Neue Datenbank zur Betrugsbekämpfung

Fraud Prevention Pool – Neue Datenbank zur Betrugsbekämpfung in der Kreditwirtschaft

Um verstärkt gegen Betrugsfälle, Terrorismusfinanzierung und Geldwäsche vorgehen zu können, haben die Kreditinstitute eine neue Datenbank entwickelt – den so genannten Fraud Prevention Pool (FPP). Bereits im Jahr 2012 entwickelte der Bankenfachverband mit seinen Mitgliedsinstituten ein Anforderungsprofil für einen FPP. Ziel war eine zentrale Speicherung von personenbezogenen Daten zu Betrugsverdachtsfällen durch einen externen Dienstleister, in den die Mitglieder des Pools Daten einmelden. Diese sollen anschließend als Warninformationen ausgetauscht werden.

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben das Konzept des FPP mit dem Ziel beraten, einen allgemeingültigen Kriterienkatalog für solche Warndateien aufzustellen. Darauf aufbauend werden bereits Produkte von Wirtschaftsauskunfteien angeboten. Hinsichtlich der gesetzlichen Bestimmungen im Kreditwesengesetz (KWG) sind sich die Aufsichtsbehörden einig, dass § 25h Abs. 3 Satz 4 und 5 KWG nicht als Ermächtigungsgrundlage für von Auskunfteien betriebene, zentrale FPP in Betracht kommt. Die Regelung gilt ihrem Wortlaut nach nur für Datenübermittlungen im Einzelfall. Zur Frage, ob diese Norm eine abschließende Datenschutzregelung für den Datenaustausch zwischen Banken darstellt und damit über § 1 Abs. 3 Satz 1 Bundesdatenschutzgesetz (BDSG) eine Sperrwirkung gegenüber den allgemeinen Datenübermittlungsnormen des BDSG entfaltet, bestehen allerdings bei den Aufsichtsbehörden unterschiedliche Rechtsauffassungen. Eine diesbezügliche Klarstellung durch den Gesetzgeber wäre daher zu begrüßen.

Unabhängig von den unterschiedlichen Bewertungen hinsichtlich § 25h Abs. 3 KWG fordern die Datenschutzaufsichtsbehörden des Bundes und der Länder für Datenbanken zum Zwecke der Betrugsprävention bundeseinheitliche Mindeststandards. Grundlage des nachfolgenden Katalogs ist, zwischen dem Interesse der Kreditinstitute, ihr Vermögensrisiko zu begrenzen, und dem schützenswerten Gegeninteresse der Betroffenen abzuwägen.

Die Datenschutzaufsichtsbehörden fordern daher mehrheitlich:

1. In Bezug auf die Einmeldung in den Pool:

• Sachverhalt inklusive Identität der Täterin oder des Täters müssen eindeutig festgestellt sein.
• Auffällige/ungewöhnliche Sachverhalte werden im Vorfeld klar und abschließend definiert (Fallgruppenkatalog/ Meldemerkmale), kein Freitext (kein Raum für subjektive Vermutungen).
• Vorwurf muss signifikant sein (keine Geringfügigkeit, ggf. Betragsgrenze).
• Beweisbarkeit (zum Beispiel durch gefälschte Dokumente).
• Umfassende Dokumentationspflicht zwecks nachträglicher Überprüfbarkeit der Einmeldung.
• Einmeldung nur durch besonders qualifiziertes Personal (Betrugspräventionsabteilung) und klare Compliance-Regelungen.

2. In Bezug auf die Verarbeitung (Speicherung/Nutzung) im Pool:

• Unterrichtung der Betroffenen über ihre konkrete Einmeldung in den Pool (zu Beginn der Geschäftsbeziehung bereits allgemeine Unterrichtung zu FPP durch das einmeldende Institut).
• Alle üblichen Betroffenenrechte gegenüber einer Auskunftei: Unter anderem umfassende Selbstauskunft, Löschung/Sperrung, Berichtigung, Nachberichtspflicht – mit der Garantie unverzüglicher Bearbeitung.
• Problem bei Identitätsbetrug, soweit es Opfer gibt: Opferschutz durch besondere Kennzeichnung – nur nach Einwilligung des Opfers.
• Keine Nutzung des eingemeldeten Sachverhalts für Bonitätsauskünfte und zur Berechnung von Score-Werten. 3. In Bezug auf die Beauskunftung/Übermittlung aus dem Pool:
• Vorliegen eines berechtigten Interesses der anfragenden Stelle (mit berechtigter Bonitätsanfrage indiziert).
• Übermittlung nur der absolut notwendigen Daten (anfragende Stelle soll nur gewarnt und damit zur Vorsicht bewegt werden).
• Übermittlung nur an einen ausgewählt kleinen Kreis bei der anfragenden Stelle.  Dokumentation des berechtigten Interesses bei der anfragenden Stelle und Stichprobenkontrolle seitens der Auskunftei.
• Bei Warnmeldung aus dem Pool: Kein Automatismus zur Ablehnung, sondern nur berechtigter Anlass zu einer tieferen Prüfung (so genanntes Aussteuern).

Quelle: LDI-NRW

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks