Geldwäsche

Aktuell bin ich sehr stark in datenschutzrechtlichen Projekten eingebunden. Aber beim Thema Löschen trifft das Thema Datenschutz auf sehr viele andere (Rechts-)Bereiche. Nach der EU-DSGVO sollen Daten nur so lange gespeichert werden, wie lange der Rechtsgrund besteht bzw. ein berechtigtes Interesse besteht, die Daten zu erhalten. An dieser Stelle möchte ich gleich anmerken, dass das Thema berechtigtes Interesse kein generelles Einfallstor ist, alles mit Daten zu machen, was man damit machen möchte. Selbst wenn belastbar ein berechtigtes Interesse als Rechtsgrundlage herangezogen werden kann. Zurück zum Thema Löschen (ich gehe hier in diesem Blog nicht auf das Thema Berechtigungs- und Zugriffskonzept ein, dass natürlich auch eine wichtige Rolle spielt). Neben der bestehenden Geschäftsbeziehung, die zum Erhalt der notwendigen Daten berechtigt, spielen die gesetzlichen Aufbewahrungsfristen eine zentrale Rolle. Bei den gesetzlichen Aufbewahrungsfristen sind Gebotsfristen (Abgabenordnung, Handelsgesetzbuch und regulatorische Fristen – Geldwäsche) ebenso zu beachten, wie Vorhaltefristen (z.B. die regelmäßige Verjährungsfrist).

Nun bin ich einmal mehr über einen aktuellen Aufsatz in der GWR 8/2018 (S. 147 ff.) gestolpert, der ein spannendes Thema in diesem Kontext umreist. „Die geldwäscherechtliche Identifizierung der für einen Vertragspartner auftretenden Person“. Zunächst wird nun keiner nach der Lektüre des Aufsatzes aufschreien und sagen, dass ihn der Zusammenhang mit dem Bereich Datenschutz sieht. Ich möchte dieses Thema aber nutzen, um genau hier den Kontext aufzuzeigen und damit auch die Vielschichtigkeit des Themas. Der Autor (Rechtsanwalt Wolfgang Paul) geht darauf ein, dass nach § 10 I Nr. 1 GwG neben der Identifizierung des Vertragspartners auch zu den Sorgfaltspflichten gehört dass ein gegebenenfalls bestehendes Vertretungsverhältnis nachzuweisen ist. Hierüber gibt es im Detail Auslegungsstreitigkeiten, auf die ich hier nicht eingehen möchte. Im Fazit kommt Kollege Paul zu dem aus meiner Sicht richtigen Ergebnis, dass auch die Vertreter und insbesondere die gesetzlichen Vertreter mit gültigem Ausweis zu identifizieren sind (Ausnahme ist ein geringes Risiko, Anlage 1 zum GwG). Was bedeutet das nun für unser Thema Datenschutz? Na das liegt doch nun auf der Hand. Zum einen die Speicherung von mehr personenbezogenen Daten und zum anderen, das es im Detail immer um eine sehr exakte Prüfung der Anspruchsgrundlagen geht. Die gesetzlichen Vertreter eines Kunden werden in der Regel auch an anderer Stelle gespeichert. Aber um nun das Löschkonzept sauber aufzustellen, müssen wir genau analysieren, welche personenbezogenen Daten wir an welcher Stelle warum vorhalten. Gerade beim Thema Löschen kommt man oft schnell zu dem Ergebnis, dass das Delta, was zu Löschen ist, nicht so groß ist (nach Beendigung der Geschäftsbeziehung…). Aber der Teufel hinsichtlich des Löschkonzeptes, liegt wie immer im Detail, wie das Beispiel hier aufzeigen soll. Man sollte sich also rechtzeitig dazu Gedanken machen – und ja, es ist eh schon zu spät, wenn man bisher nicht angefangen hat, da die (EU-DSGVO, 25.5.2018) aber daher sollte man genug Zeit für dieses Subprojekt einplanen. Es handelt sich dabei um eine Mischung aus rechtlichen, Datenschutz- und IT-Themen. Daher ist ein interdisziplinäres Team aufzustellen (wie übrigens immer bei den meisten Datenschutzumsetzungsthemen).

Verwandte Beiträge