Datenschutz – neue Anforderungen § 11a GwG

Welche Anforderungen regelt § 11a GwG zum Datenschutz im Rahmen der laufenden Geldwäscheprävention? § 11a GwG (vorher § 58 GwG) regelt, dass personenbezogene Daten von Verpflichteten auf der Grundlage des GwG ausschließlich für die Verhinderung von Geldwäsche und von Terrorismusfinanzierung verarbeitet werden dürfen. Es handelt sich hier um eine spezialgesetzliche Ausformung des Grundsatzes der Datenminimierung (Artikel 5 Datenschutz-Grundverordnung).

In diesem Informationsblog Datenschutz § 11a GwG erhalten Sie aktuelle Informationen zu folgenden Themen:

  • Zielkonflikt Datenschutzbeauftragter und Geldwäschebeauftragter
  • Erhebung und Verarbeitung personenbezogener Daten
  • Gibt es Einschränkungen bei der Identitätsprüfung nach § 11 Abs. 5 GwG
  • Gruppenweit einheitliche Sicherungsmaßnahmen – länderspezifische Regelungen sind zu beachten
  • Was ist bei der Videoidentifizierung unter Datenschutzgesichtspunkten zu beachten?
  • Pflichten zur Berichtigung personenbezogener Daten
  • Rechtsfolgen bei der Verletzung von Datenschutzpflichten durch den Geldwäsche-Beauftragten

 

Datenschutz - neue Anforderungen § 11a GwG

 

Datenschutz § 11a GwG – neue Anforderungen § 11a GwG

Aufgrund des damit bestehenden Zielkonflikts ist die gleichzeitige Wahrnehmung der Funktion des Datenschutzbeauftragten und des Geldwäschebeauftragten nicht vereinbar. In Einzelfällen wurde eine solche Doppelfunktion bis dato toleriert. Die fortschreitende Entwicklung des Datenschutzrechts und die steigende technische Ausstattung moderner Geldwäschepräventionssysteme verschärft diesen Zielkonflikt.

 

Erhebung und Verarbeitung personenbezogener Daten – Datenschutz § 11a GwG

Die Erhebung und Verarbeitung personenbezogener Daten darf nur in dem Maß erfolgen, wenn dies für die Erreichung des Verarbeitungszwecks notwendig ist. Als Verarbeitungszweck kann vorliegend die risikoorientierte Erfüllung der allgemeinen Sorgfaltspflichten in Form der Identifizierung des wirtschaftlich Berechtigten angesehen werden.

§ 11 Abs. 5 Satz 2 GwG regelt als Ausnahme folgendes: Geburtsdatum Geburtsort und Anschrift des wirtschaftlich Berechtigten sind unabhängig vom festgestellten Risiko zu erheben. Dies stellt keinen Verstoß gegen die datenschutzrechtlichen Bestimmungen dar.

 

Videoidentifizierung – Sachkunde der Mitarbeiter muss auch datenschutzrechtliche Vorschriften abdecken

Bei Einsatz der Videoidentifizierung kann dies selbst oder durch einen Dritten iSd § 17 GwG erfolgen. Das Verfahren der Videoidentifizierung darf in jedem Fall nur von entsprechend geschulten und hierfür ausgebildeten Mitarbeitern durchgeführt werden. Die Mitarbeiter müssen Kenntnis zu den maßgeblichen geldwäscherechtlichen und datenschutzrechtlichen Vorschriften haben.

 

Gruppenweit einheitliche Sicherungsmaßnahmen – länderspezifische Regelungen sind zu beachten

§ 9 Abs. 1 Satz 2 Nr. 4 GwG regelt auch den Schutz personenbezogener Daten. Zur Sicherstellung des Schutzes personenbezogener Daten hat sich das Mutterunternehmen bei der Implementierung gruppenweit einheitlicher Sicherungsmaßnahmen auch mit den jeweils lokal geltenden Datenschutzvorschriften auseinanderzusetzen und diese zu berücksichtigen.

 

Pflicht zur Berichtigung personenbezogener Daten – § 37 Abs. 1 GwG

§ 37 Abs. 1 GwG regelt in Einklang mit § 20 Abs. 1 BDSG die Pflicht der Zentralstelle zur Berichtigung personenbezogener Daten. Die Berichtigungspflicht besteht dann, wenn die Daten unrichtig sind. Unrichtig im Sinne der Norm sind Daten, wenn sie entweder falsch oder unvollständig sind. Der Berichtigungsanspruch erstreckt sich auf auf in ihrer Verwendung eingeschränkte Daten (§ 37 Abs. 3 GwG). § 37 Abs. 2 GwG regelt die Löschungspflicht der Zentralstelle bei unzulässiger Datenspeicherung oder dem Wegfall der Erforderlichkeit der Datenspeicherung. Von eine runhzulässigen datenspeicherung ist dann aszugehen, wenn die Speicherung nciht durch eine entsprechende Rechtsnorm oder eine Einwilligung des Betroffenen gedeckt sind.

Die allgemeinen datenschutzrechtlichen Bestimmungen des § 20 BDSG finden neben den speziellen Regelungen der §§ 37 und 38 GwG Anwendung. Personenbezogene Daten, die automatisiert verarbeitet werden, sind zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt (§ 20 Abs. 4 BDSG).

 

Rechtsfolgen bei Verletzung der Norm – Datenschutz § 11a GwG

Mangels eigenständiger Aufzählung des § 11a GwG (vorher: § 58 GwG) im Bußgeldkatalog des § 56 GwG richtet sich eine potenzielle Verletzung der Norm nicht nach Geldwäschegesetz, sondern nach der EU-DSGVO.

Die neue Europäische Datenschutzgrundverordnung legt in Art. 83 EU-DSGVO nur die Verhängung von Geldbußen für Verstöße gegen die EU-DSGVO als aufsichtsbehördliches Sanktionsinstrument fest und regelt insofern kein Bußgeld und Strafverfahren. Mit der Öffnungsklausel nach Art 84 EU-DSGVO haben die Mitgliedstaaten selbst die Möglichkeit weitere Sanktionsvorschriften zu schaffen. Deutschland hat davon Gebrauch gemacht und entsprechende Regelungen zum Bußgeld und Strafverfahren in den §§ 41 bis 43 BDSG-neu geschaffen.

Wer demnach gemäß § 43 Abs. 2 BDSG vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind,

  • erhebt oder verarbeitet (Nr. 1)
  •  zum Abruf mittels automatisierten Verfahrens bereithält (Nr. 2)
  • abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft (Nr. 3) oder
  • deren Übermittlung durch unrichtige Angaben erschleicht (Nr. 4),

begeht eine Ordnungswidrigkeit, die mit bis zu 50.000 € geahndet werden kann (§43 Abs. 2 BDSG).

 

§ 42 BDSG regelt folgende Strafvorschriften….

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,
1. einem Dritten übermittelt oder
2. auf andere Art und Weise zugänglich macht

und hierbei gewerbsmäßig handelt.

(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
1. ohne hierzu berechtigt zu sein, verarbeitet oder
2. durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

 

Geldwäsche Beauftragte haben auch folgende Seminare gebucht….

Seminar Geldwäschebeauftragter: Geldwäsche und Fraud – Basisseminar

Seminar Geldwäschebeauftragter: Geldwäsche und Fraud – Aufbauseminar

Seminar Geldwäschebeauftragter: Geldwäsche & Fraud – Update

Seminar Geldwäschebeauftragter: Geldwäsche & Fraud – Forum

Seminar Geldwäschebeauftragter: Aufbauseminar – Geldwäsche und Wirtschaftskriminalität

Seminar Geldwäschebeauftragter: Geldwäscheprävention für Güterhändler

Seminar Geldwäschebeauftragter: Geldwäscheprävention für Immobilienmakler

Seminar Geldwäschebeauftragter: Geldwäscheprävention für Leasing- & Factoring-Unternehmen

Seminar Geldwäschebeauftragter: Geldwäscheprävention für Versicherungsunternehmen

Seminar Geldwäschebeauftragter: Geldwäscheprävention für Spielbanken und Veranstalter/Vermittler von Glücksspielen im Internet