Datenerhebung und -speicherung im Rahmen der Geldwäscheprävention
Die Firma ist nach den Vorgaben des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten („Geldwäschegesetz“ – im Folgenden GwG) verpflichtet, Daten über ihre Vertragspartner, der für diesen auftretenden Personen sowie des wirtschaftlich Berechtigten des Vertragspartners zu erheben, zu überprüfen und aufzubewahren. Zur gesetzlich geforderten Überprüfung bedient sich die Firma im Einzelfall eines Dienstleisters.
Zweck, Art, Mittel und Rechtsgrundlage der Datenverarbeitung
Die Firma ist ein bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zugelassenes Factoringinstitut im Sinne des § 1 Abs. 1a S. 1 Ziffer 9 Kreditwesengesetz (im Folgenden KWG) und somit Verpflichtete gemäß § 2 Abs. 1 Ziffer 2 GWG.
Gemäß § 10 Abs. 1 Ziffern 1 und 2 GwG besteht die Verpflichtung der Firma, Vertragspartner, der für diesen auftretenden Personen sowie wirtschaftlich Berechtigte zu identifizieren und zu überprüfen. Die Identifizierung der in § 10 Abs. 1 Ziffern 1 und 2 GwG Betroffenen erfolgt gemäß § 11 Abs. 1 GwG, indem die nach § 11 Abs. 4 und 5 GwG genannten Daten erhoben werden. Diese Daten müssen von der Firma gem. § 12 GwG überprüft werden.
Als GwG Verpflichtete hat die Firma die Vorschriften der DS-GVO zu beachten. Auf Grundlage des GwG verarbeitete Daten unterliegen der Zweckbindung nach § 11a GwG.
Welche Daten werden erhoben und überprüft?
In Bezug auf die natürlichen Personen müssen die folgenden Daten erhoben und überprüft werden:
- Vor- und Nachname
- Geburtsdatum, Geburtsort, Staatsangehörigkeiten
- Wohnanschrift oder postalische Erreichbarkeit
- Ausweisdaten (inkl. Kopie, ggf. auch inkl. Videochat bei Videoidentifizierung)
- Funktion im Unternehmen (z.B. vertretungsberechtigte Person, Wirtschaftlich Berechtigter, Gesellschafter, Sicherheitengeber)
- PEP-Status (Politisch Exponierte Person) und Prüfungsergebnis Sanktionslistenscreening
- Verbindungen zu anderen Unternehmen
Wie werden die Daten erhoben?
Die Erhebung der Daten erfolgt grundsätzlich durch Mitarbeiter der Firma. Durch die Mitarbeiter der Firma werden bei einer Prüfung der vor Ort vorgelegten Ausweisdokumente Kopien der relevanten Dokumente erstellt.
Die Firma nutzt, soweit eine Überprüfung in Person nicht möglich ist, drei Verfahren (PostIdent), die durch die Deutsche Post AG, als von der Firma beauftragtem Dienstleister, angeboten werden.
Um die gesetzliche Überprüfungspflicht zu erfüllen wird durch die Firma eine E-Mail an die zu überprüfende Person mit einem Link zum Postidentportal der Deutschen Post AG gesendet. Zur Überprüfung kann die betroffene Person unter drei Identifizierungsverfahren wählen:
- Online-Ausweisfunktion: Mit dieser Funktion kann die Identitätsüberprüfung mittels Personalausweis mit aktiver Online-Ausweisfunktion erfolgen. Die Identitätsüberprüfung mittels Online-Ausweisfunktion kann über einen Desktop oder über das Smartphone erfolgen. Bei der Überprüfung über einen Desktop erfolgt eine Weiterleitung auf die AusweisApp2 der Deutschen Post AG. Bei der Überprüfung über das Smartphone erfolgt diese über die Postident App der Deutschen Post AG. Der Personalausweis wird dazu mit einem mit dem Smartphone/Tablet verbundenen Kartenlesegerät ausgelesen Für die Überprüfung muss durch die betroffene Person der 6-stellige PIN des Ausweises, welcher zuvor bei der Aktivierung der Online-Ausweisfunktion freigeschaltet geworden ist, eingegeben werden. Die betroffene Person stimmt mit der Eingabe der persönlichen 6-stelligen PIN der verschlüsselten Datenübermittlung der zuvor angezeigten Informationen an die Deutsche Post AG zu.
- Postident-Verfahren in der Filiale: Mit dem Postident-Verfahren kann die Identitätsüberprüfung in einer örtlichen Postfiliale durchgeführt werden. Zunächst generiert die betroffene Person im Postident Portal einen QR-Code, den sogenannten Postident-Coupon. Mit dem ausgedruckten Coupon (mit individueller Referenznummer zur internen Zuordnung der Ausweisdokumente) geht die betroffene Person zusammen mit ihrem Personalausweis oder Reisepass und einer Meldebescheinigung zur nächsten Postfiliale. Durch einen Mitarbeiter der Postfiliale werden die Daten aus den Ausweisdokumenten mittels Ausweislesegerät geprüft und in den Coupon übertragen. Sodann erfolgt ein Lichtbildabgleich des Nutzers mit dem Ausweisdokument und eine Prüfung der Daten durch den Mitarbeiter in der Filiale. Anschließend muss die betroffene Person die Daten überprüfen und den Coupon unterschreiben. Der unterschriebene Coupon wird von dem Postmitarbeiter mit Unterschrift und Stempel bestätigt und an die Firma übermittelt.
- Videoident-Verfahren: Sofern sich die betroffene Person im Postident-Portal für das Videoident-Verfahren entschieden hat, hat diese ggf. zunächst persönliche Daten eigenständig einzugeben und ein Ausweisdokument auszuwählen. Sodann erfolgt über die Kamera des genutzten Endgerätes ein Videochat mit einem Servicemitarbeiter der Deutsche Post AG. Dieser führt durch das Ident-Verfahren und prüft die Ausweisdaten und erstellt Fotos von diesen. Neben den Ausweisdaten wird von der betroffenen Person ein Foto/Screenshot (Portraitfoto) erstellt. Dabei kann es zur Erhebung von biometrischen Daten kommen (Diese werden nicht gespeichert). Des Weiteren wird eine vollständige audio-visuelle Gesprächsaufzeichnung angefertigt. Danach erhält die betroffene Person eine SMS-TAN, die diese eingeben muss. Dadurch bestätigt die betroffene Person den Identifizierungsprozess und schließt diesen ab.
Die im Videoident Verfahren erhobenen Daten, das Portraitfoto sowie die Videodatei werden über ein Portal der Deutschen Post AG der Firma zur Verfügung gestellt. Der Videostream bei der Videoidentifizierung wird auf Grund der Dateigröße über einen SFTP-Server bereitgestellt. Die Daten sind jeweils verschlüsselt. Die Firma muss die Daten aktiv abholen.
Rechtsgrundlage der Datenerarbeitung
Die Verarbeitung der Daten im Sinne von Art. 4 Ziffer 2 DS-GVO i.V.m. §§ 10 Abs. 1, 11 Abs. 1, 4, 5 GwG erfolgt auf der Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 Buchstabe c) DS-GVO i.V.m. § 11a GwG.
Dauer der Speicherung bzw. Kriterien für die Festlegung dieser Dauer
Die Daten im Wege der Identifizierungsverfahren werden zum Einen durch die Firma und zum Anderen, sofern die Identifizierung durch die Deutsche Post AG als Auftragnehmer erfolgt, auch bei dieser gespeichert.
Die Deutsche Post AG legt eigenständige Vorgaben für die Speicherdauer und Löschung von Daten fest. Für die Speicherdauer der Daten bei der Deutschen Post AG sowie die Löschfristen wird auf die Ergänzenden Datenschutzhinweise POSTIDENT auf der Webseite der Deutschen Post AG verwiesen, insbesondere auf Ziffer 7) der vorgenannten Hinweise.
Die Daten, die ausschließlich auf Grundlage des § 11 Abs. 1, Abs. 4, Abs. 5 GwG, erhoben werden, speichert die Firma gemäß der gesetzlichen Speicherdauer . Diese Daten sind nach Ablauf der in § 8 GwG genannten Speicherdauer durch die Firma zu löschen.
Ein entsprechender Löschlauf ist in dem Kernsystem der Firma implementiert und läuft jeweils am Jahresende.
Betreffend weiterer Daten richtet sich die Speicherdauer und Löschung nach dem allgemeinen Sperr- und Löschkonzept der Firma.
Sofern weitere Daten als die oben genannten gespeichert werden, erfolgt dies nicht aufgrund der Rechtsgrundlage dieses Abschnittes. Die Verarbeitung weiterer Daten erfolgt auf Rechtsgrundlage von Art. 6 Abs. 1 S. 1 Buchstabe b) DSGVO. Die genannte Verarbeitung ist nicht Gegenstand dieser Datenschutzhinweise.
Auf Art. 15 ff. DSGVO wird ausdrücklich hingewiesen.
Widerspruchs- und Beseitigungsmöglichkeiten
Basiert die Datenverarbeitung auf einem zwischen Ihnen und uns vereinbarten Vertragsverhältnis besteht für den beschriebenen Verarbeitungsvorgang kein Widerspruchsrecht gemäß Art. 21 DSGVO. Ist ihr Einverständnis Rechtsgrundlage der Datenverarbeitung, haben sie das Recht dieser Verarbeitung jederzeit zu widersprechen. Auch haben Sie nach Maßgabe des Art. 17 DSGVO das Recht, die Löschung Ihrer Daten zu verlangen. Darüber hinaus besteht das Recht, Ihre Daten zu berichtigen und eine Auskunft über die bei uns gespeicherten Daten zu erhalten. Zur Ausübung Ihrer Betroffenenrechte wenden Sie sich bitte an die in Ziffer 1 genannte Kontaktadresse.
Soweit Daten im Wege des o.g. Postident Verfahrens unmittelbar von der Deutsche Post AG verarbeitet werden, bestehen Ihre obigen Widerspruchs- und Beseitigungsmöglichkeiten nur unmittelbar gegenüber der Deutschen Post AG.