Reorganisation von Daten, Gesetze, Geschäftsmodelle, Widersprüche: Die April-Ausgabe von „Vorsprung“ ist erschienen!
Interview mit Heinz-Dieter Köhler: EU-Datenschutzgrundverordnung (DSGVO)
Interview mit Thomas Ehrhardt von AmTrust zur Kreditausfallversicherung
FINNOFLEET – NAVIGATING FINANCIAL HORIZONS
Unsere FinTech-Gruppe wächst weiter: Wir bekommen ein sechstes starkes Mitglied
5 starke Unternehmen – eine starke Gruppe mit einer gemeinsamen Vision
Weil wir leben, wovon andere noch träumen.
Ganz auf Veränderung gepolt
Interview mit Stefan Kramer: Modernes Datenmanagement in der Immobilienfinanzierung – Anforderungen, Tücken, Chancen
Die große Datenmanagement-Diskussion mit Expertenmeinung
Der Umgang mit personenbezogenen Daten ist eigentlich nichts Neues, aber spätestens seit dem Inkrafttreten der EU-Datenschutzgrundverordnung vor fast genau einem Jahr ein sensibler Bereich, der vielfältige rechtliche Anforderungen an alle Beteiligten und an neue digitale Geschäftsmodelle stellt und mit empfindlichen Geldbußen belegt ist.
Wir sprechen mit Experten, die sich ausführlich mit den Erfordernissen, Fallstricken und Möglichkeiten des Umgangs mit Daten beschäftigt haben.
Die EU-DSGVO hat in allen Bereichen für viel Unsicherheit oder besser formuliert Unsicherheiten gesorgt. Kleinere Unternehmen hatten im letzten Jahr sogar kurzzeitig ihren Internetauftritt vom Netz genommen aus Angst, gegen die Verordnung zu verstoßen, um nicht mit hohen Bußgeldern belegt zu werden. Dabei ist grundlegend erst einmal nichts anders. Jeder, der Umgang mit personenbezogenen Daten hat, ist angehalten, sich grundlegend mit dem Schutz der Daten auseinanderzusetzen.
Wir sprechen hier unter anderem mit Herrn Stefan Kramer, wie ist Ihre Einstellung zur Datenschutzgrundverordnung? Wo sehen Sie die Anforderungen an Unternehmen und Behörden?
Stefan Kramer: Die DSGVO ist für mich in erster Linie eines: ein Normmoloch. Ich sehe ein grundlegendes Problem im allumfassenden Ansatz der Verordnung. Weltkonzerne wie Google und regionale Kleinunternehmen regulatorisch über einen Kamm scheren zu wollen – das kann nicht reibungslos funktionieren. Dazu kommt die große Anzahl auslegungsbedürftiger Stellen innerhalb der Verordnung, die einen breiten Ermessungsspielraum zulassen. Wie lange muss oder darf ich etwa Daten aufbewahren? Drei, sechs, zehn, elf oder noch mehr Jahre? Wann bin ich dazu verpflichtet, Daten ad hoc zu löschen? Und unter welchen Voraussetzungen wird diese Verpflichtung ausgesetzt? Das führt an vielen Stellen zu Unsicherheit.
Wie sollte man Ihres Erachtens damit umgehen?
Stefan Kramer: Unternehmen rate ich zu einer ausführlichen Auseinandersetzung mit der DSGVO, deren Handhabung und Vorgehensweise dann sorgfältig dokumentiert werden sollte, um im Ernstfall beweisen zu können, dass nach bestem Wissen und Gewissen verfahren wurde. Wer für Anforderungen und offene Fragen plausible und angemessene Lösungen findet und diese nachvollziehbar dokumentiert, ist meines Erachtens auf der sicheren Seite. Bei Unsicherheiten empfehle ich zudem, proaktiv auf die Behörde zuzugehen und bei dieser um Rat zu fragen. Denn das ist deren oberste Aufgabe: Nicht bestrafen, sondern Bürgern und Unternehmen bei Unklarheit beratend zur Seite zu stehen.
Betrachten wir den Bereich der Immobilienfinanzierung
Ganz oben steht die Dokumentation und zwar aus ganz pragmatischen Gründen. Nehmen wir nur allein den Bereich der Kreditwürdigkeitsprüfung und fragen uns: „Was brauche ich, um Haftungsfragen – ein wiederkehrendes und sensibles Themengebiet in dem Bereich – adäquat zu begegnen?“ Hier können wir ausgehend von den EuGH-Urteilen der Vergangenheit und der Pflicht zur Kreditwürdigkeitsprüfung, wie sie in Frankreich entschieden wurde, davon ausgehen, dass die Beweislast für die Einhaltung verbraucherschützender Vorschriften beim Finanzunternehmen liegt. Ohne durchgängige Dokumentation der Arbeitsvorgänge und des Umgangs mit Datensätzen können Sie keine erfolgversprechende Beweisführung vornehmen. Dabei ist die Sache hochkomplex.
