Art. 98 Datenschutz | Anti-money laundering authority regulation (AMLAR) | AML

This article addresses how the Authority handles personal data protection in the context of its AML/CFT work.

It establishes the legal basis for the Authority's processing of personal data, frames its cooperation obligations with data protection bodies when issuing guidance, and carves out a limited power to restrict data subject rights where necessary for its supervisory tasks.

The article sits at the intersection of this regulation and the EU's data protection framework, explicitly cross-referencing Regulation (EU) 2018/1725 and Regulation (EU) 2016/679 to anchor the Authority's data processing activities within the broader legal order.

Important points:

The Authority's processing of personal data for ML/TF prevention purposes is legally grounded as a public interest task under both Regulation (EU) 2018/1725 and Regulation (EU) 2016/679.
When drafting guidelines and recommendations with a significant impact on personal data protection, the Authority is required to closely cooperate with the European Data Protection Board and, after Commission authorisation, consult the European Data Protection Supervisor.
The Authority is permitted to adopt internal rules restricting data subject rights, but only where such restrictions are necessary for the performance of its AML/CFT supervisory tasks.

1. Die Verarbeitung personenbezogener Daten auf der Grundlage dieser Verordnung zum Zwecke der Verhütung von Geldwäsche und Terrorismusfinanzierung gemäß Artikel 70 der Richtlinie (EU) 2024/1640 und Artikel 76 der Verordnung (EU) 2024/1624 gilt als erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die der Behörde gemäß Artikel 5 der Verordnung (EU) 2018/1725 und Artikel 6 der Verordnung (EU) 2016/679 übertragen wurde.
2. Bei der Ausarbeitung von Leitlinien und Empfehlungen gemäß Artikel 54, die erhebliche Auswirkungen auf den Schutz personenbezogener Daten haben, arbeitet die Behörde eng mit dem mit der Verordnung (EU) 2016/679 eingerichteten Europäischen Datenschutzausschuss zusammen, um Überschneidungen, Unstimmigkeiten und Rechtsunsicherheit im Bereich des Datenschutzes zu vermeiden. Nach Genehmigung durch die Kommission konsultiert die Behörde auch den durch die Verordnung (EU) 2018/1725 eingesetzten Europäischen Datenschutzbeauftragten. Die Behörde kann auch nationale Datenschutzbehörden als Beobachter zum Verfahren zur Ausarbeitung solcher Leitlinien und Empfehlungen einladen.
1. Nach Artikel 25 der Verordnung (EU) 2018/1725 ist es der Behörde gestattet, interne Vorschriften zu erlassen, durch die die Anwendung der Rechte der Dateninhaber eingeschränkt werden, wenn solche Beschränkungen für die Wahrnehmung der in Artikel 70 der Richtlinie (EU) 2024/1640 und Artikel 76 der Verordnung (EU) 2024/1624 genannten Aufgaben erforderlich sind.