Wir haben vorige Woche näher behandelt, wie man Ausweise in der täglichen Praxis und laut DSGVO zu behandeln hat.
Unter anderem haben wir zusammengefasst:
> Wann muss ich ein Pass einholen? Was sagt dazu die FMA?
> Wie stellen Sie fest, ob ein vorgelegter ausländischer Pass echt ist?
> Wie speichere ich ihn sicher ab? Wie sende ich ihn weiter?
Und dazu haben wir auch interessante Urteile gefunden, die zeigen, wie man es nicht machen darf / soll:
> Topaktuell: UBER: 290 Mio. € Strafe wegen Übermittlung von Daten in die USA
> Taxifahrer fotografiert Führerschein und versendet ihn über WhatsApp
Zum Nachlesen von Teil 1 dieser Serie klicken Sie hier…
Heute sehen wir uns ein weiteres Urteil näher an, weil auch wir daraus lernen können.
Hier folgt nun der 2. Teil des Beitrags von Mag. Stephan Novotny.
Urteil gegen Bank wegen unberechtigter Verarbeitung der Passdaten
Sich einfach auf das FM-GWG zu berufen und einen Pass zu verlangen ist auch nicht die Lösung: Ein Urteil der Österreichischen Datenschutzbehörde (DSB) aus dem Jahre 2020 – das meiner Ansicht viel zu wenig bekannt ist – zeigt deutlich auf, wann eine Speicherung eines Lichtbildausweises durch die Bank nicht erlaubt ist.
Worum ging es? Der Beschwerdeführer wollte in der Bank 100 € in türkische Lira tauschen. Der Bankmitarbeiter verlangte einen Ausweis, andernfalls man das Wechseln nicht durchführe. Der Mann weigerte sich vorerst, legt dann doch den Führerschein vor. Dieser wurde kopiert und gespeichert. Eine Beschwerde bei der DSB war die Folge.
Die Bank verteidigte sich mit Obliegenheiten aufgrund des FM-GwG, dem Finanzmarkt-Geldwäschegesetz. Sie hätte bei bloßem Verdacht hinsichtlich Geldwäsche oder Terrorismusfinanzierung Sorgfaltsmaßnahmen anzuwenden und im Zweifel Identitätsdokumente zu verlangen. Seine Weigerung – Anmerkung: den Pass vorzulegen – sei als auffälliges Kundenverhalten interpretiert worden. Darüber hinaus hätte der Beschwerdeführer bei einer höheren Bundesbehörde gearbeitet habe, daher sei er eine PEP, eine politisch exponierte Person und daher eine Prüfung durchzuführen gewesen.
Gegen diesen Bescheid hat die Beschwerdegegnerin Beschwerde an das Bundesverwaltungsgericht (BVwG) erhoben. Der Bescheid ist aber nach einer mündlichen Verhandlung seit 13. 7. 2022 rechtskräftig geworden.
Was lernen wir daraus? Nur weil sich ein Unternehmen auf Geldwäsche, PEP oder sonstigem beruft, muss dennoch die Verarbeitung von personenbezogenen Daten trotzdem nicht erlaubt sein. Daher seien Sie vorsichtig und prüfen Sie, ob die Rechtsvorschriften dies erlauben.
Beste Grüße von Mag. Novotny und dem IVVA-Team
Quellen: Webseite der Datenschutzbehörde dsb.at, RIS.at,
Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung, für IVVA Mitglieder sogar zum Spezialpreis.
RA Mag. Stephan Novotny, Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12