WiWo App 1 Monat für nur 0,99 €
Anzeigen

Datenschutz Wer in die Kontodaten schauen darf

Der Datenschutzskandal bei der Postbank sorgt für massive Kritik am laxen Umgang mit Kundendaten. Laut Experten ist die Weitergabe von Daten an Dritte in vielen Fällen rechtens – allerdings mit Einschränkungen.

  • Artikel teilen per:
  • Artikel teilen per:
Datenmissbrauch und Quelle: dpa

Skandalöse Datenpannen sind mittlerweile an der Tagesordnung. Dem Finanzvertrieb AWD sind Zehntausende Datensätze seiner Kunden entwendet worden, die KarstadtQuelle-Bank forderte Kunden zur Sperrung ihrer Kreditkarten auf, nachdem die Kartennummern in die Hände Dritter gelangt sind.

Der jüngste Skandal: Anfang der Woche gestand die Postbank nach einem Bericht der Stiftung Warentest ein, dass die rund 4000 Berater einer Tochtergesellschaft Einsicht in die Konten der Postbankkunden hatten. Obwohl die Postbank auf den öffentlichen Druck hin den Zugriff bis zur Klärung der Rechtslage sofort sperren wollte, wurde heute bekannt, dass Finanzberater der Postbank offenkundig noch immer vollen Datenzugriff haben.

Interne Mitarbeiter haben Zugriff

Die Aufregung unter den Verbrauchern über den fragwürdigen Gebrauch ihrer Daten ist groß. Doch nicht nicht immer auch Datenmissbrauch vor. Die Dateneinsicht durch Dritte ist in vielen Fällen durch die gesetzlichen Bestimmungen abgedeckt – auch nach der Novelle des Bundesdatenschutzgesetzes (BDSG) vom August 2009.

wiwo.de hat Rechtsexperten und Datenschützer gefragt, wer wann und wie viel Einblick in Kundenkonten nehmen darf, wann eine ausdrückliche Einwilligung des Kunden vorliegen muss und wo der Ermessensspielraum beginnt.

Bankmitarbeiter dürfen im Rahmen ihrer Arbeit generell die Konten ihrer Kunden einsehen. Dazu ist nach dem Datenschutzgesetz eine ausdrückliche Einverständniserklärung des Kunden nicht notwendig, weil keine Datenübermittlung an Dritte vorliegt. Allerdings ist der Zugriff per Gesetz zumindest abstrakt beschränkt: Die Einsicht in Kundendaten darf nur erfolgen, wenn sie für die Arbeit des Bankmitarbeiters erforderlich ist. Ein Freibrief für die Mitarbeiter ist das jedoch nicht: Daten, die für die geforderte Aufgabe nicht notwendig sind, dürfen sie auch nicht einsehen.

Das bestätigt Wilhelm Rydzy, der als Datenschützer für die öffentlich-rechtlichen Banken in Hessen zuständig ist: „Eine Einsicht in Kontodaten darf nur soweit wie für die Arbeit des Bankberaters erforderlich erfolgen. Kein Mitarbeiter einer Bank hat vollständigen Zugriff auf alle Daten eines Kunden.“ Letztendlich regelt der Vertrag mit dem Kunden sowie allgemeine Geschäftsbedingen auch die Verwendung personenbezogener Daten zum Vertragszweck.

Datenübermittlung an Dritte

Ein entscheidender Punkt liegt in der Abgrenzung von internen zu externen Mitarbeitern. Im Fall der Postbank hatte diese den Beratern ihrer Tochtergesellschaft Postbank Finanzberatung AG Einblick in Kundenkonten gewährt. Noch dazu sind diese Berater nicht als Festangestellte, sondern als freie Handelsvertreter für die Postbank tätig. Letztendlich entscheidet die Vertragsausgestaltung zwischen Bank und Beratern, ob diese als interne oder externe Mitarbeiter angesehen werden müssen.

