Kreditwirtschaft
Damit verbunden war aber, dass noch einige offene Fragen von seiten der Kreditwirtschaft beantwortet werden mussten. Dies ist auch im zweiten Halbjahr 1999 erfolgt, verbunden allerdings mit der Übersendung einer CD-ROM, auf der die gesamten Spezifikationen des auf schätzungsweise über 1000 Seiten abgelegt sind. So konnte nicht mehr rechtzeitig zu der Herbstsitzung eine abschließende und umfassende datenschutzrechtliche Einschätzung aller damit im Zusammenhang stehenden Fragen vorgenommen werden.
Den Abschluss der Arbeiten habe ich aber noch im Berichtszeitraum erreichen können, es bedarf aber noch einer Abstimmung der Ergebnisse unter den Aufsichtsbehörden, wie auch mit der Kreditwirtschaft. Da dies erst auf unserer nächsten Sitzung im Frühjahr gelingen kann, möchte ich an dieser Stelle den Ergebnissen nicht vorgreifen und verzichte auf eine Darstellung einzelner Vorschläge. Insgesamt lässt sich aber schon die Prognose wagen, dass die Datenschutzaufsichtsbehörden unter den gegebenen Rahmenbedingungen der keine gravierenden Mängel des Gesamtsystems feststellen, wohl aber noch einige Anregungen zur Verbesserung des Datenschutzes vorschlagen werden.
Wenn man das Prinzip der möglichst weitgehenden Verwirklichung eines spurenlosen Bezahlvorganges vor Augen hat, wie es beim Bezahlen mit Bargeld der Fall ist, bleibt allerdings ein Mangel. Das größte Defizit der entsteht aus meiner Sicht nämlich dain, dass aufgrund von Vorgaben aus dem Bundesministerium der Finanzen gem. §§ 257 HGB, 147 AO die gesamten Einzeltransaktionen kartenbezogen über zehn Jahre gespeichert bleiben sollen. Hier muss noch die entscheidende juristische Auseinandersetzung mit Unterstützung des Bundesbeauftragten für den Datenschutz geführt werden.
16.7.5. Geldwäscheprävention der Kreditwirtschaft durch Research-Systeme
Ein Bremer Kreditinstitut hat sich an mich gewandt mit der Frage, in welchem Umfang unter Berücksichtigung datenschutzrechtlicher Aspekte Research-Systeme zur Abwehr von Geldwäsche eingesetzt werden dürfen.
Hintergrund ist die Neufassung der Verlautbarung des Bundesaufsichtsamtes für das Kreditwesen (BAKred) zum Geldwäschegesetz (GWG) vom 30. März 1998. Damit wird die Kreditwirtschaft verpflichtet, neue Wege in der Geldwäschebekämpfung zu beschreiten. Im Mittelpunkt der vom BAKred intendierten intelligenten Geldwäschebekämpfung steht die aktive Nachforschungspflicht (Research) der Kreditinstitute, u. a. durch Schaffung interner Organisationsanweisungen, um auf diejenigen Finanztransaktionen besondere Aufmerksamkeit zu lenken, die bereits in der Vergangenheit in dem jeweiligen Kreditinstitut unter Geldwäschegesichtspunkten auffällig geworden sind, wobei insbesondere die jeweillige Geschäftskundenstruktur des Kreditinstituts Berücksichtigung finden soll. Die Nachforschungspflicht begründet auch das so genannte Monitoring, wonach die Kreditinstitute bei Transaktionen, die nach der Beurteilung des Kreditinstitutes die Schwelle zu einem anzeigepflichtigen Sachverhalt mangels eines hinreichenden Verdachts noch nicht überschritten haben, die Geschäftsbeziehung bis zur Ausräumung der Zweifel ggf. auch längerfristig überwacht werden sollen.
Die Kreditwirtschaft hat daraufhin Konzepte von Research-Systemen zur Geldwäschebekämpfung entwickelt. Ich habe mich über diese Frage intensiv mit anderen Datenschutzaufsichtsbehörden ausgetauscht, wobei festzustellen ist, dass die im Zentralen Kreditausschuss (ZKA) und im Bankenfachverband organisierten Kreditinstitute unterschiedliche Wege beschreiten. Die von beiden Verbänden vorgelegten Konzepte wurden intensiv beraten. Entscheidend dabei scheint mir, dass die vom Geldwäschegesetz insbesondere von § 11 des GWG vorgeschriebenen Rahmenbedingungen nicht verlassen werden. Wenn sich daher zeigen sollte, dass völlig neue Wege zu beschreiten sind, müssen dafür vorher auch die rechtlichen Voraussetzungen geschaffen werden. Wenn daher von den Datenschutzaufsichtsbehörden die Vorschläge der Kreditwirtschaft zum Teil als akzeptable Ansätze gesehen wurden, die den einzelnen Bankinstituten im Rahmen der Eigenverantwortlichkeit genügend Spielraum lassen hinsichtlich der Entscheidung, ob und in welchem Umfang Kundenaktivitäten überprüft werden sollen, so wurde von den Vertretern der Datenschutzaufsichtsbehörden auch darauf hingewiesen, dass eine umfassende und ständige technische Überwachung aller Kundenkonten durch einzelne Kreditinstitute (vergleichbar einer polizeilichen Rasterfahndung) durch das Konzept eines der Verbände nicht ausgeschlossen ist. Die Vertreter der Datenschutzaufsichtsbehörden haben daher deutlich gemacht, dass eine solche permanente, umfassende Überwachung unter Einbeziehung aller Kundenkonten unter datenschutzrechtlichen Gesichtspunkten nicht in Betracht kommen kann. Es kommt daher darauf an, dass die einzelnen Kreditinstitute in Abhängigkeit zu den besonderen Usancen ihrer Kunden einen eingeschränkten Kriterienkatalog entwickeln, der eine Totalüberwachung sowohl in temporärer wie quantitativer Hinsicht ausschließt.
Insbesondere bedarf es aber darüber hinaus durch das jeweilige Kreditinstitut einer persönlichen Interpretation der mit Research-Systemen gefilterten Daten, bevor eine Mitteilung an die Strafverfolgungsbehörden erfolgt.
Da derzeit verschiedene Research-Systeme mit unterschiedlichen Ansätzen erwogen werden, die auf ihre praktische Verwendbarkeit überprüft werden sollen, bin ich zusammen mit anderen Datenschutzaufsichtsbehörden übereingekommen, die weitere Entwicklung zu beobachten und die Problematik zu gegebener Zeit erneut zu erörtern.
16.7.6. Wirtschafts- und Handelsauskunfteien
Im Berichtszeitraum erhielt ich wieder eine Reihe von Eingaben von Petenten, die sich bei mir über die Verarbeitung ihrer Daten durch die in Bremen und Bremerhaven ansässigen Auskunfteien beklagten. Die Eingaben hatten unterschiedliche datenschutzrechtliche Fragestellungen und Probleme zum Gegenstand. So betrafen sie u. a. die nachträgliche Speicherung von Negativmerkmalen in den Datenbestand der Schufa, das Nachmeldeverfahren der Schufa, die Richtigkeit von Datenspeicherungen, das Vorliegen des für Datenübermittlungen durch Auskunfteien erforderlichen berechtigten Interesses, die Einhaltung der Löschungsfristen und den Umfang des Auskunftsanspruchs des Betroffenen. Erneut ging es in den Eingaben somit um Themen, über die ich in früheren Jahresberichten schon berichtet habe.
Besonders erwähnen möchte ich hier die Eingabe eines Bremerhavener Bürgers.
Dieser beklagte sich bei mir über eine aus dem Jahre 1985 stammende Eintragung zu seiner Person bei der Auskunftei Creditreform. Aufgrund der Eintragung hatte sich ein Einzelhandelsunternehmen, das bei Creditreform zu seiner Person angefragt hatte, geweigert, dem Petenten einen Computer auf Rechnung zu verkaufen. Auch beschwerte sich der Bürger darüber, dass er über die Übermittlung seiner Daten nicht benachrichtigt worden war.
Wie mir der Petent weiter mitteilte und mir die Auskunftei dann auch bestätigte, war bei Creditreform über den Betroffenen zuletzt im Jahre 1985 eine Abfrage getätigt worden. Seit der damaligen Auskunftserteilung war bei der Auskunftei der von ihr recherchierte Datenbestand zum größeren Teil mit einem Sperrvermerk versehen gespeichert geblieben. Für die mit der Beauskunftung beschäftigten Auskunfteimitarbeiter standen immer noch die Adressdaten des Betroffenen mit einigen internen Vermerken, u. a. dem Datum der letzten Recherche im Jahre 1985 und einem Hinweis, dass noch ein gesperrter Datensatz besteht, für die Auskunftserteilung bereit.
Die gespeicherten Angaben waren ohne die gesperrten Daten, jedoch mit Sperrhinweis, an den Computerhändler weitergegeben worden, was dort zur Ablehnung des Rechnungskaufs führte. Die übermittelten Angaben waren von dem Händler offenbar als Negativinformation über den Betroffenen verstanden worden.
Gemäß § 35 Abs. 2 Nr. 4 BDSG haben Auskunfteien personenbezogene Daten zu löschen, wenn eine Prüfung am Ende des fünften Kalenderjahres nach der erstmaligen Speicherung der Daten ergibt, dass eine längerwährende Speicherung nicht erforderlich ist und Gründe, die zu einer Sperrung anstelle der Löschung hätten führen können, nicht ersichtlich sind. Diese sehr nachgiebige gesetzliche Regelung auf den vorliegenden Fall angewendet, ergibt folgendes. Zunächst einmal nennt das Gesetz selbst eine Regelfrist von fünf Kalenderjahren. Nach Ablauf dieser gesetzlichen Frist sind in aller Regel zu einer Person gespeicherte Negativdaten zu löschen.
Gründe für eine weitere Speicherung der Negativdaten des Petenten hat auch die Auskunftei nicht gesehen, denn sie hat schließlich die Daten gesperrt. Gesperrte Daten stehen für eine Auskunft an Dritte nicht mehr zur Verfügung. Eine Sperrung von Daten kann erfolgen, wenn besondere Gründe im Innenverhältnis zwischen Kunden und Auskunftei vorliegen, wie z. B. bei einem anhängigen oder zur erwartenden Rechtsstreit oder bei einer Beweisnot des Kunden oder der Auskunftei. In jedem Falle müssen aber besondere Gründe vorliegen, die eine Aufrechterhaltung der Speicherung der gesperrten Daten erforderlich machen. Solche Gründe konnten von der Auskunftei nicht genannt werden. Im vorliegenden Fall hätten die gesperrten Daten, die nunmehr die gesetzliche Löschfrist um rund zehn Jahre überlebt hatten, längst gelöscht werden müssen. Dann hätte der Auskunftei der Fehler gar nicht unterlaufen können, auch das Vorliegen des Merkmals Sperrvermerk mit zu beauskunften. Im Übrigen gehe ich davon aus, dass generell wegen seiner negativen Folgen auch der Sachverhalt, das ein Sperrvermerk vorliegt, nicht an Dritte mitgeteilt werden darf, denn Sinn und Zweck der Sperrung ist, dass die Daten nur noch für den Zweck zur Verfügung stehen sollen, die Grund dafür sind, dass die Daten nicht gelöscht, sondern gesperrt werden. Dies ergibt sich aus Sinn und Zweck der Sperrungsregelungen in den Datenschutzgesetzen im Allgemeinen. Würde ein Sperrvermerk mit beauskunftet, würde die Intention des Gesetzgebers geradezu kontakariert. Ob im geschilderten Fall auch gegen die gemäß § 33 Abs. 1 BDSG vorgesehene Benachrichtigungspflicht verstoßen worden ist, ließ sich nicht mehr feststellen.
Die Obersten Datenschutzaufsichtsbehörden haben sich im Düsseldorfer Kreis unter folgenden Aspekten mit der Datenverarbeitung der Auskunfteien befasst.
