Schilderung eines echten Falles

Vorbemerkung:

In diesem Beitrag sind einige Konstellationen, Orte und alle Namen von beteiligten Menschen und Institutionen verändert. Die Bank wird beispielsweise nur „Bank“ genannt. Eine Ausnahme ist das Landesamt für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Es handelt sich tatsächlich um die beteiligte Aufsichtsbehörde. Der Name der Sachbearbeiterin hingegen ist geändert.

Dies alles dient dem Schutz der Protagonistin Aleyna Shadid, die hier natürlich auch nicht mit ihrem richtigen Namen genannt wird. Der Grund dafür wird im Folgenden klar.

Alle genannten Daten hingegen sind real. Der Fall ist echt, es handelt sich nicht um eine theoretische Fallkonstruktion. Die Diskussion soll Frau Shadid bei der Entscheidung helfen, ob sie juristisch gegen die Bank vorgeht oder nicht.

Der Fall

Eine Mitarbeiterin eines Klienten, eben besagte Aleyna Shadid, ist im Frühjahr 2019 aus ihrer arabischstämmigen Familie geflüchtet, weil sie das ihr zugedachte Leben so nicht führen wollte.

Aleyna Shadid bewarb sich bei meinem Klienten um eine Ausbildungstelle im kaufmännischen Bereich und wurde angenommen. Das zog, nach der Flucht in eine vorübergehende Zufluchtsstätte, einen weiteren Umzug nach sich in die Nähe der Firmenräume meines Klienten.

Etwas mehr als elf Monate nach Antritt ihrer Ausbildung am 1. August 2019 – und einige Tage nach der Kündigung des Kontos bei der Bank – erhielt Frau Shadid einen auf den 24. Juni 2020 datierten Brief von ihrer Bank mit der Bitte, eine angeblich am 2. Juli 2019 abgegebene Vollmacht zugunsten ihrer Mutter nochmals zu unterschreiben, da leider das Vollmachtsformular, welches sie mit ihrer Mutter gemeinsam unterschrieben hätte, wegen eines „technischen Fehlers“ nicht archiviert worden sei. Das Anschreiben im Wortlaut (in allen Schreiben wird der Originaltext wiedergegeben inkl. Fehlern wie bspw. hier das Datum 02.07.2020, gemeint war der 02.07.2019; nur Namen und ggf. Orte sind jeweils geändert):

Sehr geehrte Frau Shadid,

am 02.07.2020 haben Sie Ihrer Mutter Hasiye Shadid eine Vollmacht für Ihre Konten erteilt.

Leider wurde das Vollmachtsformular, welches Sie und Ihre Mutter damals unterschrieben haben, wegen eines technischen Fehlers bei uns nicht archiviert.

Deswegen Bitte ich Sie und die Bevollmächtigte das beigelegte Formular an den gekennzeichneten Stellen erneut zu unterschrieben und uns dieses in dem Freiumschlag zurück zu schicken.

Vielen Dank!

Mit freundlichen Grüßen

Lara Christine Walter-Neumann

Frau Shadid wurde sofort von großer Angst erfasst, da ihre Familie unter keinen Umständen ihren Aufenthaltsort erfahren darf, weil sie mit Repressalien rechnen muss, wenn ihre Familie sie ausfindig macht. Von einer Vollmacht wusste sie nichts. Das Formular zur Unterschrift hat sie nie erhalten. Wenn sie es in Händen gehabt hatte, wären ihrerseits sofortige Maßnahmen eingeleitet worden. Zu diesem Zeitpunkt (Juli 2019) hätte sie sich sofort wieder in die Schutzeinrichtung begeben, in die sie geflüchtet war.

Mein Klient bat mich um Unterstützung für seine Auszubildende. Gemeinsam haben wir am 30. Juni 2020 zwei Schreiben formuliert. Das eine war an den Vorstand der Bank gerichtet, das andere an dessen Datenschutzbeauftragten (DSB). Im Schreiben an den DSB hat sie ihre Situation offengelegt, sich ihm also dahingehend anvertraut, dass sie vor ihrer Familie geflüchtet ist und die Familie unter keinen Umständen ihren Aufenthaltsort erfahren dürfe. Der Bank gegenüber hat sie das nicht geschildert.

Die Antwort der Bank vom 8. Juli 2020:

Sehr geehrte Frau Shadid,

Ihr Schreiben vom 30.06.2020 wurde von unserer Mitarbeiterin, Frau Stockmann, an den Vorstandsstab gegeben.

Unsere Recherche hat ergeben, dass der Markt eine automatisierte Information erhalten hat, dass eine Vollmacht angelegt war, allerdings ein unterschriebenes Vollmachtsformular bei uns nicht vorliegt. Wir müssen wohl davon ausgehen, dass die Eingabe der Vollmacht erfolgte, wir können aber leider nicht mehr nachvollziehen, wie sich der Vorgang dargestellt hat und wie es zu diesem Missverständnis kam.

Wir haben Ihre Kontoumsätze seit dem 02.07.2019 überprüft und eine mögliche Vollmacht wurde nicht genutzt.

Wir möchten uns ausdrücklich für die Ihnen entstandenen Unannehmlichkeiten entschuldigen und bestätigen Ihnen, dass keine Vollmacht vorliegt.

Eine Kopie des Schreibens haben wir an unseren Datenschutzbeauftragten, Herrn Wildemann, weitergeleitet, der Ihr Schreiben ebenfalls erhalten hat.

Mit freundlichen Grüßen

Bank (Bereichsleiter Vorstandsstab)

Michael Westphal

Die Antwort des DSB der Bank an Frau Shadid vom 20. Juli 2020:

Sehr geehrte Frau Shadid,

aufgrund meiner urlaubsbedingten Abwesenheit kann ich das an mich persönlich gerichtete Schreiben erst heute beantworten.

Ich kann Ihre Verärgerung über den Vorgang der angeblichen Vollmachtserteilung an Ihre Mutter aufgrund Ihrer besonderen Situation verstehen und habe daher den Sachverhalt in meiner Funktion als Datenschutzbeauftragter der Bank ausführlich geprüft.

Es war sicherlich nicht korrekt, dass unser Auszubildender in unserer EDV eine Vollmacht für Ihre Mutter erfasst hat, nachdem sie uns glaubhaft gemacht hatte, dass sie die Bankgeschäfte ihrer volljährigen Kinder immer erledige, weil diese immer so beschäftigt seien. Die dafür notwendige Unterschrift von Ihnen sollte nun ja auch nachgeholt werden. Da Sie eine solche Vollmacht auf keinen Fall wünschen, haben wir sie in unserer EDV auch sofort wieder gelöscht.

Aus meiner Sicht als Datenschutzbeauftragter stellt sich nun die Frage, ob durch unsere fehlerhafte EDV­Eingabe Ihre Mutter unberechtigter Weise Kenntnis Ihrer Anschrift erlangt hat. Nach den mir vorliegenden Informationen kann ich Ihnen jedoch versichern, dass das nicht der Fall ist. Mir liegen keine Erkenntnisse vor, dass Ihre Mutter Ihre Anschrift erfahren hat; Ihre Mutter hat weder im Rahmen der falschen Erfassung der Vollmacht in unserer EDV noch über sonstigen Schriftwechsel, aber auch nicht über Kontoauszüge oder über das Online-Banking, Ihre aktuelle Adresse mitgeteilt bekommen.

Durch die falsche Erfassung in der EDV wurde der Schutz Ihrer personenbezogenen Daten zwar möglicherweise verletzt, nach meiner Einschätzung hat dieses voraussichtlich aber nicht zu einem Risiko für Ihre Rechte und Ihre Freiheiten im Sinne des Artikel 33 Absatz 1 der Datenschutz-Grundverordnung geführt.

Ich hoffe, wir konnten Sie durch unsere Recherchen und diesen Brief beruhigen. Wir entschuldigen uns noch einmal ausdrücklich für die entstandenen Irritationen und wünschen Ihnen für die Zukunft alles Gute.

