Donnerstag, 11. November 2010

3: Vorträge, Vorlesungen, Aufsätze

Banken – im Spannungsfeld von Informationsfreiheit und Datenschutz

Vortrag von Thilo Weichert auf dem 16. Rostocker Bankentag "Datenschutz und Bankgeschäft", OLG Rostock, am 11. November 2010

I. Unabhängiges Landeszentrum für Datenschutz (ULD)

Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle des Landesbeauftragten für Datenschutz in Schleswig-Holstein. Das ULD ist damit die Datenschutzaufsichtsbehörde für den öffentlichen und den nichtöffentlichen Bereich und überprüft als solche die Rechtmäßigkeit der Datenverarbeitung der Sparkassen und öffentlichen Banken wie der Privatbanken bzw. der Finanzdienstleister generell im Land. Das ULD gehört sowohl der Konferenz der Datenschutzbeauftragten des Bundes und der Länder an wie auch dem Zusammenschluss der Datenschutzaufsichtsbehörden im nichtöffentlichen Bereich, dem Düsseldorfer Kreis. Seit 2006 hat das ULD u.a. den Vorsitz in der Arbeitsgruppe Versicherungswirtschaft inne. Es betreibt für alle deutschsprachigen Datenschutzbehörden das gemeinsame Internetportal des virtuellen Datenschutzbüros (www.datenschutz.de).

Eine andere gesetzliche Aufgabe des ULD liegt in der Überprüfung der Beachtung des Informationsfreiheitsgesetzes (IFG) Schleswig-Holstein im Beschwerdefall sowie in der oft nötigen Vermittlung zwischen Informationen suchenden Bürgern und Akten führenden Behörden oder sonstigen öffentlichen Stellen.

Sowohl im Bereich des Datenschutzes wie im Bereich der Informationsfreiheit obliegt es dem ULD, Bürgerinnen und Bürger, Verwaltung und Wirtschaft sowie Politik und Wissenschaft zu beraten. In der Datenschutzakademie Schleswig-Holstein bietet das ULD Fortbildungsangebote an. Weiterhin führt das ULD Projekte durch und erstellt Gutachten, die jeweils mit Drittmitteln finanziert werden. Beispiele hierfür sind die Erstellung von Studien zum Verbraucherdatenschutz, zum Kreditscoring oder zur Bereitstellung von Geodaten oder umfangreiche Projekte zum Identitätsmanagement. Auftraggeber sind vor allem Bundesministerien und die Europäische Kommission, aber auch Interessenverbände. Das ULD arbeitet eng mit der Verbraucherzentrale Bundesverband und der Verbraucherzentrale Schleswig-Holstein zusammen. Hinzuweisen ist weiterhin auf eine umfassende Öffentlichkeitsarbeit in den Bereichen Datenschutz und Informationsfreiheit.

Seit 2000 vergibt das ULD Datenschutz-Gütesiegel und Auditzeichen nach Durchführung eines förmlichen Zertifizierungsverfahrens und bestätigt hierbei die Konformität von IT-Produkten, Dienstleistungen und Verfahren mit den nationalen Regelungen des Datenschutzes. Ein entsprechendes Angebot besteht im Hinblick auf das Europäische Datenschutzrecht in Form des Europäischen Datenschutz-Gütesiegels, des European Privacy Seal (EuroPriSe). Wegen der Sensibilität der Verfahren und dem Wunsch nach verstärktem Verbrauchervertrauen wurden auch an Finanzdienstleistungsangebote schon mehrere Gütesiegel vergeben.

II. Praktische Beispiele

Transparenz und Datenschutz sind zwei Tugenden, die im Bereich der Finanzdienstleister oft wenig ernst genommen werden. So berichtete z.B. der Norddeutsche Rundfunk (NDR) Anfang Mai 2010, dass durch Dienstleister im Rahmen des Elektronischen Lastschriftverfahrens (ELV) von den Verbrauchern Einwilligungserklärungen zur Datenverarbeitung eingeholt werden, die den rechtlichen Anforderungen an Informiertheit und Erklärungswille nicht genügen. Die Verbraucherzentrale Bundesverband (vzbv) erhob Klage gegen ein das ELV-Verfahren einsetzendes Unternehmen. Dadurch wurde der Öffentlichkeit und den Datenschutzbehörden bekannt, dass sich in der gesamten Branche bundesweit sukzessive rechtswidrige Verfahren etabliert haben. Der Branchenprimus Easycash geriet in die Schlagzeilen, weil im Rahmen des ELV-Verfahrens ohne Kundenkenntnise Finanztransaktionen ausgewertet wurden und Scoringverfahren durchgeführt wurden. Von der "Datenkrake von Ratingen" war die Rede. Im Oktober 2010 titelte der NDR über eine EasyCash-Tochter "Der Big Brother von Hamburg-Lokstedt", weil das Unternehmen scheinbar die ELV-Finanztransaktionsdaten von Easycash zu Abgleichen mit Kundenkartendaten nutzte, was von dem Unternehmen zunächst umgehend dementiert wurde. Doch wenige Tage später bestätigte der nordrhein-westfälische Beauftragte für Datenschutz und Informationsfreiheit (LDI NRW), dass Easycash entgegen seinem Dementi im Jahr 2009 über 2 Monate hinweg Zahlungsverkehrsdaten an seine Tochter Loyalty Solutions übermittelt hatte. Der LDI NRW erstattete Strafanzeige.

Im Jahr 2006 bewegte Deutschland das Schicksal vieler Schuldner, deren Kredite von Kreditinstituten an internationale Unternehmen abgetreten wurden, die die Darlehen umgehend kündigten und das Geld einforderten. Hierdurch gelangten viele Betroffene in existenzielle Schwierigkeiten und wurden teilweise in den Ruin getrieben. Bei den abgetretenen Forderungen handelte es sich nicht nur um notleidende, sondern auch um regelmäßig bediente Kredite. Die Abtretung an ausländische Finanzhaie erfolgte, ohne dass die Betroffenen hierüber zuvor informiert, geschweige denn weitergehend beteiligt wurden. Die Frage, ob Kreditinstitute bei derartigen Forderungsabtretungen befugt sind, die Kreditdaten der Darlehensnehmer voraussetzungslos weiterzugeben, ist bis heute nicht - schon gar nicht befriedigend - geklärt.

Für Kundinnen und Kunden ist oft völlig unklar, welche Daten eine Bank zur Abwicklung einer Geschäftsbeziehung, z.B. zur Bearbeitung eines Kreditgesuchs verarbeitet: Bei welchen Auskunfteien beschaffen sich die Banken welche Bonitätsauskünfte? Werden Scoringverfahren verwendet, und wenn ja, welche? Welche Rückmeldungen geben die Kreditinstitute aus dem Antragsverfahren und aus dem Vertragsablauf an die Auskunfteien? Ja manchmal ist es den Betroffenen nicht einmal möglich eindeutig zu erkennen, mit welchem Finanzinstitut sie es zu tun haben. Sie sind irritiert, wenn die Finanzdienstleister einerseits detaillierte Informationen einholen, etwa im Bereich von Wertpapieranlagen oder im Rahmen von Kreditverhältnissen, andererseits aber keinen Einblick geben, was mit diesen Daten geschieht.

Wenig vertrauensbildend für Öffentlichkeit wie Kundenschaft war, als über US-amerikanische Presseberichte im Jahr 2006 bekannt wurde, dass sämtliche internationalen Banktransaktionen, die über den in Belgien ansässigen Monopoldienstleister SWIFT abgewickelt wurden, nach den Anschlägen vom 11. September 2001 von US-Sicherheitsbehörden gescannt und zu Zwecken der Terrorismusbekämpfung verwendet wurden. Nach langer öffentlicher Debatte wurde diese Praxis von SWIFT beendet und kurz darauf von der Europäischen Union über einen völkerrechtlichen Vertrag wieder zugelassen.

Immer wieder wird bekannt, dass Banken ohne Kenntnis ihrer Kunden detaillierte Persönlichkeitsbewertungen erstellen und nutzen, wobei sie z.B. Angaben zu Ruf, Ansehen, Lebensziel, Zielstrebigkeit und Zuverlässigkeit verwenden. Erst jüngst wurde bekannt, dass die Hamburger Sparkasse (Haspa) anhand der vorhandenen Daten psychologische Kundenprofile erstellte. Durch die Einstufung in verschiedene Typen, vom "Bewahrer" über den "Genießer" bis hin zum "Abenteurer", sollten die Haspa-Finanzprodukte besser vermarktet werden. Diese Kundenprofilierung, die über Presserecherchen öffentlich wurde, erfolgte ohne Wissen der Betroffenen.

Eine andere Facette des Ignorierens von Datenschutz- und Transparenzanforderungen lieferte jüngst die HSH Nordbank, die einen Sicherheitsdienstleister beauftragt hatte, eigene Vorstandsmitglieder ebenso wie Politiker und Bankenkritiker auszuspionieren. Die Beispiele dafür, dass Datenschutz und Transparenzpflichten bei Finanzdienstleistern im Allgemeinen und bei Banken im Speziellen noch nicht angekommen sind, sind zahllos.

III. Verfassungsrechtliche Grundlagen

Bei Datenschutz und Transparenz handelt es sich nicht nur um verbraucherpolitische Forderungen. Vielmehr basieren diese auf verfassungsrechtlichen Grundlagen. Im Vordergrund stehen zunächst das allgemeine Persönlichkeitsrecht nach Art. 2 I i.V.m. 1 I GG sowie davon abgeleitet die Grundrechte auf informationelle Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Eine Vielzahl weiterer Grundrechte hat eine in unserem Kontext relevante informationelle bzw. datenrechtliche Komponente. Der Eigentumsschutz nach Art. 14 GG gilt nicht nur für das greifbare Vermögen, sondern auch für immaterielle Werte und Forderungen. Geschützt wird nicht nur die Substanz des Vermögens, sondern auch die Information hierüber. Verfassungsrechtlich ist festgelegt, dass Eigentum, auch das der Banken, und dessen Nutzung dem Vorbehalt der Sozialpflichtigkeit unterliegt. Bei Finanztransaktionen ist regelmäßig informationell wie materiell das Grundrecht auf Berufsfreiheit nach Art. 12 GG tangiert, sowohl im Hinblick auf den Finanzdienstleister wie auf die geschäftlichen Kunden.

Im Hinblick auf die Diskussion über Transparenz und Datenschutz bei Banken kommt weiterhin Art. 5 GG ins Spiel, der die Meinungsäußerungs-, die Informations- und die Pressefreiheit gewährleistet. Gemäß der herrschenden Meinung lässt sich aus Art. 5 GG zwar nicht direkt ein Anspruch auf Information gegenüber Staat oder Wirtschaft abteilen. Wohl aber begründet dieses Grundrecht einen Anspruch auf Weitergabe dieser Informationen und Nutzung dieser Information für Meinungsbildung und Teilnahme am öffentlichen Diskurs. Damit wird zugleich eine Brücke zum in Art. 20 GG festgelegten Demokratieprinzip geschlagen. Die Kommunikation mit bzw. über Bankdaten wird zudem durch Art. 10 GG, das Telekommunikationsgrundrecht, geschützt, dem eine abwehrende wie eine gewährleistende Komponente zukommt.

