Datenschutz in der Bankpraxis

Transkript

1 Datenschutz in der Bankpraxis von Wolfgang Vahldiek (Hrsg.) mit BeitrÌgen von Dr. Markus Deutsch Dr. Andreas Fillmann Paul Gˇrtler Dr.Wulf Kamlah Dr. Nadine Kramer Peter Suhren Dr. Thomas Winzer Verlag C. H. Beck Mˇnchen 2012

2 Vorwort Der GeschÌftsbetrieb von Banken ist im Hinblick auf den Datenschutz von besonderer Relevanz. Diese Erkenntnis ergibt sich schon allein aus der Tatsache, dass der Umgang mit personenbezogenen Daten gleichsam den Kern des bankgeschìftlichen TÌtigwerdens darstellt. Jedes Konto, jede Kontogutschrift oder -belastung, jeder Zahlungsvorgang besteht im Verarbeiten und VerÌndern von digitalisierten Informationen, was mit Hilfe von Rechenzentren abgewickelt wird. Informationen ˇber die Kunden sind Rohstoffe des Bankgewerbes. Dies versteht auch die Politik sehr gut. Im Dienste der so empfundenen guten Sache ^ Steuergerechtigkeit, KriminalitÌtsbekÌmpfung, etc. ^ wird auf die,,schìtze auf den Servern der Banken nur allzu gern zugegriffen. Sei es, dass dieser Zugriff direkt erfolgt, wie zum Beispiel durch das Kontenabrufverfahren nach 24c KWG, oder sei es, dass den Banken quasi-polizeiliche Hilfsfunktionen bei der BekÌmpfung der GeldwÌsche, der Terrorismusfinanzierung oder sonstiger Straftaten anvertraut ^ oder sollte man sagen: aufgebˇrdet? ^ werden. Direkte gesetzgeberische Aufforderungen, die Kundendaten fˇr Zwecke zu nutzen oder nutzbar zu machen, die mit dem eigentlichen BankvertragsverhÌltnis mit einem Kunden nichts zu tun haben, sind inzwischen hìufig geworden. Darˇber hinausgehend ist die GeschÌftstÌtigkeit der Banken in einem H chstmaþ aufsichtsrechtlich reguliert. Von Banken wird verlangt, dass sie ihre DatenbestÌnde sorgfìltig durchforsten und nutzen, und zwar im gesetzgeberisch verbindlich ausgestalteten eigenen Interesse, im Dienste ihres Risikomanagements. Der Begriff des Risikomanagements umfasst dabei nicht nur das Eingehen und Steuern von finanziellen Risiken im engeren Sinne, sondern ist sehr viel weitergehend. Im Grunde sind Banken heutzutage aufgefordert, vollstìndig und lˇkkenlos sicher zu stellen, dass im Zusammenhang mit ihrer GeschÌftstÌtigkeit keine Gesetzesverst Þe stattfinden (Stichwort,,Compliance ) und keine UmstÌnde eintreten, die die ffentliche Meinung von einer Bank negativ beeinflussen k nnten (Reputationsrisiko). Dieser Aufforderung seitens Gesetzgeber und Aufsichtsbeh rden k nnen Banken nur Folge leisten, wenn sie laufend ihren Datenbestand erweitern und effizient und automatisiert nach AuffÌlligkeiten suchen. Vor diesem Hintergrund verwundert es wenig, dass mit der fortschreitenden Diskussion und Ausdifferenzierung des Datenschutzrechts in den vergangenen Jahren der diesbezˇgliche Wissens- und Beratungsbedarf gerade in Banken sehr stark angestiegen ist. Das vorliegende Werk soll einen Beitrag dazu leisten, den Praktikern gerade in diesem Bereich notwendige Hilfestellungen zu geben. Die These, das BDSG sei ein schwer lesbares und schon gar nicht verstìndliches Gesetz, ist inzwischen Allgemeingut geworden. Dennoch sein hervorgehoben, dass in diesem Gesetz trotz aller Novellierungen bestimmte Grundgedanken gut erhalten geblieben sind, die es zu entdecken lohnt, da sie den Umgang mit dem Datenschutzrecht in der Praxis deutlich erleichtern. V

