DSGVO-Konformität und On-Premise-Architektur

Ob Sie ein Maklerbüro, eine Versicherungsagentur, ein Reiseveranstalter oder ein anderes Unternehmen sind, das einer sanktionsrechtlichen Screening-Pflicht unterliegt – Sie bleiben der alleinige Verantwortliche für die Daten Ihrer Kundinnen und Kunden. Sanqto liefert Ihnen lediglich das Werkzeug, das Sie lokal bei sich betreiben.

1. Kein AVV erforderlich. Da Sanqto die Daten Ihrer Kundinnen und Kunden nicht verarbeitet, besteht keine Rechtsgrundlage für den Abschluss eines Auftragsverarbeitungsvertrags im Sinne von Art. 28 DSGVO. Ihre Rechtsabteilung hat ein bewegliches Teil weniger.
2. Keine Drittlandübermittlung. Art. 44 DSGVO greift nur dann, wenn Daten den EWR verlassen. Im On-Premise-Modell verlassen die Daten Ihr Netzwerk nicht – in keine Richtung. Eine Transfer-Folgenabschätzung (TIA), die Prüfung des Schrems-II-Urteils oder der Einsatz von Standardvertragsklauseln (SCC) entfallen damit.
3. Kein Risiko einer „Schatten-Auftragsverarbeitung“. Wenn Sie Cloud-SaaS-Lösungen für das Sanktions-Screening nutzen, hat der Anbieter regelmäßig Unter-Auftragsverarbeiter (CDN, Hyperscaler, KI-Anbieter). Jeder von ihnen erweitert die Angriffsfläche und muss bewertet werden. Bei On-Premise gibt es diese Kaskade nicht.

Das Screening einer Kundin oder eines Kunden gegen die EU-Sanktionsliste ist eine Verarbeitung personenbezogener Daten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt. Konkrete Quellen der Verpflichtung:

1. Art. 2 der Verordnung (EU) Nr. 269/2014 des Rates – Verbot der Bereitstellung von Geldern oder wirtschaftlichen Ressourcen sowie der Erbringung von Dienstleistungen an gelistete Personen;
2. Verordnung (EU) Nr. 833/2014 des Rates – sektorale Sanktionen gegen Russland;
3. § 18 Außenwirtschaftsgesetz (AWG) i.V.m. §§ 74 ff. AWV – Sanktionsrechtliche Pflichten und Bußgeldrahmen (Bußgelder bis zu 500 000 EUR nach § 19 AWG, in schweren Fällen bzw. bei vorsätzlicher Begehung Strafbarkeit nach § 18 AWG mit Freiheitsstrafe);
4. Geldwäschegesetz (GwG) – soweit Ihr Unternehmen Verpflichteter im Sinne des § 2 GwG ist (Risikomanagement, Sicherungspflichten gegenüber gelisteten Personen);
5. Richtlinie (EU) 2024/1226 zur Kriminalisierung von Verstößen gegen restriktive Maßnahmen – maßgeblich für die Umsetzung im deutschen Strafrecht (Sanktionsdurchsetzungsgesetze).

Wichtige praktische Konsequenzen:

1. Die Prüfung erfordert keine Einwilligung der Kundin oder des Kunden – Art. 6 Abs. 1 lit. c DSGVO ist eine eigenständige Rechtsgrundlage;
2. Die Informationspflicht nach Art. 13 DSGVO erfüllen Sie gegenüber Ihrer Kundin oder Ihrem Kunden, indem Sie in Ihrer Datenschutzerklärung den Zweck „Erfüllung der Pflichten aus VO (EU) 269/2014 und AWG“ angeben;
3. Die Aufbewahrungsdauer der Berichte beträgt 5 Jahre – sie ergibt sich aus § 8 GwG sowie steuerrechtlichen Aufbewahrungspflichten (10 Jahre nach § 147 AO für Buchungsbelege); dies stellt einen Rechtfertigungsgrund im Sinne der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO dar.

Die Kommunikation der Anwendung mit der Sanqto-Infrastruktur ist unidirektional – vom Sanqto-Server zu Ihrer Anwendung.

1. BaFin, FIU Deutschland (Zentralstelle für Finanztransaktionsuntersuchungen), Zoll und Datenschutzaufsicht. Die von der Anwendung erzeugten Berichte enthalten einen Zeitstempel, die Version der Referenzlisten, eine Bediener-Kennung sowie einen Hash der Eingabedatei. Das Format entspricht den Erwartungen einer behördlichen Prüfung.
2. 5-jährige Archivierung. Die Anwendung speichert Berichte lokal – in dem von Ihnen festgelegten Verzeichnis. Sanqto empfiehlt die Ablage auf einem verschlüsselten Volume mit einer Offsite-Datensicherung.
3. Audit auf Seiten von Sanqto. Kundinnen und Kunden der Enterprise-Variante können den Zugriff auf den Bericht aus Penetrationstests der Sanqto-Distributionsinfrastruktur, ISO-27001-Zertifikate (nach deren Erlangung) sowie das Verzeichnis der Unter-Auftragsverarbeiter der Infrastruktur, die die Ansprechpersonen-Daten der Sanqto-Kunden verarbeitet, anfordern.

Auch wenn Sanqto den Großteil der Compliance-Operationen vereinfacht, verbleiben einige Punkte auf Ihrer Seite:

1. ergänzen Sie Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT, Art. 30 DSGVO) um die Tätigkeit „Prüfung von Kundinnen und Kunden gegen EU-Sanktionslisten“ mit der Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO;
2. ergänzen Sie Ihre Datenschutzerklärung um diese Tätigkeit (Zweck, Rechtsgrundlage, Speicherfrist 5 Jahre);
3. halten Sie in Ihrer internen Geldwäsche- bzw. Sanktions-Verfahrensanweisung fest, wer bei Ihnen ein Ergebnis vom Typ „Treffer“ bearbeitet und wie Sie die Verdachtsmeldung an die FIU Deutschland nach § 43 GwG fristgerecht erstatten;
4. sichern Sie die Hardware, auf der die Anwendung installiert ist, lokal ab (Zugangskontrolle, Festplattenverschlüsselung, Datensicherung des Berichtsverzeichnisses);
5. vergeben Sie Berechtigungen für die Anwendung an den kleinstmöglichen Kreis von Mitarbeitenden und führen Sie ein Zugriffsprotokoll.

Sie benötigen Unterstützung bei der Umsetzung dieser Punkte? Die Enterprise-Variante umfasst einen festen Ansprechpartner sowie eine Team-Schulung – vereinbaren Sie ein Einführungsgespräch.

Kontakt in Angelegenheiten der DSGVO und der Sicherheitsarchitektur: privacy@sanqto.com.

Die vollständigen Grundsätze der Datenverarbeitung durch Sanqto beschreibt die Datenschutzerklärung.