Datenschutzbehörde Österreich: Bank darf nicht alle Kundenanrufe dauerhaft speichern


ZD-Aktuell 2022, 01039     Die Datenschutzbehörde Österreich (Newsletter 1/2022) hat einer Beschwerde eines Bankkunden gegen die dauerhafte Speicherung sämtlicher Anrufe durch eine Bank stattgegeben (Az. 2020-0.591.897 (D124.422)).

Der Kunde sah sich durch die Aufzeichnung seines Kundenanrufs (ohne Opt-out-Option) durch eine Bank in seinem Grundrecht auf Geheimhaltung verletzt. Diese Aufzeichnungen betrafen alle Kundenhotlines und die Festnetznummern aller Filialen der Bank, ausgenommen waren jedoch persönliche (Mobilfunk-)Rufnummern einzelner Kundenbetreuer.

 

Die österreichische Datenschutzbehörde entschied, dass aus dem Zahlungsdienstegesetz 2018 (ZaDiG 2018) keine Aufzeichnungspflicht abgeleitet werden könne, die über die Authentifizierung von Telefonbanking-Aufträgen hinausreiche. Wertpapieraufsichtsgesetz 2018 (WAG 2018) und MiFID II würden eine Aufzeichnungspflicht für Telefonate „in Bezug auf Kundenaufträge“ ausdrücklich vorsehen. Beide Tatbestände trafen auf den Anruf des Kunden jedoch nicht zu. Die Bank hätte daher ihre Organisation so einrichten müssen, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, von anderen Kundengesprächen getrennt geführt werden. Dies auch deshalb, weil die Aufzeichnung ohnehin nicht lückenlos jedes Kundentelefonat umfasste. Die Datenverarbeitung war daher überschießend (Verstoß gegen den Grundsatz der Datenminimierung).

 

Der Bescheid ist beim ÖBVwG angefochten worden und daher nicht rechtskräftig.