3 Diese grundlegenden AnsÌtze des BDSG k nnen zu einer Form von Strukturwissen zusammengefasst werden, das fˇr die BeschÌftigung mit datenschutzrechtlichen Fragen wie ein roter Faden Orientierung bieten kann und in vielen praktischen FÌllen zu zutreffenden L sungen hinleitet. Das vorliegende Werk soll einen Beitrag dazu leisten, diese Strukturen gerade mit Blick auf typische Fallgestaltungen im Bankbetrieb aufzuzeigen und handhabbar zu machen. Idee und Konzept zu diesem Buch sind aus Anlass des Beginns einer Seminarreihe des Verbandes der Auslandsbanken entstanden. Mein besonderer Dank gilt den Autoren, die ihre langjìhrige Erfahrung in der Anwendung des BDSG in Beratung und Praxis speziell von Banken und Finanzdienstleistern in ihre BeitrÌge haben einflieþen lassen. Ein weiterer besonderer Dank gebˇhrt Christina Wolfer und Astrid Stanke vom Verlag C. H. Beck fˇr die konstruktive und im besten Sinne routinierte Begleitung des Projekts. Frankfurt, im Juni 2012 Wolfgang Vahldiek

4 Inhaltsˇbersicht Vorwort... V Inhaltsˇbersicht... VII Inhaltsverzeichnis... XI Literaturverzeichnis...XIX Bearbeiterverzeichnis... XXV 1. Der betriebliche Datenschutzbeauftragte ^ Aufgaben, Befugnisse, Organisation... 1 I. WarumgibteseinenbetrieblichenDatenschutzbeauftragten?... 2 II. PflichtzurBestellung... 3 III. VerpflichteteStellen... 4 IV. ZustÌndigkeitsbereich... 6 V. AnforderungenandenbetrieblichenDatenschutzbeauftragten... 7 VI. AufgabendesbetrieblichenDatenschutzbeauftragten... 9 VII. Befugnisse VIII. StellungimUnternehmen IX. Auslagerung der Funktion des betrieblichen Datenschutzbeauftragten.. 15 X. Haftung XI. OrganisationvonDatenschutzprozessen Datenerhebung, Datenverarbeitung und Datenˇbermittlung I. EinflussdesDatenschutzesimBankwesen II. GrundlagendesDatenschutzrechts III. Verbot mit Erlaubnisvorbehalt: Das,,Ob der Datenverarbeitung IV. Zweckbindungsgrundsatz V. Direkterhebungsgrundsatz VI. DatensparsamkeitundDatenvermeidung VII. VerhÌltnismÌÞigkeitsgrundsatz VIII. Praxisbeispiele aus dem Datenschutzrecht IX. DasBankgeheimnis X. Vorschlag fˇr ein datenschutzrechtliches Prˇfungsschema im Bankwesen Der Schutz der Kundendaten I. Einleitung II. ProblemfelderdasKundendatenschutzes III. Auftragsdatenverarbeitung IV.,,Notificationofbreach V. Transparenz VI. BewertungundAusblick VII

5 4. Der Kreditentscheidungsprozess ^ Automatisierte Einzelentscheidung, Scoring und Auskunfteien I. Einleitung II. Automatisierte Einzelentscheidungen III. Scoring IV. ZusammenarbeitmitAuskunfteien Cloud Computing ^ Datenschutz in der Wolke I. Was ist Cloud Computing? II. VertragsrechtlicheSicht III. WelchesRechtfindetAnwendung? IV. DatenschutzrechtlicheSicht V. AufsichtsrechtlicheSicht VI. Zusammenfassung Schutz von Arbeitnehmerdaten in Banken I. Rechtsgrundlagen des Arbeitnehmerdatenschutzes II. SchutzderBeschÌftigtendaten III. BeteiligungsrechtedesBetriebsrats IV. ÛberwachunginternerVerhaltensrichtlinien V. Whistleblowing VI. Aufdeckung von Straftaten VII. verkehrundsonstigeFernkommunikation VIII. OffenlegungvonVergˇtungssystemen IX. DieAuswirkungender(geplanten)Datenschutznovelle Grenzˇberschreitende Datenverarbeitung im Bankwesen I. Einleitung II. WesentlicheRegelungenundDefinitionen(Rechtsvergleich) III. Internationale Anwendbarkeit des BDSG IV. DatenˇbermittlungimKonzern Datenˇbermittlung gemìþ FATCA I. GegenstandderRegulierung II. WesentlicheDefinitionen III. GrundsÌtzlicherRegelungsinhalt IV. WˇrdigunggemÌÞnationalerGesetze(BDSG) Datenschutz und Compliance I. Grundlagen II. VerhÌltnis des betrieblichen Datenschutzbeauftragten zum GeldwÌscheund Compliance-Beauftragten III. GeldwÌsche- und TerrorismusfinanzierungsbekÌmpfung IV. Verhinderung strafbarer verm gensgefìhrdender Handlungen nach 25cKWG VIII

6 V. StaatlicheAuskunftsersuchenaneinInstitut VI. Datenschutz und Compliance in der Anlageberatung VII. GrenzˇberschreitenderDatenverkehr VIII. VerhÌltnisAufsichtsrechtundDatenschutzrecht IX. ZukˇnftigeEntwicklungen X. Zusammenfassung

7

8 Inhaltsverzeichnis Vorwort... V Inhaltsˇbersicht... VII Inhaltsverzeichnis... XI Literaturverzeichnis...XIX Bearbeiterverzeichnis... XXV 1. Der betriebliche Datenschutzbeauftragte ^ Aufgaben, Befugnisse, Organisation... 1 I. WarumgibteseinenbetrieblichenDatenschutzbeauftragten?... 2 II. PflichtzurBestellung Automatisierte und nicht automatisierte Datenverarbeitung Berˇcksichtigung von TeilzeitbeschÌftigten und LeiharbeitskrÌften Ausnahmen... 4 III. VerpflichteteStellen Internationale Anwendbarkeit des BDSG ZweigstellenundZweigniederlassungenauslÌndischerInstitute... 5 IV. ZustÌndigkeitsbereich VerantwortlicheStelle VerantwortlicheStelleimKonzern Sachliche ZustÌndigkeit im Arbeitnehmerdatenschutz... 6 V. AnforderungenandenbetrieblichenDatenschutzbeauftragten ZuverlÌssigkeit... 7 a) Allgemeine Anforderungen... 7 b) Interessenkonflikte Fachkunde... 8 VI. AufgabendesbetrieblichenDatenschutzbeauftragten ZubeachtendeGesetze Pflichtenumfang... 9 a) GesetzlichePflichtendesDatenschutzbeauftragten b) InterneBeratungundDatenvermeidung Verfahrensverzeichnis Datengeheimnis Vorabkontrolle ReprÌsentative Funktionen/ Kontaktstelle KrisenfÌlle VII. Befugnisse Einsichts- und Informationsrecht Initiativ-undEinspruchsrecht VIII. StellungimUnternehmen UnabhÌngigkeit Weisungsfreiheit und MaÞregelungsverbot XI

9 3. AusstattungmitpersonellenundsachlichenRessourcen Kˇndigungsschutz BeendigungderFunktiondesDatenschutzbeauftragten IX. Auslagerung der Funktion des betrieblichen Datenschutzbeauftragten BestellungeinesexternenDatenschutzbeauftragten Anforderungen an Auslagerungen nach 25aAbs.2KWG X. Haftung VerantwortungimAuÞenverhÌltnis VerantwortungimInnenverhÌltnis Anspruchsgrundlagen XI. OrganisationvonDatenschutzprozessen SchwachstellenanalyseundMaÞnahmenplan Datenschutzkonzept Datenschutzmanagementsystem Datenerhebung, Datenverarbeitung und Datenˇbermittlung I. EinflussdesDatenschutzesimBankwesen Regelungssystematik(Ûberblick) Beispiele II. GrundlagendesDatenschutzrechts SchutzzweckdesDatenschutzrechts AnwendungsbereichdesDatenschutzrechts GrundsÌtzedesDatenschutzrechts III. Verbot mit Erlaubnisvorbehalt: Das,,Ob der Datenverarbeitung DatenverarbeitungaufGrundlageeinerRechtsvorschrift a) RechtsgrundlagenohneInteressenabwÌgung b) RechtsgrundlagenmitInteressenabwÌgung DatenverarbeitungaufGrundlageeinerEinwilligung a) FreieEntscheidungdesBetroffenen b) KenntnisdernÌherenUmstÌnde c) Form VerhÌltnisRechtsgrundlageundEinwilligung IV. Zweckbindungsgrundsatz BeispieledesZweckbindungsgrundsatzesimBankwesen UnzulÌssigkeitderVorratsdatenspeicherung ZulÌssigeAusnahmen V. Direkterhebungsgrundsatz VI. DatensparsamkeitundDatenvermeidung VII. VerhÌltnismÌÞigkeitsgrundsatz VIII. Praxisbeispiele aus dem Datenschutzrecht Fall:Videoˇberwachung von GeschÌftsrÌumen Fall:InterneErmittlungen:DeranonymeSchmÌhbrief Fall: Aufzeichnung von TelefongesprÌchen a) Rechtsgrundlage b) InteressenabwÌgung ( 28Abs.1Satz1Nr.2BDSG) c) Einwilligung IX. DasBankgeheimnis XII

10 X. Vorschlag fˇr ein datenschutzrechtliches Prˇfungsschema im Bankwesen Vorprˇfung Prˇfung des,,ob der Datenverarbeitung a) RechtsgrundlageohneInteressenabwÌgung b) RechtsgrundlagemitInteressenabwÌgung c) Einwilligung Prˇfung des,,wie der Datenverarbeitung ^ DatenschutzgrundsÌtze Der Schutz der Kundendaten I. Einleitung II. ProblemfelderdasKundendatenschutzes DerVertragsschlussmitdemKunden a) DatenfˇrdasVertragsverhÌltnis b) DatenausAnlassdesVertragsverhÌltnisses DatenbeiderDurchfˇhrungdesVertrags a) DurchfˇhrungdesBankvertrags b) NutzungderDatenfˇrZweckedesKreditinstituts Werbung a) Bestandskunden b) ListendatenundGruppenzugeh rigkeit c) HinzuspeicherungvonDaten d) AbwÌgung der Interessen des Kreditinstituts und der Kundeninteressen e) Beispiel: Zahlungsstromanalyse DatenweitergabeimKonzern WerbungimFinanzdienstleistungskonzern a) Einwilligung b) Beipack- und Empfehlungswerbung III. Auftragsdatenverarbeitung Konzept der Auftragsdatenverarbeitung Auftragsdatenverarbeitung oder Funktionsˇbertragung? DieAnforderungenandieAuftragsdatenverarbeitung a) Auswahl des Auftragnehmers und Schriftform b) Der10-Punkte-Katalog WeitereRegelungen Anpassungspflicht? IV.,,Notificationofbreach DierelevantenDaten UnbefugteOffenbarung DrohendeschwerwiegendeBeeintrÌchtigung Informationspflicht Umfang und Form der Information Verwendungsverbot V. Transparenz Unterrichtung bei Direkterhebung HinweisaufWiderspruchsrechtbeiWerbung ErhebungbeianderenalsdenBetroffenen XIII

