Zentrale Stelle vs. Datenschutz: Konfliktpotenzial beherrschen

In der letzten Zeit sind aus der Presse zahlreiche „compliance-relevante“ Informationssicherheits- und Datenschutzvorfälle in Unternehmen bekannt geworden. Diese beruhten überwiegend auf Missbrauch von personenbezogenen Daten und führten zu hohen Vermögensschäden zu Lasten von Großkonzernen wie der Deutsche Bahn und der Telekom. Zu den Aufgaben der Zentralen Stelle gehört neben der Verhinderung von Geldwäsche, Terrorismusfinanzierung und…


In der letzten Zeit sind aus der Presse zahlreiche „compliance-relevante“ Informationssicherheits- und Datenschutzvorfälle in Unternehmen bekannt geworden. Diese beruhten überwiegend auf Missbrauch von personenbezogenen Daten und führten zu hohen Vermögensschäden zu Lasten von Großkonzernen wie der Deutsche Bahn und der Telekom. Zu den Aufgaben der Zentralen Stelle gehört neben der Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen auch die Aufdeckung von Vermögensstraftaten. Daten zu sammeln ist ihnen vom Gesetz aufgetragen. Hier ist ein Konflikt mit dem Datenschutz unausweichbar. Sind damit der Zentralen Stelle im Hinblick auf effektive Maßnahmen Grenzen gesetzt?

Inwieweit setzt das BDSG der Zentralen Stelle hinsichtlich ihrer Aufgaben Grenzen? Kann sie ihren Pflichten aus dem KWG noch nachkommen? Wird sie eingeschränkt oder erschwert? Eine datenschutzrechtliche konforme Aufdeckung von Schadensfällen bei Vorliegen möglicher Fraud-Fälle sowie Informationssammlung und Auswertungen von personenbezogenen Daten ist möglich. Die Lösung liegt in den Gesetzen.

Zu den konkreten Sicherungsmaßnahmen zur Verhinderung strafbarer Handlungen gehören kundenbezogene Sicherungsmaßnahmen, wie etwa das EDV-Monitoring von sämtlichen ungewöhnlichen und auffälligen Geschäftsvorfällen und Transaktionen, auch die mitarbeiterbezogene Sicherungsmaßnahmen. Diese Maßnahmen müssen jedoch nach dem § 25h Abs. 2 KWG nach dem Arbeits- und Datenschutzrecht zulässig sein.

Bei der Ausübung ihrer Pflichten ist der Zentralen Stelle im Rahmen und zur Erfüllung gesetzlicher Aufgaben aus § 25h KWG, konkretisiert in den Auslegungs- und Anwendungshinweisen der Deutschen Kreditwirtschaft,  jederzeit und ungehinderten freien Zugang zu allen Informationen, Daten, Aufzeichnungen und Systemen zu gewähren. Das hat seinen Grund. Die Zentrale Stelle ist die zentrale Ansprechpartnerin bei der Betrugsbekämpfung. Alle strafbaren Handlungen müssen ihr unverzüglich gemeldet werden. Zu diesem Zweck sind in einem Leitfaden für das Schadensfallmanagement mit identifizierten Schnittstellen Zuständigkeiten, Kompetenzen, Kommunikationswege sowie Informations- und Datenbeschaffung verbindlich zu vereinbaren. Darunter zählen auch  Informations-, Melde- und Berichtspflichten sowie mitarbeiter- und / oder personenbezogene Informationen. Somit kommt der Zentralen Stelle eine Koordinierungsfunktion zu, die mit ihrer Querschnittsaufgabe alle Informationen, Hinweise, aber auch in der Sachzuständigkeit ermittelte Straftatbestände von den mit der Aufdeckung befassten sog. (Sub-) Zuständigkeiten bündelt und erforderliche weitere Aufdeckungstätigkeiten bzw. weitere Präventionsmaßnahmen initiiert.

Deshalb müssen von der Zentralen Stelle klare Berichtswege und Regelungen hinsichtlich konkreter (Sub-) Zuständigkeiten geforderten Grundsätzen festgelegt werden.

Vor der Einführung der Regelungen für die Zentrale Stelle lag der Streit um die datenschutzrechtliche Grundlage für derartige Auswertungen in fehlenden bzw. unklaren datenschutzrechlichen Grundlagen. Eine Neufassung entschärfte diesen Zwiespalt.§ 25h KWGdie  istdie gesetzlichen Grundlagen zur Erhebung von Daten im Rahmen der Anwendung der Datenverarbeitungssysteme und somit die datenschutzrechtliche Ermächtigungsgrundlage. Sie ermöglicht verpflichteten Kreditinstituten personenbezogeneDaten zu erheben, zu verarbeiten und zu nutzen. Einzige Bedingung ist, dass dies zur Erfüllung der Pflicht für die Zentrale Stelle erforderlich ist. Zwar dürften aufgrund dieser bestehenden Rechtsgrundlage personenbezogene Daten erhoben und verwendet werden, doch verbietet das BDSG grundsätzlich das Sammeln und Auswerten von Daten sowohl für die Sachverhaltsaufklärung bei Vorliegen eines konkreten Fraud-Falls, als auch für die gesetzlich vorgegebenen Recherchetätigkeiten zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen.  Ein datenschutzrechtliches Konfliktpotential liegt auf der Hand.

Die „juristische Lösung“:

Der § 4 Abs. 1 BDSG stellt nur sicher, dass die Erfüllung der vorgegebenen Pflichten datenschutzrechtlichen Anforderungen nicht zuwiderläuft. Wichtig ist danach, dass die Grundsätze „überflüssige und unnötige Datenspeicherung zu vermeiden“ und „sparsam mit der Möglichkeit des Speicherns umzugehen“. Auch gilt die Löschungspflicht aus dem Datenschutz weiterhin. Wie so oft im Rechtswesen soll eine gerechte Interessensabwägung stattfinden. Personenbezogene Daten im Sinne des BDSG beinhalten nämlich Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person und gehören damit zu den grundrechtsgeschützten Persönlichkeitsrechten. Aufgrund des Eingriffs in dieses Grundrecht ist eine Interessenabwägung vorzunehmen. Mit der BDGS-Regelung sollen mithin die Interessen zwischen dem Allgemeininteresse an der Stabilität und Integrität des Finanzplatzes Deutschland abgewogen werden. Insbesondere muss abgewogen werden, ob die Interessen der einzelnen Kreditinstitute, sich von ungewollten Beteiligungen an Straftaten und den damit verbundenen Risiken und Schäden zu schützen höher wiegen als die Interessen betroffener Geschäftspartnern oder Mitarbeitern

Eine gesetzliche Rechtfertigung zur Datenerhebung und –auswertung ist dann gegeben, wenn die Datenerhebung für für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist oder kein schutzwürdiges Interesse hinsichtlich der Datenerhebung und –auswertung der Betroffenen überwiegt.

Zur präventiven Aufdeckung von (nicht vollendeten) Fraud-Fällen können auch weitere strukturierte Analysen und Auswertungen größerer Datenmengen erforderlich sein. Diese dient der Identifizierung und Ermittlung geeigneter Stichproben möglicher Straftaten.  Hierbei müssen bei der Auswertung der von den Kreditinstituten verarbeiteten und genutzten personenbezogenen Daten von Mitarbeitern und Geschäftspartnern ebenfalls die oben bereits dargelegten datenschutzrechtlichen Anforderungen beachtet werden. Solche Auswertungen sind jedoch lediglich dann zulässig, wenn nicht nur Anhaltspunkte für den konkreten Anfangsverdacht vorliegen, sondern auch der Zweck dieser forensischen Untersuchung definiert und dokumentiert wird. Es sollten darüber hinaus das spezifische Risiko und das Ziel der Datenanalyse definiert werden. Bei jeder Datenanalyse ist der datenschutzrechtliche Grundsatz der Datensparsamkeit und der Verhältnismäßigkeit grundsätzlich zu beachten, d. h., der Umfang der zu analysierenden Daten muss soweit wie möglich eingeschränkt sein. Die Dokumentationspflicht ergibt sich ebenfalls aus dem BDSG, das bei repressiven Analysen die Dokumentation des Grundes (Aufklärung des Verdachtes von möglichen Straftaten oder schweren Pflichtverletzungen) und die Niederschrift der tatsächlichen den Verdacht begründenden Anhaltspunkte verlangt. In jedem Fall sollte dazu der Datenschutzbeauftragte eingebunden sein.

