Verpflichtete im Spannungsfeld zwischen Datenschutz und effektiver Geldwäscheprävention

Effektive Geldwäscheprävention und -bekämpfung ist für die Finanzstabilität sowie die Sicherheit in Europa von zentraler Bedeutung. Mögliche Gesetzeslücken in einem Mitgliedstaat können sich auf die gesamte EU auswirken. Die Verfolgung von Geldwäschedelikten und anderen kriminellen Aktivitäten unterliegt in einem demokratischen Rechtsstaat zum Schutz der Beteiligten engen grundrechtlichen und gesetzlichen Bindungen. Der Datenschutz für gänzlich Unbeteiligte sowie die Persönlichkeitsrechte von Betroffenen müssen berücksichtigt werden. So stoßen im Rahmen der Geldwäscheprävention zwei fundamental gegensätzliche gesetzgeberische Zielrichtungen aufeinander: Es besteht ein Spannungsfeld zwischen dem Schutz individueller Grundrechte, u. a. dem Datenschutz gemäß Art. 8 Charta der Grundrechte der Europäischen Union (GRCh), und einer umfassenden Prävention bzw. dem steigenden Informationsbedürfnis staatlicher und öffentlicher Stellen.

Normadressat des Geldwäschegesetzes (GwG) und die Verdachtsmeldepflicht

Maßgeblicher Normadressat des Geldwäschegesetzes (GwG) ist der „Verpflichtete“ gemäß § 2 Abs. 1 GwG, soweit dieser in Ausübung seines Gewerbes oder Berufes handelt. Umfasst sind z. B. Kreditinstitute, selbständige Gewerbetreibende oder Rechtsbeistände. Durch das GwG sind sie verpflichtet, aktiv bei der Prävention von Geldwäsche mitzuwirken. Die nach dem GwG Verpflichteten sowie die involvierten Behörden fallen unter den Begriff des „Verantwortlichen“ nach Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO). Die Verarbeitung personenbezogener Daten durch die Verpflichteten nach § 2 GwG wird in § 11a GwG geregelt. So stellt das GwG, konkret an die Identitätsprüfung nach § 11 GwG, eine unmittelbare Verpflichtung zur Datenerhebung und -verarbeitung im Sinne von Art. 6 Abs. 1 lit. c DSGVO für die Verpflichteten dar.

Der Kern des risikobasierten Geldwäschepräventionskonzepts ist der Prozess, der die äußeren Umstände durch Verarbeitung durch die Verpflichteten zu einem Verdachtsmoment zusammenführt. Sofern Tatsachen vorliegen, die einen Verdacht zur Geldwäsche oder Terrorismusfinanzierung begründen, müssen die Verpflichteten eine Verdachtsmeldung nach § 43 GwG an die Financial Intelligence Unit (FIU) übermitteln. An der Wirksamkeit der Einbeziehung der Verpflichteten und damit an der Legitimation bestehen in der Literatur, insbesondere hinsichtlich der Meldepflicht, allerdings auch Zweifel. Im Rahmen der Geldwäscheprävention und im Speziellen im Rahmen der Meldepflicht werden Unmengen an personenbezogenen Daten verarbeitet, wie z. B. der Vor- und Nachname, der Geburtsort, das Geburtsdatum, die Staatsangehörigkeit und die Wohnanschrift. Die Problematik der Verdachtsmeldepflicht ergibt sich in erster Linie aus der Unbestimmtheit des Risikobegriffs und den denkbar geringen Anforderungen des Gesetzgebers an den pflichtauslösenden Verdacht. Die Verpflichteten sind zu einer sehr weit ins Vorfeld verlagerten Datenerhebung, -verarbeitung und -speicherung verpflichtet, die teilweise weit über konkrete Anhaltspunkte für Straftaten hinaus geht. Die Fälle, in denen tatsächlich ein Zusammenhang zur Geldwäsche oder Terrorismusfinanzierung besteht, sind gering. So landen von den eingegangenen Verdachtsmeldungen nur ca. 58 % bei der Staatsanwaltschaft und davon enden nur insgesamt 2 % in Anklagen, Urteilen oder Strafbefehlen (vgl. Lenk, M. in: Wertpapier-Mitteilungen (WM), 2020, S. 115 (115 f.) unter Bezugnahme auf den Jahresbericht von 2018 der FIU, S. 18; BeckOK DatenschutzR, Syst. J. Datenschutz im Finanzwesen Rn. 173).

