Kreditinstitut

Nach Beanstandung durch die Aufsichtsbehörde änderte die Bank das Verfahren.

Aktualisierung von Kundenadressen durch externes Unternehmen

Der Petent erhielt einen Anruf eines Bankkunden mit gleichlautendem Familiennamen, der ihm mitteilte, er habe eine Zinsmitteilung zugesandt bekommen, die offensichtlich für den Betroffenen bestimmt sei. Die Benachrichtigung der Bank war adressiert mit den Vornamen des Betroffenen und seiner Frau, dem identischen Familiennamen, gerichtet an die Anschrift des Anrufers. Da der Beschwerdeführer und seine Frau seit über 30 Jahren an dem gleichen Ort wohnten, war die Adressänderung, die die Bank ohne Rücksprache mit den Kunden durchgeführt hatte, nicht erklärbar. Auf Nachfrage bei der Bank stellte sich heraus, dass diese eine Überprüfung der Adressen ihrer Kunden durch ein Dienstleistungsunternehmen der Post hatte durchführen lassen. Hierbei wurden die Adressdaten der Bank mit der Umzugsdatenbank des Dienstleisters abgeglichen.

Die der Bank übermittelten Prüfergebnisse wurden aber offensichtlich fehlerhaft interpretiert. Im konkreten Fall stimmten die Daten des Dienstleisters mit denen der Bank nur annähernd überein. Erforderlich in einem solchen Fall ist eine manuelle Nachbearbeitung. Diese ist allerdings nicht erfolgt.

Ohne kritische Prüfung wurden die neuen Daten übernommen. Eine Nachfrage bei den Kunden ist unterblieben.

Die Bank hat umgehend, um weitere fehlerhafte Zusendungen von Bankpost zu vermeiden, bei allen nicht vollständig übereinstimmenden Adressabgleichen die abgeänderten Adressen auf den ursprünglichen Datenbestand zurückgesetzt.

Kontoangaben des Überweisenden im Kontoauszug des Zahlungsempfängers Kontodaten sind sensible Daten, deren Weitergabe der Inhaber auf das notwendige Maß beschränken will. Hinweistafeln in Bankfilialen weisen z.B. darauf hin, zur Vermeidung von Missbrauch keine Kontoauszüge in die Papierkörbe zu werfen.

Im Überweisungsverkehr werden typischerweise zur Ausführung des Zahlungsauftrags die Angaben des Begünstigten, dessen Bankverbindung, ein Geldbetrag und in der Regel ein Verwendungszweck benötigt (§ 676a Abs. 1 BGB). Soll die Überweisung von einem Konto erfolgen, benötigt die ausführende Bank die Kontodaten des Überweisenden. Dem Zahlungsempfänger reichen zur Zuordnung des Zahlungseinganges der Name des Absenders, Verwendungszweck und der Geldbetrag aus. Die Angabe der Kontonummer und der Bankleitzahl des Überweisenden durch Ausdruck im Kontoauszug des Empfängers sind Informationen, die dieser nicht benötigt. Sie dienen primär der Bank, die im Reklamationsfall eine Rücküberweisung nur mit Vorlage des Kontoauszuges tätigen kann, ohne weitere Unterlagen heranziehen zu müssen.

Wie bereits im 13. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden (Drucks. 15/1539, Nr. 5.5) ausgeführt, ist es mit den Anforderungen von Datenschutz und Bankgeheimnis nicht vereinbar, wenn die Kontodaten des Überweisenden im Kontoauszug des Empfängers ausgedruckt werden. Ein Kreditinstitut hat seine bisherige Praxis nach der damaligen Intervention der Aufsichtsbehörde zwischenzeitlich geändert.

Kundenbefragung bei Banken

Um die Zufriedenheit ihrer Kunden mit dem Leistungsangebot und dem Service des Hauses zu prüfen, veranlasste eine Bank eine Umfrage. Die Interviews und die Auswertung der Ergebnisse nahm ein hierauf spezialisiertes Markt- und Meinungsforschungsinstitut im Wege der Auftragsdatenverarbeitung nach § 11 BDSG vor (vgl. hierzu 13. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Drucks. 15/1539, Nr. 5.4). Die Information der Kunden über die bevorstehende Telefonaktion erfolgte durch die Bank selbst, verbunden mit dem Hinweis, dass sie der Weitergabe ihrer Daten an das Institut widersprechen können.

Die Beschwerdeführerin wollte an der Marketingaktion nicht teilnehmen.

Am übernächsten Tag nach Erhalt der Ankündigung der Bank widersprach sie schriftlich der Teilnahme und verlangte des Weiteren die Sperrung ihrer Daten auch für künftige Marketingaktionen. Vier Tage später rief das Marktforschungsinstitut bei der Beschwerdeführerin an, um diese nach ihrer Meinung zu befragen. Nach weiteren vier Tagen erhielt die Betroffene die Eingangsbestätigung der Bank über ihren Widerspruch und die Bestätigung ihre Daten für weitere Werbeaktionen nicht zu nutzen.

Verärgert wendete sich die Beschwerdeführerin an die Aufsichtsbehörde.

Die Irritationen der Bankkundin waren durch eine zu gedrängte zeitliche Planung der Marketingaktion veranlasst. Die schriftliche Information der Kundin über die Telefonbefragung und die Weitergabe der Kundendaten an das Markt- und Meinungsforschungsinstitut erfolgten zeitgleich. Das Institut meldete sich bereits sechs Tage nach Erhalt des Briefes bei der Beschwerdeführerin. Obwohl diese unverzüglich nach Information durch die Bank der Teilnahme an der Telefonumfrage widersprochen hatte, konnte die Bank auch bedingt durch arbeitsfreie Tage wie ein Wochenende und einen gesetzlichen Feiertag - die persönlichen Daten der Kundin weder von der Weitergabe an das Marktforschungsinstitut ausnehmen noch bei diesem rechtzeitig löschen lassen. Die Bank selbst erhielt das Widerspruchsschreiben erst nach dem Anruf des Marketingunternehmens bei der Kundin.

Durch einen ausreichend bemessenen Zeitpuffer zwischen der Information der Kunden und der Weitergabe der Daten an das Markt- und Meinungsforschungsinstitut wird die Verärgerung von Kunden vermieden. Bei der Zeitplanung eines solchen Projektes sollten z. B. Feiertage und Ferientermine berücksichtigt werden. Hiernach ist dann individuell, entsprechend den jeweiligen Voraussetzungen, eine angemessene Frist zwischen der Benachrichtigung der Kunden und der Datenweitergabe an das beauftragte Institut abzuwarten; diese sollte mindestens zwei Wochen betragen.

Die Bank erkannte das Problem und entschuldigte sich bei der Kundin. Der betriebliche Datenschutzbeauftragte der Bank sorgte dafür, dass alle beteiligten Stellen und verantwortlichen Bereiche in der Bank entsprechend informiert wurden und Vorsorge trafen, dass künftig eine angemessene zeitliche Planung erfolgt.

Kooperation zwischen Banken im Konzernverbund

Die Kundin einer Bank wandte sich an die Aufsichtsbehörde und teilte ihre Bedenken hinsichtlich einer möglichen Verwechslung ihrer kontoführenden Bank mit einer anderen Bank mit.

Es handelt sich um rechtlich selbständige Kreditinstitute, die zum gleichen Konzern gehören. Sie bieten ihre Bankgeschäfte in den gleichen Geschäftsräumen an. Die Einrichtung der Filiale sowie technische Geräte wie Kontoauszugsdrucker und Geldautomaten werden von den Kunden beider Banken gemeinschaftlich genutzt. An der Außenfassade der Filiale ist der identische Namensbestandteil beider Banken nebst einem Logo angebracht und nicht die vollständige rechtliche Firmenbezeichnung der beiden Banken.

Die Beschwerdeführerin beklagte, dass bei dieser Konstellation die Identität der Bank nicht zweifelsfrei offenbar werde. Der Kunde könne nicht erkennen, mit welcher Bank er ein Vertragsverhältnis eingehe bzw. ob er auch von dem Mitarbeiter "seiner" Bank beraten werde. Auch sei zu befürchten, dass die Kundendaten beliebig zwischen den beiden Banken ausgetauscht würden. Daher führte das Regierungspräsidium Darmstadt eine Prüfung in einer der größten Geschäftsstellen durch.

Die Aufsichtsbehörde legte hierbei besonderes Augenmerk auf die Einhaltung des § 4 Abs. 3 BDSG. Hiernach ist der Betroffene bei der Erhebung von personenbezogenen Daten über die Identität der verantwortlichen (erhebenden) Stelle, die Zweckbestimmung der Erhebung, Verarbeitung und Nutzung und die Kategorien von Empfängern zu unterrichten.

Diese Vorgabe wurde seitens der beiden Kreditinstitute beachtet. Kontoeröffnungsanträge, sämtliche Formulare des Zahlungsverkehrs, Vertragsvordrucke, die Visitenkarten der Mitarbeiter sowie das Preis- und Leistungsverzeichnis enthielten die exakte rechtliche Bezeichnung der jeweiligen Bank.

Technisch und organisatorisch ist sichergestellt, dass Kundenkontakte ausschließlich durch einen Mitarbeiter derjenigen Rechtseinheit erfolgen, mit der der Kunde in Vertragsbeziehung steht. Jeder Mitarbeiter hat nur auf Kundendaten "seiner" Bank Zugriff.

Eine rechtseinheitenübergreifende Beratung und Betreuung findet nur statt, wenn der Kunde ausdrücklich eine entsprechende schriftliche Einwilligungserklärung abgegeben hat. Der Text dieser Verbundklausel basiert auf Absprachen, die schon vor Jahren zwischen den obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich und dem zentralen Kreditausschuss getroffen wurden. Angesichts dessen, dass es kein Konzernprivileg gibt (siehe auch unten Nr. 10) und im Hinblick auf das Bankgeheimnis darf eine Bank Kundendaten grundsätzlich nur mit Einwilligung weitergeben.

Die Aufsichtsbehörde konnte sich bei der Prüfung überzeugen, dass die beiden Kreditinstitute die Einhaltung dieser datenschutzrechtlichen Anforderungen durch entsprechende organisatorische und technische Arbeitsabläufe und Maßnahmen zur Auftragsdatenverarbeitung sichergestellt haben.

8. Handelsauskunfteien

Datenaustausch mit der Wohnungswirtschaft

Ob bzw. inwieweit Vermieter Bonitätsauskünfte über Mietinteressenten einholen dürfen, wurde in der Vergangenheit primär in Bezug auf die Beteiligung der Wohnungswirtschaft am SCHUFA-Verfahren erörtert (vgl. 16. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Drucks. 16/1680, Nr. 10.5).

Da das Problem jedoch auch andere Auskunfteien betrifft, wurde es im Düsseldorfer Kreis nun umfassender erörtert. Trotz kontroverser Diskussion bestand in wesentlichen Punkten Einigkeit.

Aus der Sicht des Datenschutzes sind auf branchenspezifische Daten beschränkte Auskunftssysteme vorzuziehen, bei denen die Daten gesicherte Rückschlüsse auf Mietausfallrisiken zulassen. Dies entspricht auch Vorstellungen, die zuletzt im Deutschen Bundestag diskutiert werden.

Eine uneingeschränkte Auskunft über bei branchenübergreifenden Auskunfteien gespeicherte Daten an potentielle Vermieter ist dagegen unzulässig.

Bei der Prüfung, in welchem Umfang nach § 29 BDSG an potentielle Vermieter personenbezogene Daten übermittelt werden dürfen, sind die schutzwürdigen Belange der Mietinteressenten im Hinblick auf die Bedeutung der Wohnung für die Lebensgestaltung in besonderer Weise zu berücksichtigen.

Auskünfte über Eintragungen im Schuldnerverzeichnis sind stets zulässig.

Es bestehen auch Zweifel an der Zulässigkeit einer Beauskunftung aufgrund einer Einwilligung. Entsprechendes gilt auch für das Verlangen gegenüber dem Mietinteressenten auf Vorlage einer Selbstauskunft.

Die Diskussion, insbesondere über die konkrete Auslegung des § 29 BDSG, wird im Düsseldorfer Kreis fortgeführt werden.

Das Regierungspräsidium Darmstadt erhielt im Berichtsjahr mehrere Anfragen von Privatpersonen und Unternehmen, die Vermieterwarndateien errichten wollen.

Als zulässig sah die Aufsichtsbehörde die Beauskunftung folgender objektiv nachprüfbarer Negativmerkmale an:

- Daten aus öffentlichen Schuldnerverzeichnissen,

- rechtskräftige Titel zum Zahlungsverzug im Mietbereich,

- rechtkräftige Urteile zur fristlosen Kündigung wegen Zahlungsverzugs oder sonstiger Vertragsverletzungen,

- rechtskräftige Räumungsurteile wegen fristloser Kündigung.

Das Regierungspräsidium Darmstadt verwies im Übrigen auf die fortdauernden Diskussionen im Düsseldorfer Kreis und gab insbesondere bzgl. des Austausches weiterer Daten eine kritische Stellungnahme ab.

Zwei Unternehmer, die branchenspezifische Vermieterwarndateien betreiben wollen, haben bekundet.