.
Bankkunden wurden von Schufa-Dienst über Datenanfragen informiert
Dass die Hannoversche Volksbank in großem Stil Kundenprofile erstellen ließ, wurde durch die Schufa selbst bekannt: Einige Bankkunden nutzten einen Schufa-Dienst, der sie automatisch über Schufa-Anfragen Dritter zu ihrer Person informierte. Auf diesem Weg erfuhren sie auch von den Anfragen der Hannoverschen Volksbank, woraufhin sich wiederum einige Kunden bei der Bank beschwerten, da sie keine Einwilligung für die Datenauskunft erteilt hatten. Die Entschuldigung der Hannoverschen Volksbank erfolgte unverzüglich, konnte aber nicht verhindern, dass sich das LfD Niedersachsen mit dem Fall beschäftigte.
Fehlende Rechtsgrundlage für Verarbeitung persönlicher Daten führt zu hohem Bußgeld
Da die Hannoversche Volksbank es versäumt hatte, die Einwilligung der betroffenen Kunden einzuholen, und es daher keine Rechtsgrundlage für die Datenverarbeitung gab, verhängte das LfD Niedersachsen jetzt ein Bußgeld in Höhe von 900.000 EUR. Das Bußgeld hätte noch deutlich höher ausfallen können. Zugunsten der Bank wurde aber berücksichtigt, dass die Daten nicht weiterverwendet wurden und diese bei der Aufklärung des Sachverhalts sehr kooperativ war. Noch ist das Bußgeld nicht rechtskräftig, die Hannoversche Volksbank hat aber mitgeteilt, dieses zahlen zu wollen.
Bei der Interessenabwägung überwiegt das Kundeninteresse
Interessant ist der Fall „Hannoversche Volksbank“ nicht wegen der Höhe des Bußgelds, sondern wegen der eindeutigen Haltung bei der Interessenabwägung. Das LfD Niedersachsen beobachtet immer mehr Fälle, bei denen Unternehmen Kundendaten, die zunächst rechtmäßig verarbeitet werden, auswerten und mit Daten externer Anbieter verknüpfen, um Kundenprofile zu bilden. Statt die dafür erforderliche Einwilligung der Kunden einzuholen, berufen sich die Unternehmen auf ihr „berechtigtes Interesse“, das ihnen im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 f DSGVO zustünde. Dagegen hat das LfD Niedersachsen nun klar Stellung bezogen und festgestellt, dass im Falle der Interessenabwägung das Kundeninteresse überwiegt. Gezielte Kundenwerbung ist zwar im Interesse des Unternehmens, betroffene Kunden müssen aber nicht hinnehmen, dass dafür in großem Umfang Kundenprofile erstellt werden, die mit Daten externer Auskunfteien verknüpft werden.