11 4. Negative automatisierte Einzelentscheidungen Auskunftserteilung a) Allgemeine Auskunft b) AuskunftserteilungbeimScoring VI. BewertungundAusblick Der Kreditentscheidungsprozess ^ Automatisierte Einzelentscheidung, Scoring und Auskunfteien I. Einleitung II. Automatisierte Einzelentscheidungen AusschlieÞlich automatisierte Verarbeitung Erhebliche BeeintrÌchtigung Automatisierte Einzelentscheidung ZulÌssigkeitundAuskunftsanspruch III. Scoring Anwendungsbereich Voraussetzungen Transparenz ( 34Abs.2BDSG) TransparenzbeiEinschaltungDritter IV. ZusammenarbeitmitAuskunfteien Anwendungsbereich des 28a BDSG Voraussetzungen ( 28a Abs. 1 BDSG) Voraussetzungen gemìþ 28a Abs. 2 BDSG (,,Positivdaten ) Nachberichtspflichten ( 28a Abs. 3 BDSG) Cloud Computing ^ Datenschutz in der Wolke I. Was ist Cloud Computing? Cloud Computing aus technischer Sicht Cloud Computing aus unternehmerischer und wirtschaftlicher Sicht.. 90 II. VertragsrechtlicheSicht III. WelchesRechtfindetAnwendung? IV. DatenschutzrechtlicheSicht RelevanzfˇrdenDatenschutz Anwendungsbereich des BDSG Auftragsdatenverarbeitung oder Funktionsverlagerung Cloud Computing mit Drittlandbezug OrganisationundVerfahren V. AufsichtsrechtlicheSicht VI. Zusammenfassung Schutz von Arbeitnehmerdaten in Banken I. Rechtsgrundlagen des Arbeitnehmerdatenschutzes EuropÌischeEbene a) Grundrechtscharta b) Datenschutzrichtlinie95/46/EG c) Initiative fˇr einheitliches europìisches Datenschutzrecht NationaleEbene XIV

12 a) Verfassungsrecht b) BDSG c) Sonderregelung fˇr Kreditinstitute II. SchutzderBeschÌftigtendaten Betrieblicher Datenschutzbeauftragter BDSG Allgemeine GrundsÌtze a) KollidierendeInteressen b) Fragerecht des Arbeitgebers c) Recht auf informationelle Selbstbestimmung d) EinsichtsrechtindiePersonalakte/Entfernungsanspruch III. BeteiligungsrechtedesBetriebsrats Informationsrecht nach 80BetrVG WeitereBeteiligungsrechte a) Personalplanung b) Personalfrageb gen/beurteilungsgrundsìtze Mitbestimmungsrechte a) Mitbestimmungsrecht nach 87Abs.1Nr.1BetrVG b) Mitbestimmungsrecht nach 87Abs.1Nr.6BetrVG c) Erweiterung der datenschutzrechtlichen Eingriffsbefugnisse durchbetriebsvereinbarung IV. ÛberwachunginternerVerhaltensrichtlinien SpeziellegesetzlicheRegelungen MaÞstabdesBDSG a) Voraussetzungen b) Beispiel: Kontenabgleich V. Whistleblowing AktuelleEntscheidungdesEGMR WhistleblowingsystemeinUnternehmen Sarbanes-Oxley-Act Arbeitnehmerdatenschutz VI. Aufdeckung von Straftaten Einsatz einer Videokamera a) ÚffentlichzugÌnglicheRÌume b) Nicht ffentlich zugìngliche RÌume Detektiveinsatz VII. verkehrundsonstigeFernkommunikation DienstlicheNutzung a) Voraussetzungen b) AnwendbareRegelungen PrivateNutzung a) AnwendbarkeitderTelekommunikationsgesetze b) FehlendeTrennungderprivatenunddienstlichenNutzung c) PflichtennachdemTKGundTMG VIII. OffenlegungvonVergˇtungssystemen GesetzlicheGrundlage Ver ffentlichungspflichten nach der Instituts-Vergˇtungsverordnung VorrangigkeitdesDatenschutzes XV

