Aufsätze

Betrugsbekämpfung in Banken: neue Anforderungen aus §25 c KWG

Was ändert der neue §25 c KWG? Die mit Wirkung zum 9. März 2011 neu gefasste Passage1) erweitert die Verpflichtung zur Abwehr betrügerischer Handlungen erheblich. Betrugsbekämpfung ist für die Kreditinstitute nicht neu. Schon nach bisherigem Recht waren sie zur Durchführung interner Sicherungsmaßnahmen verpflichtet. Die Financial Action Task Force on Money Laundering (FATF) hatte allerdings weitere Nachbesserungen gefordert. In Folge dessen erweiterte der Gesetzgeber § 25 c KWG nun von zwei auf neun Absätze. Die Gesetzesänderung berücksichtigt auch die Grundsätze des Baseler Ausschusses für Bankenaufsicht: Die Neufassung von § 25 c KWG macht umfassende Vorgaben für das Verhalten im Verdachtsfall (Absatz 3), das Outsourcing der Betrugsbekämpfung (Absatz 5) und die hausinterne verantwortliche Stelle (Absatz 9).2)

Betrügerische und sonstige strafbare Handlungen

Die bisherige Fassung von § 25 c KWG verpflichtete Kreditinstitute zur Abwehr "betrügerischer Handlungen". Die Neufassung verwendet nun den Begriff der "sonstigen strafbaren Handlungen". Beide Begriffe gehen deutlich weiter als der strafrechtliche Betrugsbegriff. Aufgrund von § 25 c Abs. 3 S. 2 KWG sind sonstige strafbare Handlungen beispielsweise in aller Regel bei einer der in § 261 Strafgesetzbuch (StGB) genannten Vortaten gegeben. Dies sind insbesondere Vermögensdelikte wie Diebstahl, Betrug und Urkundenfälschung zulasten des Kreditinstituts.

Eine abschließende Aufzählung der zu verhindernden "sonstigen strafbaren Handlungen" ist allerdings nicht möglich. Denn der Gesetzgeber hat bewusst auf eine eindeutige Definition der sonstigen strafbaren Handlungen verzichtet. Dies ist auch sachgerecht. Diese Festlegung soll durch das jeweilige Kreditinstitut selbst in der Gefährdungsanalyse erfolgen, um die institutsspezifischen Risiken angemessen abzudecken.3) Hierbei sollte man folgende Grundsätze beachten:

"Sonstige strafbare Handlungen" sind in der Regel dann anzunehmen, wenn Straftaten das Kreditinstitut operationell oder bezüglich seines Rufs gefährden. Zu den operationellen Risiken nimmt die Gesetzesbegründung auf § 269 Solvabilitätsverordnung Bezug.4) Operationelle Risiken sind danach drohende Verluste, welche in Folge von Unangemessenheit oder des Versagens von internen Verfahren und Systemen, Personen oder als Folge externer Ereignisse eintreten. Diese Definition erfasst auch Rechtsrisiken. Ein Beispiel für das Versagen interner Systeme wäre es etwa, wenn Mitarbeiter fremde Gelder auf eigene Konten umleiten könnten. Externe Ereignisse können beispielsweise im Zusammenhang mit rechtswidrigem Verhalten von Kunden (rechtswidriges Erschleichen von Auszahlungen durch das Kreditinstitut) oder Dienstleistern (Anbieten von mangelhaften Leistungen gegenüber dem Kreditinstitut) in Betracht kommen.

Weder der Wortlaut von §25 c KWG noch die Gesetzesbegründung bestimmen näher, welche Straftaten die Institute wegen möglicher Rufschäden als "sonstige strafbare Handlungen" verhindern müssen. Dies ist eine sehr weite Definition, da weitgehend jede strafbare Handlung aus einem Institut heraus geeignet sein dürfte, die Reputation des Kreditinstituts in der Öffentlichkeit zu schädigen. Daher wird man für die Anwendung von § 25 c Abs. 1 KWG zudem noch einen Bezug zum Geschäftsbetrieb des Instituts fordern müssen. Ein Reputationsrisiko dürfte stets zu bejahen sein, wenn durch die strafbare Handlung das Vermögen des Kreditinstituts gefährdet wird.5)Die Ausführungen zeigen, dass die sonstigen strafbaren Handlungen sehr weit gefasst sind. Es bleibt abzuwarten, ob der in der operativen Praxis noch geläufige Begriff der "Betrugsbekämpfung" durch die "Bekämpfung sonstiger strafbarer Handlungen" ersetzt wird. Der vorliegende Überblick verwendet beide Begriffe synonym.

