Die niederländische Autoritieit Persoonsgegevens (Datenschutzbehörde) vertritt in einer Pressemitteilung vom 03. Juli 2019 die Ansicht, dass eine Bank die Zahlungsdaten ihrer Kunden nicht zu Marketingzwecken verwenden darf.
Banken dürfen ihren Kunden nicht einfach personalisierte Angebote auf der Grundlage ihrer Zahlungsdaten zusenden. Die niederländische Datenschutzbehörde (AP) forderte daher am 3. Juli 2019 alle Banken auf, ihre Politik im Direktmarketing genau zu überprüfen.
Die AP gab gekannt, dass in den Wochen vor der Pressemitteilung, sich viele Leute per Telefon oder E-Mail gemeldet haben. Diese sind besorgt, da eine Bank, ihre Zahlungsdaten für Werbezwecke verwenden will.
Diese Unstimmigkeiten und die Unruhe haben die AP veranlasst, einen Brief an den niederländischen Bankenverband (NVB) zu senden. In diesem Schreiben werden die Regeln für Banken festgelegt, wenn sie die Zahlungsdaten für andere Zwecke als die ursprünglich bei der Kontoeröffnung des Kunden vorgesehenen verwenden wollen.
Katja Mur, Vorstandsmitglied der AP sagte dazu: "Die Zahlungsdetails geben Ihnen ein mehr oder weniger vollständiges Bild vom Leben eines Menschen: Wofür geben Sie Ihr Geld aus, in welchen Vereinen sind Sie Mitglied, mit wem hängen Sie rum, welche Muster sind daraus ableitbar? Aus diesem Grund hält es der AP für wichtig, den Bankensektor auf die Datenschutzbestimmungen aufmerksam zu machen".
Im Schreiben (niederländische Version) an die Bank legt die AP detailliert dar, aus welchen Gründen (Vertragsbeziehung; Art 6 Abs 1 lit b DSGVO), die Bank die Zahlungsdaten verarbeitet, und geht auch auf die Frage der Zweckbindung sowie Weiterverarbeitung zu anderen Zwecken ein.
Diese Weiterverarbeitung zu anderen Zwecken (dh nicht zur Zahlungsabwicklung) ist an bestimmte Voraussetzungen geknüpft, wobei dies in Art 6 Abs 4 DSGVO geregelt ist.
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden,
nicht auf der Einwilligung der betroffenen Person
oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt,
so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
1. jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
2. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
3. die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
4. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
5. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Banken erheben nach Ansicht der AP die Daten nicht zu Marketingzwecken, sondern zur Abwicklung des Kundenverhältnisses. Die Verwendung der Daten für Marketingzwecke ist daher eine Weiterverwendung von Daten, die für andere Zwecke erhoben wurden.
Sofern für diese Weiterverwendung keine Einwilligung oder keine gesetzliche Grundlage gegeben ist, stellt sich daher die Frage der Vereinbarkeit.
Die AP stellt eine Kompatabilitätsprüfung an, und verweist dazu auch auf die gesetzlichen Grundlagen zur Teilnahme am bargeldlosen Zahlungsverkehr, und den hohen Gebrauchswert eines Girokontos. Ein unmittelbarer Interessenszusammenhang der Verwendung eines Girokontos im täglichen Leben und Finanzprodukten ist nach Ansicht der AP nicht gegeben. Es liegt daher kein „gleicher“ oder „ähnlicher“ Zweck für die beiden Verarbeitungen vor.
In den Transaktionsdaten finden sich auch Daten, aus denen auf das sonstige Leben des Kunden geschlossen werden kann, wobei die AP auch explizit auf Informationen über Mitgliedschaften zB bei Gewerkschaften oder kirchlichen Organisationen Bezug nimmt.
Die Erwartungshaltung des Kunden liegt nicht darin, dass die Bank die Daten analysiert und für (eigene) Marketingzwecke verarbeitet.
Was könnte die AP zu dieser Aussage bewogen haben?
Banken verfügen über Transaktionsdaten von Kunden; diese geben Aufschluss über das Verhalten der Kunden, deren Vorlieben, deren Freizeitaktivitäten und über eine Vielzahl von anderen persönlichen Attributen der Kunden.
Die Analyse der Daten ist notwendig, um etwaige Ausfallsrisken (insbes. bei Kunden, die auch Kredite bei der Bank haben) zu monitoren.
Das Zahlungsverhalten des Kunden kann aber auch dazu verwendet werden, die Kunden selbst zu analysieren, und diesen individuell zugeschnittene Werbung zu senden.
Wenn jemand zB am Monatsende immer einen bestimmten Betrag auf seinem Konto hat, und gleichzeitig auch Geld an eines seiner Kinder mit einem Dauerauftrag überweist, dann könnte dies ein potentiell interessanter Kunde für eine bestimmte Sparform für sein Kind sein. Die Bank könnte diesem Kunden dann individuell gestaltete Angebote zusenden.
Die Marketingmaßnahmen könnten aber auch darüber hinausgehen, wenn das Zahlungsverhalten der Kunden analysiert wird. Die Banken könnten auch auf die Idee kommen, diese Daten wirtschaftlich zu verwerten, und als Adresshändler auftreten, wie etwa die Post.
Die Aufsichtsbehörde kam zum Schluss, dass der Zweck des Direktmarketings nicht mit dem Zweck Finanztransaktionen durchzuführen bzw. zu ermöglichen, kompatibel ist. Ein Bankkonto braucht jede Person für die Teilnahme am modernen Wirtschafts- und Sozialleben.
Die Tatsache, dass jemand Inhaber/in eines Bankkontos ist, und damit die Bank Daten über diese Person verarbeitet, die notwendig sind, um dessen Finanztransaktionen durchzuführen, darf nach Ansicht der Aufsichtsbehörde nicht dazu verwendet werden, auf Interessen an anderen Finanzprodukten zu schließen.
Die Aufsichtsbehörde erachtet Finanztransaktionsdaten als sehr vertraulich, sodass die Kunden nicht erwarten, dass diese Daten für Werbezwecke analysiert und genutzt werden.
12.07.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben