Mit fragwürdigen Methoden drängen Sparkassen in Brandenburg und Thüringen ihre Kunden personalisierte Werbung auf. Das Ganze geschieht unter dem Deckmantel der Anpassungen an die Datenschutzgrundverordnung. Verbraucherschützer sprechen von Täuschung.

Der erste Streich kommt per Notiz auf dem Kontoauszug. Um auch in Zukunft erreichbar zu sein, müsse der Kunde bitte in der Filiale vorbeikommen, heißt es in dem kurzen Text. Eine Unterschrift sei nötig. Die List geschieht dann am Schalter: Dem Kunden wird eine dreiseitige Einwilligung vorgelegt, die er bitte unterschreiben soll. In Wahrheit willigt er damit der Auswertung von allen Daten über seine Person und aller Zahlungen für Werbezwecke ein. Im Gespräch mit dem Kunden wird das nicht erwähnt.

Das ist kein fiktiver Fall: In der Stadtsparkasse Schwedt ist das zuletzt mehrfach so passiert. Das Vorgehen der Bank ist dabei nicht nur ethisch fragwürdig, sondern auch rechtlich. Denn in Fällen, in denen Mitarbeiter den Betroffenen falsche Angaben zum Inhalt der Einwilligung machen, sind die Einwilligungen unwirksam, analysiert ein Datenschutzanwalt. Ein Verbraucherschützer spricht von Täuschung. Doch nicht nur in Schwedt wird das Einverständnis der Kunden erschlichen.

Mit ihrem Vorgehen verstoßen die Finanzinstitute gegen eines der goldenen Prinzipien des Datenschutz: die informierte Einwilligung. Möchten Organisationen personenbezogene Daten auf Grundlage einer Einwilligung verarbeiten, müssen die Betroffenen explizit und freiwillig zustimmen. Eine Person muss also über den genauen Zweck in verständlicher Sprache informiert sein und darf nicht zu einer Unterschrift gedrängt werden. Doch daran halten sich Firmen nicht immer, wie wir anlässlich der neuen EU-Datenschutzregeln zuletzt mehrfach dokumentierten.

Wie es in Schwedt ablief

In Schwedt wurde sogar ein möglicher Notfall ins Spiel gebracht, um Unterschriften zu bekommen. Um auch künftig Kunden im Notfall per Telefon kontaktieren zu können, müssten diese dazu ihre schriftliche Einwilligung geben, erklärten Bankberater mehreren Kunden der Sparkasse. Die Kunden sind netzpolitik.org namentlich bekannt, wollen ihre Namen aber nicht öffentlich machen. Den Kunden legten die Berater mehrere ausgedruckte Seiten mit bereits vorausgefüllten Ankreuzfeldern vor. (Das geschwärzte Schreiben ist hier als pdf abrufbar). Man müsse nur noch unterschreiben, am Besten jetzt sofort vor Ort.

Tatsächlich handelt das Dokument von etwas ganz anderem: Werbung. Mit Unterzeichnung geben die Kunden der Stadtsparkasse die Erlaubnis persönliche Daten und jeglichen Zahlungsverkehr auszuwerten. Aus Adressdaten, Online-Banking-Nutzung und den Verwendungszwecken von Überweisungen möchte die Bank „individuelle“ und „passgenaue“ Angebote ermitteln. Von einer Benachrichtigung im Notfall ist in dem Einwilligungsschreiben nicht mehr die Rede. Bei den Kunden entsteht jedoch im mündlichen Gespräch der Eindruck, dass ihre Unterschrift unbedingt notwendig ist. „Ich dachte, die Sparkasse braucht meine Unterschrift, um mich telefonisch erreichen zu können“, sagt einer der betroffenen Kunden gegenüber netzpolitik.org.

Die umfangreichen persönlichen Daten werden zudem an 13 Unternehmen weitergeben – darunter eine Bausparkasse und eine Rechtschutzversicherung. „Davon war im Gespräch keine Rede“, sagt einer der Betroffenen. Die telefonische Erreichbarkeit im Notfall, um die es der Bank angeblich geht, wird in dem Schriftstück nicht erwähnt. Auf Nachfrage des Kunden danach beharrt die Sparkasse dennoch darauf, dass die Unterschrift notwendig ist.

Rechtsanwalt: Einwilligung unwirksam

Ein von netzpolitik.org befragter Anwalt hält die Einwilligung in Fällen, in denen Mitarbeiter den Betroffenen falsche Angaben zum Inhalt der Einwilligung machen für unwirksam. Jede Einwilligung müsse informiert erfolgen, „der Betroffene muss also wissen, in was er einwilligt“, erklärt Rechtsanwalt Matthias Lachenmann gegenüber netzpolitik.org. „Persönliche Aussagen der Sachbearbeiter müssen also zum Einwilligungstext passen und dürfen keine gegenläufigen Informationen enthalten“, sagt Lachenmann.

Der Anwalt für Datenschutzrecht zweifelt auch an der Freiwilligkeit der Einwilligung – die zweite Bedingung, die erfüllt sein muss. „Gegenüber Kunden ist die Freiwilligkeit kritisch, wenn Druck auf die Kunden ausgeübt wird. Eine Werbeeinwilligung könnte als nicht-freiwillig abgegeben gewertet werden, wenn der Kunde stark unter Druck gesetzt wird oder ihm falsche Tatsachen mündlich vorgespiegelt würden“, meint Lachenmann.