Gefährdungsanalyse zur Ermittlung des Betrugsrisikos

Die vorgeschriebene Gefährdungsanalyse zeigt auf, inwieweit das Kreditinstitut für betrügerische Handlungen anfällig ist. Hinsichtlich der Erstellung der Gefährdungsanalyse macht § 25 c KWG keine grundsätzlich neuen Vorgaben. Das Rundschreiben 8/2005 der BaFin vom 24. März 2005 dürfte für die Gefährdungsanalyse maßgeblich bleiben.

Aufgrund umfangreicher Überschneidungen spricht für viele Kreditinstitute wohl einiges dafür, die Gefährdungsanalyse nach § 25 c KWG zusammen mit der Analyse des Geldwäscherisikos vorzunehmen. Zu Beginn sollte eine Bestandsaufnahme erfolgen, in der die institutsspezifischen Kunden-, Produkt-, Transaktions- und Dienstleisterrisiken ermittelt werden. Danach sind die Risiken in zuvor definierte Stufen (zum Beispiel hoch, mittel oder gering) einzuteilen. Beispielsweise sollten Institute bei Kunden aus dem Iran grundsätzlich von einem hohen Risikopotenzial ausgehen. Geringe Risiken bestehen hingegen in der Regel bei Geschäften mit der öffentlichen Hand. Bezogen auf das jeweilige Produkt wird man Immobiliendarlehen, die mit einer Grundschuld besichert sind und regelmäßig getilgt werden, ein geringes Risiko zuordnen. Basierend auf der Bestandsaufnahme und der Risikoeinstufung kann man die erforderlichen internen Sicherungsmaßnahmen zur Betrugsbekämpfung im Einzelnen näher bestimmen.6)

Interne Sicherungsmaßnahmen zur Betrugsbekämpfung

Der folgende Abschnitt gibt einen knappen Überblick über die von den Instituten vorzunehmenden internen Sicherungsmaßnahmen und zeigt einige Beispiele.

1. Orientierung an Maßnahmen zu Geldwäschebekämpfung: Viele Maßnahmen der Geldwäschebekämpfung sind oftmals auch für die Betrugsbekämpfung im Sinne von § 25 c Abs. 1 KWG geeignet. Die Übergänge zwischen Schritten zur Vermeidung von Geldwäsche und Betrugshandlungen sind teilweise fließend. Schulungen und Zuverlässigkeitsbeurteilungen der Mitarbeiter nach dem Geldwäschegesetz müssen auch das Thema Betrug abdecken.7) So müssen die Institute unter anderem laufende Geschäftsbeziehungen überwachen (sogenanntes Monitoring oder Research). Die Verpflichtung aus § 25 c Abs. 2 KWG, angemessene Datenverarbeitungssysteme zum Monitoring vorzuhalten, wird nachstehend im Zusammenhang mit den entsprechenden Rahmenbedingungen des Datenschutzes näher beschrieben.

Zudem sollten Institute beispielsweise auch aus öffentlich zugänglichen Quellen wie etwa der Tagespresse Informationen zu Betrugshandlungen im regionalen oder wirtschaftlichen Umfeld des Kreditinstitutes sammeln, damit Geschäftsbeziehungen mit Kunden und Dienstleistern mit erhöhtem Risikopotenzial nicht oder erst nach gründlicher Prüfung begründet werden.

2. Speziell auf die Betrugsbekämpfung ausgerichtete Maßnahmen: Spezielle Maßnahmen für die Betrugsbekämpfung sind vor allem hinsichtlich der vom Institut beschäftigten Mitarbeiter und Dienstleister erforderlich, da typische Maßnahmen der Geldwäschebekämpfung wie die Kundenidentifizierung (§ 4 GwG) institutsinterne Risiken in der Regel nicht abdecken. Institute können das Risiko von Betrugshandlungen durch Mitarbeiter etwa durch das Vier-Augen-Prinzip und durch strikte Kompetenzregelungen bei der Auftragsvergabe einschränken. In der Regel fungiert der Geldwäschebeauftragte auch als "Betrugsbeauftragter" im Sinne von § 25 c Absatz 9 S. 1 KWG und muss daher Bestellvorgänge zumindest stichprobenartig kontrollieren.

Institute sollten erwägen, den Mitarbeitern die Möglichkeit zu geben, in anonymer Form über auffälliges Verhalten von Kollegen, Kunden oder Dritten Hinweise zu geben, sogenanntes Whistleblowing. In der Praxis haben sich solche Systeme zur strukturierten Entgegennahme von Hinweisen auf möglicherweise strafbares Verhalten als überaus effektives Mittel zur Korruptions- und Betrugsbekämpfung erwiesen. Praxisgerechte interne Richtlinien und Schulungen für die Mitarbeiter sind weitere zentrale Mittel zur Betrugsbekämpfung.

Der neue § 25 c Abs. 3 KWG macht konkrete Vorgaben für das weitere Verhalten im Falle eines Betrugsverdachts. Institute müssen jeden auffälligen Sachverhalt unter Risikogesichtspunkten untersuchen. Anschließend ist immer zu entscheiden, ob das Institut eine Strafanzeige gemäß §158 Strafprozessordnung erstattet. Ein "auffälliger Sachverhalt" ist gegeben, wenn Abweichungen von üblichen Standards beim Kunden, Dienstleister oder im Rahmen einer einzelnen Transaktion erkennbar werden. Hierbei wird man richtigerweise eine gewisse Erheblichkeit fordern müssen. Schlichte Warnmeldungen der Monitoring-Systeme gelten nur bei Hinzutreten weiterer Verdachtsmomente als auffällig im Sinne von § 25c Abs. 3 S. 1 KWG.

Neuerdings müssen Institute jeden auffälligen Sachverhalt zu Nachweiszwecken für die BaFin dokumentieren; § 8 GwG gilt hier sinngemäß. Institute sollten festhalten, warum sie einen Sachverhalt als auffällig eingestuft haben, wer hausintern für die Bearbeitung zuständig war, welche Untersuchungsmaßnahmen sie durchgeführt haben, aus welchen Gründen sie eine Strafanzeige gestellt oder hiervon abgesehen haben. Die Dokumentation muss gemäß § 8 Abs. 3 GwG fünf Jahre aufbewahrt werden. Diese Frist dürfte mit dem Schluss des Jahres beginnen, in dem das Institut über die Erstattung der Strafanzeige entscheidet.

Outsourcing der Betrugsbekämpfung und hausintern verantwortliche Stelle

§ 25 c Abs. 5 KWG regelt, unter welchen Voraussetzungen Institute die Betrugsbekämpfung auch durch unternehmensfremde Dienstleister vornehmen lassen dürfen.

1. Aufsichtsrechtliche Anforderungen an das Outsourcing der Betrugsbekämpfung: Die Betrugsbekämpfung kann gemäß § 25 c Abs. 5 KWG nur nach vorheriger Zustimmung der BaFin an externe Dienstleister vergeben werden. § 9 Abs. 3 S. 2 und Abs. 3 GwG gelten sinngemäß. Die Steuerungsmöglichkeiten der Institute und die Kontrollmöglichkeiten der BaFin dürfen nicht beeinträchtigt werden.

2. Datenschutzrechtliche Anforderungen an das Outsourcing der Betrugsbekämpfung: Bei einer Fremdvergabe der Betrugsbekämpfung gelten nicht allein die bankaufsichtsrechtlichen Anforderungen. Denn Institute müssen bei der Auslagerung der Betrugsbekämpfung an ein anderes Unternehmen in aller Regel auch in erheblichem Umfang personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG übermitteln. Eine solche Übermittlung bedarf gemäß §4 Abs. 1 BDSG einer datenschutzrechtlichen Erlaubnis. Auch eine Fremdvergabe innerhalb eines Konzerns ist datenschutzrechtlich eine Übermittlung, die einer Rechtfertigung bedarf. § 25 c Abs. 5 KWG ist keine solche Rechtfertigung, da diese Regelung nicht die Ermittlung personenbezogener Daten erlaubt, sondern lediglich zusätzliche Anforderungen aufstellt. Eine Erlaubnis zur Übermittlung personenbezogener Daten kann in einem Gesetz oder einer anderen Rechtsvorschrift geregelt sein. Für den Umgang mit Beschäftigtendaten kommt als Erlaubnis auch eine Betriebsvereinbarung in Betracht. Diese muss allerdings auch die Persönlichkeitsrechte der betroffenen Beschäftigten angemessen berücksichtigen, vergleiche §75 Abs. 2 Betriebsverfassungsgesetz.

Falls ein mit der Durchführung von Hilfstätigkeiten zur Betrugsbekämpfung tätiger Dienstleister ausschließlich aufgrund präziser Weisungen des Instituts tätig wird, kommt als rechtliche Grundlage auch eine Auftragsdatenverarbeitung nach § 11 BDSG in Betracht. In jedem Falle sollten Institute die datenschutzrechtliche Zulässigkeit einer Fremdvergabe vorab gründlich und unter Beteiligung des betrieblichen Datenschutzbeauftragten prüfen. Denn Fehler beim Datenschutz können Bußgelder, Gewinnabschöpfung und erhebliche Rufschäden nach sich ziehen.

3. Hausintern verantwortliche Stelle für die Betrugsbekämpfung: § 25 c Abs. 9 KWG lässt sich entnehmen, dass die für die Geldwäschebekämpfung zuständige Stelle im Institut grundsätzlich auch für die Betrugsbekämpfung zuständig sein soll.

Die Trennung der Funktionen von Geldwäsche- und Betrugsbekämpfung muss bei der BaFin beantragt werden. Diese kann einer solchen Funktionstrennung beim Vorliegen eines wichtigen Grundes zustimmen. Ein solcher wichtiger Grund kann etwa dann vorliegen, wenn das Kreditinstitut ein sehr komplexes Geschäft betreibt und eine Aufteilung der Tätigkeit auf mehrere Stellen zweckdienlich ist.

Datenschutzrechtliche Rahmenbedingungen

Institute sind nach § 25 c KWG verpflichtet, Terrorismusfinanzierung, Geldwäsche und sonstige strafbare Handlungen zulasten der Institute zu verhindern und aufzudecken. Die aktuelle Diskussion über die Vereinbarkeit von Beschäftigtendatenschutz und Compliance-Anforderungen an Unternehmen zeigt deutlich, dass hier ein grundsätzlicher Zielkonflikt zwischen beiden gesetzgeberischen Vorgaben besteht.

I. Verhältnis von Betrugsbekämpfung und Datenschutz: Ein Ziel von § 25 c KWG ist die Verhinderung verbotener Verhaltensweisen durch Kontrollen. Solche Überwachungsmaßnahmen berühren notwendigerweise das Recht der von diesen Kontrollen Betroffenen auf informationelle Selbstbestimmung. Das BDSG soll die allgemeinen Persönlichkeitsrechte der von Kontrollmaßnahmen betroffenen Personen schützen. Auch im Anwendungsbereich von § 25 c KWG gelten die Grundsätze des Datenschutzes.

Besonders deutlich zeigt sich das Spannungsverhältnis zwischen aufsichtsrechtlicher Verpflichtung zur Betrugsbekämpfung und Schutz des Persönlichkeitsrechts an § 25 c Abs. 2 KWG. Diese Regelung verpflichtet Kreditinstitute zum Betrieb von Datenverarbeitungssystemen zur Betrugsbekämpfung. § 25 c Abs. 2 KWG ist richtigerweise keine Spezialnorm im Sinne von § 1 Abs. 3 Satz 1 BDSG, die die allgemeinen Vorschriften des Datenschutzes insgesamt verdrängen würde.

II. Verpflichtung zum Betrieb von Datenverarbeitungssystemen zur Betrugsbekämpfung: § 25 c Abs. 2 KWG schreibt Kreditinstituten vor, angemessene Datenverarbeitungssysteme zu betreiben und zu aktualisieren.8) Diese sogenannten Monito-ring-Systeme müssen die Kreditinstitute in die Lage versetzen, Geschäftsbeziehungen und einzelne Transaktionen im Zahlungsverkehr zu erkennen, die als zweifelhaft oder ungewöhnlich anzusehen sind. Maßstab für diese Beurteilung soll das öffentliche und im Kreditinstitut verfügbare Erfahrungswissen über die Methoden der Geldwäsche, der Terrorismusfinanzierung und sonstigen strafbaren Handlungen sein. Im Rahmen des Betriebs und der Aktualisierung solcher angemessenen Datenverarbeitungssysteme dürfen Kreditinstitute personenbezogene Daten erheben, verarbeiten und nutzen. Diese datenschutzrechtliche Erlaubnis gilt allerdings nur in dem Umfang, soweit der Umgang mit personenbezogenen Daten zur Erfüllung der Pflicht zum Vorhalten angemessener Datenverarbeitungssysteme erforderlich ist, § 25 c Abs. 2 Satz 2 KWG.

Mit dem Begriff "angemessene" Datenverarbeitungssysteme verwendet der Gesetzgeber einen unbestimmten Rechtsbegriff. Gleichzeitig ist der Umgang mit personenbezogenen Daten jedoch nur erlaubt, "soweit" dies zur Erfüllung der in § 25 c Abs. 2 Satz 1 KWG festgelegten Pflicht erforderlich ist. Eine über die gesetzlichen Anforderungen des KWG hinausgehende Datenverwendung erlaubt die Regelung nicht. Diese kann allerdings gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG oder nach § 32 Abs. 1 BDSG zur Wahrung berechtigter Interessen des Kreditinstituts gerechtfertigt sein.

Diese Vorschriften können den Umgang mit personenbezogenen Daten für Compli-ance-Zwecke rechtfertigen, falls nicht überwiegende Interessen der von der Datenverarbeitung Betroffenen entgegenstehen. In jedem Falle müssen Institute die datenschutzrechtliche Zulässigkeit ihrer Maßnahmen zur Betrugsbekämpfung stets im Vorfeld gründlich analysieren. Gegebenenfalls sind sie gesetzlich verpflichtet, ihren betrieblichen Datenschutzbeauftragten im Rahmen einer Vorabkontrolle gemäß § 4 d Abs. 5 BDSG einzubinden.9) Ohnehin dürfte eine Beteiligung des Datenschutzbeauftragten in aller Regel zweckmäßig sein.

Betrugsbekämpfung und Recht auf informationelle Selbstbestimmung

Der Gesetzgeber verwendet in § 25 c Abs. 2 Satz 1 KWG das Kriterium der Angemessenheit. Bereits diese Formulierung legt nahe, dass die verpflichteten Kreditinstitute einen sachgerechten Interessenausgleich zwischen ihrem Aufklärungsinteresse und den Persönlichkeitsrechten der von der Datenverarbeitung betroffenen herstellen müssen. Dies ergibt sich auch aus der Formulierung von § 25 c Abs. 2 Satz 2 KWG. Dieser ist, ähnlich wie § 28 Abs. 1 Satz. 1 Nr. 2 BDSG oder wie § 32 Abs. 1 Satz 2 BDSG als Erlaubnisvorschrift im Sinne dieses Gesetzes formuliert.

Auch die Gesetzesbegründung zu § 25 c Abs. 2 KWG legt nahe, dass diese Bestimmung das BDSG nicht ausschließen, sondern lediglich ergänzen soll.10) Denn die Gesetzesbegründung nimmt Bezug auf wesentliche Prinzipien des BDSG, wie etwa den in § 3 a BDSG geregelten Grundsatz der Datenvermeidung und Datensparsamkeit. Ebenfalls nimmt der Gesetzgeber die in § 35 BDSG geregelten Löschungspflichten in Bezug. Zudem setzt § 25 c Abs. 2 Satz 2 KWG voraus, dass der Betrieb und die Aktualisierung der Datenverarbeitungssysteme zulässig ist, soweit dies zur Erfüllung der Verpflichtung der Kreditinstitute "erforderlich" ist. Richtigerweise ist hier eine Verhältnismäßigkeitsprüfung vorzunehmen, in deren Rahmen die Kreditinstitute feststellen müssen, ob eine geplante Datenverarbeitung geeignet, angemessen und verhältnismäßig ist. Hierfür ist eine umfassende Interessenabwägung sowohl der Compliance-Interessen des Kreditinstituts als auch der Persönlichkeitsrechte der von der jeweiligen Datenverarbeitung Betroffenen erforderlich.

Zulässiger Umfang von Monitoring zur Betrugsbekämpfung

In diesem Zusammenhang stellt sich auch die Frage, in welchem Umfang von Kreditinstituten vorgehaltene Datenverarbeitungssysteme "angemessen" sind. Eine wesentliche Auslegungshilfe gibt der Wortlaut von § 25 c Abs. 2 Satz 1 KWG. Denn danach müssen Kreditinstitute feststellen, ob einzelne Geschäftsbeziehungen oder Transaktionen im Zahlungsverkehr als "zweifelhaft" oder als "ungewöhnlich" anzusehen sind. Beide Anforderungen setzen bei der jeweiligen Geschäftsbeziehung oder einzelnen Transaktion ein Abweichen von einer Norm voraus. Um eine solche Abweichung feststellen zu können, müssen die Kreditinstitute jedoch zunächst Daten darüber ermitteln, welche Geschäftsbeziehungen oder Transaktionen als "normal", also als nicht "zweifelhaft" oder "ungewöhnlich" zu betrachten sind.

