13. Auskunfteien, Inkasso, Kreditwirtschaft, Versicherungen
13.3 Unzulässige Teilnahme bremischer Kreditinstitute an auskunfteiengeführten
Im Berichtsjahr gingen zwei Wirtschaftsauskunfteien mit konkurrierenden Angeboten einer
"Betrugspräventionsdatenbank" (Fraud-Prevention-Pools) an den Markt. Beide Datenbanksysteme sind letztlich darauf angelegt, Kreditinstituten und Finanzdienstleistungsinstituten untereinander den Austausch bestimmter Informationen zu solchen Personen zu ermöglichen, die sie eines Betruges oder einer sonstigen Vermögensstraftat verdächtigen.
Indes hat der Gesetzgeber für den zwischen Instituten erfolgenden Austausch von mehr oder weniger vagen beziehungsweise mehr oder weniger spekulativen Annahmen über strafbare, institutsvermögensgefährdende Handlungen eines (potentiellen) Kunden im Kreditwesengesetz Regelungen getroffen. In § 25h Absatz 3 heißt es:
"…4Institute dürfen im Einzelfall einander Informationen im Rahmen der Erfüllung ihrer Untersuchungspflicht nach Satz 1 übermitteln, wenn es sich um einen in Bezug auf Geldwäsche, Terrorismusfinanzierung oder einer sonstigen Straftat auffälligen oder ungewöhnlichen Sachverhalt handelt und tatsächliche Anhaltspunkte dafür vorliegen, dass der Empfänger der Information diese für die Beurteilung der Frage benötigt, ob der Sachverhalt gemäß § 11 des Geldwäschegesetzes anzuzeigen oder eine Strafanzeige gemäß § 158 der Strafprozessordnung zu erstatten ist. 5Der Empfänger darf die Information ausschließlich zum Zweck der Verhinderung der Geldwäsche, der Terrorismusfinanzierung oder sonstiger strafbarer Handlungen und nur unter den durch das übermittelnde Institut vorgegebenen Bedingungen verwenden."
Diese Vorschrift stellt nach unserer Rechtsansicht eine für den Austausch derartiger Informationen unter Instituten spezielle und abschließende Regelung dar. Eine Teilnahme von Instituten an einem mit demselben Zweck durch eine Wirtschaftsauskunftei betriebenen Betrugspräventionsdatenbanksystem, das sich lediglich auf die allgemeinen datenschutzrechtlichen Erlaubnisnormen des Bundesdatenschutzgesetzes stützt, halten wir daher für unzulässig.
Nach dem klaren Wortlaut des § 25h Absatz 3 Satz 4 Kreditwesengesetz darf die Übermittlung der aus institutsinternen Sicherungsmaßnahmen gewonnenen Information(en) ausschließlich von Institut zu Institut erfolgen ("Institute…einander…"). Auch in der Begründung des Gesetzesentwurfs wird allein von "Informationsaustausch und Informationszusammenführung bei Instituten" gesprochen. Ferner richten sich die Einzelsätze des Absatzes 3 sowie die weiteren Absätze der Vorschrift ausschließlich an Institute als Normadressaten; allein Instituten hat der Gesetzgeber also spezielle Datenverarbeitungsbefugnisse im Hinblick auf mehr oder weniger vage Straftatverdächtigungen eingeräumt, nicht aber dritten Stellen ohne Institutseigenschaft.
Hintergrund der Regelung ist es allein, einem – ebenfalls zu internen Sicherungsmaßnahmen nach dem Kreditwesengesetz verpflichteten – Institut frühzeitig die Kenntnis eines bei einem anderen Institut aufgekommenen Verdachtsmoments hinsichtlich eines mutmaßlich strafbaren, institutsvermögensschädigenden Verhaltens zu ermöglichen.
Damit soll sichergestellt werden, dass das informationsempfangende Institut bei einer Geschäftsanbahnung oder bereits einer Geschäftsbeziehung mit derselben verdächtigten Person eigene Vermögensgefährdungen überprüfen und gegebenenfalls eine Strafanzeige erstatten oder seine Meldepflicht nach dem Geldwäschegesetz erfüllen kann. Im Übrigen darf der Informationsempfänger die Information(en) über auffällige, ungewöhnliche vermögensgefährdende Verhaltensweisen nach dem eindeutigen Wortlaut des Kreditwesengesetzes ausschließlich zum Zweck der Verhinderung von Geldwäsche, der Verhinderung von Terrorismusfinanzierung oder der Verhinderung von institutsvermögensgefährdenden Straftaten verwenden. Es besteht also von Gesetzes wegen eine strikte Verwendungszweckbindung für die übermittelten Informationen. Bei einer Weitergabe derartiger Informationen an eine dritte Stelle, die kein Institut ist, damit diese geschäftsmäßig die Information in einer Zentraldatenbank auf unbestimmte Zeit speichert und bei Abruf kostenpflichtig in einer Vielzahl von Fällen übermittelt, verfolgt die dritte Stelle als Informationsempfänger offensichtlich einen hiervon abweichenden, eigenständigen (Geschäfts-)Zweck. Dies ist mit der ausschließlichen Informationsverwendungs-Zweckbindung unvereinbar.
