Datenschutz – LfD Niedersachsen warnt genossenschaftliche Banken vor Profilbildung für Werbezwecke

Lesezeit: 3 Minuten

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine genossenschaftliche Bank überprüft, die als Pilotbank sogenannte Smart-Data-Verfahren testet. Die Überprüfung ist zwar noch nicht abgeschlossen, die bislang dabei erlangten Erkenntnisse haben die LfD jedoch dazu veranlasst, Warnungen vor der Durchführung solcher Verfahren an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden.

Die Smart-Data-Verfahren dienen dazu, aus dem Kundenbestand gezielt Personen für bestimmte Werbemaßnahmen herauszufiltern. Hierfür werden Scorewerte gebildet, die eine Aussage darüber treffen sollen, ob eine Kundin oder ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt hat. Das kann zum Beispiel ein Immobilienkredit, eine Kreditkarte oder ein Wertpapiersparplan sein. Anschließend erhält die Kundin oder der Kunde Werbung für das entsprechende Produkt. Zur Bildung der Scorewerte werden unter anderem Zahlungsverkehrsdaten analysiert und bei einigen Verfahren auch Daten über das Wohnumfeld der Kundinnen und Kunden von externen Dienstleistern hinzugezogen.

Datenschutz

Datenschutz – Zur Berechnung, ob jemand Interesse an einem Konsumentenkredit hat, werden beispielsweise 162 Datenfelder genutzt, darunter folgende Informationen aus den Zahlungsverkehrsdaten:

  • Bezug von sozialen Leistungen,
  • Ausgaben für Haushalt und Lebensmittel,
  • Höhe der Fahrzeugkosten,
  • Höhe der „Grundkosten“, u.a. für Energieversorger,
  • Höhe des Gehalts- oder Renteneingangs,
  • Höhe der Auszahlungen an Geldautomaten,
  • Umsätze in der Kategorie E-Payment, z.B. Paypal und Amazon.

Datenschutz – Zudem werden von externen Dienstleistern Daten zum Wohnumfeld angekauft und fließen in die Berechnung ein, zum Beispiel:

  • Anteil der Bevölkerung mit Realschulabschluss,
  • durchschnittliche Anzahl der Kinder pro Haushalt,
  • durchschnittliche Anzahl der Personen pro Haushalt,
  • Nettoeinkommen der Haushalte,
  • durchschnittliche private Kaufkraft für Hypothekendarlehen, Konsumentenkredite, Lebensversicherungen und private Krankenversicherungen,
  • Anteil der Bevölkerung mit Familienstand „geschieden“.

Datenschutz – Diese Verarbeitungen können weder über eine Abwägung der Interessen von Bank und betroffener Person noch über die verwendeten Einwilligungsformulare gerechtfertigt werden. Sie sind deshalb rechtswidrig.

Die Durchführung von Verhaltensprognosen auf Grundlage von Zahlungsverkehrsdaten entspricht nicht den vernünftigen Erwartungen der Kundinnen und Kunden. Das müsste aber unter anderem der Fall sein, damit eine Interessenabwägung als Rechtsgrundlage herangezogen werden könnte. Bereits in einem anderen Fall hatte die LfD Niedersachsen im Juli 2022 ein Bußgeld von 900.000 Euro verhängt, weil eine Bank die Grenzen der Interessenabwägung bei der Verarbeitung personenbezogener Daten für Werbezwecke überschritten hatte.

Auch die verwendeten Einwilligungsformulare erfüllen nicht die gesetzlichen Anforderungen, weil die Kundinnen und Kunden nicht selbst entscheiden können, ob und welche konkreten Smart-Data-Verfahren durchgeführt werden. Stattdessen können sie nur allgemein in die Profilbildung für Werbezwecke einwilligen ohne dabei steuern zu können, in welchem Umfang dies geschieht.

„Zahlungsverkehrsdaten sind sehr sensibel, weil sie Informationen über das Konsumverhalten, Beziehungen zu anderen Menschen, die wirtschaftliche Lage und persönliche Vorlieben enthalten. Sie ermöglichen so eine Vielzahl von Rückschlüssen auf das berufliche und private Leben der Betroffenen“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Es muss deshalb sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“

Auch die Kundinnen und Kunden selbst sollten bei der Einwilligung zu Werbemaßnahmen ihrer Bank aufmerksam sein und genau hinsehen, was sie unterschreiben. Zudem ist eine einmal erteilte datenschutzrechtliche Einwilligung jederzeit und ohne weitere Voraussetzungen widerrufbar. Wer unsicher ist, ob die eigenen personenbezogenen Daten für Smart-Data-Verfahren verarbeitet werden, kann bei seiner Bank kostenfrei einen Auskunftsanspruch nach Artikel 15 Datenschutz-Grundverordnung geltend machen.

Quelle: LfD Niedersachsen


Patrick Upmann, DSGVO und Data Compliance Experte als externer Datenschutzbeauftragte für Ihr Unternehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.