Der Gehalt von Grundrechten richtet sich zunächst und vorrangig an bzw. gegen den Staat. Doch ist er hierauf nicht begrenzt. Inzwischen ist unstreitig und anerkannt, dass die Grundrechte zugleich Ausdruck einer allgemeinen objektiven Wertordnung sind mit normativen Wirkungen auch im Verkehr zwischen Privaten. Dem Staat obliegt gerade insofern eine Regulierungs- und sonstige Schutzpflicht, etwa durch hoheitliche Kontrollen und Fördermaßnahmen. Im Zusammenhang mit Finanzdienstleistungen hat das Bundesverfassungsgericht (BVerfG) ausdrücklich festgestellt, dass „das allgemeine Persönlichkeitsrecht ... als Norm des objektiven Rechts seinen Rechtsgehalt auch im Privatrecht“ entfaltet. Es führte weiter aus: „Ist ersichtlich, dass in einem Vertragsverhältnis ein Partner ein solches Gewicht hat, dass er den Vertragsinhalt faktisch einseitig bestimmen kann, ist es Aufgabe des Rechts, auf die Wahrung der Grundrechtspositionen beider Vertragspartner hinzuwirken, um zu verhindern, das sich für einen Vertragsteil die Selbstbestimmung in eine Fremdbestimmung verkehrt“ (BVerfG , B.v. 23.10.2003 - 1 BvR 2027/02).Es gibt wohl wenige Wirtschaftsbereiche, in denen diese Aussage mehr zutrifft als für den Bankenbereich.

IV. Interessenkonflikte

Bevor ich auf die einfachgesetzlichen Grundlagen von Datenschutz und Transparenz im Bankenbereich eingehe, will ich die teilweise konfligierenden, teilweise parallel laufenden Interessenlagen der beteiligten Stellen und Personen aufführen. Das vorrangige Motiv zum Betreiben von Bankgeschäften ist der Profit bzw. die Maximierung von Gewinn. Hierfür strebt die Bank eine Maximierung des Umsatzes an, die Bindung der (guten) Kunden an das eigene Unternehmen sowie die Einschätzung und Vermeidung von Geschäftsrisiken. Hinsichtlich des Umgangs mit Informationen bedeutet dies, dass einerseits möglichst viele geschäftsrelevante Daten gesammelt werden, die aber möglichst nicht offengelegt werden sollen. Derartiges gilt selbst im Verhältnis gegenüber dem Kunden, da ein Informationsungleichgewicht gegenüber diesem günstigere Vertragskonditionen verspricht. Intransparenz gegenüber den Konkurrenten bedeutet regelmäßig einen Marktvorteil im Wettbewerb. Banken machen deshalb Betriebs- und Geschäftsgeheimnisse geltend.

Die Kunden haben ebenso ein gesteigertes Interesse an einer vertrauensvollen Bindung bzw. Beziehung zu ihrer Bank. Im Gegensatz zur Bank haben sie aber ein Interesse daran, dass Kredite möglichst billig bzw. günstig erteilt werden oder dass bei Vermögensanlagen möglichst wenig Provisionen und Gebühren anfallen. Eine langfristige vertragliche Win-Win-Situation ist dennoch nur auf der Basis von Vertrauen zu erzielen. Verbraucherschutz und Transparenz gegenüber dem Verbraucher sind hierfür zentrale Bedingungen. Da im immer anonymer werdenden Massenmarkt der Finanzdienstleistungen zur Erfüllung dieser Bedingungen allein vertragsrechtliche Instrumente immer weniger genügen, werden staatliche Aufsichtsmaßnahmen, also hoheitliche Bankenkontrollen, immer wichtiger.

Neben der Gewährleistungsaufgabe für seine Bürgerinnen und Bürger im Sinne des Verbraucherschutzes verfolgt der Staat zusätzlich das kollektive Interesse an der Erzielung von Steuereinnahmen, wozu es der Schaffung einer gewissen Transparenz der Finanztransaktionen gegenüber den zuständigen Behörden bedarf. Hierbei befindet sich der Staat in einem Zielkonflikt, der das Steuergeheimnis zur Folge hat: Einerseits ist der Staat an größtmöglicher Steuerehrlichkeit interessiert, was nur durch eine weitgehende Vertraulichkeitszusage im Steuerverfahren erreichbar ist. Andererseits besteht ein über die Steuererlangung hinausgehendes Kontrollinteresse. Das staatliche Informationsinteresse beschränkt sich nicht auf die Finanzbehörden, sondern erfasst z.B. auch die Strafverfolgungsbehörden und die Finanzdienstleistungsaufsicht. Banken haben zudem nicht nur die Funktion eines Mittlers von Geldgeschäften. Sie beeinflussen mit ihrer Kreditvergabe und ihren Vermögenstransaktionen auch die gesamte Volkswirtschaft und damit die Geldwertstabilität und den wirtschaftlichen Erfolg einer politischen Gemeinschaft. Wegen der gesellschaftlichen, fiskalischen und volkswirtschaftlichen Bedeutung der Bankentätigkeit besteht nicht nur ein Bedarf an staatlicher, sondern auch an demokratischer Kontrolle der Banken.

Bei der Umsetzung staatlicher Gemeinwohlinteressen können Widersprüche auftreten. Ein Beispiel hierfür sind seit Jahren die Anforderungen der Finanzdienstleistungsaufsicht einerseits und der Datenschutzaufsicht andererseits. Während die Finanzaufsicht von den Finanzdienstleistern regelmäßig umfassende Dokumentations-, Auswertungs- und Auskunftspflichten auch im Hinblick auf einzelne kundenbezogene Vorgänge einfordert, drängt die Datenschutzaufsicht auf die Beachtung des Erforderlichkeits- und des Datensparsamkeitsgebotes. Der Ausgleich zwischen diesen hinsichtlich der Intention widersprüchlichen Anforderungen sollte nicht auf dem Rücken der Finanzdienstleister erfolgen. Dies war aber leider in der Vergangenheit angesichts einer fehlenden Sensibilität der Bundesanstalt für Finanzdienstleistungsaufsicht für den Persönlichkeitsschutz immer wieder der Fall.

