von Christian Kirchner, 5. Januar 2023
In unserem Jahresrückblick zeigen wir, welche Themen Sie 2022 besonders interessiert haben – mit zwölf Klickfavoriten aus zwölf Monaten.
Heute mit Teil neun:
––––––––––––––––––––
Eines der wichtigsten digitalen Prestigeprojekte in der genossenschaftlichen Bankengruppe droht von Datenschützern torpediert zu werden. Wie berichtet, hatte sich speziell die niedersächsische Datenschutzbehörde zuletzt auf die Volksbanken einzuschießen begonnen (siehe hierzu u.a. unseren aktuellen Partner-Podcast -> „Der Fall Hannover – und die Folgen für Banken und Fintechs“). An diesem Donnerstag nun ist die Sache eskaliert. Denn wie sich einer öffentlich weitgehend unbeachteten Pressemitteilung entnehmen lässt, haben die niedersächsischen Datenschützer den 89 Volks- und Raiffeisenbanken in dem Bundesland einen nachdrücklichen Warnbrief zukommen lassen. Tenor: Die Institute sollen es dringend unterlassen, durch „Profilbildungen“ innerhalb ihrer Kundendatei solche Kunden herauszufiltern, die für bestimmte Werbemaßnahmen besonders empfänglich sind.
Hintergrund der Auseinandersetzung: Ein nicht genanntes niedersächsisches Genossenschaftsinstitut agiert momentan als „Pilotbank“ für sogenannte Smart-Data-Verfahren. Dabei werden laut Datenschützern unter anderem die Zahlungsverkehrsdaten der Kundinnen und Kunden analysiert und bei einigen Verfahren auch aufgekaufte Daten über das Wohnumfeld verwendet – bis hin zu der Frage, wie hoch in den einzelnen Wohnumfeldern der Anteil der „Geschiedenen“ ist. Die Pilotbank sei jüngst „geprüft“ worden und die dabei gewonnenen Erkenntnisse hätten die Behörde zu der schriftlichen Warnung aller anderen Genobanken geführt, heißt es in der Mitteilung von Donnerstag. Heißt offenbar: Die übrigen VR-Banken in Niedersachsen sollten es sich besser zweimal überlegen, ob sie die neuen Verfahren selber auch ausrollen wollen, sollte der „Pilot“ zufriedenstellend laufen.
Was der Causa zusätzliche Fallhöhe verleiht: Die genossenschaftlichen Banken arbeitet momentan – angeführt vom BVR und dem sektoreigenen IT-Dienstleister Atruvia – an einer regelrechten Datenoffensive. Internes Branding: „Smart Data Project“. Ob es einen unmittelbaren Zusammenhang zwischen diesem Projekt und den von der niedersächsischen Pilotbank eingesetzten „Profiling“-Verfahren gibt, ist zwar unklar (uns jedenfalls). Zumindest aber soll eine große inhaltliche Verwandtschaft zwischen den beiden Initiativen bestehen. Wenn sich die Datenschützer nun also auf das niedersächsische Pilotprojekt stürzen – dann könnte dies indirekt auch die Erfolgsaussichten der gesamten genossenschaftlichen Datenoffensive infrage stellen. Inhaltlich äußern wollte sich gestern keiner der involvierten Player. Zu heikel ist aktuell die Gemengelage.
Im Kern geht es den Datenschützern um zwei Punkte:
Wie ernst es speziell den niedersächsischen Datenschützern ist, zeigte sich bereits Ende Juli: Da brummte die Behörde der Volksbank Hannover das bislang höchste Bußgeld auf, das jemals gegen ein hiesiges Geldinstitut im Zusammenhang mit einem Datenschutzverstoß verhängt worden ist – 900.000 Euro. Das Bußgeld ist inzwischen rechtskräftig, die Hannoversche Volksbank hat nach Finanz-Szene-Informationen das Geld gezahlt und offenbar auf einen Widerspruch verzichtet. Hintergrund: Das Institut aus der Landeshauptstadt hatte aus dem Kundenverhalten, aber auch aus Schufa-Daten zu interpretieren versucht, ob man Kunden besser per E-Mail oder besser per Brief ansprechen sollte.
Bislang hatte es im Genosektor stets geheißen, Hannover sei ein „institutsindividueller“ Fall. Das ist allerdings nur die halbe Wahrheit. Denn das Grundprinzip, Daten auch dann auszuwerten, wenn Kundinnen und Kunden nicht explizit zustimmen – das würden auch andere Genobanken sehr gern anwenden. Und bislang, so heißt es im Umfeld von Datenschützern, sende der BVR an seine Mitgliedsbanken das Signal, dieses auch als „Hinweislösung“ bekannte Vorgehen werde auch rechtens sein und sei von der Interessensabwägung gedeckt.
Mit dieser Auffassung wäre es auch ein leichtes, mit dem gemeinsam mit der Atruvia entwickelten „Smart Data Project“ Effizienzgewinne zu heben. „Für die genossenschaftliche Finanzgruppe ist Smart Data keine bloße Option mehr, sondern längst ein zwingender Imperativ. Denn die intelligente Vernetzung digitaler Informationen aus unterschiedlichen Datenquellen bietet vollkommen neuartige Einblicke in individuelle Bedürfnisprofile“, erklärte Atruvia-Chef Ulrich Coenen vor einem Jahr in einem Gastbeitrag in der „Börsen-Zeitung“. Und weiter: „Die Volksbank Ulm-Biberach nutzt ihren gewonnenen Erfahrungsschatz (…) für ein neues Smart-Data-Vorhaben, bei dem es um die Selektion von Kunden mit einer bestimmten Produktaffinität gehen soll – etwa im Hinblick auf Kreditkarten oder Immobilienfinanzierung.“
Die Datenschützer in Niedersachsen gehen nun allerdings noch einen Schritt weiter und erklären selbst eine gewährte Zustimmung für problematisch, sofern sie denn völlig pauschal erfolge. Denn: In der Praxis würden bei diesem Verfahren 162 Datenfelder genutzt, um Profile zu erstellen, unter anderem auch, wer Sozialleistungen beziehe, wie viel der Kunde für Haushalt, Lebensmittel und Fahrzeugkosten aufwende und wie viel Geld er etwa via Paypal bzw. bei Amazon ausgebe. „Uns scheint, dass die Datenschutz-Aufsichtsbehörde Niedersachsen von falschen Annahmen ausgeht; insbesondere wird im Rahmen von Smart Data nicht unmittelbar auf Zahlungsverkehrsdaten von Kunden zugegriffen. Weder Bußgelder noch Untersagungs-Verfügungen wurden von der Behörde in diesem Zusammenhang erlassen. Die Gespräche sind noch nicht abgeschlossen“, erklärte eine BVR-Sprecherin gestern auf Nachfrage. Daher sei das Verhalten der Behörde „für uns nicht nachvollziehbar“.
Völlig überraschend kommt die Eskalation nicht. Laut Recherchen von Finanz-Szene hatte das Berliner Landesamt für Datenschutz bereits in seinem 2021er-Jahresbericht eine explizite Warnung an den BVR gerichtet. In dem Report ist von einer genossenschaftlichen Bank die Rede, die die Kunden informiert habe, sie beabsichtige, die Betroffenen zukünftig mit Leistungen und Produkten zu bewerben, die „der jeweiligen Lebens- und Finanzsituation“ entsprechen würden. Dazu werde man Zahlungsverkehrsdaten, die Nutzung des Online-Angebots über Webseiten, Online-Banking und Apps verarbeiten, etwa das Datum und die Uhrzeit der Nutzung und „Informationen zu den von Ihnen aufgerufenen Online-Produkten“.
Der Brief der Bank an die Kunden enthielt den Hinweis, dass gegen die Werbung ein Widerrufsrecht bestehe – mithin also die „Hinweislösung“. Was die Berliner Datenschützer auch erwähnen: Es handelte sich nicht um einen Alleingang der namentlich nicht genannten Bank. Vielmehr habe der BVR „seinen Mitgliedsbanken die beschriebene Vorgehensweise empfohlen und einen entsprechenden Text zur Verfügung gestellt“. Und: Der BVR halte das Vorgehen für rechtmäßig – genau das sei er aber nicht, so die Datenschützer. Das Ergebnis der eigenen Überprüfung sei dabei „bundesweit mit den anderen Aufsichtsbehörden abgestimmt“ worden.
Aus dem Umfeld von Landesdatenschutz-Behörden heißt es, trotz der wiederholten Warnungen halte der BVR bislang an seiner Rechtsauffassung in puncto „Hinweislösung“ fest – auch die habe zur jüngsten Eskalation beigetragen. Der BVR wiederum schreibt auf Anfrage von Finanz-Szene: „Selbstverständlich erfolgt eine Analyse von Kundendaten im Rahmen der strengen datenschutzrechtlichen Vorgaben und nur nach einer vorhergehenden, umfangreichen Interessenabwägung und transparenten Information beziehungsweise einer ausdrücklichen Zustimmung des Kunden. Kunden, die eine solche Analyse nicht wünschen, können dem jederzeit widersprechen.“
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!