Darüber hinaus müssen Institute11)jeden Sachverhalt, der nach § 25 Abs. 2 Satz 1 KWG als zweifelhaft oder ungewöhnlich anzusehen ist, untersuchen, um dessen konkretes Risiko beurteilen zu können. Auch hier ist im Hinblick auf den Datenschutz eine Abwägung zwischen den Persönlichkeitsrechten der von einer solchen Sachverhaltsuntersuchung Betroffenen und dem Aufklärungsinteresse notwendig. Über die Durchführung solcher weiterer Sachverhaltsermittlungen muss das Institut angemessene Informationen nach Maßgabe von §8 GWG aufzeichnen und aufbewahren.

Im Einzelfall dürfen Institute einander im Rahmen dieser Untersuchungspflicht Informationen übermitteln, "wenn es sich um einen in Bezug auf Geldwäsche, Terrorismusfinanzierung oder einer sonstigen Straftat auffälligen oder ungewöhnlichen Sachverhalt handelt und tatsächliche Anhaltspunkte dafür vorliegen, dass der Empfänger der Information diese für die Beurteilung der Frage benötigt, ob der Sachverhalt gemäß § 11 des Geldwäschegesetzes anzuzeigen oder eine Strafanzeige gemäß § 158 der Strafprozessordnung zu erstatten ist." Der Empfänger der Informationen darf die ihm vom anderen Institut übermittelten Informationen ausschließlich zum Zweck der Verhinderung der Geldwäsche, der Terrorismusfinanzierung oder sonstiger strafbarer Handlung und nur unter den durch das übermittelte Institut vorgegebenen Bedingungen verwenden.

Diese Regelung zeigt ebenfalls, dass die Grundsätze des Datenschutzes auch im Rahmen von § 25 c KWG gelten sollen. Denn die in § 25 c Abs. 3 Satz 4 KWG geregelte Zweckbindung ist ein ganz wesentlicher Grundsatz des BDSG. Zudem verwendet § 25 c Abs. 3 Satz 3 KWG als Maßstab für die Aufbewahrungs- und Aufzeichnungspflichten der Institute das vor allem im Datenschutzrecht maßgebliche Kriterium der "Erforderlichkeit" in Bezug auf die Darlegung gegenüber der Bundesanstalt.

Effektive Struktur zur Betrugsbekämpfung gefordert

Die Neuregelung von § 25 c KWG erweitert die regulatorischen Anforderungen an Institute. Sie fordert von den verpflichteten Instituten den Betrieb einer umfassenden und effektiven Struktur zur Betrugsbekämpfung. Hierbei müssen die Institute stets darauf achten, die datenschutzrechtlichen Rahmenbedingungen zu beachten und zu befolgen. Insbesondere müssen sie künftig noch genauer auf die Einhaltung der allgemeinen Grundsätze des Datenschutzes, insbesondere des Verhältnismäßigkeitsgrundsatzes sowie des Zweckbindungsgrundsatzes achten.

Fußnoten

1) Gesetz zur Umsetzung der Zweiten E-Geld-Richtlinie, BGBl. 2011/8 vom 8. März 2011.

2) Die übrigen Absätze 4, 6, 7 und 8 des neu gefassten § 25c KWGG betreffen vornehmlich die Geldwäschebekämpfung und werden in dem vorliegenden Überblick nicht näher erörtert.

3) Vgl. zum alten Recht: Achtelik, in: Herzog, Kommentar zum Geldwäschegesetz, 1. Auflage 2010, § 25 c KWG, Rn. 8.

4) BT-Drucks. 17/3023, Seite 60.

5) Vgl. umfassend zur Neuregelung von §25c KWG Zentes/Wybitul, CCZ 2011, 90 ff.

6) Vgl. hierzu nachstehend Abschnitt IV.

7) § 25 c Abs. 1 KWG i. V.m § 9 Abs. 2 GwG.

8) § 25 c Abs. 2 KWG richtet sich bewusst nicht an alle Institute, sondern ausschließlich an Kreditinstitute.

9) Vgl. Wybitul, Handbuch Datenschutz im Unternehmen, 1. Auflage 2011, Rn. 252 ff.

10) BT-Drucksache 17/3023, Seite 61 geht vom Erfordernis eines "datenschutzrechtlich einwandfreien Art und Weise" des Vorgehens bei der Betrugsbekämpfung aus.

11)Die Regelung betrifft, anders als § 25c Abs. 3 KWG nicht allein Kreditinstitute.

Noch keine Bewertungen vorhanden


X