Näher ausgeführt:
Bleiben wir beim Beispiel der Kreditwürdigkeitsprüfung, die ja eine umfassende Prüfung der wirtschaftlichen Verhältnisse darstellt. Dafür ist erforderlich das Einholen notwendiger, ausreichender und angemessener Informationen zu Einkommen, Ausgaben und finanziellen und wirtschaftlichen Verhältnissen (§ 505b Abs. 2 BGB), eine Anforderung, die Spielraum lässt. Zudem müssen externe Auskünfte zur Bewertung der Kreditwürdigkeit (Schufa) eingeholt werden (§ 18a Abs. 3 KWG) sowie Objektdaten zur Bewertung (§ 505c BGB). Das heißt: Das Unternehmen ist nicht der einzige Akteur mit Nachweispflichten sowohl in zivilrechtlicher als auch aufsichtsrechtlicher Hinsicht.
Gibt es einen Vermittler, so hat auch dieser eigenständige Pflichten. Er muss wie ein Darlehensgeber für seine Vermittlungsleistung vorvertragliche Informationen bereitstellen, muss einen Vertragsentwurf verschaffen, ist zu Erläuterungen verpflichtet, hat seine eigenen Aufbewahrungspflichten und muss bei einer etwaigen Beratung weiteren eigenständigen Pflichten hinsichtlich Interessenskonflikt und Transparenzgewährleistung nachkommen. Bei allem liegt am Ende die Beweislast oft bei der Bank, aber auch beim Vermittler. Aus diesem Grund müssen Aufgaben und Kompetenzen im Vorfeld sauber geklärt werden, anders ausgedrückt: Es gilt zu definieren, „Wer macht Was“.
Immer wenn wir vom Umgang mit Daten sprechen, sprechen wir von zwei Bereichen, die eng aufeinander bezogen sind: Datenaufbewahrung und Datenlöschung. Worauf ist in dieser Hinsicht zu achten?
Stefan Kramer: Zunächst einmal muss jedem bewusst sein, dass ein sauberer Umgang mit Daten im Unternehmen nur gelingen kann, wenn alle Beteiligten diesbezüglich geschult werden und eng zusammenarbeiten: Juristen, Techniker, Entscheider, Mitarbeiter. Schon allein das ist organisatorisch voraussetzungsreich.
Darüber hinaus müssen Begriffe sauber definiert werden, denn hier geht im alltäglichen Sprachgebrauch viel durcheinander. Daten speichern, aufbewahren, sichern – meint das alles dasselbe oder wo liegen die Unterschiede? Tatsächlich bedeuten die Begriffe Verschiedenes: Speichern allumfassend das Erfassen, Aufnehmen und Aufbewahren von Daten. Aufbewahren meint die Sicherung von Daten zu deren produktiver Nutzung. Archivieren hingegen die externe Lagerung von Daten, die in diesem Kontext in erster Linie nicht produktiv genutzt werden. Datensicherung ist abschließend ein technischer Begriff und wird vorgenommen, um bei Datenverlust wieder etwas herstellen zu können.
Soweit so verständlich. Aber unter welchen Umständen sind Unternehmen überhaupt berechtigt, Daten speichern zu dürfen?
Stefan Kramer: Unternehmen brauchen in jedem Fall eine Ermächtigungsgrundlage. Diese Ermächtigungsgrundlagen leiten sich zunächst aus Art. 6 Abs. 1 DSGVO ab. Für Unternehmen relevant sind vor allem Folgende:
die Einwilligung der Person, deren Daten sie verarbeiten,
eine vertragliche oder vorvertragliche Grundlage,
eine gesetzlichen Grundlage oder
ein berechtigtes Interesse ihrerseits.
Die Einwilligung ist dabei von den anderen Ermächtigungsgrundlagen zu unterscheiden, da sie auf dem freien Willen des Betroffenen beruht: Verfügen Unternehmen über die persönliche Einwilligung, benötigen sie weder eine gesetzliche Grundlage noch ein berechtigtes Interesse. Fehlt ihnen die persönliche und freiwillige Einwilligung, dann müssen sie die Ermächtigungsgrundlage aus einem der anderen drei Kontexte heraus generieren. Insbesondere ihr berechtigtes Interesse muss gut begründet sein, wenn sie ihre Datenverarbeitung weder aus einer persönlichen Einwilligung noch aus einem Vertrag oder dem Gesetz ableiten können.
Was bedeutet das für die Aufbewahrung und Speicherung von Daten?
Stefan Kramer: Bereits beim Speichern von Daten müssen Unternehmen eine Dokumentation anlegen, die nachweist, dass zu einem späteren Zeitpunkt die Anforderungen an die Verfügbarkeit sowie das Ändern, Löschen und Einschränken der Verarbeitung erfüllt werden. Also bereits vor einer Datenaufnahme muss ein Konzept erstellt werden, welche Daten ich wie lange speichere und welche Beteiligten unter welchen Umständen Zugriff auf dieses Material haben. Und dieses Konzept muss sauber dokumentiert sein.
Daten müssen Unternehmen rücksichern im Rahmen angemessener gesetzlicher Fristen – die mitunter mehrere Jahrzehnte betragen können. Und sie müssen die technische Machbarkeit dieser Aufbewahrung sowie die Integrität der Datenbestände gewährleisten. All das muss wieder nachvollziehbar dokumentiert werden.
Und: Unternehmen müssen die technischen Voraussetzungen erfüllen, auf gesetzliche Änderungen zeitnah zu reagieren, also erhobene Daten löschen oder berichtigen zu können. Das heißt zwangsläufig nicht, dass eine Löschung oder Berichtigung durchgeführt werden muss, wenn die Notwendigkeit besteht, Daten aufgrund von Haftungs- und Nachweisfragen oder Aufbewahrungspflichten weiterhin vorzuhalten.
Grundsätzlich besteht als Darlehensgeber die Verpflichtung, bestimmte Daten und Informationen einzuholen – auch ohne Einwilligung der betroffenen Person, die aber trotzdem nachweislich über die Art und Weise der Datenverarbeitung aufgeklärt werden muss. Auch hier gelten die oben gemachten Ausführungen über die vier Ermächtigungsgrundlagen Einwilligung, Vertrag, Gesetzesgrundlage und berechtigtes Interesse. Zu beachten ist, dass diese Grundlagen nicht kumulativ funktionieren, sondern immer nur alternativ (das ist allerdings aktuell umstritten). Das führt dazu, dass in diesem Bereich bei Unternehmen aktuell viel Unsicherheit herrscht, etwa inwieweit das Widerrufsrecht seitens des Kunden greift, wenn meine Datenverarbeitung auf der freiwilligen Einwilligung fußt.
Stefan Kramer: Unsicherheit herrscht auch bei der Frage, welche Daten Unternehmen überhaupt speichern dürfen. Ein Beispiel: Ein Finanzunternehmen erhält im Rahmen der Kreditwürdigkeitsprüfung die Information, der potentielle Darlehensnehmer finanziert sich über eine Erwerbsunfähigkeitsrente. Ist es in diesem Fall notwendig oder gestattet, den Grund für die Erwerbsunfähigkeit zur Entscheidensgrundlage für oder wider eine Kreditzusage zu machen? Spricht etwa eine Krebserkrankung gegen eine Bewilligung, da der Kredit gegebenenfalls nicht zurückgezahlt werden kann? Würden bei Kreditbewilligung und nach dem verfrühten Tod des Kreditnehmers dessen Erben den Vorwurf erheben, das Finanzunternehmen habe mit Blick auf die gesundheitliche Verfassung des Kreditnehmers falsch beraten? Lässt sich diese Thematik mit einer möglichst weit gefassten abstrakt formulierten freiwilligen Einwilligungserklärung oder durch ein berechtigtes Interesse rechtssicher auffangen? Wir bewegen uns hier in einem Feld, das vielfältigen Raum für Diskussionen lässt und auch von Aufsichtsbehörden aktuell nicht geklärt wird.
Datenaufbewahrung mit all ihren Tücken ist das eine. Was gilt es beim Thema Datenlöschung zu beachten?
Stefan Kramer: Das Thema Datenlöschung stellt schwierigste Anforderungen an die Abteilungen Organisation und Technik. Sind Sie z. B. technisch in der Lage, isolierte Datensätze zu löschen, ohne den gesamten Satz an Daten unbrauchbar zu machen? Über mehrere Datenorganisationssoftwares hinweg? Nein? Was also tun? In jedem Fall müssen Unternehmen in ihrer Risikoanalyse dezidiert darauf hinweisen. Dieses Problem können Unternehmen in aller Regel nicht im Rahmen vertretbarer Aufwendungen und Kosten auflösen. Wenn also eine Löschung von Teildaten technisch nicht realisierbar ist, so müssen Unternehmen trotzdem den Datenschutz gewährleisten – etwa durch Anonymisierung. Generell sprechen wir in dieser Hinsicht von einer Kollision datenschutzrechtlicher Grundsätze, nämlich Verfügbarkeit, Revisionssicherheit und Löschung. Unternehmen sind gefordert, die Rechtsgüter dem Prinzip der Konkordanz folgend in ein Verhältnis zueinander zu bringen. Und sie müssen ausführlich dokumentieren, aus welchen Gründen sie sich für ein bestimmtes Verfahren dabei entschieden haben.
