Bild: Szymon Pelc / shutterstock.com
Ausweis kopiert? Für Banken kein Freifahrtschein
Fast jeder kennt das: Beim Kontakt mit der Bank wird ganz selbstverständlich der Ausweis verlangt – oft wird er auch gleich kopiert. Was viele als Standard empfinden, kann aber rechtswidrig sein. Genau das hat jetzt die polnische Tochter der ING Bank schmerzhaft zu spüren bekommen.
Wie ein Bericht von Two Towers Consulting offenlegt, hat die polnische Datenschutzbehörde UODO eine Rekordstrafe in Höhe von umgerechnet 4,3 Millionen Euro gegen das Finanzinstitut verhängt. Der Vorwurf: zu umfangreiche und pauschale Verarbeitung von Ausweisdaten, ohne klare rechtliche Grundlage. Und das, obwohl kein konkreter Schaden für die Betroffenen nachgewiesen wurde. Ein Urteil mit Signalwirkung für die gesamte Finanzbranche.
Ein Ausweis für alles? So nicht.
Zwischen April 2019 und September 2020 hatte ING Bank in Polen offenbar ein einfaches Prinzip: Jeder Kundenkontakt = Ausweisscan. Egal ob es um Kontoeröffnung, eine Beschwerde oder eine technische Reklamation am Geldautomaten ging – der Ausweis wurde eingescannt und gespeichert. Die Bank berief sich dabei auf Pflichten aus dem polnischen Geldwäschegesetz.
Doch hier liegt der Knackpunkt: Nicht jeder Kundenkontakt fällt unter das Geldwäschegesetz. Bei rein technischen oder allgemeinen Anfragen gibt es keine gesetzliche Grundlage, Ausweiskopien zu verlangen oder zu speichern. Genau das bemängelte die Datenschutzbehörde.
Kritik der Behörde: Kein Konzept, kein Maß
Die Aufsichtsbehörde machte deutlich: ING Bank habe es versäumt, vor Einführung der Praxis eine echte Zweck- und Risikoanalyse durchzuführen. Es gab keine Differenzierung nach Fallgruppen, keine nachvollziehbare Prüfung, wann ein Ausweisscan wirklich notwendig sei. Das Vorgehen wurde pauschal angewendet – ein klassisches Gießkannenprinzip.
Die Folge: Verstöße gegen zentrale Grundsätze der Datenschutz-Grundverordnung (DSGVO) – insbesondere gegen die Anforderungen an Rechtmäßigkeit, Zweckbindung und Datenminimierung. Besonders schwer wog dabei auch die Anzahl der betroffenen Kunden: Rund 4,7 Millionen Menschen waren laut UODO potenziell betroffen.
Weckruf für die Branche: Datenschutz ist kein Extra
Die Bank hat mittlerweile gegen den Bescheid Berufung eingelegt, aber das Urteil steht sinnbildlich für ein tieferes Problem: Viele Finanzinstitute setzen auf Pauschalverfahren, statt auf gezielte und verhältnismäßige Maßnahmen. Was rechtlich bequem wirkt, ist datenschutzrechtlich oft fragwürdig – und kann teuer werden.
Gerade bei hochsensiblen Daten wie Ausweisinformationen gilt: Nur erfassen, was wirklich erforderlich ist – und jede einzelne Verarbeitung gut begründen. Ein gesetzlicher Rahmen wie das Geldwäschegesetz ist kein Freibrief für massenhafte Datensammlung.
Wenn Vertrauen leidet
Das Vertrauen in Banken basiert nicht nur auf stabilen Konten, sondern auch auf dem Umgang mit persönlichen Daten. Wenn aus Bequemlichkeit oder Angst vor Regelverstößen ganze Ausweisdatenbanken angelegt werden, nur um „auf Nummer sicher“ zu gehen, läuft etwas gewaltig schief.
Die ING hat sich hier nicht kriminell, aber grob fahrlässig verhalten – und das in einer Branche, in der Vertrauen alles ist. Es reicht eben nicht, Datenschutz „mitzudenken“. Er muss fester Bestandteil jeder Prozessentscheidung sein. Vielleicht wirkt diese Millionenstrafe ja wie ein dringend nötiger Weckruf – nicht nur für die ING.
