17. Sparkassen, Banken
17.1
Prüfung des Schufa-Online-Verfahrens (SCDA) für die
hessischen
Sparkassen
Im vergangenen Jahr konnte eine bereits 1992 begonnene Prüfung des von der Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) ihren Vertragspartnern, zu denen auch die hessischen Sparkassen zählen, zur Verfügung gestellten automatisierten Abruf- und Meldeverfahrens SCDA (Schufa Computer Dialog Anwendung) abgeschlossen werden.
17.1.1
Die Schufa Datenbank
Wer einen Konsumentenkredit aufnehmen möchte, ein Girokonto eröffnen will, eine Kreditkarte beantragt, eine Stereoanlage auf Raten kaufen möchte oder beispielsweise bei einem Versandhandelsunternehmen Waren gegen Rechnung bestellt, kann in der Regel davon ausgehen, daß die Bank, die Kreditkartengesellschaft, das Kaufhaus bzw. das Versandhaus seine Bonität durch eine Anfrage bei der Schufa überprüfen. Die Schufa ist eine Einrichtung der kreditgebenden deutschen Wirtschaft und besteht aus 13 regionalen privatrechtlichen Gesellschaften, deren Gesellschafter Banken, Sparkassen sowie Einzelhandelsunternehmen sind. Sie registriert neben den Angaben zur Person z.B.: Informationen zu Girokonten und Kreditkarten, beantragte und gewährte Kredite, Bürgschaften, Leasingverträge, Versandhauskonten, Scheckrückgabe mangels Deckung, Scheckkartenmißbrauch, Kündigungen von Krediten wegen Rückzahlungsverzug, Lohnpfändungen, Mahnbescheide bei unbestrittener Forderung usw. Die Arbeitsweise beruht auf dem Prinzip der Gegenseitigkeit: Auskünfte erhält nur, wer seinerseits bereit ist, Informationen zu liefern.
17.1.2
Direktzugriff auf die Datenbank
Die Vertragspartner konnten und können die Angaben telefonisch oder per Telefax, Telex oder gewöhnlichem Brief abfragen. Seit ca. zwei Jahren bietet die Schufa den Unternehmen auch die Möglichkeit, direkt, d.h. ohne Kontaktaufnahme mit den Geschäftsstellen, auf die zentrale Schufa-Datenbank zuzugreifen. Dies kann entweder auf der Basis eines Rechner-Rechner-Verbundes oder mit einem Personal-Computer mittels Datex-P geschehen.
Das Online-Verfahren bietet sowohl für die Teilnehmer als auch die Schufa Vorteile: Es entfallen telefonische Anfragen und das damit verbundene Problem der Identifizierung des Anrufers. Beleggebundene Anfragen werden überflüssig. Anfragen und Auskünfte müssen nicht mehr mit der Post versandt werden. Durch die zeitnahen Neu-, Änderungs- und Ergänzungsmeldungen gewinnt der Datenbestand eine größere Aktualität. Der Kreditsachbearbeiter hat die benötigten Informationen ohne Zeitverzögerung unmittelbar am Arbeitsplatz zur Verfügung.
17.1.3
Anlaß und Verfahren der Prüfung
Da die hessischen Sparkassen ihre Teilnahme an diesem Verfahren von einem positiven Ergebnis einer Überprüfung durch den Hessischen Datenschutzbeauftragten abhängig gemacht hatten, war auch der Schufa an der Prüfung gelegen. Ohne ihre Kooperation hätte ich ohnehin nicht prüfen können, denn als privatrechtliche Einrichtung unterliegt die Schufa nicht meiner Kontrollkompetenz. Weil die Datenverarbeitung im öffentlichen und privaten Bereich (Sparkassen und Schufa) erfolgt, war darüber hinaus zeitweise das Regierungspräsidium Darmstadt, die zuständige Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich, eingeschaltet. Außer Gesprächen mit Vertretern der Bundes-Schufa (Bundesverband der Schufa-Gesellschaften), der regionalen Schufa-Gesellschaften Hamburg und Hannover, die u.a. für das Rhein-Main-Gebiet und den Kasseler Raum zuständig sind, Unterredungen mit Vertretern des Sparkassen- und Giroverbandes Hessen-Thüringen und des Rechenzentrums der Hessischen Sparkassenorganisation GmbH fand ein Prüfbesuch bei der Stadtsparkasse Kassel statt, bei dem eine Pilotinstallation der "Schufa Computer Dialog Anwendung" von mir überprüft wurde. Von einem Vertreter der Firma Debis-Systemhaus MGI GmbH, die in ihrem Eschborner Rechenzentrum für die Schufa die Datenverarbeitung durchführt und die gleichfalls nicht meiner Kontrolle unterliegt, habe ich mir das Sicherheitskonzept des Rechenzentrums für das Online-Verfahren schildern lassen und mich im übrigen auf eine Prüfung gestützt, die das Regierungspräsidium dort kurze Zeit vorher vorgenommen hatte.
17.1.4
Datensicherungsmaßnahmen im Eschborner Rechenzentrum
der Debis-Systemhaus MGI GmbH
Die Schufa bietet für den direkten Zugriff auf ihre Daten
zwei
Kommunikationsformen an:
- Terminal-Kopplung, d.h. das Netzwerk des Vertragspartners mit
Datensichtgeräten/PC's wird mit dem Schufa-System so
gekoppelt, daß ein berechtigtes Terminal arbeitet, als sei
es
am Schufa-System angeschlossen. Der Rechner des
Vertragspartners funktioniert wie eine Steuereinheit, die
Daten lediglich weiterleitet. Der Teilnehmer nutzt die im
Schufa-Rechenzentrum ablaufende Anwendungssoftware.
- Programmkopplung, d.h. eine Anwendungssoftware des
Teilnehmers, die unter einem Transaktionsmonitor abläuft,
kommuniziert mit einem Partner-Programm des Schufa-Systems.
Für die hessischen Sparkassen ist die "Terminal-Lösung" vorgesehen. Die Verwaltung der Sicherheitssoftware RACF (Resource Access Control Facility) erfolgt dezentral durch die Schufa. Alle Subsysteme sind mit der Schutzsoftware über Schnittstellen gekoppelt. Beim TP (Teleprocessing)-Monitor CICS (Customer Information Control System der Fa. IBM) gehen die Prüfungen beispielsweise bis auf die Transaktionsebene. Die Schufa-Anwendung ist mit eigener Benutzer- und Zugriffskontrolle ausgestattet. Es werden alle Eingaben, besonders solche, die zu Abfragen führen, protokolliert. Dabei werden Benutzerkennung, ggf. Terminal, Datum, Uhrzeit und die Eingaben gespeichert. Die Protokolle werden ein Jahr aufbewahrt, ihre Auswertung erfolgt auf Anweisung der Schufa. Es gibt außerdem die Möglichkeit, Online-Abfragen schriftlich bestätigen zu lassen. Insgesamt können die auf Seiten der Schufa getroffenen technischen und organisatorischen Maßnahmen als ausreichend angesehen werden.
17.1.5
Pilotinstallation bei der Stadt- und Kreissparkasse Kassel
Installiert waren dezentral Steuereinheiten, die im Verbund mit dem in Frankfurt befindlichen Rechenzentrum der Hessischen Sparkassenorganisation (RHSO) standen und an die Terminals oder PC's angeschlossen waren. Anträge auf Zugriffsberechtigungen wurden an das RHSO weitergeleitet. Dort wurde für das betroffene Terminal oder den PC die Berechtigung eingetragen, SCDA aufzurufen. Es gab keine Möglichkeit zwischen Anwendungen zu wechseln, der Benutzer befand sich entweder in SCDA oder in einer anderen Anwendung.
Im RHSO wurde sofort die Verbindung zum Debis-Rechner aufgebaut. Eine Zwischenspeicherung erfolgte nicht, der RHSO-Rechner funktionierte nur als Steuereinheit. Die Zugangsberechtigung wurde mittels User-Identifizierung und Paßwort überprüft. Die zusätzliche persönliche Identifizierung mußte die Sparkasse freilich besonders beantragen, denn das System läßt einen Verbindungsaufbau auch ohne User-Identifizierung zu. Außerdem wurden eine Kennziffer, die das Kreditinstitut identifizierte, und ein für die Sparkasse geltendes Kennwort abgefragt.
Soweit ersichtlich, entspricht die Benutzerkontrolle der Schufa-Anwendung dem Stand der Technik, allerdings nur, wenn der Anwender SCDA mit zusätzlicher persönlicher User-Identifizierung angefordert hat. Andernfalls wird die Eingabe- und die damit verbundene Übermittlungskontrolle problematisch. Darüber hinaus ist es ohne User-Identifizierung nicht möglich, in einer Einrichtung mit einer großen Zahl von Mitarbeitern wie der Stadt- und Kreissparkasse Kassel, die Zugriffsbeschränkungen wirksam umzusetzen. Denn angesichts der vielen Terminals, die dort zur Abfrage zur Verfügung standen, hätten Unberechtigte ohne große Schwierigkeiten auf Schufa-Daten zugreifen können, da ca. 150 Beschäftigte das Institutskennzeichen kannten.
Die Protokollierung der Datenübermittlungen erfolgte bei der Schufa. Die Schufa stellt die Daten, die sie zur Eingabekontrolle nutzt, den Teilnehmern für Übermittlungskontrollen zur Verfügung. Begründet wurde das damit, daß die erforderlichen Daten an keiner anderen Stelle automatisiert vorlägen. Von der Sparkasse habe ich in diesem Zusammenhang gefordert, durch Namenskürzel oder ähnliches auf den Originalunterlagen zu kennzeichnen, wer wann welche Daten an die Schufa übermittelt hat. Für eine detaillierte Nachprüfung stünden dann immer noch zusätzlich die Schufa-Protokolle zur Verfügung.
17.1.6
Dienstanweisung
Unter meiner Mitwirkung wurde von der Stadtsparkasse Kassel und dem RHSO eine Dienstanweisung entworfen, die das Schufa-Auskunftsverfahren für die Sparkassenmitarbeiter detailliert regelt. Festgelegt wird u.a. der Kreis der Zugriffsberechtigten, in diesem Fall Kundenberater, Sachbearbeiter des Geschäftsstellenbereichs und Kreditsachbearbeiter; wer die konkrete Zugriffsberechtigung erteilt und wie dies zu erfolgen hat. Geregelt ist auch die Beendigung der Zugriffsberechtigung. Ausführlich erläutert werden die Form der Anfragen und Meldungen, die einzelnen Meldepflichten, die Zuständigkeiten für die jeweiligen Meldungen und die Aufbewahrung der Unterlagen. Die Dienstanweisung soll den übrigen Sparkassen als Musterdienstanweisung vom Sparkassen- und Giroverband Hessen-Thürigen ausgehändigt werden.