Im heutigen digitalen Ökosystem haben Kundendaten im Finanz- und Bankwesen einen hohen Stellenwert – weit über die Vertragserfüllung hinaus. Sei es, um Verbraucher mit gezielten Werbemaßnahmen ansprechen zu können oder um Produkte oder Leistungen wie die Finanzberatung zu verbessern.
Datenschutzverstöße haben bei den neuen datengetriebenen Geschäftsmodellen, neben empfindlichen Strafen, auch einen hohen Vertrauensverlust in der sensiblen Bank-Kunden-Beziehung zur Folge. Es ist daher umso wichtiger, das Datenschutzmanagement in den Kern der Bank-Kunden-Beziehung aufzunehmen.
Dies hilft, das rechtliche Risiko zu minimieren und das große Potenzial digitaler Geschäftsmodelle von Banken bestmöglich auszuschöpfen.
Wie wir im Folgenden sehen, ist die sachgemäße Verarbeitung von personenbezogenen Daten entscheidend, um die rechtlichen Anforderungen einzuhalten, aber genauso um das Vertrauen der Kunden zu stärken.
Obwohl sich Banken oft auf das „berechtigte Interesse“ bei der Bank-Kunden-Beziehung berufen, ist dies nicht immer die richtige Wahl, um Daten auf rechtskonforme Weise verarbeiten zu dürfen.
Das zeigt sich auch durch einen aktuellen Fall in der Bankenbranche. Letztes Jahr hat die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen der Hannoverschen Volksbank eine 900.000 Euro Strafe auferlegt. Dies ist lediglich eines der vielen Beispiele dafür, wie wichtig es ist, bei der Datenverwendung besonders genau auf die gesetzlichen Anforderungen zu achten.
Erfahren Sie hier, warum der Fall Hannoversche Volksbank Aufsehen erregt hat und warum es sich lohnt, dass Ihr Unternehmen das Management von Kundeneinwilligungen bei datengetriebenen Geschäftsmodellen in den Mittelpunkt stellt.
Zusammenfassung
- Warum sorgte die Hannoversche Volksbank in Sachen Datenschutz für Aufsehen?
- Welche rechtlichen Bestimmungen müssen Sie beachten?
- Stellen Sie die Einwilligung Ihrer Kunden in den Vordergrund
- Wie die Didomi Privacy-Plattform Ihnen helfen kann
Warum sorgte die Hannoversche Volksbank in Sachen Datenschutz für Aufsehen?
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen strafte die Hannoversche Volksbank aufgrund von rechtswidriger Datenverarbeitung ab. Aber was genau hat dazu geführt?
Die Volksbank bezog personenbezogene Daten von der SCHUFA. Genauer gesagt ging es dabei um Informationen ehemaliger und aktueller Bankkunden. Diese wurden mit bereits vorhandenen Bankdaten von Kunden verknüpft, um Profile zu erstellen. Die Informationen wurden zum Analysieren des Nutzungsverhaltens und Interesses der Bankkunden an digitalen Medien bzw. für zielgerichtetes Marketing verwendet.
Volksbank verwendet Daten ohne Einwilligung der Kunden
Obwohl die von der Bank direkt bei Kunden eingeholten Daten auf rechtskonforme Weise mittels Einwilligung gesammelt wurden, fehlte beim Bezug der SCHUFA-Daten die Einwilligung dieser Kunden.
Das kam schließlich ans Tageslicht, weil Bankkunden, die SCHUFA-Dienste nutzten, über die Datenanfrage der Volksbank an die Schufa informiert wurden. Kaum überraschend brachte das der Bank Kundenbeschwerden ein. Darauf wurde auch die LfD Niedersachsen aufmerksam. Diese kam zum Ergebnis, dass die Daten ohne Rechtsgrundlage verarbeitet wurden und verhängte ein Bußgeld von 900.000 Euro.
Das „berechtigte Interesse“ als Erlaubnistatbestand der Datenverarbeitung nach der DSGVO wurde zum Verhängnis
Die Bank stützte sich irrtümlicherweise auf das „berechtigte Interesse“ nach Art. 6 Abs. 1 f DSGVO und war ebenso der Ansicht, dass sie im „Kundeninteresse“ handelte.
Wenn es aber darum geht, dass vorhandene Kundendaten mit personenbezogenen Daten von Drittanbietern verknüpft werden, um Kundenprofile für Werbezwecke zu erstellen, fordert die Gesetzgebung allerdings eine Einwilligung. Sich als Unternehmen auf das „berechtigte Interesse“ zu berufen, reicht also bei Fällen wie diesen nicht aus.
Dieses Fallbeispiel im Bankwesen ist kein Einzelfall.
