News

Finanzbranche muss Datenschätze vorsichtig heben

07.10.2022
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen eine Hannoveraner Bank wegen einer umfassenden Auswertung von Zahlungsdaten Ende Juli ein Bußgeld von 900.000 Euro verhängt. Es ist das siebthöchste in der Bundesrepublik bislang verhängte Bußgeld wegen Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO). Die LfD hat weitere Banken in Niedersachen vorsorglich ermahnt, sorgsam mit Daten umzugehen. Das Bemerkenswerte an der Entscheidung ist jedoch, dass sich ihre Wertungen auf den gesamten Finanzsektor in Deutschland übertragen lassen.

Der entschiedene Fall

Die betroffene Bank hatte die Kontobewegungen ihrer Kunden mittels so genannter „Smart-Data-Verfahren“ analysiert, um gezielt für bestimmte Produkte wie Konsumkredite oder Investments zu werben. Dazu wurden beispielsweise die Zahlungsverkehrsdaten zu Ausgaben für Haushalt und Lebensmittel, Höhe der Fahrzeugkosten, Höhe des Gehaltseingangs oder Auszahlungen an Geldautomaten genutzt und mit zugekauften Daten zum Wohnumfeld des Kunden kombiniert, um möglichst präzise Kundenprofile zu erlangen und ihren Kunden so maßgeschneidert bewerben zu können. Die LfD weist in ihrer Pressemitteilung zu der Entscheidung auf die besondere Sensibilität von Zahlungsdaten hin, da sie einen sehr umfassenden Blick in die Privatsphäre der Kunden ermöglichten. Das führe zu gesteigerten Anforderungen an die Rechtmäßigkeit der Verarbeitung solcher Daten.

Die LfD sah bei der Hannoveraner Bank eine klar rechtswidrige Datenverarbeitung, da die dort eingesetzten Smart-Data-Verfahren weder über eine Interessenabwägung noch durch die dort verwendeten Einwilligungsformulare zu rechtfertigen seien. Eine nur allgemein gehaltene Einwilligung zur Nutzung von Kundendaten „für Werbezwecke“ sei nicht ausreichend. Die Kunden müssten auf hinreichend informierter Grundlage differenziert entscheiden können, für welche spezifischen Verfahren ihre Daten werblich genutzt werden dürften.

Fazit

Die Entscheidung der LfD zeigt in aller Deutlichkeit, dass Kreditinstitute, FinTechs und weitere Unternehmen der Finanzwirtschaft zu besonderer Vorsicht aufgerufen sind, welche Daten sie zu welchem Zweck erheben und wie sie diese nutzen. Bei breit angelegten Big Data-Analysen – wie hier – benötigt das Kreditinstitut eine informierte und hinreichend transparente Einwilligung des Kunden. Sollen (beschränkte) Analysen auf Grundlage einer Interessensabwägung erfolgen, sind diese detailliert zu prüfen und zu dokumentieren; zudem ist eine gesonderte Datenschutz-Folgeabschätzung durchführen. Werden diese Anforderungen nicht ernst genommen, drohen nicht nur Bußgelder in erheblicher Höhe, sondern auch das Erfordernis, Geschäftsmodelle, die mit großem Aufwand entwickelt und implementiert wurden, kurzfristig komplett einzustellen oder an datenschutzrechtskonform anzupassen. Sollte das nicht geschehen, können sich für regulierte Unternehmen und deren Geschäftsführung über die Geldbußen der Datenschutzbehörden hinaus auch aufsichtsrechtliche Konsequenzen ergeben, da die Beachtung der datenschutzrechtlichen Vorgaben Bestandteil einer ordnungsgemäßen Geschäftsorganisation eines Instituts ist.

Banking & Finance
Datenschutz
Data Protection Litigation
Data Tech und Telecoms

Share