Ihre Fragen aus dem Webinar:

1. Muss bei Erhebung und Speicherung von Ausweiskopien und Videos eine Datenschutzfolgeabschätzung durchgeführt werden?

Christian Klos: Ob eine Datenschutzfolgenabschätzung („DSFA“) durchgeführt werden muss, beurteilt sich nach Art. 35 DSGVO. Zudem haben die deutschen Aufsichtsbehörden für den Datenschutz eine sogenannte „Blacklist“ veröffentlicht, welche Verarbeitungtätigkeiten aufführt, für die in jedem Fall eine DSFA durchzuführen ist. Eindeutig geregelt ist der Fall dort nicht. Weil bei dieser Art der Verarbeitung aber möglicherweise besondere Arten personenbezogener Daten verarbeitet werden, könnte dies je nach Umfang erforderlich sein. Werden hier also große Mengen dieser Daten verarbeitet, sollte eine DSFA durchgeführt werden. Wir raten allerdings dazu auch sonst, den jeweiligen Prozess einer zumindest summarischen Risikobetrachtung zu unterziehen und gegebenenfalls eine freiwillige DSFA durchzuführen. Dies gibt am Ende allen Beteiligten mehr Sicherheit.

2. Gewährleistet LexisNexis den Datenschutz in der Dokumentation von Geschäftspartnerprüfungen?

Thomas Becker: LexisNexis macht keine Datenverarbeitung oder speichert Daten. Die Einhaltung der Datenschutzrichtline obliegt hier dem Kunden.

3. Wie lange beträgt denn die Aufbewahrungsfrist für Verträge, wie Kreditverträge?

Christian Klos: Die Frage nach der Dauer der Aufbewahrung von Unterlagen beantwortet das Datenschutzecht nicht. Hierfür gelten bereichsspezifische Gesetze, z. B. aus dem Steuer- oder Handelsrecht. Die Aufbewahrungsfrist für Kreditunterlagen unterscheidet sich hierbei allerdings nicht von denen „normaler“ Geschäftsunterlagen. So sind diese Verträge in der Regel zehn Jahre lang aufzubewahren, § 257 HGB. Siehe hierzu auch die entsprechende Stellungnahme der BaFin.

4. Wie stark sehen Sie das Risiko von Geldwäscheverdachtsfällen bei abweichendem Kundenland und Geldsenderland bei Zahlungseingängen? Beispiel: Kunde hat seinen Sitz in Griechenland und das Geld kommt aus einem Nicht-EU-Land oder Kunde hat Sitz in VAR und Geld kommt aus Ägypten oder einem ähnlichen Land.

Christian Klos: Wenn wir es richtig verstehen, hat diese Frage keinen Datenschutzaspekt. Grundsätzlich kommt es bei der geldwäscherechtlichen Risikobewertung auf die Gesamtschau der Risikoindikatoren an. Je mehr Risikoindikatoren bei dem betreffenden Kunden außerdem vorhanden sind (z. B. komplexe Eigentümer- und Kontrollstruktur, kritische Branche, Negativpresse), desto eher könnte das abweichende Banksitzland eine kritische Konstellation indizieren. Allerdings sollte dies plausibilisiert werden, da es legitime Gründe für die Abweichungen geben kann. Sofern ein Hochrisikoland beteiligt ist (hier: VAR), sind ohnehin Verstärkte Sorgfaltspflichten durchzuführen.

5. Was ist schlimmer: Ein Verstoß gegen GWG oder die DSGVO?

Christian Klos: Verstöße gegen beide Gesetze können mit empfindlichen Bußgeldern belegt werden. Außerdem sind weitere Maßnahmen wie z. B. die Untersagung bestimmter Verarbeitungstätigkeiten durch die Aufsichtsbehörden denkbar und betroffene Personen können gegebenenfalls Schadensersatzansprüche geltend machen. Unternehmen sollten daher größtmögliche Anstrengungen machen, den Anforderungen beider Gesetze gerecht zu werden.

6. Daten des fiktiven Wirtschaftlich Berechtigen: Muss hier auch, sofern der § 154 AO Anwendung findet, die Steuernummer erhoben werden?

Ina Rothe: Die Daten, die zur Identifikation des wirtschaftlich Berechtigten erhoben werden müssen und dürfen, gehen aus § 11 Abs. 5 GwG sowie – für Transparenzregistermeldezwecke – aus den FAQ des Bundesverwaltungsamtes hervor. Risikoorientiert kann auch die Steuernummer erhoben werden; in den geschäftlichen Kontexten des Finanzsektors ist dies ohnehin oft für andere Zwecke erforderlich. Für derartige zusätzlich erforderliche banken- und steuergesetzliche Datenerhebungen wären die entsprechenden Gesetze zu konsultieren, aus denen sich Rechtsgrundlagen für die DSGVO-konforme Erhebung ableiten können.

