Source: OJ L 150, 9.6.2023, pp. 1–39Current language: DE
- Anti-money laundering
Basic legislative acts
- Transfer of funds regulation (TFR)
Artikel 25 Datenschutz
Summary What does Article 25 of the Transfer of funds regulation (TFR) say?
This article establishes the data protection framework that sits alongside the regulation's core obligations.
It anchors the entire regulation to the EU's existing data protection rules — primarily GDPR (Regulation (EU) 2016/679) — and makes clear that personal data collected under this regulation can only be used for AML/CFT purposes, with commercial use of that data explicitly prohibited.
The article also places transparency obligations on payment service providers and crypto-asset service providers toward their clients, and addresses the specific challenge of cross-border data transfers in the context of crypto-asset transactions, tasking both the European Data Protection Board and EBA with issuing relevant guidelines.
Important points:
- Process personal data collected under this regulation solely for the prevention of money laundering and terrorist financing — using it for commercial purposes is prohibited.
- Provide new clients with the required data protection information before establishing a business relationship or carrying out an occasional transaction, in a concise, transparent, intelligible and easily accessible form.
- The European Data Protection Board is required to issue guidelines on data protection requirements for transfers of personal data to third countries in the context of crypto-asset transfers, and EBA is required to issue guidelines on procedures for handling transfers where those requirements cannot be met.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Für die Verarbeitung personenbezogener Daten im Rahmen der vorliegenden Verordnung gilt die Verordnung (EU) 2016/679. Für die Verarbeitung personenbezogener Daten im Rahmen der vorliegenden Verordnung durch die Kommission oder die EBA gilt die Verordnung (EU) 2018/1725.
Personenbezogene Daten dürfen von Zahlungsdienstleistern und Anbietern von Krypto-Dienstleistungen auf der Grundlage dieser Verordnung ausschließlich für die Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung verarbeitet werden und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Es ist untersagt, personenbezogene Daten auf der Grundlage dieser Verordnung für kommerzielle Zwecke zu verarbeiten.
Zahlungsdienstleister und Anbieter von Krypto-Dienstleistungen stellen neuen Kunden die nach Artikel 13 der Verordnung (EU) 2016/679 vorgeschriebenen Informationen zur Verfügung, bevor sie eine Geschäftsbeziehung begründen oder gelegentliche Transaktionen ausführen. Diese Informationen werden in präziser, transparenter, verständlicher und leicht zugänglicher Form nach Maßgabe des Artikels 12 der Verordnung (EU) 2016/679 übermittelt und umfassen insbesondere einen allgemeinen Hinweis zu den rechtlichen Pflichten der Zahlungsdienstleister und Anbieter von Krypto-Dienstleistungen bei der Verarbeitung personenbezogener Daten zu Zwecken der Verhinderung von Geldwäsche und Terrorismusfinanzierung gemäß dieser Verordnung.
Zahlungsdienstleister und Anbieter von Krypto-Dienstleistungen stellen jederzeit sicher, dass die Übermittlung personenbezogener Daten zu den an einem Geldtransfer oder einem Kryptowertetransfer beteiligten Parteien im Einklang mit der Verordnung (EU) 2016/679 erfolgt.
Der Europäische Datenschutzausschuss gibt nach Konsultation der EBA Leitlinien für die praktische Umsetzung der Datenschutzanforderungen für die Übermittlung personenbezogener Daten an Drittländer im Zusammenhang mit Kryptowertetransfers heraus. Die EBA gibt Leitlinien zu geeigneten Verfahren heraus, mit deren Hilfe festgestellt werden kann, ob ein Kryptowertetransfer auszuführen oder zurückzuweisen ist, die Kryptowerte zurückzuüberweisen sind oder der Kryptowertetransfer auszusetzen ist, wenn die Einhaltung der Datenschutzanforderungen für die Übermittlung personenbezogener Daten an Drittländer nicht gewährleistet werden kann.
Relevant recitals
Erwägungsgrund 19 Personal data processing requirements and intra-group data transfers
Die Verarbeitung personenbezogener Daten nach dieser Verordnung sollte in voller Übereinstimmung mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(17) erfolgen. Die Weiterverarbeitung personenbezogener Daten für kommerzielle Zwecke sollte strengstens untersagt sein. Die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung wird von allen Mitgliedstaaten als wichtiges öffentliches Interesse anerkannt. Bei der Anwendung dieser Verordnung muss die Übermittlung personenbezogener Daten an ein Drittland im Einklang mit Kapitel V der Verordnung (EU) 2016/679 erfolgen. Es ist wichtig, dass Zahlungsdienstleister und Anbieter von Krypto-Dienstleistungen, die ihr Geschäft über Tochtergesellschaften oder Niederlassungen in verschiedenen Ländern außerhalb der Union betreiben, nicht daran gehindert werden sollten, Informationen über verdächtige Transaktionen innerhalb derselben Organisation weiterzuleiten, sofern sie angemessene Sicherungsmaßnahmen anwenden. Zusätzlich sollten die Anbieter von Krypto-Dienstleistungen des Originators und des Begünstigten, die Zahlungsdienstleister des Zahlers und des Zahlungsempfängers, die zwischengeschalteten Zahlungsdienstleister und die zwischengeschalteten Anbieter von Krypto-Dienstleistungen über geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff verfügen.
Erwägungsgrund 34 Data protection assessment for crypto-asset transfers to non-Union providers
Kryptowerte existieren in einer grenzenlosen virtuellen Realität und können unabhängig davon, ob ein Anbieter von Krypto-Dienstleistungen in einem Land eingetragen ist, an jeden solcher Anbieter transferiert werden. In vielen Ländern außerhalb der Union gelten andere Vorschriften für Datenschutz und dessen Durchsetzung als in der Union. Wenn Kryptowerte im Auftrag eines Kunden an einen nicht in der Union eingetragenen Anbieter von Krypto-Dienstleistungen transferiert werden, sollte der Anbieter von Krypto-Dienstleistungen des Originators bewerten, ob der Anbieter von Krypto-Dienstleistungen des Begünstigten in der Lage ist, die gemäß dieser Verordnung vorgeschriebenen Angaben im Einklang mit der Verordnung (EU) 2016/679 zu erhalten und aufzubewahren, und dabei gegebenenfalls von den in Kapitel V der Verordnung (EU) 2016/679 vorgesehenen Möglichkeiten Gebrauch machen. Der Europäische Datenschutzausschuss sollte nach Konsultation der EBA Leitlinien für die praktische Umsetzung der Datenschutzanforderungen herausgeben, die bei Kryptowertetransfers für die Übermittlung personenbezogener Daten an Drittländer gelten. Es kann vorkommen, dass personenbezogene Daten nicht übermittelt werden können, weil die Anforderungen der Verordnung (EU) 2016/679 nicht erfüllt werden können. Die EBA sollte Leitlinien zu geeigneten Verfahren herausgeben, mit deren Hilfe festgestellt werden kann, ob der Kryptowertetransfer in solchen Fällen ausgeführt, zurückgewiesen oder ausgesetzt werden sollte.
Erwägungsgrund 63 Fundamental rights and data protection compliance
Diese Verordnung unterliegt den Verordnungen (EU) 2016/679 und (EU) 2018/1725 des Europäischen Parlaments und des Rates(23). Sie steht im Einklang mit den Grundrechten und Grundsätzen, die mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, insbesondere mit dem Recht auf Achtung des Privat- und Familienlebens (Artikel 7), dem Recht auf den Schutz personenbezogener Daten (Artikel 8), dem Recht auf einen wirksamen Rechtsbehelf und auf ein unparteiisches Gericht (Artikel 47) und dem Grundsatz ne bis in idem.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
DLT
(En. distributed ledger technology)
Definition
Anbieter von Krypto-Dienstleistungen
(En. crypto-asset service provider)
Definition
Zahlungsempfänger
(En. payee)
Definition
Anbieter von Kryptowerte-Dienstleistungen
(En. crypto-asset service provider)
Definition
Kryptowert
(En. crypto-asset)
Definition
Geldwäsche
(En. money laundering)
Definition
Terrorismusfinanzierung
(En. terrorist financing)
Definition
Zahler
(En. payer)
Definition
Geschäftsbeziehung
(En. business relationship)
Definition
Drittland
(En. third country)
Definition
Geldtransfer
(En. transfer of funds)
- Überweisungen im Sinne des Artikels 4 Nummer 24 der Richtlinie (EU) 2015/2366;
- Lastschriften im Sinne des Artikels 4 Nummer 23 der Richtlinie (EU) 2015/2366;
- nationale oder grenzüberschreitende Finanztransfers im Sinne des Artikels 4 Nummer 22 der Richtlinie (EU) 2015/2366;
- Transfers, die mit einer Zahlungskarte, einem E-Geld-Instrument, einem Mobiltelefon oder einem anderen im Voraus oder im Nachhinein bezahlten digitalen oder IT-Gerät mit ähnlichen Merkmalen durchgeführt werden;
Definition
Geldwäsche
(En. money laundering)
Definition
finanzielle gemischte Holdinggesellschaft
(En. financial mixed activity holding company)
Definition
Geldbetrag
(En. funds)
Definition
Kreditinstitut
(En. credit institution)
- ein Kreditinstitut im Sinne von Artikel 4 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 575/2013,
- eine in der Union gelegene Zweigstelle eines Kreditinstituts im Sinne von Artikel 4 Absatz 1 Nummer 17 der Verordnung (EU) Nr. 575/2013, unabhängig davon, ob sich deren Hauptsitz in einem Mitgliedstaat oder einem Drittland befindet;
Definition
Distributed-Ledger-Adresse
(En. distributed ledger address)
Definition
Kryptowert
(En. crypto-asset)
Definition
Finanzinstitut
(En. financial institution)
- ein Unternehmen, das kein Kreditinstitut und keine Wertpapierfirma ist und das eine oder mehrere der in Anhang I Nummern 2 bis 12, 14 und 15 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates(32) aufgeführten Tätigkeiten ausübt, einschließlich der Tätigkeiten von Wechselstuben (bureaux de change) — mit Ausnahme der in Anhang I Nummer 8 der Richtlinie (EU) 2015/2366 aufgeführten Tätigkeiten –, oder ein Unternehmen, dessen Haupttätigkeit im Erwerb von Beteiligungen besteht, einschließlich einer Finanzholdinggesellschaft, einer finanziellen gemischten Holdinggesellschaft und einer finanziellen gemischten Holdinggesellschaft;
- ein Versicherungsunternehmen im Sinne von Artikel 13 Nummer 1 der Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates(33), sofern es Lebensversicherungstätigkeiten oder andere Versicherungstätigkeiten mit Anlagezweck ausübt, die unter die genannte Richtlinie fallen, einschließlich Versicherungsholdinggesellschaften und gemischter Versicherungsholdinggesellschaften im Sinne von Artikel 212 Absatz 1 Buchstaben f und g der Richtlinie 2009/138/EG;
- einen Versicherungsvermittler im Sinne von Artikel 2 Absatz 1 Nummer 3 der Richtlinie (EU) 2016/97, wenn dieser im Zusammenhang mit Lebensversicherungen und anderen Dienstleistungen mit Anlagezweck handelt, mit Ausnahme eines Versicherungsvermittlers, der keine Prämien oder Beträge, die für den Kunden bestimmt sind, erhebt und unter der Verantwortung eines oder mehrerer Versicherungsunternehmen oder -vermittler für die sie betreffenden Produkte handelt;
- eine Wertpapierfirma im Sinne von Artikel 4 Absatz 1 Nummer 1 der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates(34);
- einen Organismus für gemeinsame Anlagen, insbesondere
- einen Organismus für gemeinsame Anlagen in Wertpapieren (OGAW) im Sinne von Artikel 1 Absatz 2 der Richtlinie 2009/65/EG und dessen Verwaltungsgesellschaft im Sinne von Artikel 2 Absatz 1 Buchstabe b jener Richtlinie oder eine gemäß jener Richtlinie zugelassene Investmentgesellschaft, die keine Verwaltungsgesellschaft benannt hat und die OGAW-Anteile in der Union zum Kauf anbietet;
- einen alternativen Investmentfonds im Sinne von Artikel 4 Absatz 1 Buchstabe a der Richtlinie 2011/61/EU und dessen Verwalter alternativer Investmentfonds im Sinne von Artikel 4 Absatz 1 Buchstabe b jener Richtlinie, die in den in deren Artikel 2 festgelegten Geltungsbereich jener Richtlinie fallen;
- einen Zentralverwahrer im Sinne von Artikel 2 Absatz 1 Nummer 1 der Verordnung (EU) Nr. 909/2014 des Europäischen Parlaments und des Rates(35);
- einen Kreditgeber im Sinne von Artikel 4 Nummer 2 der Richtlinie 2014/17/EU des Europäischen Parlaments und des Rates(36) und von Artikel 3 Buchstabe b der Richtlinie 2008/48/EG des Europäischen Parlaments und des Rates(37);
- einen Kreditvermittler im Sinne von Artikel 4 Nummer 5 der Richtlinie 2014/17/EU und von Artikel 3 Buchstabe f der Richtlinie 2008/48/EG, wenn Geldbeträge im Sinne von Artikel 4 Nummer 25 der Richtlinie (EU) 2015/2366 im Zusammenhang mit dem Kreditvertrag gehalten werden, mit Ausnahme von Kreditvermittlern, die Tätigkeiten unter der Verantwortung eines oder mehrerer Kreditgeber oder Kreditvermittler ausüben;
- einen Anbieter von Kryptowerte-Dienstleistungen;
- eine in der Union gelegene Zweigstelle eines Finanzinstituts gemäß Buchstaben a bis i, unabhängig davon, ob sich deren Hauptsitz in einem Mitgliedstaat oder einem Drittland befindet;
Definition
Niederlassung
(En. establishment)
- eine Zweigstelle oder ein Tochterunternehmen,
- im Fall von Kredit- und Finanzinstituten eine Infrastruktur, die nach den Aufsichtsvorschriften als Niederlassung gilt;
Definition
Zahlungsdienstleister
(En. payment service provider)
Definition
Terrorismusfinanzierung
(En. terrorist financing)
Definition
Geldbeträge
(En. funds)
Definition
Zahlungskonto
(En. payment account)
Definition
Kryptowertekonto
(En. crypto-asset account)
Definition
Originator
(En. originator)
Definition
Krypto-Dienstleistungen
(En. crypto-asset services)
Definition
Distributed-Ledger-Technologie
(En. distributed ledger technology)
Definition
Kryptowertetransfer
(En. transfer of crypto-assets)
Footnote 23
Footnote 17