DSGVO Artikel 17: Das Recht auf Löschung im Spannungsfeld mit AML-Anforderungen (DE)

Das DSGVO-AML-DilemmaDas Abwägen des Rechts einer betroffenen Person auf Löschung gemäß DSGVO Artikel 17 mit den obligatorischen AML-Aufbewahrungsfristen erfordert ein tiefes Verständnis der Rechtsgrundlagen und des Datenlebenszyklusmanagements.

Rechtsgrundlagen für die DatenaufbewahrungOrganisationen müssen die spezifischen rechtlichen Verpflichtungen oder berechtigten Interessen identifizieren und dokumentieren, die die Speicherung personenbezogener Daten über den Antrag einer betroffenen Person auf Löschung hinaus rechtfertigen, insbesondere für die AML-Compliance.

Strategische DatenminimierungDie Implementierung einer Datenminimierungsstrategie, gekoppelt mit klaren Datenaufbewahrungsrichtlinien und sicheren Löschprotokollen, ist unerlässlich, um Risiken zu mindern und die Einhaltung sowohl der DSGVO- als auch der AML-Vorschriften zu gewährleisten.

Didits konforme LösungenDidits modulare, KI-native Plattform mit robuster AML-Screening & Überwachung und einer flexiblen API zur Datenlöschung befähigt Unternehmen, diese komplexen regulatorischen Landschaften effizient und sicher zu navigieren, Compliance zu gewährleisten und gleichzeitig die operative Effektivität aufrechtzuerhalten.

DSGVO Artikel 17 verstehen: Das Recht auf Löschung

DSGVO Artikel 17, oft als „Recht auf Vergessenwerden“ oder „Recht auf Löschung“ bekannt, gewährt Einzelpersonen das Recht, unter bestimmten Umständen die Löschung ihrer personenbezogenen Daten zu verlangen. Diese Umstände umfassen Fälle, in denen Daten für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind, die Einwilligung widerrufen wird oder Daten unrechtmäßig verarbeitet wurden. Für Unternehmen ist die prompte und effektive Beantwortung solcher Anfragen ein Kernprinzip der DSGVO-Compliance.

Das Recht auf Löschung ist jedoch nicht absolut. Artikel 17 Absatz 3 nennt mehrere Ausnahmen, von denen eine der bedeutendsten die Notwendigkeit der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung ist. Hier wird die Schnittstelle zu den Vorschriften zur Bekämpfung der Geldwäsche (AML) besonders komplex. Finanzinstitute und andere regulierte Unternehmen sind gesetzlich verpflichtet, bestimmte Kundendaten für bestimmte Zeiträume, oft fünf bis zehn Jahre, aufzubewahren, um Finanzkriminalität zu verhindern und aufzudecken.

Wenn beispielsweise ein Kunde, dessen Identität überprüft wurde, die Löschung der Daten beantragt, kann ein Finanzinstitut dem nicht sofort nachkommen, wenn diese Daten für die laufende AML-Aufbewahrung erforderlich sind. Die Herausforderung besteht darin, die genaue Rechtsgrundlage für die Aufbewahrung zu identifizieren und dies der betroffenen Person klar mitzuteilen. Eine ordnungsgemäße Dokumentation der Rechtsgrundlage für die Verarbeitung und Aufbewahrung ist von größter Bedeutung, um die Einhaltung sowohl der DSGVO- als auch der AML-Anforderungen nachzuweisen.

Die Notwendigkeit der AML-Datensatzführung

AML-Vorschriften, wie sie sich aus FATF-Empfehlungen und nationalen Gesetzen ergeben, auferlegen regulierten Unternehmen strenge Verpflichtungen zur Erhebung und Aufbewahrung von Daten zur Kundenidentifizierung, Transaktionsaufzeichnungen und anderen relevanten Informationen. Diese Aufzeichnungen sind entscheidend für die Durchführung von Due Diligence, die Überwachung von Transaktionen auf verdächtige Aktivitäten und die Unterstützung der Strafverfolgungsbehörden bei Ermittlungen. Die typische Aufbewahrungsfrist für solche Daten beträgt oft fünf Jahre nach Beendigung der Geschäftsbeziehung, kann jedoch je nach Gerichtsbarkeit und spezifischen Umständen variieren.

Der Zweck der AML-Datensatzführung besteht darin, das Finanzsystem vor illegalen Aktivitäten wie Geldwäsche und Terrorismusfinanzierung zu schützen. Dieses öffentliche Interesse hat oft Vorrang vor dem Recht einer Einzelperson auf Löschung, wenn ein direkter Konflikt besteht. Wenn beispielsweise Didits AML-Screening & Überwachung eine potenzielle Übereinstimmung auf einer Sanktionsliste identifiziert, müssen die mit dieser Person verbundenen Daten für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt werden, unabhängig von einem Löschantrag.

Der Schlüssel für Unternehmen ist es, robuste Systeme zu haben, die zwischen Daten unterscheiden können, die für AML-Zwecke aufbewahrt werden müssen, und Daten, die gelöscht werden können. Dies erfordert eine sorgfältige Datenverwaltung, klare Datenaufbewahrungspläne und ein Verständnis dafür, wie verschiedene Datenpunkte zu verschiedenen Compliance-Verpflichtungen beitragen.

Den Konflikt navigieren: Strategien für Compliance

Das erfolgreiche Abwägen von DSGVO Artikel 17 mit den AML-Aufbewahrungspflichten erfordert einen vielschichtigen Ansatz. Hier sind die wichtigsten Strategien:

1. Rechtsgrundlagen klar identifizieren: Dokumentieren Sie für jedes erhobene personenbezogene Datum die spezifische Rechtsgrundlage für dessen Verarbeitung und Aufbewahrung. Für AML-bezogene Daten ist die Rechtsgrundlage der rechtlichen Verpflichtung primär. Artikulieren Sie klar, welche Daten unter die AML-Aufbewahrungspflichten fallen und für wie lange.
2. Datenminimierung und Zweckbindung: Erheben und speichern Sie nur Daten, die für den beabsichtigten Zweck unbedingt erforderlich sind. Vermeiden Sie es, Daten „nur für den Fall“ aufzubewahren. Dies reduziert den Umfang der personenbezogenen Daten, die Löschungsanträgen unterliegen, und vereinfacht die Compliance. Didits modulare Architektur unterstützt dies, indem sie Unternehmen ermöglicht, nur die Identitätsüberprüfungskomponenten auszuwählen, die sie benötigen.
3. Granulares Datenmanagement: Implementieren Sie Systeme, die eine selektive Löschung von Daten ermöglichen. Nicht alle Daten, die während eines Identitätsüberprüfungsprozesses erhoben wurden, müssen für AML aufbewahrt werden. Beispielsweise könnten einige biometrische Daten, die für die Lebenderkennung verwendet werden, früher gelöscht werden als die Kerndokumente zur Identitätsprüfung. Didits API, insbesondere der Delete Session Endpunkt, ermöglicht die dauerhafte Löschung von Verifizierungssitzungen und aller zugehörigen Daten, was die für eine granulare Compliance erforderliche Flexibilität bietet.
4. Transparente Kommunikation: Wenn eine betroffene Person die Löschung beantragt, erklären Sie klar und prägnant, warum bestimmte Daten aufgrund von AML-Verpflichtungen aufbewahrt werden müssen, unter Angabe der relevanten rechtlichen Bestimmungen. Transparenz schafft Vertrauen und hilft, Erwartungen zu managen.
5. Automatisierte Datenaufbewahrungsrichtlinien: Implementieren Sie automatisierte Systeme, die Datenaufbewahrungsrichtlinien basierend auf gesetzlichen Anforderungen anwenden können. Sobald die AML-Aufbewahrungsfrist abläuft, sollten die Daten automatisch zur Löschung oder Anonymisierung markiert werden, im Einklang mit dem Prinzip der „Speicherbegrenzung“.
6. Regelmäßige Audits und Überprüfungen: Überprüfen Sie regelmäßig die Datenaufbewahrungsrichtlinien und -praktiken, um sicherzustellen, dass sie mit den sich entwickelnden DSGVO- und AML-Vorschriften konform bleiben. Dies umfasst die Bewertung der Notwendigkeit der Aufbewahrung bestimmter Datenkategorien.

Wie Didit hilft

Didit, als KI-native, entwicklerorientierte Identitätsplattform, ist einzigartig positioniert, um Unternehmen bei der Navigation durch die Komplexität von DSGVO Artikel 17 und der AML-Datensatzführung zu unterstützen. Unsere modulare Architektur ermöglicht eine präzise Kontrolle über Datenerhebung und -aufbewahrung und befähigt Sie, vielfältige regulatorische Anforderungen zu erfüllen.

Didits AML-Screening & Überwachung Produkt bietet robuste Funktionen zur Identifizierung von Hochrisikopersonen und -unternehmen und stellt sicher, dass Sie Ihre gesetzlichen Verpflichtungen erfüllen. Unser System generiert detaillierte Aufzeichnungen für die AML-Compliance, die für Audits und Untersuchungen entscheidend sind. Entscheidend ist, dass Didits Plattform mit Blick auf Compliance entwickelt wurde. Wir sind ISO 27001 zertifiziert, DSGVO-konform und bereit für den EU AI Act, um sicherzustellen, dass unsere Infrastruktur und Prozesse die höchsten internationalen Standards für Informationssicherheit und Datenschutz erfüllen.

Unsere flexiblen APIs, einschließlich des Delete Session Endpunkts, ermöglichen es Ihnen, den Datenlebenszyklus programmatisch zu verwalten, sodass Sie Verifizierungssitzungen und alle zugehörigen Daten, einschließlich Biometrie und Dokumente, gemäß Ihren Datenaufbewahrungsrichtlinien und DSGVO-Löschanträgen dauerhaft löschen können, während Sie dennoch AML-Haltefristen respektieren. Diese granulare Kontrolle ist unerlässlich, um das richtige Gleichgewicht zu finden.

Mit Didit profitieren Sie von:

• Kostenlosem Core KYC: Beginnen Sie mit der Verifizierung von Identitäten ohne Vorabkosten, um die wesentliche Compliance vom ersten Tag an zu gewährleisten.
• Modularer Architektur: Verwenden und speichern Sie nur die Identitätsüberprüfungskomponenten, die Sie benötigen, und unterstützen Sie so die Prinzipien der Datenminimierung.
• KI-nativen Lösungen: Nutzen Sie fortschrittliche KI für eine genaue Verifizierung und AML-Screening, reduzieren Sie manuelle Überprüfungen und steigern Sie die Effizienz.
• Keine Einrichtungsgebühren: Beginnen Sie schnell und integrieren Sie nahtlos, konzentrieren Sie sich auf Compliance ohne finanzielle Barrieren.

Didit bietet die Tools, um Verifizierungsworkflows zu orchestrieren, Risiken zu managen und Vertrauen zu automatisieren, alles unter Einhaltung strenger Vorschriften zum globalen Datenschutz und zur Bekämpfung von Finanzkriminalität.

Bereit, loszulegen?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Verifizierung von Identitäten mit Didits kostenlosem Tarif.