Am 3. Dezember schrieb ich hier über die Arbeiten der EU-Kommission an einem allgemeinen Vermögensregister und darüber, dass in letzter Zeit gleichzeitig viele Banken in der EU dazu übergegangen sind, ihre Neukunden und selbst ihre langjährigen Bestandskunden mit übergriffigen Fragen zu ihrem Gesamtvermögen und zu Details ihrer Beschäftigungssituation zu belästigen und mit Kontenverweigerung oder Kontenkündigung zu drohen, wenn man diese Fragen nicht beantworten will.
Die Rechtfertigungen, die die Banken protestierenden Kunden geben, tragen wie berichtet nicht. Antworten auf meine Nachfragen blieben extrem vage und ausweichend. Die Aufsichtsbehörde Bafin war wegen Überlastung seinerzeit nicht zu einer zeitnahen Antwort in der Lage, hat diese aber nun nachgeholt. Am 9.12. antwortete sie mir:
„Von zentraler Bedeutung im Geldwäschegesetz ist der in § 3a GwG geregelte risikobasierte Ansatz. Durch dessen Anwendung soll sichergestellt werden, dass Präventionsmaßnahmen der nach dem Geldwäschegesetz Verpflichteten den identifizierten Risiken entsprechen und dass Ressourcen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung effektiv eingesetzt werden. In der Praxis bedeutet dies unter anderem, dass die nach dem GwG Verpflichteten die Risiken der Geldwäsche und Terrorismusfinanzierung, die sich aus einer Geschäftsbeziehung mit einem Kunden ergeben, ermitteln, bewerten und verstehen müssen. Gestützt darauf haben sie dann Maßnahmen zu ergreifen, die in Bezug auf die identifizierten Risiken angemessen sind. Ob und gegebenenfalls welche risikoangemessenen Maßnahmen aufgrund des ermittelten Risikos von den Verpflichteten konkret ergriffen werden müssen, obliegt (abgesehen von gesetzlichen Ausnahmen) den Verpflichteten selbst. Je höher das jeweilige Risiko, umso umfangreichere Feststellungen, z.B. zur Kundenidentifikation, werden erforderlich.“
Wie weitreichend die Bafin den Banken damit freie Hand gibt, unter dem Vorwand der Geldwäschebekämpfung die Kunden zu völlig überzogenen Selbstauskünften zu nötigen, erschließt sich, wenn man die konkreten Fragen betrachtet, die ich gestellt hatte:
„1. Sind Banken berechtigt, oder gar verpflichtet, Neukunden und Bestandskunden, bei denen kein erhöhtes Geldwäscherisiko festgestellt wurde, nach deren Gesamtvermögen zu fragen?“
Die Bafin weicht der Antwort auf die Frage aus, was im Falle eines geringen Geldwäsche- und Terrorismusrisikos gilt.
„2. Falls Ja: Seit wann, oder ab wann gilt diese Verpflichtung und worauf gründet sie sich?“
Keine Antwort. Das ist deshalb vielsagend und wichtig, weil die von der Bafin genannten Regelungen des Geldwäschegesetzes schon lange gelten und deshalb allein nicht erklären können, warum die Banken auf einmal so vieles wissen wollen, was sie früher nicht wissen mussten. Das deutet sehr darauf hin, dass sie von den Aufsehern auf irgendeine Weise dazu gedrängt werden und wir dies nicht erfahren sollen.
„3. Sind Banken berechtigt, oder gar verpflichtet, von Neukunden und Bestandskunden, bei denen kein erhöhtes Geldwäscherisiko festgestellt wurde, Wohnsitznachweise und Nachweise über den Lebensunterhalt zu verlangen?
4. Falls Ja: Seit wann, oder ab wann gilt diese und worauf gründet sie sich?“
Auch hier keine Antwort auf die konkrete Frage, was im Fall eines geringen Geldwäscherisikos gilt, sondern nur die sehr allgemeine Antwort, dass das Vorgehen risikobasiert zu sein habe.
Zwischenfazit
Die Antwort der Bafin ist kaum anders zu verstehen als: Banken können in Schwierigkeiten mit der Aufsicht kommen, wenn sie ihre Kunden nicht genug durchleuchten und ausfragen, aber nicht, wenn sie diese zu übergriffig ausfragen und dem Staat damit ein gut gefülltes Dossier über jeden Bankkunden bereitstellen, also über so gut wie alle EU-Bürger. Für mich sieht das absichtsvoll aus.
Zur Vermeidung von Missverständnissen sei angemerkt: Ich bin ein Befürworter der Wiederaktivierung der Vermögenssteuer für Multimillionäre, was bedeutet, dass diese über ihr weltweites Gesamtvermögen Auskunft geben müssten. Aber was hier geschieht hat damit nichts zu tun. Vielmehr wird die gesamte normale Bevölkerung unter Generalverdacht gestellt und ausgeforscht, um den gelegentlichen Sozialbetrüger zu fangen, der ein paar Tausend Euro zu viel auf dem Konto oder sonstwo gebunkert hat. Die Multimillionäre bei den Privatbanken mit ihrer individuellen Vermögenverwaltung durch Family Offices, die ihnen helfen ihr Geld in speziellen Rechtskonstruktionen oder im Ausland vor der Steuer zu verstecken, sind davon nicht betroffen.
Was können wir tun?
Ich habe die Bafin auch gefragt:
„4. Welche Möglichkeiten haben Bankkunden, sich gegen überzogene Auskunftsverlangen zu wehren, in Anbetracht der Tatsache, dass Banken nach einem Urteil des Bundesgerichtshof ohne Angabe von Gründen Kontokündigungen aussprechen können?“
Immerhin darauf gab es eine Antwort, die direkt auf die Frage eingeht:
„Sollten Kunden sich von einem Unternehmen nicht korrekt behandelt fühlen, haben diese verschiedene Möglichkeiten, sich zu beschweren. Eine Übersicht hierzu finden interessierte Personen auf der BaFin-Internetseite unter dem Thema Verbraucherschutz, Beschwerden & Streitschlichtung, abrufbar unter https://www.bafin.de/ref/19642440.“
Es wäre sehr hilfreich, wenn sich viele Betroffene der Mühe unterziehen würden, entsprechend dem empfohlenen Vorgehen sich erst bei der betreffenden Bank zu beschweren und bei Erfolglosigkeit danach bei der Bafin. Ich bin sehr gespannt zu erfahren, wie die Bafin im konkreten Einzelfall darauf reagiert.
Eine vielleicht noch bessere Möglichkeit der Gegenwehr besteht darin, sich bei dem für das betreffende Kreditinstitut zuständigen Landesdatenschutzbeauftragten zu beschweren. Wenn das genug Menschen tun, wird der wahrscheinlich aktiv. Die persönlichen Vermögensverhältnisse und Details zum Beschäftigungsverhältnis sind personenbezogene Daten, für deren Verarbeitung die Institute einen Grund brauchen, der mit der Datenschutzgrundverordnung (DSGVO) konform ist. Damit der Landesdatenschutzbeauftragte (wohl oft der hessische) sieht, dass die Abfragen routinemäßig geschehen und nicht nur wenn Risikosignale vorliegen, ist es hilfreich, wenn möglichst viele Beschwerden eingehen.
Kunden von Sparkassen und Genossenschaftsbanken können sich besonders gut vor Gericht wehren, weil diese Institute nicht wie Geschäftsbanken willkürlich das Konto kündigen können. Ich weiß aber nicht, ob diese Institute auch so neugierig sind wie die Geschäftsbanken. Bisher haben mir Leser nichts Derartiges gemeldet. Ich sehe bei einer Klage gegen ungerechtfertigte Neugier gute Erfolgsaussichten nach DSGVO, aber ich stelle ausdrücklich fest, dass ich juristischer Laie bin. Gegen Geschäftsbanken sollten nur Menschen mit mehreren Konten klagen, die eine Kündigung des betreffenden Kontos gut verkraften könnten.
In aller Kürze hier die vielen wichtigsten Paragrafen: Artikel 5 (1)(b) DSGVO legt fest:
„Personenbezogene Daten müssen (…) für festgelegte, eindeutige und legitime Zwecke erhoben werden.“
Zweifelhaft ist, ob eine standardmäßige Erhebung der oben erwähnten Daten ohne Risikosignal legitim ist. Erwägungsgrund 39 führt genauer die Grundsätze der Datenverarbeitung aus, insbesondere zu Transparenzpflichten. Erwägungsgrund 39 (6) lautet:
„Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.“
Banken müssen also Auskunft geben, zu welchem Zweck und auf welcher rechtlichen Grundlage die infragestehenden Vermögensdaten erhoben werden und diese Auskunft muss eindeutig und nachvollziehbar sein. Das ist bei den äußerst vagen und von Bank zu Bank unterschiedlichen Begründungen, die ich in meinem ersten Beitrag zitiert haben, mutmaßlich nicht der Fall.
Die Bank kann sich nicht darauf berufen, dass der Kunde ja frei wäre, zuzustimmen oder nicht. Denn es heißt in Erwägungsgrund 43: „Die Einwilligung gilt nicht als freiwillig erteilt, wenn (…) die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“
Es gibt zwar auch Erwägungsgrund 47, das berechtigte Interesse: Hier muss aber eine Abwägung (gegen deren Resultat man vorgehen kann) stattfinden und natürlich auch transparent dargelegt werden, wieso die Erhebung der Daten notwendig ist.
Artikel 13 DSGVO (1)(c) geht ebenfalls in diese Richtung: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: (…) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung.“ Artikel 13 (1)(d) sagt noch einmal ausdrücklich, dass das entsprechende „berechtigte Interesse“ immer im Vorfeld begründet werden muss.
Artikel 77 regelt, dass man das Recht hat, sich bei einer Aufsichtsbehörde über die Datenverarbeitung zu beschweren, Artikel 78, dass man gegen die Entscheidung der Aufsichtsbehörde ein Klagerecht hat. Artikel 79 wiederum stellt klar, dass man auch direkt gegen die datenerhebende Stelle klageberechtigt ist, in diesem Falle also gegen die fragende Bank.
Meine Empfehlung wäre, wenn die Umstände dazu passen, eine Beschwerde beim Landesdatenschutzbeauftragten und bei der Bafin damit zu begründen, dass zum einen die Vorschrift aus Artikel 5 Abs. 1b DSGVO verletzt wird, wonach die personenbezogene Daten nur für „eindeutige und legitime Zwecke“ erhoben werden dürfen, und zum anderen Artikel 13 Abs. 1c DSGVO, wonach der Verantwortliche bei der Datenerhebung die Zwecke mitteilen muss, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung. Das ist nicht gegeben, wenn die Erklärung zu vage ist, um nachvollziehbar zu sein und eine nähere Erläuterung verweigert oder gar auf „interne Vorgaben“ oder „interne KYC-Anforderungen“ verwiesen wird.
Auf jeden Fall ist es äußerst bemerkenswert, mit welcher Nonchalance die Aufsichtsbehörde Bafin die Vorschriften der DSGVO ignoriert und den Banken freie Hand gibt, welche Daten sie standardmäßig von den Kunden verlangen wollen um den regulatorischen Anforderungen zu entsprechen.