V. Informationsgesetzliche Regelungen

Eine informationsgesetzliche Grundlage für Banken ist viele hundert Jahre alt: das Bankgeheimnis. Für öffentliche Banken, also vor allem die Sparkassen, tritt zur institutsbezogenen Vertrauensbeziehung die besondere hoheitliche Geheimhaltungsverpflichtung hinzu. Dies wurde in § 203 Abs. 2 StGB als amtliche Schweigepflicht gesetzlich sanktioniert. Eine zentrale Quelle des modernen Informationsrechts ist das Bundesdatenschutzgesetz, dessen erste Version im Jahr 1977 in Kraft trat. Die darin geregelten Grundprinzipien haben bis heute Bestand: Personenbezogene Datenverarbeitung lässt sich legitimieren durch 1. die Einwilligung des Betroffenen, 2. zur Erfüllung vertraglicher Pflichten oder 3. zur Erfüllung gemeinschaftlicher Aufgaben auf der Basis einer gesetzlichen Regelung. Mit der Erhöhung des subjektiven Anspruchs auf Datenschutz zu einem Grundrecht durch das Volkszählungsurteil 1983 wurde dieser normativ schon angelegte Gesetzesvorbehalt verfassungsrechtlich fundiert. Damit einher ging die Etablierung des Grundsatzes der Zweckbindung und des Erforderlichkeitsprinzips.

Das überkommene Bankgeheimnis verlor zugleich seine rechtliche Bedeutung. Abgesehen von der spezifischen Schutzvorschrift des § 30a Abgabenordnung hat es heute weniger eine rechtliche als eine ideologische Bedeutung. Aus der Informatisierung der Kundenkontakte entwickelt sich zunehmend die rechtliche Erkenntnis, dass Datenschutz als ein Teil des Verbraucherschutzes zu verstehen ist. Dies gilt auch für den Bereich finanzieller Transaktionen. Konsequenz dessen ist bisher nur, dass dem Kunden gewisse individuelle informationsrechtliche Leistungs- und Abwehrrechte zugestanden werden. Das Verbraucherrecht geht bisher noch nicht so weit, dass kollektiv gesetzliche Informationsansprüche begründet würden. Derartiges kennt das Verbraucherrecht in Bezug auf private Marktanbieter nur in spezifischen Einzelregelungen und etwas allgemeiner im Verbraucherinformationsgesetz als Anspruch auf aufsichtlich erlangte Unternehmensdaten, aber nur im Lebensmittelbereich, nicht bei Finanzdienstleistern.

Weitergehende Informationsansprüche haben die Bürgerinnen und Bürger gegenüber der Verwaltung. Abgeleitet aus dem demokratischen Transparenzprinzip wird den Menschen seit den 90er Jahren über die Informationsfreiheitsgesetze des Bundes und der Länder zunehmend ein Recht auf Einblick in Behördenakten zugestanden. Davon werden wegen der öffentlichrechtlichen Organisiertheit auch Sparkassen und Landesbanken erfasst. Private Banken unterliegen dagegen - abgesehen von vertraglichen Offenlegungsansprüchen gegenüber den Kunden - weitgehend nur Transparenzpflichten gegenüber staatlichen Behörden, z.B. gegenüber der Finanzdienstleistungsaufsicht generell sowie im Einzelfall z.B. gegenüber den Finanzbehörden, den Datenschutzbehörden oder der Staatsanwaltschaft.

Das BVerfG hat im Volkszählungsurteil richtig festgestellt, dass es angesichts der informationstechnischen Verarbeitungsmöglichkeiten im Hinblick auf die Frage des Vorliegens von Grundrechtseingriffen keine belanglosen Daten mehr gibt (BVerfGE 65, 44 = NJW 1983, 422). Unbestritten ist aber auch, dass es hinsichtlich der Sensibilität von Datenarten Unterschiede gibt. Sowohl nach der Europäischen Datenschutzrichtlinie (EU-DSRL) wie nach dem Bundesdatenschutzgesetz (BDSG) gibt es die Kategorie der "besonderen Arten personenbezogener Daten" (§ 3 Abs. 9 BDSG, Art. 8 EU-DSRL). Hierzu gehören Angaben zu rassischer und ethnischer Herkunft, politischer Meinung, religiöser und philosophischer Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Nicht erwähnt werden hierbei Bank- bzw. Finanztransaktionsdaten. Dieser Befund ändert aber nichts an dem Umstand, dass derartige Transaktionsdaten eine sehr weitgehende Aussagekraft hinsichtlich vieler Lebensbereiche eines Menschen haben. Allein aus den Girokontobewegungen lassen sich Interessen-, Verhaltens-, Konsum-, Sozial-, Bewegungsprofile und Bonitätsaussagen ableiten. Das bedingt eine hohe persönlichkeitsrechtliche Sensibilität. Dem versuchte das BVerfG schon früh durch ein verfassungsrechtlich abgeleitete Verbot umfassender Persönlichkeitsprofile gerecht zu werden (BVerfG NJW 1969, 1707).

Diese Besonderheit von Finanzdaten und deren hohe Sensibilität erkannte der BDSG-Gesetzgeber anhand von praktischen Konflikten und Datenschutzskandalen in jüngerer Seit. Dies veranlasste ihn dazu, Spezialregelungen zu Bonitätsbewertungen (§ 28a BDSG), zu Scoringverfahren (§ 28b BDSG), zu Auskunftsansprüchen bei Finanzdaten (§ 34 BDSG) sowie zu einer datenspezifischen Benachrichtigungspflicht bei Datenlecks (§ 42a BDSG) zu erlassen. Zwar sah er weiterhin keine Veranlassung zur Kodifizierung eines allgemeinen Bankgeheimnisses. Doch ist es unbestritten, dass wegen der besonderer Sensibilität von Finanzdaten bei der Verarbeitung verstärkt schutzwürdige Betroffenenbelange im Sinne der §§ 28, 29 BDSG tangiert sind.

Das BDSG ist für die Betroffenen nicht nur ein Schutz- und Abwehrgesetz, sondern begründet auch eine Vielzahl von Teilhabeansprüchen, insbesondere Informationsansprüche. Damit setzt das BDSG die Erkenntnis um, dass Grundlage jeder informationellen Selbstbestimmung die möglichst umfassende Kenntnis über die Verarbeitung der eigenen Daten ist. Transparenzanforderungen ziehen sich daher wie ein roter Faden durch das gesamte BDSG. Dies beginnt beim Informationsanspruch bei Datenerhebungen (§ 4 Abs. 3 BDSG) und bei der Einholung von Einwilligungen (§ 4a Abs. 1 S. 2 BDSG). Erfolgt eine Datenerhebung nicht beim Betroffenen selbst, sondern bei Dritten, so besteht spätestens bei der weiteren Datenübermittlung i.d.R. ein Benachrichtigungsanspruch (§ 33 Abs. 1 BDSG). Verfahrensverzeichnisse müssen von Unternehmen für Jedermann verfügbar gehalten werden (§ 4g Abs. 2 BDSG). Ein spezifisches verfahrensbezogenes Transparenzrecht besteht bei automatisierten Entscheidungen, die bei massenhaften und auf Distanz vorgenommenen Finanzdienstleistungen weit verbreitet sind (§ 6a Abs. 3 BDSG). Das vornehmste aller Transparenzrechte ist der Auskunftsanspruch des Betroffenen gegenüber der Daten verarbeitenden Stelle. Dieser Auskunftsanspruch wird als "Magna Charta" des Datenschutzes bezeichnet (§ 34 BDSG).

Analog zu den Normen des BDSG finden sich auch im Telemediengesetz Transparenzpflichten gegenüber den Betroffenen wie auch gegenüber der Allgemeinheit, z.B. die Impressumspflichten (§§ 5, 6 TMG), die Informationspflichten vor Datennutzungen und bei der Einholung einer Einwilligung (§ 13 Abs. 1, 2 TMG) oder die Benachrichtigungspflicht bei Datenlecks (sog. Breach Notification). Letztere ist im BDSG in § 42a und im TMG in § 15a geregelt ist.

VI.  Informationspflichten der Banken

Es gibt eine Vielzahl von Informationspflichten, denen Finanzdienstleister generell sowie Banken speziell unterworfen sind. Diese Pflichten bestehen aber regelmäßig nur zwischen dem Institut bzw. Unternehmen und besonderen staatlichen Stellen. Dies gilt z.B. nach dem Kreditwesengesetz (KWG) oder nach dem Wertpapierhandelsgesetz gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht oder der Deutschen Bundesbank, nach dem Geldwäschegesetz oder der Strafprozessordnung gegenüber Strafverfolgungsbehörden, bzgl. Kontostammdaten nach verschiedenen Regelungen gegenüber den Finanz-, den Sozial- und den Strafverfolgungsbehörden, nach der Abgabenordnung gegenüber den Finanzämtern, nach unterschiedlichen Regelungen der Sozialgesetzbücher gegenüber den Sozialleistungsträgern und nach dem BDSG gegenüber den Datenschutzaufsichtsbehörden.

Allgemeine Informationsansprüche und Transparenzpflichten bestehen hinsichtlich bestimmter Finanzstruktur- und Unternehmensdaten nach Gesellschafts-, z.B. dem Aktenrecht und nach dem Handelsgesetzbuch. Darüber hinausgehende Ansprüche gegenüber der Allgemeinheit, die insbesondere das konkrete Geschäftsgebaren betreffen, bestehen nicht. Eine Ausnahme stellen insofern die Informationsfreiheitsgesetze (IFGs) des Bundes und vieler Länder dar, die öffentliche Stellen auf Betroffenenantrag hin verpflichten, Auskunft über vorhandene Verwaltungsinformationen zu geben. Da es sich bei Sparkassen und Landesbanken in vielen Fällen (noch) um öffentliche Stellen handelt, sind auf diese insofern die IFGs anwendbar. Dies ist wegen des öffentlich-rechtlichen Auftrages der Institute nicht systemwidrig. Doch ist nicht die zentrale Zielsetzung der IFGs angesprochen, wenn es um Informationen zu klassischen Banken-Kunden-Beziehungen geht.

Hinsichtlich spezifischer Informationsrechte für die Öffentlichkeit gegenüber Banken muss Fehlanzeige vermeldet werden. Dies gilt sowohl für Ansprüche gegenüber den Instituten direkt wie auch indirekt über Aufsichtsbehörden. Nach dem Verbraucherinformationsgesetz (VIG) besteht für die Öffentlichkeit die Möglichkeit, sich bei Lebensmittelaufsichtsbehörden vorhandene Informationen zu Unternehmen zu beschaffen, um hierdurch das eigene Verbraucherverhalten auszurichten. Entsprechendes gibt es für die Finanzdienstleister bisher nicht. Selbst ein Geltendmachen der IFGs gegenüber den Aufsichtsbehörden dürfte zumeist ins Leere laufen, weil dem regelmäßig Betriebs- und Geschäftsgeheimnisse der Banken entgegengestellt werden können. Entsprechendes gilt für die Informationsmöglichkeiten bei den Aufsichtsbehörden nach den Pressegesetzen für Journalisten, wenngleich hier Abwehrrechte der Banken eine weniger wichtige Rolle spielen.

Erstaunlicherweise spielten bei der Diskussion über die politischen Konsequenzen, die aus der Finanzkrise 2008 gezogen werden müssen, Veröffentlichungspflichten keine hervorgehobene Rolle. Dies verblüfft angesichts des Umstands, dass in Milliardenhöhe Steuergelder in den Bankensektor gepumpt wurden. Hohe Anforderungen hinsichtlich demokratischer Kontrolle und Mitbestimmung der Steuerzahler wären zu erwarten gewesen. Die Bürgerinnen und Bürger haben ein legitimes Interesse zu erfahren, was mit den Steuergeldern geschieht, die durch ihren Einsatz für Banken nicht mehr für sonstige Gemeinwohlbelange zur Verfügung stehen. Dies gilt umso mehr, als in starkem Maße der Verdacht begründet ist, dass diese Steuergelder nicht nur gemeinnützig, sondern eigennützig eingesetzt wurden und werden, etwa zur Finanzierung von Manager-Boni, wie sie außerhalb von Finanzdienstleistern eher ungewöhnlich sind.