Mit freundlichen Grüßen

Datenschutzbeauftragter Bank

Michael Wildemann

Mit den Aussagen in diesen Schreiben war Frau Shadid nicht einverstanden. Nach reiflicher Überlegung entschied sie sich, bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) Beschwerde einzulegen. Sie wollte sich mit den Antworten nicht zufriedengeben. Zu viele Dinge sind in dem Schreiben des DSB der Bank nicht ausgeschlossen worden. Unter anderem die Möglichkeit, dass schon in dem Gespräch der Mutter mit dem „vergesslichen Auszubildenden“ Informationen weitergegeben wurden (siehe auch „Bemerkungen“ von mir am Ende dieses Beitrages). Insgesamt erschien Frau Shadid die Antwort des DSB und des Vorstands der Bank als wenig hilfreich und auch etwas lapidar.

Am 31. Juli 2020 schrieb Frau Dr. Mahlke, LfDI NRW an Frau Shadid folgenden Brief:

Sehr geehrte Frau Shadid,

für Ihr o.g. Schreiben danke ich Ihnen.

Ihre Beschwerde wurde von mir aufgegriffen. Die Bank habe ich gebeten mir mitzuteilen, ob Ihrer Mutter/Familie über die Vollmacht Ihr derzeitiger Wohn- und Aufenthaltsort bekannt gemacht wurde. Die von Ihnen mitgeteilten Hintergrundinformationen habe ich gegenüber der Bank entsprechend Ihrer Bitte nicht weitergeleitet.

Können Sie mir bitte mitteilen, inwieweit Sie der Bank gegenüber von Ihnen getroffene Schutzmaßnahmen mitgeteilt haben.

Ich werde jedoch so bald wie möglich auf Ihr Anliegen zurückkommen und bitte Sie bis dahin um Geduld.

Mit freundlichen Grüßen

Im Auftrag

Dr. Mahlke

Am 31. August 2020, exakt einen Monat nach dem Schreiben des LfDI an den DSB der Bank, antwortet dieser dem LfDI wie folgt:

Sehr geehrte Frau Dr. Mahlke,

zu Ihrem Schreiben vom 31. Juli 2020 möchten wir wie folgt Stellung nehmen:

Frau Aleyna Shadid hatte sich mit Schreiben vom 30.06.2020 unmittelbar an mich als Datenschutzbeauftragten der Bank gewandt und darin dargelegt, weshalb es aufgrund ihrer persönlichen Lebenssituation besonders wichtig ist, dass ihre Adressangaben geschützt werden. Mein Antwortschreiben vom 20.07.2020 an Frau Shadid füge ich zu Ihrer Information bei.

Die Mutter von Frau Aleyna Shadid hatte am 02.07.2019 in unserer Hauptstelle gegenüber einem unserer Auszubildenden glaubhaft gemacht, dass sie die Bankgeschäfte ihrer volljährigen Kinder immer erledige. Da eine Vollmacht jedoch in unserem EDV-System bis dahin nicht erfasst war und folglich weder Aufträge angenommen noch Auskünfte erteilt werden konnten, hat unser Auszubildende diese Vollmacht dann eingegeben, es danach aber versäumt, zu kontrollieren, ob ein von der Kontoinhaberin unterschriebenes Vollmachts­formular auch zurückgekommen ist. Bei einer Datenkontrolle wurde dann festgestellt, dass die Genehmigung der Kontoinhaberin fehlt, weshalb sie am 24.06.2020 erneut angeschrieben wurde. Zwischenzeitlich ist Frau Shadid von Hagen nach Barsinghausen gezogen und hat am 26.11.2019 eine Adressänderung vorgenommen, wobei ihr nun besonders wichtig ist, dass diese neue Anschrift keinem anderen Familienmitglied bekanntgegeben wird, auch nicht ihrer Mutter.

