Compliance an der Schnittstelle zwischen Datenschutz und Geldwäscheprävention

Der Europäische Gerichtshof hat innerhalb kürzester Zeit zwei Entscheidungen erlassen, die erhebliche Auswirkungen darauf haben können, wie die Bekämpfung von Finanzkriminalität in Bezug auf die Datenschutz-Grundverordnung (DSGVO) gehandhabt wird. Unser Artikel befasst sich mit den potenziellen Herausforderungen im komplexen regulatorischen Umfeld, analysiert die getroffenen Entscheidungen und gibt konkrete Handlungsempfehlungen.

Trotz zahlreicher Geldwäsche-Skandale und wachsendem Druck der Aufseher müssen Verpflichtete wie z.B. Finanzinstitute sicherstellen, dass ihre Prozesse geeignet sind, Geldwäsche sowie sonstige Straftaten zu verhindern und dabei gleichzeitig personenbezogene Daten zu schützen. Das ist in der Praxis oft ein schwieriger Balanceakt.

MAXIMILIAN KRACKHARDT, SENIOR MANAGER, FCG ANTI-FINANCIAL-CRIME 

Das erste Urteil des EUGH: Die Marktmissbrauchsverordnung in Bezug auf die Datenschutz-Grundverordnung und ePrivacy

Die zuständige Behörde ist nach der Marktmissbrauchsverordnung (MAR) befugt, vorhandene Aufzeichnungen von Telefongesprächen, elektronischer Kommunikation oder Datenverkehrsaufzeichnungen von Wertpapierfirmen, Kreditinstituten oder Finanzinstituten anzufordern. Es ist wichtig, den rechtlichen Begriff der Verkehrsdaten vom Begriff der Inhaltsdaten zu unterscheiden. „Inhaltsdaten“ sind die über ein Kommunikationsnetz übertragenen Informationsinhalte, während man unter „Verkehrsdaten“ alle Daten versteht, die zum Zwecke der Übermittlung von Inhaltsdaten an einen Empfänger oder zur Abrechnung eines Kommunikationsnetzes erfasst werden. Sowohl Verkehrs- als auch Inhaltsdaten können personenbezogene Daten im Sinne der DSGVO darstellen. 

Der EUGH befand in Bezug zu den verbundenen Rechtssachen VD und SR, dass die MAR von Kommunikationsdienstleistern, Wertpapierfirmen, Kreditinstituten oder Finanzinstituten nicht als rechtliche Verpflichtung ausgelegt werden könne, Verkehrsdaten auf Vorrat zu speichern. Folglich führe die Befugnis der zuständigen Behörde, vorhandene Aufzeichnungen von Telefongesprächen, elektronischer Kommunikation oder Datenverkehrsaufzeichnungen zu verlangen, nicht mittelbar zu einer Verpflichtung zur Speicherung dieser Daten. Auch wenn eine solche Auslegung aufgrund des Wortlauts in der MAR logisch erscheinen mag, ist es nicht möglich, die MAR losgelöst von der langjährigen Rechtsprechung des Gerichts oder anderen Rechtsakten auszulegen. Bei der Auslegung von Rechtsakten der Union wie der MAR, der Geldwäsche-Richtlinie oder der DSGVO sei nicht nur auf ihren Wortlaut Bezug zu nehmen, sondern auch auf ihren Kontext und die Ziele der Rechtsvorschriften, zu denen sie gehören, und insbesondere den Ursprung dieser Rechtsvorschriften.

Weiter folgerte der Gerichtshof, dass die allgemeine und unterschiedslose Vorratsspeicherung von Verkehrsdaten nur durch das Ziel des Schutzes der nationalen Sicherheit gerechtfertigt werden könne. Der Gerichtshof argumentierte, dass das Urteil La Quadrature du Net nicht respektiert würde, wenn die dort getroffenen Feststellungen darüber, was in Bezug auf nationale Sicherheitsinteressen zulässig sein könnte, zusätzlich auch auf kriminelle Handlungen wie z.B. Marktmissbrauch, ausgedehnt würden. Es muss hier also zwischen den Grundrechten natürlicher Personen und Zielen des Allgemeininteresses unterschieden werden: Beispiele fürGrundrechte“ in diesem Zusammenhang sind das Recht auf Privatsphäre und das Recht auf Datenschutz. Beispiele für „Ziele von allgemeinem Interesse“ in diesem Zusammenhang sind schwere Straftaten wie Drogenhandel, Geldwäsche, Betrug, Korruption, Menschenhandel, Entführung, illegale Zurückhaltung und Geiselnahme, Verbrechen gegen die finanziellen Interessen der Europäischen Union, Nachahmung und Produktpiraterie, Computerkriminalität und Umweltkriminalität. Auch wenn Marktmissbrauch und Geldwäscheaktivitäten schwere – und potenziell strafbare – Straftaten darstellen, haben sie keinen einzigartigen Status in Bezug auf die Grundrechte natürlicher Personen, in diesem Fall das Recht auf Privatsphäre und Datenschutz. Dies erfordert, dass alle Unternehmen ihre Compliance-Vereinbarungen im Lichte der Anforderungen der DSGVO und der ePrivacy-Richtlinie bewerten.

Die zweite Urteil des EUGH: Die AML-Richtlinie in Bezug auf die DSGVO 

Die zweite Entscheidung des Gerichtshofs betrifft die verbundenen Rechtssachen Luxembourg Business Register und Sovim. Gemäß der Geldwäsche-Richtlinie wurde durch ein luxemburgisches Gesetz ein Register der wirtschaftlichen Eigentümer eingerichtet, das vorsieht, eine ganze Reihe von Informationen über die wirtschaftlichen Eigentümer registrierter Unternehmen in dieses Register einzutragen und zu speichern. Einige dieser Informationen sind der Öffentlichkeit zugänglich. 

Der europäische Gerichtshof ist befugt, Rechtsakte und Beschlüsse von Einrichtungen der Union ganz oder teilweise für ungültig zu erklären, wenn ein Rechtsakt eine unverhältnismäßige Verletzung der Grundrechte darstellt und erklärte die Bestimmung der Geldwäsche-Richtlinie, wonach die Mitgliedstaaten sicherstellen müssen, dass die Informationen über die wirtschaftlichen Eigentümer von Gesellschaften und anderen juristischen Personen, die in ihrem Hoheitsgebiet eingetragen sind, in allen Fällen jedem Mitglied der Allgemeinheit zugänglich sind, für ungültig.

Ziel der Geldwäsche-Richtlinie ist es, Geldwäsche und Terrorismusfinanzierung zu verhindern. Die Ziele der Verhinderung von Geldwäsche und Terrorismusfinanzierung sind Ziele von allgemeinem Interesse, wie im vorstehenden Abschnitt beschrieben. Der Gerichtshof kommt zu dem Schluss, dass diese Ziele selbst schwerwiegende Eingriffe in Grundrechte wie das Recht auf Privatsphäre und den Schutz personenbezogener Daten rechtfertigen können. Der Gerichtshof stellt hier jedoch auch fest, dass der Eingriff infolge der Gestaltung des Unternehmensregisters in Luxemburg im vorliegenden Fall weder auf das absolut Notwendige beschränkt noch im Hinblick auf das verfolgte Ziel verhältnismäßig sei. Abgesehen davon, dass die fraglichen Bestimmungen es ermöglichen, der Öffentlichkeit Daten zur Verfügung zu stellen, die unzureichend definiert und identifizierbar sind, stellt die durch die Geldwäsche-Richtlinie eingeführte Regelung einen wesentlich schwerwiegenderen Eingriff in die Grundrechte dar. Folglich erklärte der Gerichtshof den Teil des Rechtsakts, der diese Informationen der Öffentlichkeit zugänglich machte, für ungültig.

Auf den ersten Blick ist diese Entscheidung nur für Gesetzgeber von Bedeutung – Unionsgesetzgeber bei der Entscheidung über das bevorstehende AML-Paket und die nationalen Gesetzgeber darüber, wie Unionsrecht in nationales Recht umgesetzt wird. 

