Personalausweisen und Sanktionslisten
Anforderung von Personalausweisen zur Prüfung von Sanktionslisten
Kreditinstitute dürfen Personalausweiskopien von Zahlungsempfängern, die bei dem Kreditinstitut kein Konto unterhalten, auch zur Prüfung von Sanktionslisten nicht anfordern. Stattdessen können bei dem Kreditinstitut, welches das Konto des Zahlungsempfängers führt, Informationen zum Zahlungsempfänger angefordert werden.
Zur Bekämpfung des Terrorismus bestehen als unmittelbar geltendes Europäisches Recht die sogenannten „Antiterrorismusverordnungen“. Dabei handelt es sich um die EU-Verordnungen 881/2002 (ABl. EG Nr. L139, Seite 9), 2580/2001 (ABl. EG Nr. L344, Seite 70) und 753/2011 (ABl. EG Nr. L199, Seite 1). Durch diese drei Verordnungen soll verhindert werden, dass Terroristen oder Terrorverdächtigen Ressourcen zur Unterstützung des Terrorismus zur Verfügung gestellt werden. Aus den EU-Verordnungen gehen wiederum „Sanktionslisten“ hervor, die ständig aktualisiert werden. Den auf diesen Listen enthaltenen Personen, Gruppen und Organisationen dürfen weder direkt noch indirekt wirtschaftliche Ressourcen zur Verfügung gestellt werden.
Unter wirtschaftliche Ressourcen im Sinne der EU-Verordnungen fallen unter anderem auch Gehaltszahlungen oder Vergütungen für freie Mitarbeiter. Vor allem Kreditinstitute sind daher verpflichtet, vor der Durchführung von Zahlungen zu prüfen, ob Begünstigte auf einer Sanktionsliste enthalten sind.
Durch die Beschwerde eines Datenschutzbeauftragten wurde ich auf eine daraus resultierende Praxis eines Kreditinstitutes aufmerksam gemacht. In den der Beschwerde zugrunde liegenden Fällen sollten Gehaltszahlungen geleistet werden. Das Kreditinstitut des Arbeitgebers glich dabei die Namen der begünstigten Mitarbeiter mit den Sanktionslisten ab. Bei Namensgleichheiten wurden von den begünstigten Mitarbeitern sodann Kopien der Personalausweise angefordert, um eine Zahlung an auf den Sanktionslisten enthaltene Personen auszuschließen. Dies geschah, obwohl die betroffenen Mitarbeiter bei dem Kreditinstitut des Arbeitgebers keine Konten unterhielten.
Die Anforderung von Kopien von Personalausweisen beurteile ich datenschutzrechtlich generell als kritisch. Für die Anforderung von Personalausweisen muss es hinreichende Gründe und eine Rechtsgrundlage geben. Bei der Eröffnung von Konten stellt nach meiner Auffassung § 8 Abs. 1 Geldwäschegesetz (GwG) eine hinreichende Grundlage für die Anforderung oder Anfertigung von Personalausweiskopien dar, weil die Erstellung von Kopien zur Dokumentation der obligatorischen Identifizierung bei Kontoeröffnung erforderlich ist. Dies gilt jedoch nur für die Eröffnung von Konten bei der Bank, die zur Identifizierung verpflichtet ist.
§ 8 Abs. 1 GwG
Soweit nach diesem Gesetz Sorgfaltspflichten bestehen, sind die erhobenen Angaben und eingeholten Informationen über Vertragspartner, wirtschaftlich Berechtigte, Geschäftsbeziehungen und Transaktionen aufzuzeichnen. In den Fällen des § 4 Abs. 4 Satz 1 Nr. 1 sind auch die Art, die Nummer und die ausstellende Behörde des zur Überprüfung der Identität vorgelegten Dokuments aufzuzeichnen. Die Anfertigung einer Kopie des zur Überprüfung der Identität vorgelegten Dokuments nach § 4 Abs. 4 Satz 1 Nr. 1 und die Anfertigung einer Kopie der zur Überprüfung der Identität vorgelegten oder herangezogenen Unterlagen nach § 4 Abs. 4 Satz 1 Nr. 2 gelten als Aufzeichnung der darin enthaltenen Angaben; im Falle einer Einsichtnahme auf elektronisch geführte Register- oder Verzeichnisdaten gilt die Anfertigung eines Ausdrucks als Aufzeichnung der darin enthaltenen Angaben.
Für die Anforderung von Personalausweiskopien von Zahlungsempfängern (in diesem Falle der Arbeitnehmer) sehe ich jedoch keine Rechtsgrundlage. Das kontoführende Institut des Zahlungsempfängers ist verpflichtet, einen Abgleich mit den Sanktionslisten vorzunehmen. Hat dieses die geltenden EU-Verordnungen vorschriftsmäßig beachtet, befindet sich der Zahlungsempfänger daher auch bei vorliegenden Namensgleichheiten nicht auf einer Sanktionsliste.
Dies befreit das Kreditinstitut des Zahlungspflichtigen (in diesem Fall der Arbeitgeber) nicht von der eigenen Prüfung. Liegt eine Namensgleichheit vor und bestehen bei dem Kreditinstitut des Zahlungspflichtigen Unsicherheiten über die Person des Zahlungsempfängers, bietet aber § 25h Abs. 3 Kreditwesengesetz (KWG) ausreichende Möglichkeiten, um bei dem kontoführenden Kreditinstitut Angaben über den Zahlungsempfänger anzufordern. Alle benötigten Daten liegen dort bereits vor.
§ 25h Abs. 3 KWG
Jeder Sachverhalt, der nach Absatz 2 Satz 1 als zweifelhaft oder ungewöhnlich anzusehen ist, ist vom Institut zu untersuchen, um das Risiko der jeweiligen Geschäftsbeziehungen oder Transaktionen überwachen, einschätzen und gegebenenfalls das Vorliegen eines nach § 11 Absatz 1 des Geldwäschegesetzes meldepflichtigen Sachverhalts oder die Erstattung einer Strafanzeige gemäß § 158 der Strafprozessordnung prüfen zu können. Über diese Sachverhalte hat das Institut angemessene Informationen nach Maßgabe des § 8 des Geldwäschegesetzes aufzuzeichnen und aufzubewahren, die für die Darlegung gegenüber der Bundesanstalt erforderlich sind, dass diese Sachverhalte nicht darauf schließen lassen, dass eine Tat nach § 261 des Strafgesetzbuchs oder eine Terrorismusfinanzierung begangen oder versucht wurde oder wird. Absatz 2 Satz 2 gilt entsprechend. Institute dürfen im Einzelfall einander Informationen im Rahmen der Erfüllung ihrer Untersuchungspflicht nach Satz 1 übermitteln, wenn es sich um einen in Bezug auf Geldwäsche, Terrorismusfinanzierung oder einer sonstigen Straftat auffälligen oder ungewöhnlichen Sachverhalt handelt und tatsächliche Anhaltspunkte dafür vorliegen, dass der Empfänger der Informationen diese für die Beurteilung der Frage benötigt, ob der Sachverhalt gemäß § 11 des Geldwäschegesetzes anzuzeigen oder eine Strafanzeige gemäß § 158 der Strafprozessordnung zu erstatten ist. Der Empfänger darf die Informationen ausschließlich zum Zweck der Verhinderung der Geldwäsche, der Terrorismusfinanzierung oder sonstiger strafbarer Handlungen und nur unter den durch das übermittelnde Institut vorgegebenen Bedingungen verwenden.
Ich konnte das Kreditinstitut davon überzeugen, dass die Anforderung von Personalausweiskopien weder erforderlich noch zulässig ist. Das Kreditinstitut hat seine Praxis geändert und mir dies schriftlich bestätigt.
Quelle: https://www.datenschutz.hessen.de/
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks