Im Jahr 2018 traten neue Vorschriften in Kraft, die zwei entscheidende Bereiche abdecken: den Schutz personenbezogener Daten sowie die Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Diese Bereiche sind Bestandteil des Compliance-Systems eines Unternehmens. Für Unternehmen bedeutet Compliance, die Organisation durch die Schaffung einer geeigneten Struktur und die Umsetzung geeigneter Maßnahmen so zu organisieren, dass das Risiko von Unregelmäßigkeiten innerhalb des Unternehmens minimiert wird*.

Der neue Ansatz der EU-Institutionen bei der Erstellung von Vorschriften in den genannten Bereichen steht im Einklang mit der obigen Definition. Weder die DSGVO, die in den Mitgliedstaaten unmittelbar gilt, noch das Geldwäschegesetz (AML-Gesetz), das EU-Richtlinien umsetzt, bieten fertige Lösungen für jedes Unternehmen, die sich in einer Checkliste abhaken ließen. Dies erscheint angemessen, da jede Unternehmensform unterschiedliche Merkmale aufweist und es schwierig ist, spezifische Lösungen zu finden, die sowohl für Kleinstunternehmen als auch für große Aktiengesellschaften geeignet sind.

Aktuell wird ein risikobasierter Ansatz verfolgt. Jede zur Einhaltung der Vorschriften verpflichtete Einrichtung muss potenzielle Bereiche identifizieren, in denen ein höheres oder niedrigeres Risiko für Geldwäsche, Terrorismusfinanzierung oder Datenschutzverletzungen besteht. Die Risikobewertung sollte dem Umfang und der Art des Geschäfts angemessen sein. Anschließend sind Maßnahmen zur Risikominderung, Verfahren und weitere Sicherheitsvorkehrungen zu implementieren, um die identifizierten Risiken und Bedrohungen zu minimieren. Einerseits ist dies aufwendig und birgt das Risiko einer unsachgemäßen Umsetzung der Vorschriften, insbesondere durch kleine Unternehmen, die versuchen, die Anforderungen eigenständig zu erfüllen. Andererseits ist es möglich, flexible und effektive Systeme und Verfahren zu entwickeln, die auf die häufigen Veränderungen der Bedrohungen und der Schutzmethoden reagieren. Durch Priorisierung von Aufgaben und Bereichen sowie eine angemessene Ressourcenzuweisung lassen sich die größten Bedrohungen minimieren.

Im Hinblick auf die Schnittstelle zwischen Geldwäschebekämpfung und DSGVO werden wir einige zentrale Fragen und Pflichten der betroffenen Institutionen im Zusammenhang mit dem Schutz personenbezogener Daten erläutern, basierend auf einigen der in der DSGVO aufgeführten Grundsätze der Datenverarbeitung. Dieser Artikel bietet jedoch keine umfassende Erörterung aller Grundsätze und weiterer Aspekte (z. B. Rechte betroffener Personen), die sich aus der Umsetzung der Pflichten nach dem Geldwäschegesetz im Kontext des Datenschutzes ergeben.

Viele der Verpflichtungen der verpflichteten Institutionen gemäß dem Gesetz vom 1. März 2018 zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung beinhalten die Verarbeitung personenbezogener Daten. Dazu gehören:

  • Die Notwendigkeit, die Identität von Kunden, Bevollmächtigten und wirtschaftlich Berechtigten festzustellen und zu überprüfen (Artikel 34 Absätze 1 und 2 des Geldwäschegesetzes). Zur ordnungsgemäßen Anwendung von Sicherheitsmaßnahmen ist es sogar möglich, Kopien der Ausweise von Kunden und deren Bevollmächtigten anzufertigen (Artikel 34 Absatz 4 des Geldwäschegesetzes).
  • Verarbeitung aller Informationen, die verpflichtete Institutionen von Hinweisgebern erhalten (Artikel 53 des Geldwäschegesetzes).
  • Feststellung, ob ein Kunde oder wirtschaftlich Berechtigter eine politisch exponierte Position (PEP) innehat.

Ist ein verpflichtetes Institut zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten personenbezogener Daten verpflichtet (Artikel 30 DSGVO), sollte es unbedingt den Bereich der Verarbeitungstätigkeiten im Zusammenhang mit der Bekämpfung von Geldwäsche und Terrorismusfinanzierung identifizieren und die darin durchgeführten Prozesse angeben. Diese können unter anderem die oben genannten Verpflichtungen umfassen.

Grundlage für die Datenverarbeitung

Eines der wichtigsten Prinzipien der Datenverarbeitung gemäß der DSGVO ist das Rechtmäßigkeitsprinzip (Einhaltung des Gesetzes). Ein Verantwortlicher darf personenbezogene Daten nur dann verarbeiten, wenn dies auf einer der in Artikel 6 DSGVO aufgeführten Rechtsgrundlagen beruht.

Im Falle von Aktivitäten verpflichteter Institutionen im Zusammenhang mit dem Geldwäschegesetz handelt es sich um die Erfüllung einer ihnen obliegenden rechtlichen Verpflichtung. Dies ist die in Artikel 6 Absatz 1 Buchstabe c DSGVO genannte Grundlage.

Die Umsetzung dieses Grundsatzes durch den Verantwortlichen für die Verarbeitung personenbezogener Daten erfolgt durch Eintragung der entsprechenden Rechtsgrundlage für die Datenverarbeitung in die RCPD, die (in der Regel) von den verpflichteten Institutionen geführt werden muss.

Darüber hinaus sollte die angegebene Grundlage für die Verarbeitung personenbezogener Daten in der Informationsklausel enthalten sein, die die Verpflichteten dem Kunden unter anderem vor Aufnahme der Geschäftsbeziehung zur Verfügung stellen (Artikel 34 Absatz 5 des Geldwäschegesetzes).

Sicherheit

Ein weiteres Prinzip der DSGVO ist die Gewährleistung der Vertraulichkeit und Integrität personenbezogener Daten, was letztlich deren Sicherheit bedeutet. Artikel 32 DSGVO greift das Prinzip aus Artikel 5 Absatz 1 Buchstabe f auf und bekräftigt den oben beschriebenen Ansatz. Sicherheitsmaßnahmen müssen verhältnismäßig und dem Risiko angemessen sein, insbesondere im Bereich der Geldwäschebekämpfung. Das Risiko von Datenfehlern oder -lecks ist hoch, daher sollten verpflichtete Institutionen die gebotene Sorgfalt beim Schutz ihrer Daten walten lassen. Beispiele für solche Maßnahmen sind physische Zugriffsbeschränkungen, subjektive Beschränkungen (z. B. die Beschränkung der Datenverarbeitung auf das notwendige Maß) und regelmäßige Mitarbeiterschulungen.

Angemessenheit und Zweckbegrenzung

Die nächsten beiden Prinzipien werden gemeinsam erörtert, da sie eng miteinander verknüpft sind. Zweckbindung und Angemessenheit der Datenverarbeitung sind im Kontext der Geldwäschebekämpfung schwer zu fassen. Einerseits sind Unternehmen verpflichtet, höchste Sorgfalt walten zu lassen und alle notwendigen Maßnahmen zu ergreifen, um die gesetzlichen Anforderungen zu erfüllen. Andererseits sollte dies nur im erforderlichen Umfang geschehen.

Praktisch gesehen ist nahezu jede Maßnahme einer verpflichteten Institution angemessen und notwendig, um ihr Ziel zu erreichen, sofern sie zu einer effektiveren Risikoanalyse oder einer besseren Umsetzung von Sicherheitsmaßnahmen beiträgt. Es wird empfohlen, die jeweilige (fragwürdige) Kriteriumsbeschreibung in das Risikoanalysedokument aufzunehmen, um diese Angemessenheit nachzuweisen.
Maßnahmen, die diesen Grundsätzen nicht entsprechen, beschränken sich fast ausschließlich auf den instrumentellen Gebrauch des Geldwäschegesetzes, um Daten und Informationen von Kunden oder autorisierten Personen zu erlangen.

Speicherzeitbegrenzung

Die DSGVO legt fest, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist (Artikel 5 Absatz 1 Buchstabe e). Das Geldwäschegesetz (AML-Gesetz) legt für die betroffenen Institutionen glücklicherweise die genaue Aufbewahrungsfrist für erhobene Dokumente fest. Diese beträgt fünf Jahre und beginnt mit dem ersten Tag des Jahres, das auf die Beendigung der Geschäftsbeziehung mit dem Kunden oder auf vereinzelte Transaktionen folgt (Artikel 49 AML-Gesetz). Die Aufbewahrungsfrist sollte in der Datenschutzerklärung und der Datenschutzrichtlinie (RCPD) angegeben werden.

Interessanterweise gelten für den Generalinspektor für Information (GIFI) etwas andere Fristen. Die Speicherung kann so lange erfolgen, wie der GIFI es für notwendig erachtet, und er sollte lediglich alle fünf Jahre überprüfen, ob die gesammelten Informationen weiterhin verarbeitet werden müssen (Artikel 100 des Geldwäschegesetzes).

Bei der Implementierung eines Systems zum Schutz personenbezogener Daten in einem Unternehmen und der Erfüllung der Verpflichtungen aus den Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung ist ein risikobasierter Ansatz unerlässlich. Jedes Unternehmen muss Bedrohungen präzise identifizieren und geeignete Maßnahmen ergreifen, wobei das Zusammenspiel dieser wichtigen Vorschriften (DSGVO und Geldwäschebekämpfung) zu berücksichtigen ist. Im Falle von Prüfungen müssen die betroffenen Institutionen und Einrichtungen, die personenbezogene Daten verarbeiten, die gebotene Sorgfalt nachweisen.

Diese Mitteilung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

* B. Makowicz, Compliance im Unternehmen, Warschau 2011, S. 16-17

Autor:


|

Reihenherausgeber:


|

    Haben Sie Fragen? Kontaktieren Sie uns – wir antworten Ihnen so schnell wie möglich.

    Beitragsaufrufe: 19