Ein gewisses Korrektiv ist insofern bisher nur die vierte Gewalt - die Presse. Tatsächlich sind und waren es regelmäßig nicht gesetzliche Informationsansprüche, die zur Aufdeckung von Unregelmäßigkeiten bei Banken führten, sondern investigative journalistische Recherchen. So wurden z.B. die Unregelmäßigkeiten bei der mit mehreren Milliarden Euro Steuergeldern gestützten HSH-Nordbank erst durch journalistische Veröffentlichungen bekannt. Als hinderlich bei der Aufklärung erwies und erweist sich regelmäßig ein Schweigekartell, in das die Politik und der Aufsichtsrat einbezogen sind. Bei der HSH-Bank erfasste die Schweigepflicht sogar das Opfer einer offensichtlich äußerst perfiden Bespitzelungs- und Denunziationsaktion, die mit einer hohen Abfindungssumme von 7,5 Mio. Dollar und einer drohenden Vertragsstrafe von 25 Mio. Dollar erkauft worden sein soll.

Es ist schon irritierend, dass es innerhalb unseres demokratischen Systems derartige Arkanbereiche wie den der Finanzdienstleister im Allgemeinen und der Banken im Besonderen gibt. Man könnte fast den Eindruck haben, dass demokratische Transparenz dort aufhört, wo relevante Finanzvorgänge beginnen. Dies ist aber kaum zu rechtfertigen angesichts der Funktion der Banken für unsere Gesamtwirtschaft und angesichts des politischen Einflusses der Banken auf den politischen Entscheidungsprozess, schon gar nicht angesichts aktuell der finanziellen Bedeutung der Banken für die Staatshaushalte und für die Volkswirtschaft. Das Phänomen ist kein spezifisch deutsches oder europäisches. Der Forderung nach mehr Bankentransparenz wird regelmäßig entgegen gehalten, dies sei der Stellung im globalen Wettbewerb abträglich; durch diese Transparenz erhielten Wettbewerber in anderen Ländern einen nicht akzeptablen Vorteil auf dem weltweiten Markt.

Die Banken sind nicht nur Profiteure ihrer eigenen Geheimnistuerei. Ihre Unfähigkeit mit Transparenz und Öffentlichkeit umzugehen, hat den Banken nicht nur ideellen, sondern oft auch wirtschaftlichen Schaden zugefügt. Nicht nur, dass durch Öffentlichkeit Warnsysteme bei Fehlentwicklungen frühzeitiger zur Wirksamkeit gebracht würden. Die Unfähigkeit der Kommunikation der eigenen Entscheidungen hat - unabhängig von der Frage, ob diese aus anderen Gründen berechtigt war oder nicht - schon so manchem Bankmanager den Posten gekostet und den Geschäften massiv geschadet. Besonders eklatant zeigte sich die Zweischneidigkeit geringer Transparenz für Banken in der Schweiz oder in Liechtenstein. Die fehlende Kontrollierbarkeit dieser Banken wurde offensichtlich von untreuen Mitarbeitern als Einladung und Legitimation verstanden, Bankdaten illegal und gegen den Willen der Institute an Steuerbehörden z.B. in Deutschland weiterzugeben, und sich so eine fragwürdige Belohnung für die Denunziation von Steuersündern zu beschaffen.

VII. Exkurs: Die Geheimniskrämerei der Finanzbehörden

Von dem außerdemokratischen und außerrechtsstaatlichen Arkanum des Finanziellen profitieren nicht nur die Banken bzw. sind nicht nur diese betroffen. Auch die für sie und für das Finanzielle zuständigen staatlichen Behörden bewegen sich in einem ähnlichen und teilweise dem gleichen Dunkelraum. So verweigern die Finanzbehörden seit Jahren contra legem, also unter Verletzung der datenschutzrechtlichen Akteneinsichts- und Auskunftsrechte, Betroffenen den Zugang zu ihren Daten. Auch sie ignorieren in einem ungewöhnlichen Maße und mit einem ungewöhnlichen Selbstbewusstsein die Anwendung ansonsten selbstverständlicher Datenschutzstandards.

Systematisch und regelmäßig verweigern diese Behörden ebenso, wiederum unter Missachtung der rechtlichen Vorgaben, die Anwendung der Informationsfreiheitsgesetze. Das für diese Behörden weitgehend, aber nicht umfassend geltende Steuergeheimnis wird von diesen Behörden in bundesweiter Einheitlichkeit wie ein Popanz vor sich hergetragen, um Kontroll- und Transparenzansprüche zurückzuweisen.

VIII. Die praktischen Probleme der Banken mit der Transparenz

Ein Musterbeispiel für die Verweigerung von Transparenz durch das Kreditgewerbe ist deren Umgang mit dem Scoring. Hierbei wird potenziellen und tatsächlichen Kreditnehmern auf der Basis von bestimmten Merkmalen ein statistischer Wert errechnet, der Aussagen über die Kreditwürdigkeit zu machen behauptet. Diese Scores werden zur Grundlage genommen für die Beurteilung, ob überhaupt ein Kredit vergeben werden soll bzw. wenn ja, unter welchen Konditionen. Bei dieser Methode versuchte sich die Branche zunächst dem Datenschutz insgesamt zu verweigern bzw. zu entwinden, indem sie behauptete, bei den individuellen Scores der Kunden handele es sich nicht um personenbezogene Daten, da diese aus anonymisierten statistischen Angaben gewonnen seien. Nachdem diese Bastion rechtlich nicht mehr zu halten war, wurde gegenüber den Betroffenen die Auskunft über berechnete Scores und deren Zustandekommen mit dem Argument verweigert, diese flüchtigen Daten würden nicht gespeichert. Dies veranlasste den Gesetzgeber, das Verfahren der Scoredatenverarbeitung umfassend neu zu regeln. Die Änderungen der §§ 6a, 34 BDSG und ein neuer 28b BDSG traten am 01.04.2010 in Kraft. Die Regelungen zielen insbesondere auf eine Erhöhung der Transparenz bei Scoreverfahren. Dieses Ziel wurde aber bis heute nicht erreicht.

