Kreditinstitute verarbeiten im Rahmen von Zahlungsabwicklungen sensible Daten und sind vertraglich durch das Bankengeheimnis zu Stillschweigen darüber verpflichtet. Andererseits treffen sie zahlreiche Verpflichtungen zur Datenverarbeitung im Bereich der Geldwäsche, deren Erfüllung mit dem Datenschutzrecht in Einklang zu bringen ist.

Ausweiskopien
Nach § 10 Geldwäschegesetz (GwG) obliegen u.a. Kreditinstituten bestimmte Sorgfaltspflichten. So müssen diese insbesondere ihre Vertragspartner identifizieren (§ 10 Abs. 1 Nr. 1 GwG). Bei dieser Identifizierung sind (bei einer natürlichen Person) Vorname und Nachname, Geburtsort, Geburtsdatum, Staatsangehörigkeit und eine Wohnanschrift zu erheben (§ 11 Abs. 4 GwG). 
Die so erhobenen Angaben sind vom Verpflichteten aufzuzeichnen und aufzubewahren (§ 8 Abs. 1 GwG). Die Art der Erfassung dieser Angaben ist nach den Auslegungs- und Anwendungshinweisen gemäß § 51 Abs. 8 GwG der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zum Geldwäschegesetz (Stand: Oktober 2021) freigestellt und kann durch Niederschrift, Eingabe in ein EDV-System oder durch Kopie des vorgelegten Dokuments, aus dem sich die Daten ergeben, erfolgen. 
Die gemachten Angaben sind sodann anhand eines gültigen amtlichen Ausweises, der ein Lichtbild der Inhaberin bzw. des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, zu überprüfen, also in der Regel anhand des Personalausweises (§ 12 Abs. 1 GwG). Dabei müssen dann auch die Art, die Nummer und die Behörde, die das zur Überprüfung der Identität vorgelegte Dokument ausgestellt hat, aufgezeichnet werden. Hier besteht das Recht und die Pflicht, das vorgelegte Ausweisdokument vollständig zu kopieren oder es vollständig optisch digital zu erfassen (§ 8 Abs. 2 GwG). Die Vollständigkeit von Kopien oder Scans ist z.B. bei einem Personalausweis dann gegeben, wenn Vorder- und Rückseite vollständig erfasst sind. Das Lichtbild sowie sämtliche Angaben müssen gut erkennbar sein (vgl. Ziff. IV.9 der Auslegungs- und Anwendungshinweise).

Auswertung von Girokontodaten
Aus den Girokontodaten ergeben sich zahlreiche Möglichkeiten für die Kreditinstitute, ihre Kundinnen und Kunden gezielt werblich anzusprechen. Daher sind die Institute sehr daran interessiert, diese Daten möglichst umfassend auszuwerten. Eine solche Auswertung ohne ausdrückliche Einwilligung der Bankkundinnen und -kunden ist aus datenschutzrechtlicher Sicht aber unzulässig. Denn die Kreditinstitute erhalten die Daten im Rahmen des Bankenvertrags, z.B. des Girovertrags, um Zahlungen auszuführen. Die Daten sind also zweckgebunden und dürfen nur im vertraglichen Rahmen genutzt werden. Eine anderweitige Verwendung bedarf der ausdrücklichen Zustimmung. Besonders zu berücksichtigen ist hierbei, dass sich aus den Girokontodaten auch besonders sensible Informationen ergeben können, z.B. Mitgliedsbeiträge an Gewerkschaften oder religiöse Vereinigungen. Aus der Gesamtheit der Daten kann sehr schnell ein Kundenprofil erstellt werden, da die Teilnahme am Wirtschaftsleben heute fast vollständig über Girokonten läuft. Dies sollte jede Bankkundin und jeder Bankkunde vor Erteilung einer Einwilligung berücksichtigen.