2007/09/14 Stellungnahme zur Novelle des Bankwesengesetzes
Angebliche Umsetzung der RL 2005/60/EG zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche und Terrorismusfinanzierung zwingt Banken zu datenschutzrechtlich dubiosen Personenchecks - Gesetz für Dienste des privaten Datenverarbeiter World-Check maßgeschneidert - World-Check betreibt Datenbank mit Prangerfunktion
1.1. Einleitung
Mit 23.7.2007 hat das Bundesministerium für Finanzen das Bundesgesetz, mit dem das Bankwesengesetz, das Börsegesetz, das Versicherungsaufsichtsgesetz, das Wertpapieraufsichtsgesetz und das Pensionskassengesetz, geändert werden, zur Begutachtung vorgelegt. Kern der geplanten Bestimmungen ist die Umsetzung der RL 2005/60/EG zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der RL 2006/70/EG mit den dazugehörigen Durchführungsbestimmungen. Bereits zuvor wurde durch das Bundesministerium für Wirtschaft und Arbeit die geplante Novelle der Gewerbeordnung zur Begutachtung vorgelegt, welche ebenfalls schwerpunktmäßig die Bestimmungen der genannten Richtlinien im österreichischen Recht umsetzt. Zur geplanten Novelle der Gewerbeordnung wurde seitens der ARGE DATEN bereits eine umfassende Stellungnahme abgegeben. Die Kritik, welche bereits an den geplanten Änderungen zur Gewerbeordnung geübt wurde, gilt weitgehend auch für die hier in Begutachtung gegebene Novelle.
Im Mittelpunkt der Kritik der ARGE DATEN steht der Begriff der sogenannten „politisch exponierten Person“ sowie die gesetzlich festgelegte Verpflichtung zur Überprüfung, ob potentielle Kunden zu diesem Personenkreis gehören. Wie der Gesetzgeber im Rahmen der geplanten Novelle zur Gewerbeordnung selbst ausführt, ist eine derartige Überprüfung von Kunden nur unter Hinzuziehung von kostenintensiven Softwareprogrammen möglich, welche im datenschutzrechtlichen Graubereich agieren und Betroffenenrechte nicht berücksichtigen. Auch die – im Rahmen der Novelle zur Gewerbeordnung bereits geäußerte – grundsätzliche Kritik daran, dass sich der Gesetzgeber unter Androhung von Verwaltungsstrafen privater Dritter bedient, damit diese Geschäftspartner fortlaufend überwachen und unter Geheimhaltungsverpflichtung deren Daten verarbeiten und übermitteln, bezieht sich ebenso auf den vorliegenden Entwurf.
Darüber hinaus ist wiederum darauf zu verweisen, dass verschiedene - größtenteils aus den europarechtlichen Vorgaben übernommene - Gesetzesbestimmungen, den Betroffenen Verpflichtungen auferlegen, welche – zumindest unter wirtschaftlich realistischem Aufwand - kaum zu erfüllen sein werden. Hier ist abermals auf die Verpflichtung zur Ermittlung „politisch exponierter Personen“, zur Feststellung des „wirtschaftlichen Eigentümers“ sowie auf die Durchführung der geplanten Überwachungsmaßnahmen zu verweisen.
Was seitens der ARGE DATEN bereits mehrfach in früheren Begutachtungsverfahren ausgeführt wurde, gilt grundsätzlich auch für den hier vorliegenden Entwurf. Es ist jedoch unzulässig Kritik und Bedenken unter Verweis auf "europarechtliche Verpflichtungen" zu ignorieren. Dazu muss einerseits festgehalten werden, dass die österreichischen Entscheidungsträger grundsätzlich Mitverantwortung für die solchen Gesetzesvorhaben zugrunde liegenden europäischen Rechtsakte tragen. Andererseits ist darauf zu verweisen, dass der österreichische Gesetzgeber bei der Umsetzung von europarechtlichen Verpflichtungen oft nach "freiem Ermessen" agiert. Speziell dort, wo es darum geht, Grundrechte einzuschränken, präsentiert sich Österreich immer wieder als Musterschüler. Wenn durch die Europäische Union zusätzliche Bürgerrechte geschaffen werden, erfüllt der österreichische Gesetzgeber seine Verpflichtungen - vorsichtig formuliert - oft zögerlicher.
