§ 29 GwG – Verarbeitung personenbezogener Daten durch die Zentralstelle für Finanztransaktionsuntersuchungen

(1) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten verarbeiten, die aufgrund dieses Gesetzes übermittelt, erhoben oder abgefragt werden, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

(2) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die sie zur Erfüllung ihrer Aufgaben gespeichert hat, mit anderen Daten abgleichen, wenn dies nach diesem Gesetz oder nach einem anderen Gesetz zulässig ist.

(2a) ¹Die Zentralstelle für Finanztransaktionsuntersuchungen darf bei der Verarbeitung personenbezogener Daten nach Absatz 1 und beim Abgleich dieser personenbezogenen Daten mit anderen Daten nach Absatz 2 automatisierte Anwendungen zur Datenanalyse einsetzen

1. 1.

   zur Risikobewertung nach § 30 Absatz 2 Satz 3,

2. 2.

   bei der operativen Analyse nach § 28 Absatz 1 Satz 3 Nummer 2 und

3. 3.

   bei der strategischen Analyse nach § 28 Absatz 1 Satz 3 Nummer 8

von Meldungen und sonstigen Informationen nach diesem Gesetz. ²Folgende personenbezogene Daten dürfen in automatisierten Anwendungen zur Datenanalyse nach Satz 1 nicht verarbeitet werden:

1. 1.

   Daten, die ursprünglich durch den Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, die Verfassungsschutzbehörden der Länder oder den Militärischen Abschirmdienst erhoben wurden;

2. 2.

   Daten, die durch eine Maßnahme nach den §§ 100a, 100b, 100c, 100f, 100g, 100h, 100i, 100k Absatz 1 Satz 2, den §§ 110a, 163f der Strafprozessordnung oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden;

3. 3.

   biometrische Daten.

³Folgende Datenarten dürfen mittels einer automatisierten Anwendung zur Datenanalyse verarbeitet werden: der Familienname, die Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, Name der juristischen Person, das Geschlecht, das Geburtsdatum, der Geburtsort, der Geburtsstaat, der Familienstand, die aktuellen und bisherigen Staatsangehörigkeiten, die gegenwärtigen und bisherigen Anschriften, die Nummer eines Legitimationsdokumentes einschließlich der ausstellenden öffentlichen Stelle, eigene oder jeweils genutzte Telekommunikationsanschlüsse sowie Adressen für elektronische Post, elektronische Adressen für neue Zahlungsmethoden (Wallet-Adressen), sonstige Angaben zur beruflichen Erreichbarkeit und Daten über die Geschäftsbeziehung gemäß § 1 Absatz 4 einer Person mit einem Verpflichteten nach § 2, insbesondere Daten eines bei einem Verpflichteten geführten Kontos. ⁴Personenbezogene Daten aus allgemein zugänglichen Quellen dürfen nicht automatisiert in die Verarbeitung personenbezogener Daten in automatisierten Anwendungen zur Datenanalyse einbezogen werden.

(2b) ¹Durch den Einsatz automatisierter Anwendungen zur Datenanalyse nach Absatz 2a können Meldungen und sonstige Informationen im Datenbestand der Zentralstelle für Finanztransaktionsuntersuchungen dahingehend bewertet und identifiziert werden, ob relevante Anhaltspunkte bestehen, dass ein Vermögensgegenstand mit Geldwäsche, mit Terrorismusfinanzierung oder mit einer sonstigen Straftat im Zusammenhang steht. ²Hierzu können Beziehungen zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen und die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet werden. ³Hierzu werden die von den Verpflichteten bei der Abgabe einer Meldung anzugebenden Informationen und sonstige Informationen im Datenbestand der Zentralstelle für Finanztransaktionsuntersuchungen mit den Parametern für die Risikobewertung nach § 30 Absatz 2 Satz 2 bis 8 oder Parametern für die operative und strategische Analyse automatisiert auf Beziehungen und mögliche Übereinstimmungen abgeglichen. ⁴Selbstlernende und automatisierte Systeme, die eigenständig Gefährlichkeitsaussagen über Personen treffen können, sind unzulässig.

(2c) Die Zentralstelle für Finanztransaktionsuntersuchungen darf zur Erfüllung ihrer Aufgaben nach diesem Gesetz Informationen nach § 28 Absatz 1 Satz 3 Nummer 2 erheben, verarbeiten und mit anderen Daten abgleichen.

(3) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die bei ihr vorhanden sind, zu Fortbildungszwecken oder zu statistischen Zwecken verarbeiten, soweit eine Verarbeitung anonymisierter Daten zu diesen Zwecken nicht möglich ist.

(4) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die bei ihr vorhanden sind, verarbeiten, um den Einsatz automatisierter Anwendungen zur Datenanalyse vorzubereiten, die sie zur Erfüllung ihrer Aufgaben nach diesem Gesetz einsetzt.

(5) ¹Die Zentralstelle für Finanztransaktionsuntersuchungen stellt durch organisatorische und technische Maßnahmen sicher, dass Daten nur gemäß ihrer rechtlichen Verwendbarkeit verarbeitet werden. ²Hierbei sind auch Begrenzungen der Zugriffsmöglichkeiten auf die automatisierten Anwendungen zur Datenanalyse vorzusehen.

(6) Die Zentralstelle für Finanztransaktionsuntersuchungen stellt durch Schulungen sicher, dass das eingesetzte Personal mit den geltenden europäischen und nationalen Datenschutzbestimmungen vertraut ist.

(7) ¹Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit führt mindestens alle zwei Jahre Kontrollen der Datenverarbeitung im Zusammenhang mit der Verarbeitung von personenbezogenen Daten nach Absatz 1 durch. ²Diese Kontrollen erfolgen unbeschadet ihrer oder seiner in § 14 des Bundesdatenschutzgesetzes genannten Aufgaben.

(8) Sofern die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße nach § 16 Absatz 2 des Bundesdatenschutzgesetzes beanstandet hat, kann sie oder er geeignete Maßnahmen anordnen, wenn dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften erforderlich ist.