BVwG Bankensendung Arbeitsadresse | dataprotect.at
Rechtssatz
Das Bundesverwaltungsgericht hat entschieden, dass eine Bank nicht gegen die DSGVO verstößt, wenn sie ein Kündigungsschreiben für ein Privatkonto an die Arbeitsadresse des Kunden
versendet, sofern dieser diese Adresse zuvor im Onlinebanking bestätigt hat und das Schreiben korrekt an die Person (c/o, zur persönlichen Öffnung)
adressiert ist.
Unterinstanz / DSB sah es (noch) anders:
"Mit Bescheid vom 04.09.2024 gab die belangte Behörde der Beschwerde der mitbeteiligten Partei statt und stellte fest, dass die Beschwerdeführerin die mitbeteiligte Partei dadurch im Recht auf Geheimhaltung verletzt habe, indem sie ein ausschließlich das private Vertragsverhältnis mit der mitbeteiligten Partei betreffendes Kündigungsschreiben, datiert mit XXXX , an die Adresse des Arbeitsplatzes der mitbeteiligten Partei versendet habe."
Sachverhalt
Eine Kundin hatte bei einer österreichischen Bank sowohl ein Privatkonto als auch ein Schließfach. Zusätzlich war sie als Zeichnungsberechtigte in einem Geschäftskonto ihrer Arbeitgeberin registriert. Bei der Aktivierung eines Cashback-Programms bestätigte sie die Arbeitsadresse als Zustelladresse.
Die Bank kündigte später beide Privatkonten per Einschreiben und adressierte das Schreiben an die Arbeitsadresse mit dem Vermerk 'c/o". Ein Mitarbeiter des Arbeitgebers leitete das Schreiben an die Kundin weiter. Diese beschwerte sich bei der Datenschutzbehörde und warf der Bank vor, private Informationen unbefugt offengelegt zu haben.
Rechtliche Begründung
Das BVwG stellte fest, dass die Bank berechtigt war, die Arbeitsadresse zu verwenden, da die Kundin diese zuletzt im System bestätigt hatte. Das Schreiben war außen nur mit Namen und Adresse gekennzeichnet, enthielt keine weiteren Identifikationsmerkmale und war persönlich an die Kundin adressiert. Der Vermerk 'c/o" signalisiert nach Verwaltungsgerichtshofrechtsprechung, dass die Person an dieser Adresse erreichbar ist, ohne andere Personen zur Öffnung zu bevollmächtigen.
Der Schutzstandard eingeschriebener Briefe ist bei korrekter Adressierung gleich, ob an Wohn- oder Arbeitsadresse verschickt.
Die Bank kam ihrer Rechenschaftspflicht nach und wählte ein der Risikolage angemessenes Schutzniveau. Ein Verstoß gegen die Verarbeitungsgrundsätze (Rechtmäßigkeit, Treu und Glauben,
Transparenz, Datenminimierung, Integrität und Vertraulichkeit) nach DSGVO lag nicht vor.
Fazit
Das BVwG hob den Bescheid der Datenschutzbehörde auf.
Eine Bank verstößt nicht gegen die DSGVO, wenn sie auf Basis der zuletzt vom Kunden bestätigten Adresse ein persönlich adressiertes Kündigungsschreiben versendet – auch wenn es sich um eine
Arbeitsadresse handelt. Das Gericht betont, dass nicht jedes erdenkliche Risiko ausgeschlossen werden muss, sondern ein dem Risiko angemessenes Schutzniveau ausreicht. Die Entscheidung ist
beispielhaft für die Einzelfallprüfung bei Datenschutzpflichten im Bankensektor.
Was bedeutet das für Verantwortliche?
Verantwortliche sollten dokumentieren, welche Zustelladressen Kunden aktiv bestätigt haben und in ihren Systemen hinterlegen.
Es empfiehlt sich, bei Mehrfachadressen (privat und geschäftlich) transparent zu machen, dass Post an jede bestätigte Adresse gehen kann.
Der Vermerk "c/o" bei Zusendungen an Arbeitsadressen ist rechtlich wirksam und signalisiert das Briefgeheimnis.
Verantwortliche sollten ihre Datenschutzrichtlinien so dokumentieren, dass sie nachweisen können, welche Sicherheitsmaßnahmen beim Versand getroffen wurden. Eine regelmäßige Überprüfung der hinterlegten Adressen und deren Aktivierung ist empfehlenswert.
Schlagworte
DSGVO, Datenschutzbehörde, Recht auf Geheimhaltung, Bankensektor, Verarbeitungsgrundsätze, Integrität und Vertraulichkeit, Datenschutzbeschwerde, Zustelladresse, Rechenschaftspflicht
Kommentar schreiben