3: Vorträge, Vorlesungen, Aufsätze
Informationsfluss im internationalen Bankkonzern - Praktische Fragen aus Sicht der Datenschutzaufsichtsbehörden
Vortrag von Dr. Thilo Weichert
International Bar Association
Seminar des IBA Banking Law - Regional Subcommittee
Freitag, 07.11.2008, Deutsche Bank AG - Frankfurt am Main
I. Einleitung
Die Diskussion über Datenschutz im Bankenverkehr hat in jüngster Zeit eine Vielzahl von Impulsen erhalten und bestimmte immer wieder die Schlagzeilen der Presse. Oft geht es direkt um das direkte Verhältnis zwischen Finanzdienstleistern und Kunden: Mit dem Verkauf von mehr oder weniger notleidenden Krediten an sog. Heuschrecken in Steueroasen oder in Nordamerika ist regelmäßig die Weitergabe sensibler Kundendaten an diese Aufkäufer und an diese Staaten verbunden. Während das Bankenrating erst durch die aktuelle Kreditkrise ins Gerede geraten ist, ist das Scoring und die Bonitätsbewertung von Kundinnen und Kunden für Daten- und Verbraucherschützer schon seit 4 Jahren ein öffentlicher Aufreger. Ganz aktuell geriet die leichtfertige Abbuchung von Girokonten nach illegaler Beschaffung der Kontodaten von Bankkunden ins Gerede.
Die staatliche Begehrlichkeit nach Kontodaten steht der privaten nicht nach. Diese Daten haben Relevanz für die unterschiedlichsten hoheitlichen Zwecke. Dies gilt natürlich zunächst für die Steuererhebung bzw. genauer für die Förderung der Steuerehrlichkeit und -gerechtigkeit durch Kontrollabgleiche zwischen Angaben von Banken und Steuerpflichtigen. Der Verkauf von Kundendaten Liechtensteiner Banken durch kriminelle Datenbeschaffer, z.B. an den Bundesnachrichtendienst und die Datenweitergabe an die Finanz- bzw. Strafverfolgungsbehörden bewegte die Öffentlichkeit. Nicht nur Großverdiener sind Betroffene bei der Kontostammdatenabfrage von Finanz- wie von Sozialbehörden, sondern auch einfache Steuerpflichtige und Empfänger von Sozialleistungen. Jüngst wurde eine neue Novelle zur der Bekämpfung von Geldwäsche im Bundestag durchgewunken, wobei die Banken nicht nur als Datenlieferanten, sondern weitergehend als Hilfs-Ermittler verpflichtet werden. Das Nonplusultra der Einbeziehung von Banken in staatliche Verfahren ist die Datenbeschaffung zur Terrorismusabwehr. Hierbei wurden durch das Terrorismusbekämpfungsgesetz nach den Anschlägen vom 11. September 2001 die Grundlagen für die Datenbeschaffung durch deutsche Geheimdienste geschaffen und jüngst erweitert durch die Regelungen des Terrorismusbekämpfungsergänzungsgesetz. Typischer Datenempfänger bei der Terrorismusbekämpfung ist aber die Staatsanwaltschaft. Dies beginnt mit der Bereitstellung von Kontostammdaten im Abrufverfahren und geht bis zum Abgleich der EU- und UNO-Terrorlisten, die z.B. zum Einfrieren der Vermögen der Betroffenen führt. Schließlich gibt es die klassische Kundendatenbeschaffung durch Strafverfolger in Ermittlungsverfahren, wobei Gesamtkundendatenbestände betroffen sein können, wie z.B. bei den sog. Mikado-Ermittlungen gegen den Vertrieb von Kinderpornografie über das Internet, bei dem die Kreditkartentransaktionen erfolgreich als Ermittlungsansatz genutzt wurden.
Viele der vorgenannten Prozesse haben grenzüberschreitenden Charakter. Dies gilt für den internationalen Kreditverkauf ebenso wie für internationale Ermittlungen gegen Steuerhinterzieher, Geldwäscher oder Terroristen. Dabei erweisen sich unterschiedliche nationale Rechtsregime als problematisch. Hier interessieren sollen vor allem unterschiedliche Datenschutzverständnisse in unterschiedlichen Staaten. Während einige Staaten die Vertraulichkeit der Kundenbeziehung unter dem Stichwort "Bankengeheimnis" verfassungsrechtlich überhöhen und wie eine Monstranz vor sich herumtragen, sehen andere Staaten hierin nichts anderes als die Verklärung des nationalen Interesses, ausländische Steuerbetrüger und deren Kapital an die lokalen Banken zu binden. Besonders wenig Skrupel bzgl. der Vertraulichkeit der Kundenbeziehung zeigen die USA, die z.B. wegen des Standortes eines von zwei zentralen Rechenzentren des Bankendienstleisters SWIFT weltweit sämtliche internationalen Finanztransaktionen auf sicherheitsbehördliche Auffälligkeiten hin untersuchen.
II. Grundlagen
Banken sind Institutionen, die sensible Daten ihrer Kunden verarbeiten. Kunden sind juristische wie natürliche Personen. Sensibel sind teilweise höchstpersönliche Daten aus dem täglichen Kundengeschäft, die alle Lebensbereiche erfassen können, oder auch geschäftliche Daten, die als Betriebs- und Geschäftsgeheimnisse vor allem vor der Konkurrenz vertraulich behandelt werden müssen. Datenschützer interessieren sich lediglich für personenbezogene Daten, also die Verhältnisse von natürlichen Personen. Da aber zumindest im Massengeschäft der Banken regelmäßig keine Unterscheidung zwischen natürlichen und juristischen Personen und zwischen Personendaten und Geschäftsgeheimnissen gemacht wird bzw. werden kann, ist es sinnvoll, die für natürliche Personen geltenden Grundsätze generell auf die Kundenbeziehungen anzuwenden.
Verfassungsrechtliche Grundlage für den Schutz der Kundendaten ist zunächst das Recht auf informationelle Selbstbestimmung bzw. das Grundrecht auf Datenschutz nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie Art. 8 EMRK bzw. Art. 8 der Europäischen Grundrechtecharta. Daneben hat dieses Recht auf Datenschutz eine informationelle Gewährleistungswirkung für eine Vielzahl weiterer Grundrechte. Für den Bereich der Finanzdienstleister stehen die Eigentumsgarantie von Art. 14 GG sowie der Schutz der Berufsfreiheit nach Art. 12 GG im Vordergrund, die nicht nur durch materielle Eingriffe, sondern auch informationell beeinträchtigt werden können.
Dem Datenschutz wie auch den informationellen Bestandteilen anderer Grundrechte kommt nicht nur eine Abwehrfunktion gegen staatliche Eingriffe zu. Vielmehr ist in der deutschen Verfassungsrechtsprechung allgemein anerkannt, dass diese Grundrechte insbesondere gegenüber den mächtigeren Partnern im Privatrechtsverkehr eine sog. Drittwirkung entfalten. Mehr noch als dies. Dem Grundrechtsschutz kommt objektiver Normcharakter für alle Rechtsbereiche zu mit einer gesellschaftlichen, objektiv-rechtlichen wie einer subjektiv-rechtlichen Funktion. Darüber hinausgehend hat das Bundesverfassungsgericht (BVerfG) mit der Online-Durchsuchungsentscheidung von Februar 2008 staatliche Gewährleistungspflichten bzgl. der Vertraulichkeit und Integrität informationstechnischer (IT-) Systeme begründet. Dies gilt insbesondere bei komplexen IT-Systemen und in globalen Netzwerken, wie sie bei Finanzdienstleistern zum Einsatz kommen.
Diese verfassungsrechtliche Sichtweise ist weder in den Banken noch in der zivilrechtlichen Bankenrechtsprechung bisher vollständig angekommen. Dort wird Datenschutz oft noch vorrangig als öffentlich-rechtlicher Ordnungsrahmen verstanden, der formal beachtet werden muss. Dem wird parallel das privatrechtlich wirkende Bankgeheimnis zur Seite gestellt, das unterschiedlich rechtlich begründet worden ist. Man berief sich auf Gewohnheitsrecht bis hin zum strafrechtlich abgesicherten Vertraulichkeitsschutz von Berufsgeheimnisträgern nach § 203 Strafgesetzbuch. Tatsächlich handelt es sich, das dürfte inzwischen weitgehend akzeptiert sein, beim Bankgeheimnis in Deutschland im Wesentlichen um eine vertragliche Nebenpflicht auf Wahrung von Vertraulichkeit - nicht mehr, aber auch nicht weniger. Als solche konkretisiert das Bankgeheimnis die grundrechtliche Drittwirkung des Rechts auf informationelle Selbstbestimmung wie auch die datenschutzrechtlichen Generalklauseln für den Privatrechtsverkehr, v.a. in § 28 BDSG.
Dies ist die materiellrechtliche Grundlage für die aufsichtsbehördliche Behandlung personenbezogener Bankenkommunikation: Die Gewerbeaufsicht über Banken durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) sieht sich im Hinblick auf Datenschutz und Bankgeheimnis nicht in der Pflicht. Die BAFin sieht die ausschließliche Zuständigkeit für die Datenschutzaufsicht bei den Behörden nach § 38 Bundesdatenschutzgesetz (BDSG). Dies führt dazu, dass von der BAFin u.U. Aufsichtsmaßnahmen vorgesehen werden, die nicht auf ihre Datenschutzkonformität hin überprüft sind. Derartige Erfahrungen ließen sich in der Vergangenheit in den unterschiedlichsten Bereichen machen, z.B. bzgl. einer übermäßigen Kundendatenerhebung zwecks Sicherung einer verbraucherschützenden Beratung, bzgl. des Ratings bzw. Scorings bei der Eigenkapitalsicherung oder bzgl. der Datenauswertung zum Zweck der Geldwäschebekämpfung. Dies hat für die für Compliance zuständigen Bankenmitarbeiter zur Folge, dass sie es neben der BAFin mit einer weiteren Aufsicht für den Datenschutz zu tun haben, wobei die dabei vermittelten Signale zueinander im Widerspruch stehen können. Da die BAFin es bisher nicht für nötig angesehen hat, insofern eine engere Kooperation mit der Datenschutzaufsicht zu praktizieren, sind die Banken in der Pflicht, selbst eine Zieloptimierung zu versuchen bzw. beide Aufsichtsstränge gesetzeskonform zu beachten.
Damit einher geht eine weitere Besonderheit des Datenschutzes: Anders als bei einer wettbewerblichen Sicht kennt das Datenschutzrecht keine spezifische Behandlung von konzerninterner Kommunikation. Konzerntöchter sind als Dritte zu behandeln, soweit nicht in engen Grenzen eine Datenverarbeitung im Auftrag möglich ist, die aber nur bei Hilfstätigkeiten in Betracht kommt. Diese Sichtweise ist zwangsläufig wegen der nach dem deutschen wie dem europäischen Datenschutzrecht formell zugewiesenen Verantwortlichkeit für die Datenverarbeitung.
Diese Interpretation von Bankgeheimnis und Datenschutz sollte weitgehend innerhalb der Europäischen Union bzw. im Europäischen Wirtschaftsraum Konsens sein. Verfassungsgrundlage ist perspektivisch Art. 8 der europäischen Grundrechtecharta und auf gesetzlicher Ebene die europäische Datenschutzrichtlinie (EU-DSRL).
Jenseits dieser grundsätzlichen Einordnung gibt es aber sowohl einfachgesetzlich wie auch kulturell große Unterschiede selbst innerhalb der Europäischen Union. So wird das Bankgeheimnis kulturell wie auch gesetzlich teilweise über die EU-DSRL hinausgehend als schutzbedürftig angesehen, so etwa in Österreich oder in Luxemburg. Solche über die europäischen Festlegungen der EU-DSRL hinausgehenden Schutzstandards sind nach dem europäischen Recht zulässig. Umgekehrt besteht insbesondere in Nordeuropa bzgl. des Schutzes von Finanzdaten, wozu auch die Daten aus Vertragsbeziehungen zu Banken gehören, keine ausgeprägte Sensibilität und umgekehrt eine hohe Informationsfreudigkeit.
Erwähnt werden muss schließlich, dass nicht nur bzgl. der Rechtskultur des Datenschutzes, sondern auch bzgl. des Vollzugs innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums gewaltige Unterschiede bestehen. So dürfte es eine Vielzahl von EU-Staaten geben, insbesondere im früheren Osteuropa, bei denen es kaum eine oder gar keine praktische Durchsetzung von Datenschutznormen im Bereich von Finanzdienstleistern gibt. In diesen Staaten mag aber dagegen ein tradiertes Verständnis vom Bankgeheimnis selbst dann wirksam sein, wenn ein solches Verständnis sich erst nach dem Niedergang des Kommunismus über westliche Einflüsse etablieren konnte. Bei der Annahme eines einheitlichen Schutzniveaus innerhalb der EU handelt es sich - leider - oft um eine - mit der Realität in Konflikt stehende - Fiktion.
III. Rechtsrahmen für grenzüberschreitenden Datentransfer
Die Regelungen für den internationalen Bankdatentransfer sind relativ übersichtlich: Innerhalb des Europäischen Wirtschaftsraumes (EWR) wird ein einheitlicher staatlich vorgegebener Datenschutzstandard fingiert. Dies bedeutet, dass für Datentransfers EWR-intern die nationalen Regelungen anzuwenden sind. Die Auftragsdatenverarbeitung (§ 11 BDSG) und die Abwicklung von Vertragsverhältnissen (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) stellen innerhalb des EWR regelmäßig keine besonderen Probleme dar. Um aber insofern keine falschen Vorstellungen aufkommen zu lassen: Auch bei einer EWR-internen Kommunikation spielen u.U. schutzwürdige Betroffeneninteressen eine zentrale Rolle, insbesondere, wenn der Verarbeitung kein direktes Vertragsverhältnis mit dem Betroffenen zugrunde liegt (v.a. § 28 Abs. 1 S. 1 Nr. 2, Abs. 3 S. 1 BDSG). In diesen Fällen können faktisch niedrige Schutzstandards bei einem Datenempfänger in einem anderen EWR-Staat dazu führen, dass eine Datenübermittlung nicht zulässig ist. So kann z.B. eine faktisch in der Slowakei keiner wirklichen Datenschutzkontrolle unterliegende Bank, die auch kein eigenes Datenschutzmanagement hat, ebenso von einer Übermittlung ausgeschlossen werden wie ein deutsches Kreditinstitut, von dem bekannt ist, dass es die nationalen Datenschutzregelungen nicht beachtet.
Besteht bei der Empfängerstelle ein angemessenes Datenschutzniveau, so kann ein Datentransfer ins Drittausland stattfinden, soweit auch eine nationale Übermittlung zulässig wäre (§ 4b Abs. 2 BDSG). Bei der Beurteilung der Angemessenheit sind alle relevanten Umstände mit zu berücksichtigen (§ 4b Abs. 3 BDSG). Die EU-Kommission kann nach Art. 25 Abs. 6 EU-DSRL pauschal für ein anderes Land feststellen, dass dort ein hinreichendes Datenschutzniveau besteht. Ist dieses nicht gegeben, so besteht die Möglichkeit, dass die beteiligten Unternehmen sich einheitlichen verbindlichen Unternehmensregeln unterwerfen, die aber von der Datenschutzaufsichtsbehörde genehmigt werden müssen (§ 4c Abs. 2 BDSG). Denkbar ist weiterhin bei vertragsbedingten Datenübermittlungen die Nutzung von Standardvertragsklauseln. Für den Datenverkehr mit den USA wurde das sog. Safe-Harbor-Abkommen geschlossen. Voraussetzung ist, dass sich das Empfänger-Unternehmen den in dem Abkommen beschriebenen Prinzipien unterwirft sowie einer Datenschutzkontrolle durch die Federal Trade Commission (FTC) in den USA. Bzgl. Banken besteht insofern ein Problem, als die FTC für diesen Bereich keine Zuständigkeit hat.Ein generelles Problem bei der Datenübermittlung ins Ausland, auch innerhalb des EWR, besteht darin, dass bei der Beurteilung des einheitlichen Datenschutzniveaus nicht die Möglichkeiten des staatlichen Zugriffs auf übermittelte Daten einbezogen werden. Der hoheitliche Zugriff auf die Bankdaten kann zu einer massiven Beeinträchtigung der informationellen Selbstbestimmung des Betroffenen führen. Dies kann auch dann der Fall sein, wenn der ursprüngliche Übermittlungszweck zunächst keinerlei hoheitlichen Bezug hatte, wenn also gar nicht damit gerechnet werden musste, dass auf diese Daten eine Sicherheitsbehörde zugreifen könnte. Werden die Daten von der Empfängerstelle an eine justizielle, polizeiliche oder geheimdienstliche Stelle weitergegeben, so kann dies zu massiv beeinträchtigenden Aktivitäten gegenüber dem Betroffenen führen, z.B. anlässlich von finanziellen Transaktionen, bei Reisen oder im Rahmen der Nutzung von Telekommunikation. Diese Zweckänderungsmöglichkeiten dürfen wegen der Fiktion eines einheitlichen Datenschutzstandards innerhalb des EWR nicht zum Ausschluss der Datenübermittlung führen. Wohl aber können diese bei sonstigen Datentransfers von Bedeutung sein.
Sind die mit einer Datenübermittlung verbundenen Risiken für den Betroffenen nicht kalkulierbar, so hat grds. eine Übermittlung zu unterbleiben. Ein sicherer Ausweg besteht in diesen Fällen nur dadurch, dass vom Betroffenen eine Einwilligung eingeholt wird (§ 4c Abs. 1 Nr. 1 BDSG). Unter Umständen kann auch schon eine Unterrichtung des Betroffenen ausreichen, wenn dadurch für diesen hinreichend Transparenz über das bestehende Risiko geschaffen wird und er sich hierauf z.B. vertraglich einlässt. In jedem Fall bedarf es dann aber einer umfassenden Einzelabwägung mit den schutzwürdigen Betroffeneninteressen.
IV. Rollen
Banken erfüllen unterschiedliche Rollen bei der personenbezogenen Datenverarbeitung. Als informationstechnisch mächtigerer Vertragspartner eines Bankkunden erfüllt er i.d.R. die Funktion eines Treuhänders für den Kunden. Dieses Treuhandverhältnis, bei dem die finanzielle Interessenwahrung des Kunden im Vordergrund steht, bezieht sich im Rahmen einer vertraglichen oder vorvertraglichen Nebenpflicht auf die Wahrung der Vertraulichkeit der überlassenen Daten, also des Bankgeheimnisses.
