DSGVO-Compliance für Edelmetallhändler in Österreich: Vollständiger Leitfaden
DSGVO-Anforderungen für Edelmetallhändler in Österreich
Als Edelmetallhändler in Österreich sind Sie in einer stark regulierten Branche tätig, in der sich Kundendatenschutz und Anforderungen zur Bekämpfung der Geldwäsche (AML) überschneiden. Die Datenschutz-Grundverordnung (DSGVO) legt strenge Verpflichtungen fest, wie Sie Kundeninformationen erheben, verarbeiten und speichern—und die korrekte Umsetzung schützt sowohl Ihre Kunden als auch Ihr Unternehmen.
Dieser Leitfaden führt Sie durch die wesentlichen Anforderungen, mit Fokus auf das, was nach österreichischem Recht tatsächlich für Ihr Unternehmen gilt.
Warum die DSGVO für Edelmetallhändler wichtig ist
Edelmetallhändler stehen vor einzigartigen Compliance-Herausforderungen, die andere Einzelhändler nicht kennen. Darum verdient Datenschutz Ihre Aufmerksamkeit:
- Hochwertige Transaktionen: Gold, Silber, Platin und andere Edelmetalle beinhalten erhebliche Geldbeträge—was Ihre Kundendaten besonders sensibel macht
- Know Your Customer (KYC)-Anforderungen: Verpflichtende Kundenidentifikation greift ab €10.000 nach österreichischem Geldwäschegesetz
- Meldepflichten für Transaktionen: Verdachtsmeldungen und Schwellenwerte für Bartransaktionen schaffen zusätzliche Anforderungen an die Datenverarbeitung
- Aufbewahrungsfristen: Gesetzliche Anforderungen zur Aufbewahrung von Kundendaten für 5-7 Jahre bedeuten, dass Sie sensible Informationen über längere Zeiträume speichern
Österreichischer Rechtsrahmen für Geldwäschebekämpfung
Hier liegt ein häufiger Fehler vieler Leitfäden: Edelmetallhändler unterliegen nicht dem FM-GwG (Finanzmarkt-Geldwäschegesetz). Dieses Gesetz gilt für Banken und Finanzinstitute.
Als Güterhändler ergeben sich Ihre AML-Verpflichtungen aus der Gewerbeordnung 1994 (GewO), konkret §§ 365m-365z. Diese Unterscheidung ist wichtig für das Verständnis Ihrer tatsächlichen rechtlichen Anforderungen:
| Sektor | Maßgebliches Gesetz | Aufsichtsbehörde |
|---|---|---|
| Banken, Kreditinstitute | FM-GwG | FMA |
| Edelmetallhändler | GewO 1994 §§ 365m-365z | Gewerbebehörde |
| Wertpapierfirmen | WAG 2018, FM-GwG | FMA |
Ihre Aufsichtsbehörde ist die Bezirksverwaltungsbehörde (Gewerbebehörde), nicht die FMA. Behalten Sie dies im Hinterkopf, wenn Sie Rat suchen oder Probleme melden.
Wichtige DSGVO-Verpflichtungen: Rechtsgrundlage für die Datenverarbeitung
Sie müssen eine gültige Rechtsgrundlage für die Verarbeitung von Kundendaten etablieren. Für Edelmetallhändler umfasst dies typischerweise:
- Rechtliche Verpflichtung: Einhaltung der GewO 1994 §§ 365m-365z und KYC-Anforderungen
- Vertragserfüllung: Verarbeitung erforderlich zur Erfüllung von Kauf- und Verkaufsvereinbarungen
- Berechtigte Interessen: Betrugsprävention und Geschäftsbetrieb (mit dokumentierter Interessenabwägung)
Beachten Sie, dass die Einwilligung generell nicht Ihre Rechtsgrundlage für KYC-Daten ist—Sie sind gesetzlich verpflichtet, diese zu erheben. Die Einwilligung kommt bei optionaler Verarbeitung wie Marketing-Kommunikation ins Spiel.
KYC und Kundenidentifikation
Nach § 365n GewO 1994 müssen Sie die Kundenidentität überprüfen wenn:
- Barzahlung €10.000 oder mehr beträgt
- Mehrere zusammenhängende Transaktionen €10.000 oder mehr ergeben (Strukturierungserkennung)
- Die Transaktion unabhängig vom Betrag ungewöhnlich oder verdächtig erscheint
Erforderliche Informationen
Für Transaktionen, die KYC auslösen, müssen Sie erfassen:
- Vollständiger Name und Geburtsdatum
- Adresse (überprüft via offiziellem Ausweis)
- Amtliche Lichtbildausweis-Details (Reisepass, Personalausweis oder Führerschein)
- Zweck der Transaktion
Für Firmenkunden müssen Sie zusätzlich wirtschaftlich Berechtigte über das WiEReG-Register identifizieren.