Ich habe in meiner Funktion als Datenschutzbeauftragter den Sachverhalt ausführlich geprüft. Ja, es war nicht korrekt, dass unser Auszubildende die Vollmacht für die Mutter in unserer EDV erfasst hat, ohne sich vorher bei der Kontoinhaberin zu versichern, ob auch sie dieses wünsche. Den Möglichkeiten unserem EDV-Systems Bank123 ist es jedoch geschuldet, dass erst die Vollmacht in der EDV erfasst werden muss, ehe das Vollmachtsformular gedruckt werden kann und dann der Kontoinhaberin zwecks Unterschrift vorgelegt oder zugeschickt wird.

Viel wichtiger als die nicht von der Kontoinhaberin autorisierte EDV-mäßige Verschlüsselung der Vollmacht ist für mich als Datenschutzbeauftragter der Bank jedoch die Frage, ob die Vollmachtsnehmerin möglicherweise Kenntnis von personenbezogenen Daten der Beschwerdeführerin und hier insbesondere der neuen Anschrift erlangt hat.

Bei meinen internen Prüfungshandlungen konnte ich jedoch nicht feststellen, dass die Mutter von Frau Shadid aufgrund der EDV-mäßigen Vollmacht Transaktionen vorgenommen, Kontoauszüge gezogen oder per Online-Banking Einsicht in die Kontoauszüge genommen hat. Auch sind keine Vorgänge dokumentiert, bei denen die Mutter über eine unserer Geschäftsstellen oder unseren telefonischen Kundenservice Auskunft über die Anschrift ihrer Tochter bekommen wollte oder sogar bekommen hat. Daher komme ich nach Auswertung aller mir vorliegenden Informationen zu dem Ergebnis, dass die personenbezogenen Daten von Frau Shadid nicht unautorisiert an Familienmitglieder offengelegt wurden. Zudem wurde die falsche EDV-mäßige Verschlüsslung der Vollmacht unverzüglich gelöscht.

Mit freundlichen Grüßen

Bank

Michael Wildemann

Datenschutzbeauftragter

Am 5. Oktober 2020 schickte das LfDI Frau Shadid folgenden, den Fall abschließenden, Brief:

Sehr geehrte Frau Shadid,

ich bedanke mich für das mit Ihnen am 12. August geführte Gespräch und übersende Ihnen in der Anlage die Stellungnahme der Bank.

Danach kommt der betriebliche Datenschutzbeauftragte der Bank zu dem Ergebnis, dass nach Auswertung aller ihm zur Verfügung stehenden Möglichkeiten und Informationen eine unbefugte Offenlegung Ihrer personenbezogenen Daten gegenüber Ihren Familienmitgliedern nicht erfolgt ist. Ein Fehlverhalten der Bank im datenschutzrechtlichen Sinne ist daher zu verneinen.

Ich hoffe, Ihnen mit diesen Informationen weitergeholfen zu haben und verbleibe

mit freundlichen Grüßen

Im Auftrag

(Dr. Mahlke)

Bemerkungen:

Bei aller Freude über das große Vertrauen, das Frau Dr. Mahlke vom LfDI NRW hier dem betrieblichen Datenschutzbeauftragten der Bank entgegenbringt, finde ich ihre Reaktion – bemerkenswert.

„Ein Fehlverhalten der Bank im datenschutzrechtlichen Sinne ist daher zu verneinen.“ Echt jetzt? Ist es datenschutzgerecht, dass ein(e) Mitarbeiter*in einer Bank (ich sehe hier mal davon ab, mangelnden Stil zu kritisieren, indem etwas auf einen Auszubildenden geschoben werden soll, völlig unabhängig davon, ob das nun zutrifft oder  nicht, es ist schlicht vollkommen egal) eine Vollmacht für eine Person einträgt, bei der die Vollmachtgeberin nicht anwesend ist? Hätte es nicht vielmehr so sein müssen, dass Frau Shadid anzuschreiben gewesen wäre und erst nach Erhalt der schriftlich erteilten Vollmacht diese in das EDV-System eingetragen wird? Den technische Mangel, dass erst nach Eintragung einer Vollmacht das Formular dazu erstellt werden kann, hätte man leicht umgehen können, indem direkt nach Produktion des Formulars die Vollmacht wieder aus dem System entfernt wird. Nicht schön, aber so werden alle EDV-Sicherungssystem umgangen. Wobei ich hier den Effekt der Sicherung gar nicht sehe. Das scheint mir schlicht schlampig, oder doch zumindest ohne jede Beachtung datenschutzrechtlicher Belange, programmiert.

Der DSB der Bank schreibt, der Vorfall hätte nicht zu einem Risiko gemäß Art. 33 Abs. 1 DS-GVO geführt. Diesem Urteil schließ sich das LfDI NRW ausdrücklich an. Der DSB behauptet: „Auch sind keine Vorgänge dokumentiert, bei denen die Mutter über eine unserer Geschäftsstellen oder unseren telefonischen Kundenservice Auskunft über die Anschrift ihrer Tochter bekommen wollte oder sogar bekommen hat.“ Dass das nicht dokumentiert ist, sagt aber doch rein gar nichts darüber aus, ob das nicht passiert ist. Die vom DSB selbst geschilderte Tatsache, dass „der Auszubildende“ die Vollmacht eingetragen hat und dann vergessen hat, zu kontrollieren, ob das Formular unterschrieben zurückkam, weist für mich in die Richtung, dass die datenschutzrelevanten Prozesse in der Bank, zurückhaltend gesagt, optimierungsbedürftig sind.

Erwägungsgrund 75 und 94 Satz 2 sagen Folgendes aus:

„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.

Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“

Das die Möglichkeit des Eintritts eines Schadens zuungunsten von Frau Shadid bestanden hat und noch besteht, ist wohl kaum zu bezweifeln. Die Schwere des Schadens will ich hier nicht in Schauermärchenart ausbreiten. Ich denke, jede(r) Leser*in kann sich ausmalen, welcher Schaden entstehen kann, wenn der Aufenthaltsort einer aus einer arabischen Familie geflohenen jungen Frau von deren Umfeld ausgekundschaftet werden kann. Auch die Eintritts­wahrscheinlichkeit, die ja von dem DSB so heruntergespielt wird, sehe ich wesentlich höher als er es darstellt. Denn, wie oben schon geschrieben, nicht dokumentiert heißt ja nicht, dass es nicht passiert ist.

Ein Halbsatz aus dem Schreiben des DSB an die LfDI NRW macht mich besonders stutzig (und ich finde es bemerkenswert, dass der zuständigen Sachbearbeiterin das nicht aufgefallen ist):

Da eine Vollmacht jedoch in unserem EDV-System bis dahin nicht erfasst war und folglich weder Aufträge angenommen noch Auskünfte erteilt werden konnten, hat unser Auszubildende diese Vollmacht dann eingegeben, ….“

Wofür also wurde die Vollmacht eingetragen? Wozu, wenn nicht um einen Auftrag auszuführen oder eine Auskunft zu erteilen? Hat man flugs den Haken gesetzt, um es möglich zu machen, einen Auftrag auszuführen oder eine Auskunft zu geben? Kann es für den beschriebenen Satz eine andere Erklärung geben?

Ich ermuntere alle Leser*innen zu einer Diskussion hier im Forum. Sehe ich Gespenster oder ist das der „Skandal“, den ich zu erkennen glaube?

Welche Verstöße erkennen Sie? Ich sehe ja schon den ersten Fehler im Design des EDV-Systems. Das Formular für die Unterschrift zur Vollmacht kann erst ausgedruckt werden, wenn die Vollmacht in die EDV eingetragen ist. Hallo? Sollte der DSB nicht mal einen Gedanken daran verschwenden, dass das bitte geändert wird? Ich lese kein Wort darüber. Zumindest in der Antwort an das LfDI NRW hätte ich das ganz bestimmt erwähnt. Hier sind wir doch ganz schnell beim Organisationsversagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.