Aus wistra 12/2023

Das Gesetz zur Stärkung der risikobasierten Arbeitsweise der Zentralstelle für Finanztransaktionsuntersuchungen (FIU) ist nach seinem Art. 2 am 18.11.2023 in Kraft getreten (BGBl. 2023 I Nr. 311).

Materialien: Regierungsentwurf (BT-Drucks. 20/8294), Reden bei der 1. Lesung im Bundestag (BT-Plenarprotokoll 20/122, S. 15228B-15232C), Stellungnahme des Bundesrats und Gegenäußerung der Bundesregierung (BT-Drucks. 20/8652), Beschlussempfehlung und Bericht des Finanzausschusses des Bundestags (BT-Drucks. 20/8793, BT-Drucks. 20/8796), Reden bei der 2. Lesung im Bundestag (BT-Plenarprotokoll 20/128, S. 16054D-16060C), Reden beim 2. Durchgang im Bundesrat (BR-Plenarprotokoll 1037, S. 332 f.).

S. zum Referententwurf Busch, wistra 2023, Heft 8 R8 und zum Regierungsentwurf Busch, wistra 2023, Heft 9 R9).

Nach der Neuregelung haben sich Art und Umfang der Analyse von Meldungen und Informationen am Risiko der Geldwäsche oder Terrorismusfinanzierung zu orientieren (§ 30 II 2 GwG). Für die risikogerechte Identifikation relevanter Meldungen und Informationen kann die FIU automatisierte Anwendungen zur Datenanalyse nach § 29 IIa (Risikobewertungssysteme) einsetzen (§ 30 II 3 GwG). Die Parameter für die automatisierte Analyse soll die FIU im Benehmen u.a. mit den Strafverfolgungsbehörden festlegen (§ 30 II 7 GwG), womit sie nunmehr beginnen kann. Wer die Strafverfolgungsbehörden dabei vertritt, bestimmen die Landesjustizverwaltungen; für den Generalbundesanwalt beim BGH erfolgt die Benennung durch das BMJ (§ 30 II 9 GwG). Für sonstige Straftaten gilt, dass die FIU entsprechende Parameter bei ihrer Analyse berücksichtigen kann, aber nicht muss (§ 30 II 8 GwG).

Gegenüber dem Regierungsentwurf haben sich im parlamentarischen Verfahren im Wesentlichen folgende Änderungen ergeben (s. Beschlussempfehlung und Bericht des Finanzausschusses des Bundestags BT-Drucks. 20/8793, BT-Drucks. 20/8796):

• Eine Ergänzung von § 28 II GwG soll klarstellend verdeutlichen, dass bei der Ausübung der Aufsicht über die FIU durch das BMF die fachliche Unabhängigkeit der FIU gem. § 27 II GwG, die europarechtlich und international vorgegeben sei, einbezogen wird (BT-Drucks. 20/8796, 9).

• Ein neuer § 28a GwG regelt die mindestens halbjährliche Unterrichtung des Deutschen Bundestags über die Erfüllung der Erhebungs- und Analyseaufgaben der FIU und soll so die Transparenz von BMF und FIU gesetzlich absichern. Das für die Unterrichtung einzurichtende Gremium soll das „Informationsinteresse des Deutschen Bundestages und die Sicherheitsinteressen der Zentralstelle, die zur Sicherheitsarchitektur des Bundes gehört, angemessener in Ausgleich“ bringen (BT-Drucks. 20/8796, 9).

• In § 29 IIa, IIc, § 30 II GwG wird der im Regierungsentwurf noch nicht verwendete Begriff „automatisierte Anwendung zur Datenanalyse“ aufgenommen, um klarzustellen, dass die „Anpassung der Rechtsgrundlagen mit Blick auf den Einsatz komplexer automatisierter IT-Verfahren zur Unterstützung der Analyseprozesse ... erfolgt“, die abzugrenzen seien von einfachen automatisierten Verfahren zur Datenverarbeitung wie bpsw. dem Datenabruf nach § 31 IVa GwG oder der automatisierten „Filterung“ von Meldungen mit Hilfe von „Layoutfiltern“. Die jetzt möglichen komplexeren Verfahren verarbeiteten eine größere Menge an personenbezogenen Daten mit mehreren Verknüpfungsmöglichkeiten und unterlägen aufgrund der stärkeren Eingriffstiefe erhöhten rechtlichen Anforderungen, die in § 29 IIa, IIb, IIc und IV geregelt seien (BT-Drucks. 20/8796, 9 f.).

Die Regelungen orientieren sich an der Palantir-Enscheidung des BVerfG vom 16.2.2023 zu zwei landesgesetzlichen Regelungen zur automatisierten Datenverarbeitung zur vorbeugenden Bekämpfung von Straftaten (BVerfG 1 BvR 1547/19, 1 BvR 2634/20, ECLI:DE:BVerfG:2023:rs20230216.1bvr154719). Das BVerfG hatte dort einen Verstoß gegen das Recht auf informationelle Selbstbestimmung (Art. 2 I i.V.m. Art. 1 I GG) festgestellt und näher dargelegt, welche verfassungsrechtlichen Anforderungen an die Rechtfertigung eines mit einer automatisierten Datenverarbeitung verbundenen Eingriffs in die informationelle Selbstbestimmung zu stellen sind. Danach ist eine Senkung der Eingriffsintensität erforderlich, damit eine automatisierte Datenanalyse oder -auswertung im Vorfeld einer konkretisierten Gefahr für ein besonders gewichtiges Rechtsgut erfolgen kann. So muss für Unbeteiligte das Risiko ausgeschlossen werden, dass sie infolge der automatisierten Datenanalyse vermehrt polizeilichen Ermittlungen ausgesetzt sind (Rz. 73, 77). Der Gesetzgeber muss weiter Zugriffsbeschränkungen vorsehen (Zugriff nur für einzelne entsprechend qualifizierte Personen; Zugriff nur im erforderlichen Zusammenhang) und deren Einhaltung ist darüber hinaus durch organisatorische und technische Vorkehrungen abzusichern (Rz. 117). Von der Analyse auszuschließen sind Daten aus Wohnraumüberwachungen, Online-Durchsuchungen und anderen schwerwiegenden Grundrechtseingriffen (wie bspw. Telekommunikationsüberwachung, Verkehrsdatenabfrage, länger andauernde Observationen). Auch dies ist durch technische und organisatorische Vorkehrungen zu begleiten (Rz. 118). Der Gesetzgeber hat einschränkende Vorgaben zur Methode der automatisierten Datenanalyse oder -auswertung zu machen und in ihren grundlegenden Zügen im Gesetz selbst zu regeln (Rz. 120). Dafür ist der Einsatz selbstlernender Systeme durch den Gesetzgeber ausdrücklich auszuschließen, der zudem selbst die grundlegenden Maßgaben zur Begrenzung des Automatisierungsgrades festlegen muss (Rz. 121).

Die Begründung der Beschlussempfehlung führt dazu aus, dass „in Abgrenzung zu dem der [Palantir-]Entscheidung ... zugrunde liegenden Sachverhalt zu berücksichtigen [ist], dass sich der [FIU-]Datenbestand im Wesentlichen aus Daten von Meldungen generiert, die Verpflichtete nach § 43 Absatz 1 an die Zentralstelle abzugeben haben. ... Die Entscheidung des BVerfG betraf Regelungen zu automatisierten Datenanalysen und -auswertungen durch Polizeibehörden. Die Erwägungen des BVerfG zur Anforderung einer konkretisierten Gefahr beziehen sich insoweit auf einen auf die Tätigkeit von Polizeibehörden und deren Aufgabenwahrnehmung zugeschnittenen Begriff. Die Zentralstelle wird hingegen als Verwaltungsbehörde innerhalb ihres gesetzlich formulierten Analyseauftrages tätig. ... Selbst wenn man aber die durch das BVerfG formulierten Anforderungen auf die Tätigkeit der Zentralstelle anwendet, ist anzuerkennen, dass die Zentralstelle bei der automatisierten Datenanalyse nach § 29 Absatz 2a GwG jedenfalls aufgrund einer konkretisierten Gefährdung für gewichtige Rechtsgüter tätig wird“ (BT-Drucks. 20/8796, 11).

§ 29 IIa 2 GwG schließt von der automatisierten Datenanalyse (vorsorglich) folgende Daten aus: (1) Daten, die ursprünglich durch den Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, die Verfassungsschutzbehörden der Länder oder den Militärischen Abschirmdienst erhoben wurden; (2) Daten, die durch eine Maßnahme nach §§ 100a, 100b, 100c, 100f, 100g, 100h, 100i, 100k I 2, §§ 110a, 163f StPO oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden; (3) biometrische Daten. Die sich hieraus ergebende Reduzierung der Intensität des Grundrechtseingriffs werde vorsorglich getroffen, da die FIU grundsätzlich über diese Arten sensibler Daten nicht verfüge. Es könne aber nicht ausgeschlossen werden, dass im Einzelfall die von Behörden an die FIU übermittelten Informationen (§ 31 GwG) solche Daten enthielten, was aber als Ausnahmefall anzusehen sei. Regelmäßig enthalte der FIU-Informationspool weder Informationen, die im Rahmen verdeckter Ermittlungsmaßnahmen erhoben worden seien, noch biometrische Daten (BT-Drucks. 20/8796, S. 10).

Die Datenarten, die verwendet werden dürfen, werden in § 29 IIa 3 GwG genannt: Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, Name der juristischen Person, das Geschlecht, das Geburtsdatum, der Geburtsort, der Geburtsstaat, der Familienstand, die aktuellen und bisherigen Staatsangehörigkeiten, die gegenwärtigen und bisherigen Anschriften, die Nummer eines Legitimationsdokumentes einschließlich der ausstellenden öffentlichen Stelle, eigene oder jeweils genutzte Telekommunikationsanschlüsse sowie Adressen für elektronische Post, elektronische Adressen für neue Zahlungsmethoden (Wallet-Adressen), sonstige Angaben zur beruflichen Erreichbarkeit und Daten über die Geschäftsbeziehung gem. § 1 IV GwG einer Person mit einem Verpflichteten nach § 2 GwG, insbesondere Daten eines bei einem Verpflichteten geführten Kontos. Personenbezogene Daten aus allgemein zugänglichen Quellen dürfen nicht automatisiert in die Verarbeitung personenbezogener Daten in automatisierten Anwendungen zur Datenanalyse einbezogen werden (§ 28 IIa 4 GwG).

§ 29 IIb 1–3 GwG soll die Methoden der automatisierten Datenanalyse weiter konkretisieren: Meldungen und sonstige Informationen im FIU-Datenbestand können dahingehend bewertet und identifiziert werden, ob relevante Anhaltspunkte bestehen, dass ein Vermögensgegenstand mit Geldwäsche, mit Terrorismusfinanzierung oder mit einer sonstigen Straftat im Zusammenhang steht. Hierzu können Beziehungen zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen und die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet werden. Hierzu werden die von den Verpflichteten bei der Abgabe einer Meldung anzugebenden Informationen und sonstige Informationen im FIU-Datenbestand mit den Parametern für die Risikobewertung oder Parametern für die operative und strategische Analyse automatisiert auf Beziehungen und mögliche Übereinstimmungen abgeglichen. Den Einsatz selbstlernender und automatisierter Systeme schließt § 29 IIb 4 GwG aus, soweit die Systeme eigenständig Gefährlichkeitsaussagen über Personen treffen können. Ein vollständiger Ausschluss selbstlernender Systeme sei für die automatisierte Datenanalyse der FIU im Hinblick auf die Palantir-Entscheidung nicht erforderlich, da der Anlass der automatisierten Datenanalysen der FIU die Schwelle einer konkretisierten Gefahr überschreite und darüber hinaus durch die Regelungen des § 29 GwG das Eingriffsgewicht der Analysemöglichkeiten erheblich gesenkt werde (BT-Drucks. 20/8796, S. 11).

Nach § 29 V 2 GwG stellt die FIU durch technische Maßnahmen sicher, dass Daten nur gemäß ihrer rechtlichen Verwendbarkeit verarbeitet werden. Hierbei sind auch Begrenzungen der Zugriffsmöglichkeiten auf die automatisierten Anwendungen zur Datenanalyse vorzusehen. Ob die Regelungen über die Verarbeitung personenbezogener Daten nach § 29 I GwG eingehalten werden, kontrolliert die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mindestens alle zwei Jahre (§ 29 VII, VIII GwG).

Nach § 41 muss die FIU jetzt auch den Aufsichtsbehörden eine Rückmeldung zur Relevanz ihrer Meldungen (s. § 44 GwG) geben.

Nach § 59 VI 3 soll die Pflicht zur Registrierung bei der FIU für Güterhändler (§ 45 I 2 GwG) grundsätzlich erst zum 1.1.2027 gelten (anstatt zum 1.1.2024). Grund für die Verschiebung sei, dass nach dem gegenwärtigen Verhandlungsstand zum Kommissionsvorschlag für eine EU-Verordnung zur Verhinderung der Nutzung des Finanzsystems für Zwecke der Geldwäsche oder der Terrorismusfinanzierung (COM/2021/420 final; s. dazu Busch, wistra 2022, Register 41) Güterhändler nicht mehr grundsätzlich geldwäscherechtlich verpflichtet sein sollen. Die Registrierungspflicht solle deshalb in Bezug auf den Verpflichtetenkreis der Güterhändler erst dann Anwendung finden, wenn die entsprechenden europäischen Vorgaben in Kraft seien. Die Registrierungspflicht werde dann für den überwiegenden Teil der Güterhändler hinfällig. Keinen Aufschub finde die Registrierungspflicht, soweit bestimmte Güterhändler auch nach Inkrafttreten der europäischen Verordnung voraussichtlich weiterhin verpflichtet blieben; dies betreffe nach dem derzeitigen Verhandlungsstand Güterhändler, die – unter Erreichen des gegebenenfalls nach dem europäischen Verordnungsrecht geltenden Schwellenbetrages – mit Kunst, Schmuck, Uhren, Edelmetall oder Edelsteinen handeln. Bei Güterhändlern, die mit Kraftfahrzeugen, Schiffen, Motorbooten oder Luftfahrzeugen (hochwertige Güter nach § 1 X 2 Nr. 5 GwG) handeln, sei der Verhandlungsstand auf EU-Ebene noch offen, in der Zwischenzeit solle jedoch mit Blick auf die Risikolage auch hier an der Registrierungspflicht festgehalten werden (BT-Drucks. 20/8796, 12 f.).

Oberstaatsanwalt beim BGH (Referatsleiter im BMJ) Markus Busch LL.M. (Columbia University), Berlin
Der Text gibt ausschließlich die persönliche Meinung des Verfassers wieder.