Jetzt Mitglied werden

Zentrale Stelle vs. Datenschutz: Konfliktpotenzial beherrschen

Von Christina Schöning - 05. September 2014

In der letzten Zeit sind aus der Presse zahlreiche „compliance-relevante“ Informationssicherheits- und Datenschutzvorfälle in Unternehmen bekannt geworden. Diese beruhten überwiegend auf Missbrauch von personenbezogenen Daten und führten zu hohen Vermögensschäden zu Lasten von Großkonzernen wie der Deutsche Bahn und der Telekom. Zu den Aufgaben der Zentralen Stelle gehört neben der Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen auch die Aufdeckung von Vermögensstraftaten. Daten zu sammeln ist ihnen vom Gesetz aufgetragen. Hier ist ein Konflikt mit dem Datenschutz unausweichbar. Sind damit der Zentralen Stelle im Hinblick auf effektive Maßnahmen Grenzen gesetzt?

Inwieweit setzt das BDSG der Zentralen Stelle hinsichtlich ihrer Aufgaben Grenzen? Kann sie ihren Pflichten aus dem KWG noch nachkommen? Wird sie eingeschränkt oder erschwert? Eine datenschutzrechtliche konforme Aufdeckung von Schadensfällen bei Vorliegen möglicher Fraud-Fälle sowie Informationssammlung und Auswertungen von personenbezogenen Daten ist möglich. Die Lösung liegt in den Gesetzen.

Zu den konkreten Sicherungsmaßnahmen zur Verhinderung strafbarer Handlungen gehören kundenbezogene Sicherungsmaßnahmen, wie etwa das EDV-Monitoring von sämtlichen ungewöhnlichen und auffälligen Geschäftsvorfällen und Transaktionen, auch die mitarbeiterbezogene Sicherungsmaßnahmen. Diese Maßnahmen müssen jedoch nach dem § 25h Abs. 2 KWG nach dem Arbeits- und Datenschutzrecht zulässig sein.

Bei der Ausübung ihrer Pflichten ist der Zentralen Stelle im Rahmen und zur Erfüllung gesetzlicher Aufgaben aus § 25h KWG, konkretisiert in den Auslegungs- und Anwendungshinweisen der Deutschen Kreditwirtschaft,  jederzeit und ungehinderten freien Zugang zu allen Informationen, Daten, Aufzeichnungen und Systemen zu gewähren. Das hat seinen Grund. Die Zentrale Stelle ist die zentrale Ansprechpartnerin bei der Betrugsbekämpfung. Alle strafbaren Handlungen müssen ihr unverzüglich gemeldet werden. Zu diesem Zweck sind in einem Leitfaden für das Schadensfallmanagement mit identifizierten Schnittstellen Zuständigkeiten, Kompetenzen, Kommunikationswege sowie Informations- und Datenbeschaffung verbindlich zu vereinbaren. Darunter zählen auch  Informations-, Melde- und Berichtspflichten sowie mitarbeiter- und / oder personenbezogene Informationen. Somit kommt der Zentralen Stelle eine Koordinierungsfunktion zu, die mit ihrer Querschnittsaufgabe alle Informationen, Hinweise, aber auch in der Sachzuständigkeit ermittelte Straftatbestände von den mit der Aufdeckung befassten sog. (Sub-) Zuständigkeiten bündelt und erforderliche weitere Aufdeckungstätigkeiten bzw. weitere Präventionsmaßnahmen initiiert.

Deshalb müssen von der Zentralen Stelle klare Berichtswege und Regelungen hinsichtlich konkreter (Sub-) Zuständigkeiten geforderten Grundsätzen festgelegt werden.

Vor der Einführung der Regelungen für die Zentrale Stelle lag der Streit um die datenschutzrechtliche Grundlage für derartige Auswertungen in fehlenden bzw. unklaren datenschutzrechlichen Grundlagen. Eine Neufassung entschärfte diesen Zwiespalt.§ 25h KWGdie  istdie gesetzlichen Grundlagen zur Erhebung von Daten im Rahmen der Anwendung der Datenverarbeitungssysteme und somit die datenschutzrechtliche Ermächtigungsgrundlage. Sie ermöglicht verpflichteten Kreditinstituten personenbezogeneDaten zu erheben, zu verarbeiten und zu nutzen. Einzige Bedingung ist, dass dies zur Erfüllung der Pflicht für die Zentrale Stelle erforderlich ist. Zwar dürften aufgrund dieser bestehenden Rechtsgrundlage personenbezogene Daten erhoben und verwendet werden, doch verbietet das BDSG grundsätzlich das Sammeln und Auswerten von Daten sowohl für die Sachverhaltsaufklärung bei Vorliegen eines konkreten Fraud-Falls, als auch für die gesetzlich vorgegebenen Recherchetätigkeiten zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen.  Ein datenschutzrechtliches Konfliktpotential liegt auf der Hand.

Die „juristische Lösung“:

Der § 4 Abs. 1 BDSG stellt nur sicher, dass die Erfüllung der vorgegebenen Pflichten datenschutzrechtlichen Anforderungen nicht zuwiderläuft. Wichtig ist danach, dass die Grundsätze „überflüssige und unnötige Datenspeicherung zu vermeiden“ und „sparsam mit der Möglichkeit des Speicherns umzugehen“. Auch gilt die Löschungspflicht aus dem Datenschutz weiterhin. Wie so oft im Rechtswesen soll eine gerechte Interessensabwägung stattfinden. Personenbezogene Daten im Sinne des BDSG beinhalten nämlich Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person und gehören damit zu den grundrechtsgeschützten Persönlichkeitsrechten. Aufgrund des Eingriffs in dieses Grundrecht ist eine Interessenabwägung vorzunehmen. Mit der BDGS-Regelung sollen mithin die Interessen zwischen dem Allgemeininteresse an der Stabilität und Integrität des Finanzplatzes Deutschland abgewogen werden. Insbesondere muss abgewogen werden, ob die Interessen der einzelnen Kreditinstitute, sich von ungewollten Beteiligungen an Straftaten und den damit verbundenen Risiken und Schäden zu schützen höher wiegen als die Interessen betroffener Geschäftspartnern oder Mitarbeitern

Eine gesetzliche Rechtfertigung zur Datenerhebung und –auswertung ist dann gegeben, wenn die Datenerhebung für für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist oder kein schutzwürdiges Interesse hinsichtlich der Datenerhebung und –auswertung der Betroffenen überwiegt.

Zur präventiven Aufdeckung von (nicht vollendeten) Fraud-Fällen können auch weitere strukturierte Analysen und Auswertungen größerer Datenmengen erforderlich sein. Diese dient der Identifizierung und Ermittlung geeigneter Stichproben möglicher Straftaten.  Hierbei müssen bei der Auswertung der von den Kreditinstituten verarbeiteten und genutzten personenbezogenen Daten von Mitarbeitern und Geschäftspartnern ebenfalls die oben bereits dargelegten datenschutzrechtlichen Anforderungen beachtet werden. Solche Auswertungen sind jedoch lediglich dann zulässig, wenn nicht nur Anhaltspunkte für den konkreten Anfangsverdacht vorliegen, sondern auch der Zweck dieser forensischen Untersuchung definiert und dokumentiert wird. Es sollten darüber hinaus das spezifische Risiko und das Ziel der Datenanalyse definiert werden. Bei jeder Datenanalyse ist der datenschutzrechtliche Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit grundsätzlich zu beachten, d. h., der Umfang der zu analysierenden Daten muss soweit wie möglich eingeschränkt sein. Die Dokumentationspflicht ergibt sich ebenfalls aus dem BDSG, das bei repressiven Analysen die Dokumentation des Grundes (Aufklärung des Verdachtes von möglichen Straftaten oder schweren Pflichtverletzungen) und die Niederschrift der tatsächlichen den Verdacht begründenden Anhaltspunkte verlangt. In jedem Fall sollte dazu der Datenschutzbeauftragte eingebunden sein.

Besteht der Verdacht einer Vermögensstraftat zu Lasten des Instituts, so könnte nach Abwägung der Interessen Bank vs. Kunde bzw. Mitarbeiter als potenzieller Straftäter das schutzwürdige Interesse eher bei der Bank liegen und das Sammeln und Auswerten von personenbezogenen Daten mithin nach dem BDSG erlaubt sein.

Daten erheben unter Wahrung der Verhältnismäßigkeit

Das BDSG erlaubt die Erhebung und Verwendung von personenbezogenen Daten unter Wahrung der Verhältnismäßigkeit zu Ermittlungszwecken bei zielgerichteten Ermittlungen immer dann, wenn ein entsprechender Anfangsverdacht vorliegt und begründet dokumentiert wird. In diese Dokumentation sollte zusätzlich die Interessenabwägung hinsichtlich des schutzwürdigeren Interesses zugunsten des Instituts aufgenommen werden. Daraus sollte ersichtlich werden, dass die Sammlung der personenbezogenen Daten von Geschäftspartnern bzw. Mitarbeitern angemessen, der erforderlichen Sachverhaltsaufklärung und möglichen Überführung dient und verhältnismäßig, d.h., das mildeste Mittel, ist. Aufgrund dieser „Überprüfung der Notwendigkeit der Erfassung und Auswertung wird mithin verhindert, dass ein „unschuldiger“ Kunde bzw. Mitarbeiter aufgrund einer Strafanzeige im Sinne des § 158 StPO „Opfer“ eines unbegründeten Ermittlungsverfahrens wird.

Liegt also ein konkreter Hinweis vor, so prüft die Zentrale Stelle selbst, ob ein Anfangsverdacht vorliegt und beauftragt bei positivem Ergebnis ggf. und je nach institutsinterner Absprache hinsichtlich der Zusammenarbeit bei der Aufdeckung eines Fraud-Falls die Interne Revision zur Aufnahme der Ermittlungstätigkeit (inkl. IT-Recherchemaßnahmen). Zusätzlich könnten für diesen Prozess, d.h. für die Ermittlung des Anfangsverdachtes und für die datenschutzkonformen IT-Recherchemaßnahmen, konkrete Arbeitsanweisungen mit Dokumentationen hilfreich sein, die im Sinne des BDSG ebenfalls Zugriffsrechte und Löschungen der erhobenen Daten regeln.

Zentrale Stelle kann funktionsmäßig arbeiten

Die Zentrale Stelle erfüllt ihre in § 25h Ans.2 KWG gesetzlich vorgeschriebenen Sicherungsmaßnahmen unter Einhaltung der datenschutzrechtlichen Regelungen und kann zudem anlassbezogen und präventiv personenbezogene Daten im Sinne des BDSG erheben und auswerten, um schließlich ihren nach § 25h KWG gesetzlich begründeten Präventionsauftrag zu erfüllen. Damit ist eine gesetzeskonforme und verhältnismäßige Informationssammlung und Auswertung zur Fraud-Prävention und Aufklärung möglicher Straftatsachverhalte unter Einhaltung der BDSG-Regelungen möglich. Abschließend ist die enge Zusammenarbeit mit dem Datenschutzbeauftragten dringend zu empfehlen. Er ist nicht nur kontrollierende und freigebende Instanz von Datenanalysen, sondern kann ggf. hinsichtlich der vom BDSG geforderten Interessenabwägung und Dokumentation helfen.

Die Autorin ist stellv. Geldwäschebeaufragte bei der Hamburger Sparkasse AG. Sie gibt in diesem Artikel ausschließlich ihre persönliche Meinung wieder.

Lesen Sie auch

Ego-Probleme: Wer hat den größten Turm?

Von überall hört man es läuten: Filialen werden[…]

Christian Grosshardt

Fusionsdruck Rot

400 Sparkassen leisten sich knapp 170 weitere Unternehmen,[…]

Thorsten Hahn

Seitenwechsel – Jain zu Fintech

Anshu Jain kehrt den Banken den Rücken und[…]

Philipp Scherber

Targo-Chef vor die Tür gesetzt

Franz Josef Nick muss am Ende des Jahres[…]

Christian Grosshardt

Banken werden EU-Marionetten

Deutliche Einschnitte in die Kundenwahl müssen Banken ab[…]

Christian Grosshardt

Telekom-Konten gehackt!

In der vergangenen Woche soll es zu mehreren[…]

Christian Grosshardt

Probleme bei Paydirekt

Probleme über Probleme. Erst erklärten viele Händler, sie[…]

Julian Achleitner

Herber Rückschlag für Paydirekt

Da haben sich deutsche Banken endlich für einen[…]

Julian Achleitner

Niedrigzins trifft Bausparkassen

Die Niedrigzinspolitik der Europäischen Zentralbank (EZB) trifft nun[…]

Julian Achleitner

Credit Suisse steht vor Einigung

Credit Suisse kann schon einmal das Scheckbuch zücken.[…]

Julian Achleitner

Cryan läutet neues Zeitalter ein

Nun ist John Cryan schon seit fünf Wochen[…]

Julian Achleitner

Welche Vorteile bietet mir der BANKINGCLUB?

BANKINGCLUB ist einer der größten Wirtschaftsclubs für Mitarbeiter[…]

Thorsten Hahn

Nach Jenkins die Sinnflut

Knapp drei Jahre nach seinem Amtsantritt musste der[…]

Christian Grosshardt

Bankgeheimnis von EuGH gelockert

Erst Euphorie, dann die Ernüchterung: Man ersteigert zu[…]

Christian Grosshardt

Volksbank will Filialen schließen

Haben die Genossenschaftler der Volks- und Raiffeisenbanken zu[…]

Julian Achleitner

Apple Pay nun auch in Europa

In den USA können Verbraucher bereits seit Oktober[…]

Julian Achleitner

Bezahlen mit Selfie

Das ist mal innovativ. Vergessen Sie Bezahlen mit[…]

Julian Achleitner

Persona non grata – Varoufakis tritt zurück

Auf seinem Twitter-Account ist zu lesen: „Minister no[…]

Christian Grosshardt

Chapeau, Herr Neske!

Was für eine Schlagzeile heute Morgen in der[…]

Thorsten Hahn

Vorstand beschließt: Postbank steht zum Verkauf

Nach Tagen des Spekulierens ist zumindest eine Vorentscheidung[…]

Christian Grosshardt

Milliarden durch EZB verloren

Die Niedrigzins-Politik der EZB ist vielen ein Dorn[…]

Christian Grosshardt

Kritik an Deutschland

Wir stehen mal wieder in der Schusslinie! Die[…]

Christian Grosshardt

400 Kunden in die Wüste geschickt

Wer nicht hören will, muss fühlen. Wie SPIEGEL[…]

Christian Grosshardt

Amtlich: Der Euro wird abgeschafft!

Jetzt ist es spruchreif: Nachdem sich die führenden[…]

Christian Grosshardt

Der Dollar ist zurück

Wer hätte das gedacht? Dollar und Euro bewegen[…]

Christian Grosshardt

Gemeinsames Online-Bezahlsystem auf dem Weg

In Zeiten von Fintechs, die extern teilweise Online-Bezahldienste[…]

Christian Grosshardt

Lufthansa mit enormen Verlusten an der Börse

Der gestrige Absturz eines Airbus A320 hat viele[…]

Christian Grosshardt

Radikale Maßnahme bei der Deutschen Bank

Seit einiger Zeit berät die Deutsche Bank in[…]

Christian Grosshardt

Tag 1 nach Blockupy

Unfassbare Bilder boten sich uns gestern aus der[…]

Christian Grosshardt

Blockupy – Ausschreitungen mit Angriffen auf Polizei

Man rechnete mit dem Schlimmsten, aber die Befürchtungen[…]

Christian Grosshardt

Geldwäsche treibt Bank in die Pleite

Banco Madrid ist insolvent. US-Behörden werfender Bank vor[…]

Thorsten Hahn

Den Kunden dort abholen, wo er ist – im Netz

Über 28 Millionen Deutsche erledigen ihre Bankgeschäfte online:[…]

Juliane Hartmann

Turnschuhe sind zum Turnen da

Ein altes Sprichwort besagt: „Kleider machen Leute.“ Dieses[…]

Julian Achleitner

DAX 30 CFD-Trading

Experten raten in diesen harten Zeiten des Niedrigzinses[…]

Julian Achleitner

Finanzprodukte – einfach unterhaltsam

Wie Erklärfilme komplexe Finanzprodukte begreifbar machen und zu[…]

Julian Achleitner

Austerität. Politik der Sparsamkeit: Die kurze Geschichte eines großen Fehlers

Autor: Florian Schui Euro: 19,99 256 Seiten, broschiert[…]

Julian Achleitner

Die BIZ als Wahrsager?

Im Oktober mussten die Aktienkurse einen enormen Einbruch[…]

Christian Grosshardt

Mario "Two-Face" Draghis neuer Job

Auf die Europäische Zentralbank und Mario Draghi wartet[…]

Christian Grosshardt

Bevormundung erwachsener Bürger

In einer freiheitlichen Grundordnung müsste die Eigenverantwortlichkeit des[…]

Julian Achleitner

Maßnahmen gegen Steuerflucht

In drei Jahren wird mit offenen Karten gespielt:[…]

Julian Achleitner

Fintech mal anders

Die Zukunft des Zahlens hat schon längst begonnen.[…]

Julian Achleitner

Ein Tag, der die Welt veränderte

Vor 85 Jahren sorgte der berüchtigte „Black Thursday“[…]

Julian Achleitner

Algorithmen oder das vermeintliche Ende des Beraters

Kann die Maschine Menschen ersetzen? Diese Frage wird[…]

Julian Achleitner

Regionale Werbung mit internationalem Flair

Mehrere Tausend Werbebotschaften versuchen täglich, die Aufmerksamkeit der[…]

Christian Dorn

Auf Wanderschaft

Schon praktisch diese Rucksäcke. Man hat die Hände[…]

Thorsten Hahn

MaRisk-konformer Einsatz des iPads in der Bank

Der Siegeszug des iPad ist nicht aufzuahlten, auch[…]

Thorsten Jekel

„Der Fokus liegt auf der Online-Präsenz“

Im Interview mit den BANKINGNEWS spricht Kai Fürderer,[…]

Thorsten Hahn

Wer die Wahl hat, hat die Qual

Über 200 Vergleichsportale gibt es heute bereits. Das[…]

Thorsten Hahn

Das Mitarbeitergespräch: Führung oder Flop?

Es ist Herbst. Die Tage werden kürzer. Zeit[…]

Niels Pfläging

„Du bist, was Du teilst!“

You are what you share! „Du bist, was[…]

Prof. Martina Dalla Vecchia

Outsourcing von Kreditanalysen

Zeiten ändern sich. Dieser berühmte Satz kann problemlos[…]

Markus Diehl