Datenschutz im Bankgeschäft

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Einleitung

2. Sensible Kundendaten im Bankgeschäft

3. Das Bankgeheimnis
3.1 SCHUFA
3.2 Bankauskünfte

4. Automatisierter Abruf von Kontoinformationen nach § 24c KWG

5. Datenübermittlung an Auskunfteien

6. Das Bundesdatenschutzgesetz in Banken
6.1 Nutzung von Kundendaten zu Werbezwecken

7. Das Geldwäschegesetz

8. SWIFT

9. Zusammenfassung

Literatur- und Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Erscheinungsformen des Bankgeheimnisses

Abbildung 2: Erteilung von Bankauskünften

Abbildung 3: Systematik des § 28a Abs. 1 BDSG

Abbildung 4: Systematik des § 28a Abs. 2 BDSG

Abbildung 5: Die Nutzung von Kundendaten zu Werbezwecken

Abbildung 6: Das Listenprivileg im Detail

Abbildung 7: Das neue SWIFT-Abkommen

1. Einleitung

In der jüngeren Vergangenheit rückte der Begriff Datenschutz immer mehr in den Fokus des öffentlichen Bewusstseins. Vor allem Kreditinstitute befinden sich durch ihren täglichen Um- gang mit höchst sensiblen Informationen oftmals im Kreuzfeuer der Kritik. Deutlich mag dies vielleicht durch den Fall des Unternehmers Leo Kirch werden, der in einer öffentlichen Äuße- rung des damaligen Vorstandssprechers der Deutschen Bank, Rolf Breuer, einen Bruch des Bankgeheimnisses sieht.¹ Ferner ist zu betrachten, dass der Ausschluss von Bankgeschäf- ten im modernen Wirtschaftsleben für Unternehmen, aber auch für Privatleute unmöglich erscheint. Somit besteht ein innerer Zwang für die Bevölkerung über eine Bankverbindung zu verfügen und damit persönliche Informationen zumindest an ein Kreditinstitut zu übermitteln. Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönli- chen Daten von dem allgemeinen Persönlichkeitsrecht des Artikel 2 Abs. 1 i.V.m. Arti- kel 1 Abs. 1 Grundgesetz erfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Da- ten zu bestimmen.² Dem Schutz privater Daten wird eine hohe Bedeutung zugemessen. Die Angst der Bürger vor Bekanntheit ihrer Daten scheint in Deutschland weit verbreitet. Gleich- zeitig aber werden im Internet aus freien Stücken persönliche Daten massenweise veröffent- licht. Hiervon ist auch das originäre Geschäftsfeld der Banken betroffen.³

Diese Hausarbeit will klären, in welchem Spannungsfeld aus Datenschutz und Datennutzung sich Kreditinstitute heute bewegen. Dabei werden wichtige Bestimmungen des Bundesda- tenschutzgesetzes ebenso beleuchtet, wie Regelungen des Geldwäsche- und Kreditwesen- gesetzes. Zu Beginn wird zuerst einmal ein Überblick gegeben, welche Kundendaten im Bankgeschäft überhaupt als sensibel oder vertraulich eingestuft werden müssen. Danach widmet sich ein Abschnitt dem Bankgeheimnis und ausgewählten Ausnahmen hiervon, na- mentlich der sog. SCHUFA-Klausel und Bankauskünften. Ebenso wird kurz auf die Möglich- keit des automatisierten Abrufs von Kontendaten durch die Bundesanstalt für Finanzdienst- leistungsaufsicht eingegangen, bevor die Datenübermittlung an Auskunfteien und darauf folgend die Anwendung des Bundesdatenschutzgesetzes auf Bankgeschäfte thematisiert wird. Anschließend finden auch noch datenschutzrechtlich relevante Regelungen des Geld- wäschegesetzes ebenso ihren Platz, wie das SWIFT-Abkommen. Diese Arbeit schließt mit einer Zusammenfassung der Ergebnisse ab.

2. Sensible Kundendaten im Bankgeschäft

Das moderne Bankgeschäft basiert auf Kundeninformationen. Selektive Kundenansprache verbessert bspw. die Erfolge beim Cross-Selling erheblich. Selektionen gewinnen dabei mit jedem zusätzlichen Datensatz an Genauigkeit. Kreditinstitute verfügen über höchst sensible persönliche Daten von jedem ihrer Kunden. Der Aussagegehalt dieser Datensätze differiert allerdings stark. Teils sind die Angaben veraltet auf Grund einer „eingeschlafenen“ Kunden- beziehung, teils aber auch hochaktuell auf Grund einer Kontoneueröffnung. Die Datenban- ken können z.B. Informationen über den Familienstand, den Arbeitgeber und die Art der An- stellung, die Adresse, diverse Telefonnummern und Emailadressen uvm. enthalten. Kreditin- stitute verfügen über diese Daten oftmals auf Grund gesetzlicher Bestimmungen. Diese ma- chen z.B. eine genaue Identifizierung des Kontoinhabers nötig („Niemand darf auf einen fal- schen oder erdichteten Namen für sich oder einen Dritten ein Konto errichten […]“ - § 154 AO⁴ ).

Es sind weitere Datensätze vorhanden, deren Sensibilität nicht jedem Kunden sofort klar sein wird. Informationen über die monatlichen Gehaltseingänge, über jährliche Steuererstatt- ungen, Unterhaltszahlungen etc. lassen ein genaues Abbild eines zivilisierten Lebens ent- stehen. Auch Informationen zum Einkaufsverhalten sind den Banken über Kreditkartenab- rechnungen bekannt und wären bspw. für Handelsunternehmen von großer Bedeutung. Die- se Daten existieren also vor allem in der Einflusssphäre der Kreditinstitute - während der Kontoführung. Fraglich ist, ob und wie solcherlei Datensätze verwandt werden, um evtl. ge- zielte Kundenansprachen in Bezug auf bestimmte Bankprodukte durchzuführen. Auch von Kunden nicht für sensibel gehaltene Informationen, wie z.B. die Zuordnung zur Berufsgruppe der Selbstständigen, sind für Kreditinstitute und deren Datenbankführer von großer Bedeu- tung.

Viele der vorgenannten Kundendaten werden zentral gespeichert, archiviert und für ver- schiedene bankinterne oder bankexterne Zwecke verwandt. In allen bei Kreditinstituten denkbaren Datensätzen sind entgegen einer in der Literatur vertretenen, aber hinlänglich veralteten Auffassung⁵ auch solche Angelegenheiten enthalten, welche die Intimsphäre be- treffen. Die Bank-Kunde-Beziehung lässt sich nicht nur auf eine vermögensrechtliche und wirtschaftliche Natur beschränken. Fraglich ist daher welche gesetzlichen oder vertraglichen Grundlagen Kreditinstitute zu einem solchen Vorgehen ermächtigen und wie weit eine etwai- ge Ermächtigung überhaupt reicht. In diesem Zusammenhang muss weiter die Frage geklärt werden in welcher Weise Banken dazu verpflichtet sind sensible Kundendaten vor dem Zu- griff Dritter zu schützen. Ferner ist von großer Bedeutung, ob im Zuge des Datenschutzes bestimmte Informationen von den Kreditinstituten für ihre eigenen Zwecke überhaupt ver- wendet werden dürfen. Die folgenden Kapitel sollen hierüber Aufschluss geben.

3. Das Bankgeheimnis

In der vorrangegangenen Darstellung hat sich gezeigt, dass die gesamte Geschäftsbezie- hung zwischen Kunde und Kreditinstitut schützenswerte Informationen beinhaltet. Der be- kannteste Begriff zum Thema Datenschutz ist in diesem Zusammenhang das sog. Bankge- heimnis. Entgegen der langläufigen Meinung der deutschen Bevölkerung und im Gegensatz zum Verfahren in Nachbarländern wie Österreich findet dieses seinen Ursprung nicht in ei- nem Gesetzeswerk. Vielmehr leitet es sich als eine Nebenpflicht aus den vertraglichen Ein- zelbeziehungen zwischen Kunde und Bank ab.⁶ Die bankgeschäftliche Beziehung zwischen beiden Parteien ist dabei durch ein gegenseitiges Vertrauensverhältnis gekennzeichnet, wel- ches sich auf Bankseite in der Verpflichtung zur Wahrung des Bankgeheimnisses äußert.⁷ Dabei verfügt das Bankgeheimnis als solches über eine lange Tradition in Deutschland und ist bereits bei der Gründung der Hamburger Bank im Jahre 1619 in den allgemeinen Ge- schäftsbedingungen festgelegt worden⁸, wenn auch nicht unter der heute geläufigen Be- zeichnung. Bezugnehmend auf den Titel dieser Arbeit wird außerdem vertreten, dass das Bankgeheimnis aus datenschutzrechtlicher Sicht besonders zu berücksichtigen ist.⁹

Seit 1993 ist das Bankgeheimnis in den AGB der Banken unter Nr. 2 Abs. 1 Satz 1 ausdrück- lich geregelt: „Die Bank ist zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichtet, von denen sie Kenntnis erlangt (Bankgeheimnis).“¹⁰ Informationen dürfen nach Satz 2 nur weitergegeben werden, wenn gesetzliche Regelungen dieses vor- schreiben oder aber der Kunde in die Weitergabe einwilligt (vgl. auch 3.1 SCHUFA). Man unterscheidet somit die Verschwiegenheitspflicht und das Auskunftsverweigerungsrecht. Hierbei beinhaltet die Verschwiegenheitspflicht die Verpflichtung des Kreditinstitutes zum Stillschweigen über Vermögens- oder sonstige Verhältnisse des Kunden, von denen sie Kenntnis erlangt. Das Auskunftsverweigerungsr]echt dagegen berechtigt die Bank Dritten gegenüber Auskünfte zu verweigern, wenn nicht eine entgegenstehende Verpflichtung kraft Gesetzes besteht, eine Einwilligung des Kunden existiert oder eine anderweitige Befugnis zur Auskunftserteilung vorliegt.¹¹

Abbildung 1: Erscheinungsformen des Bankgeheimnisses

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung in Anlehnung an Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 11 (m.w.N.).

Allgemein gilt, dass die Geschäftsbeziehung zwischen Kreditinstitut und Kunde einem be- sonderen Vertrauensverhältnis unterliegt, da täglich Einblicke in die persönliche Sphäre, be- stehend aus wirtschaftlicher, persönlicher und finanzieller Lage, gewährt werden. Aus der Vertraulichkeit der Daten leitet sich auch die Erwartungshaltung der Kundschaft in Hinblick auf Verschwiegenheit ab. Diese bedarf dabei keiner weiteren, ausdrücklichen Vereinba- rung.¹² Die Verschwiegenheitspflicht besteht sogar, wenn keine vertraglichen Beziehungen zustande gekommen sind. Dieses könnte bspw. bei einem ablehnenden Votum bzgl. eines Kreditantrags, für den im Vorfeld hoch sensible Geschäftsunterlagen vorgelegt werden mussten, der Fall sein.¹³ Zusammengefasst unterliegen dem Bankgeheimnis also „grund- sätzlich alle kundenbezogenen Tatsachen und Wertungen, von denen die Bank Kenntnis erlangt“.¹⁴ Somit wird auch klar, dass nicht nur Faktenwissen wie aktuelle Kontostände, son- dern bspw. auch Bewertungen des aktuellen und zukünftigen Zahlungsverhaltens unter die Verschwiegenheitspflicht fallen. Richtigerweise erstreckt sich das Bankgeheimnis nicht nur auf geschäftliche Vorgänge und Zusammenhänge, sondern auf die privaten Verhältnisse der Kundschaft.¹⁵ Beispielhaft seien hier die Familienverhältnisse genannt, von denen ein Kun- denberater in der Regel sehr schnell und umfassend Kenntnis erlangt. Die Geheimhaltungs- pflicht überdauert sogar die originäre Geschäftsbeziehung zwischen Kunde und Kreditinsti- tut. Sie reicht vom Stadium der Geschäftsanbahnung und endet nicht automatisch mit dem Tod des Kunden, da im Erbfall die Erben bzw. die Erbengemeinschaft zu Geheimnisherren werden.¹⁶

Die AGB der Banken enthalten aber gleichzeitig in Nr. 2 Abs. 1 Satz 2 Schranken des Bank- geheimnisses, welche die Weitergabe von Informationen in Ausnahmefällen möglich ma- chen. Hierzu können gehören: Ein Gebot durch eine gesetzliche Bestimmung Informationen über Kunden mitzuteilen; die explizite Einwilligung des Kunden zur Datenweitergabe; die Befugnis der Bank zur Erteilung einer Bankauskunft. In Zivilprozessen besitzen Kreditinstitu- te ein Auskunftsverweigerungsrecht i.S.d. §§ 383 Abs. 1 Nr. 6 und Abs. 3 sowie § 384 Nr. 3 ZPO¹⁷, da es sich beim Bankgeheimnis um ein Berufsgeheimnis handelt. Ge- genüber Strafverfolgungsbehörden dagegen besteht eine Pflicht zur Aussage.¹⁸ Nach Nr. 2 Abs. 1 Satz 2 der Banken-AGB kann der Kunde als Geheimnisherr über Be- kanntgabe oder Geheimhaltung der ihn betreffenden Tatsachen und Wertungen frei ent- scheiden. Es ist ihm also möglich in die Datenweitergabe einzuwilligen in Form einer be- wussten Willenserklärung i.S.d. § 183 BGB¹⁹. Im weiteren Verlauf dieser Arbeit wird zu die- sem Thema die SCHUFA (Schutzgemeinschaft für die allgemeine Kreditsicherung) und de- ren Relevanz kurz erläutert; zur Thematik der Durchbrechung des Bankgeheimnisses auf Grund der Befugnis zur Bankauskunft werden ebenfalls Informationen an anderer Stelle (s. 3.1 SCHUFA und 3.2 Bankauskünfte) gegeben. Ferner ist zu beachten, dass nach neuer Rechtsprechung des BGH²⁰ bspw. eine Forderungsabtretung bei gleichzeitiger Verletzung des Bankgeheimnisses im Außenverhältnis weiter wirksam bleibt. Eine rechtswidrige Durch- brechung des Bankgeheimnisses hindert hier also nicht die Wirksamkeit von Forderungsver- käufen durch Sparkassen und private Geldinstitute.²¹

Für Kreditinstitute und deren Angestellte sind die denkbaren Rechtsfolgen bei Verstößen gegen das Bankgeheimnis relevant. Dabei ist das „Recht auf Wahrung des Bankgeheimnis- ses […] verletzt, wenn das Kreditinstitut die durch einen Kunden anvertrauten Tatsachen ohne Vorliegen einer Berechtigung an Dritte weitergibt.“²² Da wie zuvor bereits festgestellt vermutet wird, dass Kunden grundsätzlich alle der Bank über sie bekannten Tatsachen ge- heim halten möchten, ist keine Exkulpation dahingehend möglich, dass der Geheimhal- tungswille für das Kreditinstitut nicht ersichtlich gewesen ist. Denkbare Ansprüche der von unberechtigten Datenweitergaben betroffenen Kundschaft ergeben sich vor allem aus den Schadenersatznormen § 280 BGB (bei Verschulden gem. § 276 BGB), § 823 Abs. 1 BGB und § 823 Abs. 2 BGB i.V.m. einem Schutzgesetz; hier könnte das Bundesdatenschutzge- setz in Betracht kommen.²³ Auch Ansprüche aus § 826 BGB wegen einer sittenwidrigen vor- sätzlichen Schädigung sind denkbar, werden auf Grund der hohen Hürden durch die Tatbe- standsvoraussetzung des Vorsatzes, welche Banken oder deren Mitarbeiter erfüllen müss- ten, nicht die Regel sein.

Zusammengefasst lässt sich sagen, dass das Bankgeheimnis somit den ersten und vorders- ten Schutz für persönliche Informationen der Kundschaft darstellt, die dem Kreditinstitut zur Erfüllung gesetzlicher Auflagen oder wegen interner Erfordernisse überlassen worden sind. Allerdings muss die Frage gestellt werden, inwiefern die Bedeutung des Bankgeheimnisses bankintern noch gegeben ist. In der Praxis werden mit großer Wahrscheinlichkeit trotz des Verbots der Weitergabe von Kundengeheimnissen z.B. aktuelle Kontobewegungen dazu benutzt Ansätze für ein Cross-Selling in Bezug auf Produkte der Verbundpartner zu finden. Unter Umständen werden diesen Vertriebspartnern sogar entsprechende Informationen ge- liefert. Hier seien beispielhaft Altersvorsorge- oder Bausparanbieter genannt. Dass dieses Vorgehen in der Konsequenz einen Verstoß gegen das Bankgeheimnis darstellt, auf Grund der Beweislage allerdings nicht zu ahnden sein wird, ist wohl ein Teil der bankrechtlichen Realität.

3.1 SCHUFA

Einen besonderen Fall der ausdrücklichen Einwilligung des Kunden zur Weitergabe seiner Daten stellt das Kreditinformationssystem der SCHUFA dar. Im Rahmen des Verfahrens zur Sammlung und Aufbereitung von durch die Vertragspartner gemeldeten Kundeninformatio- nen werden inhaltlich genau festgelegte Datensätze gemeldet und zur Verfügung aller ange- schlossenen Teilnehmer zentral gespeichert. Vertragspartner sind u.a. Kreditinstitute, Wa- ren- und Kaufhäuser sowie Telekommunikationsanbieter. An das System angeschlossene Partner können nun vor einer Kreditentscheidung und damit verbundenem Risiko über den betreffenden Kunden zuvor gemeldete Informationen abrufen und anhand dieser eine erste Kreditwürdigkeitsprüfung vornehmen.²⁴ Im System enthaltene Informationen können u.a. sein: Aktuelle und frühere Adressen, Anzahl der Kreditkarten inkl. Kreditrahmen, Anzahl der Bankverbindungen sowie deren kontoführende Stellen.

Die Einwilligung erfolgte bis zum 01.04.2010 ausschließlich auf Basis der in Kreditanträgen oder Kontoeröffnungsunterlagen enthaltenen sog. SCHUFA-Klausel. Hiermit gewährt der Kunde auf der einen Seite die Befreiung des Kreditinstitutes vom Bankgeheimnis. Auf der anderen Seite wurde damit auch die ausdrückliche Einwilligung zur Datenweitergabe an Drit- te gem. § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG²⁵ ) erteilt.²⁶ In diesem Zusammenhang muss somit deutlich werden, dass Kunden in der Praxis der Weitergabe ihrer Daten und der Befreiung vom Bankgeheimnis zugestimmt haben, wenn sie einen Kontoeröffnungsantrag unterzeichnen.

[...]

¹ Vgl. u.a. o.V., Kirch scheitert mit Klage, o.S., Internetquelle.

² Vgl. BVerfG v. 15.12.1983 - 1 BvR 209/83.

³ Vgl. http://www.auxmoney.de - Diese Homepage ermöglicht Menschen private Darlehen außerhalb der Bestimmungen des KWG und der Bankenorganisation aufzunehmen. Allerdings werden dabei die öf- fentlichen Profile der Nutzer und deren Anliegen bzgl. einer Kreditanfrage für jedermann zugänglich.

⁴ Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866; 2003 I S. 61), die zuletzt durch Artikel 2 des Gesetzes vom 30. Juli 2009 (BGBl. I S. 2474) geändert worden ist.

⁵ Vgl. u.a. Canaris, Bankvertragsrecht, Rn. 36 ff.

⁶ Vgl. Nitsch, Bankrecht für Betriebswirte und Wirtschaftsjuristen, S. 30.

⁷ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 1 (m.w.N.).

⁸ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 2 (m.w.N.).

⁹ Vgl. Rudolf/Kötterheinrich in: Derleder/Knops et al., Bankrecht, § 5 Rn. 2 (m.w.N.).

¹⁰ o.V., AGB der Santander Consumer Bank 11/2009, S.1, Internetquelle.

¹¹ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 11 (m.w.N.).

¹² Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 7.

¹³ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 8 (m.w.N.).

¹⁴ Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 12 (m.w.N.).

¹⁵ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 14 (m.w.N.).

¹⁶ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 26 (m.w.N.).

¹⁷ Zivilprozessordnung in der Fassung der Bekanntmachung vom 5. Dezember 2005 (BGBl. I S. 3202; 2006 I S. 431; 2007 I S. 1781), die zuletzt durch Artikel 3 des Gesetzes vom 24. September 2009 (BGBl. I S. 3145) geändert worden ist.

¹⁸ Zur weiteren Vertiefung vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 28-54 (m.w.N.).

¹⁹ Bürgerliches Gesetzbuch in der Fassung der Bekanntmachung vom 2. Januar 2002 (BGBl. I S. 42, 2909; 2003 I S. 738), das zuletzt durch Artikel 1 des Gesetzes vom 24. Juli 2010 (BGBl. I S. 977) geändert worden Ist.

²⁰ BGH v. 27.02.2007 - XI ZR 195/05, NJW 2007, 2106 (2106).

²¹ Vgl. Keßler/Herzberg, Vertragliche Neben- und Schutzpflichten beim Darlehensvertrag, BB 2009, 1145 (1145).

²² Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 62.

²³ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 62 (m.w.N.).

²⁴ Vgl. Beckhusen in Derleder/Knops et al., Bankrecht, § 6 Rn. 57 (m.w.N.).

²⁵ Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist.

²⁶ Zur Diskussion über die gesetzliche Implementierung eines speziellen Erlaubnistatbestandes in das Bundes- datenschutzgesetz bzgl. der Übermittlung personenbezogener Daten vgI. 5. Datenübermittlung an Auskunf- teien.