§ 24c KWG. Automatisierter Abruf von Kontoinformationen

Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) vom 10. Juli 1961
L 334 vom 27.12.2019, S. 155).} vom 25. Juni 2021, Bundesgesetzblatt Teil I 2021 Nummer 37 vom 30. Juni 2021 Seite 2083-2098
[1. August 2021]
1§ 24c. Automatisierter Abruf von Kontoinformationen.
(1) 2[1] Ein Kreditinstitut hat ein Dateisystem zu führen, in dem unverzüglich folgende Daten zu speichern sind:
  • 1. die Nummer eines Kontos, das der Verpflichtung zur Legitimationsprüfung nach § 154 Absatz 2 Satz 1 der Abgabenordnung unterliegt, eines Depots oder eines Schließfachs sowie der Tag der Eröffnung und der Tag der Beendigung oder Auflösung,
  • 32. der Vor- und Nachname, sowie bei natürlichen Personen der Tag der Geburt, des Inhabers und eines Verfügungsberechtigten sowie in den Fällen des § 10 Absatz 1 Nummer 2 des Geldwäschegesetzes der Vor- und Nachname und, soweit erhoben, die Anschrift eines abweichend wirtschaftlich Berechtigten im Sinne des § 3 des Geldwäschegesetzes.
[2] Bei jeder Änderung einer Angabe nach Satz 1 ist unverzüglich ein neuer Datensatz anzulegen. 4[3] Die Daten sind nach Ablauf von zehn Jahren nach der Auflösung des Kontos oder Depots zu löschen. [4] Im Falle des Satzes 2 ist der alte Datensatz nach Ablauf von drei Jahren nach Anlegung des neuen Datensatzes zu löschen. 5[5] Das Kreditinstitut hat zu gewährleisten, dass die Bundesanstalt jederzeit Daten aus dem Dateisystem nach Satz 1 in einem von ihr bestimmten Verfahren automatisiert abrufen kann. [6] Es hat durch technische und organisatorische Maßnahmen sicherzustellen, dass ihm Abrufe nicht zur Kenntnis gelangen.
6(2) [1] Die Bundesanstalt darf einzelne Daten aus dem Dateisystem nach Absatz 1 Satz 1 abrufen, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben nach diesem Gesetz oder dem Geldwäschegesetz, insbesondere im Hinblick auf unerlaubte Bankgeschäfte oder Finanzdienstleistungen oder den Missbrauch der Institute durch Geldwäsche, Terrorismusfinanzierung oder sonstige strafbare Handlungen, die zu einer Gefährdung des Vermögens der Institute führen können, erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt. [2] Die Zentralstelle für Finanztransaktionsuntersuchungen darf zur Erfüllung ihrer Aufgaben nach dem Geldwäschegesetz gleichermaßen einzelne Daten aus dem Dateisystem nach Absatz 1 Satz 1 abrufen.
(3) 7[1] Die Bundesanstalt erteilt auf Ersuchen Auskunft aus dem Dateisystem nach Absatz 1 Satz 1
  • 1. den Aufsichtsbehörden gemäß § 9 Abs. 1 Satz 4 Nr. 2, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben unter den Voraussetzungen des Absatzes 2 erforderlich ist,
  • 2. den für die Leistung der internationalen Rechtshilfe in Strafsachen sowie im Übrigen für die Verfolgung und Ahndung von Straftaten zuständigen Behörden oder Gerichten, soweit dies für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist,
  • 3. der für die Beschränkungen des Kapital- und Zahlungsverkehrs nach dem Außenwirtschaftsgesetz zuständigen nationalen Behörde, soweit dies für die Erfüllung ihrer sich aus dem Außenwirtschaftsgesetz oder Rechtsakten der Europäischen Union im Zusammenhang mit der Einschränkung von Wirtschafts- oder Finanzbeziehungen ergebenden Aufgaben erforderlich ist.
