Datenschutz-Fall: Datenmissbrauch von Bankdaten im Familienkreis

Eines ist sicher: Seit Inkrafttreten der Datenschutzgrundverordnung beschäftigen sich viele Bundesbürger deutlich intensiver mit dem allgemeinen Problem Datenschutz als zuvor.

Inzwischen sehen ja auch viele ein ganz anderes Problem durch dieses gesteigerte Bewusstsein und mahnen einen übertriebenen Hype an, der sich inzwischen in Sachen Datenschutz breitmacht. Vor allem angesichts der unveränderten Bereitschaft von Millionen, auf Facebook oder Twitter regelmäßig eine völlige Selbstentblößung zu betreiben, andernorts aber auf penibelster Datenschutzpraktik zu beharren. Ein Fall aus Hamburg macht deutlich, wie ganz konkret und zum eigenen Nachteil ein gezielter Missbrauch von Daten bei einem alltäglichen Vorgang, wie einem Bankgeschäft, aussehen kann. Der Fall liegt zeitlich vor Einführung der DSGVO, hat aber nichts an Aktualität verloren.

Hochbrisante Daten von Kunden

Kreditinstitute und Banken horten haufenweise sensible Daten ihrer Kunden, die mindestens so relevant sind wie die, auf die Ärzte in einer Krankenakte Zugriff haben. Daher sichern Banken Ihren Kunden zu, dass Angestellte nur stark eingeschränkten Zugriff auf diese Art sensibler Daten bekommen – gerade so viel, wie für Ihren Job von Relevanz ist. Es ist sicherzustellen, dass Bankmitarbeiter nur auf Kundendaten zugreifen dürfen, die in ihrem jeweiligen Betreuungsrahmen liegen. Und auch diese Personengruppe kann gar nicht klein genug sein. Dem gegenüber stehen hohe Kundenerwartungen. Bei Instituten, die als Filialbanken überregional vertreten sind und Callcenter unterhalten, werden viele Bankgeschäfte am Telefon getätigt. Hierbei wünschen sich Kunden naturgemäß gut informierte Ansprechpartner. Dieses Kundenverlangen führt wiederum dazu, dass vor allem bei den Servicemitarbeitern die Option, auf sensible Kundendaten zugreifen zu können, oft mehr Möglichkeiten bietet, als eigentlich im Sinne eines professionellen Datenschutzes vertretbar wäre. Um Missbräuche einzudämmen, müssen in den Geldinstituten Zugriffe auf solche Daten penibel dokumentiert werden.

Sensible Informationen aus dem Familienkreis abgerufen

So wurde in einem Geldinstitut in Hamburg eine Mitarbeiterin durch eben diese Gesprächsprotokolle des Datenmissbrauchs überführt. Diese Mitarbeiterin machte sich Daten von Familienmitgliedern zugänglich, die dann im Rahmen eines privatrechtlichen Verfahrens genutzt wurden, um Positionen zu verdeutlichen. Selbst nach dem damals geltenden Bundesdatenschutzgesetz (§ 43 Abs. 2 Nr. 3) war dies ein klarer Verstoß gegen den Datenschutz. Somit wurde gegen die Mitarbeiterin ein Bußgeld verhängt, dem arbeitsrechtliche Konsequenzen folgten. Nach Ansicht der obersten Datenschutzbehörde in Hamburg ist das Datenschutzvergehen allerdings ausschließlich der Mitarbeiterin anzulasten. Dem Bankhaus selbst konnte kein Verschulden nachgewiesen werden.

25. Tätigkeitsbericht Datenschutz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 2014/2015 ¬Seite 224