computerwoche.de

Archiv

Informationspool gegen Terroristen und Geldwäscher alarmiert Datenschützer

Banken planen gläsernen Markt

12.12.2003
MÜNCHEN (wh) - 20 der weltgrößten Banken planen einen gigantischen Datenpool. Gefüllt mit polizeilichen und amtlichen Informationen, soll er eine umfassende Kundenüberprüfung ermöglichen. Im Zuge verschärfter Antiterrorgesetze fordern auch deutsche Behörden immer mehr Kontrollen. Datenschützer warnen vor einem Missbrauch der gewonnenen Erkenntnisse.

Was die Regulatory Data Corp. (RDC) im Auftrag von 20 Finanzkonzernen erledigt, könnte schon bald die Vision vom gläsernen Bankkunden Wirklichkeit werden lassen: Die US-Firma zapft weltweit mehr als 20000 Datenquellen an, sucht nach Informationen über Disziplinarverfahren von Börsenaufsichtsbehörden, internationale Terroristen, organisierte Kriminalität oder Politiker aus allen Erdteilen. Um ein umfassendes Bild ihrer Klientel zu gewinnen, gleichen die Banken die Daten aus dem RDC-Pool mit ihren eigenen Beständen ab. Erklärtes Ziel ist es, Kunden genauer zu prüfen, um Geldwäschedelikten oder der Finanzierung terroristischer Aktivitäten auf die Spur zu kommen.

Zu den Gründungsmitgliedern der RDC gehören US-Institute wie Citigroup, Bank of America, UBS, Goldman Sachs oder JP Morgan, aber auch die Deutsche Bank. In welche Richtung die Ermittlungen gehen sollen, zeigt die personelle Ausstattung mit Geheimdienstexperten. Mit William Webster sitzt ein ehemaliger Direktor des US-Geheimdienstes CIA und der Bundespolizei FBI im Führungsgremium.

Ganz freiwillig betreiben die Institute diesen Aufwand nicht. Nach den Anschlägen vom 11. September 2001 verschärften etliche Regierungen die Gesetze gegen Geldwäsche und Terrorismus. Am weitesten greift der USA Patriot Act vom Oktober 2001. Um die strengen Vorgaben und Fristen hinsichtlich der Kundenüberprüfung zu erfüllen, greifen vor allem US-Banken auf spezialisierte Softwarehersteller wie Mantas oder Searchspace zurück. Deren Programme scannen jede einzelne Transaktion; sie nutzen dazu Tausende von Mustern und Regeln, um etwa auffällige Zahlungsströme oder ungewöhnliche Verbindungen zwischen Namen und Konten zu identifizieren.

Orwellsche Überwachung?

Die Grenzen zwischen hergebrachten Business-Intelligence-Systemen und kriminalistischen Ermittlungsmethoden verschwimmen dabei immer mehr. Art und Umfang der Erhebungen rufen Datenschützer auf den Plan. Sie warnen vor einem Missbrauch der gewonnenen Daten, der zu einer weit greifenden Überwachung Orwellscher Prägung führen könne.

Ira Wahl, Sprecherin beim Bundesbeauftragten für den Datenschutz in Bonn, beurteilt die Initiative der Großbanken besonders kritisch: "In Deutschland gibt es keine Rechtsgrundlage, nach der Banken oder von Banken zu diesem Zweck gegründete Unternehmen auf polizeiliche oder amtliche Datenbanken zugreifen dürften." Insofern könnten die Institute lediglich öffentliche Quellen nutzen. "Die Banken sind auch keine Hilfssheriffs", stellt die Datenhüterin klar, "sondern sollen - genau umgekehrt - nur bei Verdachtsfällen (Geldwäsche etc.) die Ermittlungsbehörden unterrichten."

Die Informationen in der RDC-Datenbank stammten allesamt aus öffentlich zugänglichen Quellen, betont dagegen Ronald Weichert, Sprecher der Deutschen Bank in Frankfurt. Dabei gehe es vor allem um internationale Zahlungsströme, datenschutzrechtlich geschützte Kundeninformationen würden nicht erfasst. Er räumt allerdings ein, dass die Bank bei Auffälligkeiten - beispielsweise häufigen Zahlungen in ungewöhnliche Regionen - Kundendaten mit dem internationalen Pool abgleichen würde.