Das Hauptinteresse einer Bank besteht aber nicht in der Interessenwahrung der Kunden. Vielmehr ist diese ein Zwischenziel zur Abwicklung wirtschaftlich erfolgreicher Geschäftsbeziehungen. Es geht letztlich jeder Bank um einen größtmöglichen Gewinn im Interesse der Bankeigentümer. Zum Kapital einer Bank gehört zweifellos auch der Kundendatenbestand. Deren ökonomische Verwertung unterliegt aber engen rechtlichen Grenzen, insbesondere des Datenschutzrechts. Treuhänderrolle und Verwertungsinteressen der Bank können zueinander in Konflikt geraten. Bei dem mit Hilfe des Datenschutzrechtes aufzulösenden Konflikt kommt es entscheidend auf den jeweiligen Zweck der Daten an. Es besteht kein einheitlicher Zweck der Pflege der Kundenbeziehung. Vielmehr ist der Zweck jedes Datums an den Vertrag gebunden, für den dieses erhoben wurde. Die Sensibilität der Daten nimmt mit der Erwartungshaltung an Vertraulichkeit des Kunden zu, was sich auf die Zweckbindung auswirken kann. Sie ist bei Beratungsdaten oder Einzeltransaktionsdaten besonders hoch, bei reinen Bestands- bzw. Stammdaten geringer.
Teilweise erfüllt ein Finanzdienstleister weitere, Dritten dienende Funktionen. Diese können, z.B. auch im Rahmen einer konzerninternen Arbeitsteilung, als Auftragsdatenverarbeiter oder im Rahmen einer Funktionsübertragung wahrgenommen werden. Während die Eigenständigkeit bei der Auftragsdatenverarbeitung auf die Gewährleistung der Datensicherheit beschränkt bleibt, sind im Rahmen der Funktionsübertragung unterschiedliche Grade der Selbständigkeit und damit der Verfolgung von Eigen- neben den Drittinteressen möglich. Regelmäßig ergeben sich hieraus Interessenkonstellationen bei der Datenverarbeitung, die gegenüber den Betroffenen Transparenz- oder gar Einwilligungspflichten auslösen.
In besonderem Maße wird die Bank-Kunden-Beziehung gestört, soweit die Bank fremde staatliche Interessen wahrnehmen muss. Dies beginnt mit der Unterstützungspflicht in staatlichen Verfahren (Strafverfahren, Besteuerung, Erbringung von Sozialleistungen), setzt sich fort in der Pflicht der Bereitstellung von Kommunikationsinfrastruktur (z.B. Schnittstellen) und findet seine höchste Steigerung in gesetzlich zwangsweise auferlegten Hilfsdienstleistungen, etwa in der eigenständigen Geldwäscheermittlung. Bei diesen Aufgaben kann die Bank nicht davon ausgehen, im Interesse des einzelnen Kunden zu handeln. Um insofern die eigene Vertrauenswürdigkeit nicht zu beeinträchtigen und um die Einbringung von Betroffeneninteressen berücksichtigen zu können, ist bei derartigen Verfahren eine weitestgehende Transparenz, evtl. in Form der Benachrichtigung der Betroffenen, angesagt.
IV. Datenflüsse innerhalb eines internationalen Bankkonzerns
Da es nach europäischem Datenschutzrecht kein Konzernprivileg gibt, sind konzernangehörige Unternehmen zunächst rechtlich genauso zu behandeln wie ein fremdes Unternehmen. Durch konzerninterne Regelungen ist es jedoch möglich, dieses Kommunikationshindernis zu mildern. Hierbei gibt es zwei verschiedene Möglichkeiten, wobei u.U. beide Instrumente gleichzeitig für einen Sachverhalt wanwendbar sein können: 1. die gewillkürte Einbeziehung von Konzerntöchtern durch vertragliche Regelungen oder über explizite Einwilligungen und 2. verbindliche Unternehmensregeln innerhalb eines Konzerns.
