900.000 Euro Bußgeld gegen eine Bank – und was das über deine Finanz-Apps verrät
Eine Hannoveraner Bank wurde wegen unzulässiger Auswertung von Zahlungsdaten mit 900.000 Euro bestraft. Was das für alle bedeutet, die Finanz-Apps mit Bankzugriff nutzen – und warum manuelles Tracking die logische Konsequenz ist.
WonderFunds Team7 Min. Lesezeit
Teilen
Deine Daten sind sicher. Keine Bankverbindung nötig.Mehr erfahren →
900.000 Euro Bußgeld – und was das mit deinen Finanz-Apps zu tun hat
Eine Bank in Hannover hat Zahlungsdaten ihrer Kunden ausgewertet, um Werbeprofile zu erstellen. Nicht irgendeine Klitsche, sondern ein reguliertes Kreditinstitut. Die Datenschutzbehörde Niedersachsen hat dafür Ende Juli ein Bußgeld von 900.000 Euro verhängt. Der Fall ist nicht nur für Bankkunden relevant. Er betrifft jeden, der eine App nutzt, die auf Kontodaten zugreift.
Was die Bank konkret gemacht hat
Die Hannoversche Volksbank hat das digitale Verhalten ihrer Kunden systematisch analysiert: Wie viel haben Kunden in App-Stores ausgegeben? Wie oft nutzen sie den Kontoauszugsdrucker? Überweisen sie eher online oder gehen sie in die Filiale? Die Ergebnisse wurden dann mit Daten einer Wirtschaftsauskunftei abgeglichen und angereichert.
Das Ziel: gezielte Werbung. Die Bank wollte wissen, welche Kunden digitalaffin sind und welche Produkte man ihnen verkaufen könnte. Klingt erstmal nach dem, was Tech-Unternehmen seit Jahren machen. Der Unterschied: Banken sitzen auf den sensibelsten Finanzdaten, die es gibt. Und genau das hat die Landesbeauftragte für Datenschutz Niedersachsen in ihrer Bewertung betont.
Zahlungsdaten erlauben einen extrem detaillierten Blick in die Privatsphäre. Wer regelmäßig bei einer bestimmten Apotheke einkauft, wer ein Abo bei einer Dating-App hat, wer monatlich Geld an eine bestimmte Person überweist – all das steckt in den Kontobewegungen. Die Datenschutzbehörde hat klargemacht: Für solche Analysen reicht eine allgemeine Einwilligung "für Werbezwecke" nicht aus. Kunden müssen konkret wissen, was mit ihren Daten passiert, und differenziert zustimmen können.
Das Problem mit der "allgemeinen Einwilligung"
Ehrlich gesagt, wer liest schon die AGBs seiner Bank vollständig? Kaum jemand. Und genau darauf setzen solche Modelle. Eine vage Klausel wie "Wir nutzen Ihre Daten zur Verbesserung unserer Dienstleistungen" deckt in der Praxis halt ziemlich viel ab, ohne dass der Kunde wirklich versteht, was passiert.
Die LfD Niedersachsen hat das anders gesehen. Die Behörde fordert, dass Kunden auf einer hinreichend informierten Grundlage entscheiden können müssen, für welche spezifischen Verfahren ihre Daten genutzt werden. Das ist ein hoher Standard. Und es ist der richtige.
900.000 Euro Bußgeld gegen die Hannoversche Volksbank wegen unzulässiger Profilbildung aus Zahlungsdaten zu Werbezwecken – verhängt durch die LfD Niedersachsen im Juli 2025.
Das könnte dich auch interessieren
Wenn schon Banken scheitern – was ist mit Apps?
Die Hannoversche Volksbank ist eine BaFin-regulierte Bank. Mit Compliance-Abteilung, Datenschutzbeauftragtem und allem, was dazugehört. Trotzdem ist genau das passiert. Das sollte jeden nachdenklich stimmen, der einer Finanz-App Zugriff auf sein Bankkonto gibt.
Seit der Einführung der PSD2-Richtlinie 2019 können Drittanbieter, die von der BaFin reguliert werden, Zugang zu Bankkonten erhalten. Die Idee dahinter war eigentlich gut: mehr Wettbewerb, mehr Innovation, mehr Auswahl für Verbraucher. Das Ergebnis ist, dass heute dutzende Apps existieren, die dein Konto auslesen können. Kontoinformationsdienste nennt sich das offiziell.
Und ja, PSD2 hat Sicherheitsstandards eingeführt. Starke Kundenauthentifizierung mit zwei Faktoren zum Beispiel. Aber die Frage ist nicht nur, ob der Zugang zum Konto sicher ist. Die Frage ist: Was passiert mit den Daten, nachdem sie abgerufen wurden?
Die Lücke zwischen Zugriff und Verarbeitung
PSD2 regelt den Zugang. Aber was ein Drittanbieter mit deinen Transaktionsdaten macht, nachdem er sie hat – das ist DSGVO-Territorium. Und wie der Fall der Hannoverschen Volksbank zeigt, ist die Grenze zwischen "nützliche Kategorisierung" und "unzulässige Profilbildung" dünner, als man denkt.
Die Kanzlei Noerr hat das in einer Analyse treffend formuliert: Die Finanzbranche muss ihre Datenschätze vorsichtig heben. Bei breit angelegten Big-Data-Analysen braucht es eine informierte und transparente Einwilligung. Das gilt für Banken genauso wie für FinTechs und Finanz-Apps.
Und hier wird es unbequem: Viele Finanz-Apps werben mit automatischem Kontozugriff als Komfort-Feature. Konto verbinden, fertig, alle Transaktionen werden eingezogen. Aber jede einzelne Transaktion, die so abgerufen wird, liegt danach auf den Servern des App-Anbieters. Jede Überweisung an deinen Therapeuten, jede Zahlung im Online-Casino, jeder Einkauf bei der Apotheke.
Deine Transaktionsdaten sagen mehr über dich als dein Lebenslauf
Das klingt vielleicht dramatisch. Ist es aber nicht. Denk mal kurz an deine Kontoauszüge der letzten drei Monate. Da steht drin: wo du einkaufst, was du streamst, wie viel du für Miete zahlst, ob du Kindergeld bekommst, wie oft du bei der Tankstelle warst, ob du ein Gym-Abo hast (und ob du es kündigst). Das ist ein unglaublich präzises Bild deines Lebens.
Eine Sparkasse oder ING DiBa hat diese Daten sowieso – sie führt ja dein Konto. Aber wenn du einer Drittanbieter-App Zugriff gibst, verdoppelst du die Anzahl der Stellen, an denen diese Daten existieren. Und der Hannover-Fall zeigt: Selbst die erste Stelle, deine Bank, kann damit nicht immer verantwortungsvoll umgehen.
Tipp
Bevor du einer Finanz-App Zugriff auf dein Bankkonto gibst, prüfe drei Dinge: Wo werden deine Transaktionsdaten gespeichert? Werden sie mit Dritten geteilt (z.B. Auskunfteien)? Und kannst du die Löschung deiner Daten konkret anfordern – nicht nur in der Theorie, sondern mit einem echten Button oder einer klaren Anleitung?
Die Alternative, die keiner erwähnt
Es gibt einen Ansatz für Finanztracking, der dieses Problem komplett umgeht: gar keinen Bankzugriff zu nutzen. Klingt altmodisch? Ist es nicht.
Wenn du deine Ausgaben selbst einträgst, statt einer App den Kontozugriff zu erlauben, passiert etwas Grundlegendes: Deine Transaktionsdaten existieren nirgendwo außer bei deiner Bank und bei dir. Kein Drittanbieter hat sie. Kein Server eines FinTechs speichert sie. Es gibt keine Datenbasis, die analysiert, angereichert oder an Auskunfteien weitergegeben werden könnte.
Ja, das erfordert etwas mehr Aufwand. Aber ehrlich: Die meisten Leute, die ihre Finanzen wirklich im Griff haben wollen, schauen sich ihre Ausgaben sowieso regelmäßig an. Den Betrag bei Rewe händisch einzutragen dauert fünf Sekunden. Und moderne KI-gestützte Kategorisierung kann dir trotzdem die Sortierarbeit abnehmen, ohne dass dafür Bankdaten fließen müssen.
