11.08.2025 | Datenschutz & IT | ID: 1203290

AML trifft DSGVO: Geldwäscheprävention und Datenschutz im Unternehmen

Harald Straub

Werden im Rahmen der Geldwäscheprävention personenbezogene Daten erhoben und verarbeitet, müssen auch die Anforderungen der DSGVO erfüllt werden. Dieser Beitrag bietet eine Handlungsempfehlung in sieben Schritten zur rechtssicheren Umsetzung.

Am 01.07.2025 hat die EU-Behörde für die Bekämpfung der Geldwäsche (Anti-Money-Laundering Authority – AMLA) ihre Tätigkeit aufgenommen. Sie soll die nationalen Aufsichtsbehörden bei der Umsetzung des EU-Geldwäschepakets (AML-Paket) unterstützen, welches umfassende Anforderungen an die Bekämpfung von Geldwäsche und Terrorismusfinanzierung stellt.

Während die AML-Vorgaben Identitätsprüfung, langfristige Dokumentation und ggf Meldung ohne Information des Kunden verlangen, fordert die DSGVO Datenminimierung, Speicherbegrenzung und Betroffenenrechte. Daraus können – gerade in kleinen und mittleren Unternehmen (KMU) – konkrete Zielkonflikte entstehen.

Diese Zielkonflikte sind lösbar, wenn Rollen klar zugewiesen, Abläufe gut dokumentiert und technische Systeme richtig konfiguriert sind.

Handlungsempfehlungen: 7 Schritte zur rechtssicheren Umsetzung

Die folgenden sieben Schritte helfen dabei, Geldwäscherecht und DSGVO im Alltag zu integrieren – ohne unverhältnismäßigen Aufwand.

1. Verpflichtungen kennen & dokumentieren

• Prüfen, ob das Unternehmen unter die Geldwäschevorgaben nach GewO/FM-GwG fällt
• Dokumentieren, welche Pflichten gelten – zB KYC, PEP, Verdachtsmeldung, Aufbewahrung
• Verantwortliche benennen – Geldwäschebeauftragte (GWB), Datenschutzbeauftragte (DSB)

2. Prozesse mit Checklisten & Vorlagen standardisieren

• Prozesse mit Checklisten & Vorlagen standardisieren
• Einheitliche KYC-Checkliste verwenden (zB WKO-Vorlage)
• PEP-Selbsterklärung als Standard bei Neukunden einholen
• Verdachtsmeldeformular intern bereithalten

3. Informationspflichten klar & DSGVO-konform umsetzen

• Datenschutzinformation anpassen: Hinweis auf gesetzliche Meldepflichten und Datenverarbeitung gem Art 6 Abs 1 lit c DSGVO
• Keine konkrete Information über Verdachtsmeldungen (Tipping-off vermeiden!)

4. Verantwortlichkeiten klar regeln

• GWB: Prüfung, Risikoanalyse, Meldung
•  DSB: Auskunftsersuchen, Löschung, technische Kontrolle
• Geschäftsführung: Gesamtverantwortung, Ressourcen, Kontrolle der Umsetzung

5. Daten sicher speichern & aufbewahren

• Mindestens 5 Jahre nach Beendigung der Geschäftsbeziehung
• Zugriffsbeschränkt, protokolliert, verschlüsselt
• Löschfristen automatisieren (zB durch Kalendererinnerung oder Software)

6. Mitarbeiterschulung jährlich durchführen

Laut § 365x GewO und FM-GwG sind verpflichtete Unternehmen dazu angehalten, ihre Mitarbeitenden regelmäßig über ihre Pflichten zur Geldwäscheprävention zu informieren. Auch die DSGVO fordert Schulungen zur datenschutzkonformen Verarbeitung.

Schulungsinhalte (mindestens)

• Grundlagen der Geldwäscheprävention & Terrorismusfinanzierung
• Bedeutung der PEP-Prüfung & risikobasierter Kundenprüfung (KYC)
• Typische Verdachtsmerkmale erkennen
• Ablauf und Pflichten bei einer Verdachtsmeldung
• Tipping-off: Was darf ich sagen – was nicht?
• Datenschutzrechtliche Rahmenbedingungen (zB Art 6, 13, 23 DSGVO)
• Technische und organisatorische Maßnahmen (TOMs)
• Internes Meldesystem/Hinweisgeberregelung (falls vorhanden)

Dokumentierte Wissensüberprüfung (zB Quiz, Teilnahmebestätigung) erhöht die Rechtssicherheit.

7. Jährliches Compliance-Review (Mini-Audit)

• Checkliste durchgehen: Prozesse, Schulung, Dokumentation, Meldesysteme
• Ergebnis dokumentieren
• Ggf Maßnahmen für Anpassung definieren

Fazit

Wer diese 7 Schritte konsequent umsetzt, erfüllt nicht nur seine gesetzlichen Pflichten, sondern schafft Vertrauen bei Kunden, Partnern und Behörden.