Die Nutzung personenbezogener Daten für personalisierte Werbung gehört längst zum Standardrepertoire vieler Unternehmen. Doch gerade, wenn Banken Kundendaten, insbesondere Zahlungsverkehrsdaten, mithilfe komplexer Algorithmen analysieren, um Werbemaßnahmen individuell auszusteuern, stellen sich datenschutzrechtlich heikle Fragen. Der Einsatz sogenannter Smart-Data-Verfahren zur gezielten Kundenansprache stellt für viele Institute eine wertvolle Vermarktungsstrategie dar. Dabei müssen allerdings sorgfältig die Grenze zwischen legitimer Kundenkommunikation und unzulässiger Profilbildung beachtet werden. Besonders spannend sind die Anforderungen, die die Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in ihrem am 10.06.2025 veröffentlichten 30. Tätigkeitsbericht 2024, an Einwilligungen bei Smart-Data-Verfahren stellt.
Bedeutung von Smart Data im Bankensektor
Unter dem Begriff „Smart Data“ werden Daten verstanden, die strukturiert aufbereitet, miteinander verknüpft und im Idealfall in Echtzeit ausgewertet werden, um fundierte Entscheidungen über Werbemaßnahmen zu ermöglichen. Im Bankenwesen bedeutet das konkret, dass aus Transaktionen, Endgerätedaten und Umfeldinformationen durch Algorithmen Zielgruppenprofile erstellt werden, die über die Art und den Inhalt künftiger Werbung entscheiden. Dabei greifen die Banken nicht nur auf klassische Bestandsdaten, sondern vor allem auch auf schützenswerte Zahlungsverkehrsinformationen, wie Verwendungszwecke und Zahlungsempfänger, zurück.
Das Problem um die personalisierte Werbung
Das zentrale Problem personalisierter Werbung liegt in Verknüpfung teilweise sehr privater Informationen mit werblichen Profilen. Zwar versprechen solche Analysen effizientere Werbemaßnahmen, doch die tiefen Einblicke in Konsumverhalten, Lebensumstände oder gar Gesundheitsdaten, erfordern stets einer datenschutzrechtlichen Rechtsgrundlage.
Keine Analyse ohne Einwilligung
Noch bis 2022 habe der zustände Bundesverband der Deutschen Volks- und Raiffeisenbanken laut der LDI NRW gemeint, dass für die Nutzung dieser Daten eine sogenannte Hinweislösung ausreiche. Dabei seien Kunden lediglich in allgemeiner Form über die Datenverarbeitung informiert worden. Die Datenschutzaufsichtsbehörden hätten diese Praxis von Anfang an kritisch bewertet und im Zuge zunehmender Beschwerden und Untersuchungen deutliche Leitplanken gezogen.
Auch der europäische Gerichtshof hat mittlerweile entschieden, dass es eine informierte, freiwillige und ausdrückliche Einwilligung der Betroffenen im Sinne von Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DSGVO) für solche Datenverarbeitungen bedarf. Ebenso wenig reicht die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO.
Prüfung der Volks- und Raiffeisenbanken
Im Sommer 2024 überprüfte die LDI NRW die Einhaltung der datenschutzrechtlichen Vorgaben bei Volks- und Raiffeisenbanken in Nordrhein-Westfalen. Dabei ging es insbesondere um die Frage, ob die Institute weiterhin auf die Hinweislösung zurückgreifen oder ob mittlerweile Einwilligungen im Sinne der DSGVO eingeholt werden.
Das Ergebnis fiel erfreulich aus. Alle befragten Kreditinstitute hätten ihre Verfahren schon im Herbst 2022 umgestellt. Sie würden seither eine ausdrückliche Einwilligung der Kunden für ihre Smart-Data-gestützten Werbemaßnahmen einholen. Das folgte auf ein Bußgeld der niedersächsischen Datenschutzaufsichtsbehörde gegen eine Krediteinrichtung der genossenschaftlichen Finanzgruppe. Die Aufsichtsbehörde sprach außerdem für weitere Kreditinstitute eine Warnung aus.
Grundlage sei mittlerweile ein mit den Datenschutzbehörden abgestimmtes Muster, das eine klare Vorgaben enthalte. Frühere Hinweislösungen seien nach Aussage der Institute vollständig eingestellt worden.
Rechtssicherheit durch frühzeitige Abstimmung
Für Unternehmen, die selbst Smart-Data-Verfahren einsetzen oder dies planen, ergibt sich daraus eine klare Handlungsmaxime. Wo sensible Daten im Spiel sind ist eine freiwillige, informierte und nachweisbare Einwilligung laut der LDI NRW erforderlich.
Zugleich zeigt der Fall, dass eine proaktive Abstimmung mit den Aufsichtsbehörden zu rechtskonformen Lösungen führen kann. Deshalb empfiehlt die LDI NRW in ihrem Tätigkeitsbericht (abrufbar hier) auch, „wichtige Zweifelsfragen […] mit der LDI NRW rechtzeitig im Dialog“ zu lösen, „um empfindliche Bußgelder zu vermeiden“.
Fazit
Die Nutzung von Smart Data zur zielgerichteten Kundenansprache ist kein datenschutzfreier Raum, erst recht nicht im Kontext von Bankgeschäften. Die Entscheidung der LDI NRW zu den Anforderungen an Einwilligungen bei Smart-Data-Verfahren hat aber gezeigt, dass ein rechtskonformer Einsatz datengestützter Werbung möglich ist. Wer personenbezogene Bankdaten analysieren möchte, sollte sich der Tragweite dieser Verarbeitung bewusst sein und entsprechend verantwortungsvoll handeln. Für Kreditinstitute bedeutet das, klare Einwilligungen einzuholen und bei Zweifeln rechtzeitig den Dialog mit der Aufsicht zu suchen.
