Datenschutz im Kreditwesen

 

 

Gerade im Bankenwesen fallen besonders viele vertrauliche personenbezogene Daten an, insbesondere über die finanzielle und persönliche Situation von Bankkunden sowie über deren geschäftliche Verbindungen. Aufgrund des erheblichen Umfangs solcher Daten, der aus einer Vielzahl von Kundenverbindungen resultiert, und dem daraus erwachsenden Gefährdungspotential kommt im Bankenwesen dem Datenschutz ein erheblicher Stellenwert zu. Dieser Situation wird aus einem Nebeneinander von Datenschutz und Bankgeheimnis Rechnung getragen.

 

 

1. Das Bankgeheimnis

 

Nach ständiger Rechtsprechung des Bundesgerichtshofs (so zum Beispiel in einem Urteil vom 27. Februar 2007, Az. XI ZR 195/05) besteht das Bankgeheimnis in der Pflicht des Kreditinstituts zur Verschwiegenheit über kundenbezogene Tatsachen und Wertungen, die ihm auf Grund, aus Anlass oder im Rahmen der Geschäftsverbindung zum Kunden bekannt geworden sind und die der Kunde geheim zu halten wünscht. Diese Pflicht ergibt sich aus der allgemeinen Pflicht der Bank, die Vermögensinteressen des Vertragspartners zu schützen und nicht zu beeinträchtigen.

 

Das Bankgeheimnis wird nicht zum Datenschutzrecht gezählt, sondern steht neben diesem, sodass sich diese beiden Bereiche ergänzen. Es weist zum Datenschutzrecht strukturelle Unterschiede auf. Das Datenschutzrecht ist im sachlichen Anwendungsbereich weiter, indem es anders als das Bankgeheimnis nicht nur die Weitergabe und Übermittlung von Daten erfasst, sondern nahezu jeden Umgang mit Daten, d. h. die Erhebung, Verarbeitung und Nutzung von Daten. Dagegen ist der personelle Anwendungsbereich des Datenschutzrechts enger als der des Bankgeheimnisses. Das Bankgeheimnis gilt für alle Kunden einer Bank und somit auch für juristische Personen, während das Datenschutzrecht nur den Schutz natürlicher Personen bezweckt. Aufgrund der dargestellten Unterschiede kommt dem Datenschutzrecht eine Auffangfunktion zu, soweit ein Sachverhalt nicht alleine aufgrund des Bankgeheimnisses bewertet werden kann. Umgekehrt kann das Bankgeheimnis aber auch das Datenschutzrecht beeinflussen, sodass bei der Klärung der Frage nach der Zulässigkeit eines Datenumgangs gemäß § 28 Absatz 1 Satz 1 Nr. 2 BDSG oftmals das Bankgeheimnis im Rahmen einer Interessenabwägung den Ausschlag zugunsten des Betroffenen und damit eine Unzulässigkeit begründet.

 

 

2. Datenschutzrechtliche Regelungen zum Kreditwesen

 

Es gibt – abgesehen von wenigen Vorschriften – kein spezielles Datenschutzrecht für diesen Bereich. Es finden insoweit die allgemeinen Bestimmungen des Bundesdatenschutzgesetzes (BDSG) zur Zulässigkeit von Erhebung, Verarbeitung und Nutzung personenbezogener Daten Anwendung, d. h. insbesondere § 28 BDSG. Zwar sind zahlreiche Kreditinstitute öffentlich-rechtlich organisiert (zum Beispiel die Sparkassen, die Bundesbank sowie die Landesbanken), aber dennoch sind in der Regel gemäß § 12 Absatz 1 BDSG die Vorschriften für nicht-öffentliche Stellen anwendbar, da die meisten Kreditinstitute am Wettbewerb mit privaten Unternehmen teilnehmen. Ein Unterschied zu nicht-öffentlichen Stellen besteht dann nur darin, dass für die Überwachung nicht die Aufsichtsbehörden nach § 38 BDSG, sondern der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bzw. die Landesbehörden zuständig sind. Das ergibt sich aus § 27 Absatz 1 Satz 3 BDSG.

 

Neben dem grundsätzlich anwendbaren allgemeinen Datenschutzrecht, gibt es – wie bereits angedeutet – noch einzelne spezielle Vorschriften für das Kreditwesen, die einen Bezug zu Kundendaten aufweisen. Zu nennen sind hier insbesondere § 31 WpHG sowie §§ 2 und 9 GwG.

 

 

3. Datenübermittlung an die SCHUFA und andere Auskunfteien

 

An die SCHUFA und andere Auskunfteien werden insbesondere Identifikationsdaten, Negativdaten und Positivdaten übermittelt.

 

 

a) Identifikationsdaten

 

Die Übermittlung von Identifikationsdaten wie beispielsweise Name, Adresse oder Geburtsdatum ist erforderlich zur eindeutigen Zuordnung der übermittelten Daten zu einer bestimmten Person. Um Verwechslungen zu vermeiden, ist daher die Übermittlung von Identifikationsdaten in der Regel zulässig.

