Verstärkte Sorgfaltspflichten nach § 15 GwG und die Verarbeitung sensibler Daten nach Artikel 10 DSGVO – am Beispiel Axel Fischer

Geldwäscheprävention und Datenschutz stehen nicht im Widerspruch, sie stehen im Spannungsverhältnis. Besonders deutlich wird das bei verstärkten Sorgfaltspflichten nach § 15 Geldwäschegesetz (GwG), wenn Informationen über strafrechtliche Verurteilungen vorliegen.

Der Fall des ehemaligen CDU-Bundestagsabgeordneten Axel Fischer, der im Januar 2026 wegen Bestechlichkeit im Rahmen der auch als Kaviar-Diplomatie bekannten „Aserbaidschan-Affäre“ zu einer Freiheitsstrafe auf Bewährung und Strafzahlung verurteilt wurde (die Revision steht aus), zeigt exemplarisch, welche geldwäscherechtlichen Risikoindikatoren greifen und welche datenschutzrechtlichen Grenzen zwingend zu beachten sind.

§ 15 GwG: geldwäscherechtliche Schlüsselnorm für verstärkte Sorgfaltspflichten

Gehen wir den Fall Axel Fischer gedanklich durch und stellen uns vor, wir wären seine Hausbank.

Nach § 15 GwG müssen nach diesem Gesetz Verpflichtete (z. B. eben Banken, aber auch Finanzdienstleister oder Notare) verstärkte Sorgfaltspflichten bei ihren Kunden anwenden, wenn ein erhöhtes Geldwäscherisiko besteht. Gesetzliche Risikoindikatoren für ein solches erhöhtes Geldwäscherisiko sind dabei:

• Politisch exponierte Personen (PEP): Annehmend, dass Axel Fischer 2020 Kunde unserer Beispielbank wurde, kann das bejaht werden. Axel Fischer ist CDU-Mitglied und war zu dem Zeitpunkt und bis 2021 Bundestagsabgeordneter und zuvor in EU-politischen Funktionen.
• Nähe zu Staaten mit erhöhtem Korruptions- oder Geldwäscherisiko: Bekanntermaßen setze sich Axel Fischer für die Interessen Aserbaidschans ein, lange vor ersten Vorwürfen der damit in Zusammenhang stehenden Korruption. Aserbaidschan hält aktuell Rang 154 von 180 Ländern im Corruption Perception Index von Transparency International und gilt damit im internen Länderkonzept unserer Beispielbank als Hochrisikostaat. Als Hausbank haben wir dies in der Risikobewertung von Axel Fischer berücksichtigt.
• Unklare Vermögensherkunft: Bis zum ersten Korruptionsverdacht stand die Vermögensherkunft von Axel Fischer vermutlich nicht in Frage, dessen Einkünfte als Bundestagsabgeordneter sowie Nebeneinkünfte öffentlich nachvollziehbar waren.
• Auffällige Transaktionsmuster: Unter Umständen haben wir als seine Hausbank ungewöhnliche Zahlungseingänge, z. B. hohe Bargeldeinzahlungen, erkennen können.

Alles in allem lag hier ein klarer Fall von verstärkten Sorgfaltspflichten mit engmaschiger Überwachung, insbesondere Monitoring der medialen Berichterstattung, bei unserer Beispielbank vor.

Und so erkannt man auch direkt den risikobasierten Ansatz des Geldwäschegesetzes. Je höher das Risiko, desto intensiver die Prüfmaßnahmen. Und: desto umfangreicher regelmäßig auch die Datenerhebung. Im Monitoring erfuhr die Hausbank sukzessive über die Kaviar-Diplomatie Aserbaidschans und die Beteiligung von Axel Fischer an der aserbaidschanischen Interessensvertretung. Diese wurden zunehmend Gegenstand medialer Aufmerksamkeit und steigerten sich zunächst zu Korruptionsvorwürfen gegen CDU/CSU-Politiker, einschließlich Axel Fischer, bis Ermittlungen, Gerichtsverfahren und letztlich die Verurteilung von Axel Fischer öffentlich besprochen wurden.

Hier beginnt die datenschutzrechtliche Herausforderung.

Art. 10 DSGVO: datenschutzrechtliche Schlüsselnorm für strafrechtliche Verurteilungen

Besonders relevant im Kontext des genannten Falls ist die Frage: Darf die strafrechtliche Verurteilung von Axel Fischer erhoben, gespeichert und für die geldwäscherechtliche Risikoanalyse herangezogen werden? Schließlich wurde über sie öffentlich berichtet.

Die Verarbeitung von Informationen über strafrechtlichen Verurteilungen ist in Art. 10 DSGVO gesondert geregelt. Sie sind besonders geschützt. Art. 10 DSGVO gilt auch dann, wenn die Informationen über strafrechtliche Verurteilungen öffentlich zugänglich sind, etwa durch Medienberichte oder Pressemitteilungen der Gerichte. So sollen Betroffene, hier Axel Fischer, vor Stigmatisierung und sozialen Risiken geschützt werden. Dieses Schutzinteresse entfällt auch nicht dadurch, dass die Information öffentlich geworden ist. Art. 10 DSGVO erlaubt die Verarbeitung solcher speziellen Daten daher nur unter behördlicher Aufsicht oder auf Grundlage einer gesetzlichen Regelung.

Eine solche gesetzliche Rechtsgrundlage liegt für Verpflichtete in § 11a GwG vor, der die Datenverarbeitung im Rahmen der Gesetzesumsetzung erlaubt.

Aber Achtung! Das gilt nur dann, wenn die Informationen auch wirklich für Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung erforderlich sind. Warum das entscheidend ist?

• Der Gegenstand einer strafrechtlichen Verurteilung kann für die Geldwäscheprävention völlig unerheblich sein. Dann zum Beispiel, wenn eine Verurteilung wegen Gewalt im häuslichen Bereich oder wegen Alkohols am Steuer vorliegt.
• Auch der Zeitpunkt einer strafrechtlichen Verurteilung ist kein nebensächliches Detail. Und gegebenenfalls entscheidend dafür, ob überhaupt noch eine Rechtsgrundlage zur Erhebung und Speicherung der Information vorliegt. Denn eine Verurteilung vor wenigen Monaten ist anders zu bewerten als eine vor zwanzig Jahren.
• Ebenso ist die Abgrenzung zwischen Verdacht und rechtskräftiger Verurteilung nicht unerheblich. Handelt es sich um unbestätigte Verdachtsmomente, ein eingeleitetes Ermittlungsverfahren, gab es bereits eine Anklage oder wurde rechtskräftig verurteilt? Gerade bei unbestätigten Verdachtsmomenten sollte von einer pauschalen, dauerhaften Speicherung abgesehen werden.

Im Falle Axel Fischer erfolgte der Übergang von Verdacht zu Ermittlung zu Verhaftung und Verurteilung in relativ kurzer Zeitfolge, so dass unsere Beispielbank von einer robusten Rechtsgrundlage für die Erhebung und Nutzung der Informationen im Rahmen der geldwäscherechtlichen Risikoklassifizierung von Axel Fischer ausging.

Zusammenspiel von GwG und DSGVO: Kein Entweder-Oder

Das Vorliegen einer Rechtsgrundlage zur Verarbeitung von Informationen über strafrechtliche Verurteilungen bedeutet aber nicht, dass Datenschutz hinter Geldwäscheprävention zurücktritt. Vielmehr gilt:

• Das GwG liefert die Rechtsgrundlage.
• Die DSGVO definiert die Grenzen und Schutzmechanismen.

Beides muss zusammengedacht werden, wie der Fall Axel Fischer exemplarisch zeigt.
Insbesondere muss hier die Informationserhebung und -verarbeitung für den Zweck angemessen und erforderlich sein (Art. DSGVO). Es sollten also nur solche Daten gespeichert werden, die

• konkret risikorelevant sind,
• für die gesetzlich geforderte Risikobewertung der Geschäftsbeziehung erforderlich sind,
• also der Geldwäscheprävention dienen.

Auch dort, wo es möglich ist, sollte kein flächendeckendes Strafregister-Screening ohne Anlass erfolgen. Ebenso ist vorsorgliches Erheben von Informationen über strafrechtliche Verurteilungen, z. B. das Führen interner schwarzer Listen über Personen, zu denen Negativnachrichten bekannt sind, regelmäßig unzulässig. Andere Kreditinstitute bspw. sollten Axel Fischer nun nicht auf eine Neukunden-Ausmusterungsliste gesetzt haben für den hypothetischen Fall, dass unsere fiktive Hausbank ihm kündigt und er eine neue sucht.

Informationen über strafrechtliche Verurteilungen, auch risikorelevante, dürfen auch nicht unbegrenzt gespeichert werden. Hier sind die datenschutzrechtlichen Vorgaben mit den Dokumentationsvorgaben des § 8 GwG in Einklang zu bringen.

Art. 10 DSGVO verlangt zudem erhöhte Schutzmaßnahmen für Informationen über strafrechtliche Verurteilungen. Das bedeutet, auf diese sensiblen Daten (z. B. auf die Risikobewertung und dieser zugrunde liegenden Informationen Axel Fischer betreffend) sollten Zugriffsberechtigungen nur nach dem Need-To-Know-Prinzip erteilt, Protokollierung dieser Zugriffe sichergestellt und ggfs. weitere technische oder organisatorische Schutzmaßnahmen ergriffen werden.

Fazit

Effektive Geldwäscheprävention erfordert präzise und oft sensible Informationen, aber immer innerhalb klar definierter datenschutzrechtlicher Leitplanken.

Sie wollten die Datenschutzkonformität Ihrer Geldwäscheprozesse bewerten oder Schulungen für Ihr KYC-Team durchführen? Sprechen Sie uns gern an. Alle Entwicklungen im Datenschutz können Sie auch in unserem Newsletter verfolgen.