Wenn’s um Werbung geht, Sparkasse: Lehrstück für illegale Einwilligungen

News

Die öffentlich-rechtlich organisierten Sparkassen gelten oft immer noch als seriöse und kundenfreundliche Alternative zu privaten Bankinstituten. Leider, zumindest was den Datenschutz angeht, zu Unrecht. Dies haben eine Reihe von Fällen gezeigt. Nun wurde Kunden die Einwilligung in massive Überwachung ihrer Finanzen zwecks personalisierter Werbung buchstäblich aufgeschwatzt. Der Artikel erklärt den datenschutzrechtlichen Hintergrund und wie man sich wehren kann.

Druck und Täuschung durch die Sparkasse

Recherchen von netzpolitik.org haben ergeben, dass eine ganze Reihe von Sparkassen mindestens teilweise systematisch ihre Kunden unter Druck gesetzt und getäuscht haben sollen. Ziel: Eine Einwilligung, um umfassend personenbezogene Daten verarbeiten und mit den gewonnenen Profilen, die Kunden zu Werbezwecken kontaktieren zu können. Sie sollen dabei in ganz Deutschland – von kleineren Kreissparkassen Schwedt, Tuttlingen und Saalfeld-Rudolstadt bis zu den Kreissparkassen Leipzig und Köln – sehr ähnlich vorgegangen sein:

Bei einem Termin in der Bank behaupteten deren Mitarbeiter im Gespräch, nach der neuen DSGVO bräuchten sie eine Einwilligung, damit die Sicherheit im Zahlungsverkehr gewährleistet oder gar damit der Kunde im Notfall kontaktiert werden könne. Mitunter sollen Mitarbeiter sogar gedroht haben, dass sie ansonsten keine Auskunft mehr geben könnten. Kunden, die diese Fälle an netzpolitik.org meldeten, berichteten allerdings, dass in dem Formular davon keine Rede war. Vielmehr wurde darin der Bank das Recht eingeräumt, alle ihr bekannten Informationen über den Kunden einschließlich „Daten von Verbundpartnern“ und seines Zahlungsverkehrs umfassend auszuwerten. Ferner wurde der Bank das Recht eingeräumt, personalisierte Werbung zu übermitteln und den Kunden zu Werbezwecken sowohl elektronisch als auch telefonisch zu kontaktieren. Die entsprechenden Kästchen mit der Zustimmung waren bereits angekreuzt, der Kunde sollte nur noch unterschreiben.

Systematisches Vorgehen?

Dass die Sparkassen die Einführung der DSGVO dreister weise gerade nutzen wollen, um „anhand Ihrer Daten die Werbung genauer für Sie auswählen“ zeigt auch ausgerechnet der Eintrag auf deren Website zur DSGVO. Immerhin werden dort allerdings keine falschen Angaben zum Zweck der Einwilligung gemacht. Ein Interview mit dem Projektverantwortlichen beim Deutschen Sparkassen- und Giroverband (DSGV) zur DSGVO macht ebenfalls ganz unverblümt deutlich, dass die Banken das die zur Verbesserung des Datenschutzes gedachte Einführung der Verordnung entgegen deren Sinn nutzen wollen, um ihre Kunden zu Werbezwecken besser zu durchleuchten. Frank Trojahn erklärt gegenüber der DSGV-Website auf Befragen:

„Es ergeben sich jetzt auch Chancen, wenn es um passgenauere Beratung geht: Kunden können der Verarbeitung ihrer Daten zu bestimmten Verarbeitungszwecken zustimmen – zum Beispiel zur Betrachtung ihrer Zahlungsdaten für eine passgenauere Beratung.“

Dass Kunden eine derartige Einwilligung nicht abgeben wollen, scheint aber nicht ins Geschäftsmodell zu passen und ist entsprechend nicht vorgesehen. Da muss dann offenbar mit falschen Angaben nachgeholfen werden. In mindestens einem Fall, den der Ostsächsischen Sparkasse Dresden, liegen netzpolitik.org interne Schulungsunterlagen der Bank vor, in denen Mitarbeitern die Formulierungen für die oben beschriebenen Gespräche vorgegeben wurden. Hinter den falschen Angaben und dem Druck auf die Kunden, scheint also zumindest teilweise System zu stecken. Der DSGV hat für seinen Teil bestritten, die Schulungsunterlagen mit den entsprechenden Formulierungen erstellt zu haben.

Datenschutzkonforme Einwilligung

Datenschutzrechtlich sind „Einwilligungen“, wie sie gegenüber netzpolitik.org geschildert wurden, natürlich in mehrfacher Hinsicht unwirksam. Einwilligung ist nach der Legaldefinition in Art. 4 Ziff. 11 DSGVO eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Werden mündlich – wie offenbar hier – falsche Angaben dazu gemacht, wofür die Einwilligung verwendet wird, kann schon von einer Informiertheit keine Rede sein. Denn die Einwilligung wurde ja gerade nicht dafür verwandt, die Sicherheit des Zahlungsverkehrs zu gewährleisten oder den Kunden im Notfall anrufen zu können. Beides sind ohnehin ureigene Aufgaben der Banken. Sie brauchen daher keine Einwilligung dafür, denn die dafür notwendige Verarbeitung personenbezogener Daten ist zur Erfüllung eines Vertrages der Bank gemäß Art. 6 Abs. (1) b) DSGVO rechtmäßig.

Darüber hinaus wurde mit der Drohung, die Bank werde ohne die Erteilung der Einwilligung (für Werbezwecke) die Zahlungssicherheit nicht mehr gewährleisten, in Notfällen den Kunden nicht mehr kontaktieren etc., möglicherweise auch gegen das sogenannte Koppelungsverbot verstoßen.

Und schließlich sollen nach Erwägungsgrund 32 des Gesetzgebers zur DSGVO „bereits angekreuzte Kästchen“ ausdrücklich keine Einwilligung darstellen.

Was ist zu tun?

Einwilligungen können jederzeit nach Art. 7 Abs. (3) S. 1 DSGVO widerrufen werden. Dies räumt sogar das Formular der Sparkassen ein. Eine Begründung ist nicht erforderlich. Allerdings muss dieses Recht nur bei wirksamen Einwilligungen ausgeübt werden und wirkt dann nur für die Zukunft. Im vorliegenden Fall war die Einwilligung weder informiert noch freiwillig und damit unwirksam. Als Betroffener sollte man daher zumindest auch die Löschung der durch die unwirksame Einwilligung erstellten Datenbanken bei der Bank verlangen sowie bei allen Dritten, an die die Bank diese Datensätze weitergegeben hat.

Auf dieses Betroffenenrecht muss die Bank innerhalb eines Monats reagieren. Verbraucherschützer raten betroffenen Kunden zudem, Beschwerde bei der Verbraucherzentrale ihres Bundeslandes und der Schlichtungsstelle des DSGV zu erheben.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. „…Verbraucherschützer raten betroffenen Kunden zudem, Beschwerde bei der Verbraucherzentrale ihres Bundeslandes und der Schlichtungsstelle des DSGV zu erheben….“
    Wieso nur bei der Verbraucherzentrale und der Schlichtungstelle der Sparkassen?
    Was sagen denn die Aufsichtsbehörden dazu?
    Zum Einen gibt es eine ungültige Einwilligung auf deren Basis pbDaten verarbeitet wurden und daraus ergibt sich desweiteren eine meldepflichtige Datenpanne (…unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,…).
    Hier gehört mE auch eine Beschwerde an die Aufsichtsbehörden gerichtet.
    Wenn es für einen fehlenden AV Vertrag schon 5000€ Strafe gibt (https://www.datenschutzbeauftragter-info.de/bei-aufsichtsbehoerde-angefragt-bussgeld-kassiert/) müsste hier die Strafe definitiv höher ausfallen.

  2. … ich habe ein ähnliches Problem bei meiner Bank (einer großen Online-Bank) entdeckt, dort wurde bei der Freischaltung von Multi-Banking (der Einbindung von anderen Banken) eine Einwilligung zur umfassenden Nutzung der anderen Bankinformationen durch die Bank abverlangt.

    Hierzu habe ich Beschwerde bei der zuständigen Landesdatenschutzbehörde eingelegt.
    Diese hat die Bank schnell „überredet“, die Einwilligung in Zukunft nicht mehr abzufragen und die Daten entsprechend nicht zu nutzen.
    Daher: Ja, Beschwerde bei der Aufsichtsbehörde ist in jedem Falle sinnvoll!

  3. Bei mir hat die Sparkasse zwar keinen Zwang ausgeübt, aber wollte mich blind unterschreiben lassen. Bei Eröffnung eines Tagesgeldkontos wurde mir nur ein elektronisches Pad vorgelegt, wo ich unterschreiben sollte und dann sollte meine Unterschrift auf die jeweiligen Formulare kopiert werden. Es gab lediglich eine stichwortartige Überschrift in der Art von „Verbundpartner, Werbung“. Das hat mich dann stutzig gemacht und ich habe nicht unterschrieben. Danach hat mir die Mitarbeiterin das Einwilligungsformular auf ihrem Bildschirm gezeigt, welches sowohl eine ausführliche Erlaubnis für die Datenübermittlung an diverse Verbundpartner, für Werbung sowie einer Analyse meiner Konten enthielt. Die meisten Kunden haben diese Einwilligungserklärung auf diese Weise sicherlich unbeabsichtigt und ohne Kenntnis des Inhalts unterschrieben. Durch die Übertragung der Unterschrift sieht es dann so aus, als hätten die Kunden zumindest vorher von dem Inhalt Kenntnis nehmen können, was aber nicht der Fall war. Habe dies dann der zuständigen Aufsichtsbehörde gemeldet und empfehle anderen, das auch zu tun.

  4. deja-vu… Habe für meinen minderjährigen Sohn ein Jugendkonto eröffnet, lapidar wurde ich aufgefordert alle „Vertragsunterlagen“ zu unterzeichnen (sind bei Banken ja nicht wenige inkl. Unterschriftenliste etc.), von Einwilligung keine Rede. Die Unterlagen für meinen Mann wurden mir zur Unterschrift mitgegeben. Erst zuhause merkte ich, was ich genau da unterschrieben habe (wie oben beschrieben, umfangreiche Einwilligung (vorab per Drucker alle Punkte angekreuzt!!!) auch für Verbundpartner, zum Sammeln und Auswerten unserer Daten, Kontaktaufnahme etc.). Ich habe meine Einwilligng natürlich sofort widerrufen, war auch ziemlich sauer und war kurz davor die Aufsichtsbehörde einzuschalten. Habe es aber auf die „Inkompetenz“ der Mitarbeiterin geschoben und es dabei belassen, …. Dass das Vorgehen System hat finde ich ein starkes Stück und unbedingt wert bei der Aufsichtsbehörde anzuzeigen….

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.