8[2] Die Bundesanstalt hat die in den Dateisystemen gespeicherten Daten im automatisierten Verfahren abzurufen und sie an die ersuchende Stelle weiter zu übermitteln. [3] Die Bundesanstalt prüft die Zulässigkeit der Übermittlung nur, soweit hierzu besonderer Anlass besteht. [4] Die Verantwortung für die Zulässigkeit der Übermittlung trägt die ersuchende Stelle. 9[5] Die Bundesanstalt darf zu den in Satz 1 genannten Zwecken ausländischen Stellen Auskunft aus dem Dateisystem nach Absatz 1 Satz 1 nach Maßgabe der allgemeinen datenschutzrechtlichen Vorschriften erteilen. [6] § 9 Abs. 1 Satz 5, 6 und Abs. 2 gilt entsprechend. [7] Die Regelungen über die internationale Rechtshilfe in Strafsachen bleiben unberührt.
10(3a) [1] Die Bundesanstalt erteilt auf Ersuchen Auskunft aus den Dateisystemen nach Absatz 1 Satz 1
  • 1. an die inländischen benannten Behörden im Sinne des Artikel 3 Absatz 1 der Richtlinie (EU) 2019/1153 des Europäischen Parlamentes und des Rates vom 20. Juni 2019 zur Festlegung von Vorschriften zur Erleichterung der Nutzung von Finanz- und sonstigen Informationen für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung bestimmter Straftaten und zur Aufhebung des Beschlusses 2000/642/JI des Rates, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben bei der Verhütung oder Verfolgung schwerer Straftaten im Sinne des Anhangs I der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53) erforderlich ist oder zur Unterstützung einer strafrechtlichen Ermittlung im Zusammenhang mit einer schweren Straftat;
  • 2. an das Bundeskriminalamt in seiner Funktion als nationale Stelle nach § 1 Nummer 1 des Europol-Gesetzes zum Zwecke der Weitergabe an Europol, soweit dies zur Erfüllung der Aufgaben von Europol gemäß Artikel 4 der Verordnung (EU) 2016/794 im Rahmen der Zuständigkeit von Europol im Einzelfall erforderlich ist.
[2] Die Bundesanstalt hat die Daten im automatisierten Verfahren abzurufen und sie unmittelbar an die ersuchende Stelle weiter zu übermitteln. [3] Absatz 3 Sätze 4 und 6 gelten entsprechend.
11(4) [1] Die Bundesanstalt protokolliert bei jedem Abruf
  • 1. das Aktenzeichen,
  • 2. Datum und Uhrzeit des Abrufs,
  • 3. die Art der bei der Durchführung des Abrufs verwendeten Daten,
  • 4. die eindeutige Kennung der Ergebnisse,
  • 5. die Person, die den Abruf durchgeführt hat.
[2] Bei jedem Abruf zum Zweck der Auskunftserteilung auf Ersuchen nach Absatz 3 protokolliert sie zudem die ersuchende Stelle und das Aktenzeichen der ersuchenden Stelle. [3] Bei einem Abruf nach Absatz 3a durch eine inländische benannte Behörde im Sinne des Artikel 3 Absatz 1 Richtlinie (EU) 2019/1153 ist zudem die eindeutige Benutzerkennung derjenigen Person zu protokollieren, die das Ersuchen an die Bundesanstalt gerichtet hat und – sofern abweichend – die Benutzerkennung derjenigen Person, die Ergebnisse weiterübermittelt erhält. [4] Die Protokolle dienen ausschließlich dem Zweck der Datenschutzkontrolle sowie der Sicherstellung der Datensicherheit. [5] Sie werden von der oder dem Datenschutzbeauftragten der Bundesanstalt regelmäßig überprüft und auf Anforderung der oder dem Bundesbeauftragten für den Datenschutz und die Informationssicherheit zur Verfügung gestellt. [6] Protokolle nach Satz 1 und 2 sind 18 Monate, Protokolle nach Satz 3 sind fünf Jahre zugriffsgeschützt aufzubewahren. [7] Nach Ablauf der Aufbewahrungsfrist sind die Protokolle zu löschen, sofern sie nicht für laufende Kontrollverfahren erforderlich sind. [8] Die Bundesanstalt stellt durch besondere Schulungsprogramme sicher, dass das eingesetzte Personal mit den geltenden Bestimmungen unter Einschluss insbesondere der europäischen und nationalen Datenschutzbestimmungen vertraut ist. [9] Die Bundesanstalt führt eine Statistik über Zahl und Bearbeitung von Ersuchen nach Absatz 3a.
(5) 12[1] Das Kreditinstitut hat in seinem Verantwortungsbereich auf seine Kosten alle Vorkehrungen zu treffen, die für den automatisierten Abruf unter Sicherstellung des Datenschutzes und der Datensicherheit der Daten nach Absatz 1 Satz 1 nach dem jeweiligen Stand der Technik erforderlich sind. [2] Dazu gehören auch, jeweils nach den Vorgaben der Bundesanstalt, die Anschaffung der zur Sicherstellung der Vertraulichkeit und des Schutzes vor unberechtigten Zugriffen erforderlichen Geräte, die Einrichtung eines geeigneten Telekommunikationsanschlusses und die Teilnahme an dem geschlossenen Benutzersystem sowie die laufende Bereitstellung dieser Vorkehrungen. 13[3] Den Stand der Technik stellt die Bundesanstalt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem von ihr bestimmten Verfahren fest.
14(6) [1] Die Bundesanstalt hat dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten nach Absatz 1 Satz 1 beim Abruf durch die Bundesanstalt gewährleisten. [2] Die Bundesanstalt hat entsprechende Maßnahmen bei der Weiterübermittlung der Daten nach den Absätzen 3 und 3a zu treffen; diese Maßnahmen müssen im Falle von Ersuchen nach Absatz 3a bei den ersuchenden Behörden eine Zugangsbeschränkung auf einzelne Personen und deren eindeutige Benutzerkennung ermöglichender abgerufenen und weiter übermittelten Daten gewährleisten. [3] Den Stand der Technik stellt die Bundesanstalt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem von ihr bestimmten Verfahren fest.
15(7) [1] Das Bundesministerium der Finanzen kann durch Rechtsverordnung Näheres regeln zu den technischen Verfahren des automatisierten Abrufs sowie der Weiterübermittlung, zu Ausnahmen von der Verpflichtung zur Übermittlung im automatisierten Verfahren sowie zur Protokollierung der Abrufe und zur Statistik über Ersuchen. [2] Es kann die Ermächtigung durch Rechtsverordnung auf die Bundesanstalt übertragen.
16(8) Soweit die Deutsche Bundesbank Konten und Depots für Dritte führt, gilt sie als Kreditinstitut nach den Absätzen 1, 5 und 6.
Anmerkungen:
1. 1. Juli 2002: Artt. 6 Nr. 23, 23 S. 1 des Gesetzes vom 21. Juni 2002.
2. 26. November 2019: Artt. 91 Nr. 6 Buchst. a Doppelbuchst. aa, 155 Abs. 1 des Gesetzes vom 20. November 2019.
3. 1. August 2021: Artt. 3 Nr. 1 Buchst. a, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
4. 25. Juni 2017: Artt. 2, 11 Abs. 1 des Erstens Gesetzes vom 23. Juni 2017.
5. 26. November 2019: Artt. 91 Nr. 6 Buchst. a Doppelbuchst. bb, 155 Abs. 1 des Gesetzes vom 20. November 2019.
6. 26. November 2019: Artt. 91 Nr. 6 Buchst. b, 155 Abs. 1 des Gesetzes vom 20. November 2019.
7. 26. November 2019: Artt. 91 Nr. 6 Buchst. c Doppelbuchst. aa, 155 Abs. 1 des Gesetzes vom 20. November 2019.
8. 26. November 2019: Artt. 91 Nr. 6 Buchst. c Doppelbuchst. bb, 155 Abs. 1 des Gesetzes vom 20. November 2019.
9. 26. November 2019: Artt. 91 Nr. 6 Buchst. c Doppelbuchst. cc, 155 Abs. 1 des Gesetzes vom 20. November 2019.
10. 1. August 2021: Artt. 3 Nr. 1 Buchst. b, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
11. 1. August 2021: Artt. 3 Nr. 1 Buchst. c, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
12. 1. August 2021: Artt. 3 Nr. 1 Buchst. d Doppelbuchst. aa, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
13. 1. August 2021: Artt. 3 Nr. 1 Buchst. d Doppelbuchst. bb, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
14. 1. August 2021: Artt. 3 Nr. 1 Buchst. e, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
15. 1. August 2021: Artt. 3 Nr. 1 Buchst. f, 14 Abs. 1 des Gesetzes vom 25. Juni 2021.
16. 26. Juni 2017: Artt. 17 Nr. 2 Buchst. c, 24 Abs. 1 S. 1 des Dritten Gesetzes vom 23. Juni 2017.