Datenschutz und Geldwäsche – Personalausweis kopieren oder scannen
Das Geldwäschegesetz (kurz GwG) will Terrorismusfinanzierung und Geldwäsche verhindern. Verpflichtete, etwa Banken, müssen daher ihre Vertragspartner identifizieren und darüber eine Aufzeichnung führen. Sie kopieren oder scannen z.B. den Personalausweis. Diese Legitimation ist zusätzlich über Jahre hinweg aufzubewahren. Natürlich kollidieren diese Anforderungen im Falle natürlicher Personen mit dem Datenschutz. Und wie gestaltet sich die Lösung?
Ausgangslage – Datengewinnung weil …
Wie aktuell zu vielen Frage, ist darauf einzugehen, ob und wann das neue Datenschutzrecht anzuwenden ist. Insoweit greift auch dieser Beitrag Fragen der Umsetzung der EU-Datenschutzgrundverordnung DSGVO auf. Hier geht es um die Kollisionslage mit Fragen der öffentlichen Sicherheit und Ordnung im Zusammenhang mit dem Geld- und Zahlungsverkehr bzw. dem Aufspüren illegaler Gewinne und der Überführung dieser in vermeintlich legale Gewinne. Dazu müssen Daten, insbesondere auch personenbezogene Daten, erhoben und verarbeitet werden. Gemeint sind innerbetriebliche Daten, Daten im Zusammenhang mit Kunden und Lieferanten, Daten, die mittelbar erst den Rückschluss auf eine natürliche Person zulassen, ebenso wie Daten, bei denen dies „mit einem Blick“ zu erkennen ist. Da für die Frage, ob der Datenschutz betroffen ist, bereits die bloße Identifizierbarkeit ausreicht, von einem juristisch „weiten“ Begriff „personenbezogener Daten“ auszugehen ist, sollte hier aus Compliance- und Haftungsgründen auch ein eher großzügiger Maßstab angelegt werden. Damit ist unmittelbar der Anwendungsbereich des Persönlichkeitsschutzes, des Schutzes vor unzulässiger Überwachung berührt und es gilt im einzelnen abzuwägen.
Rückgriff auf den Datenschutz
Auszugehen ist vom Datenschutzrecht, das insoweit unmittelbar über die Grundrechte den Staat zum Schutz der natürlichen Person verpflichtet. Wie so oft läuft dies auf eine Abwägung der einander gegenüberstehenden Güter und Interessen hinaus. Auf der einen Seite steht das Interesse der Allgemeinheit, Terrorismusfinanzierungen und Geldwäsche effektiv bekämpfen zu können. Auf der anderen Seite stehen die Persönlichkeitsrechte der betroffenen natürlichen Personen, frei von Überwachung, Erhebung und Verarbeitung personenbezogener Daten zu bleiben.
Das Datenschutzrecht ist insoweit vom grundsätzlichen Verbot der Verarbeitung personenbezogener Daten geprägt (Verbot mit Erlaubnisvorbehalt). Die Datenschutzgrundverordnung hat dies ausdrücklich in den Art. 1, 5 und 6 normiert.
Hinzu tritt die Erkenntnis, dass Personalausweispapiere im Eigentum der Bundesrepublik Deutschland stehen und der Umgang mit diesen in einem Gesetz geregelt ist: Dem Personalausweisgesetz bzw. Gesetz über Personalausweise und den elektronischen Identitätsnachweis vom 18. Juni 2009. Ob eine Kopie oder Einsichtnahme möglich ist, findet sich z.B. im § 20 PAuswG (hier via Juris/BMJ).
Ausnahme Geldwäschegesetz?
Im Geldwäschegesetz (GwG – hier via Juris/BMJ), konkret Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten vom 23. Juni 2017 (BGBl. I S. 1822) ist nun leider eine datenschutzrechtlich unschöne Situation eingetreten ist.
§ 11 Abs. 1 S. 1 GwG verpflichtet zur Legitimation (Identifizierung von Vertragspartnern). § 11 Abs. 4 Ziff. 1) stellt insoweit eine datenschutzrechtliche Erlaubnisnorm zur Erhebung personenbezogener Daten anläßlich der vorgeschriebenen „Identifizierung“ bei einer natürlichen Person dar. Die Auflistung der Datenfelder ist abschließend.
Körpergröße und Augenfarbe zählen nicht zu den zugelassenen Datenfeldern.
