· 

Geldbuße von EUR 50.000,-- in Deutschland wegen Verstoß gegen die DSGVO



N26 (eine Online-Bank) speicherte zu viele Daten von ehemaligen Kunden. Der Berliner Datenschutzbeauftragte verhängte eine empfindliche Geldbuße für eine „schwarze Liste“.

 

 

 

Die Aussage des Berliner Beauftragten für Datenschutz und Informationsfreiheit.

 

„Eine schwarze Liste für ehemalige Kundinnen und Kunden, gegen die keine Verdachtsmomente bestehen, ist rechtswidrig.“
Jahresbericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit
vom 31. Dezember 2018, Seite 131

 

 

 

Der Anlassfall

 

Ein Ex-Kunde der Bank N26 (Bericht im Handelsblatt) wollte bei der Bank wieder eine Kontoverbindung eröffnen. Die Bank lehnte das ab.

 

Die betroffene Person vermutete, dass die Bank bei ehemaligen Kunden das Eingehen einer neuen Kontoverbindung generell ablehnt.

 

 

 

Die „schwarze Liste“

 

Die Bank führt eine „schwarze Liste“ ehemaliger Kundinnen und Kunden, als eine Art „Warndatei“, damit sie mit diesen kein weiteres Vertragsverhältnis eingeht. Die Bank erklärte das damit, dass sie aus den Verpflichtungen zur Prüfung bei Geldwäsche verpflichtet sei, die Daten aufzubewahren. Sie sei aber nicht in der Lage zwischen Geldwäscheverdachtsfällen und anderen Fällen zu unterscheiden, sodass sie die betreffenden Kundendaten unterschiedslos aufbewahre. Die Bank bewahrt die Daten auf, um zu verhindern, dass mit ehemaligen Kunden wieder eine Bankverbindung eingegangen wird.

 

 

 

Die Entscheidung der Behörde.

 

Nach Ansicht des Berliner Beauftragten für Datenschutz und Informationsfreiheit ist diese Vorgehensweise unzulässig.

 

Die Bank ist verpflichtet, die Daten ehemaliger Kunden zu löschen, oder bei Vorliegen einer Verpflichtung zur Aufbewahrung zu sperren.

 

„In eine Abgleichdatei zur Verhinderung einer neuen Bankverbindung dürfen nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen, eine erneute Bankverbindung einzugehen.

 

 

 

Die Voraussetzungen für eine „Warnliste“

 

Eine Warnliste von ehemaligen Kunden, die nicht mehr „gewünscht“ sind, kann nur dann geführt werden, wenn es dafür eine Begründung gibt, die entweder in einer gesetzlichen Regelung (zB Geldwäsche-Prävention) oder in der ehemaligen Geschäftsbeziehung gelegen sein kann.

 

Eine begründungslose „schwarze Liste“ widerspricht den Regelungen des Datenschutzrechts.

 

Die Erforderlichkeit, dass die Daten weiterhin benötigt werden, ist in einem Verfahren vor der Aufsichtsbehörde auch iSd Rechenschaftspflicht nachzuweisen. Die DSB hat dazu bereits in einem Verfahren im Jahr 2018 entschieden.

 

DSB-D216.580/0002-DSB/2018, 28.05.2018:
In diesem Verfahren war Thema, dass „die Daten des Beschwerdeführers (Vor- und Zuname, Geburtsdatum und Adresse) aus „sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis […]" sind. "Die Speicherung sei zur häufigen Kontaktaufnahme mit dem Beschwerdeführer sowie zur Sicherstellung keiner Neuaufnahme von dessen Daten notwendig."
 

 

 

Diese Begründung war für die DSB nicht ausreichend, und sie ordnete die Löschung der Daten binnen zwei Wochen im Bescheid an.

 

In einem Verfahren (DSB-D122.944/0007-DSB/2018, 15.11.2018), das einen Personalakt betraf, entschied die DSB zugunsten des Verantwortlichen, der einen Aktenvermerk, in dem dokumentiert war, dass bei einem ehemaligen Dienstnehmer keinesfalls einer Wiedereinstellung zugestimmt werde, aufbewahrte.

 

„Der Beschwerdegegner verarbeitet den Aktenvermerk im Zuge seines Dokumentationsinteresses, konkret um ein eventuell erneutes Dienstverhältnis mit dem Beschwerdeführer zu vermeiden. Wie aus den Feststellungen zu erkennen ist, erfolgt dies nicht grundlos, sondern aufgrund des vergangen Verhaltens des Beschwerdeführers. Die Datenschutzbehörde schließt sich hierbei den Ausführungen des Beschwerdegegners an, dass es einem Dienstgeber nicht verwehrt werden darf, zu bestimmen, mit wem dieser (zukünftig) ein Dienstverhältnis eingehen möchte, insbesondere, wenn bereits Erfahrungen mit einer Person vorliegen.

 

Zudem wird der Aktenvermerk, wie festgestellt, als Bestandteil des Personalaktes mit Ablauf von drei Jahren nach Beendigung des Dienstverhältnisses gelöscht. Diese Speicherdauer gründet auf der allgemeinen dreijährigen Verjährungsfrist des ABGB zur Geltendmachung von Ansprüchen aus dem Arbeitsvertrag. Für den Beschwerdeführer ist daher ein klar erkennbarer Zeitpunkt gegeben, ab wann seine Daten gelöscht werden.

 

Im Ergebnis liegen somit berechtigte Interessen des Beschwerdegegners für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem verfahrensgegenständlichen Aktenvermerk gemäß Art. 6 Abs. 1 lit. f DSGVO vor.“

 

 

 

Fazit

 

·     Die Aufbewahrung von Daten bedarf eines bestimmen, konkret formulierten –von der Rechtsordnung auch anerkannten - Zwecks und die Daten müssen für die Erfüllung dieses Zweckes notwendig sein.

 

·     Die Aufbewahrung kann sich auch aus gesetzlichen Verpflichtungen ergeben, zB § 132 BAO oder Geldwäsche-Regelungen.

 

·     Wenn die Daten zur Zweckerfüllung nicht (mehr) notwendig sind, sind diese zu löschen.

 

·     Der Zugriff auf diese Daten muss auf diejenigen Personen eingeschränkt sein, die tatsächlich notwendigerweise zur Zweckerfüllung Zugang zu diesen Daten haben müssen.

 

 

15.05.2019, Autor

Michael Schweiger, zert. DSBA


Download
Geldstrafe gegen eine Bank wegen überschießender Speicherung von Daten ehemaliger Kunden. "schwarze Liste"
Bank - schwarze Liste - keine Begründung
Adobe Acrobat Dokument 987.4 KB

Kommentar schreiben

Kommentare: 2
  • #1

    Nadja Gerlach (Mittwoch, 11 Januar 2023 07:47)

    Hallo liebes Team,
    da ich nicht weiß wie es geht, aber selbst Leidtragende bin, bitte ich Sie inständig die DKB auf die schwarze Liste zu setzen. Denn Sie wurden gehackt, wovon vermutlich auch mein Konto betroffen ist. Seit 3 Monaten bekomme ich keine Kontoauszüge. Weiterhin weist sich die DKB als Direktbank aus, was einfach falsch ist. SIE IST EINE NEOBANK - GENAUSO WIE N26 - die bereits auf der schwarzen Liste steht. Gerne können wir uns die 100.000,00 Euro laut DSGVO teilen. Wenn Sie meinen Fall übernehmen. Denn ausserdem hat die DKB der Schufa meine IBAN für jedermann einsehbar, ohne Verschlüsselunf mitgeteilt und damit liegt ein fataler DSGVO-Verstoß vor, oder?
    Viele liebe Grüsse
    Nadja

  • #2

    Nadja Gerlach (Freitag, 27 Januar 2023 19:29)

    Halli hallo liebes Team,
    bitte auch turbovergleich29.de auf die Sperrliste setzen.
    Bitte auch unbedingt prüfen, woher die Firma ihre Daten für Telefonanrufe bekommt. Erschreckend musste ich während eines Telefonats feststellen, dass vieler meiner persönlichen Daten der Firma bereits vorlagen. Dabei habe ich bis zum damaligen Gespräch nie was von dieser Firma gehört gehabt. Die Frage bleibt, woher und wie bezieht diese Firma Ihre Daten? Können Sie bitte prüfen, ob Daten vom Energie-Endversorger abgekauft werden? Das steht irgendwie im Raum...
    Vielen lieben Dank für Ihre Mithilfe. Nadja