7. Woher kommen die Firmendaten und wie stellen Sie sicher, dass diese Daten korrekt und aktuell sind?

Thomas Becker: Die Firmendaten erhalten wir von verschiedenen Lizenzpartnern, wie zum Beispiel Creditreform, Bisnode oder Dun & Bradstreet. Diese stellen wir 1:1 zur Verfügung. Die Anbieter haben unterschiedliche Wege Ihre Daten zu aktualisieren, zum Beispiel durch Informationen aus dem Handelsregister oder aber auch Eigenauskünfte der jeweiligen Unternehmen.

8. Müssen niederländische Handelsregisterauszüge im Original verlangt werden?

Ina Rothe: Aus der Frage geht leider nicht hervor, was mit „Original“ gemeint ist. § 12 Abs. 2 GwG normiert die zur Verifizierung einzuholenden Unterlagen, konkret für Deutschland mit „Auszuges aus dem Handels- oder Genossenschaftsregister“ und mit „vergleichbares amtliches Register“ für das Ausland. Das niederländische Handelsregister wird bekanntlich elektronisch geführt. Die Speicherung des digitalen Auszuges sollte somit den Ansprüchen des GwG genügen. Sofern Verstärkte Sorgfaltspflichten zur Anwendung kommen, sollte dieser Auszug gegebenenfalls eigenständig oder beglaubigt eingeholt werden.

9. Sind die Informationen ausreichend, die man im Rahmen eines AML-Letters von einem Emittenten erhält, bei denen man selbst gar keine Daten erhebt?

Christian Klos: Der Sachverhalt ist leider nicht ganz eindeutig. Insofern kann das pauschal nicht beantwortet werden. Es kommt hier darauf an, wer mit wem vertraglich verbunden ist oder sein wird, wer bei wem Daten erhebt, ob alle Beteiligten GwG-Verpflichtete sind, das Reliance Modell überhaupt Anwendung finden kann, und welche Daten im AML-Letter enthalten sind. Die Vorgaben des GwG oder diesbezügliche Hinweise aus den Auslegungs- und Anwendungshinweise der BaFin i. V. m. den EBA Risk Guidelines müssen aber eingehalten werden. Gerade AML-Letter und Kontexte, in denen diese verwendet werden, müssen im Einzelfall geprüft werden, da – mangels konkreter Vorgaben - die Praxis stark voneinander abweicht.

10. Wo werden denn die Daten verarbeitet? Und muss ich z. B. Kreditoren (PEP-Verdachts-)Daten an Sie übermitteln und Sie melden zurück?

Thomas Becker: Dies ist abhängig von der jeweiligen Lösung. Wir stellen unsere Lösungen für Überprüfungen zur Verfügung, um eigene Recherchen durchzuführen oder automatisiert prüfen zu lassen (Massenprüfungen).

 

Für mehr Informationen zur Geschäftspartnerprüfung mit Nexis Diligence™, zur Massenlistenüberprüfung mit BatchNameCheck sowie zur Risikoüberwachung von Geschäftspartnern und Lieferketten mit Nexis® Entity Insight, besuchen Sie unsere Lösungsseiten. Bei weiteren Anfragen, können Sie gerne mit uns Kontakt aufnehmen

 

Wir freuen uns auf das Gespräch mit Ihnen.

Über die Referenten

 

Ina Rothe & Christian Klos

Two Towers Consulting GmbH & Co. KG

Ina Rothe & Christian Klos sind die Geschäftsführer von Two Towers Consulting GmbH & Co. KG. Two Towers Consulting ist eine Kölner Boutiqueberatung für Datenschutz- und Compliance-Themen mit angeschlossener Kanzlei und Beteiligung an dem auf Geldwäscheprävention spezialisierten Berliner Beratungshaus ALL AML GmbH. Mit den Schwerpunkten Datenschutz und Compliance, hilft Two Towers seinen Kunden, solche Risiken zu minimieren, die von deren Geschäftsprozessen oder Geschäftspartnern ausgehen könnten. So sind die Unternehmen vor rechtlichen und wirtschaftlichen Unwägbarkeiten gefeit und können sich mit Vertrauen in den Unternehmensschutz auf das Kerngeschäft konzentrieren.

 

Thomas Becker

LexisNexis GmbH

Thomas Becker ist Business Development Manager Risk & Compliance bei der LexisNexis GmbH. Seit über neun Jahren verantwortet er den Auf- & Ausbau für Süddeutschland & Österreich und betreut branchenübergreifend Compliance-Projekte. Außerdem ist er Mitglied im Deutschen Institut für Compliance (DICO).