Die Creditreform Experian ist ein bundesweit tätiges Gemeinschaftsunternehmen des Verbandes der Vereine Creditreform e. V. und der Experian Deutschland mit Sitz in Neuss, das sich als Ziel gesetzt hat, als Konsumenten-Auskunftei alle national verfügbaren Daten über das Zahlungsverhalten von Konsumenten in den Kreditprüfungsprozess ihrer Kunden einzubringen. Zu den Kunden der Creditreform Experian zählen Unternehmen aus den Bereichen Banken, Finanzdienstleister, Telekommunikationsdienstleister sowie Versand- und Einzelhandel, denen die von ihnen angeforderten Daten auch online zur Verfügung gestellt werden. In das Informationssystem der Auskunftei fließen neben allgemein zugänglichen Informationen auch Daten und Mitteilungen der beiden beteiligten Auskunfteien, der Kunden sowie spezifischer Register wie z. B. das Schuldnerverzeichnis ein.
Auf rechtliche Bedenken bei den Obersten Aufsichtsbehörden für den Datenschutz waren nach der Gründung der Creditreform Experian im Jahre 1998 insbesondere die Art und der Umfang der Daten, die in das Informationssystem der Auskunftei einfließen bzw. dort verarbeitet werden, gestoßen. Das Unternehmen beabsichtigte zunächst, neben Informationen zu Einkommen, Krediten, Zahl der Familienangehörigen, Daten über das Wohnumfeld und den Haustyp (gute und schlechte Adressen im Hinblick auf ein kreditorisches Risiko) auch Daten über Arbeitsverhältnisse und Arbeitgeber zu speichern und weiterzugeben. Zu den Krediten sollten u. a. die Finanzierungsgründe Möbel, Kleidung, Hochzeit oder auch Gesundheit angegeben werden. Vorgesehen war auch, Angaben über die Zahlungsweise, z.B. bar oder mit Kreditkarte, in das Informationssystem aufzunehmen.
Besonders heftig kritisierten die Obersten Aufsichtsbehörden die vorgesehene Einwilligungserklärung für die Übermittlung der Daten an die Auskunftei. Die Übermittlung allgemeiner Vertrags- und Positivdaten eines Betroffenen ist nur auf der Grundlage einer Einwilligungserklärung, die den Anforderungen des § 2 Abs. 4 BDSG entsprechen muss, zulässig. Die zunächst von dem Unternehmen vorgeschlagene Übernahme des Wortlautes der Schufa-Klausel kam den datenschutzrechtlichen Vorstellungen allerdings nicht entgegen, da die beabsichtigte Datenverarbeitung sich hinsichtlich Umfang und angeschlossenem Teilnehmerkreis wesentlich von dem Schufa-Verfahren unterscheidet. Die Kritikpunkte sind auch heute noch nicht abschließend ausgeräumt.
Beim Scoring-Verfahren der Schufa werden mittels mathematisch-statistischer Verfahren aus dem Schufa-Datenbestand insgesamt und unter Beücksichtigung der individuellen Daten sog. Score-Werte ermittelt, die den einzelnen Betroffenen dann zur Beurteilung ihrer Kreditwürdigkeit zugeordnet und an die Kreditgeber übermittelt werden. Kritisiert worden war von den Obersten Datenschutzaufsichtsbehörden u. a. die mangelnde Transparenz des Berechnungsverfahrens sowie der dem Betroffenen zunächst nicht zugestandene Auskunftsanspruch.
Die Schufa hat sich zwischenzeitlich bereit erklärt, bei der beabsichtigten Neufassung der Schufa-Klausel einen Hinweis auf das Scoring-Verfahren aufzunehmen und ein Merkblatt mit Erläuterungen zu dem Score-Verfahren zu erstellen. Das Merkblatt soll in Verantwortung der Kreditwirtschaft erstellt und den Bankkunden auf Wunsch ausgehändigt werden. Der Auskunftsanspruch des Betroffenen soll auch den (zum Zeitpunkt der Auskunftserteilung errechneten) Score-Wert umfassen. Über den Auskunftsanspruch gegenüber den Anschlusskunden der Schufa könne zudem der zum Zeitpunkt der Kreditanfrage errechnete Score-Wert erfragt werden.