Für Unternehmen insgesamt ist es wichtig, die Grundlage für die Entscheidung des Gerichts zu verstehen, da diese Argumentation für das Zusammenspiel zwischen der AML-Richtlinie und der DSGVO gilt. Es ist die Geldwäsche-Richtlinie, die im Lichte der DSGVO interpretiert werden muss, nicht umgekehrt. Das Gericht stellt ausdrücklich fest, dass der Grundsatz der Datenminimierung im Zusammenhang mit der Geldwäscheprävention strikt anzuwenden ist. Der Datenverantwortliche muss nachweisen können, dass alle erhobenen, gespeicherten, analysierten und verarbeiteten Daten (entweder von ihm selbst oder von einem Datenverarbeiter in seinem Auftrag) unbedingt erforderlich und in einem angemessenen Verhältnis zu den verfolgten Zielen stehen.

Dies widerspricht in vielerlei Hinsicht einer der grundlegenden Annahmen der Geldwäscheprävention, nämlich dass mehr Daten besser sind, um ein genaues Kundenrisikoprofil zu erstellen. Die EBA-Leitlinien zu Risikofaktoren legen Anforderungen an die Erhebung sensibler Daten fest, beispielsweise aus dem Screening negativer Medienberichte. 

Zusammenfassend lässt sich festhalten, dass der traditionelle Begriff vom „Verbot mit Erlaubnisvorbehalt“ in Bezug auf die DSGVO nichts an Aktualität verloren hat und die BaFin aus gutem Grunde seit Jahren in ihren Anwendungs- und Auslegungshinweisen zum Geldwäschegesetz auf eine Trennung des Beauftragtenwesens in den Bereichen Geldwäsche – Datenschutz besteht.

HELLA OVERHAGE SENIOR MANAGER, FCG DATENSCHUTZ & ANTI-FINANCIAL-CRIME

Es wird deutlich, dass weder die Geldwäsche-Richtlinie noch die MAR die DSGVO außer Kraft setzen. Die DSGVO sollte auch nicht im Lichte der AML-Richtlinie oder der MAR ausgelegt werden. Vielmehr ist das Gegenteil der Fall. “Viel hilft viel“ gilt also tatsächlich nicht uneingeschränkt, auch nicht bei der Erstellung von Kundenrisikoprofilen.

Unsere allgemeinen Empfehlungen sind: 

  1. Führen Sie eine kohärente Datenzuordnung aller Daten durch, die im Rahmen von AML und MAR verarbeitet werden. Führen Sie auf der Grundlage dieser Informationen eine Datenschutz-Folgeabschätzung durch, um die AML-Prozesse im Lichte der DSGVO zu bewerten und die Einhaltung der DSGVO nachweisen zu können.
  1. Überprüfen Sie die Prozesse im Zusammenhang mit der Speicherung von Verkehrs- und Metadaten, um eine angemessene Rechtsgrundlage für die Speicherung solcher Daten zu gewährleisten – nicht  nur für die Offenlegung solcher Daten auf Ersuchen einer zuständigen Behörde.

Die Erfahrung aus der Praxis zeigt, dass es eine Sache ist, compliant mit den gesetzlichen Anforderungen zu sein, und die andere, diese Compliance auch nachweisen zu können. Die Verantwortung liegt im Fall der DSGVO beim Datenverantwortlichen, d.h. letztlich bei der Geschäftsführung. 

Dieser Artikel wurde im Original in englischer Fassung und mit weiteren Anforderungen der schwedischen Datenschutzbehörde von Maximilian Krackhardt und unserem GDPR-Spezialisten Aron Klingberg verfasst.

FCG kann Sie in einem sich ständig verändernden und komplexen GRC-Umfeld proaktiv unterstützen. Unsere Experten für Prävention von Finanzkriminalität und Datenschutz sind in sieben verschiedenen Märkten tätig und bieten praktische Lösungen, die auf die Bedürfnisse unserer Kunden zugeschnitten sind. Im Rahmen unseres Full-Service-Angebots beraten wir Banken und andere Finanzinstitute bei ihren Anträgen an die Datenschutzbehörden zur Verarbeitung von Daten im Zusammenhang mit kriminellen Aktivitäten. 

Maximilian Krackhardt

Senior Manager

Let's connect

Compliance an der Schnittstelle zwischen Datenschutz und Geldwäscheprävention Compliance an der Schnittstelle zwischen Datenschutz und Geldwäscheprävention
I want an Advisense expert to contact me about:
Compliance an der Schnittstelle zwischen Datenschutz und Geldwäscheprävention

By submitting, you consent to our privacy policy

Thank you for connecting with us

An error occurred, please try again later