Werden wir einmal konkret:
Ein Verbraucher wirft einem Finanzunternehmen nach einigen Jahren vor, von diesem falsch beraten worden zu sein und dadurch einen Schaden von 10.000 EUR erlitten zu haben. Vor Gericht ist nun für eine erfolgversprechende Anspruchsabwehr im Hinblick auf die Erbringung der sekundären Behauptungslast am Unternehmen eines wichtig: Zu jeder Tatsachenbehauptung, die der Verbraucher nicht selbst darlegen kann, weil sie im „Herrschaftsbereich“ des Unternehmens liegt, muss dieses ein Beweismittel vorlegen. Die Beweismittel kommen aus den Daten des Unternehmens. Ohne vollumfängliche Dokumentation keine erfolgsversprechende Beweisführung.
Zudem kommt es immer wieder vor, dass Unternehmen Daten gelöscht haben, die sie dann für eine spätere Beweisführung bräuchten. Das führt uns zu der Frage, wie lange Daten aufbewahrt werden sollten. Drei Jahre, wie sie von der Regelverjährungsfrist festgesetzt werden? Hier gilt es, in jedem Fall das Schuldrechtmodernisierungsgesetz von 2002 zu beachten, das nach dem subjektiven Prinzip festlegt, dass der Beginn der Verjährungsfrist mit der Kenntnis der anspruchsgebenden Tatsachen seitens des Kunden beginnt. Man kann – und vor Gericht wird das auch getan – ausführlich darüber streiten, wann ein Kunde tatsächlich Kenntnis über diese Tatsachen erlangt hat. Als Maßgabe sollten Unternehmen daher die Maximalverjährungsfrist von zehn Jahren als Zeitraum der Aufbewahrung ansetzen.
Stefan Kramer: Komplexer wird es noch, wenn Daten von mehreren Beteiligten genutzt werden. Finanzinstitute können in vielfältigen Abhängigkeitsverhältnissen zu Dritten stehen, etwa zu Vertrieben, die womöglich über eine Plattform kommen, zu Vermittlern, eine Bank kann auch selbst Vermittler sein. Alle Beteiligten haben dabei ganz eigenständige Pflichten und hinter jeder Datenweitergabe muss wiederum eine Ermächtigungsgrundlage stehen. Wenn wir dann etwa über einen gemeinsamen Datenpool sprechen und ich als Bank z. B. Daten lösche, gibt es womöglich andere, die für ihre eigene Dokumentation darauf angewiesen sind. Vermittler und Berater sollten daher in Zukunft sehr darauf bedacht sein, im Hinblick auf ihr Datenmanagement ebenso unabhängig zu werden, insbesondere wenn ihre Daten bisher nur in der Plattform oder dem Banksystem hinterlegt waren.
Woran ist bei Datenteilung in einer Anwendung, wie zum Beispiel Plattformen, zu denken?
Werden sich Daten geteilt, müssen die jeweiligen Pflichten, Rechte, Kosten und Sicherheitskonzepte geklärt werden. Funktioniert die gemeinsame Arbeit über ein Joint Controllership ohne einseitige Weisungsbefugnisse? Oder über eine Datenverarbeitungsvereinbarung? Datentrennung, also wenn mehrere Unternehmen oder Beteiligte – das können dann etwa Geodaten-Anbieter, Besichtiger oder Gutachter sein – auf einen Datenpool zugreifen, muss stets durchkonzeptioniert sein.
Hier gilt, dass die technische Seite hinter den Verfahren einwandfrei funktioniert. Ganz gleich, ob wir von bestandsführenden oder Hilfssystemen sprechen: Datensicherheit muss technisch auf allen beteiligten Systemen und Geräten gewährleistet sein.
Sollten dem Unternehmen im Rahmen der Konzeptionierung Schwierigkeiten auffallen, sollte in enger Absprache mit dem Datenschutzbeauftragten eine Datenschutzfolgeabschätzung vorgenommen oder auch hier wieder gegebenenfalls die Behörden konsultiert werden.
Die Diskussion ist in der neuen Ausgabe des Banken-Magazins „Vorsprung“ erschienen. Lesen Sie hier die ganze Ausgabe.
