GZ: 2020-0.280.699 vom 28. Mai 2020 (Verfahrenszahl: DSB-D124.720)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Richard A*** (Beschwerdeführer) vom 29. April 2019 gegen die N*** Bank AG (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:
1. Der Beschwerde wird stattgegeben und es wird festgestellt , dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem ein Mitarbeiter der Beschwerdegegnerin im Zuge eines Währungswechsels von 100 Euro in Türkische Lira eine Kopie vom Führerschein des Beschwerdeführers angefertigt hat und diese Kopie von der Beschwerdegegnerin einbehalten und gespeichert wurde.
2. Der Beschwerdegegnerin wird aufgetragen , innerhalb einer Frist von vier Wochen die in Spruchpunkt 1 genannten Daten zu löschen.
Rechtsgrundlagen : Art. 4 Z 1, Z 2 und Z 11, Art. 6 Abs. 1 lit. c, Art. 7 Abs. 4, Art. 9, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 lit. g und Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999 idgF; §§ 2 Z 1, Z 6 und Z 15, 5 Z 4, 6 Abs. 1 und Abs. 2, 11 Abs. 1 sowie 21 Abs. 1 Z 1 des Finanzmarkt-Geldwäschegesetzes (FM-GwG), BGBl. I Nr. 118/2016 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingabe vom 29. April 2019, verbessert durch Eingabe vom 11. Juni 2019, brachte der Beschwerdeführer zusammengefasst vor, dass die Beschwerdegegnerin ihn in seinem Recht auf Geheimhaltung verletzt habe.
Der Filialleiter der Beschwerdegegnerin habe die Vorlage eines Lichtbildausweises verlangt, da der Beschwerdeführer den Geldbetrag in Höhe von 100 Euro in Türkische Lira (TRY) wechseln lassen wollte. Der Beschwerdeführer, welcher ehemaliger Kunde der Beschwerdegegnerin war, habe sich vorerst geweigert, aber schließlich seinen Führerschein vorgelegt. Daraufhin habe die Beschwerdegegnerin den Führerschein des Beschwerdeführers kopiert und gespeichert, wobei die Beschwerdegegnerin die Kopie einbehalten habe. Die Forderungen der Beschwerdegegnerin nach einer Identitätsprüfung seien überschießend und ohne gesetzliche Grundlage erfolgt. Der Beschwerdeführer wies darauf hin, dass sich die Beschwerdegegnerin in einer an ihn gerichteten brieflichen Auskunft vom 3. Mai 2019 auf das FM-GwG berufen habe und sowohl der Filialleiter der Beschwerdegegnerin, als auch die Beschwerdegegnerin selbst die personenbezogenen Daten des Beschwerdeführers missbräuchlich erhoben und verwendet hätten. Der Beschwerdeführer monierte überdies eine Verletzung von Art. 9 DSGVO.
2. Mit Erledigung (GZ: DSB-D124.720/0003-DSB-2019) vom 28. Juni 2019 forderte die Datenschutzbehörde die Beschwerdegegnerin zur Stellungnahme auf.
3. Mit Schreiben vom 26. Juli 2019 (ha. eingelangt am 31. Juli 2019) teilte die Beschwerdegegnerin mit, dass der Währungswechsel von EUR in TRY bzw. das Bestellen einer Fremdwährung, das Erheben von Identitätsdaten erfordere, damit die dafür notwendige Bareinzahlung als Guthaben auf dem Kundensammelkonto zugeordneten werden könne.
Zudem sei die Beschwerdegegnerin, aufgrund des durch die 4. EU-Geldwäsche-Richtlinie (RL 2015/849) ergangenen FM-GwG gesetzlich verpflichtet gewesen, die Identität des Beschwerdeführers festzustellen. Auf dieser Grundlage habe die Beschwerdegegnerin Sorgfaltsmaßnahmen ohne Rücksicht auf die Höhe des ein- und auszahlenden Betrages dann anzuwenden, wenn auch nur der Verdacht hinsichtlich Geldwäsche oder Terrorismusfinanzierung entsteht gemäß § 5 Z 4 FM-GwG und im Zweifel Identitätsdokumente gemäß § 6 Abs. 1 Z 1 FM-GwG zu verlangen. Die Weigerung des Beschwerdeführers, ein Dokument zur Identitätsfeststellung vorzulegen, sei als auffälliges Kundenverhalten interpretiert worden. Der hinzugezogene Bankstellenleiter habe den Beschwerdeführer als ehemaligen Kunden erkannt und habe die Erinnerung gehabt, dass es sich bei dem Beschwerdeführer um einen Bediensteten einer höheren Bundesbehörde handle und habe die Aufforderung einen Ausweis vorzulegen wiederholt, um im Sinne des FM-GwG eine PeP (Politisch exponierte Person) Prüfung gemäß § 2 Z 6 iVm § 11 FM-GwG durchführen zu können. Ein Kunde, der eine gelegentliche Transaktion iSd § 2 Z 15 FM-GwG durchführen will, stelle aus Know-Your-Customer-Sicht überdies ein erhöhtes Risiko dar, da der Beschwerdegegnerin in einem solchen Fall weder der Kunde selbst, noch sein Verhalten bekannt sei.
Des Weiteren habe die Beschwerdegegnerin gemäß § 21 Abs. 1 FM-GwG die Verpflichtung, Kopien der erhaltenen Dokumente und Informationen, die für die Erfüllung der Sorgfaltspflichten gegenüber Kunden erforderlich sind, für die Dauer von fünf Jahren aufzubewahren.
4. Mit Erledigung (GZ: DSB-D124.720/0004-DSB/2019) vom 31. Juli 2019 räumte die Datenschutzbehörde dem BF Parteiengehör ein.
5. Mit Eingabe vom 21. August 2019 nahm der Beschwerdeführer Stellung und führte aus, dass es nicht nachvollziehbar sei, dass die Beschwerdegegnerin sich bei der Erhebung der Identitätsdaten auf die Zuordnung des Guthabens stütze, da er von der Bank einen Beleg über die Einzahlung von 100 Euro für den Währungswechsel erhalten habe und mit diesem Beleg sei jede Person in der Lage gewesen, sich den Türkischen Lira Betrag auszahlen zu lassen, daher sei eine Identitätsfeststellung nicht notwendig gewesen.
Des Weiteren sei die Beschwerdegegnerin bzw. der Bankstellenleiter im Irrtum, wenn davon ausgegangen werde, dass es sich bei der Person des Beschwerdeführers um einen Bediensteten einer höheren Bundesbehörde handle, da er während der Zeit der Kundenbeziehung mit der Beschwerdegegnerin Zollbeamter gewesen sei. Auch bei seiner derzeitigen Position handle es sich um die Bezeichnung „juristischer Mitarbeiter“. Daraus ergebe sich, dass § 2 Z 6 iVm § 11 FM-GwG auf den Beschwerdeführer nicht anwendbar sei.
Die Beschwerdegegnerin habe rechtlich unrichtig hinsichtlich des FM-GwG argumentiert. Dabei führt der Beschwerdeführer das Rundschreiben der Finanzmarktaufsicht vom 18.12.2018 hinsichtlich der „Sorgfaltspflichten zur Prävention von Geldwäscherei und Terrorismusfinanzierung“ und den Leitfaden der H***-Bank an, wonach 100 Euro nicht unter das FM-GWG falle, da die Wertgrenze von EUR 1.000,00 bzw. EUR 15.000 nicht überschritten worden sei. Daraus ergebe sich, dass die Beschwerdegegnerin ohne Rechtsgrundlage die Identitätsdaten des Beschwerdeführers gefordert habe.
6. Mit Erledigung (GZ: DSB-D124.720/0006-DSB/2019) vom 15. November 2019 forderte die Datenschutzbehörde die Beschwerdegegnerin neuerlich zur Stellungnahme auf.
7. Die Beschwerdegegnerin erstattete mit elektronischem und postalischem Schreiben vom 4. Dezember 2019 (ha. eingelangt am 9. Dezember 2019) eine Stellungnahme, in der sie anführte, dass es bei der Behebung von bestellten Fremdwährungen zu Überschneidungen auf dem Kundensammelkonto kommen könne. Um zu verhindern, dass der Fremdwährungsbetrag an einen anderen Kunden ausgezahlt werden würde, sei ein Ausweisdokument notwendig.
Der Beschwerdeführer verkenne die Rechtslage, da sich die Wertgrenze von EUR 1.000,00 nur auf den Tatbestand des § 5 Z 2 lit. b FM-GwG beziehe. Dahingegen normiere § 5 Z 4 FM-GwG einen Tatbestand, der auf subjektive Kriterien abstelle. Daher haben die Bankmitarbeiter a priori zu beurteilen, ob ein in diesem Sinne auffälliges Kundenverhalten vorliege und im Zweifel Identitätsdokumente gemäß § 6 Abs. 1 Z 1 FM-GwG zu verlangen seien. Der Bankstellenleiter habe ohne Nachforschung entscheiden müssen und sei nicht in der Lage gewesen zu prüfen, ob es sich bei dem Beschwerdeführer tatsächlich um eine politisch exponierte Person handle.
8. Mit Erledigung (GZ: DSB-D124.720/0007-DSB/2019) vom 10. Dezember 2019 räumte die Datenschutzbehörde dem Beschwerdeführer neuerlich Parteiengehör ein.
9. Seitens des Beschwerdeführers erging kein weiteres Vorbringen.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt hat, indem ein Mitarbeiter der Beschwerdegegnerin im Zuge eines Währungswechsels von 100 Euro in TRY den Führerschein des Beschwerdeführers kopiert hat und die Beschwerdegegnerin die Kopie einbehalten und gespeichert hat.
C. Sachverhaltsfeststellungen
Bei der Beschwerdegegnerin handelt es sich, um die zur FN: *3*80*1a beim Landesgericht O*** protokollierte N*** Bank AG, die als Kreditinstitut Tätigkeiten im Inland über Zweigstellen (Filialen) erbringt. Die Filiale N*** Bank E***Stadt sowie der Bankstellenleiter dieser Filiale werden der Beschwerdegegnerin zugerechnet.
Beweiswürdigung : Die Feststellungen stützen sich auf die Angaben auf der Website der Beschwerdegegnerin (www.n***bank.at/de/privatkunden/Standorte/filiale-e***stadt.html, eingesehen am 20. Mai 2020) sowie einer Abfrage des Firmenbuchs durch die Datenschutzbehörde.
Der Beschwerdeführer betrat am 23.04.2019 die Bankfiliale N*** Bank E***Stadt der Beschwerdegegnerin um den Bargeldbetrag in Höhe von 100 Euro in Türkische Lira (TRY) wechseln zu lassen. Daraufhin wurde vom Beschwerdeführer verlangt, einen Lichtbildausweis für den Währungswechsel vorzulegen. Der Beschwerdeführer weigerte sich. Daraufhin wurde der Bankstellenleiter hinzugezogen, welcher den Beschwerdeführer als ehemaligen Kunden erkannte und erinnerlich war, dass es sich um einen Bediensteten einer höheren Bundesbehörde gehandelt hatte. Daraufhin wiederholte der Bankstellenleiter die Aufforderung einen Lichtbildausweis (Reisepass) zur Identifikation vorzulegen, bei sonstigem Abbruch des Währungswechselvorganges. Daraufhin legte der Beschwerdeführer seinen Führerschein vor, welcher kopiert wurde. Die Kopie wurde einbehalten und gespeichert. Der Beschwerdeführer hat über die Einzahlung einen Beleg erhalten.
Beweiswürdigung : Die Feststellungen ergeben sich aus den insofern unstrittigen Vorbringen der Parteien in ihren Eingaben vor der Datenschutzbehörde sowie insbesondere aus der erwähnten Eingabe des Beschwerdeführers 29. April 2019, verbessert durch Eingabe vom 11. Juni 2019.
D. In rechtlicher Hinsicht folgt daraus:
Zu Spruchpunkt 1:
D1. Einleitendes:
Wenngleich der Beschwerdeführer den Bankstellenleiter sowie die Beschwerdegegnerin als Verantwortliche anführt, ist festzuhalten, dass dieser als Arbeitnehmer der Beschwerdegegnerin der Beschwerdegegnerin zuzurechnen und nicht als eigenständiger datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Z 7 DSGVO zu qualifizieren ist, da dieser nicht über Zweck und nicht (ausreichend) über Mittel der gegenständlich relevanten Datenverarbeitung entschieden hat, da er hiebei unter Einhaltung der Vorgaben seiner Arbeitgeberin agierte.
Einleitend gilt es weiters festzuhalten, dass im gegenständlichen Fall eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG zu überprüfen ist und sich Beschränkungen dieses Anspruchs aus Abs. 2 leg. cit., allerdings nicht aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO ergeben. Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch zur Auslegung des Rechts auf Geheimhaltung jedenfalls zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Darunter ist der Schutz der betroffenen Person vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. Rein begrifflich setzt dieser Vorgang somit eine Verarbeitung personenbezogener Daten beim Verantwortlichen voraus.
Als Verarbeitung wird jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe verstanden, die im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung steht (vgl. Art. 4 Z 2 DSGVO).
Bei dem Erheben und Kopieren des Führerscheins des Beschwerdeführers, sowie der Einbehaltung und Speicherung der Kopie handelt es sich unstrittig um die Verarbeitung personenbezogener Daten .
Entgegen dem ursprünglichen Vorbringen des Beschwerdeführers handelt es sich bei den betroffenen Daten jedoch um keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (vgl. dazu aus der ständigen Rechtsprechung der Datenschutzbehörde zuletzt den Bescheid vom 21. Jänner 2020, GZ 2020-0.013.649).
D2. Zur Beschränkung des Geheimhaltungsanspruchs:
Nach § 1 Abs. 2 DSG sind Beschränkungen des Geheimhaltungsanspruchs nur zulässig, wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, bei überwiegenden berechtigten Interessen eines anderen oder bei Vorhandensein einer qualifizierten gesetzlichen Grundlage.
Im gegenständlichen Fall sind keine lebenswichtigen Interessen des Beschwerdeführers erkennbar, ebenso lag keine Einwilligung zur Datenverarbeitung vor. Zu überprüfen ist daher zunächst, ob eine gesetzliche Grundlage als Erlaubnistatbestand möglich oder vorhanden ist.
Zur gesetzlichen Grundlage:
Im gegenständlichen Fall brachte die Beschwerdegegnerin vor, dass sie gemäß den Vorgaben des FM-GwG gesetzlich verpflichtet ist, die Identität des Beschwerdeführers festzustellen und die Kopien für die Dauer von fünf Jahren nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Zeitpunkt einer gelegentlichen Transaktion aufzubewahren.
Anzuwendende Rechtsvorschriften des FM-GwG:
§ 2 Z 1, Z 6 und Z 15 FM-GwG, BGBl. I Nr. 118/2016 idgF lautet samt Überschrift wie folgt:
Begriffsbestimmungen
§ 2. Für die Zwecke dieses Bundesgesetzes bezeichnet der Ausdruck:
[...]
§ 5 FM-GwG, BGBl. I Nr. 118/2016 idgF lautet samt Überschrift wie folgt:
Anwendung der Sorgfaltspflichten
§ 5. Die Verpflichteten haben in folgenden Fällen Sorgfaltspflichten gegenüber Kunden gemäß § 6 anzuwenden:
§ 6 Abs 1 und Abs 2 FM-GwG, BGBl. I Nr. 118/2016 idgF lautet samt Überschrift wie folgt:
Umfang der Sorgfaltspflichten
§ 6. (1) Die Sorgfaltspflichten gegenüber Kunden umfassen:
(2) Die Überprüfung der Identität gemäß Abs. 1 Z 1 hat bei
§ 11 Abs. 1 FM-GwG, BGBl. I Nr. 118/2016 idgF lautet samt Überschrift wie folgt:
Transaktionen und Geschäftsbeziehungen mit politisch exponierten Personen
§ 11. (1) Die Verpflichteten haben zusätzlich zu den in § 6 festgelegten Sorgfaltspflichten gegenüber Kunden
Ganz allgemein ist festzuhalten, dass das FM-GwG das Ziel verfolgt, Geldwäsche und Terrorismusfinanzierung zu verhindern und deshalb u.a. Kreditinstituten bestimmte Sorgfaltspflichten auferlegt.
Nicht jegliche Transaktion stellt jedoch eine Transaktion zugunsten der oben genannten verpönten Zwecke dar.
Wie festgestellt, handelt es sich bei der Beschwerdegegnerin um die N*** Bank AG und unterliegt diese als Kreditinstitut iSd § 2 Z 1 FM-GwG den Bestimmungen des FM-GwG.
Die gesetzliche Sorgfaltspflicht der Beschwerdegegnerin ergibt sich aus § 6 Abs. 1 Z 1 FM-GwG und umfasst die „Feststellung der Identität des Kunden und Überprüfung der Identität auf der Grundlage von Dokumenten, Daten oder Informationen, die von einer glaubwürdigen und unabhängigen Quelle stammen“.
Die Überprüfung der Identität hat gemäß § 6 Abs. 2 Z 1 leg. cit. bei einer natürlichen Person durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen.
Bei dem Beschwerdeführer handelte es sich sowohl um einen ehemaligen als auch einen neuen Kunden, welcher eine gelegentliche Transaktion im Sinne des § 2 Z 15 leg. cit. durchführen wollte.
§ 5 Z 2 FM-GwG normiert, dass bei gelegentlichen Transaktionen die Sorgfaltspflichten des § 6 FM-GwG unter folgenden Voraussetzungen anzuwenden sind:
Bei dem Geldwechsel des Beschwerdeführers im Gegenwert von 100 Euro handelte es sich um einen Betrag unterhalb der Wertgrenze des § 5 Z 2 FM-GwG, somit sind die Sorgfaltspflichten des § 5 Z 2 FM-GwG auf den Beschwerdeführer nicht anwendbar.
Gemäß § 5 Z 4 FM-GwG hat der Verpflichtete bereits bei Verdacht hinsichtlich Geldwäsche oder Terrorismusfinanzierung die Sorgfaltsmaßnahmen anzuwenden. Der Argumentation der Beschwerdegegnerin, dass a priori bzw. durch die Weigerung des Beschwerdeführers, einen Lichtbildausweis vorzulegen, der Verdacht auf Geldwäsche oder Terrorismusfinanzierung entstanden wäre, wird nicht gefolgt:
Aus dem festgestellten Sachverhalt und aus dem Vorbringen der Verfahrensparteien ergeben sich keine Anhaltspunkte, dass der Beschwerdeführer ein auffälliges Verhalten gesetzt hat, dass eine Identitätsfeststellung gemäß § 5 Z 4 FM-GwG rechtfertigen würde. Das bloße Nachfragen bzw. die Weigerung, einen Identitätsausweis vorzulegen, kann nicht ohne weitere Anhaltspunkte dazu führen, dass berechtigter Grund zu der Annahme besteht, dass ein Betroffener einer terroristischen Vereinigung iSd § 278b StGB angehört oder dass ein Betroffener objektiv an Transaktionen mitwirkt, die der Geldwäscherei nach § 165 StGB – unter Einbeziehung von Vermögensbestandteilen, die aus einer strafbaren Handlung des Täters selbst herrühren – oder der Terrorismusfinanzierung nach § 278d StGB dienen.
Die Beschwerdegegnerin hat zusätzlich ausgeführt, dass eine Identitätsfeststellung nach § 6 FM-GwG gerechtfertigt gewesen sei, weil zu prüfen gewesen sei, ob der Beschwerdeführer eventuell eine PeP (Politisch exponierte Person) sei (§ 2 Z 6 iVm § 11 FM-GwG). Wie festgestellt, war dem Bankstellenleiter aus früheren Geschäftsbeziehungen zum Beschwerdeführer bekannt, dass es sich bei diesem, um einen Bediensteten einer „höheren Bundesbehörde“ handelt. Ein Bediensteter einer „höheren Bundebehörde“ ist jedoch nicht gleichbedeutend mit der PeP-Eigenschaft des § 2 Z 6 FM-GwG, wo beispielsweise Staatschefs, Parlamentsabgeordnete oder Richter des Verfassungsgerichtshofs genannt werden.
Hier wird deutlich, dass der Beschwerdeführer, selbst bei nur rudimentären Kenntnissen über die Position des Beschwerdeführers, keine der dort angeführten Tatbestände erfüllt.
Im Übrigen wäre hinsichtlich der Prüfung, ob der Beschwerdeführer eine PeP ist, als gelinderes Mittel iSd § 1 Abs. 2 letzter Satz DSG ein Nachfragen in Betracht gekommen.
Die Feststellung der Identität des Beschwerdeführers durch die Beschwerdegegnerin war nach Ansicht der Datenschutzbehörde daher nicht durch § 1 Abs. 2 DSG gedeckt und somit rechtswidrig.
Zur Einwilligung:
In Art. 4 Z 11 DSGVO wird Einwilligung definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Gemäß Art. 7 Abs. 4 DSGVO sowie unter Berücksichtigung von Art. 4 Z 11 und EG 43 DSGVO muss eine Einwilligung freiwillig erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt sein, obwohl diese Einwilligung zur Erfüllung dieses Vertrags nicht erforderlich ist. Unfreiwillig ist eine Einwilligung dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist (vgl. dazu den Bescheid der Datenschutzbehörde vom 16. April 2019, GZ DSB D213.679/0003-DSB/2018).
Im gegenständlichen Fall stellt sich die Frage, ob der Beschwerdeführer eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten (Führerschein) erteilt hat bzw. ob diese gültig zustande gekommen ist und den in der DSGVO normierten Anforderungen entspricht.
Wie sich aus den Feststellungen ergibt, macht der Beschwerdeführer in seinem Vorbringen deutlich, dass er der Verarbeitung seines Führerscheins nicht freiwillig zugestimmt hat, da ansonsten der gewünschte Geldwechsel nicht vollzogen worden wäre und er bei Nichtvorlage seines Führerscheins einen Nachteil zu erwarten gehabt hätte.
Die Einwilligung zur Verarbeitung der personenbezogenen Daten des Beschwerdeführers war auch nicht erforderlich für den Währungswechsel in Türkische Lira (TRY), da der Beschwerdeführer einen Beleg über die Einzahlung von 100 Euro für den Währungswechsel erhalten hat und somit die Überweisung durch den Beleg zurechenbar war. Die Verarbeitung des Führerscheins war dafür nicht notwendig.
Die gegenständlichen Datenverarbeitungen erweist sich daher als unrechtmäßig
D3. Ergebnis
Die Datenschutzbehörde kommt daher zu dem Ergebnis, dass aufgrund der Prüfung der Voraussetzungen des FM-GwG die Anwendung der Sorgfaltspflichten auf die gegenständliche Transaktion nicht anwendbar waren. Daher ist die gegenständliche Verarbeitung des Führerscheins, ohne das Vorliegen einer qualifizierten rechtlichen Grundlage erfolgt.
Es lag auch keine Zustimmung oder eine andere zulässige Beschränkung des Geheimhaltungsanspruchs iSd. § 1 Abs. 2 DSG vor, weshalb eine Verletzung im Recht auf Geheimhaltung vorliegt.
Es war daher spruchgemäß zu entscheiden.
Zu Spruchpunkt 2:
Da die Voraussetzungen für die Verarbeitung der verfahrensgegenständlichen Daten nicht vorlagen, wurden sie von Beginn an unrechtmäßig verarbeitet, weshalb diese gemäß Art. 17 Abs. 1 lit. d DSGVO zu löschen sind.
Die Datenschutzbehörde macht daher amtswegig von ihrer Befugnis gemäß Art. 58 Abs. 2 lit. g DSGVO Gebrauch (zur Zulässigkeit einer amtswegigen Anordnung siehe das Erkenntnis des Bundesverwaltungsgerichts vom 4. Juni 2019, GZ W214 2213623-1).
Rückverweise
RIS