Abgeleitet aus den (deutschen und europäischen) Grundrechten sowie konkretisiert in der EU-Datenschutzgrundverordnung (DSGVO) besteht demgegenüber das oben genannte Verbot der Erhebung und Verarbeitung personenbezogener Daten (Verbot mit Erlaubnisvorbehalt). Es dürfen hier nicht mehr Daten erhoben und verarbeitet werden, als dies eine Einwilligung, ein Vertrag, eine gesetzliche Erlaubnis (usw. usf.) nach Art. 6 Abs. 1 DSGVO erlauben.
Führt die Aufzeichnungspflicht des GwG zur vollständigen Kopie des Personalausweises?
Und nun tritt der dazu im Widerspruch stehende Wortlaut des § 8 GwG hinzu.
Dieser regelt die Aufzeichnungspflicht, d.h. eine weitere Pflicht, die neben der Identifizierungspflicht im GwG besteht. Die Aufzeichnungspflicht ist keine datenschutzrechtliche Erlaubnisnorm, sondern erklärt lediglich, wie die nach dem GwG bestehenden Aufzeichnungen und Aufbewahrungen vonstatten gehen sollen (§ 8 Abs. 1 GwG).
Dazu sieht § 8 Abs. 2 S. 2 GwG vor, eine
„vollständige Kopie dieser Dokumente oder Unterlagen anzufertigen oder sie vollständig optisch digitalisiert zu erfassen“.
Das stellt ersichtlich keine Erlaubnis in Bezug auf personenbezogene Daten dar und kann daher das Vorstehende weder aushebeln, noch sozusagen über die Aufzeichnungspflicht die Inhalte der Anforderungen an die Identitätsfestestellung von Vertragspartnern erweitern.
Schon gar nicht erlaubt diese Formulierung, die Kopie des Bundespersonalausweises. Sie nimmt noch nicht einmal auf das Personalausweisgesetz Bezug.
Zweck der Vorschrift ist zudem die Dokumentation des im Rahmen der Legitimation vorgelegten Ausweispapieres – nicht seiner einzelnen Datenfelder oder eine diesbezügliche Erlaubnis. D.h. es geht zunächst um die Beantwortung der Frage, welches Ausweispapier wurde vorgelegt und was ergibt sich daraus für die Identitätsfeststellung?
Und schließlich ist für den Fall einer elektronischen Legitimation (z.B. über den elektronischen Personalausweis) die Beantragung eines (auf die Zwecke des GwG beschränkten) Importfilters bei der zuständigen Behörde anzufordern (vgl. § 21 PAuswG), der gerade nur auf die Datenfelder des § 11 Abs. 4 Ziff. 1) beschränkt ist.
Fazit – was ist zu tun, wie ist zu verfahren?
Veröffentlichungen der Aufsicht (Bafin) und Verbände lassen den Rückschluss zu, dass unter Gesichtspunkten des Risikomanagements an dem bisherigen Procedere (vollständige, nicht teilgeschwärzte Kopie bzw. Digitalisierung) festgehalten werden könne. Das darf nicht als Rat mißverstanden werden.
Die bislang dazu ergangenen und bekannten Äußerungen der Datenschutzaufsichten (etwa der Einigung aus dem Jahre 2015 zwischen BMF und der Bundesbeauftragten) sowie den Landesbehörden lassen demgegenüber den Rückschluss zu, hier ein reales Risiko dafür anzunehmen, dass ein Mehr-Aufzeichnen als Verstoß gegen die Rechtmäßigkeit und Datensparksamkeit und damit die DSGVO gewertet werden kann. Das würde einen Bußgeldtatbestand nach Art. 83 DSGVO nach sich ziehen. Daher gilt es, unter Risikogesichtspunkten, gemeint ist das Compliancemanagement, abzuwägen.
Vielleicht hilft es, ein Musterverfahren anzustrengen?
Tja da haben sich ja unsere Gesetzeshandwerker einen schönen Widerspruch konstruiert.
Aber was mach ich den als Verbraucher wenn ich ultimativ zum VollScan des Personalausweises
aufgefordert werde ?
Irgendwelche Tipps: Standardformulierungen ??
Guten Tag,
seit dem 01.01.2020 ist eine neue Version des GwG in Kraft in der in §8 Abs. 2 S. 2 das Wort „vollständig“ gestrichen wurde.
Kann ich nun die CAN (Zugangsnummer) auf meinem Personalausweis bei Identifizierung schwärzen?
Danke für den Beitrag.