Aufbewahrungs- und Löschungsverpflichtung nach § 21 FM-GwG

Grundsätzliches zur Aufbewahrungs- und Löschungspflicht

§ 21 FM-GwG (Aufbewahrungspflichten und Datenschutz) umfasst in sechs Absätzen Ausführungen zu verschiedenen Themenbereichen.

Die Erläuternden Bemerkungen zum FM-GwG halten zu den Aufbewahrungs- und Löschungspflichten fest, dass diese einerseits für die Zwecke der Verhinderung, der Aufdeckung und der Ermittlung möglicher Fälle der Geldwäscherei oder Terrorismusfinanzierung durch die Geldwäschemeldestelle und durch die Strafverfolgungsbehörden sowie für die Aufsichtstätigkeit der FMA dienen. Andererseits sollen mit diesen Bestimmungen Normenkonflikte vermieden und die Konformität mit dem Datenschutzgesetz (DSG 2000) sichergestellt werden.

Kopien der erhaltenen Dokumente und Informationen, die für die Erfüllung der Sorgfaltspflichten gegenüber Kunden erforderlich sind, müssen demnach für die Dauer von fünf Jahren nach Beendigung der Geschäftsbeziehung mit dem Kunden aufbewahrt werden.

Meines Erachtens sind darunter nur diejenigen Dokumente und Informationen zu verstehen, die der Kunde dem Finanzinstitut übermittelt. Beispielsweise fallen darunter Ausweiskopien und Kopien von Firmenbuchauszügen. Davon nicht umfasst sind der E-Mail-Verkehr zwischen Finanzinstitut und Kunden (der E-Mail-Verkehr ist Bestandteil jeder Geschäftsbeziehung und keine Besonderheit im Rahmen der Geldwäscheprävention, die vom Kunden an das Finanzinstitut übermittelt wird) oder öffentlich bzw allgemein bekannte Tatsachen (zB Firmenpräsentation im Internet, Informationen der Wiener Börse).

Daten zum Zwecke des FM-GwG

§ 21 Abs 2 FM-GwG hält fest, dass die Verpflichteten alle personenbezogenen Daten, die sie ausschließlich für Zwecke des FM-GwG verarbeitet haben, nach Ablauf der Aufbewahrungsfristen nach Abs 1 zu löschen haben, es sei denn, Vorschriften anderer Bundesgesetze erfordern oder berechtigen zu einer längeren Aufbewahrungsfrist.

In Ermangelung einer Legaldefinition, was personenbezogene Daten, die ausschließlich für Zwecke des FM-GwG verarbeitet werden, sind, ist wiederum auf die Erläuternden Bemerkungen zum FM-GwG zurückzugreifen: demnach sind dies Daten, die typischerweise ausschließlich für die Zwecke des FM-GwG verarbeitet werden, wie beispielsweise Verdachtsmeldungen, die Dokumentation der Durchführung der Sorgfaltspflichten gegenüber Kunden, die Eigenschaft eines Kunden als politisch exponierte Person und die Daten über den wirtschaftlichen Eigentümer des Kunden.

Demgegenüber sind dies meiner Meinung nach nicht die folgenden personenbezogenen Daten: Geburtsdatum, Anschrift, Bankverbindung, Familienstand, Gesundheitszustand etc. Denn diese werden unabhängig vom Zweck der Verhinderung der Geldwäscherei und Terrorismusfinanzierung verarbeitet.

Datenlöschung im Sinne des FM-GwG

Auch zur Frage des Löschens findet sich im FM-GwG unmittelbar keine Antwort. Bedauerlicherweise gehen auch die Erläuternden Bemerkungen zum Gesetz nicht auf diese Problematik ein. Deshalb sollen die verschiedenen Arten des „Löschens“ anhand der nachfolgenden Grafik in einer simplen Weise veranschaulicht werden (die Vorgänge sind nach der Eingriffsintensität von links nach rechts angeordnet):

Im Detail bedeuten diese Vorgänge Folgendes:

• Sperren: Darunter werden technische oder organisatorische Maßnahmen verstanden, mit denen man verhindert, dass die gesperrten Daten weiterhin in einer Datenanwendung verwendet werden können. Demnach handelt es sich hierbei um das Kennzeichnen gespeicherter personenbezogener Daten, damit die weitere Verarbeitung bzw Nutzung eingeschränkt wird.

• Pseudonymisieren (bzw indirekt personenbezogene Daten): Gemäß Art 4 Z 5 der EU-Datenschutzgrundverordnung (EU-DSGVO) bedeutet dies die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können.

• Anonymisieren: Dieser Vorgang führt dazu, dass überhaupt kein Personenbezug (mehr) vorhanden ist. Dementsprechend sind anonymisierte Daten nicht datenschutzrelevant.

• Löschen: Dadurch werden gespeicherte personenbezogene Daten (unwiderruflich) unkenntlich gemacht. Der datenschutzrechtliche Auftraggeber ist dann nicht mehr in der Lage über die Daten zu verfügen. Unterschieden wird zwischen logischem und physischem Löschen: Beim logischen Löschen stehen die Daten aufgrund eines Eingriffs innerhalb der EDV-Anlage nicht mehr zur Verfügung, das Betriebssystem interpretiert diese Daten als nicht vorhanden (obwohl die Daten tatsächlich noch beim datenschutzrechtlichen Auftraggeber vorhanden sind). Das physische Löschen hingegen erfordert das Unkenntlichmachen von Daten in einer Weise, dass eine Rekonstruktion (auch durch das Betriebssystem) nicht mehr möglich ist.

• Vernichten: Darunter ist die Zerstörung eines Datenträgers (zB CD-ROM, DVD, Festplatte, USB-Stick) zu verstehen. Dieser Vorgang stellt daher den sichersten „Löschvorgang“ dar, eine Wiederherstellung vernichteter Daten ist ausgeschlossen.

Kastelitz/Leiter (jusIT 4/2010, 69) interpretieren Löschen als ein tatsächliches Unkenntlichmachen. Im Gegensatz dazu bedeutet Sperren, dass ein Datenzugriff samt Datenverwendung bis auf weiteres unterbleibt. Daher ist es meines Erachtens nicht ausgeschlossen, dass auch bloß logisches Löschen ausreichend ist, um eine dem FM-GwG entsprechende Konformität herzustellen. Die Anonymisierung ist aufgrund der mangelnden Datenschutzrelevanz jedenfalls immer ausreichend.

Zeitversetzte Löschung aufgrund von Vorschriften anderer Bundesgesetze

Eine Verpflichtung zur Löschung soll nur dann gegeben sein, wenn nicht Vorschriften anderer Bundesgesetzes eine längere Aufbewahrungsfrist erfordern oder zu einer solchen berechtigen.

Welche Bundesgesetze hier in Frage kommen, illustriert die folgende Grafik:

Im Rahmen der Vorgaben des FM-GwG führen diese Bundesbestimmungen nach meinem Dafürhalten zu den nachstehenden Auswirkungen:

• Die besondere Verjährungsfrist des § 1486 ABGB von 3 Jahren ist nicht hilfreich, weil sie kürzer als die im FM-GwG vorgegebene Frist von 5 Jahren ist.

• Die in § 132 BAO und in § 212 UGB vorgesehenen Aufbewahrungsfristen gehen zwar über die Frist des FM-GwG hinaus: Sie sind aber nur unwesentlich länger (7 Jahre) und werden in der Praxis kaum hilfreich sein (für den Anwender macht es wohl kaum einen Unterschied, ob er eine Löschung nach 5 oder nach 7 Jahren durchzuführen hat).

• Die vom Urheberrechtsgesetz vorgesehen Frist für das Erlöschen eines Urheberrechts (70 Jahre nach Tod des Urhebers) ist für die gegenständlichen Zwecke nicht anwendbar.

• Es sprechen die besseren Argumente dafür, dass die allgemeine Verjährungsfrist des § 1478 ABGB von 30 Jahren anzuwenden ist und somit die Löschungsverpflichtung des FM-GwG erst nach Ablauf ebendieser Frist zu erfolgen hat. Beispielsweise kann im Rahmen der strafgerichtlichen Abhandlung einer nicht verjährten Vortat zur Geldwäscherei ein der allgemeinen Verjährungsfrist des ABGB unterliegender Rechtsanspruch geltend gemacht werden (zB Schadenersatzanspruch eines Privatbeteiligten). Aus diesem Grund ist die langjährige Aufbewahrung entsprechender Daten vonnöten.

Zusammenfassung

Sowohl das Anonymisieren als auch das bloß logische Löschen können ausreichend sein, um den Löschungsverpflichtungen nach § 21 FM-GwG nachzukommen. Physisches Löschen oder gar Vernichten von Daten wird im FM-GwG nicht gefordert und wäre zur Zielerreichung nicht notwendig. Schließlich ist die Anonymisierung oder logische Löschung erst nach Ablauf der allgemeinen Verjährungsfrist von 30 Jahren durchzuführen.

Autoren

Dr. Zeljko Peric

Dr. Zeljko Peric leitet die Abteilung Compliance, Geldwäscheprävention und Datenschutz in der Sparkassen Versicherung AG Vienna Insurance Group. Weiters ist er Vorsitzender des Arbeitskreises Geldw...