Es stellt sich die Frage, ob dieser geringe Anteil noch im Verhältnis zu den Unmengen an personenbezogenen Datenverarbeitungen steht, in denen sich der Verdacht als nicht begründet erwiesen hat. Unter Berücksichtigung des Rechts auf Schutz bei der Verarbeitung von personenbezogenen Daten, scheinen vorschnell abgegebene Meldungen und somit auch die geringen Anforderungen an den pflichtauslösenden Verdacht als problematisch. Im Einklang mit dem in Art. 21 GRCh niedergelegten Diskriminierungsverbot müssen die Mitgliedstaaten sicherstellen, dass es bei der Umsetzung der durch das GwG geforderten Maßnahmen, insbesondere hinsichtlich der Risikobewertung im Rahmen der Sorgfaltspflichten gegenüber Kunden, nicht zur Diskriminierung kommt. Die Unbestimmtheit der Risikoorientierung kann unter Umständen dazu führen, dass mögliche Stereotype zu persönlichen Eigenschaftsmerkmalen werden, sodass hiervon Betroffenen die ökonomische Teilnahme an Finanzdienstleistungen nicht ermöglicht wird. Es hat sich gezeigt, dass diskriminierende Wirkungen – auch wenn sie unbeabsichtigt sind – unvermeidbar sind. Aufgrund der allgemeinen und unvermeidlichen Tendenz, das eigene Geschäftsrisiko zu minimieren, gehen die tatsächlichen Nachteilswirkungen mitunter weit über das hinaus, was gesetzlich erforderlich und gewollt ist. Eine derartige, auf Vorrat getätigte Sammlung personenbezogener Daten scheint aus datenschutzrechtlicher Sicht bedenklich. Auch der BVerfG hat solche Vorratsdatenspeicherungen wiederholt als nicht zulässig bewertet. Insbesondere, da diese den Zweckbindungsgrundsatz nach Art. 5 DSGVO unterlaufen. Unzulässig sind regelmäßig jene Datensammlungen, bei denen die Speicherung einem unbestimmten Zweck dient, da diese den Zweckbindungsgrundsatz unterlaufen. Ist der Zweck bestimmt und dient die Datensammlung etwa der Durchführung künftiger Strafverfahren, so ist die Sammlung und Verarbeitung der Daten nicht von vornherein unzulässig. Da jedoch ungewiss ist, ob die Daten jemals für ein Verfahren benötigt werden, ist die Einrichtung derartiger Datenvorräte, nicht nur bei den Verpflichteten, sondern auch bei den Behörden und bei der FIU rechtfertigungsbedürftig.

Ausschluss der Informations- und Auskunftsrechte

Auch in § 11 Abs. 2 GwG sowie in § 51a Abs. 2 GwG sind Zielrichtungen zu finden, die deutlich vom Datenschutzrecht abweichen. Denn hiernach werden die Informations- und Auskunftsrechte der betroffenen Person ausgeschlossen. Das liegt daran, dass die Erfüllung dieser Pflichten das Ziel, Geldwäsche und Terrorismusfinanzierung zu verhindern, gefährden könnte. Es scheint, dass sofern die Maßnahmen des GwG vollumfänglich umgesetzt werden, die durch die DSGVO definierten Grundsätze teilweise zurücktreten müssen.

Fazit

Die Europäische Union hat in der Vergangenheit vermehrt auf die Bedeutung staatlicher Bemühungen bei der Geldwäscheverfolgung hingewiesen und gleichzeitig auf das Spannungsverhältnis der effektiven Geldwäscheprävention zu den Datenschutzinteressen der direkt und indirekt Betroffenen aufmerksam gemacht. Es ist die Aufgabe des Gesetzgebers, durch das Ergreifen verhältnismäßiger Maßnahmen den widersprüchlichen Rechtspositionen der beteiligten Parteien Rechnung zu tragen.

Es bleibt abzuwarten, ob ein gänzliches Auflösen der Spannungen möglich ist.