1.2. Keine Berücksichtigung des Schutzes personenbezogener Daten bei den Verpflichtungen betreffend „politisch exponierter Personen“- Verwendung von privatrechtlichen und nicht den EU-Datenschutzstandards unterworfenen „Datenbanklösungen“ a la „word-check“ liegt nahe.
§ 40 Abs.1 Z 3 BWG sowie § 98 d VAG des Entwurfs zur geplanten Novelle des BWG legen hinsichtlich Geschäftskontakten zu sogenannten PEPs (politisch exponierten Personen) erhöhte Pflichten der Bank- und Versicherungsinstitute fest. Zunächst hat ausgehend vom Begutachtungsentwurf anhand "angemessener, risikobasierter Verfahren" festgestellt zu werden, ob Kunden der Gruppe "politisch exponierter Personen" angehören. Bei Aufnahme von Geschäftsbeziehungen ist unternehmensintern die Zustimmung der Führungsebene des Unternehmens einzuholen. Zudem sind bei Geschäftsbeziehungen Vermögens- und Geldherkunft zu bestimmen sowie hat eine fortlaufende Überwachung der Geschäftsbeziehungen stattzufinden.
Die Gruppe "politische exponierter Personen" ist in den § 2 Z 71 BWG des Begutachtungsentwurfes äußerst extensiv festgelegt: Neben Staats- und Regierungschefs, Ministern, Parlamentsmitgliedern, Diplomaten gehören etwa auch Mitglieder von Rechnungshöfen, der Vorstände von Zentralbanken und staatsnahen Unternehmen sowie von Höchstgerichten dazu. Daneben umfasst die Definition auch unmittelbare Familienmitglieder der genannten Persönlichkeiten sowie diesen bekanntermaßen nahe stehende Personen. Weiters gilt die Definition nicht eingeschränkt für bestimmte Staaten sondern für sämtliche Mitgliedsstaaten der Europäischen Union sowie Drittstaaten.
Bei diesen gesetzlich festgelegten Verpflichtungen stellt sich die Frage, wie ein Bankinstitut diesen nachkommen kann und soll. Zu bedenken ist dabei, dass an Verstöße gegen die festgelegten Verpflichtungen verwaltungsstrafrechtliche Sanktionen angeschlossen sind. Die „Erläuternden Bemerkungen“ zu den entsprechenden Bestimmungen lassen offen, wie sich der Gesetzgeber vorstellt, wie Bank- und Versicherungsinstitute den gesetzlich festgelegten Aufgaben nachkommen werden. Es wird in diesem Zusammenhang lediglich darauf verweisen, dass in bestimmten Ländern „Korruption weit verbreitet ist.“ Der Gesetzgeber selbst legt demnach – ausgehend von den Erläuternden Bemerkungen- den vorgeschlagenen Bestimmungen eine Art Generalverdacht zugrunde, welcher offenbar in die Richtung abzielt, dass öffentliche Funktionsträger aus bestimmten Staaten - einschließlich derer Freunde, Mitarbeiter und Familienangehörige - grundsätzlich an Tatbeständen der Geldwäsche und Terrorismusfinanzierung beteiligt seien. Die weitgehenden Überprüfungsverpflichtungen, welche als Reaktion auf diese Annahme geschaffen wurden, betreffen allerdings nicht nur „verdächtige“ Staaten sondern die genannten Personengruppen generell, unabhängig von deren Staatsangehörigkeit.
Auch wenn im vorliegenden Entwurf keinerlei Anweisungen enthalten sind, wie entsprechende Normadressaten vorzugehen haben, um sich gesetzmäßig zu verhalten, ist ausgehend vom bereits zuvor veröffentlichten Entwurf zur Novelle der Gewerbeordnung offensichtlich, wie sich der Gesetzgeber das künftige, gesetzeskonforme Verhalten auch im Finanz- und Bankbereich vorstellt: Als Verfahren zur Feststellung, ob ein Kunde dem definierten Personenkreis „politisch exponierter Personen“ angehört kann realistischerweise wohl nur auf die Interneteinrichtung „world-check" oder ähnliche Softwarelösungen zurückgegriffen werden.
Weites ist festzuhalten, dass die von world-check angebotenen Dienstleistungen aus datenschutzrechtlicher Sicht mehr als fragwürdig sind. Unter der Bezeichnung "World-check" werden gegenwärtig die personenbezogenen Daten von etwa 300.000 Personen weltweit verarbeitet. Die verarbeiteten Personen werden durch die Betreiber grob in zwei Gruppen eingeteilt: Neben sogenannten "high-risk-Personen", welche der internationalen, organisierten Kriminalität nahestehen sollen, gibt es auch sogenannte "potential-risk"-Personen. Darunter sind Personen zu verstehen, die zwar nicht straffällig geworden sind, bei denen aber - nach Auffassung des Betreibers- der Geschäftspartner dennoch ein Interesse an weitergehenden Informationen haben dürfte. Zu dieser zweiten Gruppe eben gehören vor allem jene Personen, welche der Gesetzesentwurf - ausgehend von einer EG-Richtlinie - als politisch exponierte Personen definert.
Betrieben wird "world-check" durch ein britisches Unternehmen. Zugearbeitet wird allerdings von mehreren anderen Stellen. Etwa verarbeitet die österreichische Firma "uptime- Systemlösungen" in Wien personenbezogene Daten für "world-check". Wesentliche Teile sind jedoch nach Singapur ausgelagert und entziehen sich damit gezielt einer europarechtlichen Datenschutzkontrolle.
Die Herkunft der personenbezogenen Daten, welche "world-check" verarbeitet, ist weitgehend ungeklärt, auf Betroffenenrechte wird keinerlei Rücksicht genommen. Weiters ist unklar, nach welchen Kriterien die Aufnahme in "world-check" erfolgt. Strafrechtlich relevantes Verhalten ist jedenfalls nicht Voraussetzung, um bei "world-check" aufzuscheinen, schon die Nähe zu bestimmten - mehr oder weniger - öffentlichen Personen reicht für eine Aufnahme in die Datenbanken aus. Damit erfüllt diese Datenbank vorrangig Prangerfunktionen und keine angemessene Schutzfunktion vor tatsächlichen Straftätern.
Der eigentliche Zweck der Verarbeitung ist ebenfalls undefiniert, ein Zugang ist - gegen Leistung entsprechend hoher Zahlungen - so gut wie jedem möglich. Bei den Betreibern selbst rühmt man sich, dass Datenschutz hier nicht greife und das gesamte Lebensumfeld Betroffener verarbeitet werde.
Grundsätzlich verlangt dieser Begutachtungsentwurf die Verwendung von Daten, deren rechtmäßige Ermittlung und Verarbeitung überaus fragwürdig sind, als Voraussetzung für gesetzeskonformes Verhalten. Die Absurdität dieser rechtlichen Verpflichtung ist augenfällig und demokratischer Rechtsordnungen unwürdig. Es ist auffällig, dass die in der umgesetzten EG-Richtlinie 2006/70/EG enthaltene Definition der relevanten Personengruppe ziemlich deckungsgleich jene widerspiegelt, deren Daten gerade von "world-check" verarbeitet werden. Für effiziente Terrorismus- und Geldwäschebekämpfung wäre jedenfalls eine wesentlich genauere Definition hilfreicher.
1.3. Ermittlungs- und Überwachungsverpflichtungen äußerst unbestimmt und datenschutzrechtlich problematisch
§ 40 Abs. 2 a BWG sowie § 98 b Abs. 3 VAG des vorliegenden Entwurfs enthalten umfassende Verpflichtungen der Bank- und Versicherungsinstitute zur Ermittlung der Identität des jeweiligen „wirtschaftlichen Eigentümers“ eines Kunden, verwiesen wird dabei auf „risikobasierte und angemessene Maßnahmen, um die Eigentums- und Kontrollstruktur des Kunden zu verstehen.“ Auf Maßnahmen dieser Art wird auch im Zusammenhang mit den ebenfalls normierten Verpflichtungen zur Einholung von Informationen zu Zweck und Art der Geschäftsbeziehung sowie zur „kontinuierlichen Überwachung der Geschäftsbeziehung“ verwiesen.
Sofern Kreditinstitute nicht in der Lage sind, diesen Verpflichtungen entsprechend nachzukommen, ergibt sich einerseits nach § 40 Abs. 2 d BWG sowie § 98 b Abs. 3 VAG des Entwurfs die Verpflichtung zur Beendigung der Geschäftsbeziehung sowie die Möglichkeit zur Verhängung von Verwaltungsstrafen nach den Bestimmungen der §§ 98 und 99 BWG des Entwurfs.
Das Problem an den festgelegten Verpflichtungen liegt zunächst schon darin, dass ausgehend von den europarechtlichen Grundlagen teilweise nicht näher bestimmte Gesetzesbegriffe verwendet werden, an welche die jeweiligen Verpflichtungen des Bank- und Kreditinstituts anknüpfen.
Anhand welcher Maßnahmen im Einzelfall überprüft werden kann, wer „wirtschaftlicher Eigentümer“ einer juristischen Person ist, ergibt sich aus dem vorliegenden Entwurf ebenso wenig wie anhand welcher konkreter Maßnahmen welche personenbezogenen Daten betreffend den jeweiligen Geschäftspartner verarbeitet werden sollen. Die gesetzlichen Verpflichtungen sind daher hochgradig unbestimmt und damit verfassungswidrig.
Die Erläuternden Bemerkungen zu den jeweiligen, geplanten Gesetzesbestimmungen bieten wenig Hilfe. Einerseits wird dort auf vorhandene „öffentliche Aufzeichnungen zu wirtschaftlichen Eigentümern“ verwiesen. In diesem Zusammenhang stellt sich die Frage, welche „öffentlichen Aufzeichnungen“ vorhanden sein sollen, wenn etwa Beteiligungen an einer juristischen Person im Rahmen eines - rechtlich völlig legalen - verdeckten Treuhandverhältnisses gehalten werden.
Die weiters angeführte Möglichkeit den jeweiligen Kunden darum „zu bitten, zweckdienliche Daten und Aufzeichnungen zur Verfügung zu stellen“ ist für Kreditinstitute sicherlich relativ problemlos durchführbar, die Effizienz einer solchen Maßnahme aber wohl überaus fragwürdig. Welche „sonstigen Maßnahmen“ sich der Gesetzgeber vorstellt, die Bank- und Kreditinstitute setzen könnten, um ihren gesetzlichen Verpflichtungen nachzukommen, geht aus den „Erläuternden Bemerkungen“ zum vorliegenden Entwurf nicht hervor, lediglich wird darauf verwiesen, dass sich die entsprechenden Maßnahmen nach dem jeweiligen Risiko der Geldwäsche und Terrorismusfinanzierung zu richten haben. Vom Prinzip her wird demnach vom Gesetz auf die jeweiligen Betroffenen die Verpflichtung abgewälzt, eine Beurteilung hinsichtlich der Wahrscheinlichkeit strafrechtlicher Tatbestände vorzunehmen und danach anhand nicht näher definierter Methoden personenbezogene Daten zu ermitteln, zu verarbeiten und bei Bedarf an die zuständigen Behörden zu übermitteln.
Gerade hinsichtlich der normierten Verpflichtung zur Feststellung des „wirtschaftlichen Eigentümers“ ist davon auszugehen, dass dies in vielen Fällen- etwa in Anbetracht verdeckter Treuhandschaften - für die Betroffenen realistischerweise nicht möglich sein wird bzw. es nicht möglich sein wird, zu beurteilen, ob es sich bei einer festgestellten natürlichen Person tatsächlich um den „wirtschaftlichen Eigentümer“ handelt. Streng genommen müsste demnach jegliche Geschäftsbeziehung eines Bank- bzw. Versicherungsinstitutes schon dann beendet werden, wenn Betroffene den Verdacht haben, dass es sich um eine verdeckte Treuhandschaft handelt, welche dem Institut nicht mitgeteilt wurde.
Ebenso weitgehend unbestimmt ist, wann ausgehend von § 40 Abs. 2 e BWG bzw. § 98 b Abs. 7 VAG des Entwurfes entsprechende Maßnahmen hinsichtlich bestehender Kundschaften zu setzen sind, in den Erläuternden Bemerkungen wird lediglich festgehalten, dass dies dann zu geschehen hat, wenn der jeweilige Geschäftsbetrieb dies zulässt.
Die Frage, wie sich Betroffene zu verhalten haben, um ihren gesetzlichen Verpflichtungen nachzukommen, bleibt in vielerlei Hinsicht weitgehend unbestimmt. Dies ist insoferne problematisch, als die Einhaltung der normierten Verpflichtungen mittels Verwaltungsstrafen erzwungen werden kann und die Normierung strafrechtlicher Tatbestände jedenfalls ein gewisses Ausmaß an Bestimmtheit erfordert, damit Betroffenen klar ist, wie sie sich zu verhalten haben, um nicht strafbar zu werden.
Weiters lässt der Gesetzgeber im Sinne des Datenschutzes weitgehend offen, wie die von ihm gewünschten personenbezogenen Daten beschafft werden bzw. ist hinsichtlich der datenschutzrechtlichen Zweckbindung unklar, woran sich die entsprechend zu setzenden Maßnahmen orientieren sollen. Nach den Erläuternden Bemerkungen soll sich das Ausmaß der Überwachung der jeweiligen Geschäftspartner an den konkreten Risikofaktoren orientieren, etwa „Produkte, Kunden oder Geographie.“
Letztendlich soll offenbar aus der Tatsache, dass die Kriminalitätsrate in bestimmten Staaten vergleichsweise hoch ist, ein Generalverdacht betreffend sämtlicher Staatsangehörigen abgeleitet und sollen darauf Überwachungspflichten sowie Verpflichtungen hinsichtlich der Verarbeitung personenbezogener Daten gegründet werden.
Ein derartiges Vorgehen rückt in die Nähe der Sippenhaftung und ist hinsichtlich der Grundrechte der EMRK überaus fragwürdig, da die diesbezüglichen Verpflichtungen hinsichtlich der Eingriffe in die persönlichen Rechte Betroffener auf eine Form von Generalverdächtigungen gestützt werden sollen.
1.4. Fazit
Der vorliegende Entwurf verpflichtet Bank- und Kreditinstitute sowie Versicherungen unter Strafdrohung zu Spitzeldiensten und nimmt auf die Datenschutzrechte von Betroffenen kaum Rücksicht. Darüber hinaus bleibt bei vielen Bestimmungen unklar, was der Gesetzgeber von Betroffenen eigentlich genau verlangt und wie sich diese verhalten müssen, um sich nicht strafbar zu machen. Verschiedenen Verpflichtungen kann realistischerweise - zumindest unter vernünftigem Mitteleinsatz- überhaupt nicht entsprochen werden bzw. legt der vorliegende Entwurf nahe, dass – ähnlich wie bei der Novelle zur Gewerbeordnung - Betroffene auf fragwürdige Datenbanken wie „world-check“ zurückgreifen werden müssen, um auch nur ansatzweise den normierten Verpflichtungen nachkommen zu können. Damit werden letztendlich auf gesetzliche Anordnung hin private Datenverarbeiter gefördert, die sich selbst rühmen, dass sie keinerlei Rücksicht auf Datenschutzinteressen von Betroffenen nehmen.
