{"id":2732,"date":"2025-10-14T13:49:10","date_gmt":"2025-10-14T11:49:10","guid":{"rendered":"https:\/\/mandaris.com\/?p=2732"},"modified":"2025-11-24T14:12:24","modified_gmt":"2025-11-24T12:12:24","slug":"das-geldwaeschereigesetz-gwg-im-spannungsfeld-mit-dem-datenschutzgesetz-dsg-was-finanzintermediaere-in-der-praxis-zu-beachten-haben","status":"publish","type":"post","link":"https:\/\/mandaris.com\/de\/news\/das-geldwaeschereigesetz-gwg-im-spannungsfeld-mit-dem-datenschutzgesetz-dsg-was-finanzintermediaere-in-der-praxis-zu-beachten-haben\/","title":{"rendered":"Das Geldw\u00e4schereigesetz (GwG) im Spannungsfeld mit dem Datenschutzgesetz (DSG)? Was Finanzintermedi\u00e4re in der Praxis zu beachten haben!"},"content":{"rendered":"\n<p><\/p>\n\n\n\n<p>Eine nicht zu untersch\u00e4tzende Frage, denn seit der Einf\u00fchrung des revidierten DSG k\u00f6nnen nat\u00fcrliche Personen (und nicht etwa das handelnde Unternehmen) f\u00fcr Verletzungen des DSG mit Bussen von bis zu CHF 250\u2018000 bestraft werden.<\/p>\n\n\n\n<p>Das revidierte DSG ist nun seit gut zwei Jahren in Kraft. Eine Rekapitulation f\u00fcr Finanzintermedi\u00e4re:<\/p>\n\n\n\n<p><strong>1. Ausgangslage:<\/strong><\/p>\n\n\n\n<p>Unter dem GwG sind Finanzintermedi\u00e4re namentlich dazu verpflichtet, umfassend Personendaten zur Identifikation des Vertragspartners, Feststellung der wirtschaftlich berechtigen Person und Angaben zu Transaktionen zu sammeln. Schliesslich besteht die Pflicht zur Erstellung eines Kundenprofils (KYC). Im Falle von Gesch\u00e4ftsbeziehungen mit erh\u00f6htem Risiko (GMER) bzw. Transaktionen mit erh\u00f6htem Risiko (TMER) unterliegen Finanzintermedi\u00e4re einer nochmals gesteigerten Abkl\u00e4rungs- und Dokumentationspflicht. Dazu kommen umfassende Aufbewahrungspflichten gem\u00e4ss GwG. In der Praxis zeigt sich denn auch immer wieder, dass insbesondere im Zusammenhang mit internationaler Kundschaft in- und ausl\u00e4ndische Finanzintermedi\u00e4re (z.B. bei der Er\u00f6ffnung eines neuen Bankkontos) sowie zum Teil auch Steuerbeh\u00f6rden dokumentierte Informationen voraussetzen, welche weit \u00fcber die gesetzlichen Verj\u00e4hrungs- und Aufbewahrungsfristen hinausgehen. Hierbei erwarten Kunden regelm\u00e4ssig, das der Finanzintermedi\u00e4r diese Informationen zur Verf\u00fcgung stellen kann.<\/p>\n\n\n\n<p>Im Gegensatz dazu sieht sich der Finanzintermedi\u00e4r gem\u00e4ss DSG mit dem (Daten)- Bearbeitungsgrundsatz der Verh\u00e4ltnism\u00e4ssigkeit und der Transparenz konfrontiert. Aus ersterem fliesst insbesondere die Pflicht zur Datenminimierung und die Verpflichtung, die Daten nur insoweit zu bearbeiten, als es f\u00fcr deren Bearbeitungszweck notwendig ist. Des Weiteren muss daraus eine Verpflichtung zur L\u00f6schung nach Zweckerf\u00fcllung abgeleitet werden.<\/p>\n\n\n\n<p>Der Tenor gem\u00e4ss GwG scheint, je mehr Daten desto besser. Dies steht wiederum im konzeptionellen Widerspruch zum DSG. Was bedeutet das in der Praxis?<\/p>\n\n\n\n<p><strong>2. Generelles Verh\u00e4ltnis zwischen GwG und DSG:<\/strong><\/p>\n\n\n\n<p>Bei Verletzungen der Datenbearbeitungsgrunds\u00e4tze nach DSG, die der Finanzintermedi\u00e4r in Anwendungen der Sorgfaltspflichten des GwG begeht, wird er sich ggf. auf den gesetzlichen Rechtfertigungsgrund gem\u00e4ss Art. 31 Abs. 1 DSG berufen k\u00f6nnen. Von einer grunds\u00e4tzlichen Derogation des DSG, in Anwendung des GwG, kann er aber nicht ausgehen.<\/p>\n\n\n\n<p>Gem\u00e4ss Art. 33 GwG richtet sich die Bearbeitung von Personendaten im Rahmen des GwG grunds\u00e4tzlich nach dem DSG. Datenbearbeitungen im Zusammenhang mit Geldw\u00e4scherei-Verdachtsmeldungen nach Art. 9 GwG (bzw. nach Art. 305 Abs. 2 StGB), werden vom Gesetzgeber als besonders delikat empfunden und richten sich nach Art. 34-35a GwG.<\/p>\n\n\n\n<p><strong>3. Praktische Umsetzung:<\/strong><\/p>\n\n\n\n<p>F\u00fcr die Finanzintermedi\u00e4re bedeutet dies in der Praxis nichts anderes, als dass sie die <strong>Bearbeitungsgrunds\u00e4tze<\/strong> des DSG auch in Erf\u00fcllung ihrer Sorgfaltspflichten gem\u00e4ss GwG einhalten m\u00fcssen. Namentlich gilt das f\u00fcr:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Verh\u00e4ltnism\u00e4ssigkeit (Art 6 Abs. 2 DSG):<\/strong> Die Datenbearbeitung darf nicht weiter gehen, als es zur Erf\u00fcllung des Bearbeitungszwecks notwendig ist. Beispielsweise sollten Datenbanken (CRM etc.) mit Zugriffsbeschr\u00e4nkungen versehen sein. Unzul\u00e4ssig w\u00e4re auch eine fl\u00e4chendeckende, auf jede Kundenbeziehung angewendete, vertiefte Abkl\u00e4rung zur Herkunft von Verm\u00f6genswerten (Source of Funds, Source of Wealth), ohne entsprechenden Anlass aus dem GwG (GMER etc.).<\/li>\n\n\n\n<li><strong>Transparenzgebot (Art. 6 Abs. 3 DSG):<\/strong> Bei der Beschaffung von Personendaten muss der Zweck der Beschaffung f\u00fcr die betroffene Person erkennbar sein. In diesem Zusammenhang gilt es die Informationspflicht gem\u00e4ss Art. 19 DSG zu beachten. In der Praxis versuchen Verantwortliche dieser Pflicht mittels allgemeiner Datenschutzerkl\u00e4rungen (bspw. durch verf\u00fcgbar machen auf der Webseite) nachzukommen.<\/li>\n\n\n\n<li><strong>Zweckbindung (Art. 6 Abs. 3 DSG):<\/strong> Personendaten d\u00fcrfen nur insoweit bearbeitet werden, als dass es mit dem Beschaffungszweck zu vereinbaren ist. Beispielsweise d\u00fcrfen Daten, die zum Zwecke der Identifizierung des Vertragspartners erhoben wurden, nicht per se zu Marketingzwecken verwendet werden (Zustellung Newsletter etc.). Ist der Zweck erf\u00fcllt, m\u00fcssen die Daten gel\u00f6scht werden. In Anbetracht der eingangs erw\u00e4hnten Erwartungshaltung gegen\u00fcber Finanzintermedi\u00e4ren, Daten auch noch Jahrzehnte nach deren Erhebung zur Verf\u00fcgung zu haben, kann diese Vorgabe in der Praxis Probleme bereiten.<\/li>\n\n\n\n<li><strong>Datenrichtigkeit (Art. 6 Abs. 5 DSG):<\/strong> Der Finanzintermedi\u00e4r hat daf\u00fcr zu sorgen, dass die bearbeiteten Daten richtig sind. Er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollst\u00e4ndig sind. Beispielsweise m\u00fcssen Adress\u00e4nderungen oder neue Telefonnummern von Kunden nachgef\u00fchrt werden. Meldungen \u00fcber solche \u00c4nderungen m\u00fcssen verlangt oder vereinbart werden.<\/li>\n\n\n\n<li><strong>Datensicherheit (Art. 8 DSG): <\/strong>Der Finanzintermedi\u00e4r hat durch geeignete technische und organisatorische Massnahmen f\u00fcr die Datensicherheit besorgt zu sein. Aus technischer Hinsicht hat er seine Server beispielsweise mit Firewalls zu sch\u00fctzen oder gespeicherte Daten zu verschl\u00fcsseln. Aus organisatorischer Sicht hat er seine Mitarbeiter namentlich zu schulen und Weisungen zu erlassen.<\/li>\n<\/ul>\n\n\n\n<p><strong>4. Weitere Pflichten gem\u00e4ss DSG:<\/strong><\/p>\n\n\n\n<p>Mit den folgenden Ausf\u00fchrung sollen die grundlegenden Pflichten gem\u00e4ss DSG, inklusive allf\u00e4lliger Sanktionen bei Verletzung, aufgezeigt werden.<\/p>\n\n\n\n<p>In Erf\u00fcllung ihrer Sorgfaltspflichten gem\u00e4ss GwG, m\u00fcssen Finanzintermedi\u00e4re nebst den erw\u00e4hnten Bearbeitungsgrunds\u00e4tzen des Weiteren eine m\u00f6gliche Pflicht zur Erstellung eines <strong>Bearbeitungsverzeichnisses<\/strong> (Art. 12 DSG) pr\u00fcfen. Damit ist ein \u00dcberblick \u00fcber s\u00e4mtliche Datenbearbeitungen innerhalb des Unternehmens zu verstehen. Insbesondere sind darin Angaben \u00fcber die Identit\u00e4t des Verantwortlichen, den Bearbeitungszweck und eine Beschreibung der Kategorien betroffener Personen und bearbeiteter Personendaten sowie zum Empf\u00e4nger der Daten zu machen. F\u00fcr KMU hat der Bundesrat eine Erleichterung bzw. eine Enthebung zur Pflicht der Erstellung eines Bearbeitungsverzeichnisses vorgesehen (Art. 12 Abs. 5 DSG). Ein Blick auf die Sanktionsbestimmungen des DSG (Art. 60 ff. DSG) zeigt jedoch, dass ein Unterlassen dieser Pflicht keine direkten Sanktionen nach sich zieht. Aus Gr\u00fcnden der \u00dcbersichtlichkeit, Kontrolle und angesichts potentieller Auskunftsbegehren durch Betroffene, ist eine F\u00fchrung des Bearbeitungsverzeichnisses jedoch auch f\u00fcr KMUs zu empfehlen.<\/p>\n\n\n\n<p>Im Gegensatz zur Datenschutz-Grundverordnung der EU (DSGVO) steht es Finanzintermedi\u00e4ren unter dem DSG grunds\u00e4tzlich frei, eine <strong>Datenschutzberaterin<\/strong> zu ernennen oder nicht. Ein Datenschutzberater sollte den Entscheidungstr\u00e4gern in Fragen des Datenschutzes beratend und unterst\u00fctzend zur Seite stehen und keinesfalls selber entscheiden. Nicht zuletzt sollte damit in der Praxis eine pers\u00f6nliche Haftung der Datenschutzberaterin vermieden werden k\u00f6nnen. Relevante (gesetzliche) Vorteile bringt die Ernennung einer Datenschutzberaterin indes nicht. Einziger Vorteil gem\u00e4ss DSG ist die m\u00f6gliche Umgehung der Konsultationspflicht mit dem Eidgen\u00f6ssischen Datenschutz- und \u00d6ffentlichkeitsbeauftragten (ED\u00d6B) im Rahmen einer Datenschutz-Folgenabsch\u00e4tzung (Art. 23 Abs. 4 DSG).<\/p>\n\n\n\n<p>Eine <strong>Datenschutz-Folgenabsch\u00e4tzung<\/strong> gem\u00e4ss Art. 22 DSG m\u00fcssen Finanzintermedi\u00e4re immer dann in Betracht ziehen, wenn eine Datenbearbeitung ein hohes Risiko f\u00fcr die Pers\u00f6nlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Zu denken ist hier insbesondere auch an KI-gest\u00fctzte Anwendungen zur Bearbeitung von Personendaten. Mit der Datenschutz-Folgenabsch\u00e4tzung sollen einerseits Risiken erkannt und bewertet und andererseits mitigierende Massnahmen aufgezeigt werden. Gem\u00e4ss Art. 22 Abs. 4 DSG sind private Verantwortliche namentlich dann von der Pflicht zur Erstellung einer Datenschutz-Folgeabsch\u00e4tzung ausgenommen, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind. Dies gilt folglich insbesondere f\u00fcr Datenbearbeitungen durch Finanzintermedi\u00e4re im Rahmen des GwG. Die Verletzung der Pflicht zur Erstellung einer Datenschutz-Folgeabsch\u00e4tzung zieht wiederum keine direkten Sanktionen gem\u00e4ss DSG nach sich (vgl. Art. 60 ff. DSG).<\/p>\n\n\n\n<p>Des Weiteren m\u00fcssen Finanzintermedi\u00e4re die Voraussetzungen im Zusammenhang mit einer allf\u00e4lligen <strong>Bekanntgabe von Personendaten ins Ausland<\/strong> (Art. 16 ff. DSG) kennen. Personendaten d\u00fcrfen immer dann ins Ausland transferiert werden, wenn die ausl\u00e4ndische Gesetzgebung einen angemessenen Schutz bietet bzw. dem Schweizer Datenschutzniveau entspricht. Welche L\u00e4nder diese Voraussetzungen erf\u00fcllen wird vom Bundesrat festgelegt und im Anhang 1 der Datenschutzverordnung (DSV) publiziert. M\u00f6chte ein Finanzintermedi\u00e4r Daten in ein Land bekanntgeben, das nicht auf der genannten Liste steht (insbesondere L\u00e4nder ausserhalb EWR), muss ein geeigneter Datenschutz gem\u00e4ss Art. 16 Abs. 2 lit. a-e DSG durch anderweitige Massnahmen gew\u00e4hrleistet sein. Namentlich durch: Einen v\u00f6lkerrechtlichen Vertrag, entsprechende Datenschutzklauseln in einem Vertrag, Standartvertragsklauseln (SCC) oder verbindliche unternehmensinterne Datenschutzvorschriften (BCR). Art. 17 DSG regelt Ausnahmen von den Vorschriften gem\u00e4ss Art. 16 DSG. Beispielsweise d\u00fcrfen Personendaten ins Ausland bekannt gegeben werden, wenn die betroffene Person in die Bekanntgabe eingewilligt hat oder die Bekanntgabe in unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages steht. Wer die Bestimmungen im Zusammenhang mit der Bekanntgabe von Personendaten ins Ausland verletzt, kann auf Antrag mit Busse bestraft werden (Art. 61 DSG).<\/p>\n\n\n\n<p>Nach Art. 24 DSG sind <strong>Datensicherheitsverletzungen (Data Breach)<\/strong>, die voraussichtlich zu einem hohen Risiko f\u00fcr die Pers\u00f6nlichkeit oder Grundrechte der betroffenen Person f\u00fchren, dem ED\u00d6P zu melden. Finanzintermedi\u00e4re haben zudem aufsichtsrechtliche Meldepflichten zu beachten (insbesondere FINMA). Im Gegensatz zur DSGVO wird eine unterbliebene Meldung gem\u00e4ss DSG nicht direkt sanktioniert (vgl. Art. 60 ff. DSG).<\/p>\n\n\n\n<p>Der Finanzintermedi\u00e4r muss sich f\u00fcr jede Datenbearbeitung mit Einbezug von Dritten der Rollenverteilung zwischen <strong>Verantwortlichem<\/strong> und <strong>Auftragsbearbeiter<\/strong> bewusst sein. Der Verantwortliche ist derjenige, der \u00fcber Zweck und Mittel der Datenbearbeitung entscheidet. Er bestimmt also, warum und auf welche Art Daten bearbeitet werden und tr\u00e4gt die Hauptverantwortung f\u00fcr die Rechtm\u00e4ssigkeit dieser Bearbeitung. Der Auftragsbearbeiter hingegen bearbeitet die Personendaten niemals f\u00fcr eigene Zwecke, sondern ausschliesslich im Auftrag und auf Weisungen des Verantwortlichen (Bspw. Cloud Provider). Der Verantwortliche muss sicherstellen, dass die Zusammenarbeit mit dem Auftragsbearbeiter vertraglich geregelt ist und den Anforderungen des DSG entspricht.<\/p>\n\n\n\n<p>Nach Art. 60 DSG wird zudem mit Busse bestraft, wer <strong>Informationspflichten <\/strong>gegen\u00fcber Betroffenenbei der Beschaffung von Personendaten nicht einh\u00e4lt, das<strong> Auskunftsrecht <\/strong>betroffener Personen nicht wahrt oder<strong> Mitwirkungspflichten<\/strong> im Rahmen von Untersuchungen des ED\u00d6P verletzt.<\/p>\n\n\n\n<p>Haben Sie weitere Fragen zu diesem Thema? Oder ben\u00f6tigen Sie Hilfe bei der Umsetzung in ihrem Unternehmen? Z\u00f6gern Sie nicht, uns zu kontaktieren!<\/p>\n\n\n\n<p>Der Autor:&nbsp;<\/p>\n\n\n\n<p><strong>Dominik Wasmer<\/strong><br>MLaw, TEP, DAS Compliance Management (HSLU)<br>CAS Datenschutz (Universit\u00e4t Z\u00fcrich)<br>Vice President, Legal &amp; Compliance Officer<br>dominik.wasmer@mandaris.com<br>Phone: +41 61 285 17 17<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><\/h4>\n\n\n\n<p><br><br><br><br><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine nicht zu untersch\u00e4tzende Frage, denn seit der Einf\u00fchrung des revidierten DSG k\u00f6nnen nat\u00fcrliche Personen (und nicht etwa das handelnde Unternehmen) f\u00fcr Verletzungen des DSG mit Bussen von bis zu CHF 250\u2018000 bestraft werden. Das revidierte DSG ist nun seit gut zwei Jahren in Kraft. Eine Rekapitulation f\u00fcr Finanzintermedi\u00e4re: 1. Ausgangslage: Unter dem GwG sind [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":133,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[3],"tags":[],"class_list":["post-2732","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"acf":[],"_links":{"self":[{"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/posts\/2732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/comments?post=2732"}],"version-history":[{"count":3,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/posts\/2732\/revisions"}],"predecessor-version":[{"id":2741,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/posts\/2732\/revisions\/2741"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/media\/133"}],"wp:attachment":[{"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/media?parent=2732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/categories?post=2732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mandaris.com\/de\/wp-json\/wp\/v2\/tags?post=2732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}