VG-Wort Pixel

Postbank-Affäre "Datenschutz ist Chefsache"


Die Postbank hat freien Mitarbeitern Zugriff auf die Kontobewegungen ihrer Kunden gewährt. Datenschützer Peter Schaar spricht im stern.de-Interview über den gravierenden Datenmissbrauch.

Herr Schaar, die Postbank hatte bis zuletzt ihren externen Mitarbeitern den Zugang zu vertraulichen Bankdaten gewährt, die Information also an Dritte weitergeleitet. Wie beurteilen Sie diese Praxis?
Natürlich muss zunächst der genaue Sachverhalt aufgeklärt werden. Unbestritten aber ist, dass Berater Zugriff auf Kontodaten haben. Und das ist schon eine schwerwiegende Zweckänderung von personenbezogenen Daten, die ohne ausdrückliche Einwilligung der Betroffenen nicht zulässig ist. Weil diese Handelsvertreter zudem selbständig auf Provisionsbasis handeln, findet offenbar eine Datenübermittlung statt, die ebenfalls ohne ausdrückliche Einwilligung der Kunden nicht zulässig ist.

Die Postbank sagt, die Zugriffe auf die Daten seien im "Rahmen der Vertragsmodalitäten" geschehen.
Ich weiß nicht, was Kunden da im Einzelnen unterschrieben haben. Aber in diesem Zusammenhang auf die allgemeinen Vertragsbedingungen zu verweisen, ist mit Sicherheit nicht ausreichend. Niemand eröffnet ein Girokonto, damit die Bank Kontobewegungen auswertet, um anschließend bestimmte Produkte verkaufen zu können. Die Kunden erwarten von ihrer Bank, dass sie den Zahlungsverkehr abwickelt und keinen Gebrauch von den in diesem Zusammenhang stehenden Informationen macht. Die hier berichtete Praxis der Postbank wäre durch ein normales Vertragsverhältnis zwischen Bankkunden und Bank nicht abgedeckt.

Sollten sich die Vorwürfe bestätigen, würde der Umgang der Postbank mit ihren Kundendaten also gegen das Datenschutzgesetz verstoßen?
Ja, zumindest dann, wenn nicht eine ausdrückliche Zustimmung zur entsprechenden Datenverwendung vorliegt. Aber ich kann mir nicht vorstellen, dass ein Bankkunde, der einigermaßen bei Sinnen ist, damit einverstanden sein soll, dass seine Kontoinformationen ausgewertet werden, und die Daten zudem auch noch an Dritte übermittelt werden, um Bank- oder Versicherungsprodukte verkaufen zu können.

Die Postbank argumentiert, die freien Handelsvertreter würden ausschließlich in ihrem Auftrag die Kontodaten einsehen. Macht es einen Unterschied, ob festangestellte Bankmitarbeiter Einblick in die Kontodaten haben oder ob es freie Mitarbeiter sind?
Der Bankangestellte ist Mitarbeiter des Kreditinstituts, dem ich die Daten anvertraue. Natürlich darf er auch nicht alles mit den Kundendaten machen. Eine Zweckänderung der Überweisungsdaten, etwa um ihm weitere Produkte zu verkaufen, ist nur dann zulässig, wenn es dafür eine Einwilligung gibt. Aber hier handelt es sich ja anscheinend um einen viel gravierenden Fall - die Übermittlung von Daten an Dritte, nämlich Personen, welche die ihnen überlassenen Informationen für eigene Zwecke verwenden und Erfolgshonorare erhalten. Entscheidend ist dabei: Handeln die freien Mitarbeiter in eigener Verantwortung oder sind sie durch ein so genanntes Auftragsdatenverarbeitungsverhältnis gebunden? Die Tatsache, dass auf Provisionsbasis gearbeitet wird, deutet stark daraufhin, dass sie als eigenständige Dritte tätig sind und dementsprechend würde es sich um eine Übermittlung handeln, die einen zusätzlichen Eingriff in den Datenschutz der Bankkunden darstellt. Insofern gibt es da einen gravierenden Unterschied.

Kennen Sie ähnliche Fälle von anderen Geldinstituten?
Es gab in der Vergangenheit Diskussionen zwischen den Datenschutzbehörden und der Kreditwirtschaft darüber, ob bei den so genannten Allfinanzprodukten Kundendaten entsprechend ausgewertet werden dürfen. Die Datenschutzbehörden halten das ohne die ausdrückliche Zustimmung der Betroffenen für nicht zulässig. Das jetzt aber auch noch externe Dritte einen Onlinezugriff auf interne Bankdaten bekommen, ist mir jetzt bisher nicht untergekommen. Allerdings will ich nicht meine Hand dafür ins Feuer legen, dass es bei anderen Banken nicht auch ähnliche Praktiken geben könnte.

Sollte es solche Fälle geben, glauben Sie, dass sie nun öffentlich werden?
Ich rate jedem, der den Eindruck hat, dass mit seinen Daten unzulässig umgegangen wird, bei seiner Bank nachzufragen und gegebenenfalls die zuständigen Datenschutzbehörden zu informieren, wenn sich die Sache so nicht klären lässt. Auf der anderen Seite müssen die Bankverantwortlichen ebenfalls sehr sensibel reagieren. Mir würde es nicht ausreichen, wenn mögliche unzulässige Praktiken stillschweigend beerdigt würden, ohne die Kunden offen darüber aufklären, was geschehen ist. Ich erinnere nur daran, dass es mittlerweile sogar eine ausdrückliche gesetzliche Verpflichtung gibt, die Betroffenen über Datenschutzverstöße zu informieren.

Welchen Stellenwert räumen Sie den Vorwürfen ein? Wäre es eine neue Dimension des Datenmissbrauchs oder nur einer von vielen Fällen?
Ich kann das noch nicht abschließend bewerten, denn schließlich müssen die Anschuldigungen erst einmal geklärt werden. Aber es macht schon einen Unterschied, ob ein untreuer Mitarbeiter, wie jüngst bei einem Callcenter, ihm anvertraute Daten weitergibt, oder ob bereits die Vorgaben des Auftraggebers gegen den Datenschutz verstoßen. Aber wie gesagt, dass muss nun geklärt werden.

Wie geht es jetzt im Fall der Postbank weiter?
Die hier zuständige Datenschutzaufsichtsbehörde wird jetzt die Vorwürfe prüfen, rechtlich bewerten und sicherlich Konsequenzen ziehen. Wenn ein Verstoß gegen das Datenschutzgesetz festgestellt wird, kann beispielsweise ein Bußgeld verhängt werden. Die Datenschutzbehörde kann auch Strafantrag stellen, etwa dann, wenn die Verstöße in Bereicherungsabsicht begangen wurden. Das könnte zum Beispiel dann der Fall sein, wenn für unrechtmäßig verwendete Daten Provisionen gezahlt wurden.

Angesichts der sich häufenden Datenschutzmissbrauchsfälle - welche Konsequenzen fordern Sie?
Auch wirtschaftlich schwierige Situationen sind keine Rechtfertigung für allzu lockeren Umgang mit personenbezogenen Daten. Es gelten weiterhin Recht und Gesetz. Und natürlich ist das Management in der Pflicht. Die Leitung der Bank ist verantwortlich, denn Datenschutz ist Chefsache.

Niels Kruse

Mehr zum Thema


Wissenscommunity


Newsticker