Verbraucherschützer: „Täuschung“

Deutliche Kritik kommt auch von Verbraucherschützern: „Nach unserer Auffassung ist das eine Täuschung des Verbrauchers“, sagt Erk Schaarschmidt von der Verbraucherzentrale Brandenburg. Der Finanzexperte stößt sich auch an den vorausgefüllten Kästchen. Die Verbraucherzentrale prüft nun ein Abmahnverfahren gegen die Stadtsparkasse Schwedt. Der Bank gehe es schlichtweg darum „umfassende Daten des Kunden zu besitzen, um ihm andere Produkte zu verkaufen“, sagte Schaarschmidt gegenüber netzpolitik.org.

Aus Sicht von Rechtsanwalt Lachenmann sind die vorangekreuzten Kästchen ebenfalls problematisch. „Die Datenschutzgrundverordnung will sicherstellen, dass Kunden aus eigenem Antrieb heraus einwilligen. Daher sieht Erwägungsgrund 32 vor, dass vorangekreuzte Kästchen keine wirksame Einwilligung seien“, erklärt Lachenmann. Der Rechtsanwalt empfiehlt seinen Mandanten daher, keine vorangekreuzten Felder zu verwenden.

Sparkasse verweist auf Einwilligungstext

Unter den ausgewerteten Daten befinden sich laut der Einwilligung auch alle Zahlungsströme. Die Bank und ihre Partnerunternehmen werten Sender und Empfänger von Überweisungen und den Verwendungszweck aus. Da das Kästchen bereits vorausgefüllt ist, kann sich der Kunde dem in der Einwilligung nicht entziehen. Lachenmann sieht das kritisch: „Die Einwilligung hält die Vorgaben der europäischen Aufsichtsbehörden an die Granularität nicht ein. Danach soll in verschiedene Verarbeitungsvorgänge auch gesondert eingewilligt werden dürfen, also verschiedene Haken gesetzt. So soll sichergestellt werden, dass ein Betroffener sich weitgehend aussuchen kann, in was er einwilligt.“

Konfrontiert mit den Kundenbeschwerden, verweist die Stadtsparkasse Schwedt auf die schriftliche Einwilligung. Der Zweck der Einwilligung gehe eindeutig aus dem Einwilligungsformular hervor, sagte eine Sprecherin gegenüber netzpolitik.org. Kunden könnten die Einwilligung jederzeit widerrufen. Für die Vertragserfüllung sei sie nicht erforderlich. Welche Informationen mündlich gegeben worden sind und warum die Kästchen bereits ausgefüllt sind, wollte die Bank nicht beantworten.

Weiterer Fall in Thüringen

Die Stadtsparkasse Schwedt ist nicht die Einzige, die mit dieser fragwürdigen Methoden ihren Kunden personalisierte Werbung aufdrängt. In mindestens einem Fall bekam ein Kunde der Sparkasse Mittelthüringen per Post die Aufforderung, eine ähnliche Einwilligung zu unterschreiben. Die Sparkasse schreibt im beiliegenden Anschreiben, die Einwilligung sei nötig, „damit wir Sie weiter kontaktieren und umfassend beraten können.“ Wie im Fall der Schwedter Sparkasse verschleiert die Thüringer Bank den eigentlichen Zweck der Einwilligung. Die Verbraucherzentrale Thüringen hat den Vorfall dem Landesbeauftragten für Datenschutz und Informationsfreiheit gemeldet. Bei diesem läuft inzwischen ein Prüfverfahren, erklärte ein Sprecher gegenüber netzpolitik.org.

Urheber des Einwilligungsformulars, das Banken in ganz Deutschland nutzen, ist der Deutsche Sparkassenverlag. In vielen Fällen sind die Kästchen nicht vorausgefüllt. Dabei ist zu beachten: Wenn der Kunde richtig über den Zweck informiert wird, kann die Einwilligung durchaus wirksam sein. Allerdings bewerben viele Sparkassen die Einwilligung auf ihren Webseiten mit der Begründung, damit die „Bank­geschäfte [der Kunden] erledigen“ zu können.

So können sich Kunden wehren

Kunden der Sparkassen können bereits gegebene Einwilligungen jederzeit widerrufen. Dazu stellt die Verbraucherzentrale Brandenburg Musterschreiben auf ihrer Webseite bereit, erklärt Verbraucherschützer Schaarschmidt. Er rät Kunden, die über den Zweck der Einwilligung getäuscht worden sind, Beschwerde bei der Verbraucherzentrale ihres Bundeslandes und der Schlichtungsstelle des Sparkassen- und Giroverbands einzureichen.

Aufruf: Schickt uns eure Erfahrungen

Hat dich eine Bank oder ein anderes Unternehmen aufgefordert, eine Einwilligung für Werbung oder Datenweitergabe zu unterschreiben? Stimmen die Informationen über den Zweck nicht mit den schriftlichen Angaben in der Einwilligung überein? Dann würden wir uns freuen, von dir zu hören. Schreibe eine E-Mail an simon@netzpolitik.org (PGP) oder einen Kommentar unter diesen Artikel. Uns interessiert dabei besonders, wie andere Sparkassen und Finanzinstitute vorgehen.