Banken als „wahre Datenschützer“

Durchgeschnittenes Datenkabel
Durchgeschnittenes Datenkabel(c) imago/Christian Ohde (imago stock&people)
  • Drucken

Die Vorschriften zur Geldwäscheprävention haben jetzt schon ihre Tücken. 2017 steht die nächste Verschärfung ins Haus.

Wien. „Man bezeichnet mich immer als Datenschützer. Dagegen verwahre ich mich, ich bin Menschenrechtsaktivist. Die Datenschützer sind Sie.“ Schon mit diesem Einstieg sorgte Georg Markus Kainz bei seinen Zuhörern aus der Banken-, Versicherungs- und Finanzberaterbranche für verblüffte Gesichter. Was er dann zu erzählen hatte, löste bei etlichen Betroffenheit aus.

Zum Praxisdialog Geldwäsche geladen hatte die AFPA, ein Verband von Versicherungsvermittlern und Finanzberatern. Es ging um „gläserne Kunden, transparente Vermittler“ und den Umgang mit Kundendaten. IT-Experte Kainz kommt vom Verein Quintessenz, der sich laut Eigendefinition der „Wiederherstellung der Bürgerrechte im Informationszeitalter“ verschrieben hat. Datenschützer nennt er Banken, Versicherungen, Berater und Vermittler deshalb, weil sie Kundendaten generieren, sammeln, speichern. Und weil sie von Gesetzes wegen die Sicherheit dieser Daten garantieren müssen, wofür sie auch haften.

Landen Daten auf US-Servern?

Durch den von Max Schrems erwirkten EuGH-Entscheid zum Safe-Harbor-Abkommen hat das eine zusätzliche Dimension bekommen: Weil das Abkommen für ungültig erklärt wurde, dürfen Daten nun nicht mehr ohne Weiteres auf US-Servern gespeichert werden. Das betrifft nicht nur die Kommunikation mit US-Geschäftspartnern oder innerhalb von internationalen Konzernen: Kainz meint, dass Unternehmen, um ihrer Pflicht zum Schutz von Kundendaten Genüge zu tun, jetzt etwa die Nutzung von Gmail- und Hotmail-Adressen für Datenübermittlungen überdenken müssen. Die Pflicht von US-Unternehmen, mit Ermittlungsbehörden zu kooperieren, sei Realität – und unter weitaus strengere Sanktionen gestellt als ein Datenschutzverstoß hierzulande, der 40.000 Euro „kosten“ kann. „Und US-Ermittler gehen manchmal nicht zum betreffenden Unternehmen, sondern direkt zum Provider, wenn sie Daten wollen.“

Auch hierzulande müssen immer mehr Daten im gesetzlichen Auftrag gesammelt und verfügbar gehalten werden – unter anderem unter dem Titel Geldwäscheprävention. „Immer mehr Vorgänge sind zu dokumentieren, immer mehr Abfragen zu machen. Und die eingesetzte Technik wird immer komplizierter“, sagt Kainz. In den Unternehmen selbst werden diese Daten nach seiner Erfahrung meist gut geschützt. „Aber alle Geräte sind mit dem Netz verbunden.“ Und das ist die Schwachstelle. Der IT-Spezialist berichtet von Backdoors (Hintertüren), die auch in Europa Sicherheitsbehörden Einsicht ermöglichen. Über Spionagesoftware, eingeschleust bei Software-Updates. Über Handy-Ortung („Das geht auf einen Meter genau. Man kann feststellen, wer hier neben wem sitzt.“). Und dann gibt es noch diverse Sicherheitslücken in Serverräumen – und Schadprogramme wie „Heartbleed“. All das sind Risikofaktoren für jene Unternehmen, die für die Sicherheit von Kundendaten verantwortlich sind.

Dazu kommen datenschutzrechtliche Pflichten, die kaum jemandem bewusst sind. So bedeute der Grundsatz der Datensparsamkeit, dass man nur speichern darf, was man wirklich braucht, und alles, was man nicht mehr benötigt, umgehend löschen muss. Aber wer macht das schon? Wer durchforstet wirklich regelmäßig seine Datenbestände, bloß um festzustellen, was zu löschen ist?

Bank als Mittäter

Zuvor schon hatten Josef Mahr vom Bundeskriminalamt und Angelika Trautmann, Vorstandsmitglied von Transparency International und Leiterin der Geldwäscheprävention bei der Bawag PSK, über die andere Seite des Themenkomplexes gesprochen: über jene Pflichten, die sich für Unternehmen des Finanz- und Versicherungssektors aus den Vorschriften zur Geldwäscheprävention ergeben. Diese lassen die Datensammlungen noch mehr ausufern und bringen weitere Haftungsrisken mit sich. Bei der Anwendung dieser Vorschriften ist immer noch vieles unklar – mit der vierten Geldwäsche-Richtlinie, die bis Juni 2017 umgesetzt werden muss, stehen weitere Verschärfungen ins Haus. Unter anderem soll dann auch der „Steueroptimierung“ stärker zu Leibe gerückt und generell die Bestimmungen über die Beitragstäterschaft verschärft werden: Mitarbeiter von Banken und Finanzdienstleistern werden dann schneller als bisher mit einem Fuß im Kriminal stehen, wenn sie ihre Kunden nicht an Rechtsverstößen hindern.

Dabei sind auch jetzt schon die Haftungsrisken beachtlich. Zum Beispiel gibt es die Verpflichtung, nicht nur die Kunden zu identifizieren, sondern auch festzustellen, ob der Kunde in eigenem oder fremdem Namen bzw. auf eigene oder fremde Rechnung handelt. Verschleiert ein Kunde eine Treuhandschaft, besteht Anzeigepflicht.

Wann ist es Treuhandschaft?

Aber abgesehen davon, dass das oft schwer feststellbar ist, schießt die bestehende Regelung – bei strenger Auslegung – zum Teil über das Ziel hinaus. Trautmann schildert folgenden Fall: Eine Frau drückt ihrem Mann 35 Euro in die Hand und bittet ihn, damit einen Strafzettel für sie zu bezahlen. Er zahlt das Geld auf sein Konto ein und tätigt von dort aus die Überweisung. Selbst das ist genau genommen eine Treuhandschaft und somit offenzulegen. Denn bei dauernden Geschäftsbeziehungen – und eine solche besteht, wenn man bei einer Bank sein Konto hat – sieht das Gesetz hier keine Geringfügigkeitsgrenze vor (anders bei einzelnen Transaktionen, hier gilt die Offenlegungspflicht ab 15.000 Euro.)

Bei Treuhandschaften muss man als Kunde nicht nur den eigenen Ausweis vorlegen, sondern auch eine Ausweiskopie des Treugebers. Das hat sich noch wenig herumgesprochen: Bei größeren Transaktionen für eine andere Person wird die Frage nach deren Ausweis zwar am Bankschalter meist gestellt, löst bei den betroffenen Kunden aber oft Ratlosigkeit aus.

("Die Presse", Print-Ausgabe, 22.10.2015)

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.