Juristen kritisieren den Kompromiss für eine Richtlinie gegen Geldwäsche und Terrorismusfinanzierung scharf, auf den sich die EU-Gremien kurz vor Weihnachten geeinigt hatten. Der Zahlungsverkehr werde damit künftig "fast vollständig überwacht", moniert die Rechtswissenschaftlerin Carolin Kaiser gegenüber heise online. Finanzinstitute müssten etwa Belege zu sämtlichen Transaktionen "fünf bis maximal zehn Jahre nach Beendigung der Geschäftsbeziehung" auf Vorrat speichern. Da etwa ein Bankkonto oft über mehrere Jahrzehnte lang geführt werde, ergebe sich eine sehr lange, im Einzelfall nicht vorhersehbare Aufbewahrungsfrist.

Gültig für Banken, Steuerberater und sogar Kryptobörsen

Für die Expertin, die an der Universität Groningen zu europäischem Technologierecht forscht, ergeben sich damit "erstaunliche Parallelen" zur lange umkämpften Richtlinie zur Vorratsdatenspeicherung, die der Europäische Gerichtshof (EuGH) 2014 kippte. Beide Instrumente beträfen prinzipiell jeden europäischen Bürger. So sei die Geldwäscherichtlinie nicht nur auf Banken anwendbar, sondern erstrecke sich unter anderem auch auf Makler, Steuerberater, Notare und Casinos. Mit der jüngsten Reform kämen zudem Börsen dazu, auf denen Kryptowährungen wie Bitcoin, Ethereum oder Ripple gehandelt werden.

Erster Ansatz des Normenwerks ist, dass die verpflichteten Einrichtungen im Idealfall alle ihrer Kunden identifizieren. Für diese Daten gelten die gleichen breiten Speicherpflichten wie für die noch problematischeren Transaktionsbelege. Mit letzteren ließen sich umfangreiche Persönlichkeitsprofile erstellten, warnt Kaiser: "Das betrifft nicht nur unsere Einkäufe, sondern unter Umständen auch Zahlungen an Gesundheitsdienstleister, Kirchensteuer und Spenden an religiöse Einrichtungen, automatische Lastschriften von Mitgliedsbeiträgen oder Abos etwa einer Partei, einer Gewerkschaft oder einer Internetseite, die sich an Personen mit bestimmten sexuellen Vorlieben richtet."

Pflicht zur Datenweitergabe

Dazu kommt laut der Juristin, dass Finanzhäuser die gespeicherten Transaktionen einer zentralen Sammel- und Analysestelle in Form der sogenannten Financial Intelligence Unit (FIU) auf Abruf zur Verfügung stellen müssten. Sie hätten die Pflicht, einschlägigen Auskunftsersuchen ohne richterliche Anordnung nachzukommen und Verdächtige zu melden. Diese Einheit könne die erhaltenen Informationen dann weitgehend unkontrolliert auswerten: Aufsichtsmaßnahmen und andere verfahrensrechtliche Sicherungen, "wie wir sie etwa für die Polizei kennen, fehlen fast komplett."

Der Anwendungsbereich der Richtlinie sei zudem zu unbestimmt, beklagt Kaiser. Sie lege etwa fest, "dass alle Straftaten, die mit einer Höchststrafe von über einem Jahr belegt sind, als Vortaten zur Geldwäsche gelten". Es gehe daher selbst um Delikte wie üble Nachrede. Auch hier gebe es Parallelen zur Richtlinie zur Vorratsdatenspeicherung. Insgesamt könnten die ganzen Daten zwar eventuell hilfreich sein für die Strafverfolger, aber sie seien für deren Arbeit keineswegs unbedingt erforderlich. Die vorgesehenen Regeln dürften daher wohl kaum mit der EuGH-Rechtsprechung vereinbar sein.

"Massenüberwachung" von Bankkunden

"Durch die Maßnahmen der Geldwäscherichtlinie fällt die Privatsphäre praktisch weg, wenn es um Dienstleistungen von Verpflichteten geht", resümiert die Expertin. Wenn alle Geldgeschäfte einer Person festgelegt und verfolgbar würden, ließen sich sehr genaue Schlüsse auf ihr Privatleben ziehen. Ferner würden Datenbanken, die ursprünglich unter der Geldwäscherichtlinie angelegt wurden, bereits jetzt für andere Zwecke benutzt. In der Fachzeitschrift International Data Privacy Law vom April skizziert Kaiser zusammen mit ihrer niederländischen Kollegin Jonida Milaj so eine kommende "Massenüberwachung" von Bankkunden.

Für bedenklich hält die Wissenschaftlerin auch das Ziel der EU-Gesetzgeber, die "Anonymität" virtueller Währungen und das damit verbundene "Missbrauchspotenzial für kriminelle Zwecke" aufzuheben. Der Aufbau der dazu geforderten vernetzten Register mache die Situation unübersichtlicher für Betroffene, befürchtet sie. Diesen dürfte es angesichts der möglichen zahlreichen Zugriffe auf die Informationen auch schwer fallen, ihre Rechte geltend zu machen. Benachrichtigungspflichten darüber von Behördenseite gebe es nicht.

Unerklärlich ist Kaiser, wieso sich angesichts der aufgezeigten Mängel die Datenschutzbeauftragten der Mitgliedsstaaten in den vergangenen heißen Monaten der Verhandlungen zwischen den Regierungen und dem EU-Parlament nicht stärker eingebracht haben. Diese hätten sich mit ihren begrenzten Mittel wohl auf andere Dinge konzentrieren müssen, meint sie. Aus der Behörde der Bundesdatenschutzbeauftragten Andrea Voßhoff (CDU) war zu dem Thema wenig zu erfahren. Die zuständige Abteilung ließ gegenüber heise online nur verlauten, dass es sich bei der Aufnahme von Bitcoin-Transaktionen in den geldwäscherechtlichen Verpflichtungskreis um eine folgerichtige gesetzliche Fortentwicklung handle.

Kritik an den Unterstützern

Der Europäische Datenschutzbeauftragte Giovanni Buttarelli und sein Vize Wojciech Wiewiorowski hatten der EU-Kommission im Februar noch vorgeworfen, mit dem ursprünglichen Reformentwurf ihre Hausaufgaben nicht gemacht zu haben. Sie kreideten der Brüsseler Regierungsinstitution an, nicht gewährleistet zu haben, "dass jede Verarbeitung personenbezogener Daten einem rechtmäßigen, festgelegten und genau umrissenen Zweck dient". Die Verhältnismäßigkeit der vorgeschlagenen Maßnahmen sahen auch sie nicht gewährt.

Die grünen EU-Politiker Ska Keller und Jan Philipp Albrecht bezeichneten das "neue europäische System für die Bekämpfung von Geldwäsche und Korruption" dagegen jüngst als vorbildhaftes Beispiel dafür, "dass Datensammeln richtig sein kann, wenn es Verdachtsmomente oder konkrete Gefährdungen gibt". Auf Grundlage fester Kriterien würden hier Risikopersonen identifiziert, wenn etwa ein Konto eröffnen wollten. "Alle übrigen Bürger werden von solchen Maßnahmen aber verschont." Kaiser kann dies nicht nachvollziehen: "Die Geldwäscherichtlinie sieht keine Ausnahmen vor." Risikopersonen würden allenfalls "extra stark kontrolliert". (mho)