Welche Art von personenbezogenen Daten wird normalerweise im Finanzsektor verarbeitet und wie kritisch sind die Verarbeitungen?

Steht die Gewährung eines Kredits gegenüber einer natürlichen Person zur Frage, liegt es im elementaren Interesse des Kreditinstituts, die eigene finanzielle Handlungsfähigkeit und den Einlagenschutz zu gewährleisten. Um trotz Ausfallrisiko auch höhere Kredite vergeben zu können, bedarf es einer individuellen Risikoprüfung des potentiellen Kreditnehmers.

Neben der Bonität des Antragstellers ist auch dessen Seriosität – also die Wahrscheinlichkeit eines Missbrauchs / Betrugs durch die Person – für das Kreditinstitut ein wichtiges Entscheidungskriterium. Daten zur Bonität und zur Seriosität sind äußerst sensibel, da sie potentiell eine Stigmatisierung des Betroffenen ermöglichen. Umso wichtiger ist es, dass die der Risikoprüfung oftmals zugrundeliegenden Scorewerte mittels wissenschaftlich belastbaren Berechnungsmethoden errechnet werden.

Das Finanzinstitut zieht entweder eigene Erfahrungswerte für ein Scoring heran (sog. internes Scoring) oder bedient sich einer Auskunftei, die Scorewerte ggf. automatisiert bereitstellt (sog. externes Scoring). Die dem Scoring zugrundeliegenden Negativ- oder Positivdaten sind ihrerseits oftmals höchst sensibel, weil sie über das frühere Zahlungsverhalten des potentiellen Kreditnehmers Auskunft geben und – im Falle des externen Scorings – auf Erfahrungswerten einer Vielzahl sog. einmeldender Unternehmen beruhen.

Welche Gesetze und Bestimmungen zum Schutz der Privatsphäre müssen im Finanzsektor beachtet werden?

Zahlreiche branchenspezifische Vorschriften – u.a. im Kreditwesengesetz (KWG), im Wertpapierhandelsgesetz (WpHG) oder auch im Geldwäschegesetz (GWG) – ermöglichen oder verlangen die Erstellung von Bonitäts- und/ oder Seriositätsprofilen. Dabei ist teils detailliert festgeschrieben, welche einzelnen Datenkategorien für welchen Zweck verarbeitet werden dürfen / müssen und aus welchen Quellen die Daten bezogen werden dürfen. Den jeweiligen Vorschriften geht es dabei nicht immer nur um die Interessen des Finanzinstituts, sondern, wie im Falle einschlägiger Normen des Bürgerlichen Gesetzbuches (BGB), auch um den Schutz des Verbrauchers vor finanzieller Überforderung.

Ein Kreditinstitut muss somit einerseits die jeweils einschlägigen Verarbeitungserlaubnisse kennen und ggf. verpflichtende Datenverarbeitungen umsetzen. Andererseits muss das Institut sicherstellen, dass die jeweilige Profilbildung sich im jeweils zulässigen datenschutzrechtlichen Rahmen bewegt.

Welche Compliance-Risiken sind zu beachten und worauf haben Aufsichtsbehörden und Gerichte ihr Augenmerk gerichtet?

Werden Daten im Finanzbereich nicht rechtskonform verarbeitet, kann dies starke persönliche Auswirkungen auf das Leben der betroffenen Personen (z.B. Kreditnehmer) haben. Dies wäre z.B. der Fall, wenn einer Person aufgrund einer negativen Bonität die Gewährung eines Kredites für einen Hauskauf verwehrt wird.

Vor diesem Hintergrund war die Verarbeitung von Daten in der Finanzbranche bereits Gegenstand verschiedener Behördenstellungnahmen und Gerichtsurteile.