Warum manuell nicht gleich mühsam bedeutet
Der Reflex ist verständlich: "Manuell eintragen? Wie 2005?" Aber der Vergleich hinkt. 2005 hättest du eine Excel-Tabelle gebraucht. Heute kann eine App deine Eingabe "42,50 Rewe" automatisch der richtigen Kategorie zuordnen, Trends erkennen und dir zeigen, dass du diesen Monat schon 380 Euro für Lebensmittel ausgegeben hast. Der einzige Unterschied: Die App hat nie dein Kontopasswort gesehen.
Für Verbraucher bedeutet das zweierlei: Erstens, Banken werden vorsichtiger mit Kundendaten umgehen müssen. Gut so. Zweitens, und das ist der weniger offensichtliche Punkt: Der gleiche Maßstab wird früher oder später auch für FinTech-Apps gelten, die auf Kontodaten zugreifen. Die Schonfrist für „innovative Geschäftsmodelle" mit laxem Datenschutz wird kürzer.
Wer seine Finanzen tracken möchte, ohne darauf zu warten, dass Regulierungsbehörden alle Anbieter durchgeprüft haben, hat eine einfache Option: Daten gar nicht erst teilen. Nicht aus Paranoia. Sondern weil es die logische Konsequenz aus dem ist, was Aufsichtsbehörden gerade öffentlich bestrafen.
Was du heute anders machen kannst
Du musst nicht auf die nächste Bußgeld-Schlagzeile warten. Ein paar konkrete Schritte:
Prüfe deine bestehenden App-Verbindungen. Viele Leute haben vor Jahren mal einer App Kontozugriff gegeben und es vergessen. Schau in deinen Banking-Einstellungen bei Sparkasse, ING, Consorsbank oder wo auch immer du bist, welche Drittanbieter Zugriff haben. Entferne, was du nicht mehr nutzt.
Frag dich, was du wirklich brauchst. Für die meisten Menschen geht es beim Finanztracking um eine Frage: Wo geht mein Geld hin? Diese Frage kannst du beantworten, ohne dass eine App jeden einzelnen Cent von deinem Konto abruft. Die 3,50 Euro für den Kaffee, die 850 Euro Miete, die 65 Euro fürs Fitnessstudio – das kannst du selbst eintragen, und du weißt danach genauso viel.
Denk in Datenkopien. Jedes Mal, wenn du einer App Kontozugriff gibst, erstellst du eine Kopie deiner Finanzdaten auf fremden Servern. Jede Kopie ist ein potenzielles Ziel, ein potenzieller Missbrauchsfall, ein potenzielles Bußgeldverfahren. Weniger Kopien bedeuten weniger Risiko. So simpel ist das.
Und wenn 900.000 Euro nicht reichen
Das Bußgeld gegen die Hannoversche Volksbank klingt nach viel Geld. Für eine Bank mit Milliardenbilanz ist es ein Klaps auf die Finger. Aber der Reputationsschaden ist real, und die Signalwirkung an die Branche ebenfalls.
Die eigentliche Lehre aus dem Fall ist nicht, dass Banken böse sind. Die meisten Mitarbeiter dort wollen gute Arbeit machen. Die Lehre ist: Wo Daten existieren, werden sie genutzt. Manchmal legal, manchmal in Grauzonen, manchmal klar darüber hinaus – pardon, klar jenseits dessen, was erlaubt ist. Der sicherste Schutz gegen Missbrauch ist, die Daten gar nicht erst an Stellen zu haben, wo sie missbraucht werden können.
Das ist kein Urteil über einzelne Apps oder Banken. Das ist einfach Mathematik: Null Datenkopien bei Dritten bedeuten null Risiko für Missbrauch durch Dritte. Alles andere ist Vertrauen. Und Vertrauen ist gut. Aber 900.000 Euro Bußgeld zeigen, dass es halt nicht immer reicht.