Rechtsanwalt Stefan Hanloser, Rechtsanwalt der Kanzlei Howrey LLP in München und dort spezialisiert auf das Thema Datenschutz, spricht auch in diesem Fall von einer notwenigen Zweckbindung und dem Maßstab der Erforderlichkeit. „Das ist eine Frage des Vertragsverhältnisses zwischen dem, der Kundendaten verarbeitet, und seinem Auftraggeber. Ein Bankmitarbeiter, der ein Girokonto betreut, braucht in der Regel keine Daten, die bei der Beratung einer Immobilienfinanzierung oder bei der Vermittlung von Geldanlageprodukten nötig sind.“ In Banken gebe es deshalb auch Organisationsstrukturen mit unterschiedlichen Service-Ebenen, die anlassbezogen Datenzugriff erhalten.

Besonders heikel ist bei der Postbank: Der Blick in die Kontodanten durch die Berater der Postbank Finanzberatung AG wurde zu Werbezwecken genutzt.

Die Zentrale der Postbank in Quelle: dpa

Aus Sicht von Dirk Stolz, auf Datenschutzfragen spezialisierter Rechtsanwalt der Kanzlei Heuking Kühn Lüer Wojtek aus Köln, ist die Weitergabe von Kundendaten an externe Berater nicht per se verboten. „Die sogenannte Auftragsdatenverarbeitung durch Dritte ist grundsätzlich zulässig und durchaus üblich. Allerdings ist Voraussetzung dafür, dass die Verwendung dieser Daten in Bezug auf Umfang, Zweck und Kontrolle in einem Vertrag klar geregelt sind.“ Liegt keine explizite Einwilligung des Kunden vor, dürfen lediglich Personengruppen, zum Beispiel nach Berufen, zusammengefasst und die Kontaktdaten an Dritte weitergegeben werden.

Für detaillierte Daten wie Kontobewegungen und die Verwendung für Werbung gelten strengere Regeln. Stolz hält die Grenze im Postbankfall für überschritten: „Die Einsicht in die Kontobewegungen zu Werbezwecken durch Dritte ist definitiv nur mit der Einwilligung des Kunden gestattet. Noch dazu ist diese nur mit konkret genanntem Verwendungszweck wirksam. Es muss erkennbar sein, welche Daten zu welchem Zweck verwendet werden.“

Hätten Kunden informiert werden müssen?

Die Verträge zwischen Bank und Berater müssen also die Auftragsdatenverarbeitung genau regeln. Verantwortlich für die Einhaltung der gesetzlichen Vorschriften zum Datenschutz ist der Auftraggeber der Datenverarbeitung.

„Ob eine Datenübermittlung rechtens ist, hängt ebenfalls davon ab, ob dies laut Vertragszweck erforderlich ist. Das ist auch abhängig von der Unternehmensstruktur, es gibt hier keine Privilegien für Konzerne“, sagt Hanloser. „In der Regel ist die Datenübermittlung durch eine Einwilligungserklärung des Kunden geregelt.“

Viele Bankkunden wissen allerdings oftmals nicht, ob sie mit der Vertragsunterzeichnung auch eine Einwilligungserklärung gegeben haben. Sie können sich aber bei ihrer Bank informieren: Auf Verlangen des Kunden geben die Banken Auskunft über ihre gespeicherten Daten, eventuelle erteilte Einwilligungserklärungen und auch die Weitergabe der Daten.

Aber es stellt sich noch eine weitere. Seit dem 1. September 2009 gilt laut Bundesdatenschutzgesetz eine Mitteilungspflicht bei Datenpannen. Laut § 42a des BDSG müssen Unternehmen sowohl Aufsichtsbehörde und Betroffene informieren, sofern Risikodaten wie etwa Konto- oder Gesundheitsdaten in falsche Hände gelangt sind und das Risiko einer Schädigung besteht. „Die Postbank muss sich die Frage gefallen lassen, ob sie noch eine Mitteilung machen muss?“, sagt Hanloser.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%