Source: OJ L 150, 9.6.2023, pp. 1–39

Artikel 25 Datenschutz

1. Für die Verarbeitung personenbezogener Daten im Rahmen der vorliegenden Verordnung gilt die Verordnung (EU) 2016/679. Für die Verarbeitung personenbezogener Daten im Rahmen der vorliegenden Verordnung durch die Kommission oder die EBA gilt die Verordnung (EU) 2018/1725.
1. Personenbezogene Daten dürfen von Zahlungsdienstleistern und Anbietern von Krypto-DienstleistungenKrypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 der Verordnung (EU) 2023/1114 mit Ausnahme der Beratung zu Kryptowerten gemäß Artikel 3 Absatz 1 Nummer 16 Buchstabe h jener Verordnung; auf der Grundlage dieser Verordnung ausschließlich für die Zwecke der Verhinderung von Geldwäschedie in Artikel 1 Absätze 3 und 4 der Richtlinie (EU) 2015/849 genannten Geldwäscheaktivitäten; und Terrorismusfinanzierungdie Terrorismusfinanzierung im Sinne des Artikels 1 Absatz 5 der Richtlinie (EU) 2015/849; verarbeitet werden und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Es ist untersagt, personenbezogene Daten auf der Grundlage dieser Verordnung für kommerzielle Zwecke zu verarbeiten.
1. Zahlungsdienstleisterdie Kategorien von Zahlungsdienstleistern nach Artikel 1 Absatz 1 der Richtlinie (EU) 2015/2366, natürliche oder juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 32 jener Richtlinie gilt, und juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 9 der Richtlinie 2009/110/EG gilt, die Geldtransferdienstleistungen erbringen; und Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; stellen neuen Kunden die nach Artikel 13 der Verordnung (EU) 2016/679 vorgeschriebenen Informationen zur Verfügung, bevor sie eine Geschäftsbeziehungeine geschäftliche, berufliche oder gewerbliche Beziehung, die mit den gewerblichen Tätigkeiten eines Verpflichteten in Verbindung steht, die zwischen einem Verpflichteten und einem Kunden — auch ohne Vorliegen eines schriftlichen Vertrags — begründet wird und bei der bei Zustandekommen des Kontakts davon ausgegangen wird, dass sie von gewisser Regelmäßigkeit oder Dauer ist oder sein wird; begründen oder gelegentliche Transaktionen ausführen. Diese Informationen werden in präziser, transparenter, verständlicher und leicht zugänglicher Form nach Maßgabe des Artikels 12 der Verordnung (EU) 2016/679 übermittelt und umfassen insbesondere einen allgemeinen Hinweis zu den rechtlichen Pflichten der Zahlungsdienstleisterdie Kategorien von Zahlungsdienstleistern nach Artikel 1 Absatz 1 der Richtlinie (EU) 2015/2366, natürliche oder juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 32 jener Richtlinie gilt, und juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 9 der Richtlinie 2009/110/EG gilt, die Geldtransferdienstleistungen erbringen; und Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; bei der Verarbeitung personenbezogener Daten zu Zwecken der Verhinderung von Geldwäschedie in Artikel 1 Absätze 3 und 4 der Richtlinie (EU) 2015/849 genannten Geldwäscheaktivitäten; und Terrorismusfinanzierungdie Terrorismusfinanzierung im Sinne des Artikels 1 Absatz 5 der Richtlinie (EU) 2015/849; gemäß dieser Verordnung.
1. Zahlungsdienstleisterdie Kategorien von Zahlungsdienstleistern nach Artikel 1 Absatz 1 der Richtlinie (EU) 2015/2366, natürliche oder juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 32 jener Richtlinie gilt, und juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 9 der Richtlinie 2009/110/EG gilt, die Geldtransferdienstleistungen erbringen; und Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; stellen jederzeit sicher, dass die Übermittlung personenbezogener Daten zu den an einem Geldtransferjede Transaktion, die im Auftrag eines Zahlers zumindest teilweise auf elektronischem Wege über einen Zahlungsdienstleister mit dem Ziel durchgeführt wird, einem Zahlungsempfänger über einen Zahlungsdienstleister einen Geldbetrag zur Verfügung zu stellen, unabhängig davon, ob es sich bei Zahler und Zahlungsempfänger um dieselbe Person handelt, und unabhängig davon, ob es sich beim Zahlungsdienstleister des Zahlers und dem Zahlungsdienstleister des Zahlungsempfängers um ein und denselben handelt, einschließlichÜberweisungen im Sinne des Artikels 4 Nummer 24 der Richtlinie (EU) 2015/2366;Lastschriften im Sinne des Artikels 4 Nummer 23 der Richtlinie (EU) 2015/2366;nationale oder grenzüberschreitende Finanztransfers im Sinne des Artikels 4 Nummer 22 der Richtlinie (EU) 2015/2366;Transfers, die mit einer Zahlungskarte, einem E-Geld-Instrument, einem Mobiltelefon oder einem anderen im Voraus oder im Nachhinein bezahlten digitalen oder IT-Gerät mit ähnlichen Merkmalen durchgeführt werden; oder einem Kryptowertetransferjede Transaktion, die zum Ziel hat, Kryptowerte von einer Distributed-Ledger-Adresse, einem Kryptowertekonto oder einem anderen zur Speicherung von Kryptowerten verwendeten Gerät auf ein(e) andere(s) zu transferieren, und die von mindestens einem Anbieter von Krypto-Dienstleistungen durchgeführt wird, der im Auftrag eines Originators oder eines Begünstigten handelt, unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt; beteiligten Parteien im Einklang mit der Verordnung (EU) 2016/679 erfolgt.
2. Der Europäische Datenschutzausschuss gibt nach Konsultation der EBA Leitlinien für die praktische Umsetzung der Datenschutzanforderungen für die Übermittlung personenbezogener Daten an Drittländer im Zusammenhang mit Kryptowertetransfersjede Transaktion, die zum Ziel hat, Kryptowerte von einer Distributed-Ledger-Adresse, einem Kryptowertekonto oder einem anderen zur Speicherung von Kryptowerten verwendeten Gerät auf ein(e) andere(s) zu transferieren, und die von mindestens einem Anbieter von Krypto-Dienstleistungen durchgeführt wird, der im Auftrag eines Originators oder eines Begünstigten handelt, unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt; heraus. Die EBA gibt Leitlinien zu geeigneten Verfahren heraus, mit deren Hilfe festgestellt werden kann, ob ein Kryptowertetransferjede Transaktion, die zum Ziel hat, Kryptowerte von einer Distributed-Ledger-Adresse, einem Kryptowertekonto oder einem anderen zur Speicherung von Kryptowerten verwendeten Gerät auf ein(e) andere(s) zu transferieren, und die von mindestens einem Anbieter von Krypto-Dienstleistungen durchgeführt wird, der im Auftrag eines Originators oder eines Begünstigten handelt, unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt; auszuführen oder zurückzuweisen ist, die Kryptowerte zurückzuüberweisen sind oder der Kryptowertetransferjede Transaktion, die zum Ziel hat, Kryptowerte von einer Distributed-Ledger-Adresse, einem Kryptowertekonto oder einem anderen zur Speicherung von Kryptowerten verwendeten Gerät auf ein(e) andere(s) zu transferieren, und die von mindestens einem Anbieter von Krypto-Dienstleistungen durchgeführt wird, der im Auftrag eines Originators oder eines Begünstigten handelt, unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt; auszusetzen ist, wenn die Einhaltung der Datenschutzanforderungen für die Übermittlung personenbezogener Daten an Drittländer nicht gewährleistet werden kann.

