Am 1.7.2014 ist bei der Schufa eine Betrugsdatenbank, ein sogenannter Fraudpool, in Betrieb genommen worden. Banken können diesen Pool bundesweit nutzen, um Betrügern das Leben schwerer zu machen. Bisher haben 19 Banken ihre Absicht zur Teilnahme erklärt.

Hintergrund

Immer mehr Betrüger versuchen mit gefälschten Ausweisdokumenten ein Bankkonto zu eröffnen oder erschleichen sich mit gefälschten Gehaltsbescheinigungen Finanzierungen. Der jährliche Schaden deutscher Banken beläuft sich nach Bankenangaben auf über 75 Millionen Euro.

Die Landesdatenschutzbeauftragten sind sich nicht einig

Doch die Datenbank ruft die Datenschützer aufs Parkett. Einige Landesdatenschutzbeauftragte sind sich bzgl. der Rechtskonformität des Fraudpools nicht sicher bzw. vertreten unterschiedliche Auffassungen. Nach Aussage von NDR Info ergibt sich derzeit folgendes Bild:

Der Nordrhein-Westfälische und der Hamburgische Landesdatenschutzbeauftragte bezweifeln, dass ein solcher Pool durch deutsches Recht gedeckt ist. Der Schleswig-Holsteinische Landesdatenschutzbeauftragte spricht gar von Rechtswidrigkeit. Der Hessische Datenschutzbeauftragte hingegen hält die Datenbank für rechtskonform.

Eine Abstimmung der Landesdatenschutzbeauftragten ist derzeit nicht in Sicht. Die Schufa, mit Sitz in Wiesbaden, betont momentan die Rechtskonformität und verweist auf den Hessischen Landesdatenschutzbeauftragten. Dennoch: Sehen andere Landesdatenschutzbeauftragte den Pool als rechtswidrig an, wird es schwer für Banken in diesen Bundesländern. Nehmen sie an der Betrugsdatenbank teil, droht ihnen ein Verfahren durch die Aufsichtsbehörde. Zulässig oder nicht – das scheint die Gretchenfrage der Landesdatenschützer.

Was können Banken tun?

Leider sind derzeit kaum offizielle Stellungnahmen der jeweiligen Aufsichtsbehörden zu diesem Thema zu finden. Auf diese wird es aber ankommen, wenn Banken zu entscheiden haben, ob sie an dem Fraudpool teilnehmen können oder nicht. Sollte der Hessische Landesdatenschutzbeauftragte das Verfahren tatsächlich geprüft und für rechtskonform befunden haben, ist vor diesem Hintergrund eine sachbezogene und substantiierte Begründung der Rechtwidrigkeit von anderen Aufsichtsbehörden zu erwarten. Möglicherweise liegen die unterschiedlichen Auffassungen der Aufsichtsbehörden aber auch daran, dass nicht allen Aufsichtsbehörden die gleichen Informationen zur Prüfung zur Verfügung gestellt wurden. Eine Abstimmung der Landesdatenschutzbeauftragten erscheint insoweit dringend erforderlich.

Datenschutzbeauftragte von Banken, die aufgrund der unklaren Rechtslage hinsichtlich der Bewertung der Datenbank unsicher sind, können sich aktiv an die für sie zuständige Aufsichtsbehörde wenden. Den Weg hierfür eröffnet das Bundesdatenschutzgesetz z.B. nach § 4g Abs. 1 BDSG i.V.m. § 38 Abs. 1 S. 2 BDSG. Demnach haben die Aufsichtsbehörden den Datenschutzbeauftragten zu beraten und zu unterstützen. In diesem Rahmen könnte es hilfreich sein, z.B. die bankinterne datenschutzrechtliche Vorabkontrolle mit allen relevanten Informationen der Aufsichtsbehörde zur Prüfung vorzulegen und die Ergebnisse mit der Prüfung des Hessischen Landesdatenschutzbeauftragten zu vergleichen.