Kontrolle bei Financial Intelligence Unit (FIU)
Kontrolle und Beratung bei der Financial Intelligence Unit (FIU)
Seit ihrer Verlagerung vom Bundeskriminalamt (BKA) zur Generalzolldirektion (GZD) im Jahre 2017 hat die FIU keine Löschungen in ihrer Datenbank vorgenommen. Daneben wurden weitere datenschutzrechtliche Mängel feststgestellt, die zu mehreren Beanstandungen geführt haben. Außerdem wurde die FIU zur Verwendung von Echtdaten in Softwaretests beraten.
Im 29. Tätigkeitsbericht (Nr. 6.8) des BfDI wurde bereits über die FIU und ihre Arbeitsweise berichtet. Im Fokus standen dabei die Neugestaltung ihrer IT-Landschaft und die Entwicklung des Informationsverbundes FIU 2.0. Im aktuellen Berichtszeitraum wurde nun erstmalig eine Kontrolle bei der FIU zur Löschung personenbezogener Daten durchgeführt.
Mit Wirkung zum 26. Juni 2017 hat die FIU als unabhängige administrative Behörde ihren Wirkbetrieb unter dem Dach der GZD aufgenommen. Sie ist zuständig für die Entgegennahme, Sammlung und Auswertung von Meldungen über verdächtige Finanztransaktionen, die im Zusammenhang mit Geldwäsche oder Terrorismusfinanzierung stehen können. Sie verarbeitet in diesem Zusammenhang eine immense Anzahl von Geldwäscheverdachtsmeldungen, die sensible personenbezogene Daten enthalten.
Im Juni 2020 sind nach der Verlagerung der FIU vom BKA zur GZD erstmalig die in der Errichtungsanordnung (EAO) zum jetzigen Informationsverbund-FIU vorgesehenen Löschfristen abgelaufen. Dies hat der BfDI zum Anlass genommen, sich sowohl bei der FIU als auch bei der verantwortlichen Fach- bzw. Rechtsaufsicht im Bundesministerium der Finanzen (BMF) nach dem Sachstand der Umsetzung der Löschvorgaben zu erkundigen. In mehreren Stellungnahmen wurde dazu mitgeteilt, dass zu diesem Zeitpunkt weder der erforderliche Löschmechanismus im System implementiert werden konnte, noch manuelle Löschungen personenbezogener Daten durch die Sachbearbeitung erfolgt sind. Diese Aussagen waren Anlass, ein förmliches Kontrollverfahren bei der FIU einzuleiten.
Die Kontrolle ergab mehrere datenschutzrechtliche Mängel, die jeweils gegenüber dem BMF beanstandet wurden.
So sehen die gesetzlichen Regelungen vor, dass bereits vor der Inbetriebnahme eines Systems sowohl technische als auch manuelle Vorkehrungen getroffen werden müssen, um Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen. Dies hat die FIU versäumt. Der Informationsverbund-FIU wurde sogar mehrere Jahre betrieben, ohne die Löschvorgaben des für ihre Arbeit maßgeblichen Geldwäschegesetzes und der o. g. EAO zu beachten. Gleichzeitig hat die FIU es unterlassen, ihre Mitarbeitenden mit entsprechenden Berechtigungen für manuelle Löschungen auszustatten. Bei den Einzelfallprüfungen hat sich dies bestätigt. In der Stichprobenkontrolle konnte bei mehr als einem Drittel der Einzelfälle das Vorliegen der Löschvoraussetzungen festgestellt werden. Eine Löschung erfolgte in keinem dieser Fälle. Die FIU und das BMF verweisen als Kompensation für die unterbliebenen Löschungen auf eine eingeführte Einschränkung der Verarbeitung. Dies vermag die datenschutzrechtlichen Verstöße aber nicht abzumildern. Dem BMF wurde in diesem Kontext mitgeteilt, dass es bereits am Vorliegen der gesetzlichen Voraussetzungen für eine Anwendbarkeit der Ausnahmeregelung mangelt.
Die FIU bzw. das BMF haben die Implementierung technischer Löschvoraussetzungen im System in die Wege geleitet und der Datenschutzbehörde eine schnellstmögliche Umsetzung zugesichert. Manuelle Löschungen durch die Sachbearbeitung lehnt das BMF jedoch in weiten Teilen ab. Manuelle Löschungen seien unter anderem mit dem Kernauftrag der FIU nicht vereinbar. Es müsse ein möglichst großer Datenpool zu Analysezwecken zur Verfügung stehen, da vermeintlich harmlose Sachverhalte im späteren Verlauf zu werthaltigen Meldungen erstarken könnten.
Dies führt zum nächsten Kritikpunkt: Das pauschale, ungeprüfte Überführen von Geldwäscheverdachtsmeldungen in den Datenpool der FIU zwecks Datenhaltung auf Vorrat und zur Nutzung der Daten zu Analyse- und Recherchezwecken verstößt gegen den Grundsatz der Datenminimierung. Einer Datenspeicherung auf Vorrat hat das Bundesverfassungsgericht bereits in anderem Kontext mehrfach eine Absage erteilt. Zudem widerspricht eine solche Vorgehensweise den ausdrücklichen Vorgaben des Geldwäschegesetzes, das neben regelmäßigen Aussonderungsprüfungen auch explizit Prüfungen bei der Einzelfallbearbeitung vorsieht. Selbiges gilt für die o. g. EAO. Sofern Daten für die Aufgabenerledigung der FIU nicht mehr erforderlich sind, sind diese zu löschen.
Bei dieser Kontrolle musste zudem eine mangelnde Dokumentation und Aktenführung bei der FIU feststellen, die die Prüfung erheblich erschwerte. Hierzu zählen beispielsweise unvollständige, uneinheitliche oder widersprüchliche Angaben im Vorgangsbearbeitungssystem, das Fehlen von Fristeintragungen sowie fehlende Begründungen und Entscheidungen für eine Weiterspeicherung. Eine größer angelegte Datenschutzkontrolle und auch eine Eigenkontrolle der Behörde ist vor diesem Hintergrund kaum durchführbar.
Insgesamt besteht Nachbesserungsbedarf bei der FIU. Die Umsetzung der gesetzlichen Vorgaben muss sich künftig im Arbeitsablauf der Sachbearbeitung und im Löschkonzept für den neuen FIU-Informationsverbund 2.0 wiederfinden. Der BfDI wird daher weiter auf eine datenschutzkonforme Aufgabenwahrnehmung durch die FIU drängen und den Umsetzungsprozess überwachen.
Beratung der FIU bezüglich Testung mittels Echtdaten
Die Verarbeitung personenbezogener Daten bei der FIU unterliegt gesetzlich festgelegten Zwecken. Testzwecke fallen nicht darunter. Da es auch im Interesse des Datenschutzes liegt, eine hohe Qualität der eingesetzten Software sicherzustellen, hat der BfDI die FIU zu grundrechtsschonenden Alternativen beraten.
Die FIU ist mit der Ankündigung an die Datenschutzbehörde herangetreten, für verschiedene Test- bzw. Entwicklungsvorhaben Echtdaten verwenden zu wollen. Hierfür solle eine Kopie ihrer gesamten operativ genutzten Datenbank verwendet werden. Konkret ging es um die Aktualisierung bestehender Software, die Einführung des bereits erwähnten Löschmechanismus sowie einer Rechercheschnittstelle. Auch für das (kontinuierliche) Training der Künstlichen Intelligenz-Modelle von FIU-Analytics seien unveränderte Echtdaten zwingend notwendig. Die FIU gab an, dass sie dies auf Grundlage des Echtbetriebs für rechtlich zulässig halte.
Hinsichtlich der Verwendung von Echtdaten zu Testzwecken hat der BfDI jedoch Bedenken geäußert. Zwar ist das Testen von Software auch aus Datenschutzsicht unerlässlich, um die Integrität der Datenverarbeitung zu gewährleisten. Personenbezogene Daten unterfallen jedoch dem Zweckbindungsgrundsatz. Dem für die FIU relevanten Geldwäschegesetz (GwG) dürfte es allerdings bislang an einer hinreichend bestimmten und normenklaren Rechtsgrundlage für die Testung von IT-Anwendungen mit Echtdaten fehlen. Tests mit einer Kopie der gesamten Produktivdatenbank würden auch dem Datenschutzgrundsatz der Datenminimierung widersprechen. Bevor eine Testung mit Echtdaten überhaupt in Betracht gezogen werden kann, ist immer zu prüfen, ob keine weniger eingriffsintensiven Möglichkeiten zur Verfügung stehen, um den mit dem Softwaretest verfolgten Zweck zu erreichen.
Im weiteren Verlauf ist der BfDI mit der FIU in einen Austausch eingetreten, um vielfältige Alternativen zur Testung mit Echtdaten aufzuzeigen. Vor allem wurde die systematische Erstellung von Testfällen angeregt, die spezifische Anforderungen, aber auch Randfälle und Negativ-Tests abdecken. Eine weitere Alternative wäre die Generierung künstlicher Testdaten. Um unvorhergesehene Fehler aufzuspüren, könnten dabei auch Techniken wie Fuzzing zum Einsatz kommen. Zur Vermeidung von Fehlern wurde auch auf die Gewährleistung der Datenqualität hingewiesen. Zuletzt wäre auch eine vorherige Anonymisierung oder Pseudonymisierung von Echtdaten vor einer Nutzung zu Testzwecken denkbar.
Neben der Problematik einer fehlenden Rechtsgrundlage wären diese Testmöglichkeiten prioritär auszuschöpfen, bevor ggf. die Verwendung personenbezogener Echtdaten im Rahmen eines Pilotbetriebs in Betracht kommt. Die Verarbeitung von Daten durch die FIU wird de Datenschutzaufsicht weiter begleiten.
Quelle: BfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks