Datenschutz bei GwG-Prüfung

Auch: DSGVO-Kollision · Datenschutz in der Geldwäscheprävention

Bei der Erfüllung ihrer Sorgfaltspflichten nach dem Geldwäschegesetz erheben Makler zwangsläufig sensible personenbezogene Daten – von Ausweiskopien bis zu Angaben über die Herkunft der Mittel. Das Datenschutzrecht (DSGVO) begrenzt dabei, wie diese Daten erhoben, verarbeitet und gespeichert werden dürfen, ohne die GwG-Pflichten auszuhöhlen.

Ausführliche Erklärung

Für Makler entsteht hier kein echter Widerspruch, sondern ein austariertes Nebeneinander zweier Rechtsregime, das in der Praxis dennoch häufig zu Unsicherheit führt:

  • Rechtsgrundlage der Datenverarbeitung: § 11 GwG erlaubt und verpflichtet den Makler ausdrücklich zur Erhebung und Verarbeitung der zur Identifizierung notwendigen Daten (Name, Geburtsdatum, Anschrift, Staatsangehörigkeit, Ausweisdaten, ggf. Kopie des Ausweisdokuments). Datenschutzrechtlich stützt sich diese Verarbeitung auf Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) – eine gesonderte Einwilligung des Kunden ist dafür nicht erforderlich und wäre datenschutzrechtlich auch nicht die richtige Grundlage, da eine Einwilligung jederzeit widerrufbar wäre, die GwG-Pflicht aber nicht.
  • Zweckbindung: Die im Rahmen der GwG-Prüfung erhobenen Daten dürfen ausschließlich zur Verhinderung von Geldwäsche und Terrorismusfinanzierung verwendet werden, nicht ohne Weiteres für andere Zwecke wie Marketing.
  • Aufbewahrung vs. Löschung: § 8 GwG verlangt eine Aufbewahrung der Identifizierungsunterlagen für fünf Jahre nach Beendigung der Geschäftsbeziehung – diese gesetzliche Aufbewahrungspflicht geht dem datenschutzrechtlichen Grundsatz der Datenminimierung/Löschung vor (Art. 6 Abs. 1 lit. c DSGVO deckt auch die Aufbewahrung).
  • Informationspflichten: Der Makler muss den Kunden nach Art. 13 DSGVO transparent darüber informieren, dass und zu welchem Zweck seine Daten im Rahmen der Geldwäscheprävention verarbeitet werden – üblicherweise über ein Datenschutzhinweisblatt, das bei der Identifizierung ausgehändigt wird.
  • Weitergabe an Dritte: Angaben dürfen nur im gesetzlich vorgesehenen Rahmen weitergegeben werden, etwa an die FIU im Rahmen einer Verdachtsmeldung – dabei greift zugleich das strikte Verbot, den Betroffenen über eine erfolgte Verdachtsmeldung zu informieren (Tipping-off-Verbot, § 47 GwG), was datenschutzrechtlich als gesetzliche Ausnahme von Informationspflichten zu werten ist.

Für die Maklerpraxis folgt: Ausweiskopien und Identifizierungsunterlagen dürfen und müssen erhoben werden, sind aber getrennt von allgemeinen Marketingdaten zu verarbeiten, sicher (verschlüsselt, zugriffsbeschränkt) zu speichern und nach Ablauf der gesetzlichen Frist zu löschen.

Beispiel aus der Praxis

Ein Kunde weigert sich, seinen Personalausweis kopieren zu lassen, und beruft sich auf sein Recht auf informationelle Selbstbestimmung. Der Makler kann ihm erklären, dass die Identifizierung keine freiwillige Datenerhebung, sondern eine gesetzliche Pflicht nach § 11 GwG ist – ohne sie darf der Makler das Geschäft nicht vermitteln.

Rechtsgrundlage

  • § 11 GwG – Umfang und Rechtsgrundlage der Identitätsdaten-Erhebung.
  • Art. 6 Abs. 1 lit. c DSGVO – Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung.
  • Art. 13 DSGVO – Informationspflichten gegenüber dem Betroffenen.
  • § 8 GwG – Fünfjährige Aufbewahrungsfrist für Identifizierungsunterlagen.

Verwandte Begriffe