Sodann ist dem Wortlaut der Vorschrift unmissverständlich zu entnehmen, dass der Austausch einschlägiger Informationen von Institut zu Institut ausschließlich im Einzelfall erfolgen darf. Im Einzelfall muss das informationsweitergabewillige Institut sodann
tatsächliche Anhaltspunkte dafür haben, dass auf Seiten des potentiellen Empfängerinstituts ein entsprechender Informationsbedarf besteht, weil dort die Abgabe einer eigenen Verdachtsmeldung nach dem Geldwäschegesetz oder die Erstattung einer eigenen Strafanzeige zu prüfen ist. Ein solcher Anhaltspunkt könnte sich für ein Institut zum Beispiel daraus ergeben, dass es für eine verdächtigte Person ein Konto führt und über die Kontobewegungen Kenntnis davon erhält, dass die verdächtigte Person bei einem anderen Institut ein weiteres Konto besitzt. Bei einer vorsorglichen generellen Informationsweitergabe an eine institutsextern geführte zentrale Datenbank, die allein aufgrund der abstrakten Vermutung erfolgte, dass irgendein anderes Institut auch in seinem Geschäftsbereich die Information schon irgendwann einmal benötigen könne, könnte offenkundig nicht von tatsächlichen Anhaltspunkten im Einzelfall für einen Informationsbedarf gesprochen werden.
Der § 25h Absatz 3 Satz 4 Kreditwesengesetz ist auch eine abschließende Bestimmung.
Das heißt, im Regelungsbereich der Vorschrift ist ein Ausweichen der Institute auf die allgemeine datenschutzrechtliche Befugnisnorm des § 28 Bundesdatenschutzgesetz ausgeschlossen.
Dies ergibt sich bereits aus Sinn und Zweck der Vorschrift in Verbindung mit ihrer Entstehungsgeschichte: Institute sollten, abgesehen vom Informationsaustausch betreffend Geldwäsche und Terrorismusfinanzierung (= Anwendungsbereich des Geldwäschegesetzes), auch Informationen zu vermögensgefährdenden Straftaten in datenschutzrechtlich einwandfreier Art und Weise austauschen können. Der Gesetzgeber hielt hierfür die Schaffung einer besonderen Vorschrift für notwendig. Er ging also davon aus, dass die bestehenden allgemeinen datenschutzrechtlichen Befugnisnormen einen solchen Informationsaustausch nicht legitimieren. Wäre ein entsprechender Informationsaustausch auch außerhalb der Ermächtigung des § 25h Absatz 3 Satz 4 Kreditwesengesetz möglich, liefe die Norm mit ihren speziellen Einschränkungen für den Datenaustausch im Übrigen praktisch leer, was offensichtlich der gesetzgeberischen Vorstellung zuwider liefe ("Gesetzesumgehung"). Zudem gelangten bei Einbindung institutsexterner Dritter (etwa Auskunfteien) in den Informationsaustausch solche Informationen, die allein präventiv im Interesse der Stabilität und Seriosität des Kreditwesens erhoben werden dürfen, die also exklusiv dem Institutssektor zugeordnet sind und die daher einer strikten Verwendungszweckbindung unterliegen (siehe § 25h Absatz 3 Satz 5 Kreditwesengesetz), unter Verlust ihres Erhebungskontexts aus dem Kreditwesenssektor.
Auch die Rechtssystematik zeigt, dass es sich bei § 25h Absatz 3 Satz 4 Kreditwesengesetz um eine die allgemeine datenschutzrechtliche Norm des § 28 Absatz 2 Ziffer 2a Bundesdatenschutzgesetz verdrängende Spezialvorschrift handelt. Denn ohne die besondere Verarbeitungsermächtigung in § 25h Absatz 3 Kreditwesengesetz griffe angesichts der vagen Mutmaßungsqualität der Information(en) zu ungewöhnlichen
beziehungsweise auffälligen, institutsvermögensgefährdenden strafbaren Verhaltensweisen häufig die allgemeine datenschutzrechtliche Vorschrift des § 35 Absatz 2 Satz 2 Ziffer 2 Bundesdatenschutzgesetz. Nach dieser sind personenbezogene Daten unmittelbar zu löschen, wenn es sich um Informationen zu strafbaren Handlungen handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann.
Für eine spezielle Ermächtigung (mit Sperrwirkung) spricht sodann auch ein Blick auf die europarechtlichen Vorgaben zur Ausgestaltung nationalen Datenschutzrechts: Artikel 8 Absatz 5 Satz 1 der Datenschutzrichtlinie legt deutliche Restriktionen für die Zulässigkeit der Verarbeitung von Informationen zu Straftaten durch private Stellen/Personen fest (= behördliche Aufsicht oder Vorschriften mit angemessenen Garantien). "Angemessene Garantien" im Sinne dieses Artikels enthält insbesondere § 28 Absatz 2 Ziffer 2a Bundesdatenschutzgesetz offensichtlich nicht.
Nicht zuletzt könnten Institutsmitarbeiter durch die Verbreitung von vagen Straftatverdächtigungen – ohne entsprechende besondere Erlaubnisnorm wie hier § 25h Absatz 3 Kreditwesengesetz – unter Umständen selbst eine Straftat begehen (§§ 164, 186, 190 Strafgesetzbuch).
Wir haben vor diesem Hintergrund durch Rundschreiben die Institute in unserem Aufsichtsbereich auf die Unzulässigkeit einer Teilnahme an auskunfteigetragenen Betrugspräventionsdatenbanken hingewiesen. Bei einer Nachprüfung im laufenden Berichtsjahr konnten wir kein Institut aus unserem Aufsichtsbereich als Teilnehmer feststellen. Sollten wir jedoch in unserem Aufsichtsbereich eine Teilnahme feststellen, würden wir aufsichtsbehördliche Schritte prüfen, um Personen vor einer – auch mit der verfassungsrechtlichen Unschuldsvermutung unvereinbaren – Diskreditierung durch eine Speicherung in einer zentralen "Straftatverdächtigungsdatenbank" in privater, gewinnorientierter Hand zu bewahren.