automatisierter Abruf von Kontoinformationen

Kontenevidenz(zentrale). Nach KWG hat eine Bank (Institut) eine Datei zu führen, in der jeweils unvzgl. folgende Daten zu speichern sind: 1. die Nummer eines Kontos, das der Verpflichtung zur Legitimationsprüfung i. S. v. § 154 AO unterliegt, oder eines Depots sowie der Tag der Errichtung und der Auflösung; 2. der Name, sowie bei natürlichen Personen der Tag der Geburt, des Inhabers und eines Verfügungsberechtigten sowie der Name und die Anschrift eines abweichend wirtschaftlich Berechtigten (S 8 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten). Bei jeder Änderung einer vorgenannten Angabe ist unvzgl. ein neuer Datensatz anzulegen. Die Daten sind nach Ablauf von 3 Jahren nach Auflösung des Kontos oder Depots zu löschen bzw. der alte Datensatz nach Ablauf von 3 Jahren nach Anlegung des neuen Datensatzes zu löschen. Das Kreditinstitut hat zu gewährleisten, dass die BaFin jederzeit Daten aus der o. a. Datei in einem von ihr bestimmten Verfahren automatisiert abrufen kann. Es hat durch technische und organisatorische Massnahmen sicherzustellen, dass ihm Abrufe nicht zur Kenntnis gelangen. Die BaFin darf einzelne Daten aus der o. a. Datei abrufen, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben nach KWG oder Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten, insb. im Hinblick auf unerlaubte Bankgeschäfte oder Finanzdienstleistungen oder den Missbrauch der Institute durch Geldwäsche oder betrügerische Handlungen zu Lasten der Institute erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt. Die BaFin erteilt auf Ersuchen Auskunft aus der o.a. Datei 1. Aufsichtsbehörden, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben erforderlich ist, 2. den für die Leistung der internationalen Rechtshilfe in Strafsachen sowie im Übrigen für die Verfolgung und Ahndung von Straftaten zuständigen Behörden oder Gerichten, soweit dies für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist, 3. der für die Beschränkungen des Kapital- und Zahlungsverkehrs zuständigen nationalen Behörde, soweit dies für die Erfüllung ihrer sich aus AWG oder Rechtsakten der Europäischen Gemeinschaften im Zusammenhang mit der Einschränkung von Wirtschafts- oder Finanzbeziehungen ergebenden Aufgaben erforderlich ist. Die BaFin hat die in den Dateien gespeicherten Daten im antomatisierten Verfahren abzurufen und sie an die ersuchende Stelle weiter zu übermitteln. Sie prüft die Zulässigkeit der Übermittlung nur, soweit hierzu besonderer Anlass besteht. Die Verantwortung für die Zulässigkeit der Übermittlung trägt die ersuchende Stelle. Die BaFin darf zu den o.g. Zwecken ausländischen Stellen Auskunft aus der o. a. Datei nach Massgabe des Bundesdatenschutzgesetzes erteilen. Regelungen über die internationale Rechtshilfe in Strafsachen bleiben unberührt. Die BaFin protokolliert für Zwecke der Datenschutzkontrolle durch die jeweils zuständige Stelle bei jedem Abruf den Zeitpunkt, die bei der Durchführung des Abrufs verwendeten Daten, die abgerufenen Daten, die Person, die den Abruf durchgeführt hat, das Aktenzeichen sowie bei Abrufen auf Ersuchen die ersuchende Stelle und deren Aktenzeichen. Verwendung der Protokolldaten für andere Zwecke ist unzulässig. Die Protokolldaten sind mind. 18 Monate aufzubewahren und spätest. nach 2 Jahren zu löschen. Die Bank hat in ihrem Verantwortungsbereich auf ihre Kosten alle Vorkehrungen zu treffen, die für den automatisierten Abruf erforderlich sind. Dazu gehören auch, jeweils nach den Vorgaben der BaFin, Anschaffung der zur Sicherstellung von Vertraulichkeit und Schutz vor unberechtigten Zugriffen erforderlichen Geräte, Einrichtung eines geeigneten Telekommunikationsanschlusses und Teilnahme an dem geschlossenen Benutzersystem sowie laufende Bereitstellung dieser Vorkehrungen. Bank und BaFin haben dem jeweiligen Stand der Technik entspr. Massnahmen zur Sicherstellung von Datenschutz und -Sicherheit zu treffen, die insb. Vertraulichkeit und Unversehrtheit abgerufener und weiter übermittelter Daten gewährleisten. Den Stand der Technik stellt die BaFin im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem von ihr bestimmten Verfahren fest. Das BMF kann durch RVO Ausnahmen von der Verpflichtung zur Übermittlung im automatisierten Verfahren zulassen. Es kann die Ermächtigung durch RVO auf die BaFin übertragen. Soweit die Bundesbank Konten für Dritte führt, gilt sie als Kreditinstitut im vorgenannten Sinn.