Besteht der Verdacht einer Vermögensstraftat zu Lasten des Instituts, so könnte nach Abwägung der Interessen Bank vs. Kunde bzw. Mitarbeiter als potenzieller Straftäter das schutzwürdige Interesse eher bei der Bank liegen und das Sammeln und Auswerten von personenbezogenen Daten mithin nach dem BDSG erlaubt sein.

Daten erheben unter Wahrung der Verhältnismäßigkeit

Das BDSG erlaubt die Erhebung und Verwendung von personenbezogenen Daten unter Wahrung der Verhältnismäßigkeit zu Ermittlungszwecken bei zielgerichteten Ermittlungen immer dann, wenn ein entsprechender Anfangsverdacht vorliegt und begründet dokumentiert wird. In diese Dokumentation sollte zusätzlich die Interessenabwägung hinsichtlich des schutzwürdigeren Interesses zugunsten des Instituts aufgenommen werden. Daraus sollte ersichtlich werden, dass die Sammlung der personenbezogenen Daten von Geschäftspartnern bzw. Mitarbeitern angemessen, der erforderlichen Sachverhaltsaufklärung und möglichen Überführung dient und verhältnismäßig, d.h., das mildeste Mittel, ist. Aufgrund dieser „Überprüfung der Notwendigkeit der Erfassung und Auswertung wird mithin verhindert, dass ein „unschuldiger“ Kunde bzw. Mitarbeiter aufgrund einer Strafanzeige im Sinne des § 158 StPO „Opfer“ eines unbegründeten Ermittlungsverfahrens wird.

Liegt also ein konkreter Hinweis vor, so prüft die Zentrale Stelle selbst, ob ein Anfangsverdacht vorliegt und beauftragt bei positivem Ergebnis ggf. und je nach institutsinterner Absprache hinsichtlich der Zusammenarbeit bei der Aufdeckung eines Fraud-Falls die Interne Revision zur Aufnahme der Ermittlungstätigkeit (inkl. IT-Recherchemaßnahmen). Zusätzlich könnten für diesen Prozess, d.h. für die Ermittlung des Anfangsverdachtes und für die datenschutzkonformen IT-Recherchemaßnahmen, konkrete Arbeitsanweisungen mit Dokumentationen hilfreich sein, die im Sinne des BDSG ebenfalls Zugriffsrechte und Löschungen der erhobenen Daten regeln.

Zentrale Stelle kann funktionsmäßig arbeiten

Die Zentrale Stelle erfüllt ihre in § 25h Ans.2 KWG gesetzlich vorgeschriebenen Sicherungsmaßnahmen unter Einhaltung der datenschutzrechtlichen Regelungen und kann zudem anlassbezogen und präventiv personenbezogene Daten im Sinne des BDSG erheben und auswerten, um schließlich ihren nach § 25h KWG gesetzlich begründeten Präventionsauftrag zu erfüllen. Damit ist eine gesetzeskonforme und verhältnismäßige Informationssammlung und Auswertung zur Fraud-Prävention und Aufklärung möglicher Straftatsachverhalte unter Einhaltung der BDSG-Regelungen möglich. Abschließend ist die enge Zusammenarbeit mit dem Datenschutzbeauftragten dringend zu empfehlen. Er ist nicht nur kontrollierende und freigebende Instanz von Datenanalysen, sondern kann ggf. hinsichtlich der vom BDSG geforderten Interessenabwägung und Dokumentation helfen.

Die Autorin ist stellv. Geldwäschebeaufragte bei der Hamburger Sparkasse AG. Sie gibt in diesem Artikel ausschließlich ihre persönliche Meinung wieder.