Geldwäschebeauftragter – Neue Pflichten im Datenschutz – Datenschutz § 58 GwG

§ 58 GwG regelt, dass personenbezogene Daten von Verpflichteten auf der Grundlage des GwG ausschließlich für die Verhinderung von Geldwäsche und von Terrorismusfinanzierung verarbeitet werden dürfen. Es handelt sich hier um eine spezialgesetzliche Ausformung des Grundsatzes der Datenminimierung (Artikel 5 Datenschutz-Grundverordnung).

In diesem Informationsblog Geldwäschebeauftragter – Neue Pflichten im Datenschutz: Datenschutz § 58 GwG erhalten Sie aktuelle Informationen zu folgenden Themen:

  • Zielkonflikt Datenschutzbeauftragter und Geldwäschebeauftragter
  • Erhebung und Verarbeitung personenbezogener Daten
  • Gibt es Einschränkungen bei der Identitätsprüfung nach § 11 Abs. 5 GwG
  • Gruppenweit einheitliche Sicherungsmaßnahmen – länderspezifische Regelungen sind zu beachten
  • Was ist bei der Videoidentifizierung unter Datenschutzgesichtspunkten zu beachten?
  • Pflichten zur Berichtigung personenbezogener Daten
  • Rechtsfolgen bei der Verletzung von Datenschutzpflichten durch den Geldwäsche-Beauftragten

 

Geldwäschebeauftragter - Neue Pflichten im Datenschutz

 

Datenschutz § 58 GwG – Geldwäschebeauftragter – Neue Pflichten im Datenschutz

Aufgrund des damit bestehenden Zielkonflikts ist die gleichzeitige Wahrnehmung der Funktion des Datenschutzbeauftragten und des Geldwäschebeauftragten nicht vereinbar. In Einzelfällen wurde eine solche Doppelfunktion bis dato toleriert. Die fortschreitende Entwicklung des Datenschutzrechts und die steigende technische Ausstattung moderner Geldwäschepräventionssysteme verschärft diesen Zielkonflikt.

 

Erhebung und Verarbeitung personenbezogener Daten – Datenschutz § 58 GwG – Geldwäschebeauftragter – Neue Pflichten im Datenschutz

Die Erhebung und Verarbeitung personenbezogener Daten darf nur in dem Maß erfolgen, wenn dies für die Erreichung des Verarbeitungszwecks notwendig ist. Als Verarbeitungszweck kann vorliegend die risikoorientierte Erfüllung der allgemeinen Sorgfaltspflichten in Form der Identifizierung des wirtschaftlich Berechtigten angesehen werden.

§ 11 Abs. 5 Satz 2 GwG regelt als Ausnahme folgendes: Geburtsdatum Geburtsort und Anschrift des wirtschaftlich Berechtigten sind unabhängig vom festgestellten Risiko zu erheben. Dies stellt keinen Verstoß gegen die datenschutzrechtlichen Bestimmungen dar.

 

 

Videoidentifizierung – Sachkunde der Mitarbeiter muss auch datenschutzrechtliche Vorschriften abdecken

Bei Einsatz der Videoidentifizierung kann dies selbst oder durch einen Dritten iSd § 17 GwG erfolgen. Das Verfahren der Videoidentifizierung darf in jedem Fall nur von entsprechend geschulten und hierfür ausgebildeten Mitarbeitern durchgeführt werden. Die Mitarbeiter müssen Kenntnis zu den maßgeblichen geldwäscherechtlichen und datenschutzrechtlichen Vorschriften haben.

 

Gruppenweit einheitliche Sicherungsmaßnahmen – länderspezifische Regelungen sind zu beachten

§ 9 Abs. 1 Satz 2 Nr. 4 GwG regelt auch den Schutz personenbezogener Daten. Zur Sicherstellung des Schutzes personenbezogener Daten hat sich das Mutterunternehmen bei der Implementierung gruppenweit einheitlicher Sicherungsmaßnahmen auch mit den jeweils lokal geltenden Datenschutzvorschriften auseinanderzusetzen und diese zu berücksichtigen.

 

Pflicht zur Berichtigung personenbezogener Daten – § 37 Abs. 1 GwG

§ 37 Abs. 1 GwG regelt in Einklang mit § 20 Abs. 1 BDSG die Pflicht der Zentralstelle zur Berichtigung personenbezogener Daten. Die Berichtigungspflicht besteht dann, wenn die Daten unrichtig sind. Unrichtig im Sinne der Norm sind Daten, wenn sie entweder falsch oder unvollständig sind. Der Berichtigungsanspruch erstreckt sich auf auf in ihrer Verwendung eingeschränkte Daten (§ 37 Abs. 3 GwG). § 37 Abs. 2 GwG regelt die Löschungspflicht der Zentralstelle bei unzulässiger Datenspeicherung oder dem Wegfall der Erforderlichkeit der Datenspeicherung. Von eine runhzulässigen datenspeicherung ist dann aszugehen, wenn die Speicherung nciht durch eine entsprechende Rechtsnorm oder eine Einwilligung des Betroffenen gedeckt sind.

Die allgemeinen datenschutzrechtlichen Bestimmungen des § 20 BDSG finden neben den speziellen Regelungen der §§ 37 und 38 GwG Anwendung. Personenbezogene Daten, die automatisiert verarbeitet werden, sind zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (§ 20 Abs. 4 BDSG).

 

Rechtsfolgen bei Verletzung der Norm – Datenschutz § 58 GwG – Geldwäschebeauftragter – Neue Pflichten im Datenschutz

Mangels eigenständiger Aufzählung des § 58 GwG im Bußgeldkatalog des § 56 GwG richtet sich eine potenzielle Verletzung der Norm nicht nach Geldwäschegesetz, sondern nach dem allgemeinen Bußgeld- und Strafkatalog der §§ 43 und 44 BDSG. Wer demnach gemäß § 43 Abs. 2 BDSG vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind,

  • erhebt oder verarbeitet (Nr. 1)
  •  zum Abruf mittels automatisierten Verfahrens bereithält (Nr. 2)
  • abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft (Nr. 3) oder
  • deren Übermittlung durch unrichtige Angaben erschleicht (Nr. 4),

begeht eine Ordnungswidrigkeit, die mit bis zu 300.000 € geahndet werden kann (§43 Abs. 3 Satz 1 Alt. 2 BDSG). Übersteigt die Geldbuße nicht den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, so kann sie überschritten werden (§ 43 Abs. 3 Satz 2 und 3 BDSG).

Wird eine der in § 43 Abs. 2 BDSG bezeichneten vorsätzlichen Handlungen gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begangen, so ist dies strafbewehrt und wird mit Freiheitsstrafe von bis zu zwei Jahren oder mit Geldstrafe bestraft (§ 44 Abs. 1 BDSG). Es handelt sich hier um ein Antragsdelikt (§ 44 Abs. 2 BDSG).

Die neue Europäische Datenschutzgrundverordnung legt in Art. 83 EU-DSGVO nur die Verhängung von Geldbußen für Verstöße gegen die EU-DSGVO als aufsichtsbehördliches Sanktionsinstrument fest und regelt insofern kein Bußgeld und Strafverfahren. Mit der Öffnungsklausel nach Art 84 EU-DSGVO haben die Mitgliedstaaten selbst die Möglichkeit weitere Sanktionsvorschriften zu schaffen. Deutschland hat davon Gebrauch gemacht und entsprechende Regelungen zum Bußgeld und Strafverfahren in den §§ 41 bis 43 BDSG-neu geschaffen.

 

 

Geldwäschebeauftragter – Neue Pflichten im Datenschutz

Prüfen Sie, ob in Ihrem Unternehmen die neuen Pflichten im Datenschutz § 58 GwG erfüllt werden. Hierzu bieten wir Ihnen folgende Seminare an:

Datenschutz für Geldwäsche-Beauftragte:

> Neue Anforderungen des § 58 GwG an den Datenschutz

> Prüfungssichere Umsetzung der EU-DSGVO und des BDSG-2018

> Richtiger Umgang mit personenbezogenen Daten

> Gibt es Einschränkungen bei der Identitätsprüfung und den Sorgfaltspflichten nach GwG?

> Pflichten zur Berichtigung personenbezogener Daten – §37 GwG

> Schnittstellen in der Praxis zu

> Gruppenweit einheitliche Sicherungsmaßnahmen für den Datenschutz

> Rechtsfolgen bei der Verletzung von Datenschutzpflichten durch den Geldwäsche-Beauftragten

+ S&P Check: Prüfungssichere Umsetzung der Schnittstelle GwB und DSB