8
Finanzausschuss
8.1
Auswirkungen der DSGVO auf diesen Themenbereich
Die Datenschutz-Grundverordnung (DSGVO) ist ab dem 25. Mai 2018 auch im Bereich der Finanzen in
Deutschland unmittelbar geltendes Recht.
Grundsätzlich gilt die DSGVO auch im Bereich der Finanzen und der Steuerverwaltung. Allerdings eröffnet die
DSGVO vielfältige Regelungsspielräume für diesen Bereich. Für die Verarbeitung personenbezogener Daten
durch die Steuer- und Finanzverwaltung ist dieser Spielraum am größten, denn hier lässt Artikel 6 Absatz 2
und 3 DSGVO zum einen spezifische materiell-rechtliche Regelungen zu bzw. erfordert solche. Zudem können
die Betroffenenrechte (z. B. auf Information, Auskunft oder Widerspruch) zur Wahrung der finanziellen Interessen eines Mitgliedstaats nach Artikel 23 Absatz 1 lit. e DSGVO eingeschränkt werden.
Für die Verarbeitung personenbezogener Daten durch Unternehmen der Finanzbranche (z. B. Banken oder Versicherungen) wird die DSGVO hingegen weitgehend unmittelbar gelten. Der nationale Gesetzgeber hat nur sehr
punktuelle Regelungsspielräume, die sich wiederum meist auf die Datenverarbeitung im öffentlichen Interesse
beziehen, wie z. B. bei Meldepflichten zur Geldwäscheprävention.
8.2
Einzelthemen
In den vergangenen zwei Jahren habe ich eine Reihe wichtiger Gesetzgebungsvorhaben im Finanzbereich begleitet. Auch wenn nicht in jedem Einzelfall meinen datenschutzrechtlichen Empfehlungen gefolgt wurde, so
erkenne ich doch eine deutlich stärkere Einbindung meiner Behörde.
8.2.1
AnaCredit oder der Weg zum allgemeinen Kreditregister
Die Europäische Zentralbank (EZB) verfolgt mit dem Projekt AnaCredit (Analytical Credit Datasets) den Aufbau eines granularen und damit passgenauen Kreditmeldewesens. Im Gegensatz zu einigen Staaten der Eurozone, verfügt Deutschland derzeit über kein Kreditregister. Datenschutzrechtlich relevant wird dieses Vorhaben,
wenn dort Daten natürlicher Personen verarbeitet werden sollen.
Mit der Verordnung (EU) 2016/867 der EZB vom 18. Mai 2016 über die Erhebung granularer Kreditdaten und
Kreditrisikodaten (EZB/2016/13) verpflichtet die EZB ab September 2018 alle Banken, ihr detaillierte Kreditnehmerdaten vorzulegen. Diese sog. AnaCredit-Verordnung ist zu unterscheiden von der Wohnimmobilienkreditrichtlinie 2014/17/EU der Europäischen Kommission, die bereits in nationales Recht umgesetzt wurde und
die Pflicht zur Kreditwürdigkeitsprüfung bei Verbraucherdarlehensverträgen regelt (§§ 505a und 505b BGB).
Die EZB will das EU-weite zentrale Kreditregister in zwei Schritten einführen, hat bisher aber nur die erste
Phase definiert. In der „Phase 1“ müssen Kreditdaten natürlicher Personen noch nicht gemeldet werden, sondern
nur solche juristischer Personen. Gleichwohl zeichnet sich schon jetzt eine Ausweitung des Anwendungsbereiches von AnaCredit auf natürliche Personen in der zweiten Umsetzungsphase ab. Aus diesem Grund begleite
ich bereits heute dieses Vorhaben.
Für die zu meldenden Kredite werden zahlreiche Merkmale der Kategorien Betrag, Laufzeit, Zins, Währung
u. ä. abgefragt. Für den zu meldenden Kreditnehmer sind bis zu 26 Attribute anzugeben, darunter Name, Sitz,
Rechtsform, Größe, Sektor und Wirtschaftszweig und weitere Identifikatoren. Kreditinstitute mit Sitz in der
Eurozone sowie Niederlassungen ausländischer Banken in der Eurozone müssen die Kennziffern monatlich an
– 82 –
BfDI 26. Tätigkeitsbericht 2015-2016