Relevant recitals

Erwägungsgrund 19 Personal data processing requirements and intra-group data transfers

Die Verarbeitung personenbezogener Daten nach dieser Verordnung sollte in voller Übereinstimmung mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(¹⁷)Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1). erfolgen. Die Weiterverarbeitung personenbezogener Daten für kommerzielle Zwecke sollte strengstens untersagt sein. Die Bekämpfung der Geldwäschedie in Artikel 1 Absätze 3 und 4 der Richtlinie (EU) 2015/849 genannten Geldwäscheaktivitäten; und der Terrorismusfinanzierungdie Terrorismusfinanzierung im Sinne des Artikels 1 Absatz 5 der Richtlinie (EU) 2015/849; wird von allen Mitgliedstaaten als wichtiges öffentliches Interesse anerkannt. Bei der Anwendung dieser Verordnung muss die Übermittlung personenbezogener Daten an ein Drittlandeinen Rechtsraum, einen unabhängigen Staat oder ein autonomes Gebiet, der bzw. das nicht Teil der Union ist und über eigene Rechtsvorschriften oder Durchsetzungsmechanismen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung verfügt; im Einklang mit Kapitel V der Verordnung (EU) 2016/679 erfolgen. Es ist wichtig, dass Zahlungsdienstleisterdie Kategorien von Zahlungsdienstleistern nach Artikel 1 Absatz 1 der Richtlinie (EU) 2015/2366, natürliche oder juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 32 jener Richtlinie gilt, und juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 9 der Richtlinie 2009/110/EG gilt, die Geldtransferdienstleistungen erbringen; und Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt;, die ihr Geschäft über Tochtergesellschaften oder Niederlassungen in verschiedenen Ländern außerhalb der Union betreiben, nicht daran gehindert werden sollten, Informationen über verdächtige Transaktionen innerhalb derselben Organisation weiterzuleiten, sofern sie angemessene Sicherungsmaßnahmen anwenden. Zusätzlich sollten die Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; des Originatorseine Person, die Inhaber eines Kryptowertekontos bei einem Anbieter von Krypto-Dienstleistungen, einer Distributed-Ledger-Adresse oder eines zur Speicherung von Kryptowerten verwendeten Geräts ist und den Kryptowertetransfer von diesem Konto, dieser Distributed-Ledger-Adresse oder diesem Gerät gestattet, oder die, wenn kein solches Konto, keine solche Distributed-Ledger-Adresse oder kein solches Gerät vorhanden ist, den Kryptowertetransfer anordnet oder veranlasst; und des Begünstigten, die Zahlungsdienstleisterdie Kategorien von Zahlungsdienstleistern nach Artikel 1 Absatz 1 der Richtlinie (EU) 2015/2366, natürliche oder juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 32 jener Richtlinie gilt, und juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 9 der Richtlinie 2009/110/EG gilt, die Geldtransferdienstleistungen erbringen; des Zahlerseine Person, die als Zahlungskontoinhaber den Geldtransfer von diesem Zahlungskonto gestattet, oder, wenn kein Zahlungskonto vorhanden ist, die den Auftrag zu einem Geldtransfer erteilt; und des Zahlungsempfängerseine Person, die den Geldtransfer als Empfänger erhalten soll;, die zwischengeschalteten Zahlungsdienstleisterdie Kategorien von Zahlungsdienstleistern nach Artikel 1 Absatz 1 der Richtlinie (EU) 2015/2366, natürliche oder juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 32 jener Richtlinie gilt, und juristische Personen, für die eine Ausnahmeregelung gemäß Artikel 9 der Richtlinie 2009/110/EG gilt, die Geldtransferdienstleistungen erbringen; und die zwischengeschalteten Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; über geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff verfügen.

