Key Take aways
- Stärkere Regulatorik erfordert intensivere Verarbeitung personenbezogener Daten
- Lösungen sind innerhalb der Regelungen zum Datenschutz zu finden und bedürfen stets einer Rechtsgrundlage
- Das Vorliegen eines berechtigten Interesses erfüllt noch nicht die Anforderungen des Artikel 6 Absatz 1 lit. f DSGVO: Die Abwägung der Interessen ist ein wichtiger Schritt. Eine „Verarbeitung im berechtigten Interesse“ gibt es streng genommen nicht.
Dieser Beitrag knüpft an unseren letzten Blog- Beitrag „Datenschutz im Online-Handel – Bonitätsprüfung“ an und ist Bestandteil der Reihe „Datenschutz im Online-Handel und Zahlungsverkehr“. Zum einen sollen einige der angesprochenen Themen etwas weiter vertieft werden, zum anderen soll deren Relevanz für Finanzinstitute in den Fokus gerückt werden. Letzteres erscheint angezeigt, da der bereits erschienene Beitrag seinen Fokus auf den Online-Handel legte, sich bei Finanzinstituten jedoch ein paar Besonderheiten daraus ergeben, da sie Bestandteil der „kritischen Infrastruktur“ sind.
Dürfen Banken eigentlich mehr als andere?
Auch für Banken und Finanzinstitute gelten die Regelungen der DSGVO und anderer Datenschutzgesetze, allerdings gibt es ein paar rechtliche Besonderheiten. Zum einen zieht das Finanzwesen kriminelle Aktivitäten, unmittelbar im Sinne der Finanzdelikte, nahezu magisch an, zum anderen ist das Finanzwesen auch mittelbar von kriminellen Spuren durchzogen, da dort die Früchte aus allgemeineren kriminellen Aktivitäten „reingewaschen“ werden wollen. Demzufolge lassen sich strafrechtliche Ermittlungsansätze häufig in ungewöhnlichen Geldbewegungen feststellen. Aus diesen Gründen gibt es eine Vielzahl von Gesetzen, die kriminelle Machenschaften verhindern oder zumindest erschweren sollen und zudem deren Ermittlung und Strafverfolgung ermöglichen möchten. Ein weiterer Grund für den höheren Grad an Regulierung liegt darin, dass das Finanzsystem für die Gesamtstabilität der Volks- und Weltwirtschaft von entscheidender Bedeutung ist. Insoweit ist eine „Durchleuchtung“ des Finanzsystems mittels starker Regulatorik ein politisch gewünschtes Ziel, welches ein hohes Maß an (auch) datenschutzrelevanten Datenverarbeitungsvorgängen mit sich bringt. Da im Datenschutzrecht das Verbotsprinzip mit Ausnahmevorbehalt gilt, ist die Aussage, dass Banken mehr dürfen als andere daher auch tatsächlich korrekt. Legen wir die Datenschutz-Brille einmal beiseite, so dürfte die Aussage „Banken müssen einiges mehr beachten als Unternehmen anderer Branchen“ wohl zutreffender sein.
Keine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage
Dieser Grundsatz gilt auch für Finanzinstitute. Die (soeben) aufgezeigten Besonderheiten führen dazu, dass Banken einige Verarbeitungen durchführen dürfen (aber auch müssen), die „andere“ nicht dürfen. Nach der sogenannten KRITIS-Verordnung sind zwar nicht alle Finanzinstitute als kritische Infrastruktur einzustufen, allerdings führt dies aus Sicht des Datenschutzes in der Praxis lediglich dazu, dass die einen eine „zwingende“ Erforderlichkeit zur Implementierung gewisser Maßnahmen oder zur Durchführung gewisser Verarbeitungstätigkeiten anzunehmen haben, während die anderen (nicht der kritischen Infrastruktur zuzuordnenden) Finanzinstitute, dieselben Maßnahmen und Verfahren im Rahmen einer Angemessenheitsbewertung dann gegebenenfalls nur in abgemilderter Form einsetzen. Hieraus ergibt sich stets die Herausforderung, die einschlägige Rechtsgrundlage für die Verarbeitung korrekt zu identifizieren. Zunächst liegt es nahe, aufgrund der soeben aufgezeigten Pflicht besondere Vorkehrungen zu treffen, dies auch als rechtliche Pflicht im Sinne von Art. 6 Abs. 1 lit. c DSGVO zu verstehen und als Rechtsgrundlage zu deklarieren. Für einzelne Verarbeitungen trifft dies zweifelsohne zu. Dennoch muss jede Verarbeitung im Detail betrachtet werden: Bedenken wir einmal, dass gemäß Artikel 32 DSGVO jedes Unternehmen rechtlich dazu verpflichtet ist, technische und organisatorische Schutzmaßnahmen zu implementieren, würde man wohl kaum auf die Idee kommen, jedes hieraus abgeleitete Logging oder eine Videoüberwachungsmaßnahme auf Artikel 6 Abs. 1 lit. c DSGVO zu stützen. Die Kunst liegt nun darin, zu erkennen, ob eine rechtliche Pflicht so konkret gefasst ist, dass lit. c anzunehmen ist, oder ob ein so weiter Auswahl- und Ermessensspielraum besteht, der nur auf eine Zulässigkeit im Rahmen einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO schließen lässt; die Grauzone dazwischen bietet reichlich Raum für Rechts- und Auslegungsstreitigkeiten und daher auch Rechtsrisiken.
So ist bspw. in § 8 Abs. 2 GwG (in Verbindung mit § 11 Abs. 4 GwG i. V. m. § 12 Abs. 1 Nr.1 GwG) festgelegt, dass beispielsweise bei einer Kontoeröffnung, eine Kopie des Personalausweises gespeichert werden soll. Da dies (mittlerweile) expressis verbis als Pflicht im Gesetz steht, ist diese Speicherung auf eine rechtliche Pflicht gemäß Art. 6 Abs. 1 lit. c DSGVO zurückzuführen. Anders bei der Verpflichtung, Maßnahmen zur Erkennung und Verhinderung von Geldwäscheaktivitäten zu implementieren. Dies stellt zwar für Finanzinstitute eine gesetzliche Pflicht dar, allerdings legen diese gesetzlichen Vorgaben, wie bspw. § 10 Abs. 2 GwG, in aller Regel nicht konkret fest, welche personenbezogenen Daten und in welcher Art und Weise diese verarbeitet werden müssen. Die namensscharfe Analyse des Zahlungsverkehrs auf Auffälligkeiten ist im Geldwäschekontext zwar eine zwingende Notwendigkeit um die gesetzlichen Aufgaben erfüllen zu können, welche konkreten (!) Verarbeitungsmodalitäten aber ergriffen werden, legt das einzelne (jeweilige) Finanzinstitut letztendlich selbst fest (bspw. Schlagworte, Schwellwerte, Analysefrequenzen, Kriterien für engmaschige Beobachtungen, Kriterien für manuelle Überprüfungen, Hinzuziehung weiterer Kriterien etc.). Dieser Ausgestaltungsspielraum wird zwar in aller Regel aufgrund gewonnener Erkenntnisse, best practises, weitestgehend von Bank-zu-Bank in identischer Weise ausgefüllt, doch ändert dies in aller Regel nichts daran, dass eine hinreichend konkretisierte rechtliche Pflicht im Sinne von Art. 6 Abs. 1 lit. c DSGVO nicht angenommen werden kann.
Diesen Ermessensspielraum bringt § 10 Abs. 2 Satz 4 GwG hervorragend auf den Punkt: „Verpflichtete müssen gegenüber den Aufsichtsbehörden auf deren Verlangen darlegen, dass der Umfang der von ihnen getroffenen Maßnahmen im Hinblick auf die Risiken der Geldwäsche und der Terrorismusfinanzierung angemessen ist.“ Diese Regelung bezieht sich auf die Rechenschaftspflicht gegenüber den Finanzaufsichtsbehörden, allerdings steht der Verpflichtete als Verantwortlicher im Sinne der DSGVO einer vergleichbaren Rechenschaftspflicht aus konträrem Blickwinkel nach Art. 5 Abs. 2 DSGVO der datenschutzbehördlichen Aufsicht gegenüber. Da die datenschutzrechtliche Rechenschaftspflicht auch ohne behördliche Aufforderung in dokumentierter Weise vorliegen muss, lässt sich hier zumindest die Synergie erkennen, eine einheitliche Angemessenheitsbeurteilung auch für die Finanzbehörden griffbereit zu haben. Denn wenn viele solcher Verarbeitungstätigkeiten im Ergebnis „nur“ auf eine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden können, so bedeutet dies auch, eine ausführlich und sauber dokumentierte Interessenabwägung durchgeführt zu haben. Bei dieser Art von Rechtsgrundlage ist auch zu erwähnen, dass hiergegen ein Widerspruchsrecht seitens betroffener Personen bestehen kann. So legt Art. 21 Abs. 1 DSGVO fest, dass eine betroffene Person gegen eine Verarbeitung nach Art. 6 Abs. 1 lit. f DSGVO Widerspruch einlegen kann, sofern sich aus ihrer besonderen Situation heraus Gründe gegen diese Verarbeitung ergeben. Da die berechtigten Interessen der hier betrachteten Verarbeitungstätigkeiten als sehr hoch einzustufen sind, dürfte der Betroffenenvortrag schon die Schilderung einer sehr besonderen Situation erfordern, um die Legitimität der Verarbeitung (im Einzelfall) zu erschüttern.
Geldwäsche, Scoring, Bonität
Nachdem wir nun verstanden haben, dass Finanzinstitute nur aus finanzrechtlichen Pflichten heraus, datenschutzrechtlich „mehr dürfen“, hierbei aber stets dieselben datenschutzrechtlichen Grundsätze und Regelungen beachten müssen (insb. jede ihrer Maßnahme sauber abgewogen einer Rechtsgrundlage zuordnen müssen), wenden wir uns einmal dem Themenblock „Scoring, Profiling und Auskunfteien“ etwas genauer zu.
Ein Finanzinstitut möchte, wie jedes andere Wirtschaftsunternehmen auch, wirtschaftlich möglichst profitabel dastehen. Eine weitere Besonderheit ist hierbei jedoch, dass Finanzinstitute verpflichtet sind, eine finanzielle Schieflage zu vermeiden, insbesondere das sogenannte Adressausfallrisiko möglichst gering zu halten und ständig eng zu bewerten. Unter dem Adressausfallrisiko ist das Risiko zu verstehen, dass ein Kreditnehmer seinen Rückzahlungspflichten gegebenenfalls nicht in vereinbarter Weise nachkommen kann. Einzelne Forderungsausfälle sind zwar unvermeidbar, würden sich diese jedoch zu massenhaften Ausfällen summieren, bestünde ein tiefgreifendes Risiko für das Institut und ferner, je nach Institutsgröße, für das gesamte Finanzsystem. Aus diesem Grund muss jedes Finanzinstitut, jede Bank, dieses Risiko intern einschätzen können. Dies ist nur möglich, indem jeder Einzelfall entsprechend betrachtet und in die Gesamteinschätzung einbezogen wird. So lässt sich die umfassende, oft als unangenehm empfundene „Durchleuchtung“ der finanziellen Verhältnisse von Einzelpersonen, im Falle der Kreditvergabe, nicht vermeiden. Ob ein Finanzinstitut hierbei ausschließlich auf individuelle Angaben abstellt oder aber zusätzliche Informationen von Auskunfteien heranzieht, ist eine institutspolitische Entscheidung. Das Zusammenfügen verschiedener Informationen, um hieraus einen individuellen Wahrscheinlichkeitswert bezüglich der Einhaltung- oder Nichteinhaltung einer finanziellen Verpflichtung zu bilden, wird als Scoring bezeichnet und stellt einen Unterfall des Profilings im Sinne von Art. 4 Nr. 4 DSGVO dar. Um das Scoring oder auch das Konzept der Auskunfteien datenschutzrechtlich besser verstehen zu können, ist der Blick ins Bundesdatenschutzgesetz (BDSG), dort insbesondere in die Paragrafen 30, 31 und 37, unumgänglich.
Hervorzuheben ist in diesem Kontext das sogenannte „Gegenseitigkeitsprinzip“ zwischen Finanzinstitut und Auskunftei. Ohne eine aktuelle und verlässlich gepflegte Datenbasis ist auch keine brauchbare Auskunft möglich. Doch woher bekommt eine Auskunftei all diese Informationen? Eine Bank ist an dieser Stelle eben nicht nur „Nutzer“ einer Auskunftei, sondern deren Kooperationspartner mit entsprechenden Zulieferpflichten. So ist in diesen Kooperationsverträgen meist geregelt, dass der Vertragspartner bonitätsrelevante Vertragsabschlüsse oder Zahlungsauffälligkeiten an die Auskunftei melden muss. Ist beispielsweise ein Mobilfunkanbieter Schufa-Kooperationspartner, meldet dieser der Schufa, sofern ein Dauerschuldverhältnis wegen uneinbringlicher Forderungsrückstände (Nichtzahlung) beendet wurde – hieraus kann in Folge darüber hinaus eine „Nachmeldung“ an die Bank des säumigen Schuldners resultieren. Die Voraussetzungen für die Einbeziehung von Informationen über Forderungen bei der Berechnung von Score-Werten, ergeben sich aus § 31 Abs. 2 BDSG. Dieser greift Regelungen des Zivilprozessrechtes und des zivilen Schuldrechts auf, stellt aber zugleich über einen Verweis in Absatz 1 auch klar, dass die Nichteinhaltung der Vorschriften des Datenschutzrechtes, zur Unverwertbarkeit dieser Daten für diese Zwecke führt. Die Berücksichtigung des Zivilrechtes soll sicherstellen, dass ein Gläubiger zunächst die Mittel des Zivilrechtes ausgeschöpft haben muss, bevor es zu einer belastenden Eintragung des Schuldners in einer Auskunftei kommen kann. Der Vollständigkeit halber sei erwähnt, dass diese Übermittlungen zwischen Auskunftei und Kooperationspartner nicht auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann, da die zu rechtfertigende Verarbeitung einen unmittelbaren Vertrag mit der betroffenen Person voraussetzt, sodass der Kooperationsvertrag dies nicht zu rechtfertigen vermag; wie bereits oben aufgezeigt besteht auch keine rechtliche Pflicht hierzu, sodass auch hier der Sprung in die Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO unumgänglich ist.
Zum Autor
Otfried Büttner ist Master of Laws (LL.M.) im Medienrecht und hat Rechtswissenschaften in Bonn und Trier studiert. In den Jahren 2014 bis 2018 war er als Berater für Datenschutz bei der migosens GmbH, unter anderem als Datenschutzbeauftragter eines bankkonzerninternen IT-Dienstleisters, tätig. Nachdem Otfried Büttner für drei Jahre die Aufgaben des Datenschutzbeauftragten einer Regionalbank übernahm, ist er seit 2022 wieder als Berater bei der migosens GmbH aktiv. Von 2017 bis 2021 leitete er den ERFA-Kreis Essen der Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.), zugleich Gesprächsforum „Datenschutz“ der IHK zu Essen.
