Finanzbranche muss Datenschätze vorsichtig heben
Der entschiedene Fall
Die betroffene Bank hatte die Kontobewegungen ihrer Kunden mittels so genannter „Smart-Data-Verfahren“ analysiert, um gezielt für bestimmte Produkte wie Konsumkredite oder Investments zu werben. Dazu wurden beispielsweise die Zahlungsverkehrsdaten zu Ausgaben für Haushalt und Lebensmittel, Höhe der Fahrzeugkosten, Höhe des Gehaltseingangs oder Auszahlungen an Geldautomaten genutzt und mit zugekauften Daten zum Wohnumfeld des Kunden kombiniert, um möglichst präzise Kundenprofile zu erlangen und ihren Kunden so maßgeschneidert bewerben zu können. Die LfD weist in ihrer Pressemitteilung zu der Entscheidung auf die besondere Sensibilität von Zahlungsdaten hin, da sie einen sehr umfassenden Blick in die Privatsphäre der Kunden ermöglichten. Das führe zu gesteigerten Anforderungen an die Rechtmäßigkeit der Verarbeitung solcher Daten.
Die LfD sah bei der Hannoveraner Bank eine klar rechtswidrige Datenverarbeitung, da die dort eingesetzten Smart-Data-Verfahren weder über eine Interessenabwägung noch durch die dort verwendeten Einwilligungsformulare zu rechtfertigen seien. Eine nur allgemein gehaltene Einwilligung zur Nutzung von Kundendaten „für Werbezwecke“ sei nicht ausreichend. Die Kunden müssten auf hinreichend informierter Grundlage differenziert entscheiden können, für welche spezifischen Verfahren ihre Daten werblich genutzt werden dürften.
Fazit
Die Entscheidung der LfD zeigt in aller Deutlichkeit, dass Kreditinstitute, FinTechs und weitere Unternehmen der Finanzwirtschaft zu besonderer Vorsicht aufgerufen sind, welche Daten sie zu welchem Zweck erheben und wie sie diese nutzen. Bei breit angelegten Big Data-Analysen – wie hier – benötigt das Kreditinstitut eine informierte und hinreichend transparente Einwilligung des Kunden. Sollen (beschränkte) Analysen auf Grundlage einer Interessensabwägung erfolgen, sind diese detailliert zu prüfen und zu dokumentieren; zudem ist eine gesonderte Datenschutz-Folgeabschätzung durchführen. Werden diese Anforderungen nicht ernst genommen, drohen nicht nur Bußgelder in erheblicher Höhe, sondern auch das Erfordernis, Geschäftsmodelle, die mit großem Aufwand entwickelt und implementiert wurden, kurzfristig komplett einzustellen oder an datenschutzrechtskonform anzupassen. Sollte das nicht geschehen, können sich für regulierte Unternehmen und deren Geschäftsführung über die Geldbußen der Datenschutzbehörden hinaus auch aufsichtsrechtliche Konsequenzen ergeben, da die Beachtung der datenschutzrechtlichen Vorgaben Bestandteil einer ordnungsgemäßen Geschäftsorganisation eines Instituts ist.