Datenschutz in der Bankpraxis - Beck-Shop

Datenschutz in der Bankpraxis - Beck-Shop

Datenschutz in der Bankpraxis von Dr. Markus Deutsch, Dr. Andreas Fillmann, Paul Gürtler, Dr. Wulf Kamlah, Peter Suhren, Wolfgang Vahldiek, Dr. Thomas...

187KB Sizes 1 Downloads 5 Views

Recommend Documents

Datenschutz in der Pflege
DANA • Datenschutz Nachrichten 3/2007. 111 richtungen auch im Rahmen der Quali- tätsprüfungen durch den Medizini- sc

Datenschutz in der Versicherungswirtschaft
strengen Vorschriften der Verhaltensregeln zum Daten- schutz der Versicherungswirtschaft und nationales wie europäische

Datenschutz in der Jugendhilfe
18.01.2016 - 07.10.1970: Erstes Datenschutzgesetz der Welt in Hessen (GVBl. I S. 625). 11.12.1975: Das Sozialgeheimnis w

Der Datenschutz in der Bank Inhalt
Der Datenschutz in der Bank. Juristische Grundlagen und Praxis. Rechtsanwalt Thomas Kahler. 2. Inhalt. 1.) Das Bankgehei

Der Datenschutz in der gesetzlichen Rentenversicherung - Deutsche
17.10.2013 - 35 S G B I regelt das Sozialgeheimnis. Danach gilt als Sozialgeheimnis nicht nur der Anspruch, dass persone

Datenschutz Der Datenschutz von - Aldiana Karriere
Datenschutz. Der Datenschutz von personenbezogenen Daten und somit Ihrer Privatsphäre wird von uns sehr ernst genommen.

Datenschutz in der öffentlichen Verwaltung
Bettina Sokol, Vorlesung zum Datenschutzrecht, Westfälische Wilhelms-U. Vorlesung zum Datenschutzrecht. Bettina Sokol.

Handreichung zum Datenschutz in der - Thueringen.de
Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Handreichung zum Datenschutz in der Schulsozialarbeit, er

Auskunftsrechte ehemaliger Heimkinder - Datenschutz in der
Funktion in die Akte aufgenommen wurde, haben grundsätzlich kein Recht darauf, dass ihre. Namen unkenntlich gemacht wer

Datenschutz in der Bankpraxis von Dr. Markus Deutsch, Dr. Andreas Fillmann, Paul Gürtler, Dr. Wulf Kamlah, Peter Suhren, Wolfgang Vahldiek, Dr. Thomas Winzer 1. Auflage

Datenschutz in der Bankpraxis – Deutsch / Fillmann / Gürtler / et al. schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: Datenschutz- und Melderecht

Verlag C.H. Beck München 2012 Verlag C.H. Beck im Internet: www.beck.de ISBN 978 3 406 63924 1

beck-shop.de Vahldiek (Hrsg.) Datenschutz in der Bankpraxis

beck-shop.de

beck-shop.de Datenschutz in der Bankpraxis

von

Wolfgang Vahldiek (Hrsg.) mit Beitrgen von Dr. Markus Deutsch Dr. Andreas Fillmann Paul Gˇrtler Dr.Wulf Kamlah Dr. Nadine Kramer Peter Suhren Dr. Thomas Winzer

Verlag C. H. Beck Mˇnchen 2012

beck-shop.de

www.beck.de

ISBN 978 3 406 63924 1 4 2012 Verlag C. H. Beck oHG Wilhelmstra5e 9, 80801 Mˇnchen Druck und Bindung: Nomos Verlagsgesellschaft In den Lissen 12, 76547 Sinzheim Satz: ottomedien Birkenweg 12, 64295 Darmstadt Gedruckt auf surefreiem, alterungsbestndigem Papier (hergestellt aus chlorfrei gebleichtem Zellstoff)

beck-shop.de Vorwort Der Geschftsbetrieb von Banken ist im Hinblick auf den Datenschutz von besonderer Relevanz. Diese Erkenntnis ergibt sich schon allein aus der Tatsache, dass der Umgang mit personenbezogenen Daten gleichsam den Kern des bankgeschftlichen Ttigwerdens darstellt. Jedes Konto, jede Kontogutschrift oder -belastung, jeder Zahlungsvorgang besteht im Verarbeiten und Verndern von digitalisierten Informationen, was mit Hilfe von Rechenzentren abgewickelt wird. Informationen ˇber die Kunden sind Rohstoffe des Bankgewerbes. Dies versteht auch die Politik sehr gut. Im Dienste der so empfundenen guten Sache ^ Steuergerechtigkeit, Kriminalittsbekmpfung, etc. ^ wird auf die ,,Schtze‘‘ auf den Servern der Banken nur allzu gern zugegriffen. Sei es, dass dieser Zugriff direkt erfolgt, wie zum Beispiel durch das Kontenabrufverfahren nach § 24c KWG, oder sei es, dass den Banken quasi-polizeiliche Hilfsfunktionen bei der Bekmpfung der Geldwsche, der Terrorismusfinanzierung oder sonstiger Straftaten anvertraut ^ oder sollte man sagen: aufgebˇrdet? ^ werden. Direkte gesetzgeberische Aufforderungen, die Kundendaten fˇr Zwecke zu nutzen oder nutzbar zu machen, die mit dem eigentlichen Bankvertragsverhltnis mit einem Kunden nichts zu tun haben, sind inzwischen hufig geworden. Darˇber hinausgehend ist die Geschftsttigkeit der Banken in einem H˛chstma5 aufsichtsrechtlich reguliert. Von Banken wird verlangt, dass sie ihre Datenbestnde sorgfltig durchforsten und nutzen, und zwar im gesetzgeberisch verbindlich ausgestalteten eigenen Interesse, im Dienste ihres Risikomanagements. Der Begriff des Risikomanagements umfasst dabei nicht nur das Eingehen und Steuern von finanziellen Risiken im engeren Sinne, sondern ist sehr viel weitergehend. Im Grunde sind Banken heutzutage aufgefordert, vollstndig und lˇkkenlos sicher zu stellen, dass im Zusammenhang mit ihrer Geschftsttigkeit keine Gesetzesverst˛5e stattfinden (Stichwort ,,Compliance‘‘) und keine Umstnde eintreten, die die ˛ffentliche Meinung von einer Bank negativ beeinflussen k˛nnten (Reputationsrisiko). Dieser Aufforderung seitens Gesetzgeber und Aufsichtsbeh˛rden k˛nnen Banken nur Folge leisten, wenn sie laufend ihren Datenbestand erweitern und effizient und automatisiert nach Aufflligkeiten suchen. Vor diesem Hintergrund verwundert es wenig, dass mit der fortschreitenden Diskussion und Ausdifferenzierung des Datenschutzrechts in den vergangenen Jahren der diesbezˇgliche Wissens- und Beratungsbedarf gerade in Banken sehr stark angestiegen ist. Das vorliegende Werk soll einen Beitrag dazu leisten, den Praktikern gerade in diesem Bereich notwendige Hilfestellungen zu geben. Die These, das BDSG sei ein schwer lesbares und schon gar nicht verstndliches Gesetz, ist inzwischen Allgemeingut geworden. Dennoch sein hervorgehoben, dass in diesem Gesetz trotz aller Novellierungen bestimmte Grundgedanken gut erhalten geblieben sind, die es zu entdecken lohnt, da sie den Umgang mit dem Datenschutzrecht in der Praxis deutlich erleichtern. V

beck-shop.de

Vorwort

Diese grundlegenden Anstze des BDSG k˛nnen zu einer Form von Strukturwissen zusammengefasst werden, das fˇr die Beschftigung mit datenschutzrechtlichen Fragen wie ein roter Faden Orientierung bieten kann und in vielen praktischen Fllen zu zutreffenden L˛sungen hinleitet. Das vorliegende Werk soll einen Beitrag dazu leisten, diese Strukturen gerade mit Blick auf typische Fallgestaltungen im Bankbetrieb aufzuzeigen und handhabbar zu machen. Idee und Konzept zu diesem Buch sind aus Anlass des Beginns einer Seminarreihe des Verbandes der Auslandsbanken entstanden. Mein besonderer Dank gilt den Autoren, die ihre langjhrige Erfahrung in der Anwendung des BDSG in Beratung und Praxis speziell von Banken und Finanzdienstleistern in ihre Beitrge haben einflie5en lassen. Ein weiterer besonderer Dank gebˇhrt Christina Wolfer und Astrid Stanke vom Verlag C. H. Beck fˇr die konstruktive und im besten Sinne routinierte Begleitung des Projekts. Frankfurt, im Juni 2012

Wolfgang Vahldiek

beck-shop.de Inhaltsˇbersicht Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V Inhaltsˇbersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX Bearbeiterverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXV § 1. Der betriebliche Datenschutzbeauftragte ^ Aufgaben, Befugnisse, Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. II. III. IV. V. VI. VII. VIII. IX. X. XI.

Warum gibt es einen betrieblichen Datenschutzbeauftragten? . . . . . . . . . Pflicht zur Bestellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verpflichtete Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zustndigkeitsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anforderungen an den betrieblichen Datenschutzbeauftragten . . . . . . . . Aufgaben des betrieblichen Datenschutzbeauftragten . . . . . . . . . . . . . . Befugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stellung im Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Auslagerung der Funktion des betrieblichen Datenschutzbeauftragten . . Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Organisation von Datenschutzprozessen . . . . . . . . . . . . . . . . . . . . . . . .

1 2 3 4 6 7 9 13 13 15 17 18

§ 2. Datenerhebung, Datenverarbeitung und Datenˇbermittlung . . . . . .

21

I. II. III. IV. V. VI. VII. VIII. IX. X.

Einfluss des Datenschutzes im Bankwesen . . . . . . . . . . . . . . . . . . . . . . Grundlagen des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . Verbot mit Erlaubnisvorbehalt: Das ,,Ob‘‘ der Datenverarbeitung . . . . . . Zweckbindungsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Direkterhebungsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datensparsamkeit und Datenvermeidung . . . . . . . . . . . . . . . . . . . . . . . Verhltnism5igkeitsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Praxisbeispiele aus dem Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . Das Bankgeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorschlag fˇr ein datenschutzrechtliches Prˇfungsschema im Bankwesen

22 23 25 30 32 32 33 34 40 42

§ 3. Der Schutz der Kundendaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

I. II. III. IV. V. VI.

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Problemfelder das Kundendatenschutzes . . . . . . . . . . . . . . . . . . . . . . . . Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ,,Notification of breach‘‘ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bewertung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

46 46 61 67 70 73

VII

beck-shop.de

Inhaltsˇbersicht

§ 4. Der Kreditentscheidungsprozess ^ Automatisierte Einzelentscheidung, Scoring und Auskunfteien . . . . . . . . . . . . . . . . . . . . . I. II. III. IV.

75

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Automatisierte Einzelentscheidungen . . . . . . . . . . . . . . . . . . . . . . . . . Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenarbeit mit Auskunfteien . . . . . . . . . . . . . . . . . . . . . . . . . . .

75 75 78 82

§ 5. Cloud Computing ^ Datenschutz in der Wolke . . . . . . . . . . . . . . . .

89

I. II. III. IV. V. VI.

Was ist Cloud Computing? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vertragsrechtliche Sicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Welches Recht findet Anwendung? . . . . . . . . . . . . . . . . . . . . . . . . . . . Datenschutzrechtliche Sicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufsichtsrechtliche Sicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89 91 91 92 96 97

§ 6. Schutz von Arbeitnehmerdaten in Banken . . . . . . . . . . . . . . . . . . . .

99

I. II. III. IV. V. VI. VII. VIII. IX.

Rechtsgrundlagen des Arbeitnehmerdatenschutzes . . . . . . . . . . . . . . . . Schutz der Beschftigtendaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Beteiligungsrechte des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . Kberwachung interner Verhaltensrichtlinien . . . . . . . . . . . . . . . . . . . . Whistleblowing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufdeckung von Straftaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Emailverkehr und sonstige Fernkommunikation . . . . . . . . . . . . . . . . . Offenlegung von Vergˇtungssystemen . . . . . . . . . . . . . . . . . . . . . . . . . Die Auswirkungen der (geplanten) Datenschutznovelle . . . . . . . . . . . . .

100 103 105 112 114 117 120 126 128

§ 7. Grenzˇberschreitende Datenverarbeitung im Bankwesen . . . . . . . .

131

I. II. III. IV.

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Wesentliche Regelungen und Definitionen (Rechtsvergleich) . . . . . . . . Internationale Anwendbarkeit des BDSG . . . . . . . . . . . . . . . . . . . . . . . Datenˇbermittlung im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

131 133 139 141

§ 8. Datenˇbermittlung gem12 FATCA . . . . . . . . . . . . . . . . . . . . . . . . . .

159

I. II. III. IV.

Gegenstand der Regulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Wesentliche Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Grundstzlicher Regelungsinhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Wˇrdigung gem5 nationaler Gesetze (BDSG) . . . . . . . . . . . . . . . . . . . 164

§ 9. Datenschutz und Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Verhltnis des betrieblichen Datenschutzbeauftragten zum Geldwscheund Compliance-Beauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Geldwsche- und Terrorismusfinanzierungsbekmpfung . . . . . . . . . . . . IV. Verhinderung strafbarer verm˛gensgefhrdender Handlungen nach § 25c KWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIII

167 168 176 178 188

beck-shop.de

Inhaltsˇbersicht

V. VI. VII. VIII. IX. X.

Staatliche Auskunftsersuchen an ein Institut . . . . . . . . . . . . . . . . . . . . . Datenschutz und Compliance in der Anlageberatung . . . . . . . . . . . . . . . Grenzˇberschreitender Datenverkehr . . . . . . . . . . . . . . . . . . . . . . . . . . Verhltnis Aufsichtsrecht und Datenschutzrecht . . . . . . . . . . . . . . . . . . Zukˇnftige Entwicklungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

193 199 201 204 207 209

beck-shop.de

beck-shop.de Inhaltsverzeichnis Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V Inhaltsˇbersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX Bearbeiterverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXV § 1. Der betriebliche Datenschutzbeauftragte ^ Aufgaben, Befugnisse, Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Warum gibt es einen betrieblichen Datenschutzbeauftragten? . . . . . . . . . II. Pflicht zur Bestellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Automatisierte und nicht automatisierte Datenverarbeitung . . . . . . . . 2. Berˇcksichtigung von Teilzeitbeschftigten und Leiharbeitskrften . . . 3. Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Verpflichtete Stellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Internationale Anwendbarkeit des BDSG . . . . . . . . . . . . . . . . . . . . . 2. Zweigstellen und Zweigniederlassungen auslndischer Institute . . . . . IV. Zustndigkeitsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Verantwortliche Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Verantwortliche Stelle im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Sachliche Zustndigkeit im Arbeitnehmerdatenschutz . . . . . . . . . . . . V. Anforderungen an den betrieblichen Datenschutzbeauftragten . . . . . . . . 1. Zuverlssigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Interessenkonflikte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Fachkunde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Aufgaben des betrieblichen Datenschutzbeauftragten . . . . . . . . . . . . . . . 1. Zu beachtende Gesetze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Pflichtenumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Gesetzliche Pflichten des Datenschutzbeauftragten . . . . . . . . . . . . b) Interne Beratung und Datenvermeidung . . . . . . . . . . . . . . . . . . . 3. Verfahrensverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Datengeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vorabkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Reprsentative Funktionen/ Kontaktstelle . . . . . . . . . . . . . . . . . . . . . 7. Krisenflle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII. Befugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Einsichts- und Informationsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Initiativ- und Einspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIII. Stellung im Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Unabhngigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Weisungsfreiheit und Ma5regelungsverbot . . . . . . . . . . . . . . . . . . . .

1 2 3 3 4 4 4 4 5 6 6 6 6 7 7 7 7 8 9 9 9 10 10 10 11 11 12 12 13 13 13 13 13 14 XI

beck-shop.de

Inhaltsverzeichnis

3. Ausstattung mit personellen und sachlichen Ressourcen . . . . . . . . . . . 4. Kˇndigungsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Beendigung der Funktion des Datenschutzbeauftragten . . . . . . . . . . . IX. Auslagerung der Funktion des betrieblichen Datenschutzbeauftragten . . 1. Bestellung eines externen Datenschutzbeauftragten . . . . . . . . . . . . . . 2. Anforderungen an Auslagerungen nach § 25a Abs. 2 KWG . . . . . . . . . X. Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Verantwortung im Au5enverhltnis . . . . . . . . . . . . . . . . . . . . . . . . . 2. Verantwortung im Innenverhltnis . . . . . . . . . . . . . . . . . . . . . . . . . 3. Anspruchsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI. Organisation von Datenschutzprozessen . . . . . . . . . . . . . . . . . . . . . . . . 1. Schwachstellenanalyse und Ma5nahmenplan . . . . . . . . . . . . . . . . . . . 2. Datenschutzkonzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Datenschutzmanagementsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14 14 15 15 15 16 17 17 17 18 18 18 19 19

§ 2. Datenerhebung, Datenverarbeitung und Datenˇbermittlung . . . . . .

21

I. Einfluss des Datenschutzes im Bankwesen . . . . . . . . . . . . . . . . . . . . . . 1. Regelungssystematik (Kberblick) . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Grundlagen des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Schutzzweck des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anwendungsbereich des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . 3. Grundstze des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . III. Verbot mit Erlaubnisvorbehalt: Das ,,Ob‘‘ der Datenverarbeitung . . . . . . 1. Datenverarbeitung auf Grundlage einer Rechtsvorschrift . . . . . . . . . . a) Rechtsgrundlagen ohne Interessenabwgung . . . . . . . . . . . . . . . . b) Rechtsgrundlagen mit Interessenabwgung . . . . . . . . . . . . . . . . . 2. Datenverarbeitung auf Grundlage einer Einwilligung . . . . . . . . . . . . a) Freie Entscheidung des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . b) Kenntnis der nheren Umstnde . . . . . . . . . . . . . . . . . . . . . . . . . c) Form . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Verhltnis Rechtsgrundlage und Einwilligung . . . . . . . . . . . . . . . . . IV. Zweckbindungsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Beispiele des Zweckbindungsgrundsatzes im Bankwesen . . . . . . . . . . 2. Unzulssigkeit der Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . 3. Zulssige Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Direkterhebungsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Datensparsamkeit und Datenvermeidung . . . . . . . . . . . . . . . . . . . . . . . VII. Verhltnism5igkeitsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIII. Praxisbeispiele aus dem Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . 1. Fall: Videoˇberwachung von Geschftsrumen . . . . . . . . . . . . . . . . . 2. Fall: Interne Ermittlungen: Der anonyme Schmhbrief . . . . . . . . . . . 3. Fall: Aufzeichnung von Telefongesprchen . . . . . . . . . . . . . . . . . . . . a) Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Interessenabwgung (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG) . . . . . . . . . . . c) Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX. Das Bankgeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22 22 22 23 23 24 24 25 25 25 27 28 28 28 29 29 30 30 31 31 32 32 33 34 34 35 36 36 37 39 40

XII

beck-shop.de

Inhaltsverzeichnis

X. Vorschlag fˇr ein datenschutzrechtliches Prˇfungsschema im Bankwesen 1. Vorprˇfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Prˇfung des ,,Ob‘‘ der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . a) Rechtsgrundlage ohne Interessenabwgung . . . . . . . . . . . . . . . . b) Rechtsgrundlage mit Interessenabwgung . . . . . . . . . . . . . . . . . . c) Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Prˇfung des ,,Wie‘‘ der Datenverarbeitung ^ Datenschutzgrundstze . .

42 42 42 42 43 43 43

§ 3. Der Schutz der Kundendaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Problemfelder das Kundendatenschutzes . . . . . . . . . . . . . . . . . . . . . . . . 1. Der Vertragsschluss mit dem Kunden . . . . . . . . . . . . . . . . . . . . . . . . a) Daten fˇr das Vertragsverhltnis . . . . . . . . . . . . . . . . . . . . . . . . . . b) Daten aus Anlass des Vertragsverhltnisses . . . . . . . . . . . . . . . . . . 2. Daten bei der Durchfˇhrung des Vertrags . . . . . . . . . . . . . . . . . . . . . a) Durchfˇhrung des Bankvertrags . . . . . . . . . . . . . . . . . . . . . . . . . b) Nutzung der Daten fˇr Zwecke des Kreditinstituts . . . . . . . . . . . . 3. Werbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Bestandskunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Listendaten und Gruppenzugeh˛rigkeit . . . . . . . . . . . . . . . . . . . . . c) Hinzuspeicherung von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Abwgung der Interessen des Kreditinstituts und der Kundeninteressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Beispiel: Zahlungsstromanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Datenweitergabe im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Werbung im Finanzdienstleistungskonzern . . . . . . . . . . . . . . . . . . . . a) Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Beipack- und Empfehlungswerbung . . . . . . . . . . . . . . . . . . . . . . III. Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Konzept der Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . 2. Auftragsdatenverarbeitung oder Funktionsˇbertragung? . . . . . . . . . . 3. Die Anforderungen an die Auftragsdatenverarbeitung . . . . . . . . . . . . a) Auswahl des Auftragnehmers und Schriftform . . . . . . . . . . . . . . . b) Der 10 -Punkte-Katalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Weitere Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Anpassungspflicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. ,,Notification of breach‘‘ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die relevanten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Unbefugte Offenbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Drohende schwerwiegende Beeintrchtigung . . . . . . . . . . . . . . . . . . 4. Informationspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Umfang und Form der Information . . . . . . . . . . . . . . . . . . . . . . . . . 6. Verwendungsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Unterrichtung bei Direkterhebung . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Hinweis auf Widerspruchsrecht bei Werbung . . . . . . . . . . . . . . . . . . 3. Erhebung bei anderen als den Betroffenen . . . . . . . . . . . . . . . . . . . .

46 46 46 46 48 49 49 50 50 51 51 52 53 55 59 59 59 60 61 62 62 63 64 65 66 66 67 67 67 68 68 69 69 70 70 71 71 XIII

beck-shop.de

Inhaltsverzeichnis

4. Negative automatisierte Einzelentscheidungen . . . . . . . . . . . . . . . . . . 5. Auskunftserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Allgemeine Auskunft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Auskunftserteilung beim Scoring . . . . . . . . . . . . . . . . . . . . . . . . . VI. Bewertung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

71 72 72 72 73

§ 4. Der Kreditentscheidungsprozess ^ Automatisierte Einzelentscheidung, Scoring und Auskunfteien . . . . . . . . . . . . . . . . . . . . . . 75 I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Automatisierte Einzelentscheidungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Ausschlie5lich automatisierte Verarbeitung . . . . . . . . . . . . . . . . . . . . . 2. Erhebliche Beeintrchtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Automatisierte Einzelentscheidung . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Zulssigkeit und Auskunftsanspruch . . . . . . . . . . . . . . . . . . . . . . . . . . III. Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Transparenz (§ 34 Abs. 2 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Transparenz bei Einschaltung Dritter . . . . . . . . . . . . . . . . . . . . . . . . . IV. Zusammenarbeit mit Auskunfteien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Anwendungsbereich des § 28a BDSG . . . . . . . . . . . . . . . . . . . . . . . . . 2. Voraussetzungen (§ 28a Abs. 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . 3. Voraussetzungen gem5 § 28a Abs. 2 BDSG (,,Positivdaten‘‘) . . . . . . . . 4. Nachberichtspflichten (§ 28a Abs. 3 BDSG) . . . . . . . . . . . . . . . . . . . .

75 75 76 76 77 77 78 79 80 80 82 82 83 84 85 86

§ 5. Cloud Computing ^ Datenschutz in der Wolke . . . . . . . . . . . . . . . . . . 89 I. Was ist Cloud Computing? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Cloud Computing aus technischer Sicht . . . . . . . . . . . . . . . . . . . . . . . 2. Cloud Computing aus unternehmerischer und wirtschaftlicher Sicht . . II. Vertragsrechtliche Sicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Welches Recht findet Anwendung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Datenschutzrechtliche Sicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Relevanz fˇr den Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anwendungsbereich des BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Auftragsdatenverarbeitung oder Funktionsverlagerung . . . . . . . . . . . . 4. Cloud Computing mit Drittlandbezug . . . . . . . . . . . . . . . . . . . . . . . . 5. Organisation und Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Aufsichtsrechtliche Sicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89 89 90 91 91 92 92 92 93 94 95 96 97

§ 6. Schutz von Arbeitnehmerdaten in Banken . . . . . . . . . . . . . . . . . . . . . 99 I. Rechtsgrundlagen des Arbeitnehmerdatenschutzes . . . . . . . . . . . . . . . . . 1. Europische Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Grundrechtscharta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Datenschutzrichtlinie 95/46/EG . . . . . . . . . . . . . . . . . . . . . . . . . . c) Initiative fˇr einheitliches europisches Datenschutzrecht . . . . . . . . 2. Nationale Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIV

100 100 100 100 101 101

beck-shop.de

Inhaltsverzeichnis

II.

III.

IV.

V.

VI.

VII.

VIII.

a) Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 b) BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 c) Sonderregelung fˇr Kreditinstitute . . . . . . . . . . . . . . . . . . . . . . . . 102 Schutz der Beschftigtendaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 1. Betrieblicher Datenschutzbeauftragter . . . . . . . . . . . . . . . . . . . . . . . . 103 2. § 32 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 3. Allgemeine Grundstze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 a) Kollidierende Interessen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 b) Fragerecht des Arbeitgebers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 c) Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . 104 d) Einsichtsrecht in die Personalakte/Entfernungsanspruch . . . . . . . . . 104 Beteiligungsrechte des Betriebsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 1. Informationsrecht nach § 80 BetrVG . . . . . . . . . . . . . . . . . . . . . . . . . . 105 2. Weitere Beteiligungsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 a) Personalplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 b) Personalfrageb˛gen/Beurteilungsgrundstze . . . . . . . . . . . . . . . . 106 3. Mitbestimmungsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 a) Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG . . . . . . . . . . . . 108 b) Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG . . . . . . . . . . . . 109 c) Erweiterung der datenschutzrechtlichen Eingriffsbefugnisse durch Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Kberwachung interner Verhaltensrichtlinien . . . . . . . . . . . . . . . . . . . . . 112 1. Spezielle gesetzliche Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 2. Ma5stab des BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 a) Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 b) Beispiel: Kontenabgleich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Whistleblowing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 1. Aktuelle Entscheidung des EGMR . . . . . . . . . . . . . . . . . . . . . . . . . . 114 2. Whistleblowingsysteme in Unternehmen . . . . . . . . . . . . . . . . . . . . . 115 3. Sarbanes-Oxley-Act . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 4. Arbeitnehmerdatenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Aufdeckung von Straftaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 1. Einsatz einer Videokamera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 a) Mffentlich zugngliche Rume . . . . . . . . . . . . . . . . . . . . . . . . . . 117 b) Nicht ˛ffentlich zugngliche Rume . . . . . . . . . . . . . . . . . . . . . . 118 2. Detektiveinsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Emailverkehr und sonstige Fernkommunikation . . . . . . . . . . . . . . . . . . 120 1. Dienstliche Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 a) Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 b) Anwendbare Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 2. Private Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 a) Anwendbarkeit der Telekommunikationsgesetze . . . . . . . . . . . . . . 123 b) Fehlende Trennung der privaten und dienstlichen Nutzung . . . . . . 124 c) Pflichten nach dem TKG und TMG . . . . . . . . . . . . . . . . . . . . . . . 124 Offenlegung von Vergˇtungssystemen . . . . . . . . . . . . . . . . . . . . . . . . . 126 1. Gesetzliche Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 2. Ver˛ffentlichungspflichten nach der Instituts-Vergˇtungsverordnung 126 3. Vorrangigkeit des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 XV

beck-shop.de

Inhaltsverzeichnis

IX.

Die Auswirkungen der (geplanten) Datenschutznovelle . . . . . . . . . . . . . 1. Zulssige Fragen gegenˇber dem Bewerber . . . . . . . . . . . . . . . . . . . . 2. Aufdeckung von Straftaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Heimliche Kberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Verdeckte Videoˇberwachung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Fernkommunikationsmittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

128 128 129 129 130 130

§ 7. Grenzˇberschreitende Datenverarbeitung im Bankwesen . . . . . . . . .

131

I. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Wesentliche Regelungen und Definitionen (Rechtsvergleich) . . . . . . . . . 1. Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Verantwortliche Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Betroffener . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Rechtliche Zulssigkeit der Datenˇbermittlung . . . . . . . . . . . . . . . . . a) Erste Prˇfungsstufe: Einwilligung oder rechtliche Grundlage . . . . b) Zweite Prˇfungsstufe: Angemessenes Datenschutzniveau . . . . . . . 6. Besondere Umstnde der Datenˇbermittlung in einer Unternehmensgruppe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Internationale Anwendbarkeit des BDSG . . . . . . . . . . . . . . . . . . . . . . . IV. Datenˇbermittlung im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Rechtliche Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Analyse der Rolle der beteiligten Unternehmen . . . . . . . . . . . . . . . . 3. Verantwortliche Stelle im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . a) Modalitten der Datenˇbermittlung . . . . . . . . . . . . . . . . . . . . . . b) Abgrenzung der Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Sicherstellung eines angemessenen Datenschutzniveaus . . . . . . . . . . . a) EU-Standardvertragsklauseln . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Safe-Harbor-Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Verbindliche Unternehmensregelungen im Konzern . . . . . . . . . . . d) Individualvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. § 4c BDSG ^ Ausnahmen vom Erfordernis eines angemessenen Datenschutzniveaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Erforderlichkeit zur Erfˇllung einer Vertragsbeziehung . . . . . . . . .

131 133 133 134 135 135 136 136 138

§ 8. Datenˇbermittlung gem12 FATCA . . . . . . . . . . . . . . . . . . . . . . . . . .

