Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals

Ist es aus Sicht der Bundesregierung im Sinne der einschlägigen Gesetzeslage (z. B. Bundesdatenschutzgesetz, aber auch finanzsektorspezifische Regulierungen wie z. B. die Mindestanforderungen an das Risikomanagement – MaRisk) ausreichend, wenn ein Finanzdienstleistungsunternehmen seine Kooperation mit einem externen IT-Dienstleister, der im Auftrag des Finanzdienstleistungsunternehmens Daten verarbeitet, erst dann auf den Prüfstand stellt, wenn diesem externen Dienstleister Verletzungen des Datenschutzes nachgewiesen bzw. von diesem eingestanden wurden, oder gebieten die Sorgfaltspflichten, dass das Finanzdienstleistungsunternehmen die Kooperation mit dem externen IT-Dienstleister auch schon bei einem begründeten Verdacht auf Datenschutzverletzungen (z. B. im Fall behördlicher Ermittlungen oder Offenlegungen durch Whistleblower) auf den Prüfstand stellen?

Ab welchem Umfang von datenschutzrechtlichen Verfehlungen eines beauftragten IT-Dienstleisters ist ein Finanzdienstleistungsunternehmen verpflichtet, die Kooperation mit diesem IT-Dienstleister unverzüglich zu beenden, und wie groß ist der Ermessensspielraum des Finanzdienstleistungsunternehmens bei dieser Entscheidung?

Welche Rolle spielt es für die Beantwortung der Fragen 1 und 2, ob der externe IT-Dienstleister seine Dienstleistung im In- bzw. Ausland erbringt oder seinen Sitz im In- bzw. Ausland hat? Welche Rolle spielt der Unterschied zwischen EU-Ausland, Drittstaaten im Allgemeinen und den USA im Besonderen, und welche Rolle spielt in diesem Zusammenhang jeweils der § 11 des Bundesdatenschutzgesetzes (BDSG)?

Ist es aus Sicht der Bundesregierung generell zulässig, sensible Finanzdaten deutscher Bank- und Versicherungskunden an ausländische IT-Dienstleister weiterzugeben, wenn diese nicht denselben gesetzlichen Datenschutzbestimmungen wie in Deutschland unterliegen, und welche Rolle spielt hierbei, ob es sich um EU-Mitglied- oder Drittstaaten handelt (bitte begründen)?

Wenn ja, welche rechtlichen (insbesondere datenschutzrechtlichen) Einschränkungen sind bei einer solchen Auslagerung zu beachten?

Wenn nein, wie gedenkt die Bundesregierung gegen eine solche Auslagerung vorzugehen, und welche Rolle spielt hierbei, ob es sich um EU-Mitglied- oder Drittstaaten handelt?

Teilt die Bundesregierung die Aussage des Landesbeauftragten für den Datenschutz Schleswig-Holstein, Dr. Thilo Weichert, „Angesichts der Erkenntnisse um die Ausspähaktionen durch US-Geheimdienste wäre es unverantwortlich, europäische Kundendaten in den USA verarbeiten zu lassen“ (taz.die tageszeitung vom 26. November 2013)? Wenn nein, warum nicht?

Welche Behörden sind für die Überprüfung der Einhaltung der datenschutzrechtlichen Bestimmungen seitens Finanzdienstleistungsunternehmen zuständig, und welche Kontrollinstrumente stehen diesen Behörden zur Verfügung?

Welche Rolle kommt bei der Überprüfung des Datenschutzes der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), z. B. im Rahmen der Aufsicht über die Einhaltung der MaRisk, zu?

Spielen bei der Überwachung des Datenschutzes durch Aufsichtsbehörden ausschließlich kundenbezogene Aspekte (Persönlichkeitsrechte etc.) eine Rolle, oder kann aus Sicht der Bundesregierung die Nichteinhaltung datenschutzrechtlicher Verpflichtungen durch Finanzdienstleistungsunternehmen auch eine Gefährdung eines oder mehrerer Finanzdienstleistungsunternehmen oder sogar systemische Risiken für die Stabilität des Finanzsektors insgesamt zur Folge haben?

Wie häufig wird die Einhaltung der datenschutzrechtlichen Bestimmungen von der BaFin oder anderen Behörden durchschnittlich geprüft? Bei welchen Finanzdienstleistungsunternehmen wird die Einhaltung der datenschutzrechtlichen Bestimmungen routinemäßig geprüft? Bei welchen Finanzdienstleistungsunternehmen bedarf es eines konkreten Anlasses bzw. Anfangsverdachts, damit eine entsprechende Prüfung stattfindet?

Wie viele Prüfungen auf Einhaltung datenschutzrechtlicher Bestimmungen hat die BaFin in den vergangenen drei Jahren durchgeführt (bitte nach Kreditinstituten, Versicherungen und Wertpapierdienstleistungsunternehmen aufschlüsseln)? Wie viele davon waren routinemäßig, wie viele davon waren anlassbezogen?

Wie waren die Prüfungsergebnisse (bitte nach Art und Schwere der Beanstandungen aufschlüsseln)?

Wie bewertet die Bundesregierung vor dem Hintergrund der Enthüllungen im NSA-Überwachungsskandal, dass Booz Allen Hamilton, die ehemalige Firma des Whistleblowers Edward Snowden, einen Auftrag des Bundesministeriums der Finanzen zur Organisationsentwicklung der BaFin erhalten hatte (Antwort auf die Schriftliche Frage 11 auf Bundestagsdrucksache 18/115), und sieht sie diesbezüglich sicherheits- und datenschutzrechtliche Probleme (bitte begründen)?

Welche Kreditinstitute, Versicherungen und Wertpapierhandelsunternehmen bedienen sich nach Kenntnis der Bundesregierung zur Verarbeitung ihrer Kundendaten externer IT-Dienstleister? An welches Unternehmen erfolgte wann die Auslagerung?

Wie viele und welche Finanzdienstleistungsunternehmen haben nach Kenntnis der Bundesregierung dabei die Verarbeitung ihrer Kundendaten zu IT-Dienstleistern ins Ausland verlagert?

Sind der Bundesregierung außer der Allianz SE noch weitere Finanzdienstleistungsunternehmen bekannt, die eine Auslagerung ihrer Datenverarbeitung an externe IT-Dienstleister erwägen, und wenn ja, um welche Unternehmen handelt es sich dabei?

Wie beurteilt die Bundesregierung die Möglichkeit sowie die Wahrscheinlichkeit, dass die NSA durch Kooperation mit von deutschen Finanzdienstleistungsunternehmen beauftragten US-amerikanischen IT-Dienstleistern Zugriff auf Daten deutscher Finanzdienstleistungsunternehmen erhalten kann und davon auch Gebrauch macht? Haben deutsche Geheimdienste von der NSA Daten deutscher Finanzdienstleistungsunternehmen erhalten?

Was versteht die Bundesregierung unter dem Terminus „operative Services“, die der IT-Dienstleister aus einem anderen Staat anbietet, insbesondere aus datenschutz- sowie verbraucherschutzpolitischer Perspektive?

Inwieweit verfügt die Bundesregierung über Kenntnisse, ob und inwieweit deutsche Kundendaten von Kreditinstituten, Versicherungen und Wertpapierhandelsunternehmen in einer so genannten Cloud verarbeitet wurden oder werden, die ihrerseits auch mit Rechenzentren in Staaten verbunden ist, die keinen aus deutscher Sicht hinreichenden Datenschutz sicherstellen?

Falls solche Kenntnisse bestehen, um wie viele und welche Kreditinstitute, Versicherungen und Wertpapierhandelsunternehmen handelt es sich dabei im Einzelnen? In welchen Staaten befanden oder befinden sich die entsprechenden verbundenen Rechenzentren?

Inwieweit haben die Bundesregierung bzw. deutsche Behörden (z. B. im Wege der Aufsicht) selbst Zugriffsmöglichkeiten auf eine Cloud deutscher Finanzdienstleistungsunternehmen?

Welche Daten in einer solchen Cloud können von wem in welcher Detailliertheit und auf welcher Rechtsgrundlage abgefragt werden?

Welche Informationen und Erkenntnisse, insbesondere unter datenschutz- und verbraucherschutzrechtlichen Gesichtspunkten (insbesondere im Zuge des NSA-Skandals), liegen der Bundesregierung bezüglich des Unternehmens IBM als Outsourcingpartner vor, nachdem dieses Unternehmen nach den Rechenzentren der Elektronikmarktkette Media-Saturn-Holding GmbH (seit dem Jahr 2008, vgl. Pressemitteilung vom 10. Dezember 2008 auf Drucksache 18/225 – 4 – Deutscher Bundestag – 18. Wahlperiodewww.presseportal.de) auch die zentralen EDV-Strukturen des Versicherungsunternehmens Allianz SE übernehmen soll? Inwieweit und in welcher Form bestehen Informationsaustausch und Kontrollmöglichkeiten, auch gemeinsam mit amerikanischen Behörden (bitte aufschlüsseln)?

Was gedenkt die Bundesregierung im Weiteren zu unternehmen, um Datenschutzverletzungen und Datenmissbrauch durch geheimdienstliche Abschöpfung von Daten deutscher Finanzdienstleistungsunternehmen bzw. der von ihnen beauftragten IT-Dienstleister ggf. aufzudecken und zu verhindern?

Ist von Seiten der Bundesregierung diesbezüglich eine konkrete politische Initiative angedacht, und wenn ja, wie sieht diese aus?

Wie beurteilt die Bundesregierung Datenschutzverletzungen im Zusammenhang mit dem NSA-Skandal vor dem Hintergrund des Transparenzgebots als Ausfluss des informationellen Selbstbestimmungsrechts der Bürgerin bzw. des Bürgers nach Artikel 2 Absatz 1 des Grundgesetzes (GG) i. V. m. Artikel 1 Absatz 1 GG?