Datenschutz-Verletzung durch Bankangestellte

Mit der DSGVO ist in der Bevölkerung das Bewusstsein für die allgemeine Datenschutzproblematik spürbar gestiegen – und das nicht zuletzt auch aufgrund von Datenschutz-Fällen, die im ganz normalen Alltag auftreten.

Aber es gibt inzwischen auch Skeptiker, die finden, dass es in vielen Bereichen zu absurden Auswüchsen kommt, was die Anwendung der DSGVO im Allgemeinen angeht. Wie würde denn ein Datenmissbrauch in Zeiten der ungehemmten Selbstentblößung auf Facebook, Twitter und Instagram aussehen? Ein Fall aus Hamburg macht deutlich, wie ganz konkret und zum eigenen Nachteil ein gezielter Missbrauch von Daten bei einem alltäglichen Vorgang, wie einem Bankgeschäft, aussehen kann. Obwohl der vorliegende Fall noch vor Inkrafttreten der DSGVO bekannt wurde, ist er aktuell wie eh und je.

Kundendaten ohne nötige Sorgfalt behandelt

Personenbezogene Daten, die Banken und Geldinstitute von ihren Kunden sammeln und verarbeiten, sind aus Sicht des Datenschutzes genau so sensibel wie diejenigen, die ein Arzt im Rahmen einer korrekt geführten Krankenakte erhebt. Daher sorgen Kreditinstitute in der Regel dafür, dass ihre Mitarbeiter nur die nötigsten Daten im Zugriff haben. Dazu besteht eine gesetzliche Verpflichtung. Es ist sicherzustellen, dass Bankmitarbeiter nur auf Kundendaten zugreifen dürfen, die in ihrem jeweiligen Betreuungsrahmen liegen. Und auch diese Personengruppe kann gar nicht klein genug sein. Dem gegenüber stehen hohe Kundenerwartungen. Bei Instituten, die als Filialbanken überregional vertreten sind und Callcenter unterhalten, werden viele Bankgeschäfte am Telefon getätigt. Hierbei wünschen sich Kunden naturgemäß gut informierte Ansprechpartner. Dies macht es allerdings rein praktisch oft notwendig, dass mehr Mitarbeiter als eigentlich gewünscht Zugriff auf personenbezogene Daten haben. Dieser dezentrale Service macht es notwendig, dass die Zahl der Mitarbeiter, die Zugriff auf sensible Kundendaten haben, oft größer als gewünscht ist. Um Missbräuche dennoch so gut wie unmöglich zu machen, müssen von Gesprächen und Chats, bei denen sensible Daten ausgetauscht werden, penibel geführte Protokolle angefertigt werden.

Bankdaten aus dem Familienkreis zweckentfremdet

Dank solcher Protokolle wurde die Mitarbeiterin eines Hamburger Geldhauses quasi nachträglich ertappt. Die Bankangestellte hatte Daten von Familienangehörigen eines Kunden abgerufen, um diese in einem juristischen Verfahren zu nutzen. Auch nach dem damals geltenden Bundesdatenschutzgesetz (§ 43 Abs. 2 Nr. 3) war dies ein klarer Verstoß gegen den Datenschutz. Somit wurde gegen die Mitarbeiterin ein Bußgeld verhängt, dem arbeitsrechtliche Konsequenzen folgten. Allerdings sprach Hamburgs Datenschutzbehörde das Kreditinstitut selbst in jeder Hinsicht von einer Mitschuld frei. Das Unternehmen hatte nämlich trotz des unerlaubten Zugriffs durch die Angestellte technisch alle Vorkehrungen für ausreichenden Schutz der Kundendaten getroffen.

25. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 2014/2015 ¬Seite 224