Unzulässige Erstellung von Kundenprofilen: Bank muss 900 000 Euro DSGVO-Bußgeld zahlen

Schnell entsteht die Versuchung, vorhandene Kundendaten auszuwerten, um die zielgruppengerechte Ansprache der Kunden für das eigene Angebot zu verbessern. Wer sich hierfür keine Einwilligung seiner Kunden besorgt, sondern auf ein „berechtigtes Interesse“ verlässt, muss aber mit saftigen Bußgeldern rechnen. Der jüngste Fall: Die niedersächsische Datenschutzbeauftragte brummte der Hannoverschen Volksbank ein Bußgeld von 900 000 Euro auf. Damit kam das Geldhaus offenbar noch glimpflich davon.

Ende 2019 beauftragte die Hannoversche Volksbank die Wirtschaftsauskunftei Schufa mit der Auswertung von Daten aktiver und ehemaliger Kunden. Die Schufa analysierte deren digitales Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Anschließend reicherte die Wirtschaftsauskunftei die Kundenprofile noch mit eigenen Daten an. Ziel der Auswertung war es, Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Eine Einwilligung der Kunden in die Datenauswertung wurde allerdings nicht eingeholt.

Bank hatte Daten noch nicht weiterverwendet
Bekannt wurde der Vorgang im Januar 2020 da einige Volksbank-Kunden einen Schufa-Service nutzten, der sie monatlich über Anfragen Dritter zu ihrer Person informierte. Auf die Anfragen angesprochen erklärte die Bank, Daten von etwa 220 000 Kunden untersuchen zu lassen, um zu erfahren, wie diese am besten zu kontaktieren seien (etwa telefonisch, per Post oder E-Mail). Daraufhin beschwerten sich zahlreiche Kunden bei dem Geldhaus, über die Vorgänge nicht hinreichend informiert worden zu sein. Das Institut entschuldigte sich daraufhin für die „entstandenen Irritationen“.

Inzwischen hatte das Geschehen allerdings schon die niedersächsische Landesdatenschutzbeauftragte (LfD) auf den Plan gerufen. Diese verhängte nun ein Bußgeld von 900 000 Euro gegen die Bank, da es an einer Rechtsgrundlage für die Datenverarbeitung fehle. Zu Gunsten des Instituts wurde allerdings berücksichtigt, dass die Daten bislang noch nicht weiterverwendet worden sind und sich das Unternehmen im gesamten Verfahren kooperativ zeigte. Das Bußgeld ist noch nicht rechtskräftig, die Bank ließ jedoch verlauten, bezahlen zu wollen.

Häufung ähnlicher Fälle
Der LfD Niedersachsen werden nach eigenen Angaben zuletzt vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzten Sie teilweise externe Anbieter oder glichen ihre Ergebnisse mit diesen ab, ohne zuvor eine Einwilligung der Kunden einzuholen. Stattdessen beriefen Sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f der DSGVO. Diese Rechtsgrundlage erlaube es aber nicht, durch die Auswertung großer Datenbestände Profile zu Werbezwecken zu bilden.

Zwar liege die werbliche Ansprache (potenzieller) Kunden im Interesse der Verantwortlichen. Dass bei derartigen Datenverarbeitungen aber ein erleichtertes Widerspruchsrecht vorgesehen sei, zeige, dass der Gesetzgeber dieses Interesse als weniger gewichtig einstufe. Darüber hinaus müssen Verantwortliche bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kunden berücksichtigten. Insoweit betont auch Barbara Thiel, dass Betroffene es in der Regel nicht erwarten, dass Verantwortliche im großen Umfang Kundenprofile zu Werbezwecken erstellen. Erst Recht rechneten sie nicht damit, dass Daten externer Wirtschaftsauskunfteien herangezogen würden, um die Kundenprofile um Daten aus den verschiedensten Lebensbereichen anzureichern. In der Interessenabwägung überwiegt in solchen Fällen daher das Kundeninteresse. Verantwortliche können sich folglich nicht auf ein berechtigtes Interesse berufen, sondern müssen eine Einwilligung in die Datenverarbeitung einholen. (…)
• www.wbs-law.de