Eins steht fest, Datenschutzverstöße haben Folgen:
- Sie kassieren hohe Strafen
- Sie verlieren das Vertrauen Ihrer Kunden
- Sie erleiden einen massiven Imageschaden
Welche rechtlichen Bestimmungen müssen Sie beachten?
In Sachen Datenschutz müssen Unternehmen neben der DSGVO auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) berücksichtigen, welches die ePrivacy-Richtlinie in nationales Recht umsetzt. Zum einen verlangt das TTDSG, dass Kunden in ihrer Privatsphäre geschützt sind, also kein unerlaubter Eingriff in ihre Privatsphäre vorliegt. Zum anderen ist das Verarbeiten von Kundendaten nach DSGVO verboten, sofern kein Erlaubnistatbestand vorliegt. Die Vergangenheit zeigt, dass die Einwilligung des Kunden hier die größte Rechtssicherheit schafft.
Des Weiteren spielt im Finanzsektor auch die Payment Services Directive 2 (PSD2, Zahlungsdiensterichtlinie) eine besondere Rolle – Stichwort „Open Banking“. Schließlich ermöglicht es Banken, auf bestimmte Daten von Kunden (unter anderem Informationen zum Spar- oder Investitionsverhalten) zuzugreifen.
Wenn es um andere als zur Vertragserfüllung notwendigen Daten geht, können diese allerdings nur mit aktiver, freiwilliger, spezifischer, informativer und unmissverständlicher Einwilligung der Kunden genutzt werden – wie es die DSGVO vorschreibt.
Banken benötigen also vorab eine gültige Erlaubnis, bevor sie auf solche kundenbezogenen Finanzdaten zugreifen dürfen und diese zum Beispiel für Werbezwecke nutzen können.
Stellen Sie die Einwilligung Ihrer Kunden in den Vordergrund
Wie sich gezeigt hat, ist die Einwilligung des Kunden ein wesentlicher Bestandteil für datengetriebene Geschäftsmodelle. Banken müssen daher sicherstellen, dass sie die Einwilligung auf rechtmäßige Weise erfassen.
Auch wenn es immer noch Datenschutzskandale und -verletzungen gibt, bei denen Unternehmen unter anderem den Geltungsbereich des „berechtigten Interesses“ falsch einschätzen, zeigt sich erfreulicherweise seit dem letzten Jahr, dass immer mehr Finanzinstitute Wert auf den Einsatz zuverlässiger, umfassender Datenschutz-Lösungen legen, wie z. B. der Didomi Privacy Suite.
Mithilfe dieser weitreichenden Technologie können Sie Herausforderungen im Datenschutz und, für den Bankenbereich speziell, die datenschutzrechtlichen Besonderheiten aus der Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2) auf effiziente Weise bewältigen und so dem Schutz der Privatsphäre nachkommen und diesen zu Ihrem Geschäftsvorteil nutzen.
Eine Privacy-Plattform wie die von Didomi ermöglicht es nicht nur, Nutzer über die Datenverarbeitung zu informieren und sämtliche Kundeneinwilligungen und -präferenzen entlang der gesamten Customer Journey zentral zu erfassen und zu managen. Sie können damit auch Auskunftsanfragen über personenbezogene Daten von Endnutzern („Data Subject Access Request“, DSAR) rasch abwickeln und detaillierte Datenschutz-Audits für Ihre Webseiten und anderen Anwendungen durchführen – ohne dass Sie unzählige Stunden in manuelle Prüfungen stecken müssen.
Trotz des heutigen anspruchsvollen datengesteuerten Ökosystems hilft Ihnen eine Lösung wie diese, hohe Datenschutzstandards beizubehalten und dadurch das Vertrauen Ihrer Nutzer zu stärken.
Die Einholung der Kundeneinwilligungen zu Ihrem Vorteil nutzen
Durch das Einholen von Einwilligungen können Sie im Bankwesen dank der gewonnenen Informationen Ihren Kunden bessere Finanzprodukte und -dienstleistungen anbieten.
Sie können außerdem das Kundenerlebnis auf Ihren Webseiten und anderen Anwendungen optimieren sowie gezieltere Marketingkommunikationen gestalten – ohne dabei Datenschutzverletzungen und Geldstrafen zu riskieren.
All das trägt dazu bei, Vertrauen zu Ihren Kunden aufzubauen bzw. zu wahren und somit die Kundenbindung zu erhöhen.
Einwilligungen als sicherste Rechtsgrundlage für die Verarbeitung von Kundendaten
Kundeneinwilligungen einzuholen, statt sich zu sehr auf das berechtigte Interesse zu verlassen, wird im digitalen Zeitalter in vieler Hinsicht immer wichtiger. Aktuelle Entscheidungen der Datenschutzbehörden zeigen, dass das berechtigte Interesse sehr restriktiv auszulegen ist und daher nur mehr bei wenigen Anwendungsfällen anzuwenden sein wird.
Angesichts der geltenden Datenschutzgesetze und der sich häufig ändernden regulatorischen Anforderungen im digitalen Ökosystem müssen sich Unternehmen der rechtlichen, aber auch geschäftlichen Auswirkungen ihrer Datenerfassungsaktivitäten bewusst sein.
Wie bereits bekannt, ist die Einwilligungseinholung die sicherste und zuverlässigste Methode zum Verwenden von Kundendaten. Die Einwilligungserklärung gewährleistet schließlich, dass Ihre Kunden informiert darüber werden, wie und warum ihre persönlichen Daten gesammelt werden.
Sich als Unternehmen auf das „berechtigte Interesse“ zu berufen, ist zwar für bestimmte Zwecke sinnvoll, aber die Hürde der Rechtskonformität wird dabei stetig höher. Daher steigen immer mehr Unternehmen auf die Einwilligung als Rechtsgrundlage der Datenverarbeitung um.
Hier sind ein paar praktische Tipps zum Sammeln von Einwilligungen und Cookie-Banner-Beispiele aus dem Bankwesen, die Ihnen als Inspiration dienen können, damit auch Sie auf klare und verständliche Art mit Nutzern hinsichtlich der Datenverarbeitung kommunizieren und Zustimmungen rechtskonform sammeln können.
Warum ist das so wichtig? Wenn Sie Ihre Kunden danach fragen, wie ihre Daten genutzt werden dürfen – mit einem benutzerfreundlichen Cookie-Banner und auf transparente Weise – können Sie das wertvolle Vertrauen Ihrer Kunden gewinnen bzw. stärken.
Wie die Didomi Privacy Suite Ihnen helfen kann
Didomis Privacy Suite vereint 4 umfassende, personalisierbare Datenschutzmodule. Mit diesen verschaffen Sie sich unter anderem folgende Vorteile:
- Sie gewährleisten die Datenschutzkonformität
- Sparen wertvolle Zeit dank Automatisierung
- Stärken die Bank-Kunden-Beziehung
- Erhöhen die Einwilligungsraten
- Optimieren Ihre Geschäftskennzahlen
Consent Management Platform (CMP)
Die CMP von Didomi ermöglicht Ihnen ein zentrales, rechtskonformes Einwilligungs-Management von Cookies und Trackern – mit personalisierbaren Cookie-Bannern, passend zu Ihrem Branding.
Damit lassen sich Einwilligungen über Ihre genutzten Geräte und Domains hinweg und entlang der gesamten Customer Journey sammeln, speichern, verwalten, analysieren und vorweisen – sei es offline in Ihren Filialen oder online über digitale Kommunikationswege.
Preference Management Platform (PMP)
Über die PMP können Sie, egal, ob in den Online-Umfeldern, oder Offline am Point of Sales oder im Support Center Kundenpräferenzen und -consent auf all Ihren Geräten erfassen, speichern und über Ihren gesamten Tech-Stack hinweg verteilen, wie CRM, CDP, Marketing Automation, Werbung, usw.
Dank dieser gewonnenen Informationen liefern Sie Ihren Kunden entlang der gesamten Customer Journey Online und Offline die personalisierten Erlebnisse, die sie wollen und können dadurch das Kundenengagement, die Kundenbindung und Ihre Werbeeinnahmen erhöhen.
Advanced Compliance Monitoring
Für ein umfassendes Datenschutz-Audit bietet die Compliance- und Monitoring-Technologie von Didomi eine automatisierte Lösung, mit der Sie täglich Compliance-Indexe einsehen, Anbieter, Tracker und Cookies auf Ihren Webseiten überprüfen, Compliance-Lücken gezielt aufdecken können und vieles mehr.
Privacy Request Module
Dank des Privacy Request Module können Sie und Ihre Teams gemeinsam alle Auskunftsersuchen über personenbezogene Daten von Endnutzern (DSAR) in Form eines Ticketing-Systems direkt über eine zentrale Plattform auf einfache und zeitsparende Weise einsehen, bearbeiten, rechtzeitig erfüllen sowie vorweisen und analysieren.
Eins ist sicher: Mit einer weitreichenden Datenschutz-Lösung lassen sich datengetriebene Geschäftsmodelle in einer benutzerorientierten Welt zukunftssicher machen.
Interesse geweckt? Planen Sie einfach eine Demo und erfahren Sie, welche weiteren Vorteile Ihnen die Privacy Suite von Didomi bringt und wie wir Sie dabei unterstützen können, diese innerhalb kürzester Zeit zu implementieren.