13 IX. DieAuswirkungender(geplanten)Datenschutznovelle ZulÌssigeFragengegenˇberdemBewerber Aufdeckung von Straftaten HeimlicheÛberwachung Verdeckte Videoˇberwachung Fernkommunikationsmittel Grenzˇberschreitende Datenverarbeitung im Bankwesen I. Einleitung II. WesentlicheRegelungenundDefinitionen(Rechtsvergleich) Datenverarbeitung VerantwortlicheStelle Betroffener PersonenbezogeneDaten RechtlicheZulÌssigkeitderDatenˇbermittlung a) ErstePrˇfungsstufe:EinwilligungoderrechtlicheGrundlage b) ZweitePrˇfungsstufe:AngemessenesDatenschutzniveau Besondere UmstÌnde der Datenˇbermittlung in einer Unternehmensgruppe III. Internationale Anwendbarkeit des BDSG IV. DatenˇbermittlungimKonzern Rechtliche Einordnung AnalysederRollederbeteiligtenUnternehmen VerantwortlicheStelleimKonzern a) ModalitÌten der Datenˇbermittlung b) AbgrenzungderFunktionen SicherstellungeinesangemessenenDatenschutzniveaus a) EU-Standardvertragsklauseln b) Safe-Harbor-Abkommen c) VerbindlicheUnternehmensregelungenimKonzern d) Individualvertrag e) FazitundAusblick c BDSG ^ Ausnahmen vom Erfordernis eines angemessenen Datenschutzniveaus a) Einwilligung b) ErforderlichkeitzurErfˇllungeinerVertragsbeziehung Datenˇbermittlung gemìþ FATCA I. GegenstandderRegulierung II. WesentlicheDefinitionen III. GrundsÌtzlicherRegelungsinhalt IV. WˇrdigunggemÌÞnationalerGesetze(BDSG) Datenschutz und Compliance XVI I. Grundlagen Allgemeine Anforderungen an Compliance

14 2.SpezielleRegelungenfˇrdieOrganisationderKreditinstitute a) Kreditwesengesetz b) Wertpapierhandelsgesetz c) GeldwÌschegesetz VerhÌltnis der Compliance-Regelungen zum Datenschutz Zusammenfassung II. VerhÌltnis des betrieblichen Datenschutzbeauftragten zum GeldwÌscheund Compliance-Beauftragten III. GeldwÌsche- und TerrorismusfinanzierungsbekÌmpfung Rechtsgrundlagen Datenschutz und 25cKWG a) Angemessene Datenverarbeitungssysteme; 25cAbs.2KWG b) Institutsˇbergreifende Zusammenarbeit nach 25c Abs. 3 S.4 und5kwg c) Institutsˇbergreifende Zusammenarbeit nach 12 Abs.1 Satz 2 GwG d) Institutsˇbergreifende Zusammenarbeit nach 12Abs.3GwG Sanktionslisten IdentifizierungundKopienvonAusweispapieren IV. Verhinderung strafbarer verm gensgefìhrdender Handlungen nach 25cKWG c Abs. 2 Satz 2 KWG als Rechtsgrundlage fˇr BetrugsbekÌmpfung Warn-undHinweissysteme a) 25c Abs. 3 Satz 4 und 5 KWG als Rechtsgrundlage fˇr WarnundHinweisdateienderKreditwirtschaft b) BetriebeinesWarn-undHinweissystems c) DatenschutzanforderungenaneinWarn-undHinweissystem V. StaatlicheAuskunftsersuchenaneinInstitut Ermittlungsbeh rden a) Staatsanwaltschaften b) Polizei- und Ordnungsbeh rden c) Finanzbeh rden d) Datensicherheit ChecklisteAuskunftsersuchen/Beschlagnahmen a) Grundlagen b) FormelleLegitimationsprˇfung c) ZulÌssigkeitsvoraussetzungen nach Fallgruppen im Strafverfahren d) Beschlagnahme von Kontoguthaben e) EinverstÌndnisdesKunden f) Dokumentation g) Kostenerstattung VI. Datenschutz und Compliance in der Anlageberatung d WpHG ^ Einsatz von Mitarbeitern in der Anlageberatung, als Vertriebsbeauftragte oder als Compliance-Beauftragte WpHG-Mitarbeiteranzeigenverordnung(WpHGMaAnzV) VII. GrenzˇberschreitenderDatenverkehr ErsteStufe:PrˇfungderRechtsgrundlage ZweiteStufe:PrˇfungderDatenschutzadÌquanz XVII

15 VIII. VerhÌltnisAufsichtsrechtundDatenschutzrecht Datenschutzaufsicht a) BefugnissederDatenschutzaufsicht b) BuÞgeld- und Strafvorschriften im Datenschutz Bankenaufsicht Fazit IX. ZukˇnftigeEntwicklungen X. Zusammenfassung