Sorgen bereitet den Datenschützern nicht nur die Entwicklung in den USA. Nach dem Patriot Act wurden auch in Deutschland die Gesetze gegen Geldwäsche und Terrorfinanzierung verschärft. Dazu zählt etwa das Geldwäschebekämpfungsgesetz vom August 2002, auf dessen Grundlage eine Zentralstelle für Verdachtsanzeigen beim Bundeskriminalamt enstand.

Von Bedeutung für die Banken-IT ist insbesondere die Erweiterung des Kreditwesengesetzes vom Juni 2002: Paragraf 24c erlaubt es der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), Kontoinformationen der Institute automatisiert abzurufen. Nach Angaben eines Bafin-Sprechers handelt es sich dabei um "Minimaldaten": Dazu zählten etwa Kontonummer, Name und Geburtsdatum des Kontoinhabers oder Verfügungsberechtigten sowie Datum der Einrichtung und Löschung.

Behörde greift Daten ab

Angaben über Kontenstand oder Kontenbewegungen könnten nicht abgerufen werden. Zudem sei durch mehrere Stufen der Verschlüsselung sichergestellt, dass die Kreditinstitute nicht feststellen können, welche Daten abgefragt werden. Auf Anfrage müssen die Banken aber auch Auskunft über einzelne Umsätze erteilen.

Eine weitere Regelung betrifft das so genannte Kontenscreening. Danach sind die Institute verpflichtet, Sicherungssysteme zu schaffen, die eine Prüfung von auffälligen Konten oder Finanztransaktionen unter dem Gesichtspunkt der Geldwäsche gewährleisten. Datenschützer führen auch die Datenbank "Zauber" an, mit der das Bundesfinanzministerium Umsatzsteuer-Betrugsfälle auswerten wolle. Die jüngste Initiative des Eichel-Ressorts geht darüber noch hinaus. Die Beamten wollen einen Datenpool einrichten, der sämtliche Umsätze deutscher Firmen erfasst (siehe Kasten "Eichels Datenlager").

"Die einzelnen Regelungen mögen für sich genommen trotz mancher datenschutzrechtlicher Bedenken auch nötig oder zumindest sinnvoll sein", kommentierte der Bundesdatenschutzbeauftragte Joachim Jacob bereits in seinem Tätigkeitsbericht für die Jahre 2001 und 2002. Die Summe der neuen Eingriffsmöglichkeiten und neu angelegten Dateien, verbunden mit noch weiter reichenden Überlegungen für die Zukunft, könne aber zu einer "weit gehenden Transparenz des Finanzmarktes und des Anlageverhaltens jedes Bürgers führen und zu einer Bedrohung für sein Grundrecht auf informationelle Selbstbestimmung werden". Dies gelte umso mehr, wenn im Zuge der Kriminalitätsbekämpfung auch unbescholtene Bürger grundlos in Verdacht gerieten.

Nach den Terroranschlägen in den USA gab es im Finanzministerium auch die Idee eines bankenübergreifenden Datenpools, berichtet Jakob. So sollte das ehemalige Bundesaufsichtsamt für Kreditwesen, Vorläufer des Bafin, eine so genannte Konten-Evidenzzentrale einrichten. Die Pläne sahen ein umfassendes "Nachweisregister" für alle Giro-, Spar- und Depotkonten vor, sprich eine zentrale Datenbank für sämtliche in Deutschland geführten Bankkonten. Nach heftigem Widerstand von Datenschützern gab die Behörde das Vorhaben auf.

Eichels Datenlager

Geht es nach dem Willen von Hans Eichel, entsteht im Bundesfinanzministerium eine weitere umfangreiche Datensammlung. Sie soll sämtliche Ein- und Verkäufe deutscher Firmen speichern. Über einen automatisierten Abgleich von Umsätzen bei Käufern und Verkäufern wollen die Beamten Steuerbetrügern auf die Spur kommen, die den Fiskus jährlich um rund 18 Milliarden Euro schädigen. Doch das Vorhaben ist umstritten. Die gigantische Informationsbasis werfe Fragen nach dem Datenschutz auf, die noch nicht beantwortet worden seien, monieren Kritiker. Mit dem geplanten Bilanzkontrollgesetz will die Bundesregierung zudem die Prüfung von Firmenabschlüssen intensivieren. Wie das "Handelsblatt berichtet, soll eine privat gehaltene Enforcement-Stelle Verstößen gegen Rechnungslegungsvorschriften nachgehen.