5 Tipps, um Kundendaten bei UBO- und Compliance-Checks zu verwenden und zu schützen

Um neue Kunden zu gewinnen und an sich zu binden, müssen Sie integer handeln und die innerhalb der Branche geltenden Regeln und Gesetze wie das Kreditwesengesetz (KWG), das Geldwäschegesetz (GWG), die Wirtschaftsprüferordnung (WPO) und das Aussenwirtschaftsgesetz (AWG) beachten. Instanzen wie die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), die Bundesbank und die Wirtschaftsprüferkammer achten sehr auf die Einhaltung dieser Gesetze und Verordnungen. Wer sich nicht an die Regeln hält, riskiert hohe Bußgelder, strafrechtliche Verfolgung und damit Rufschädigung.
Um erfolgreich Geschäfte tätigen zu können, sollte Ihr Unternehmen ordentlich geführt sein. Das ist zeitraubend und nicht immer einfach. Manche Regeln scheinen nämlich im Widerspruch zueinande zu stehen. Wie kann man einerseits eine fundierte Kundenuntersuchung durchführen, um die Anforderungen des KWG, GWG, WPO und das AWG zu erfüllen und andererseits diese Daten gemäß der Verordnung schützen? Viele Unternehmen sind sich dessen nicht wirklich bewusst, dass diese Kundendaten u. U. auch personenbezogene Daten sein können, die unter das Datenschutzgesetz fallen. Was bedeutet das für Ihr Internehmen? Dürfen Sie noch Untersuchungen in Bezug auf Ihre Geschäftspartner durchführen, und wenn ja: wie?

Datenschutz und Kundenuntersuchung Hand in Hand

Gesetze sind dazu da, um gesellschaftliche Werte sicherzustellen. Einige Beispiele: Aus Sicherheitsgründen erlauben wir einen bestimmten Eingriff in unsere Privatsphäre, wie zum Beispiel das Abhören von Telefonaten. Und aus Gründen der Rechtssicherheit darf ein Finanzinstitut nach dem FinDAG Untersuchungen über den sogenannten Ultimate Beneficial Owner (UBO) eines Unternehmens anstellen.

Oft geben Firmendaten auch Auskunft über eine Privatperson. Das ist vor allem häufig bei kleinen inhabergeführten Betrieben häufig der Fall.
Um die Rechtssicherheit im Handelsverkehr sicherzustellen, werden nach dem Gesetz auch bestimmte Daten veröffentlicht, wie zum Beispiel Daten aus dem Handelsregister und aus dem Grundbuch, die direkt oder über Vermittler eingesehen werden können. In vielen Fällen müssen Sie sich zwischen Geschäftsinteresse und Schutz der Privatsphäre entscheiden. Das Speichern persönlicher Information ist erlaubt, wenn man sich dabei an gewisse Spielregeln hält:

1. Inventarisieren Sie, über welche geschäftlichen Daten Sie verfügen und ob dies personenbezogene Daten sind

Wenn geschäftliche Daten, zum Beispiel der Jahresabschlussbericht von Edeka, sich auf eine Rechtsperson beziehen, sind es nicht unbedingt personenbezogene Daten. Aber oftmals sagen Firmendaten auch etwas über eine Privatperson aus. Das ist vor allem häufig bei kleinen inhabergeführten Betrieben der Fall, wo der Firmensitz auch die Privatadresse ist. Namen von Vorstandsmitgliedern bzw. Geschäftsführern sind ebenfalls personenbezogene Daten. Handelt es sich bei dem in den Grundbuchdaten genannten Eigentümer um eine natürliche Person, dann sagen diese Daten etwas über diese Person aus und fallen demnach unter das Datenschutzgesetz.
Auch Company.info hat seine Daten zugunsten des Schutzes der Privatsphäre inventarisiert. Neben Unternehmensdaten und Wirtschaftsnachrichten liefert Company.info auch personenbezogene Daten. Diese beziehen sich immer auf die Funktion, welche die Person im Unternehmen innehat, z. B. Name des Eigentümers oder Geschäftsführers einer Organisation. Company.info verarbeitet und schützt diese Daten sorgfältig und hält auch selbst die Datenschutzregeln gewissenhaft ein.

2. Beurteilen Sie, ob diese Daten für Ihre Geschäftsprozesse notwendig sind

Organisationen möchten ihre Geschäftspartner kennen und registrieren deshalb (personenbezogene) Daten wie Kontaktinformation und Fakturierungsdaten. Manchmal benutzen sie auch externe Quellen, um zu sehen, ob ein Unternehmen ein zuverlässiger Handelspartner ist. Das ist erlaubt. Unbeschränktes Datensammeln ist jedoch nicht erlaubt, da man nach dem Gesetz verpflichtet ist, die Datenerfassung zu minimieren. Das bedeutet, dass Sie bei allen Informationen, die Sie über Ihren Geschäftspartner sammeln, überlegen müssen, ob das notwendig is.
Für Finanzinstitute gilt zum Beispiel, dass sie verpflichtet sind, die Identität ihrer Geschäftspartner zu überprüfen, um Geldwäsche und Betrug zu unterbinden. Auch hier lodert die Diskussion über den Datenschutz wieder auf. Es sind sich zwar alle einig, dass diese Finanzinstitute über die betreffende Information verfügen sollten, aber dennoch sind einige der Meinung, dass ein öffentliches UBO-Register einen zu großen Eingriff in die Privatsphäre darstellt. Oder wie PwC es ausdrückt: “Weil das Register in der jetzigen vorgestellten Form einen schweren Eingriff in die Privatsphäre derjenigen darstellt, die registriert werden, müssen Nutzen und Notwendigkeit der Veröffentlichung unserer Meinung nach über jeden Zweifel erhaben sein.”

3. Halten Sie Ihre Überlegungen für die Erfassung oder Erweiterung von Daten in einem Verarbeitungsregister fest.

Aufgrund der Datenschutz-Grundverordnung sind Sie verpflichtet, ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten zu führen. In diesem Verzeichnis geben Sie an, welche Daten Sie sammeln, aus welchen Quellen die Daten stammen und in welchen Systemen diese bei Ihnen gespeichert werden. Die Personen, die Zugang zu diesen Daten haben, müssen ebenfalls in diesem Verzeichnis aufgeführt sein. Ferner sind Sie verpflichtet anzugeben, auf welche Art und Weise Sie die Daten schützen und zu welchem Zweck diese benutzt werden, zum Beispiel zur Ausführung eines Vertrages, zur Erstellung von Marktanalysen oder zur Durchführung von UBO- und Compliance-Checks. Und schließlich müssen Sie auch die Personen oder Dritte angeben, die Ihre Daten verarbeiten, z. B. Ihr Verwaltungsbüro.
In der Praxis zeigt sich, dass viele Unternehmen Probleme damit haben, ein ordentliches Verzeichnis zu führen. Deshalb ist es wichtig, dass Sie bei jeder Datennutzung die Interessenabwägung erläutern. Zum Beispiel: Ihre Organisation fordert zusätzliche Information über einen Geschäftspartner an (was einen Eingriff in dessen Privatsphäre darstellt), um Betrug und Geldwäsche zu verhindern.

4. Wählen Sie Ihren Datenlieferanten bewusst aus

Rechenschaftspflicht ist einer der Kernbegriffe der Datenschutz-Grundverordnung (DSGVO). Das bedeutet, dass Sie immer mitverantwortlich dafür sind, was mit Ihren Daten geschieht. Es reicht nicht aus, dass Sie selbst verantwortlich mit sensiblen personenbezogenen Daten umgehen. Es besteht für Sie auch die Nachweispflicht, dass Ihre Geschäftspartner (Mitarbeiter, Kollegen, Drittparteien) die Datenschutzverordnung sorgfältig einhalten.
Sie dürfen Ihren eigenen Datenbestand zum Beispiel mit Daten von Company.info erweitern. Sie müssen jedoch festlegen, um welche Information es sich dabei handelt und zu welchem Zweck Sie diese benötigen. Sie dürfen auch Daten von einem Unternehmen und Vorstandsmitgliedern anfordern, um entscheiden zu können, ob Sie mit ihnen eine Geschäftsbeziehung eingehen wollen. Das bedeutet jedoch nicht automatisch, dass Sie mit dieser Information einen neuen Datenbestand anlegen dürfen.

5. Schützen Sie Ihre Daten

Ein verantwortlicher Umgang mit personenbezogenen Daten beinhaltet auch einen adäquaten Schutz von personenbezogenen Daten. Adäquat heißt nicht automatisch das höchste Schutzniveau. Die Höhe des Schutzniveaus richtet sich nach:

  • der Art und Sensibilität der Daten
  • dem Stand der Technik und den Kosten der Implementierung der Maßnahmen

Das bedeutet für Sie als Unternehmer, dass Sie bei der Erfassung sensibler Daten, wie Privatangaben von Vorstandsmitgliedern, ein höheres Schutzniveau realisieren müssen. Sie müssen zum Beispiel sicherstellen, dass die Anzahl der Personen, die aufgrund ihrer Funktion Zugang zu diesen Daten benötigen, begrenzt ist und dass diese Personen eine Geheimhaltungserklärung unterzeichnet haben. Veilleicht müssen diese Daten auch verschlüsselt gespeichert werden. Außerdem muss geprüft werden, wo die Daten gespeichert werden und ob ein Zugang zur Applikation auch an externen Standorten möglich ist.

Zum Schluss: Nutzen Sie Ihren gesunden Menschenverstand

Es wird von Mal zu Mal unterschiedlich sein, ob Ihre Interessen schwerwiegender sind als die Privatsphäre Ihres Geschäftspartners. In einigen Fällen treffen Sie diese Entscheidung selbst. In anderen Fällen hat der Gesetzgeber schon festgelegt, ob ein gewisses Interesse, z. B. Betrugsbekämpfung, Vorrang gegenüber der Privatsphäre hat. Aus diesem Grunde dürfen Finanzinstitute auch Zugang zu Privatdaten von Vorstandsmitgliedern haben und können sie den UBO ermitteln und überprüfen.