29. Oktober 2009 - Zugriff auf Kontobewegungen

„Richtige“ Datenschutzverstöße der Postbank – Oder: Auf der Suche nach einer rechtlichen Ausrede

Freie Handelsvertreter der Postbank Finanzberatung AG haben im großen Umfang Zugriff auf private Girokontodaten der Kunden der Postbank AG gehabt. Eine Einwilligung der Kunden erfolgte zu keinem Zeitpunkt. Die zuständige Datenschutzbehörde Nordrhein-Westfalen sieht hierin einen datenschutzrechtlichen Verstoß. Zu Recht! Denn die Postbank hat völlig eindeutig Datenschutzvorschriften verletzt.

201erichtige201c-datenschutzverstose-der-postbank-oder-oder-auf-der-suche-nach-einer-rechtlichen-ausrede.jpeg
Eine fundierte Kundenberatung ist eindeutig keine Entschuldigung für Datenschutz-Verletzungen (Bild: Postbank AG).

In einer aktuellen Pressemitteilung rechtfertigt die Postbank ihr Verhalten überraschend wie folgt: „Die Postbank ist davon überzeugt, dass es im Sinne der Zusammenarbeit mit unseren Kunden richtig ist, dass unsere Finanzberater, die ausschließlich für die Postbank Gruppe tätig sind, anlassbezogen Zugriff auf Kontodaten haben sollen, um eine fundierte Kundenberatung durchführen zu können.

Was bisher geschah …

Ausgelöst durch eine Recherche der Stiftung Warentest war die zuständige Datenschutzbehörde Nordrhein-Westfalen der Praxis der Deutschen Postbank nachgegangen, Finanzdienstleistungen an freie Handelsvertreter des Drittunternehmens Postbank Finanzberatung AG weiterzugeben. Diese freien Finanzberater hatten Einblick in die Bewegungen der Girokonten der Kunden. So sollte u.a. sichergestellt werden, dass bei Eingang eines höheren Geldbetrags Kunden angerufen werden, um Geldanlagen zu verkaufen.

Eine Einwilligungserklärung der Kunden zur Weitergabe dieser hochsensiblen Girokontodaten lag nicht vor. Die Postbank hat am Dienstag dieser Woche den Zugang der freien Handelsvertreter „bis zur endgültigen Klärung der Rechtslage“ gesperrt.

Freie Handelsvertreter als „Dritte“ im Sinne des BDSG

Es ist völlig eindeutig, dass die freien Handelsvertreter als „Dritte“ im Sinne des Bundesdatenschutzgesetzes zu bewerten sind. Das ergibt sich bereits ganz klar aus dem Gesetzeswortlaut des § 3 Abs. 8 BDSG: Dritte ist jede Person oder Stelle außerhalb der verantwortlichen Stelle.

Im vorliegenden Fall sind die Handelsvertreter deshalb auch Dritte im Sinne dieser Vorschrift. Denn: Sämtliche Handelsvertreter sind für eine Drittgesellschaft, nämlich die Postbank Finanzberatung AG, tätig. Die Handelsvertreter sind daher datenschutzrechtlich so wie jeder andere beliebige Dritte zu bewerten.

Es liegt auf der Hand, dass es sich bei Kontodaten um vertrauliche und private Informationen handelt, die der Kunde eben nicht jedem beliebigen Dritten zugänglich machen möchten.

Datenverarbeitung im Auftrag?

Fernliegend erscheint auch die Konstruktion, eine datenschutzrechtliche Rechtfertigung über die Datenverarbeitung im Auftrag nach § 11 BDSG herbeizuführen.

Denn hierfür wäre es erforderlich, dass die selbstständigen Handelsvertreter weisungsgebunden und im Auftrag der Postbank handeln. Eine derartige Weisungsgebundenheit ist bereits deshalb ausgeschlossen, weil ein Vertragsverhältnis nicht unmittelbar zur Postbank, sondern eben zu der Vertriebstochter Postbank Finanzberatung AG besteht. Der Anwendungsbereich des § 11 BDSG ist deshalb nicht eröffnet.

Zudem ist es bei einer Gesamtbetrachtung des Vertriebskonstrukts offensichtlich, dass es bei der Tätigkeit der Handelsvertreter darum geht, Finanzprodukte an möglichst geeignete Kunden zu verkaufen. In den Worten der Postbank zu den datenschutzrechtlichen Vorwürfen: „Um eine fundierte Kundenberatung durchführen zu können“.

Besonders dreiste und systematische Datenschutz-Verstöße

Dass dabei offensichtlich Kunden mit hohen Zahlungseingängen systematisch angesprochen wurden, um Finanzprodukte abzunehmen, stellt plastisch dar, in welcher besonders dreisten Weise hier datenschutzrechtliche Verstöße begangen wurden: Denn es ist gerade ratio legis, d.h. Sinn und Zweck des Gesetzes, private Daten vor dem Zugang Dritter zu schützen, um nicht unerwünschten Vertriebs- und Verkaufsaktivitäten ausgesetzt zu sein.

Diese datenschutzrechtlichen Grundsätze wurden vorliegend systematisch umgangen.

Konsequenzen: Bußgeld bis zu 300.000 Euro möglich

Da eine datenschutzrechtlich erforderliche Einwilligung der Kunden zur Weitergabe ihrer Daten an Handelsvertreter nicht bestand, liegt ein Verstoß gegen § 43 Abs. 2 BDSG vor. Die Geldbuße beträgt bis zu 300.000 Euro im Einzelfall.

Kunden haben ein Recht darauf, dass ihre Bankdaten vertraulich behandelt werden. Es ist Sinn und Zweck des Datenschutzes, diese fundamentalen Grundsätze sicherzustellen, so dass abschließend zu hoffen bleibt, dass die zuständige Datenschutzbehörde Nordrhein-Westfalen die zu verhängenden Bußgelder gewissenhaft und im Sinne der Kunden durchsetzt.

Möglicherweise sehen sich auch dann Datenschutzbehörden in anderen Ländern dazu veranlasst, diese zum Teil gängige Bankenpraxis zu überprüfen.

Dr. Georg Schröder
Dr. Georg Schröder ist Rechtsanwalt und Partner der Heussen Rechtsanwaltsgesellschaft mbH in München. Sein Tätigkeitsschwerpunkt sind die Bereiche Datenschutz und Datensicherheit. Er ist als externer Datenschutzbeauftragter für verschiedene Unternehmen und Konzerne tätig.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln