Geldwäsche Herausforderungen in Hinsicht auf die DSGVO

Seit der Einführung der DSGVO müssen Geldinstitute in der EU ihre Verpflichtungen zur Einhaltung der Geldwäschebekämpfung mithilfe eines neuen Datenschutzregimes bewerkstelligen.

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) trat am 25. Mai 2018 in Kraft und hat den Umgang europäischer Unternehmen mit den personenbezogenen Daten von Kunden und Klienten komplett umgekrempelt. Die DSGVO sorgt für die Etablierung, Klärung und Harmonisierung von Rechtsvorschriften zur Datensicherheit in allen EU-Mitgliedstaaten, betrifft aber auch externe Unternehmen, die in der EU geschäftlich tätig sein möchten.

Praktisch gesehen beschränkt die DSGVO die Möglichkeiten zum Sammeln, Verwenden und Speichern der persönlichen Daten ihrer Kunden und Klienten, und das wiederum bedeutet Konsequenzen für Unternehmen, denen Pflichten zur Geldwäschebekämpfung auferliegen.

DSGVO und Geldwäschebekämpfung

[/nectar_highlighted_text]Da Maßnahmen zur Geldwäschebekämpfung eine intensive Beschäftigung mit personenbezogenen Daten erfordern, können die durch die DSGVO eingeführten Beschränkungen eine Herausforderung für die Geldinstitute darstellen. Genauer gesagt kann der rechtliche Rahmen der DSGVO mit der Art und Weise kollidieren, wie Unternehmen ihre Kunden im Zuge ihrer Due-Diligence-Pflichten identifizieren und wie sie danach mit ihren Risiken umgehen.

Bei Geldinstituten hat die Einhaltung der DSGVO im Zuge der Erfüllung ihrer Pflichten zur Bekämpfung von Geldwäsche eine hohe Priorität – insbesondere weil Verstöße gegen die DSGVO zu Geldbußen in Höhe von bis zu 20 Millionen Euro (oder 4 % ihres globalen Umsatzes) führen können. Angesichts des hohen Risikos lohnt es sich, die Stellen, an denen die beiden Rechtsvorschriften aufeinanderprallen, genauer zu untersuchen und zu ermitteln, wie etwaige regulatorische Reibungen gelöst werden können.

Gesetzliche Grundlage

[/nectar_highlighted_text]Nach Artikel 6 der DSGVO müssen verantwortliche Stellen eine rechtliche Grundlage zur Erhebung und Verarbeitung personenbezogener Daten nachweisen, und darunter fallen auch Daten, die zur Geldwäschebekämpfung benötigt werden. Für Unternehmen mit Verpflichtungen zur Geldwäschebekämpfung sind folgende Rechtfertigungen aus Artikel 6 besonders relevant:

• Artikel 6(c)– die die Verarbeitung personenbezogener Daten gestattet, wenn sie der „Erfüllung einer rechtlichen Verpflichtung [dienen], der der Verantwortliche unterliegt“ – in der Regel Gesetze oder Sanktionen zur Geldwäschebekämpfung.
• Artikel 6(f)– die die Verarbeitung von Daten „zur Wahrung der berechtigten Interessen des Verantwortlichen“ erlaubt. Dies muss jedoch von Fall zu Fall nachgewiesen werden.

ComplyAdvantage sieht seine Maßnahmen zur Datenverarbeitung durch Artikel 6(f)  gerechtfertigt, da diese Daten erforderlich sind, um die berechtigten Interessen unserer Kunden hinsichtlich der Geldwäschebekämpfung und der Einhaltung von Sanktionen zu wahren.

Das Recht auf Vergessenwerden

[/nectar_highlighted_text]Einer der wichtigsten Aspekte der DSGVO ist Artikel 17, in dem das „Recht auf Vergessenwerden“ vorgestellt wird.  Dieses Recht ermöglicht es Personen, unter bestimmten Umständen die Löschung ihrer persönlichen Daten zu beantragen. Diese Regel steht u. U. im Widerspruch zum GwG, wonach Daten nach Beendigung einer Geschäftsbeziehung noch lange gespeichert werden müssen.

Nach Artikel 17, Abschnitt 3(b) der DSGVO haben rechtliche Pflichten allerdings Vorrang vor dem Recht auf Vergessenwerden. Was die Geldwäschebekämpfung betrifft, wurde mit der 4. EU-Richtlinie zur Geldwäschebekämpfung (4AMLD) die Pflicht eingeführt, sowohl Unterlagen zur Sorgfaltspflicht gegenüber Kunden als auch Transaktionsaufzeichnungen nach Beendigung der Kundenbeziehung noch 5 Jahre lang aufzubewahren. In diesem Zusammenhang wäre das Recht auf Vergessenwerden erst nach Ablauf dieser Frist einklagbar.

Ernennung von Datenverarbeitern

[/nectar_highlighted_text]Artikel 28 der DSGVO zufolge ist die Weitergabe von Datenverarbeitungsaufgaben nur an Dienstleister wie ComplyAdvantage zulässig, die „hinreichend Garantien“ für die Einhaltung der DSGVO bieten und nachweisen können. In diesem Fall kann es erforderlich sein, die Anforderungen zur Einhaltung der DSGVO – und das Recht, diese zu überprüfen – in die Verträge mit Dritten aufzunehmen. Ebenso muss auch die Übermittlung von Daten zwischen den Verantwortlichen und den externen Verarbeitern sicher und in Übereinstimmung mit den einschlägigen DSGVO-Regeln erfolgen.

Da bei ComplyAdvantage für sämtliche Kunden personenbezogene Daten zum Zwecke der Geldwäschebekämpfung verarbeitet werden, sind unsere Garantien für die Einhaltung der DSGVO standardmäßig in unseren Servicevereinbarungen festgelegt

Wie wird die Einhaltung der DSGVO durch ComplyAdvantage gewährleistet?

Als Datenverarbeiter bieten wir unseren Kunden vollständige Klarheit über die Maßnahmen, die wir zum Schutz von personenbezogenen Daten eingerichtet haben. Unsere strengen Datensicherheitsrichtlinien erlauben unseren Kunden die sichere Durchführung aller notwendigen Prüfungen zur Geldwäschebekämpfung, ohne mit der DSGVO in Konflikt zu geraten. Unsere Schutzmaßnahmen für die Informationssicherheit umfassen Folgendes:

• Datenverschlüsselung während der Übertragung und im Ruhezustand
• Eine von AWS gehostete Infrastruktur, die weltweit für Informationssicherheit bekannt ist
• ISO27001-Zertifizierung– ein Informationssicherheits-Managementsystem, das für all unsere Systeme und Standorte vom British Standards Institute nach ISO27001 (dem angesehensten Protokoll für Informationssicherheit) zertifiziert wurde

Wir sind uns bewusst, dass unsere Kunden sicherstellen müssen, dass ihre Kunden nicht an Geldwäsche oder Terrorismusfinanzierung beteiligt sind, und dies muss Vorrang vor bestimmten Bedenken hinsichtlich der Datensicherheit haben. Selbst unter der DSGVO berechtigt diese Anforderung zum Speichern persönlicher Informationen und zum Führen eines Prüfpfads für Kontrollen und Prozesse. Sowohl Geldwäsche- als auch Datenschutzgesetze entwickeln sich ständig weiter. Im Zuge neuer Gesetze wie der Fünften EU-Geldwäscherichtlinie (5AMLD) muss Ihre Compliance-Lösung in der Lage sein, neue gesetzliche Maßnahmen gegen die sich wandelnden Strategien auf dem Gebiet der Finanzkriminalität zu berücksichtigen.

Hinsichtlich dieser Aspekte sollte Ihre DSGVO-Lösung zur Geldwäschebekämpfung vor allem die Sicherheit personenbezogener Daten gewährleisten – ein Ziel, das mit den umfassenderen Vorgaben der Datenschutzlandschaft in Einklang steht.

Erfahren Sie, wie unsere Lösungen Sie bei der Einhaltung der neuesten Vorschriften zur Geldwäschebekämpfung unterstützen.