Die Sparkassen-Kunden unterschrieben im Glauben, etwas für ihre Kontosicherheit zu tun (Symbolbild). Gemeinfrei-ähnlich freigegeben durch unsplash.com Helloquence Woche für Woche erreichen netzpolitik.org E-Mails von empörten Sparkassen-Kunden. Seit einer Recherche im Sommer 2018 berichteten sie uns aus ganz Deutschland davon, wie Sparkassen Kundinnen und Kunden zur Preisgabe ihrer Daten drängen. Die Betroffenen schildern das immer gleiche Szenario: Bankangestellte verlangen von ihnen die Unterschrift unter ein Formular – angeblich um die Sicherheit ihres Kontos zu gewährleisten. In einigen Fällen drohen die Mitarbeiter den Kunden, dass sie ansonsten keine Auskünfte mehr geben könnten. In Wahrheit sammelt die Bank auf diesem Weg die Erlaubnis zu personalisierter Werbung auf Basis persönlicher Daten und Kontobewegungen ein.
Bisher waren das lauter Einzelfälle. So viele, dass ein Zufall unwahrscheinlich ist. Doch es fehlte das verbindende Element. Jetzt können wir zumindest für eines der zehn größten Institute beweisen: Die Einwilligungsmasche hat System. Schulungsunterlagen der Ostsächsischen Sparkasse Dresden zeigen, dass die Bank ihren Mitarbeitern genau die Formulierungen vorschrieb, die uns Kunden schilderten . Die Dokumente, die netzpolitik.org vorliegen, enthalten einen Leitfaden zur Argumentation im Kundengespräch. Darin empfiehlt die Sparkasse ihren Mitarbeitern Formulierungen, die den eigentlichen Zweck der Datensammlung gegenüber den Kunden verschleiern.
„Es bleibt alles so, wie es ist.“
Wie die Bank vorgegangen ist, verdeutlicht der Fall von Viola Martens, Kundin bei der sächsischen Sparkasse. Im Sommer 2018 bittet eine Sparkassen-Angestellte sie in der Bank um eine Unterschrift unter ein Formular. „Es bleibt alles so, wie es ist“, sagt die Mitarbeiterin. Um auch in Zukunft über ungewöhnliche Kontobewegungen informieren zu können, brauche man ihr Einverständnis, erklärt die Angestellte.
„Das hat mich bewogen, zu unterschreiben – mit dem Einwand, dass ich definitiv keine Werbepost von der Sparkasse haben will“, erinnert sich Viola Martens im Gespräch mit netzpolitik.org. Die junge Frau, die eigentlich anders heißt, ärgert sich bereits seit längerem über ungefragt zugesandte Werbung von der Sparkasse.
Tatsächlich wäre ihr Konto auch ohne die Unterschrift sicher. „Die Bank darf den Zahlungsverkehr aus Sicherheitsgründen analysieren, ohne dass eine Einwilligung vorliegt“, erklärt Thilo Weichert. Der ehemalige Datenschutzbeauftragte Schleswig-Holsteins berät seit dem Ruhestand Unternehmen und Politik. Netzpolitik.org bat Weichert um eine Einschätzung zu dem Fall, weil die Verbraucherzentrale Sachsen und der sächsische Landesdatenschutzbeauftragte keine öffentlichen Statements abgeben wollten.
Weichert erklärt: „Die Behauptung, die Unterschrift sei wichtig für die ‚Sicherheit im Zahlungsverkehr‘ ist schlichtweg falsch. Es gehört zu den vertraglichen Hauptpflichten einer Bank, alle für die Sicherheit des Zahlungsverkehrs erforderlichen Maßnahmen zu ergreifen.“ Stattdessen hat Viola Martens ihrer Bank unwissentlich genehmigt, ihre persönlichen Informationen und jegliche Kontobewegungen zu Werbezwecken auszuwerten. Mehr als 30 Beschwerde-E-Mails von anderen Kunden aus ganz Deutschland zeigen: Dutzenden erging es ganz ähnlich.
Der gläserne Kunde
Nach dem Gespräch schaut sich Viola Martens das Formular nochmal in Ruhe an. Es besteht aus drei Teilen, in die Kunden einzeln einwilligen können. Davon wusste Viola Martens nichts. Die Sparkassen-Mitarbeiterin kreuzte alle Teile an – und die Kundin unterschrieb. Der erste Baustein gestattet der Bank personenbezogene Daten, darunter Name, Adresse und die Nutzung der Sparkassen-Webseite, miteinander zu verknüpfen und für Werbung zu nutzen. Im zweiten Teil willigt die Dresdnerin in die Auswertung aller ein- und ausgehenden Zahlungen für Werbung ein. Der dritte Teil erlaubt der Bank, sie per Telefon und E-Mail zu kontaktieren.
Beim Lesen des Formulars stellt Viola Martens fest, dass ein Häkchen bei der Verwertung ihrer Kontodaten für Werbezwecke gesetzt ist. „Das hatte ich der Mitarbeiterin mündlich gesagt, dass ich genau das nicht will“, sagt sie. Aus den Daten erstellt die Bank Angebote „über für mich geeignete Produkte und Aktionen“. So steht es im Formular, mit dem Viola Martens ihre Zustimmung erteilte. Im Gespräch mit der Kundin schlug die Mitarbeiterin jedoch ganz andere Töne an. Mit keinem Wort nennt sie den wahren Zweck der Datensammlung: personalisierte Werbung.
Mit Hilfe der Daten gewinnt die Sparkasse einen tiefen Einblick in das Leben ihrer Kunden – und kann ihnen dazu passende Produkte verkaufen. So könnte die Bank etwa anhand der Analyse von Überweisungen solche Kunden erkennen, die beispielsweise regelmäßig hohe Beträge an ihren Zahnarzt zahlen. Praktisch, denn die Ostsächsische Sparkasse Dresden bietet auch Zahnzusatzversicherungen an. Oder kauft ein Kunde für viel Geld neue Möbel, könnte die Bank ihm einen Privatkredit zur Finanzierung anbieten.
Rechtlich nicht zulässig
Bereits nach den ersten Berichten von netzpolitik.org über die Masche, stellten Juristen klar: In Fällen, in denen Mitarbeiter falsche Angaben zum Inhalt der Einwilligung machen, ist die Einwilligung unwirksam. Kunden muss laut Datenschutzgrundverordnung (DSGVO) klar und deutlich gesagt werden, in was sie einwilligen. Das ist bei der Ostsächsischen Sparkasse nicht der Fall. Zwar erklärt das Formular korrekt über den Zweck der Einwilligung auf, die Mitarbeiter nennen gegenüber den Kunden aber andere Gründe. Auch das Vorankreuzen von Checkboxen ist laut DSGVO nicht zulässig. Nicht alle Kunden wissen, das eine Unterschrift freiwillig ist.
Die Schulungsunterlagen zeigen, woher die Mitarbeiter ihre Argumente haben. Darin empfiehlt die Bank ihren Angestellten zwei Formulierungen, um die Kunden von einer Unterschrift unter das Formular zu überzeugen. Es sind genau die Worte, von denen auch Viola Martens berichtet. Erstens sollen die Mitarbeiter sagen, dass alles so bleibt, wie bisher. Es sei lediglich eine Unterschrift notwendig. Zweitens wird den Mitarbeitern dieser Satz empfohlen:
Um ihnen Sicherheit im Zahlungsverkehr zu geben und Unregelmäßigkeiten mit Zahlungen per Kreditkarte und Sparkassen-Karte erkennen zu können, ist ihre Unterschrift notwendig.
Beide Aussagen geben die Rechtslage falsch wieder und sind irreführend, sagt Datenschützer Weichert. „Tatsächlich bleibt bezüglich der Vertragspflichten und der Werbung alles, wie es war, nur ist dafür keine Unterschrift nötig.“ Das heißt: Wenn bei der Dresdner Sparkasse alles so bleiben würde wie bisher, bräuchte es keine Unterschrift. Doch die Sparkasse möchte auf mehr Daten zugreifen, als sie bislang im Rahmen der Verträge durfte. Dafür braucht die Bank das Einverständnis der Kunden.
Konfrontiert mit den Anschuldigungen, betont die Ostsächsische Sparkasse Dresden sich an den Datenschutz zu halten. „Selbstverständlich beachtet die Ostsächsische Sparkasse Dresden die gesetzlichen Vorgaben hinsichtlich des Datenschutzes und übertrifft sie teilweise“, sagt ein Sprecher gegenüber netzpolitik.org. Zu den Formulierungen in den Schulungsunterlagen möchte sich die Bank nicht äußern. „Unsere Kunden werden von uns über die Ziele und Inhalte der freiwilligen und jederzeit in Teilen oder im Ganzen widerrufbaren Datenschutzeinwilligung klar und transparent informiert. Es lagen und liegen uns dazu keinerlei Beschwerden vor.“
Imageverlust für Sparkassen
Für die Dresdnerin Viola Martens bestätigt der Vorfall den schlechten Eindruck, den sie bereits vorher von ihrer Bank hatte. Schon früher hatte sich die Sparkasse bei ihr mit Angeboten für weitere Produkte gemeldet. Mal ging es um eine Geldanlage, die sie abschließen sollte. Dann wieder eine private Altersversorgung. „Alles Dinge, die ich nicht will und nicht brauche“, sagt sie gegenüber netzpolitik.org. Sie hätte die Einwilligung nicht unterschrieben, wenn ihr klar gewesen wäre, dass sie danach noch mehr Werbepost bekommt.
Dieser Fall könnte nun weit über Dresden hinaus Auswirkungen haben. Deutschlandweit verwenden Sparkassen das gleiche Einwilligungsformular. Gut möglich, dass auch andere Sparkassen in Deutschland die irreführenden Schulungsunterlagen eingesetzt haben – oder diese sogar vom Dachverband verbreitet wurden. (Vertrauensvolle Hinweise dazu gerne an netzpolitik.org ). Auf Anfrage erklärt der Deutsche Sparkassen- und Giroverband „umfangreiche Informationen und Umsetzungshilfen für die Sparkassen erarbeitet“ zu haben, darunter das Einwilligungsformular. Unsere Frage, ob einheitliche Schulungsunterlagen erarbeitet wurden und diese die irreführende Formulierung beinhalten, beantwortet der Verband nicht.
Dass gerade Sparkassen – Banken in kommunaler Trägerschaft – dabei erwischt werden, wie sie ihre Kunden beim Datenschutz in die Irre führen, ist besonders bitter. Während der Finanzkrise galten die öffentlich-rechtlichen Geldinstitute aufgrund ihrer Gemeinnützigkeit als besonders verlässlich und kundennah. Statt in Zeiten kritischer öffentlicher Debatten über Datenschutz und die Folgen personalisierter Werbung bei Google, Facebook und Co. einen eigenen Weg zu gehen, laufen die Banken den vielkritisierten Datenkonzernen hinterher. Statt aufzuklären und für Vertrauen zu werben, erschleichen sie sich die Zustimmung durch irreführende Formulierungen. Das sorgt bei Kunden, die sich bei netzpolitik.org melden, für Ärger. „Hier wird meiner Meinung nach darauf abgezielt, die Kunden maximal zu täuschen“, schreibt einer von ihnen. Ein Eindruck, der sich jetzt noch verstärken könnte.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
