Bankgeheimnis? Nicht für persönliche Daten!

schweigen 01
Fachbeitrag

Zugegeben, die Überschrift ist ein wenig reißerisch. Ein echtes Bankgeheimnis gibt es in der Bundesrepublik Deutschland eher nicht. Gleichwohl geben sich Banken in der Regel seriös zurückhaltend und verschwiegen.

Leider scheint das nicht für den Gebrauch oder im Umgang mit den persönlichen Daten der Kunden zu gelten.

Das Anforderungsschreiben

Als Kunden einer regionalen Sparkasse erreichte den Verfasser dieses Artikels ein förmliches Anschreiben mit dem Betreff „Gesetzliche Änderungen“. Dort heißt es:

Besonders im Hinblick auf den Datenschutz müssen Sie daher zeitnah Ihre bei uns hinterlegten Daten aktualisieren.

Das klingt wichtig und betrifft in der Regel bei einer Bank das eigene Geld. Die Sparkasse schreibt auch, ihr sei die Sicherheit meiner Daten wichtig (was ich bereits bestreiten würde, denn meine Online Pin darf maximal 5 Stellen lang sein. Fünf; wir empfehlen selbst auf dem Smartphone 8 und 12 für das Passwort zur Benutzerkennung der PC-Anmeldung.)

Jedenfalls bittet mich die Sparkasse weiter, die beigefügte Datenschutzerklärung auszufüllen und unterschrieben zurück zu senden, damit ich auch zukünftig Leistungen wie gewohnt nutzen kann. Aha. Wird damit schon ein Ausschluss von Leistungen für den Fall der fehlenden Datenschutzerklärung angedroht? Ich soll sogar die Datenschutzerklärung „leisten“. Klingt falsch, ist es auch.

Die Anwendung des §28 Abs. 3 BDSG

Zunächst einmal erinnern wir uns warum die Bank diese Erklärung bekommen möchte. Seit September 2012 (wir berichteten) ist auf die Verarbeitung und Nutzung der betreffenden Daten § 28 BDSG in seiner aktuellen Fassung anzuwenden. Das heißt: sofern keine Rechtsgrundlage für die Verarbeitung bzw. Nutzung der vorhandenen Kundendaten greift, ist die ausdrückliche Einwilligung des Kunden erforderlich.

In § 28 Abs. 3 BDSG heißt es u.a.:

„Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt.”

Folglich ist nun keine „Opt-out“-Lösung bei der Einholung einer Einwilligung des Beworbenen mehr möglich, sondern es muss stets ein „Opt-in“ verwendet werden. Falls die Einwilligung in elektronischer Form erfolgt, ist diese von der verantwortlichen Stelle zusätzlich zu dokumentieren.

Die umfassende Freigabe zur Datenübermittlung

Leider bleibt es nicht bei dem sprachlichen Fauxpas. Die zur Unterschrift vorgelegte Datenschutzerklärung enthält einen Barcode. Dieser wiederum speichert Namen, Vornamen, Geburtsdatum und eine von der Sparkasse vergebene Personennummer. Faszinierend, so besitze ich neben der Steuer-ID, der Personalausweisnummer auch noch unwissentlich eine „Personennummer“ bei meiner Bank. Doch die Bank meint es gut mit mir. Das jeweilige Feld zur Einwilligung in die Datenspeicherung und -nutzung durch die Bank ist bereits gelb markiert und mit „Ja, ich bin damit einverstanden,…“ für mich vorausgefüllt. Nur eine Unterschrift ist noch erforderlich.

Der zweite Punkt ist der spannendere. Auch hier ist bereits das entsprechende Feld vorangekreuzt. Damit möchte die Bank meine Einwilligung zur Datenübermittlung erhalten. Gleichzeitig entbinde ich meine Bank vom Bankgeheimnis in eben diesem Rahmen. Übermittelt werden dürfen sollen u.a.

  • Personalien (u.a. Name, Familienstand, Beruf oder vergleichbare Daten),
  • Einlagen (u.a. Guthaben, Verzinsung),
  • Kredite (u.a. Saldo/Limit),
  • Kontoinformationen (u.a. Umsatzdaten),
  • Karten und
  • Verwahrungsgeschäfte.

Diese weitreichende Freigabe zur Übermittlung wirklich höchstpersönlicher Daten soll für Kooperationspartner, Tochterunternehmen und deren Außendienstmitarbeitern gelten. Mit der derselben Reichtweite soll des Weiteren die Entbindung vom Bankgeheimnis gelten.

Dürfen die das?

Auch wenn die Bank schreibt, die Einwilligung sei freiwillig und könne ohne Einfluss auf das Vertragsverhältnis jederzeit widerrufen werden, so kennen fleißige datenschutzbeauftragter-info.de Leser die wichtigste Voraussetzung für eine wirksame Einwilligung.

Freiwilligkeit.

Die Einwilligung muss gemäß §4a BDSG auf einer freien Entscheidung des Betroffenen beruhen. Dies erfordert zunächst, dass die Einwilligung ohne Zwang erfolgt. Zudem muss der Verbraucher über Umfang und Folgen der Einwilligung hinreichend informiert sein. Zwar dürfte hier kein Zwang vorliegen, jedoch meinen wir, dass durch die Vorauswahl eine Hemmschwelle besteht, die den Verbraucher davon abhält, von seiner Entscheidungsmöglichkeit Gebrauch zu machen.

Ich werde die Hemmschwelle überwinden, die getroffene Vorauswahl überschreiben und den Datenschutzbeauftragten der Bank anschreiben.

Denn: Nein, ich bin damit nicht einverstanden.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

10 Kommentare zu diesem Beitrag

  1. @Dr.Datenschutz :

    Danke, daß Sie dieses Blog mit Ihren persönlichen Erfahrungen bereichern.
    Bitte ziehen Sie das volle Programm durch. Dank Ihres Expertenwissens dürfte das machbar sein. Diese unverschämte Bank sollte nicht so einfach davonkommen.
    Übrigens kurios, daß Ihre Bank offenbar nicht weiß, wen sie vor sich hat. So einen Brief an einen Datenschutzexperten zu senden, grenzt ja schon an Dummheit.

    Unglaublich! Solchen Leuten überlassen wir unser Geld! Diese Leute wollen unser Bargeld abschaffen! Kafkaesk.

  2. Hallo lieber Autor, ich bin Mitarbeiter einer Bank und den Artikel über mein privates RSS-Abonnement entdeckt. An dieser Stelle möchte ich jedoch als Privatperson kurz auf den Kritikpunkt mit der nur 5-stelligen Online-Banking PIN und der Personennummer eingehen.

    — ZITAT —
    Das klingt wichtig und betrifft in der Regel bei einer Bank das eigene Geld. Die Sparkasse schreibt auch, ihr sei die Sicherheit meiner Daten wichtig (was ich bereits bestreiten würde, denn meine Online Pin darf maximal 5 Stellen lang sein. Fünf; wir empfehlen selbst auf dem Smartphone 8 und 12 für das Passwort zur Benutzerkennung der PC-Anmeldung.)

    Dieses Thema wird häufiger vorgebracht. Es ist richtig, dass die PIN nur 5 Stellen haben darf. Allerdings stellt dies *kein* Sicherheitsrisiko dar, da der Zugang automatisch nach drei falschen Eingaben gesperrt wird. Ob die PIN nun 5 oder 25 Stellen hat, die Wahrscheinlichkeit ihn unter diesen Sicherheitsvorkehrungen mittels „BruteForce“ zu knacken, ist nahezu unmöglich.

    Eine Ergänzung noch zur entdeckten Personennummer: Diese Nummer ist quasi Ihre Kundennummer. Das stellt aus meiner Sicht erstmal kein Datenschutzproblem dar – so verfährt wohl jedes Unternehmen, das Kundendaten erhebt und speichert. Die Personennummer dient als Identifikationsmerkmal, da sich Kontonummern (und ja, auch Namen!) ggf. ändern können. Die Personennnummer hingegen bleibt dagegen gleich und erleichtert die EDV-mäßige Identifikation.

    Viele Grüße

  3. Ich mag ja ein bisschen spaet dran sein, aber was soll’s ;-)

    @bastian: Zum einen ist die Sperrung des Zugangs nach ein paar Fehlversuchen selbst eine gigantische Sicherheitsluecke, da sie einen trivialen DoS-Angriff ermoeglicht, ibs. wo man zum Login sonst nur die Kontonummer braucht. Wer immer meine Bankverbindung kennt, kann mir in wenigen Minuten den Zugriff auf mein Geld versperren. Interessiert die Bank natuerlich nicht …

    Zum anderen ist eine Wahrscheinlichkeit von 1:33333 alles andere als „nahezu unmoeglich“. Das ist ein Risiko, das den Fortbestand der Bank als ganzes nicht gefaehrdet, deswegen ist es der Bank natuerlich wieder egal – fuer den individuellen Kunden ist das aber alles andere als vernachlaessigbar.

    Ich wuerde gerne ein mindestens 10-stelliges alphanumerisches Passwort ohne Sperrung durch Fehlversuche nutzen, das senkt das Risiko, dass jemand mich von meinem Konto aussperrt, erheblich, und selbst wenn jemand 100 Jahre lang jede Sekunde eines ausprobiert, hat er nur eine Chance von etwa 1:260000000, dabei erfolgreich zu sein.

  4. Hallo zusammen,
    weiß jemand von Euch, inwieweit die Sperrung persönlicher Daten bei Banken gemäß §20 Abs. 3 BDSG reichen muss? Wann ist eine Löschung von Daten nur mit sehr großem Aufwand zu bewerkstelligen? Und noch eine weitere Frage: Müssen auch die dazugehörigen Geschäfte, z.B. bei Interessentenanfragen, gesperrt werden?
    Viele Dank für die Hilfe

  5. Hallo zusammen,

    vielleicht kann mir jemand trotz des fortgeschrittenen Alters des Fachbeitrages helfen. Meine Frau und ich wollten für unseren minderjährigen Sohn bei der Raiffeisenbank ein Girokonto eröffnen. Dabei fiel mir oben erwähnte vorangekreuzte „Einwilligung zur Datenübermittlung“ auf. Da ich, wie der Autor auch, nicht einverstanden war, habe ich den gesamten Kasten mit der Erklärung durchgestrichen. Trotz des Satzes „Diese Erklärung ist freiwillig und ohne Einfluss auf das Vertragsverhältnis mit der Bank.“ teilte mir die Sachbearbeiterin mit, dass ohne die Einwilligungserklärung keine Kontoeröffnung möglich sei! Muss ich das hinnehmen? Wo kann ich mich beschweren? Was kann ich sonst unternehmen, damit solche Praktiken ein Ende haben?

  6. Hallo! Mir geht es momentan so: Mein Bausparvertrag läuft aus, eine Umschuldung steht an. Nun schickt mir mein Bankberater die „Einwilligungserklärung“, wo zusätzlich zur Befreiung vom Bankgeheimnis von mir unterschrieben werden soll, dass die Bank und ihre Partner mich anrufen oder eine Mail schicken dürfen, um mich zu ihren Produkten zu informieren. Das habe ich durchgestrichen und den Rest unterschrieben. Beim Senden an die Bank bat ich um zwei genau definierte Angebote zur Umschuldung. Nun erreicht mich eine Mail: Ohne die Zustimmung auf der Einwilligungserklärung dürfe man mir kein Angebot senden.
    Hä? Ich muss zustimmen, dass man mir sämtliche Werbung schicken und mich anrufen darf, nur weil ich zwei bestimmte Angebote haben möchte?
    Kann das sein? Mit der schriftlichen Bitte um ein Angebote erlaube ich dem Bankberater doch, dass er mir die auch schicken darf. Oder nicht?
    Jetzt muss ich eine allgemeine Erlaubnis geben (ich werde quasi genötigt zu unterschreiben) und wenn das Angebot da ist, muss ich widerrufen oder was?
    Ist das wirklich so?
    Viele Grüße

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.