Die polnische Datenschutzaufsicht UODO hat gegen ING Bank Śląski ein Bußgeld in Höhe von umgerechnet 4.322.286 EUR verhängt. Die Bank hatte über Jahre hinweg Ausweisdokumente von Kunden und Interessenten systematisch eingescannt, ohne dass hierfür in jedem Fall eine rechtliche Notwendigkeit bestand.
Die Bank ist im Rahmen von Maßnahmen gegen Geldwäsche und Terrorismusfinanzierung verpflichtet, risikobasiert geeignete Sicherheitsmaßnahmen umzusetzen. Es kann in diesem Rahmen notwendig sein, Daten aus Ausweisdokumenten zu verarbeiten. Die Maßnahmen müssten im Einzelfall geprüft und ihre Erforderlichkeit nachgewiesen werden (rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO).
Im Rahmen einer Kontrolle stellte UODO jedoch fest, dass die Bank millionenfach Kopien von Ausweisen auch in Situationen angefertigt hatte, in denen keine Pflicht zur Identitätsprüfung nach den Geldwäschevorschriften (AML) bestand – etwa bei allgemeinen Anfragen, Reklamationen oder der Nutzung bestimmter Online-Dienste. Im vorliegenden Fall war das Verfahren standardisiert und flächendeckend angelegt und nicht auf den konkreten Zweck zugeschnitten. Eine Einzelfallprüfung, ob das Scannen tatsächlich erforderlich war, fand nicht statt. Bestimmte Leistungen wurden verweigert, wenn Kunden dem Scanning nicht zustimmen wollten.
Selbst wenn eine Organisation gesetzlichen Pflichten zur Identitätsprüfung unterliegt, muss sie nachweisen können, dass die jeweilige Maßnahme notwendig und verhältnismäßig ist.
Damit sah die Behörde mehrere Grundsätze der DSGVO verletzt – insbesondere:
-
Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO)
-
Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
-
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
Auch die Berufung auf Art. 6 Abs. 1 lit. c DSGVO („rechtliche Verpflichtung“) hilft hier nicht weiter: Eine grundsätzliche gesetzliche Pflicht zum pauschalen Scannen existiert nicht.
Ein Automatismus – „wir scannen grundsätzlich immer den Ausweis“ – ist datenschutzrechtlich unzulässig.
Der Fall zeigt einmal mehr, wie Compliance durch Routine gefährdet wird, wenn Prozesse nicht regelmäßig überprüft werden. Besonders in stark regulierten Branchen – wie Banken, Versicherungen oder Gesundheitswesen – besteht die Gefahr, dass rechtliche Anforderungen überinterpretiert und dadurch neue Risiken geschaffen werden.
Für die Praxis bedeutet dies – wenig überraschend:
-
Jede Datenverarbeitung braucht eine konkrete Rechtsgrundlage und einen dokumentierten Zweck. Standardprozesse ohne Differenzierung sind ein Risiko.
-
Wenn eine Maßnahme auf Art. 6 Abs. 1 lit. c DSGVO gestützt wird, muss klar belegbar sein, welche Norm konkret die Datenerhebung erfordert.
-
Datenschutz- und AML-Pflichten müssen integriert, aber nicht vermischt werden. Jährliche Überprüfungen helfen, solche systemischen Verstöße zu vermeiden.
Dass eine Aufsicht ein Bußgeld in dieser Höhe verhängt, ist mehr als ein Einzelfall. Es ist ein Signal an Verantwortliche, komplexe Regulierungsanforderungen zu operationalisieren
Nach Ansicht der Datenschutzbehörde UODO ist die verhängte Geldbuße in diesem Einzelfall wirksam, verhältnismäßig und abschreckend.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt, LL.M. ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.