Die Einbeziehung von Konzerntöchtern durch ausdrückliche Willenserklärungen sind nur wirksam, wenn hierbei für den Betroffenen bei Abgabe der Erklärung die konkret einbezogenen Unternehmen, die Art der übermittelten Daten sowie der jeweils damit verfolgte Zweck eindeutig erkennbar sind. Mit der Erklärung erfolgt eine Festlegung, an die das Bankunternehmen für die Zukunft gebunden ist. Problematisch ist insofern v.a. die präzise Benennung der möglichen Übermittlungsempfänger, da Veränderungen der Konzernstruktur mit Einfluss auf die Datenverarbeitung im Konzern nie vorhersehbar sind. Dieses Problem lässt sich nicht dadurch lösen, dass demgemäß die verarbeitenden Stellen nur vage beschrieben werden, da dadurch die für die Erklärung notwendige Bestimmtheit verloren geht. Lösungen können darin bestehen, dass dem Kunden eine Liste der Konzerntöchtern zur Kenntnis gegeben wird und ihm Änderungen angezeigt werden, wobei ihm die Möglichkeit eingeräumt werden muss, bestimmten von ihm nicht gewünschten Datenübermittlungen zu widersprechen.
Verbindliche Unternehmensregeln spielen eine Rolle bei der Herstellung eines angemessenen Datenschutzniveaus als Voraussetzung für Datenübermittlungen ins Ausland, die auf einer Interessenabwägung basieren. Sie sind aber auch von großer Bedeutung für die Schaffung eines allgemeinen Datenschutzniveaus innerhalb einer Konzerngruppe zur Erhöhung des Kundenvertrauens. Sie können auch zum Bestandteil von Kundenverträgen gemacht werden. Sie können in allgemeinen Geschäftsbedingungen festgelegt werden oder durch einen Verweis darin verbindliche Wirkung auch für den Kunden erhalten.
Zielsetzung von verbindlichen Unternehmensregeln ist es, unabhängig davon, ob staatlicherseits ein hinreichender Datenschutz gewährleistet ist, dies innerhalb des Konzerns durch interne für verbindlich erklärte Regeln sicherzustellen. Gegenstand derartiger Richtlinien muss eine Sicherstellung der Zweckbindung der Daten sein, hinreichende Transparenz für den Betroffenen über die erfolgende Datenverarbeitung, die Sicherung der Betroffenenrechte, einschließlich einer Beschwerdemöglichkeit z.B. bei einem betrieblichen (Konzern-) Datenschutzbeauftragten sowie die Etablierung eines umfassenden Datenschutzmanagements. Zu einem Datenschutzmanagement gehören festgelegte Abläufe für Beschwerden, im Fall von standardisierten Fallkonstellationen (z.B. Auskunftsersuchen einer Sicherheitsbehörde), in Krisensituationen sowie bei technischen Störungen. Zum Datenschutzmangement gehört also auch die Gewährleistung technisch-organisatorischer Maßnahmen im Interesse der Datensicherheit. Eingebunden werden müssen also regelmäßig auch die IT-Abteilungen. Eine zentrale Funktion kommt dem betrieblichen Datenschutzverantwortlichen (Datenschutzbeauftragten) zu. Eingebunden werden muss aber bei den vielen Abläufen die Rechts- bzw. Complianceabteilung, in einigen Fällen die Beschäftigtenvertretung und bei wichtigen Fällen auch die Unternehmensleitung.
V. SWIFT
Exemplarisch für internationale Bankdatenflüsse soll die in der Praxis aufgetretene besonders konfliktträchtige Konstellation von SWIFT dargestellt werden, mit der sich auch die Datenschutzaufsichtsbehörden beschäftigt haben.
SWIFT ist ein Dienstleister für alle weltweit tätigen Banken zur technischen Abwicklung der internationalen Finanztransaktionen. SWIFT mit Hauptsitz in Belgien betrieb zur Wahrnehmung seiner Aufgaben zwei Rechenzentren, eines in Belgien, das andere in den USA. Rechtlich gesehen ist SWIFT im Verhältnis zu europäischen Banken als Auftragsdatenverarbeiter anzusehen. Dies bedeutet, dass die rechtliche Verantwortlichkeit für die gesamte Datenverarbeitung anlässlich der Transaktion bei der überweisenden Bank verbleibt. Nach den terroristischen Anschlägen am 11. September 2001 verpflichteten US-Behörden SWIFT, sämtliche Transaktionsdaten zum Zweck der Verdachtsgewinnung zur Verfügung zu stellen. Dies erfolgte über das in den USA befindliche Rechenzentrum. Dies hatte zur Folge, dass weltweit sämtliche Finanztransaktionen den US-Sicherheitsbehörden zur Verfügung gestellt wurden und weiterhin werden, ohne dass auch nur ansatzweise die Wahrung der Betroffenenrechte gewährleistet ist. Nach deutschem und europäischem Datenschutzrecht ist dies unzweifelhaft unzulässig. Die formelle Verantwortung hierfür liegt bei den mit der Transaktion beauftragten Bank, die aber tatsächlich keinerlei Einflussmöglichkeit auf die Verarbeitung bei SWIFT und auf den Datenzugriff durch US-Behörden hat. Technische Alternativen bestanden zur Abwicklung des internationalen Finanzverkehrs zunächst nicht, so dass sich die – nur theoretisch bestehende – Alternative stellte: entweder den internationalen Finanzverkehr einstellen und den Datenschutz wahren oder den Verkehr aufrechterhalten und damit jedesmal gegen das Datenschutzrecht verstoßen.
Kurzfristig haben angesichts dieses Dilemmas einige Institute zumindest mehr Transparenz für die Kunden durch besondere Hinweise geschaffen. Mittelfristig muss aber dieser dauernde Datenschutzverstoß dadurch beendet werden, dass der Zugriff der US-Behörden auf die Transaktionsdaten nicht mehr möglich ist. Zu diesem Zweck werden jetzt von SWIFT ein Rechenzentrum Zürich in der Schweiz sowie eine weitere Zentrale in Hongkong aufgebaut.
VI. Perspektiven
Angesichts der weitweiten Kommunikation mit personenbezogenen Daten und den damit auftretenden Beeinträchtigungen des Persönlichkeitsrechts von Betroffenen, v.a. über das Internet, die nicht mehr mit nationalstaatlichen oder auch europäischen Normen sanktioniert werden können, ist langfristig der Abschluss eines weltweiten Abkommens zur Gewährleistung des Datenschutzes notwendig. Bisher gibt es hierzu aber noch nicht im Ansatz Bestrebungen. Eine solche globale Einigung ist auch angesichts der weltweit sehr unterschiedlichen Datenschutzkulturen in absehbarer Zeit nicht zu erwarten. Dies darf aber nicht davon abhalten, derartige weltweite Minimalstandards anzustreben.
Daher sind parallel zu den Bestrebungen zur Schaffung eines allgemeinen weltweiten Normgefüges anzustreben, mittelfristig bankenspezifische Regelungen in Angriff zu nehmen. Da die Bankenkommunikation zu einem wesentlichen Teil nicht über das Internet, sondern über getrennte, besonders geschützte Netze erfolgt, hätte eine derartige bereichsspezifische internationale Regelung auch die Chance, beachtet werden zu können.
Kurzfristig gibt es keine Alternative zur Sanktionierung massiver Datenschutzverstöße im Ausland. Ebenso wie es den USA möglich ist, seine rechtlichen Anforderungen ausländischen Geschäftspartnern aufzuzwingen, müssen auch die europäischen Staaten und Banken im Interesse der Wahrung der nötigen Vertraulichkeit der Kundenbeziehung von ausländischen Partnern datenschutzrechtliche Garantien einfordern. Dies kann zur Folge haben, dass Auslandstransaktionen wegen der in den USA drohenden Zweckdurchbrechung aus Datenschutzgründen unterbleiben müssen. Zumindest mittelfristig muss dies dazu führen, dass von europäischer Seite keine Geschäftsbeziehungen mehr gepflegt werden, bei denen nicht ein Mindestmaß an Datenschutzgarantien rechtlich verbindlich festgelegt worden sind. Dies sollte parallel sowohl über Vertragsregelungen zwischen der Banken wie auch zwischen der Regierungen ausgehandelt werden.