Die polnische Datenschutzbehörde (UODO) hat dieser gängigen Praxis mit einem Bußgeld von 4,3 Millionen Euro (18,4 Mio. PLN) gegen die ING Bank Slaski einen klaren Riegel vorgeschoben. Das Urteil vom 23. Juli 2025 zeigt, dass auch Gesetze zur Geldwäschebekämpfung (AML) keinen Freibrief für eine wahllose Datenerhebung darstellen.

Der Fall: Pauschales Scannen von Ausweisen im Namen der Geldwäscheprävention

Über einen Zeitraum von 17 Monaten scannte die ING Bank Slaski systematisch die Ausweisdokumente vieler Kunden und potenzieller Kunden. In vielen Fällen wurde eine Geschäftsbeziehung verweigert, wenn die Person dem Scannen ihres Ausweises nicht zustimmte. Die Bank rechtfertigte diese Vorgehensweise mit ihren Pflichten aus den Gesetzen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML).

Die Untersuchung der UODO ergab jedoch, dass die internen Richtlinien der Bank das Scannen von Ausweisen vorschrieben, ohne dabei zwischen Situationen mit und ohne konkretes Geldwäscherisiko zu unterscheiden. Es fand keine fallweise Risikobewertung statt, bevor die Ausweise gescannt wurden.

Die Entscheidung der Behörde: AML-Pflichten rechtfertigen keine anlasslose Datensammlung

Die UODO erklärte die Praxis der Bank für rechtswidrig und stellte Verstöße gegen die DSGVO-Grundsätze der Rechtmäßigkeit, Zweckbindung und Datenminimierung (Art. 5 und 6 DSGVO) fest. Die Argumentation der Behörde ist für alle verpflichteten Unternehmen des Finanzsektors von zentraler Bedeutung:

  1. AML-Gesetze erfordern eine Risikoanalyse, kein pauschales Scannen: Die nationalen AML-Gesetze verlangen von Finanzinstituten eine fallweise Bewertung des Geldwäscherisikos, bevor sie Sicherheitsmaßnahmen wie die Identitätsprüfung anwenden. Ein pauschales, anlassloses Scannen der Ausweise aller Kunden ist daher nicht von der gesetzlichen Pflicht gedeckt.

  2. Verstoß gegen die Datenminimierung: Die Behörde stellte fest, dass ein vollständiger Scan des Ausweises viel mehr Daten erfasst, als zur reinen Identifizierung notwendig wäre. Sichtbar sind beispielsweise die Augenfarbe, die Körpergröße oder die Unterschrift. Zur Erfüllung der gesetzlichen Pflicht hätte es ausgereicht, die relevanten Daten (wie Name, Geburtsdatum, Ausweisnummer) manuell zu erfassen und zu speichern.

  3. Hohes Risiko auch ohne sensible Daten: Obwohl Ausweisdaten nicht als „besondere Kategorien personenbezogener Daten“ (Art. 9 DSGVO) gelten, betonte die UODO, dass ihre Verarbeitung aufgrund der Gefahr des Identitätsdiebstahls ein hohes Risiko für die Betroffenen darstellt.

Was bedeutet das Urteil für Ihr Unternehmen (nicht nur für Banken)?

  • Gesetzliche Pflichten sind kein Blankoscheck: Selbst wenn ein Gesetz (wie das Geldwäschegesetz) Sie zur Datenerhebung verpflichtet, müssen Sie immer den Grundsatz der Datenminimierung beachten. Sammeln Sie nur die Daten, die zur Erfüllung der spezifischen gesetzlichen Anforderung unbedingt erforderlich sind.

  • Keine „Datensammlung auf Vorrat“: Die anlasslose Sammlung von Daten, weil sie in einem späteren Fall möglicherweise nützlich sein könnten, ist ein klarer Verstoß gegen den Grundsatz der Zweckbindung. Die Notwendigkeit muss zum Zeitpunkt der Erhebung bestehen.

  • Prüfen Sie Ihre Identifizierungsprozesse: Unternehmen in regulierten Branchen (Finanzen, Telekommunikation, Glücksspiel etc.) müssen ihre Prozesse zur Kundenidentifizierung (KYC) dringend überprüfen. Ist ein vollständiger Scan wirklich notwendig und gesetzlich gefordert, oder reicht das Erfassen spezifischer Datenfelder?

  • Dokumentieren Sie Ihre Risikoanalyse: Wenn Sie sich für eine intensivere Datenerhebung entscheiden (wie einen Scan), müssen Sie in der Lage sein, eine dokumentierte, fallbezogene Risikoanalyse vorzulegen, die diese Entscheidung rechtfertigt.

FAQ: Ausweiskopien & DSGVO – Was Sie wissen müssen

  • Darf ich als Unternehmen eine Kopie des Personalausweises meiner Kunden verlangen?
    Nur in sehr eng begrenzten Ausnahmefällen, in denen ein Gesetz dies ausdrücklich vorschreibt (z.B. § 8 GwG, § 111 TKG). Eine freiwillige Kopie ist möglich, aber der Kunde darf dadurch nicht benachteiligt werden. Als Standardprozess ist es fast immer unzulässig.

  • Was ist, wenn der Kunde freiwillig einer Kopie zustimmt?
    Selbst dann gilt die Datenminimierung. Sie müssen nicht benötigte Daten auf der Kopie schwärzen (lassen), wie z.B. die Zugangs- und Seriennummer oder die biometrischen Daten.

  • Gilt dieses Urteil auch für andere Branchen, z.B. Hotels oder Autovermietungen?
    Ja, das Prinzip gilt branchenübergreifend. Jedes Unternehmen muss nachweisen, warum eine Ausweiskopie oder ein Scan zur Vertragserfüllung oder zur Erfüllung einer rechtlichen Pflicht erforderlich ist. Die Hürden dafür sind sehr hoch.

  • Reicht es, die Ausweiskopie nach der Identifizierung wieder zu löschen?
    Das reduziert das Risiko, heilt aber nicht den ursprünglichen Verstoß der übermäßigen Datenerhebung. Der Grundsatz „Privacy by Design“ verlangt, den datensparsamsten Prozess von Anfang an zu wählen.

Fazit: Ein Ende der anlasslosen Ausweiskopie-Praxis

Das Urteil der polnischen Datenschutzbehörde ist ein Meilenstein im Kampf gegen die übermäßige Datenerhebung. Es macht unmissverständlich klar, dass gesetzliche Verpflichtungen nicht als Vorwand für eine „Sammelwut“ missbraucht werden dürfen. Jedes Unternehmen ist nun aufgerufen, seine KYC- und Identifizierungsprozesse kritisch zu hinterfragen und auf das absolut notwendige Maß zu reduzieren. Die Zeit, in der das Scannen von Ausweisen zum Standardprozedere gehörte, neigt sich dem Ende zu.

Inhalt