 

 

b) Negativdaten

 

Die Übermittlung von Negativdaten ist nur unter den Voraussetzungen des am 1. April 2010 in Kraft getretenen § 28a BDSG zulässig. Negativdaten enthalten Informationen zu negativen Zahlungserfahrungen. Nach § 28a Absatz 1 BDSG ist eine Übermittlung von Negativdaten nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und einer der in § 28a Absatz 1 Nr. 1 bis 5 BDSG genannten Fälle vorliegt. Diese drei Voraussetzungen müssen immer kumulativ vorliegen. Andernfalls ist die Übermittlung von Negativdaten unzulässig. Dieselben Anforderungen bestehen in dem Fall, dass die Daten nicht an die SCHUFA oder andere Auskunfteien übermittelt werden, sondern diese selbst die Negativdaten übermitteln. In diesem Fall richtet sich die Zulässigkeit nach § 29 BDSG, im Rahmen dessen § 28a Absatz 1 BDSG wiederum Anwendung findet.

 

 

c) Positivdaten

 

Die Zulässigkeit der Übermittlung von Positivdaten richtet sich nach § 28a Absatz 2 BDSG. Positivdaten enthalten zwar – in Abgrenzung zu Negativdaten – keine Informationen über negative Zahlungserfahrungen, aber sie beschreiben auch bonitätsrelevante Umstände. In der Regel sind dies Aussagen über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses.

 

Kreditinstitute dürfen Positivdaten betreffend ein Bankgeschäft an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Vor Vertragsschluss sind die Betroffenen von der Übermittlung zu unterrichten. Bei Konten ohne Überziehungsmöglichkeit ist die Übermittlung von Positivdaten unzulässig.

 

Auf eine Einwilligung des Betroffenen zur Legitimierung der Datenübermittlung durch sogenannte SCHUFA-Klauseln kommt es bei der Übermittlung von Positivdaten – anders als bisher – nicht mehr an.

 

Durch eine solche wirksame Einwilligung legitimiert werden kann nur noch die Übermittlung anderer als in § 28a Absatz 2 BDSG genannter Positivdaten, also solche, die nicht Bankgeschäfte betreffen, zum Beispiel Informationen über den Abschluss von Mobilfunkverträgen.

 

Weitere Informationen dazu finden Sie im kostenlosen E-Book Schufa.

 

4. Scoring

 

Scoring ist das Erstellen von mathematisch-statistisch begründeten Prognosewerten über das künftige Verhalten einer Person, insbesondere über das Zahlungsverhalten und die Kreditwürdigkeit. Dabei wird eine Person anhand verschiedener Daten einer statistisch gebildeten Vergleichsgruppe zugeordnet, für die es bestimmte, in der Vergangenheit festgestellte Ausfallrisiken gibt, die wiederum auf die der Vergleichsgruppe zugeordnete, zu bewertende Person übertragen werden. Der festgestellte Wert, häufig eine Prozentangabe, bildet den Score-Wert.

 

Die Zulässigkeit eines Scorings ist in § 28b BDSG geregelt, soweit es unter Einsatz von Datenverarbeitungsanlagen geschieht (was in der Regel der Fall ist). Danach darf zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind. Hieraus resultiert eine Dokumentationspflicht. Im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei müssen die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 BDSG und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 BDSG vorliegen. Für die Berechnung des Wahrscheinlichkeitswerts dürfen auch Anschriftendaten genutzt werden (sogenanntes Geoscoring), dies aber nicht ausschließlich. Im Fall der Nutzung von Anschriftendaten ist der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten zu unterrichten und die Unterrichtung ist zu dokumentieren.

 

Häufig liegt beim Scoring gleichzeitig eine sogenannte „automatisierte Einzelentscheidung“ vor, wenn die Entscheidung über das Zustandekommen eines Vertrages nicht durch einen Menschen, sondern durch einen Computer stattfindet. In einem solchen Fall müssen gleichzeitig die Voraussetzungen des § 6a BDSG erfüllt sein. Nach § 6a Absatz 1 BDSG sind automatisierte Einzelentscheidungen grundsätzlich unzulässig, wenn sie für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen. Dies allerdings dann nicht, wenn die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist (zum Beispiel durch die Einräumung der Möglichkeit für den Betroffenen, seinen Standpunkt nochmals geltend zu machen und auf eine erneute Entscheidung hinzuwirken) und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer automatisierten Einzelentscheidung mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert.

 

5. Outsourcing

 

Es ist grundsätzlich zulässig, dass ein Finanzdienstleister bestimmte Geschäftsprozesse wie zum Beispiel IT-Leistungen oder Lohn- und Gehaltsabrechnungen auf ein anderes Unternehmen auslagert. Dies dient vor allem der Kostensenkung. Die Voraussetzungen, unter denen ein solches Outsourcing erlaubt ist und über deren Einhaltung die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wacht, regelt § 25a KWG. Nach dieser Vorschrift ist insbesondere darauf zu achten, dass weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch eine ordnungsgemäße Geschäftsorganisation, die die Einhaltung der vom Auslagernden zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet, beeinträchtigt werden. Auch muss eine Prüfung und Kontrolle durch die BaFin gewährleistet sein. Der Finanzdienstleister muss sich bei einer Auslagerung Weisungsbefugnisse vorbehalten und auch die ausgelagerten Prozesse in seine internen Kontrollverfahren einbeziehen. Daneben enthält § 25a KWG noch einige andere, beim Outsourcing zu beachtende Anforderungen.

 

Die Vorschrift des § 25a KWG stellt zwar kein spezifisches Datenschutzrecht dar, weist aber hohe Ähnlichkeiten zu § 11 BDSG auf, der eine allgemeine datenschutzrechtliche Regelung zur Zulässigkeit der Auftragsdatenverarbeitung ist. Aus diesem Grund ist im Zusammenhang mit datenschutzrechtlichen Bestimmungen zum Kreditwesen auch auf § 25a KWG hinzuweisen.

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich