Datenschutz: Hamburger Sparkasse übermittelt Kundendaten in die USA (Spiegel Online, 5.11.2010)
Datenschutz
Hamburger Sparkasse übermittelt Kundendaten in die USA
Merkwürdige Vertragsklausel bei der Hamburger Sparkasse: Die Bank lässt sich bei Vorteilskonten von Kunden per Vertrag vom Bankgeheimnis entbinden und übermittelt personenbezogene Daten in die USA. Die Bank spricht von IT-Dienstleistungen – Datenschützer sehen die Vertragsklausel kritisch.
Spiegel Online, 5.11.2010
{jumi [*3]}
Das sogenannte Vorteilskonto der Hamburger Sparkasse bietet allerlei mehr oder minder exklusiven Schnickschnack: goldene Kreditkarte, Rabattaktionen bei Web-Shops, günstigere Eintrittskarten und so weiter. Ein besonderes Extra verbirgt sich im Kleingedruckten des Rahmenvertrags ( PDF-Dokument) für das Konto. Darin steht, dass der Kunde sich damit einverstanden erklärt, dass bestimmte personenbezogene Daten von der Sparkasse an ein weiteres Unternehmen und von diesem Dienstleister wiederum an eine US-Firma in Connecticut übertragen und dort ausgewertet werden dürfen.
{jumi [*4]}
Die Klausel ist in vielerlei Hinsicht bemerkenswert: Eine deutsche Bank lässt Informationen zu Vorteilskonten in den Vereinigten Staaten auswerten – das erwartet ein Kunde nun nicht unbedingt, wenn er bei einer lokalen Bank einen Vertrag abschließt.
Vage Kundeninformation per Vertragsklausel
Welche Daten die Bank überhaupt in die USA überträgt, erfährt der Kunde aus der Klausel nicht. Dort ist nur die Rede von “in Zusammenhang mit der Leistungserbringung stehenden Daten zur Leistungserbringung, -dokumentation und -optimierung”.
Der Hamburger Datenschutzbeauftragte Johannes Caspar kritisiert diese Formulierung: Zulässig sei eine Übertragung personenbezogener Daten nur unter bestimmten Voraussetzungen, eine davon sei es, dass “Kunden umfassend darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden.” Caspars Urteil: “Da liest sich der Passus der Rahmenvereinbarung zum Haspa-Joker-Konto zu vage, aber das haben wir noch nicht abschließend geprüft.”
Auf Anfrage erklärt die Hamburger Sparkasse, in den USA würden folgende Daten verwaltet:
- persönliche Daten (zum Beispiel Name, Anschrift).
- für die Inanspruchnahme von Leistungen wesentliche Daten (zum Beispiel HaspaJoker Kontoart).
- mit der Nutzung von HaspaJoker-Leistungen in Zusammenhang stehende Daten (zum Beispiel Käufe und Nutzung bestimmter Joker-Leistungen, verschlüsselte Daten des Schlüsselfund-Anhängers).
Kontoumsatzdaten werden laut der Sparkasse nicht in die USA übertragen. Die Anwendungen auf den US-Servern würden ausschließlich aus Europa bedient.
Der Hamburger Datenschutzbeauftragte prüft derzeit, ob die in die Vereinigten Staaten übertragenen Daten überhaupt rechtmäßig erhoben worden sind. Der Datenschützer vermutet, dass die Daten im Rahmen der umstrittenen Kundenprofilbildung angefallen sind. Caspar: “Um bewerten zu können, ob diese Übertragung rechtmäßig erfolgt ist, müssen wir zunächst feststellen, ob diese Daten überhaupt rechtmäßig erhoben worden sind und so hätten verwendet werden dürfen, darauf konzentrieren wir uns derzeit.”
Sparkassen-Sprecherin von Carlsburg widerspricht der Vermutung des Datenschützers: “Die Daten sind nicht im Rahmen der umstrittenen Kundenprofile angefallen, zwischen Sensus und Joker besteht kein Zusammenhang.”
Sparkasse lässt sich Datenschutz per Vertrag garantieren
Sollten die Daten rechtmäßig erhoben worden sein, ist immer noch zu klären, ob sie in dieser Form in die Vereinigten Staaten an ein Drittunternehmen übertragen werden durften. Das ist – eine transparente Darstellung und informierte Zustimmung des Kunden vorausgesetzt – formal zulässig, wenn die verarbeitende Firma im Ausland ein angemessenes Schutzniveau aufweist oder ausreichende Datenschutzgarantien vorliegen.
Die Hamburger Sparkasse erklärt in dem Rahmenvertrag, dass sich die US-Firma dem Datenschutzabkommen “Safe Harbor” verpflichtet habe und die “Behandlung nach einem angemessenen Datenschutzniveau” garantiere. Außerdem habe sich das Unternehmen gegenüber der Hamburger Sparkasse “zum Schutz der Daten nach dem Bundesdatenschutzgesetz verpflichtet”.
Eine solche Verpflichtung empfehlen die deutschen Datenschutz-Aufsichtsbehörden in einem Beschluss vom April ausdrücklich, solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet ist. Denn anders als die Hamburger Sparkasse in ihrem Vertragstext suggeriert, garantiert das Safe-Harbor-Abkommen die Einhaltung eines dem deutschen Stand ebenbürtigen Datenschutzniveaus im Ausland nicht unbedingt. Datenschützer äußern sogar erhebliche Zweifel daran, dass das Safe-Harbor-Abkommen Datenschutz garantiert. Dass sich die Hamburger Sparkasse von ihrem Datenverarbeiter Datenschutz vertraglich garantieren lässt, ist daher vorbildlich.
Verwirrende Datenschutzerklärung auf Englisch
Die Aufklärung des Kunden, was da eigentlich mit seinen Daten passiert, ist es hingegen nicht. Eine der Anforderungen nach Safe Harbor ist ja gerade die umfassende Information der betroffenen Privatpersonen darüber, zu welchem Zweck die Organisation Daten über sie erhebt und verwendet, wie man die Verwendung und Weitergabe der Daten einschränken kann. Auf der Internetseite des von der Sparkasse Hamburg benannten US-Unternehmens Affinion Group findet man tatsächlich eine “Privacy Policy”.
Das Dokument scheint sich aber lediglich auf die Nutzung der Online-Präsenz zu beziehen. Andererseits ist darin aber auch die Rede davon, dass das Unternehmen “von Zeit zu Zeit personenbezogene Informationen mit vertrauenswürdigen, nicht verbundenen dritten Parteien teilen könne, die Produkte und Dienstleistungen anbieten”, die der Ansicht des Unternehmens nach von Interesse für die Nutzer sein könnten.
Die Sprecherin der Hamburger Sparkasse von Carlsburg stellt auf Anfrage klar: “Die Aussage betrifft ausschließlich das Geschäft der Affinion Group, die eigenständig Dienstleistungen in den USA für eigene Endkunden erbringt. Daten von Kunden der Haspa werden nicht weitergegeben.”
Aus den Kundeninformationen der Hamburger Sparkasse und ihrer Dienstleister geht das nicht hervor – Transparenz sieht anders aus.
{jumi [*5]}