159

I. II. III. IV.

139 139 141 141 142 143 144 144 145 146 150 153 155 155 157 157 157

Gegenstand der Regulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Wesentliche Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Grundstzlicher Regelungsinhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Wˇrdigung gem5 nationaler Gesetze (BDSG) . . . . . . . . . . . . . . . . . . . 164

§ 9. Datenschutz und Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

167

I. Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 1. Allgemeine Anforderungen an Compliance . . . . . . . . . . . . . . . . . . . 168 XVI

beck-shop.de

Inhaltsverzeichnis

II. III.

IV.

V.

VI.

VII.

2. Spezielle Regelungen fˇr die Organisation der Kreditinstitute . . . . . . a) Kreditwesengesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Wertpapierhandelsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Geldwschegesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Verhltnis der Compliance-Regelungen zum Datenschutz . . . . . . . . . 4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verhltnis des betrieblichen Datenschutzbeauftragten zum Geldwscheund Compliance-Beauftragten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Geldwsche- und Terrorismusfinanzierungsbekmpfung . . . . . . . . . . . . 1. Rechtsgrundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Datenschutz und § 25c KWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Angemessene Datenverarbeitungssysteme; § 25c Abs. 2 KWG . . . . b) Institutsˇbergreifende Zusammenarbeit nach § 25c Abs. 3 S. 4 und 5 KWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Institutsˇbergreifende Zusammenarbeit nach § 12 Abs. 1 Satz 2 GwG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Institutsˇbergreifende Zusammenarbeit nach § 12 Abs. 3 GwG . . . . 3. Sanktionslisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Identifizierung und Kopien von Ausweispapieren . . . . . . . . . . . . . . . Verhinderung strafbarer verm˛gensgefhrdender Handlungen nach § 25c KWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. § 25c Abs. 2 Satz 2 KWG als Rechtsgrundlage fˇr Betrugsbekmpfung 2. Warn- und Hinweissysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) § 25c Abs. 3 Satz 4 und 5 KWG als Rechtsgrundlage fˇr Warnund Hinweisdateien der Kreditwirtschaft . . . . . . . . . . . . . . . . . . . b) Betrieb eines Warn- und Hinweissystems . . . . . . . . . . . . . . . . . . . c) Datenschutzanforderungen an ein Warn- und Hinweissystem . . . . Staatliche Auskunftsersuchen an ein Institut . . . . . . . . . . . . . . . . . . . . . 1. Ermittlungsbeh˛rden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Staatsanwaltschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Polizei- und Ordnungsbeh˛rden . . . . . . . . . . . . . . . . . . . . . . . . . c) Finanzbeh˛rden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Checkliste Auskunftsersuchen/Beschlagnahmen . . . . . . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Formelle Legitimationsprˇfung . . . . . . . . . . . . . . . . . . . . . . . . . . c) Zulssigkeitsvoraussetzungen nach Fallgruppen im Strafverfahren . . d) Beschlagnahme von Kontoguthaben . . . . . . . . . . . . . . . . . . . . . . e) Einverstndnis des Kunden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . f) Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . g) Kostenerstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Datenschutz und Compliance in der Anlageberatung . . . . . . . . . . . . . . . 1. § 34d WpHG ^ Einsatz von Mitarbeitern in der Anlageberatung, als Vertriebsbeauftragte oder als Compliance-Beauftragte . . . . . . . . . . 2. WpHG-Mitarbeiteranzeigenverordnung (WpHGMaAnzV) . . . . . . . Grenzˇberschreitender Datenverkehr . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Erste Stufe: Prˇfung der Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . 2. Zweite Stufe: Prˇfung der Datenschutzadquanz . . . . . . . . . . . . . . .

171 171 172 173 173 175 176 178 178 179 180 182 183 184 185 187 188 188 189 189 191 191 193 193 194 194 195 195 197 197 197 197 198 198 199 199 199 199 200 201 202 203 XVII

beck-shop.de VIII. Verhltnis Aufsichtsrecht und Datenschutzrecht . . . . . . . . . . . . . . . . . . 1. Datenschutzaufsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Befugnisse der Datenschutzaufsicht . . . . . . . . . . . . . . . . . . . . . . . b) Bu5geld- und Strafvorschriften im Datenschutz . . . . . . . . . . . . . . 2. Bankenaufsicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX. Zukˇnftige Entwicklungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . X. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

204 204 204 205 206 207 207 209