(1)Soweit zur Verhinderung von Geldwäsche und Terrorismusfinanzierung unbedingt erforderlich, dürfen Verpflichtete die in Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 genannten besonderen Kategorien personenbezogener Daten sowie die in Artikel 10 jener Verordnung genannten personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten, sofern dabei die in den Absätzen 2 und 3 vorgesehenen Sicherheitsmaßnahmen getroffen sind.
(2)Verpflichtete dürfen die unter Artikel 9 der Verordnung (EU) 2016/679 fallenden Daten verarbeiten, wenn
a)sie ihre Kunden oder angehenden Kunden darüber unterrichten, dass diese Kategorien von Daten verarbeitet werden können, wenn dies zur Erfüllung der Anforderungen der vorliegenden Verordnung erforderlich ist;
b)die Daten aus verlässlichen Quellen stammen und korrekt und aktuell sind;
c)der Verpflichtete insbesondere im Hinblick auf Vertraulichkeit Maßnahmen mit hohem Sicherheitsstandard gemäß Artikel 32 der Verordnung (EU) 2016/679 trifft.
(3)Zusätzlich zu den in Absatz 2 genannten Fällen dürfen Verpflichtete die unter Artikel 10 der Verordnung (EU) 2016/679 fallenden Daten verarbeiten, wenn
a)diese personenbezogenen Daten Geldwäsche, diesbezügliche Vortaten oder Terrorismusfinanzierung betreffen;
b)die Verpflichteten über Verfahren verfügen, die es erlauben, bei der Verarbeitung dieser Daten zwischen Vorwürfen, Ermittlungen, Verfahren und Verurteilungen zu unterscheiden, und dem Grundrecht auf ein faires Verfahren, dem Recht auf Verteidigung und der Unschuldsvermutung Rechnung tragen.
(4)Personenbezogene Daten dürfen von Verpflichteten auf der Grundlage dieser Verordnung ausschließlich für die Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung verarbeitet werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Es ist untersagt, personenbezogene Daten auf der Grundlage dieser Verordnung für kommerzielle Zwecke zu verarbeiten.