Erwägungsgrund 34 Data protection assessment for crypto-asset transfers to non-Union providers

Kryptowerte existieren in einer grenzenlosen virtuellen Realität und können unabhängig davon, ob ein Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; in einem Land eingetragen ist, an jeden solcher Anbieter transferiert werden. In vielen Ländern außerhalb der Union gelten andere Vorschriften für Datenschutz und dessen Durchsetzung als in der Union. Wenn Kryptowerte im Auftrag eines Kunden an einen nicht in der Union eingetragenen Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; transferiert werden, sollte der Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; des Originatorseine Person, die Inhaber eines Kryptowertekontos bei einem Anbieter von Krypto-Dienstleistungen, einer Distributed-Ledger-Adresse oder eines zur Speicherung von Kryptowerten verwendeten Geräts ist und den Kryptowertetransfer von diesem Konto, dieser Distributed-Ledger-Adresse oder diesem Gerät gestattet, oder die, wenn kein solches Konto, keine solche Distributed-Ledger-Adresse oder kein solches Gerät vorhanden ist, den Kryptowertetransfer anordnet oder veranlasst; bewerten, ob der Anbieter von Krypto-Dienstleistungeneinen Anbieter von Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114 sofern er eine oder mehrere Krypto-Dienstleistungen im Sinne von Artikel 3 Absatz 1 Nummer 16 jener Verordnung erbringt; des Begünstigten in der Lage ist, die gemäß dieser Verordnung vorgeschriebenen Angaben im Einklang mit der Verordnung (EU) 2016/679 zu erhalten und aufzubewahren, und dabei gegebenenfalls von den in Kapitel V der Verordnung (EU) 2016/679 vorgesehenen Möglichkeiten Gebrauch machen. Der Europäische Datenschutzausschuss sollte nach Konsultation der EBA Leitlinien für die praktische Umsetzung der Datenschutzanforderungen herausgeben, die bei Kryptowertetransfersjede Transaktion, die zum Ziel hat, Kryptowerte von einer Distributed-Ledger-Adresse, einem Kryptowertekonto oder einem anderen zur Speicherung von Kryptowerten verwendeten Gerät auf ein(e) andere(s) zu transferieren, und die von mindestens einem Anbieter von Krypto-Dienstleistungen durchgeführt wird, der im Auftrag eines Originators oder eines Begünstigten handelt, unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt; für die Übermittlung personenbezogener Daten an Drittländer gelten. Es kann vorkommen, dass personenbezogene Daten nicht übermittelt werden können, weil die Anforderungen der Verordnung (EU) 2016/679 nicht erfüllt werden können. Die EBA sollte Leitlinien zu geeigneten Verfahren herausgeben, mit deren Hilfe festgestellt werden kann, ob der Kryptowertetransferjede Transaktion, die zum Ziel hat, Kryptowerte von einer Distributed-Ledger-Adresse, einem Kryptowertekonto oder einem anderen zur Speicherung von Kryptowerten verwendeten Gerät auf ein(e) andere(s) zu transferieren, und die von mindestens einem Anbieter von Krypto-Dienstleistungen durchgeführt wird, der im Auftrag eines Originators oder eines Begünstigten handelt, unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt; in solchen Fällen ausgeführt, zurückgewiesen oder ausgesetzt werden sollte.

Erwägungsgrund 63 Fundamental rights and data protection compliance

Diese Verordnung unterliegt den Verordnungen (EU) 2016/679 und (EU) 2018/1725 des Europäischen Parlaments und des Rates(²³)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).. Sie steht im Einklang mit den Grundrechten und Grundsätzen, die mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, insbesondere mit dem Recht auf Achtung des Privat- und Familienlebens (Artikel 7), dem Recht auf den Schutz personenbezogener Daten (Artikel 8), dem Recht auf einen wirksamen Rechtsbehelf und auf ein unparteiisches Gericht (Artikel 47) und dem Grundsatz ne bis in idem.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.