Kurzgutachten zur überarbeiteten EU-Geldwäscherichtlinie

Bild: Wikipedia / Tobias Klenze / CC-BY-SA 4.0

Peter Schaar Blog

von Peter Schaar
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D. Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID), Berlin 5. September 2016

Der von der Europäischen Kommission am 5. Juli 2016 vorgelegte Vorschlag zur Überarbeitung der Vierten EU-Geldwäscherichtlinie (2015/849 v. 20.5.2015 – GW-RL) begegnet erheblichen datenschutzrechtlichen Bedenken. Die im Entwurf vorgesehene ausnahmslose Identifikationspflicht der Nutzer von Online-Bezahlverfahren widerspricht dem in Art. 8 EU-Grundrechtecharta verbürgten Grundrecht auf Datenschutz. Sie verfehlt insbesondere die Vorgaben des Europäischen Gerichtshofs zur Vorratsdatenspeicherung (EuGH, 08.04.2014 – C-293/12 und C-594/12).

Zudem bestehen erhebliche Zweifel, inwieweit der vorgeschlagene Wegfall anonymer Bezahlmöglichkeiten im Internet kompatibel ist mit dem durch die Datenschutzgrundverordnung (2016/697 – DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz (RL 2016/680 – DS-JI-RL) vorgegebenen Rahmen.

Schließlich widerspricht die Änderung den Vorgaben des Bundesverfassungsgerichts zum Grundrecht auf informationelle Selbstbestimmung, indem sie den deutschen Gesetzgeber daran hindern würde, die europarechtlichen Vorgaben verfassungskonform umzusetzen.

Bemerkenswert ist auch, dass die vorgesehene Verschärfung des EU-Rechtsrahmens erfolgen soll, ehe die einschlägigen Regelungen der erst im vergangenen Jahr novellierten Geldwäscherichtlinie in nationales Recht umgesetzt worden sind – deren Umsetzungsfrist endet am 26. Juni 2017. Angesichts fehlender Erfahrungen mit deren Vorgaben sind Aussagen darüber nicht möglich, wie sich die verschärften Identifikationspflichten und die mitgliedsstaatlichen Gestaltungsmöglichkeiten bei deren Umsetzung auswirken. Dies gilt insbesondere für den sogenannten „risikobasierten Ansatz“, wonach die Verpflichteten bestimmte Vorgaben unter in §12 Abs. 1 der GW-RL spezifizierten Voraussetzungen nicht anzuwenden haben.

Vorgaben aus der Vierten Geldwäscherichtlinie (RL 2015/849)

Die Verhinderung der Geldwäsche und die Bekämpfung der Terrorismusfinanzierung sind zweifellos legitime Ziele. Dementsprechend betrachtet der Europäische Gesetzgeber E-Geld-Produkte „als Ersatz für Bankkonten“ und unterwirft sie den Verpflichtungen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung, insbesondere durch Transparenzvorgaben und Identifikationspflichten bezüglich deren Nutzern. Allerdings können die Mitgliedstaaten in Fällen, in denen erwiesenermaßen ein geringes Risiko besteht, und sofern strikte risikomindernde Maßnahmen ergriffen werden, E-Geld von der Pflicht zur Feststellung und Überprüfung der Identität des Kunden und des wirtschaftlichen Eigentümers freistellen (Art. 12 Abs. 1 GW-RL).

Zu den risikomindernden Voraussetzungen zählt, dass die ausgenommenen E-Geld-Produkte ausschließlich für den Erwerb von Waren oder Dienstleistungen genutzt werden und dass der elektronisch gespeicherte Betrag so gering sein muss, dass eine Umgehung der Vorschriften über die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung ausgeschlossen werden kann. Die Kommission will die ohnehin niedrig bemessene Höchstgrenze des in anonymen Prepaid-Produkten zu speichernden Betrags weiter begrenzen, was den Einsatzbereich von anonymen Zahlungsmitteln auch außerhalb des Online-Bereichs weiter einschränken würde.

Generelle Identifikationspflichten

Nach dem Kommissionsvorschlag zur Änderung von Art. 12 Abs. 2 GW-RL („ … either of online payment …“) sollen E-Geld-Produkte, die für Online-Zahlungen verwendet werden, ausnahmslos von diesem risikobasierten Ansatz ausgenommen werden. Damit könnten die Mitgliedstaaten – anders als bisher – bei derartigen E-Geld-Produkten generell keine Ausnahmen von der Identifizierungspflicht mehr vorsehen.

Nach Art. 12 (neu) müsste sich jede Person, die ein entsprechendes E-Geld-Produkt erwirbt, identifizieren, z.B. mit ihren Ausweisdokumenten. Unklar ist in diesem Zusammenhang, inwieweit die nach Art. 15 GW-RL weiterhin möglichen „vereinfachten Sorgfaltspflichten“ auch die Kundenidentifizierung umfassen können, etwa im Hinblick auf die zum Nachweis der Identität erforderlichen Unterlagen bzw. die zur Identifikation eingesetzten Verfahren und die Dokumentations- und Aufbewahrungspflichten. Sofern hier eine Minderung der Sorgfaltspflichten nicht greifen sollte, wären etwa die Emittenten eines Prepaid-Zahlungsmittels zukünftig verpflichtet, eine Kopie der erhaltenen Dokumente und Informationen mindestens für die Dauer von fünf Jahren aufzubewahren (Art. 40 Abs.1 GW-RL). Sämtliche Online-Transaktionen – auch die Zahlung von kleinsten Beträgen – könnten über viele Jahre namentlich nachvollzogen werden.

Eine generelle Identifizierungspflicht würde dazu führen, dass anonymes Einkaufen und Bezahlen im Internet selbst bei Bagatellbeträgen praktisch ausgeschlossen werden. Anonyme Bezahlsysteme im Internet bieten ihren Nutzern jedoch Möglichkeiten, die Risiken eines Missbrauchs ihrer Finanzdaten beispielsweise durch IT-Spionage unter Ausnutzung unzureichend gesicherter IT-Systeme zu minimieren. Zahlreiche Fälle belegen, dass Systeme, in denen zahlungsrelevante personenbezogene Daten gespeichert werden, entsprechenden Angriffen in besonderem Maße ausgesetzt sind. Durch die Verpflichtung zur namentlichen Nutzer-Identifikation und die damit verbundenen Speicherungspflichten würden diesen Angriffen neue Ziele geboten.

Anonyme Bezahlmöglichkeiten im Internet sind zugleich ein wichtiger Baustein, um die Möglichkeit zum anonymen Medienkonsum zu erhalten, da Online-Medien, Apps und Spiele zunehmend gegen Bezahlung angeboten werden. Auf jeden Fall muss verhindert werden, dass detaillierte personenbeziehbare Nutzungsdaten – etwa bei Streaming-Diensten – immer dann entstehen, wenn eine Nutzung entgeltpflichtig ist. Die datenschutzfreundliche, dem Grundsatz der Minimierung entsprechende, Gestaltung interaktiver Dienste setzt insofern voraus, dass anonyme Bezahlmöglichkeiten bei Klein- und Kleinstbeträgen möglich bleiben.

Schließlich wäre bei der vorgeschlagenen Neuregelung zu befürchten, dass Nutzer, die weiterhin einer lückenlosen Registrierung entgehen wollen, auf Online-Bezahlverfahren ausweichen, die keinerlei wirksamen Regulierung unterliegen. Ein solches Förderprogramm international verfügbarer unkontrollierbarer Transaktionsplattformen würde letztlich die Geldwäsche und die Terrorismusfinanzierung erleichtern und nicht unterbinden. Die gegen die Umgehung des EU-Rechts gerichtete Regelung im Kommissionsvorschlag (neuer Art. 12 Abs. 3) dürften schon deshalb weitgehend leer laufen, weil sie die Geldinstitute zur lückenlosen und detaillierten Prüfung der Zulassungsvoraussetzungen für Drittstaats-Dienste verpflichten würde, was aus hiesiger Sicht unrealistisch erscheint. Der Ausschluss einzelner aus Drittstaaten angebotener Dienste (Blacklisting) würde diese Anforderung nur unzureichend erfüllen.

Unzulässige Vorratsdatenspeicherung

Unter Berufung auf den legitimen Zweck der Geldwäsche-Richtlinie, nämlich der Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, würden durch den vorgesehenen Wegfall anonymer Online-Bezahlmöglichkeiten anlasslos massenhaft personenbezogene Daten erfasst, die mit derartigen Praktiken in keinerlei Zusammenhang stehen.

Eine derartige anlass- und schwellenlose Identifikations- und Speicherungsverpflichtung widerspricht den Vorgaben der Europäischen Grundrechtecharta. Dies ergibt sich aus dem Urteil des Europäischen Gerichtshofs, mit dem er die Richtlinie 2006/24/EG zur Vorratsspeicherung von Telekommunikationsdaten annullierte (Urteil v. 8. April 2014, C 293/12 u. C 594/12).

Der EuGH stellte fest, dass eine solche Verpflichtung zur Datenspeicherung in Art. 8 der Charta eingreift, der das Grundrecht auf Datenschutz garantiert. Eine solche Einschränkung von Grundrechten dürfe nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen werden. Gesetzliche Vorgaben zur Datenspeicherung sind nur zulässig, soweit sie den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen tatsächlich entsprechen, erforderlich und verhältnismäßig sind. Die obligatorische Datenspeicherung darf nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist und muss sich auf das absolut Notwendige beschränken.

Der EuGH bemängelte, dass sich die Richtlinie 2006/24 generell auf alle Personen und alle elektronischen Kommunikationsmittel erstreckte, „ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.“ Sie betreffe „zum einen in umfassender Weise alle Personen, …, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. Sie gilt also auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.“ Die annullierte Richtlinie verlangte „keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen war, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten … eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.“ Das Gericht stellte deswegen fest, dass die angegriffene RL zur Vorratsdatenspeicherung unverhältnismäßig in das durch Art. 8 EuGrCh garantierte Grundrecht auf Datenschutz eingriff und deshalb ungültig war.

