900.000 Euro Bußgeld für Volksbank
Die niedersächsische Datenschutzbehörde verhängt ein Bußgeld in Höhe von 900.000 Euro gegen die Hannoversche Volksbank. Grund dafür ist ein Verstoß gegen Art. 6 Abs. 1 lit. f) DSGVO.
Die Hannoversche Volksbank hatte Kundendaten zur Profilbildung für Marketinganalysen verarbeitet, um gezielte Werbeansprachen zu ermöglichen. Hierbei handelte es sich um die Schufa-Daten der Kund:innen. Insbesondere wurden Daten über das Gesamtvolumen von Kaufvorgängen in App-Stores und die Gesamthöhe von Überweisungen im Onlinebanking vergleichsweise zu Filialbesuchen, sowie die Häufigkeit der Nutzung von Kontoauszugsdruckern ausgewertet. Kund:innen, die ein zahlungspflichtiges Upgrade bei der Schufa abonniert haben, bekamen eine Mitteilung darüber, dass die Volksbank entsprechende Informationen angefragt hatte, und stellten daraufhin Nachfragen an. Diese Informationen durften von der Bank aber nicht verarbeitet werden, sofern die Kund:innen sie auf Anfrage nicht freiwillig mitteilen. Gestützt hatte sich die Hannoversche Volksbank fälschlicherweise auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO.
Laut der Volksbank wurden die Kund:innen in einem 28-seitigen Schreiben über die Datenverarbeitung informiert. Allerdings besteht keine Kenntnis darüber, wie viele Betroffene das Schreiben tatsächlich gelesen haben. Zweck sei es zudem nur gewesen, die Kund:innen besser betreuen zu können und zu sehen, wie die Personen onlinebezogen mit Ihren Finanzen verfahren. Diese Maßnahmen seien im „völligen Kundeninteresse und zum Einsparen von Papier“ erfolgt.
Die Erlaubnis der Verarbeitung von personenbezogenen Daten aufgrund des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f) greift hier allerdings nicht. Laut der niedersächsischen Datenschutzbeauftragen, Barbara Thiel, dürfen große Datenbestände nicht ohne die Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) der Betroffenen zu Werbezwecken verarbeitet werden.
Im hiesigen Sachverhalt wurde die Profilbildung vermeintlich mit Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt, obwohl Einwilligungen der Betroffenen nötig gewesen wären – ein Fehler, den leider viele Unternehmen begehen. So setzt das vergleichsweise hohe Bußgeld nun ein Zeichen, dass der Art. 6 Abs. 1 lit. f) nicht über sein Maß hinaus ausgereizt werden darf.
Die Hannoversche Volksbank zeigt sich kooperativ und einsichtig und hat die Erkenntnisse der Auswertung nicht weiterverarbeitet.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“