Suche
Blog Compliance

DSGVO trifft auf Geldwäschebekämpfung: Unternehmen riskieren hohe Geldstrafen, egal was sie tun 

| März 24, 2020

Unternehmen sind gezwungen, sich zwischen dem Risiko hoher Geldstrafen wegen Verstoßes gegen Sanktionsgesetze oder dem Risiko gleich hoher Geldstrafen für Verstöße gegen die DSGVO zu entscheiden. Die Lösung wäre einfach: eine rechtliche Ausnahme von Sanktionslisten! 
 
Sowohl in den USA als auch in der EU werden jene Unternehmen, gegen welche wirtschaftliche und/oder rechtliche Einschränkungen ausgesprochen wurden, auf Sanktionslisten gesetzt. Diese Listen und die Gesetze, welche mit diesen Verzeichnissen einhergehen, sind wichtige Instrumente im Kampf gegen Geldwäsche, Terrorismus und andere internationale Kriminalität. 
 
Wer nun gegen das internationale Sanktionsgesetz verstößt, riskiert auf der einen Seite hohe Geldstrafen. Wer sicherstellen will, dass er das Richtige tut und Daten über Personen auf den Sanktionslisten speichert und verarbeitet, riskiert dabei einen Verstoß gegen die DSGVO – und damit wieder hohe Geldstrafen. Es entsteht ein Spannungsfeld: Unternehmen sind gezwungen, das Risiko eines Verstoßes gegen Sanktionslisten gegen das Risiko eines Verstoßes gegen die DSGVO abzuwägen. 

Ausnahme von der DSGVO 

Das oben aufgezeigte Phänomen ist kein theoretisches – auch in der Praxis kam es hierbei schon zu Diskussionen: Im vergangenen Jahr bat die GE Health Care Group die schwedische Datenschutzbehörde um eine Ausnahme von der DSGVO, um Sanktionslisten bearbeiten zu können. Da Sanktionslisten jedoch personenbezogene Daten aus Strafregistern enthalten können, lautete die Antwort „Nein“. Grundlage dieser Entscheidung: Die Verarbeitung eben dieser personenbezogenen Daten ist laut DSGVO verboten. Auch bei nochmaliger Vorlage der Angelegenheit vor dem Verwaltungsgericht in Stockholm wurde das Ansuchen der GE Health Care Group abgelehnt.  
 
Die Entscheidung des Verwaltungsgerichts stößt Unternehmen, die es gewohnt sind, mit Sanktionslisten zu arbeiten, vor den Kopf: Schließlich ist es nicht so, dass personenbezogene Daten in Sanktionslisten geheim bleiben oder etwa schwer zugänglich sind, nur weil Unternehmen die Verarbeitung verboten wird. Die Listen werden online veröffentlicht und sind für die Öffentlichkeit einsehbar. Aus Sicht des Gesetzgebers aber bestand das Problem darin, dass die personenbezogenen Daten in den Listen ohne die Zustimmung derjenigen verarbeitet wurden, auf die sie sich beziehen. 

Die Unmöglichkeit, das Richtige zu tun 

Unternehmen stehen vor einer unzumutbaren Wahl zwischen automatisierten Entscheidungen und händischer Verarbeitung: Ohne manuelle Abstimmung ist es unmöglich, das Richtige zu tun. Aus reiner DSGVO-Sicht wären Unternehmen gezwungen, Ihre Geschäftskontakte nacheinander gegen eine Liste abzugleichen, die länger ist als ein herkömmliches Telefonbuch. Inwiefern dies der Privatsphäre der Personen auf der Liste zugutekommt, ist unklar. 
 
Dies hat zur Folge, dass Unternehmen davon abgehalten werden, Geschäfte außerhalb der EU oderder USA zu tätigen. Dies gilt insbesondere für kleine und mittlere Unternehmen, die Produkte undDienstleistungen anbieten, die in Entwicklungsländern gefragt sind. 

Was bedarf mehr Schutz? 

Die DSGVO hält eindeutig fest, dass das Recht auf Privatsphäre kein „absolutes Recht“ ist: Es muss gegen andere Grundrechte und -pflichten sowie gegen die zentralen Funktionen eines funktionierenden Verfassungsstaates abgewogen werden. Letztendlich erreichen Unternehmen den Punkt, an dem sie auf der Grundlage des Risikos entscheiden müssen, was am meisten geschützt werden sollte - die Privatsphäre eines Einzelnen in Bezug auf Daten über Kriminalität oder dieInteressen des Unternehmens an seinen Verpflichtungen zur Unterstützung bei der Bekämpfung von Terrorismus und Geld Waschen. 
 
Magnus Silfverberg, CEO der Bisnode Group, bezieht zu der Diskussion Stellung: „Es muss etwas getan werden. Obwohl es keinen Zweifel gibt, dass die Privatsphäre bei der Bekämpfung der Geldwäsche berücksichtigt werden muss, ist meine Ansicht, dass der Kampf gegen Terrorismus und schwere Kriminalität das Bedürfnis der Terroristen nach Privatsphäre überwiegt.“ 
 
Eine mögliche Klärung des Spannungsfelds wäre, dass der Gesetzgeber eine klarere Ausnahme in der DSGVO erlässt, damit Unternehmen den Inhalt von Sanktionslisten legal speichern und verarbeiten können, ohne das Risiko eines Verstoßes gegen die DSGVO einzugehen. Sie können sich auf Daten- und Analyseunternehmen wie Bisnode verlassen, um sicherzustellen, dass eine solche Verarbeitung sicher erfolgt. 
 

Abonnieren Sie unsere Newsletter-Updates!

Erfahren Sie regelmäßig Neues zu den Themen Credit Management, Master Data, Marketing und Compliance.