Die erhöhten Transparenzpflichten in Bezug auf den logischen Aufbau des Verfahrens, die errechneten Werte, die eingesetzten Datenarten und die Bedeutung des Scores werden durch eine informationsunwillige Praxis konterkariert. Durch eine nebulöse Beschreibung der konkret genutzten Merkmale und der Relevanz des Scores erhalten die Verbraucherinnen und Verbraucher keine Informationen, die ihnen eine Infragestellung ihrer individuellen Ergebnisse ermöglichen. Zugleich ignoriert die Branche die rechtliche Vorgabe, das Scoring nur für Bonitätsbewertungen bei kreditorischem Risiko zu nutzen und setzt es in immer mehr Bereichen ein, in denen von einem kreditorischen Risiko keine Rede sein kann.

Ein weiteres Beispiel für die Verweigerung von Transparenz ist der Umgang mit dem Auskunftsrecht der Betroffenen nach § 34 BDSG. Es begründet Anspruch auf Auskunft über die eigenen Daten, deren Herkunft und deren Empfänger (Abs. 1). Bei Werbedaten sind Herkunft und Empfänger zwei Jahre lang zu beauskunften und müssen demgemäß auch gespeichert werden (Abs. 1a). In einer komplizierten Regelung zum Scoring wird festgelegt, dass Scorewerte der letzten 6 Monate, genutzte Datenarten (vgl. § 6a Abs. 3), das Zustandekommen und die Bedeutung der Scores beauskunftet werden müssen, auch wenn dritte Stellen einbezogen oder die genutzten Daten getrennt geführt werden (Abs. 2). Die  für Auskunftszwecke verarbeiteten Daten dürfen nur streng zweckgebunden genutzt werden (Abs. 5). Die Auskunftserteilung hat i.d.R. in Textform zu erfolgen (Abs. 6) und ist generell unentgeltlich (Abs. 8 S. 1). Trotz dieser detaillierten, klaren auskunftsfreudigen Regelungen ist die Auskunftspraxis der Banken restriktiv. Die gesetzlichen Regelungen sind vielen Banken bei Ersuchen der Betroffenen scheinbar nicht bekannt. Oft bedarf es des Einschaltens der Datenschutzaufsicht oder zumindest der Drohung damit, dass überhaupt eine Reaktion erfolgt. Regelmäßig ist ein mehrfaches Nachhaken nötig, bis eine einigermaßen rechtskonforme Auskunft erteilt wird. Immer noch anzutreffen ist z.B. auch die Praxis, für Doppel von Kontoauszügen - hierbei handelt es sich um nichts anderes als eine spezifische Auskunftserteilung - Kosten aufzuerlegen. 

Ein anschauliches Fallbeispiel für die praktizierte Verweigerungshaltung gab jüngst eine Sparkasse in Schleswig-Holstein. Eine Kunde bat um Einblick in seine Kreditakte und berief sich hierfür auf das Datenschutzrecht sowie das Informationsfreiheitsgesetz. Die Sparkasse lehnt einen umfassenden Einblick in die Unterlagen ab. Zwar könnten bei Bedarf Einzelkopien von spezifisch zu benennenden Dokumenten erstellt werden, ein Gesamteinblick sei aber ausgeschlossen. Als Argumente trug die Sparkasse gegenüber dem ULD Folgendes vor: Es handele sich um ein privatrechtliches Kreditverhältnis; die Sparkasse handele insofern nicht öffentlich-rechtlich, so dass das IFG nicht anzuwenden sei. Dabei wird ignoriert, dass auch sog. fiskalisches Handeln von öffentlichen Stellen zu einer Auskunftspflicht führen kann. Weiterhin machte die Sparkasse Betriebs- und Geschäftsgeheimnisse geltend. Die Kundenkreditakte enthalte internes Material zu Ertragslagen, Sicherheitenbewertungen und vorgenommenen Verwertungsmaßnahmen. Derartiges müsse und könne nicht offengelegt werden. Dass sich diese Informationen auf das konkrete Kundenverhältnis beziehen und keine Aussagen im Hinblick auf Wettbewerbs- und Marktverhältnisse erlauben, was ein Betriebs- und Geschäftsgeheimnis begründen könnte, wurde ignoriert. Nach Ansicht der Sparkasse könne schon gar nicht die geforderte pauschale Auskunftserteilung erfolgen; die gewünschten Informationen müssten konkret bezeichnet werden. Abgesehen davon, dass die Kundenanfrage sich im konkreten Fall auf die Kreditakte beschränkte: Folgte man der Argumentation der Sparkasse, wäre dem Kunden oft eine Vertragskontrolle nicht möglich. Die Pflicht des ökonomisch übermächtigen Kreditinstituts gegenüber seiner Kundschaft zu einem fairen und offenen Vorgehen wurde ignoriert; eine effektive Kontrolle des Vertragspartners durch den Kunden ist so nicht möglich.

IX. Schlussfolgerungen

Finanzdienstleister generell und Banken speziell lösen mit ihren geschäftlichen Aktivitäten bei anderen Personen und Stellen legitime Informationsbedarfe aus. Zwar ist unbestreitbar, dass gewisse interne Vorgänge nicht preisgegeben werden müssen und dass wettbewerbsrelevante Informationen als Betriebs- und Geschäftsgeheimnisse geheim gehalten werden können, wenn die Informationsinteressen Dritter oder der Allgemeinheit nicht überwiegen. Dies rechtfertigt aber nicht ansatzweise die branchenweit praktizierte Abschottung. Die werbemäßige Präsentation der Kundenfreundlichkeit von Banken und die tatsächlich praktizierte Offenheit stehen in einem eklatanten Missverhältnis zueinander.

Dies gilt für die konkrete kundenbezogene Datenverarbeitung, für die direkte Kundenbeziehung generell, für die allgemeine Geschäftspolitik einer Bank wie für deren sonstiges Agieren im sozialen und politischen Kontext. Der Transparenzbedarf erfasst die konkrete elektronische Verarbeitung kundenbezogener Daten aus Vertragsverhältnissen sowie sonstige Kundenkontakte, die Kundenakte und die wesentlichen Vertragsrahmenbedingungen. Er erfasst die technische und organisatorische Infrastruktur, in die die Banken eingebettet sind, mit ihren Auftragsdatenverarbeitern und kooperierenden Unternehmen, also den Dienstleistern etwa bei der Werbung, bei der Kundenakquisition, bei der Bonitätsprüfung, beim Scoring, bei der Präsentation im Internet, aber auch die ökonomische Verbindung oder Verflechtung zu weiteren Konzernunternehmen und dabei erfolgende Kooperationen und Arbeitsteilungen. Schließlich können bzw. sollten Bilanzdaten sowie geschäftlich, gesellschaftliche oder politische Aktivitäten einer Bank für den Kunden, den Vertragspartner und letztlich die Öffentlichkeit in einen größeren Kontext gestellt und verstanden werden können.

Angesichts des Ungleichgewichtes zwischen Bank und Kundschaft kann zur Herstellung einer angemessenen Transparenz nicht ausschließlich auf vertragliche Klärung gehofft werden. Es bedarf vielmehr eines übergeordneten Ausgleichs. Durch die verbraucher- und wettbewerbsrechtliche Kontrolle von allgemeinen Geschäftsbedingungen und des sonstigen Marktverhaltens ist ein gewisses Korrektiv gegen die Verkürzung von Verbraucherrechten und von Chancen von Wettbewerbern möglich. Dies ist aber bei weitem nicht ausreichend.

Datenschutz und Verbraucherorientierung sind bisher bei Banken regelmäßig nicht Gegenstand von Compliance, sondern von finanziellem Kalkül. Transparenz ist grundsätzlich unerwünscht. Dieser Sachverhalt kann nur aufgebrochen werden, wenn ein hinreichender Druck auf die Institute ausgeübt wird. Staatliche Aufsicht ist hierzu allein angesichts begrenzter Ressourcen nicht in der Lage. Flankierende Maßnahmen sind wünschenswert und förderungsbedürftig. So sehr Transparenz für Banken unerwünscht sein mag, so ändert dies nichts an dem Umstand, dass das Vertrauen von Kundschaft und Öffentlichkeit eine zentrale Geschäftsgrundlage für Banken sind. Dies sollte den einzelnen Unternehmen wie der Branche insgesamt immer wieder klargemacht werden. Eine wichtige Rolle spielen insofern Verbraucherschutzorganisationen sowie vergleichende Marktuntersuchungen, wie sie von der Stiftung Warentest durchgeführt werden. Eine noch wichtigere Rolle dürfte der investigativen Presse zukommen.

Bisher praktisch keinen Gebrauch gemacht hat die Branche von unternehmensübergreifenden Branchenregelungen, die bei einer Ausrichtung am Allgemeinwohl keinen kartellrechtlichen Vorbehalten begegnen müssen. Derartige Verhaltensregeln sind hinsichtlich der Konkretisierung des gesetzlichen Datenschutzrechtes in § 38a BDSG ausdrücklich vorgesehen. In derartigen Codes of Conduct können Informationspflichten präzisiert werden im Hinblick auf die konkrete Vertragsgestaltung, die wirtschaftlichen, die organisatorischen oder auch die informationstechnische Rahmenbedingungen. In Spezialregelungen können Transparenzregelungen getroffen werden zu Kreditvergabe, Vermögensberatung, Bonitätskontrollen, Scoring und vieles andere mehr.

Die gesetzlichen Transparenzpflichten hinsichtlich der personenbezogenen Datenverarbeitung bedürfen für den Bankensektor keiner zusätzlichen Regelung. Insofern besteht jedoch ein großes Vollzugsdefizit. Dies kann durch eine Erhöhung der Kontrollintensität und der Prüftiefe abgebaut werden. Hinsichtlich der sonstigen Geschäftspraktiken sollte geprüft werden, ob weitergehende gesetzliche Transparenzregeln nötig sind. Derartige von außen auferlegten Pflichten kann die Branche nur dann plausibel zurückweisen, wenn sie sich selbst im Interesse einer Verbraucher- und Gemeinwohlorientierung eigenständig bestimmten Verhaltensregeln unterwirft. Eine Möglichkeit zur Herstellung von mehr Transparenz für ein einzelnes Institut, verbunden mit der Möglichkeit zur Erlangung von Marktvorteilen, besteht durch unabhängige öffentlich kontrollierbare Zertifizierungen. Das Unabhängige Landeszentrum für Datenschutz bietet entsprechende Datenschutzzertifizierungen seit dem Jahr 2000 an.

So sehr Informationsfreiheit und Datenschutz in der Finanzwelt noch eine Terra inkognita sein mögen, so wenig muss und sollte dies bleiben. Dabei allein auf die Einsicht der Banker zu bauen, wäre blauäugig. Diese überzeugen branchenbedingt nur ökonomische Erwägungen. Derartige Erwägungen können allerdings durch ergänzende rechtliche Regeln wie durch Veränderung von Praktiken der Marktteilnehmer, zu denen die Verbraucher gehören, massiv befördert werden.

Thilo Weichert
Landesbeauftragter für Datenschutz Schleswig-Holstein
Leiter des Unabhängigen Landeszentrums für Datenschutz, Kiel