Ein Entwurf, der sowohl hinsichtlich des Grundrechts auf Datenschutzes als auch des strafrechtlichen Bestimmtheitsgebotes mehr als fragwürdig scheint. Nach der Vorratsdatenspeicherung liefert der Gesetzgeber damit das nächste Meisterstück grundrechtsbezogener Ignoranz und kostenintensiver sowie wirkungsloser Überwachungsgesetzgebung.
2. Stellungnahme zur Umsetzung der RL 2004/113/EG zur Verwirklichung des Grundsatzes der Gleichbehandlung von Männern und Frauen beim Zugang zu und bei der Versorgung mit Gütern und Dienstleistungen
Zu kritisieren ist, dass es aufgrund des vorgelegten Entwurfs zur Novellierung des Pensionskassengesetzes nach wie vor zulässig bleiben soll, aufgrund des Faktors „Geschlecht“ unterschiedliche Beiträge oder Leistungen für Männer und Frauen zu bemessen. Festzuhalten ist dazu, dass es dem Gesetzgeber aufgrund der europarechtlichen Vorgaben freigestanden ist, derartige Differenzierungen zuzulassen oder nicht.
Die ARGE DATEN spricht sich in diesem Zusammenhang jedenfalls grundsätzlich dagegen aus, dass personenbezogene Daten – etwa Geschlecht, Herkunft, Berufsgruppe oder Rasse- herangezogen werden, um aufgrund von für die einzelne Datenkategorie errechneten Durchschnittswerten Entscheidungen für jeweilige Einzelpersonen zu treffen. Die Tatsache, dass derartige Daten hochgerechnet zu einer Differenzierung bei der Risikobewertung führen können, rechtfertigt dadurch auftretende Diskriminierungen jedenfalls nicht, da für die jeweilige Einzelperson die Durchschnittswerte einer entsprechenden Datenkategorie irrelevant sind.
Bei Untersuchungen betreffend der Korrelation bestimmter personenbezogener Merkmale mit einer Risikoanfälligkeit, wird es immer zu statistisch verwertbaren Daten kommen, dies nicht nur in Hinblick auf den Faktor Geschlecht sondern möglicherweise auch beispielsweise in Hinblick auf Berufsgruppen, soziale Herkunft, Migrationshintergrund von Betroffenen oder auch den Wohnsitzort. Derartige Faktoren können – in einer Durchschnittsbetrachtung- nicht nur bei Versicherungsleistungen eine Rolle spielen, sondern etwa auch in Hinblick auf gesellschaftliche Phänomene wie die Kriminalitätsrate. Letztendlich spiegeln derartige Daten aber stets nur ein Durchschnittsbild wieder, welches auch einzelne Betroffene überhaupt keinen Bezug haben muss, diese aber dennoch – unter Anwendung des jeweiligen personenbezogenen Merkmals- gegenüber anderen Person schlechter stellt.
Auf Basis der Ermittlung personenbezogener Daten im Zusammenhalt mit statistischen Untersuchungen für ganze Personengruppen gesetzliche Belastungen für einzelne Betroffene festzulegen, ist in Hinblick auf den Gleichheitsgrundsatz und das Grundrecht auf Datenschutz jedenfalls abzulehnen.
mehr --> Begutachtungsverfahren Bankwesengesetz Archiv --> Novelle der Gewerbeordnung ebnet Weg zum Spitzelunternehmer Archiv --> Gewerbeordnungsnovelle soll dubiose "World-Check" - Datenbank ... Archiv --> Spitzelbestimmungen in Gewerbeordnung erregen auch Unmut der W...
|