Datenschutz

1. Begriff: Datenschutz (data privacy) bezieht sich auf den Schutz personenbezogener Daten (protection of data privacy), d.h. den Schutz der einzelnen Person vor dem Missbrauch ihrer persönlichen Daten, und basiert auf der informationellen Selbstbestimmung, die durch das Grundgesetz (Art. 1 I, 2 I) gewährleistet ist. Weiterhin wird Datenschutz durch zahlreiche Gesetze geregelt, vor allem durch das Bundesdatenschutzgesetz (BDSG-neu), das primär den Umgang mit personenbezogenen Daten regelt, d.h. allen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Seit 25.5.2018 gilt vorrangig die EU-Datenschutzgrundverordnung (VO [EU] 2016/679 v. 4.5.2016, ABl. EU L 119, S. 1), die die Richtlinie 95/46/EG ersetzt und eine unionsweite Vereinheitlichung der Regelungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vorsieht. Neben einem EU-einheitlichen Schutzniveau personenbezogener Daten wird in der DSGVO zugleich der freie Datenverkehr innerhalb der Europäischen Union (EU) geregelt. 

2. Charakterisierung: Der im Bundesdatenschutzgesetz, in weiteren Gesetzen (auch der Länder) und Rechtsverordnungen sowie in EU-Rechtsakten vorgesehene Schutz natürlicher Personen vor unbefugtem oder missbräuchlichem Umgang mit ihren personenbezogenen Daten (als Teil des Rechts auf persönliche - „informationelle“ - Selbstbestimmung) erfasst nicht nur die automatisierte (elektronische), sondern i.d.R. auch die aktenmäßige Daten-Verarbeitung i.w.S., d.h. Erhebung, Formen der Verarbeitung (Speicherung, Übermittlung, Veränderung, Sperrung und Löschung) sowie sonstige Nutzung (Art. 4 Nr. 2 DSGVO). Kreditinstitute i.S. des KWG sind i.d.R. nicht-öffentliche Stellen i.S. des § 2 IV BDSG-neu, so dass sie nur den allgemeinen Vorschriften sowie speziell hierfür geltenden, im Vergleich zum staatlichen Bereich – öffentliche Stellen – weniger strikten Regelungen der §§ 22, 24 BDSG-neu unterliegen, v.a. bei der Bankauskunft und bei der Weiterleitung von gespeicherten Daten an die SCHUFA (vgl. § 31 II BDSG-neu). Nach Art. 32 DSGVO müssen auch nichtöffentliche Stellen als Verantwortliche oder Auftragsverarbeiter (Art. 4 Nr. 7, 8 DSGVO) technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (insbesondere Zugangs-, Abgangs-, Übermittlungs-, Eingabe-, Auftrags-, Transport- und Organisationskontrollen - Datensicherheit). Daraus ergeben sich auch Anforderungen für die bankinterne Speicherung, Verarbeitung sowie die Übermittlung von Daten, ferner Melde- und Benachrichtigungspflichten bei Verletzungen (Art. 33, 34 DSGVO). Werden mindestens zehn Arbeitnehmer ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss ein betriebsinterner Datenschutzbeauftragter (Art. 37 DSGVO) bestellt werden (§ 38 BDSG-neu). DSGVO wie BDSG erstrecken sich nur auf personenbezogene Daten natürlicher Personen als "Betroffener" (Art. 4 Nr. 1 DSGVO), nicht hingegen auf Daten von juristischen Personen und Personenvereinigungen, es sei denn, dass es dabei direkt auch um natürliche Personen geht, wie etwa bei Personengesellschaften im Hinblick auf deren persönlich haftende Gesellschafter.

3. Daten aus Dateien: Das BDSG gilt v.a. für in Dateien bzw. Dateisystemen enthaltene Daten, also jede systematische Datensammlung, die nach bestimmten Merkmalen geordnet ist und nach anderen Begriffen reorganisiert werden kann. Erfasst sind jedenfalls IT-mäßig gespeicherte Daten, Akten und Aktensammlungen zumindest insoweit, wie sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 I DSGVO).

4. Datenspeicherung und Datenübermittlung: Art. 6 I DSGVO erlaubt eine Verarbeitung personenbezogener Daten nur, wenn entweder der Betroffene wirksam zugestimmt hat (Einwilligung; Art. 7 DSGVO) oder eine Rechtsvorschrift des EU- oder des nationalen deutschen Rechts sie erlaubt oder anordnet (Art. 6 II, III DSGVO).
a) Die Einwilligung des Betroffenen, also der Person, um deren persönliche oder sachliche Verhältnisse es geht, bedarf zur Wirksamkeit nicht mehr der Schriftform, muss aber eindeutig sein und dokumentiert werden (s. Art. 5 II DSGVO). Wenn sie zusammen mit anderen Erklärungen abgegeben wird (so v.a. im Falle von Allgemeinen Geschäftsbedingungen oder weiteren vertraglichen Regelungen), muss die Einwilligungserklärung klar und deutlich, etwa im äußeren Erscheinungsbild (durch Fettdruck, Umrahmung usw.) hervorgehoben werden (Art. 7 II DSGVO). Banken weisen ihre Kunden in üblichen Vertragsformularen (z.B. bei Kontoeröffnung, Abschluss eines Kreditvertrags) oder in anderer geeigneter Form darauf hin, dass sie deren persönliche Daten im Rahmen der Geschäftsverbindung speichern und verarbeiten sowie an Auskunftsstellen, z.B. an die SCHUFA, weitergeben; auch dafür ist eine präzise Angabe des Zwecks erforderlich (Art. 6 IV DSGVO). Bei der erstmaligen Speicherung oder Übermittlung personenbezogener Daten ist der Kunde hierüber zu informieren (Art. 12, 13 DSGVO). Er hat dann ein Recht auf Auskunft über zu seiner Person gespeicherte Daten (Art. 15) sowie auf Berichtigung unrichtiger, auf Sperrung strittiger und auf Löschung solcher Daten, deren Verarbeitung unzulässig war (Art. 16, 17 DSGVO).
b) Erlaubnis durch DSGVO/BDSG-neu: Gemäß Art. 6 I 1 b), f) DSGVO dürfen auch Kreditinstitute personenbezogene Daten erheben, speichern, verändern oder übermitteln: – im Rahmen der Zweckbestimmung ihrer mit den Kunden abgeschlossenen Verträge (z. B. Giro-, Kreditvertrag) oder soweit dies zur Wahrung ihrer berechtigten Interessen erforderlich ist und schutzwürdige Belange des Kunden am Ausschluss der Verarbeitung nicht überwiegen. In diesem Fall dürfen die Daten nach Art. 6 IV DSGVO auch für andere Zwecke übermittelt und genutzt werden. Ferner dürfen Banken rechtmäßig erhobene personenbezogene Daten auch übermitteln oder nutzen, soweit dies zur Wahrung der überwiegenden berechtigten Interessen eines Dritten erforderlich ist. Eine Erleichterung in Bezug auf listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe, wenn sie sich auf Namen, Titel, akademische Grade, Geburtsjahr, Berufs-, Branchen- oder Geschäftsbezeichnungen und Anschrift beschränken und Übermittlung oder Nutzung Zwecken der Werbung oder Marktforschung dienen, besteht nicht mehr; hier gelten die allgemeinen Voraussetzungen. Nur in engem Rahmen zulässig ist die Verarbeitung bestimmter sensibler Daten (z.B. Gesundheit, Vorstrafen betreffend); Regelungen hierfür treffen Art. 9 DSGVO und § 22 BDSG-neu, wobei vor allem automatisiertes Profiling nur sehr restriktiv gestattet wird (Art. 22 i.V.m. Art. 4 Nr. 4 DSGVO).

5. Anwendungsbeispiele: Auch bei Banken sind vor allem Kundendaten in Datenbanken gespeichert, die in operativen Geschäftsprozessen genutzt werden, z.B. zur Verwaltung der Girokonten. Immer häufiger werden auch personenbezogene Daten in Data-Warehouse-Systemen (Data Warehouse) zu Analysezwecken vorgehalten, die z.B. für ein analytisches Customer-Relationship-Management dienen. CRM-Systeme sammeln gezielt personenbezogene Daten, die auch kundenindividuell ausgewertet werden können (Personalisierung bzw. Profilierung). Hier ist der Datenschutz besonders zu beachten, d.h. spezielle Sicherheitskonzepte müssen entwickelt und eingerichtet werden.