e
– 108 –
sei, den erforderlichen Datenschutz beim Scoreverfahren
zu regeln. Das BMI hat zugesagt, zu prüfen, ob es einer
Klarstellung im Bundesdatenschutzgesetz bedarf. Die
Vorschrift des § 10 KWG könnte eine präjudizierende
Wirkung für Regelungen zum Scoreverfahren haben.
9.3
Research-Systeme der Banken zur
Aufdeckung von Geldwäsche
Zur Prävention vor Geldwäsche, Betrug und Terrorismusfinanzierung müssen die Kreditinstitute nach
§ 25a Kreditwesengesetz angemessene Sicherungssysteme einrichten. Diese müssen neben einer wirkungsvollen Prävention auch einen angemessenen Datenschutz
gewährleisten.
In der Vergangenheit hatten die für die Banken zuständigen Datenschutzaufsichtsbehörden der Länder und ich
wiederholt Hinweise von Kreditinstituten erhalten, nach
denen die BaFin ihnen bei Prüfungen vor Ort bankenaufsichtsrechtliche Vorgaben für die Einrichtung von Research-Systemen zur Aufdeckung von Geldwäsche gemacht hat, die nicht datenschutzgerecht waren. So
erwartete die BaFin von den Banken u. a. eine Beobachtung aller Transaktionen auf Geldwäscheverdachtsfälle,
was einer unzulässigen Rasterfahndung (vgl. Nr. 5.2.3)
gleich gekommen wäre. Darüber hinaus sollten Transaktionen über einen möglichst langen Zeitraum ausgewertet
werden, d.h. aktuelle Zahlungsvorgänge sollten mit Zahlungsvorgängen aus dem letzten Jahr verglichen werden,
um Besonderheiten im Zahlungsverkehr erkennen zu
können. Die Kreditinstitute hatten zu Recht die Befürchtung, dass die Datenschutzaufsichtsbehörden die Umsetzung dieser Vorgaben beanstanden würden.
Dieses offensichtliche Spannungsverhältnis zwischen
bankenaufsichtsrechtlichen und datenschutzrechtlichen
Anforderungen galt es aufzulösen, um den Kreditinstituten durch verlässliche Vorgaben wieder Planungs- und
Handlungsmöglichkeiten zu geben.
Die gesetzlichen Vorgaben aus dem Bereich der Bankenaufsicht sind nicht separat, sondern auch im Lichte datenschutzrechtlicher Anforderungen zu sehen. Nicht alles,
was seitens der Bankenaufsicht wünschenswert wäre, ist
datenschutzrechtlich zulässig. Nach zahlreichen Gesprächen zwischen den obersten Datenschutzaufsichtsbehörden der Länder, der Kreditwirtschaft, der BaFin und mir
haben die Datenschutzaufsichtsbehörden ein Papier erarbeitet, das die datenschutzrechtlichen Anforderungen für
Research-Systeme zur Aufdeckung von Geldwäsche aufzeigt (s. auch Kasten zu Nr. 9.3).
Die BaFin hat versichert, den Forderungskatalog beachten zu wollen.
Ich bin zuversichtlich, hiermit eine Basis für eine gute
Zusammenarbeit der Beteiligten geschaffen zu haben. Ich
werde die Entwicklung weiter beobachten.
K a s t e n z u N r. 9 . 3
Auszüge aus dem Arbeitspapier der obersten Datenschutzaufsichtsbehörden der Länder und des Bundes:
Datenschutzrechtliche Anforderungen für ResearchSysteme zur Aufdeckung von Geldwäsche
– Geldwäsche-Research-Systeme der Banken sollen
sich grundsätzlich auf anlassbezogene Rasterungen
beschränken. Eine flächendeckende Rasterung aller
für eine Verdachtsakquirierung relevanten Kontobewegungen ist nur in eng begrenzten Ausnahmefällen
möglich.
– Der Einsatz der Research-Systeme für andere Zwecke als dem der Bekämpfung der Geldwäsche, Terrorismusfinanzierung und Betrug ist unzulässig.
– Die datenschutzrechtlichen Grundsätze der Datenvermeidung, Datensparsamkeit und der frühestmöglichen Löschung sind einzuhalten.
– Der Grundsatz der Zweckbindung der Speicherung
und unterschiedliche gesetzliche Anforderungen bei
den einzelnen Verdachtsfällen (Geldwäsche, Terrorismusfinanzierung, Betrug) erfordern eine Kennzeichnung bzw. Separierung der Datensätze, soweit
möglich.
– Die Bankkunden sind von der Bank über eine flächendeckende Rasterung aller Kontobewegungen zu
informieren.
– Der Datenbestand in den Systemen darf nicht älter
sein, als dies nach den wissenschaftlich statistischen
Erkenntnissen und den Erfahrungen der Bankpraktiker zur Optimierung der Ergebnisse erforderlich ist.
Eine Speicherlänge von drei Monaten gibt insoweit
einen ersten Anhaltspunkt.
– Die Verwendung bestimmter Parameter muss sachlich nachvollziehbar sein.
– Für besondere Arten personenbezogener Daten nach
§ 3 Abs. 9 BDSG gilt ein Verbot der Rasterung.
– Die Rechtmäßigkeit eines Research-Systems orientiert sich auch an seinem Erfolg.
9.4
SWIFT – Unzulässige Datenlieferung an
US-Behörden
Die Datenübermittlung im Rahmen der Durchführung
von internationalen Zahlungsanweisungen in die USA
verstößt gegen europäisches Datenschutzrecht.
Durch Veröffentlichungen in Medien wurde Ende
Juni 2006 bekannt, dass US-Behörden seit 2001 Zugang
zu den Zahlungsverkehrsdaten von SWIFT (Society for
Worldwide Interbank Financial Telecommunication) erhielten, um sie im Rahmen der Bekämpfung des Terrorismus auszuwerten. SWIFT ist eine 1973 von der internationalen Kreditwirtschaft gegründete Genossenschaft
R
ev
BfDI 21. Tätigkeitsbericht 2005-2006