Diese Kritik lässt sich auf die von der Kommission mit der Änderung der GW-RL verfolgte generelle Identifikationspflicht bei Online-Transaktionen übertragen. Auch die Neuregelung betrifft sämtliche Fälle, völlig unabhängig von einem damit verbundenen Risiko. Die dabei erfassten Daten beschränken sich nicht auf Personen, „die auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte,“ wie der EuGH in seinem Vorratsdaten-Urteil ausführt. Zudem sind – wie bei der Vorratsspeicherung von Telekommunikationsdaten – die Zwecke, zu denen die Daten verwendet werden dürfen, nicht hinreichend präzise gefasst und die Stellen, die auf die Daten zugreifen können, nicht hinreichend genau bestimmt. Im Ergebnis ist deshalb festzustellen, dass die vorgesehenen Änderungen zur Europarechtswidigkeit der GW-RL führen würden.

Eine durch EU-Recht festgelegte generelle Identifikationspflicht wäre auch nicht vereinbar mit dem durch das Grundgesetz garantierte Recht auf informationelle Selbstbestimmung. In seinem Urteil
zur Vorratsdatenspeicherung von Telekommunikationsdaten v. 2. März 2010 (1 BvR 256/08) hat das Bundesverfassungsgericht gemahnt, dass Gesetze, die auf eine möglichst flächendeckende
vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten zielen, mit der Verfassung unvereinbar sind.

Fehlende Kompatibilität mit dem neuen EU-Datenschutzrecht

Die Europäische Kommission ist der Auffassung, dass ihre Vorschläge konsistent mit dem neuen EU-Rechtsrahmen für den Datenschutz seien, namentlich mit der Datenschutzgrundverordnung 2016/679 (DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz 2016/680 (DS-JI-RL). An dieser Aussage sind erhebliche Zweifel angebracht.

Entsprechend der Vorgaben in Art. 8 EUGrCh folgt die Datenschutzgrundverordnung dem Grundsatz der Datenminimierung. Die personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Zudem müssen die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 DS-GVO). Zwar ist die Verarbeitung personenbezogener Daten für die Erfüllung rechtlicher Verpflichtungen zulässig, denen der Verantwortliche unterliegt, namentlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs.1 c, e DS-GVO). Die entsprechenden Rechtsvorschriften müssen jedoch ebenfalls den Vorgaben der Grundrechtecharta genügen und insbesondere in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Der Vorschlag, die Emittenten von für Online-Transaktionen geeignetem E-Geld zur namentlichen Identifikation der Nutzer zu verpflichten, unabhängig von irgendwelchen Risiken oder Schwellenwerten, und die Identifikationsdaten und die getätigten Transaktionen für mindestens 5 Jahre aufzubewahren, widerspricht den im neuen EU-Datenschutzrecht festgelegten Geboten der Verhältnismäßigkeit und der Datenminimierung.

Der Vorschlag ist auch im Hinblick auf die Datenschutz-Richtlinie für Polizei und Justiz problematisch. Die DS-JI-RL verpflichtet die Mitgliedstaaten zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 a DS-JI-RL). Hierfür legt sie Mindestanforderungen fest. Jedoch hindert sie die Mitgliedstaaten nicht daran, bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien der DS-JI-RL. Insbesondere dürfe die Angleichung der Rechtsvorschriften der Mitgliedstaaten nicht zu einer Lockerung des Schutzes personenbezogener Daten in diesen Ländern führen (EG 15 DS-JI-RL).

Möglichkeiten, über die datenschutzrechtlichen Vorgaben der DS-JI-RL im Sinne eines effektiven Grundrechtsschutzes hinauszugehen, sind in Deutschland geboten, weil der deutsche Gesetzgeber an die strikten Vorgaben des Bundesverfassungsgerichts zum informationellen Selbstbestimmungsrecht gebunden ist, die dieses im Volkszählungsurteil von 1983 entwickelt und seither in einer Vielzahl von Entscheidungen fortgeschrieben hat. Von daher ist es zwingend, dass der deutsche Gesetzgeber von den in § 12 GW-RL vorgesehenen Möglichkeiten Gebrauch macht, entsprechend des dort vorgesehenen risikobezogenen Ansatzes von einer generellen Identifikationspflicht der Nutzer von Online-Payments abzusehen, indem er insbesondere Schwellenwerte festlegt, unterhalb derer keine Verpflichtung zur namentlichen Registrierung besteht.

Wenn den Mitgliedstaaten die Möglichkeit genommen würde, bestimmte für Online-Transaktionen geeignete E-Geld-Produkte mit niedrigem Risikopotential von der Identifikationspflicht auszunehmen, wäre dem deutschen Gesetzgeber eine verfassungskonforme Umsetzung der GW-Richtlinie nicht mehr möglich.