900.000 Euro soll die Hannoversche Volksbank für einen Verstoß gegen die Datenschutz-Grundverordnung (kurz: DSGVO) zahlen. Die Bank hatte Kundendaten ohne deren Einwilligung zu Werbezwecken ausgewertet.
Viele Unternehmen nutzen gespeicherte Daten ihrer Kunden zur Bildung eines Werbeprofils. Allerdings ist hierfür das Einverständnis der Kunden einzuholen. Ein Umstand, den die Hannoversche Volksbank nicht ausreichend berücksichtigte – und für welchen sie jetzt zur Kasse gebeten wird.
Ergänzung der Kundendaten mithilfe der Schufa
Bereits Ende 2019 beauftragte die Hannoversche Volksbank eine Wirtschaftsauskunftei – laut Medienberichten die Schufa –, um Daten aktiver und ehemaliger Kunden auszuwerten. Die Schufa analysierte daraufhin deren digitales Nutzungsverhalten. Konkret: die Einkäufe in App-Stores und die Häufigkeit der Nutzung von Kontoauszugsdruckern. Darüber hinaus wurde die Gesamthöhe von Online-Überweisungen im Vergleich zur Nutzung des Filialangebots bewertet. Anschließend reicherte die Schufa die erstellten Profile mit eigenen Daten an und übermittelte den Datensatz an die Hannoversche Volksbank.
Fehlende Zustimmung führt zu Bußgeld
Zwar wurden den betroffenen Kunden vorab entsprechende Informationsunterlagen zugeschickt. Eine Einwilligung zur Datenauswertung wurde jedoch nicht eingeholt. Ein klarer Verstoß gegen die DSGVO, meint die niedersächsische Datenschutzbeauftragte Barbara Thiel. Ihrer Meinung nach dürfe zwar im Sinne der Güterabwägung bei einem „berechtigten Interesse“ mit Kundendaten gearbeitet werden, es sei jedoch nicht gestattet, große Datenbanken auszuwerten, um Werbeprofile zu erstellen.
Hannoversche Volksbank kein Einzelfall
Das Bußgeld in Höhe von 900.000 Euro erscheint vergleichsweise hoch. Aber: Nach einer Mitteilung der niedersächsischen Landes-Datenschutzbeauftragten seien vermehrt Fälle bekannt geworden, in denen Banken so vorgingen. „Bankkunden können nicht davon ausgehen, dass ihre Neigungen zu bestimmten Produktkategorien oder Kommunikationswegen ausgespäht und mittels externer Stellen zu einem Werbeprofil verknüpft werden“, so Thiel. An einem informierten und freiwilligen Opt-in – also einem ausdrücklichen Zustimmungsverfahren – führe auch für Banken kein Weg vorbei.