DSGVO-Grundsatz: Datenminimierung gilt weiterhin. Fordern Sie keine Informationen über das gesetzlich Erforderliche hinaus an—bei einem €500-Kauf benötigen Sie keine vollständige KYC-Dokumentation.
Datenspeicherung und Aufbewahrung
Hier machen viele Unternehmen Fehler. Hier sind die tatsächlichen Aufbewahrungsfristen nach österreichischem Recht:
| Dokumentenart | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| KYC-Dokumente (Güterhändler) | 5 Jahre | § 365y GewO 1994 |
| Allgemeine Buchhaltungsunterlagen | 7 Jahre | § 132 BAO |
| USt-Unterlagen für Immobilien | 22 Jahre | § 18 Abs 10 UStG |
Die 5-jährige AML-Aufbewahrungsfrist läuft ab Ende der Geschäftsbeziehung oder dem Transaktionsdatum bei Gelegenheitstransaktionen. Viele Unternehmen wenden 7 Jahre an, um sowohl AML- als auch Buchhaltungsanforderungen zu erfüllen—ein vernünftiger Ansatz, aber verstehen Sie den Unterschied.
Best Practice: Implementieren Sie automatisierte Löschfristen. Nach Ablauf der gesetzlichen Aufbewahrungsfristen müssen Kundendaten sicher gelöscht werden, es sei denn, es gilt eine andere Rechtsgrundlage. Dokumentieren Sie Ihre Aufbewahrungsrichtlinie klar.
Kundenrechte unter der DSGVO
Sie müssen diese Kundenrechte ermöglichen:
- Auskunftsrecht: Kunden innerhalb eines Kalendermonats Kopien ihrer Daten bereitstellen (nicht 30 Tage—diese Unterscheidung ist im Februar oder in Monaten mit 31 Tagen wichtig)
- Recht auf Berichtigung: Unrichtige Informationen umgehend korrigieren
- Recht auf Löschung: Daten löschen, wenn gesetzliche Aufbewahrungsfristen ablaufen (nicht während verpflichtender Aufbewahrung anwendbar)
- Recht auf Datenübertragbarkeit: Daten auf Anfrage in strukturiertem, maschinenlesbarem Format bereitstellen
Wichtig: Sie dürfen—und müssen—Löschanfragen ablehnen, wenn die Aufbewahrung gesetzlich für AML-Compliance vorgeschrieben ist. Erklären Sie dies Kunden, die Löschung beantragen, klar.
Sicherheitsmaßnahmen
Edelmetalltransaktionen beinhalten hochwertige Vermögenswerte, was Ihr Unternehmen zu einem attraktiven Ziel macht. Implementieren Sie robuste Sicherheit:
- Verschlüsselung: Verschlüsseln Sie Kundendatenbanken und Transaktionsaufzeichnungen sowohl im Ruhezustand als auch während der Übertragung
- Zugriffskontrollen: Beschränken Sie Mitarbeiterzugriff auf Kundendaten nach dem Need-to-know-Prinzip
- Audit-Protokollierung: Verfolgen Sie jeden Zugriff auf Kundendatensätze zur Rechenschaftspflicht
- Physische Sicherheit: Sichere Aufbewahrung physischer Dokumente in verschlossenen Schränken mit Zugangsprotokollen
- Pseudonymisierung: Trennen Sie wo möglich Identitätsdaten von Transaktionsdetails
Drittanbieter-Auftragsverarbeiter
Wenn Sie externe Dienste nutzen (Buchhaltungssoftware, CRM-Systeme, Cloud-Speicher), benötigen Sie ordnungsgemäße Vereinbarungen:
- Schließen Sie Auftragsverarbeitungsverträge (AVV) mit allen Verarbeitern ab
- Stellen Sie sicher, dass Verarbeiter DSGVO-Standards einhalten
- Überprüfen Sie, dass Datenübermittlungen außerhalb der EU angemessene Schutzmaßnahmen verwenden (Standardvertragsklauseln oder Angemessenheitsbeschlüsse)
- Führen Sie ein Register aller Verarbeiter, die Kundendaten handhaben
DSGVO und AML-Anforderungen in Einklang bringen
Die Überschneidung von Datenschutz und Geldwäschebekämpfung schafft spezifische Spannungen. So navigieren Sie diese:
Datenminimierung vs. Verstärkte Sorgfaltspflicht
Während die DSGVO minimale Datenerhebung erfordert, können AML-Verpflichtungen zusätzliche Informationen für Hochrisikokunden erfordern.
Lösung: Führen Sie dokumentierte Risikobewertungen durch und halten Sie fest, warum zusätzliche Daten für die Compliance notwendig sind. Dies schafft Ihre Audit-Spur.
Recht auf Löschung vs. Aufbewahrungspflichten
Kunden können Löschung beantragen, aber Sie können Daten innerhalb der 5-jährigen Aufbewahrungsfrist nicht löschen.
Lösung: Kommunizieren Sie Aufbewahrungsfristen bei der Erhebung klar an Kunden. Schulen Sie Mitarbeiter, zu erklären, warum sofortige Löschung nicht möglich ist und wann Daten gelöscht werden.
Praktische Compliance-Schritte
Schritt 1: Dateninventar
- Kartieren Sie alle Kundendaten, die Sie erheben, verarbeiten und speichern
- Identifizieren Sie die Rechtsgrundlage für jede Verarbeitungsaktivität
- Dokumentieren Sie Datenflüsse—wer auf Daten zugreift, wo sie gespeichert werden, wie lange sie aufbewahrt werden
Schritt 2: Datenschutzdokumentation
- Datenschutzerklärung: Veröffentlichen Sie eine umfassende Richtlinie, die Ihre Datenpraktiken erklärt
- Kundeninformation: Stellen Sie prägnante Datenschutzhinweise am Erhebungspunkt bereit
- Verzeichnis von Verarbeitungstätigkeiten: Führen Sie interne Dokumentation gemäß Artikel 30 DSGVO
Schritt 3: Technische Umsetzung
- Implementieren Sie sichere Datenbank mit Verschlüsselung
- Konfigurieren Sie Zugriffskontrollen und Authentifizierung (Multifaktor wo möglich)
- Richten Sie automatisierte Backups und Disaster Recovery ein
- Aktivieren Sie Audit-Protokollierung für alle Datenzugriffe
Schritt 4: Mitarbeiterschulung
- Schulen Sie Mitarbeiter zu DSGVO-Anforderungen und Kundenrechten
- Etablieren Sie Verfahren zur Bearbeitung von Betroffenenanfragen
- Führen Sie regelmäßige Auffrischungsschulungen durch—mindestens jährlich
Schritt 5: Incident Response
- Entwickeln Sie einen Datenschutzverletzungs-Reaktionsplan
- Etablieren Sie 72-Stunden-Meldeverfahren an die Österreichische Datenschutzbehörde (DSB)
- Bestimmen Sie Breach-Response-Team und Kontaktperson
Häufige Verstöße, die zu vermeiden sind
- Übermäßige Datenerhebung: Informationen anfordern, die nicht gesetzlich oder vertraglich erforderlich sind
- Unklare Einwilligung: Vage oder vorausgewählte Einwilligungsfelder für Marketing verwenden
- Unsichere Speicherung: Unverschlüsselte Kundendatenbanken oder Dokumente
- Fehlende AVVs: Drittanbieterdienste ohne ordnungsgemäße Auftragsverarbeitungsverträge nutzen
- Kundenrechte ignorieren: Nicht innerhalb eines Kalendermonats auf Auskunfts- oder Löschanfragen reagieren
- Kein Meldungsplan für Verstöße: Unvorbereitet auf Datensicherheitsvorfälle sein
Strafen bei Nichteinhaltung
Die Österreichische Datenschutzbehörde (DSB) kann verhängen:
- Bußgelder bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
- Verwarnungen und Rügen bei geringfügigen Verstößen
- Vorübergehende oder dauerhafte Verarbeitungsverbote
- Korrekturanordnungen, die spezifische Compliance-Maßnahmen erfordern
In der Praxis liegen die meisten österreichischen DSB-Bußgelder für KMU bei €5.000-15.000, aber schwerwiegende Verstöße ziehen deutlich höhere Strafen nach sich.
Offizielle Ressourcen
- Österreichische Datenschutzbehörde
- Gewerbeordnung 1994 (GewO) – das tatsächlich maßgebliche Gesetz für Güterhändler
- Bundesministerium für Finanzen – Geldwäsche-Informationen
- WKO – Geldwäsche-Prävention für Händler
- Europäischer Datenschutzausschuss
Holen Sie sich Experten-Unterstützung für DSGVO-Compliance
Die Navigation durch DSGVO-Anforderungen bei gleichzeitiger Einhaltung von AML-Verpflichtungen kann komplex sein—besonders wenn Online-Leitfäden die falschen Gesetze zitieren. VETOSEC spezialisiert sich auf Compliance für stark regulierte österreichische Unternehmen.
Unsere Dienstleistungen umfassen:
- DSGVO-Gap-Analyse speziell für Edelmetallhändler
- Datenschutzerklärung und Dokumentationsentwicklung
- Technische Sicherheitsbewertung und -implementierung
- Mitarbeiter-Schulungsprogramme
- Laufendes Compliance-Monitoring
Kontaktieren Sie VETOSEC noch heute für eine kostenlose Beratung zur Sicherung Ihrer Kundendaten und Erreichung vollständiger DSGVO-Compliance.
GDPR Requirements for Precious Metals Dealers in Austria
As a precious metals dealer in Austria, you operate in a highly regulated industry where customer data protection and anti-money laundering (AML) requirements intersect. The General Data Protection Regulation (GDPR/DSGVO) imposes strict obligations on how you collect, process, and store customer information—and getting it right protects both your customers and your business.
This guide walks you through the essential requirements, with a focus on what actually applies to your business under Austrian law.
Why GDPR Matters for Edelmetallhändler
Precious metals dealers face unique compliance challenges that other retailers simply don't encounter. Here's why data protection deserves your attention:
- High-value transactions: Gold, silver, platinum, and other precious metals involve significant monetary amounts—making your customer data particularly sensitive
- Know Your Customer (KYC) requirements: Mandatory customer identification kicks in at €10,000 under Austrian anti-money laundering laws
- Transaction reporting obligations: Suspicious activity reporting and cash transaction thresholds create additional data handling requirements
- Retention periods: Legal requirements to retain customer data for 5-7 years mean you're holding sensitive information for extended periods
Austrian Legal Framework for AML
Here's something many guides get wrong: precious metals dealers are not governed by the FM-GwG (Finanzmarkt-Geldwäschegesetz). That law applies to banks and financial institutions.
As a goods dealer, your AML obligations come from the Gewerbeordnung 1994 (GewO), specifically §§ 365m-365z. This distinction matters for understanding your actual legal requirements:
| Sector | Governing Law | Supervisory Authority |
|---|---|---|
| Banks, credit institutions | FM-GwG | FMA |
| Precious metals dealers | GewO 1994 §§ 365m-365z | Gewerbebehörde |
| Investment firms | WAG 2018, FM-GwG | FMA |
Your supervisory authority is the district trade authority (Gewerbebehörde), not the FMA. Keep this in mind when seeking guidance or reporting issues.
Key GDPR Obligations: Legal Basis for Data Processing
You must establish a valid legal basis for processing customer data. For precious metals dealers, this typically includes:
- Legal obligation: Compliance with GewO 1994 §§ 365m-365z and KYC requirements
- Contract performance: Processing necessary to fulfill purchase and sale agreements
- Legitimate interests: Fraud prevention and business operations (with proper balancing test documented)
Note that consent is generally not your legal basis for KYC data—you're legally required to collect it. Consent comes into play for optional processing like marketing communications.
KYC and Customer Identification
Under § 365n GewO 1994, you must verify customer identity when:
- Cash payment equals or exceeds €10,000
- Multiple related transactions total €10,000 or more (structuring detection)
- The transaction appears unusual or suspicious regardless of amount
Required Information
For transactions triggering KYC, you must collect:
- Full name and date of birth
- Address (verified via official ID)
- Government-issued photo ID details (passport, Personalausweis, or driver's license)
- Purpose of the transaction
For corporate customers, you'll also need to identify beneficial owners using the WiEReG register.
GDPR Principle: Data minimization still applies. Don't request information beyond what's legally required—if it's a €500 purchase, you don't need full KYC documentation.
Data Retention and Storage
This is where many businesses make mistakes. Here are the actual retention periods under Austrian law:
| Record Type | Retention Period | Legal Basis |
|---|---|---|
| KYC documents (goods dealers) | 5 years | § 365y GewO 1994 |
| General accounting records | 7 years | § 132 BAO |
| VAT records for real estate | 22 years | § 18 Abs 10 UStG |
The 5-year AML retention period runs from the end of the business relationship or the transaction date for occasional transactions. Many businesses apply 7 years to satisfy both AML and accounting requirements—a reasonable approach, but understand the distinction.
Best Practice: Implement automated deletion schedules. After legal retention periods expire, customer data must be securely deleted unless another legal basis applies. Document your retention policy clearly.
Customer Rights Under GDPR
You must facilitate these customer rights:
- Right to access: Provide customers with copies of their data within one calendar month (not 30 days—this distinction matters in February or months with 31 days)
- Right to rectification: Correct inaccurate information promptly
- Right to erasure: Delete data when legal retention periods expire (not applicable during mandatory retention)
- Right to data portability: Provide data in structured, machine-readable format upon request
Important: You may—and must—refuse deletion requests if retention is legally mandated for AML compliance. Explain this clearly to customers who request erasure.
Security Measures
Precious metals transactions involve high-value assets, making your business an attractive target. Implement robust security:
- Encryption: Encrypt customer databases and transaction records both at rest and in transit
- Access controls: Limit employee access to customer data on a need-to-know basis
- Audit logging: Track all access to customer records for accountability
- Physical security: Secure storage for physical documents in locked cabinets with access logs
- Pseudonymization: Where possible, separate identity data from transaction details
Third-Party Processors
If you use external services (accounting software, CRM systems, cloud storage), you need proper agreements in place:
- Execute Data Processing Agreements (Auftragsverarbeitungsverträge/AVV) with all processors
- Ensure processors comply with GDPR standards
- Verify that data transfers outside the EU use appropriate safeguards (Standard Contractual Clauses or adequacy decisions)
- Maintain a register of all processors handling customer data
Balancing GDPR and AML Requirements
The intersection of privacy and anti-money laundering creates specific tensions. Here's how to navigate them:
Data Minimization vs. Enhanced Due Diligence
While GDPR requires collecting minimal data, AML obligations may require additional information for high-risk customers.
Solution: Conduct documented risk assessments and record why additional data is necessary for compliance. This creates your audit trail.
Right to Erasure vs. Retention Obligations
Customers may request deletion, but you cannot delete data within the 5-year retention period.
Solution: Clearly communicate retention periods to customers at collection. Train staff to explain why immediate deletion isn't possible and when data will be deleted.
Practical Compliance Steps
Step 1: Data Inventory
- Map all customer data you collect, process, and store
- Identify legal basis for each processing activity
- Document data flows—who accesses data, where it's stored, how long it's kept
Step 2: Privacy Documentation
- Privacy Policy: Publish a comprehensive policy explaining your data practices
- Customer Information: Provide concise privacy notices at point of collection
- Records of Processing Activities (ROPA): Maintain internal documentation as required by Article 30 GDPR
Step 3: Technical Implementation
- Implement secure database with encryption
- Configure access controls and authentication (multi-factor where possible)
- Set up automated backup and disaster recovery
- Enable audit logging for all data access
Step 4: Staff Training
- Train employees on GDPR requirements and customer rights
- Establish procedures for handling data subject requests
- Conduct regular refresher training—at least annually
Step 5: Incident Response
- Develop a data breach response plan
- Establish 72-hour breach notification procedure to the Austrian Data Protection Authority (DSB)
- Designate a breach response team and contact person
Common Violations to Avoid
- Excessive data collection: Asking for information not required by law or contract
- Unclear consent: Using vague or pre-ticked consent boxes for marketing
- Insecure storage: Unencrypted customer databases or documents
- Missing AVVs: Using third-party services without proper data processing agreements
- Ignoring customer rights: Failing to respond to access or deletion requests within one calendar month
- No breach notification plan: Being unprepared for data security incidents
Penalties for Non-Compliance
The Austrian Data Protection Authority (DSB) can impose:
- Fines up to €20 million or 4% of annual global turnover, whichever is higher
- Warnings and reprimands for minor violations
- Temporary or permanent processing bans
- Corrective orders requiring specific compliance measures
In practice, most Austrian DSB fines range from €5,000-15,000 for SMBs, but serious violations attract significantly higher penalties.
Official Resources
- Austrian Data Protection Authority (Datenschutzbehörde)
- Gewerbeordnung 1994 (GewO) – the actual governing law for goods dealers
- Austrian Ministry of Finance – AML Information
- WKO – AML Prevention for Dealers
- European Data Protection Board
Get Expert GDPR Compliance Support
Navigating GDPR requirements while meeting AML obligations can be complex—especially when online guides cite the wrong laws. VETOSEC specializes in compliance for highly regulated Austrian businesses.
Our services include:
- GDPR gap analysis tailored to precious metals dealers
- Privacy policy and documentation development
- Technical security assessment and implementation
- Staff training programs
- Ongoing compliance monitoring
Contact VETOSEC today for a free consultation on securing your customer data and achieving full GDPR compliance.