Akt 1: Die Strafe gegen die Hannoversche Volksbank
Stein des Anstoßes auch für den späteren Warnbrief der Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen war ein Bußgeld, welches die LfD gegen die Hannoversche Volksbank verhängte. Und das hatte es in sich: 900.000 Euro!
Das Finanzinstitut wertete mittels eines sogenannten Smart-Data-Verfahrens Daten von aktuellen sowie früheren Kunden aus, um diesen gezieltere Werbung zukommen zu lassen. Dabei wurde das digitale Nutzungsverhalten ausgewertet – etwa das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Verwendung von Kontoauszugsdruckern sowie die Anzahl an Überweisungen im Online-Banking im Vergleich zu Besuchen in der Filiale. Ziel dieses Verfahrens war es, auf Grund der ermittelten Werte eine Aussage darüber zu treffen, ob ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt (z.B. Immobilienkredit, Kreditkarte, Wertpapiere, etc.) hat. Zusätzlich dazu wurden die Daten außerdem noch mit der Schufa (= ähnlich dem KSV) abgeglichen.
Nun ist Profiling durch die DSGVO nicht per se verboten. Es darf aber nur durchgeführt werden, wenn gemäß Art 22 Abs 2 DSGVO eine ausreichende Rechtsgrundlage vorliegt: (a).die (automatisierte) Profilbildung ist für die Erfüllung eines Vertrages erforderlich, (b.) eine nationale Rechtsvorschrift erlaubt es, (c.) die von Profiling betroffene Person gibt ihre ausdrückliche Einwilligung. So weit so schlecht, die Hannoversche Volksbank berief sich nämlich auf ihr „berechtigtes Interesse“ um eine Profilbildung der Kunden zu rechtfertigen. An „einem informierten und freiwilligen Opt-in führe aber kein Weg vorbei“ urteilte der LfD und verhängte das Bußgeld.
Akt 2: Die Warnung an die anderen Banken
Die Verhängung des Bußgeldes an die Hannoversche Volksbank nahm die LfD Niedersachsen zum Anlass, einen Präventivschlag in Form eines „Warnbriefes“ an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden, um eindringlich vor der Durchführung solcher Smart-Data-Verfahren zu warnen. Teilweise wird seitens der Banken zwar mit Einwilligungsformularen gearbeitet, laut LfD könnten die Kunden jedoch nicht frei(willig) und selbstständig den Umfang der Smart-Data-Verfahren steuern. Für die Profilbildung werden nämlich auch u.a. Informationen wie Bezug von sozialen Leistungen, Höhe der Fahrzeugkosten, Umsätze mit bspw. Amazon und PayPal, etc. für die Beantragung eines Kredits einbezogen.
Ein Auszug aus diesem „Warnbrief“ der LfD Niedersachsen, Barbara Thiel:
„Es muss sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser [Anm. Zahlungsverkehrsdaten] Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“
Akt 3: Unsere Praxistipps
- Sollten Sie Profiling in Ihrem Unternehmen betreiben, achten Sie darauf, dass Sie Ihre Kunden umfassend über diese Maßnahme aufklären und dahingehend einwilligen lassen.
- Kontaktieren Sie uns: Wir übernehmen gerne den Check und die Überarbeitung Ihrer Unterlagen damit Sie garantiert keinen „Warnbrief“ erhalten. 😉