Zwei Aufsichten, ein Regelwerk
Zum ersten Mal schreiben der Europäische Datenschutzausschuss und die neu arbeitsfähige Geldwäschebekämpfungsbehörde ein gemeinsames Regelwerk. Ihre Ankündigung vom 1. Juli 2026 verpflichtet beide Gremien auf gemeinsame Leitlinien dazu, wie Firmen Erkenntnisse bündeln können, um Geldwäsche und Terrorismusfinanzierung zu bekämpfen und zugleich die Datenschutz-Grundverordnung zu wahren. Ein aus beiden Behörden besetztes Redaktionsteam führt die Arbeit, und beide Aufsichten erklären, als Gleichberechtigte beizutragen.
Die Bedeutung für Eigentümer und Betreiber ist struktureller Art. Bislang stand eine Bank, die einem Wettbewerber Verdachtssignale melden wollte, vor zwei Aufsichten, die zur selben Übermittlung unterschiedliche Schlüsse ziehen konnten. Ein koordinierter Text beseitigt diese Weggabelung. Es ist das klarste Zeichen bisher, dass Brüssel Finanzkriminalitätsaufsicht und Datenschutz als ein verzahntes Regime führen will, nicht als zwei aneinander vorbei redende Behörden.
Was Artikel 75 tatsächlich erlaubt
Der rechtliche Motor ist Artikel 75 der Geldwäscheverordnung. Er ermächtigt verpflichtete Unternehmen - Banken, Zahlungsdienstleister, Kryptowertanbieter und weitere regulierte Berufe - dazu, Informationen untereinander und mit öffentlichen Behörden auszutauschen, wo dies der Bekämpfung von Finanzkriminalität dient. Das ist eine erhebliche Erweiterung der Kanäle, über die Kundendaten rechtmässig zwischen Wettbewerbern fliessen dürfen.
Der Haken ist, dass jeder solche Austausch zugleich eine Verarbeitung personenbezogener Daten ist und damit unter die DSGVO fällt. Die gemeinsamen Leitlinien sollen diese Spannung auflösen: Sie sollen darlegen, wie eine Austauschpartnerschaft so aufgebaut wird, dass sie zugleich unter beiden Regimen tragfähig ist. Eigentümer sollten dies als die Blaupause lesen, die definiert, wie eine rechtssaubere Austauschpartnerschaft in der Union aussieht.
Die Uhr läuft auf den 10. Juli 2027
Der Informationsaustauschmechanismus der Geldwäscheverordnung wird am 10. Juli 2027 wirksam. Das ist kein weiches Ziel. Banken und Finanzinstitute, die die neuen Austauschbefugnisse nutzen wollen - oder von Partnern gebeten werden, geteilte Daten zu empfangen - brauchen Governance, Verträge und Datenschutzfolgenabschätzungen vor diesem Datum.
Die Abfolge ist eng. Die Aufsichten planen noch 2026 eine Stakeholder-Veranstaltung, um die dringendsten Klärungspunkte zu ermitteln, und danach im ersten Halbjahr 2027 eine öffentliche Konsultation zum Leitlinienentwurf. Das lässt ein schmales Fenster zwischen fertigem Text und Startdatum, sodass Firmen nicht auf die fertigen Leitlinien warten können, bevor sie mit der Ausgestaltung beginnen.
Der Zug des Eigentümers
Die praktische Anweisung an Vorstände lautet, dies als gemeinsames AML- und Datenschutzprogramm zu behandeln, nicht als Aufgabe eines einzelnen Schreibtischs. Rechts-, Finanzkriminalitäts- und Datenschutzfunktionen, die bisher getrennt liefen, müssen nun einem koordinierten Standard antworten, was bedeutet, dass sie jetzt gemeinsam planen sollten, statt Positionen nachträglich abzugleichen.
Es gibt auch einen strategischen Vorteil. Firmen, die sich an der Stakeholder-Veranstaltung und der Konsultation 2027 beteiligen, können das Regelwerk mitgestalten, unter dem sie leben werden, und Vorreiter können einen sauberen Austauschrahmen in einen Wettbewerbsvorteil bei Vertrauen und Tempo verwandeln. Der Preis des Wartens ist ein Hauruck im zweiten Halbjahr 2027 gegen eine Frist, die sich nicht verschiebt.
Weiterlesen: Der erste Auskunftsantrag kann Missbrauch sein | Rechtswidrig erlangte Daten gewinnen vor Gericht



