Millionenbußgeld für ING Bank wegen Ausweiskopien – ein Weckruf für den Finanzsektor

Wer kennt es nicht? Das Gefühl, dass die von unterschiedlichen Unternehmen verlangte Vorlage des Personalausweises und vor allem das Kopieren dessen irgendwie bedenklich wirkt. Am ehesten besteht dabei noch Vertrauen gegenüber Banken und anderen Finanzsektorunternehmen. Doch auch diese können es übertreiben, wie der Fall der polnischen ING Bank Śląski zeigt.

Dieser hat die polnische Datenschutzbehörde (UODO) am 26.08.2025 eine empfindliche Geldbuße in Höhe von PLN 18.4 Mio. (rd. EUR 4,3 Mio.) für die zu weitreichende Verarbeitung von Personalausweisdaten auferlegt. Dies ist das höchste Bußgeld, das die Behörde je gegen ein Privatunternehmen ausgeteilt hat. Und das, ohne nachweislichen Schaden für die Betroffenen. ING Bank legte zwar Berufung beim Verwaltungsgericht in Warschau ein. Aber die Entscheidung der Aufsicht sollte unabhängig vom Ausgang dieser als eine deutliche Mahnung an den Finanzsektor verstanden werden.

Was war passiert?

Hintergrund & Erkenntnisse der Aufsicht

Zwischen April 2019 und September 2020 scannte ING Bank systematisch Ausweise von Kunden und potenziellen Kunden.

Ein solches Anfertigen und Speichern von Ausweiskopien ist auch in Ordnung, wenn hierfür eine Rechtsgrundlage vorhanden ist, also bspw. in Fällen, in denen eine gesetzliche Vorgabe, z. B. aus dem Geldwäschegesetz zur Ausweisverarbeitung verpflichtet. So auch die Einlassung von ING Bank: Wir scannen zur Einhaltung des polnischen Geldwäschegesetzes, also im Kampf gegen Geldwäsche und Terrorismusfinanzierung, und wir dürfen das.

Die Aufnahme und Aufbewahrung von Ausweiskopien ist allerdings dann nicht in Ordnung, wenn Kundenkontakte, wie z. B. technische Reklamationen bezüglich Bankautomaten, offensichtlich keinerlei Bezug haben zur Erfüllung der im Geldwäschegesetz festgelegten Verpflichtungen für Banken.

Die UODO stellte also im Falle ING Bank fest:

• Es fehlte eine ordnungsgemäße Analyse zur Notwendigkeit (Zweckprüfung), bevor die Praxis eingeführt wurde. Das von ING Bank umgesetzte Gießkannenprinzip (Kundenkontakt = Personalausweiskopie), das aus dem gesetzlichen Recht zur Anfertigung von Personalausweiskopien abgeleitet wurde, ging weit über das Intendierte hinaus. Das Recht begründet gemäß UODO keinen Automatismus, sondern eine individuelle Risikoanalyse, z. B. nach Fallgruppen, ist zwingend erforderlich.

• Die Datenverarbeitung erfolgte also ohne Rechtsgrundlage gemäß DSGVO, was die Verletzung der Grundsätze zu Rechtmäßigkeit, Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. a–c und Art. 6 Abs. 1 DSGVO) darstellt.

Problematisch war dabei auch die hohe Anzahl der Betroffenen der zumindest teils rechtswidrigen Verarbeitung von Personalausweisdaten: 2020 betreute die Bank rund 4,7 Millionen Kunden, darunter 4,24 Millionen Privat- und 486.000 Geschäftskunden.

Lehre für Banken & andere Unternehmen

Diese Entscheidung ist eine klare Warnung: Das routinemäßige Scannen von Ausweisen ist rechtlich unzulässig, auch wenn der Ursprung dieser Praxis im Unternehmen aus einer gesetzlichen Anforderung resultiert. Banken und alle anderen datenschutzrechtlich Verantwortlichen, die sich hierin wiedererkennen, müssen jede Datenerhebung auf echte Erfordernisse und Rechtsgrundlagen stützen.

Gerade bei der Verarbeitung besonders sensibler Personendaten, wie Ausweisen, ist ein verantwortlicher und maßvoller Umgang essentiell. Andernfalls drohen nicht nur hohe finanzielle Sanktionen, sondern auch ein massiver Vertrauensverlust bei den Kunden.

Fazit

Die UODO-Entscheidung gegen ING Bank sendet ein starkes Signal: Datenschutz darf auch im Finanzbereich nicht zugunsten von Bequemlichkeit oder falschem vorauseilendem Gehorsam vernachlässigt werden. Jede Entscheidung zur Identitätsprüfung muss rechtlich fundiert sein und einer individuellen Notwendigkeitseinschätzung standhalten.

Falls Sie Interesse haben, können wir gern darüber sprechen, wie Sie Ihre Prozesse entsprechend gestalten können, DSGVO-konform und kundenorientiert.