Kapitel VII: Allgemeine und Schlussbestimmungen

Artikel 25 Datenschutz [1]

(1) Jeder Informationsaustausch gemäß dieser Richtlinie unterliegt der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates [2]. Für die Zwecke der korrekten Anwendung der vorliegenden Richtlinie begrenzen die Mitgliedstaaten jedoch den Anwendungsbereich der in Artikel 13, Artikel 14 Absatz 1 und Artikel 15 der Verordnung (EU) 2016/679 genannten Pflichten und Rechte, soweit dies notwendig ist, um die in Artikel 23 Absatz 1 Buchstabe e jener Verordnung genannten Interessen zu schützen.

(2) Jede Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gemäß der vorliegenden Richtlinie unterliegt der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates [3]. Für die Zwecke der korrekten Anwendung der vorliegenden Richtlinie wird der Anwendungsbereich der in Artikel 15, Artikel 16 Absatz 1 und den Artikeln 17 bis 21 der Verordnung (EU) 2018/1725 genannten Rechte und Pflichten jedoch begrenzt, soweit dies notwendig ist, um die in Artikel 25 Absatz 1 Buchstabe c jener Verordnung genannten Interessen zu schützen.

(3) MELDENDE FINANZINSTITUTE, Intermediäre, MELDENDE PLATTFORMBETREIBER, MELDENDE ANBIETER VON KRYPTO-DIENSTLEISTUNGEN und die zuständigen Behörden der Mitgliedstaaten gelten als allein oder gemeinsam handelnde Verantwortliche. Bei der Verarbeitung personenbezogener Daten für die Zwecke dieser Richtlinie wird davon ausgegangen, dass die Kommission die personenbezogenen Daten im Auftrag der Verantwortlichen verarbeitet, und sie erfüllt die Anforderungen der Verordnung (EU) 2018/1725 an Auftragsverarbeiter. Die Verarbeitung erfolgt auf der Grundlage eines Vertrags im Sinne von Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725.

(4) Ungeachtet des Absatzes 1 gewährleistet jeder Mitgliedstaat, dass jedes MELDENDE FINANZINSTITUT, jeder Intermediär, MELDENDE PLATTFORMBETREIBER oder MELDENDE ANBIETER VON KRYPTO-DIENSTLEISTUNGEN in seinem Hoheitsgebiet

1. jede betroffene natürliche Person davon in Kenntnis setzt, dass Informationen in Bezug auf diese Person im Einklang mit dieser Richtlinie erhoben und weitergeleitet werden, und

2. jeder betroffenen natürlichen Person alle Informationen, auf die sie seitens des für die Datenverarbeitung Verantwortlichen Anspruch hat, so rechtzeitig zur Verfügung stellt, dass sie ihre Datenschutzrechte wahrnehmen kann, und in jedem Fall, bevor die Information gemeldet wird.

Ungeachtet des Unterabsatzes 1 Buchstabe b legt jeder Mitgliedstaat die Vorschriften fest, gemäß denen die MELDENDEN PLATTFORMBETREIBER verpflichtet werden, MELDEPFLICHTIGE VERKÄUFER über die gemeldete VERGÜTUNG in Kenntnis zu setzen.

(5) Die im Einklang mit dieser Richtlinie verarbeiteten Informationen dürfen nur so lange aufbewahrt werden, wie dies für die Zwecke dieser Richtlinie erforderlich ist, und in jedem Fall im Einklang mit den innerstaatlichen Vorschriften der einzelnen für die Verarbeitung Verantwortlichen über die Verjährung.

(6) Ein Mitgliedstaat, in dem eine Verletzung des Datenschutzes stattgefunden hat, meldet die Verletzung und alle nachfolgenden Abhilfemaßnahmen unverzüglich der Kommission. Die Kommission unterrichtet alle Mitgliedstaaten unverzüglich über die ihr gemeldete oder ihr bekannte Verletzung des Datenschutzes und über alle diesbezüglichen Abhilfemaßnahmen.

Jeder Mitgliedstaat kann den Informationsaustausch mit dem Mitgliedstaat bzw. den Mitgliedstaaten, in dem bzw. denen die Verletzung des Datenschutzes stattgefunden hat, aussetzen, indem er dies der Kommission und jedem betroffenen Mitgliedstaat schriftlich mitteilt. Diese Aussetzung ist unmittelbar wirksam.

Jeder Mitgliedstaat, in dem die Verletzung des Datenschutzes stattgefunden hat, untersucht diese Verletzung, dämmt sie ein und schafft Abhilfe und beantragt durch schriftliche Nachricht an die Kommission die Aussetzung des Zugangs zum CCN für die Zwecke dieser Richtlinie, sofern die Datenschutzverletzung nicht umgehend und angemessen eingedämmt werden kann. Auf diesen Antrag setzt die Kommission den Zugang dieser Mitgliedstaaten bzw. dieses Mitgliedstaats zum CCN für die Zwecke dieser Richtlinie aus.

Sobald der Mitgliedstaat, in dem die Verletzung des Datenschutzes stattgefunden hat, die Behebung der Verletzung des Datenschutzes gemeldet hat, gewährt die Kommission dem betroffenen Mitgliedstaat bzw. den betroffenen Mitgliedstaaten erneut Zugang zum CCN für die Zwecke dieser Richtlinie. Wenn ein oder mehrere Mitgliedstaaten die Kommission ersuchen, gemeinsam zu überprüfen, ob die Behebung der Verletzung des Datenschutzes erfolgreich war, gewährt die Kommission dem betroffenen Mitgliedstaat bzw. den betroffenen Mitgliedstaaten nach Abschluss der Überprüfung erneut Zugang zum CCN für die Zwecke dieser Richtlinie.

Betrifft eine Verletzung des Datenschutzes das Zentralverzeichnis oder das CCN für die Zwecke dieser Richtlinie und könnte dies zu einer potenziellen Beeinträchtigung der Austauschvorgänge zwischen den Mitgliedstaaten über das CCN führen, so unterrichtet die Kommission die Mitgliedstaaten unverzüglich über die Verletzung des Datenschutzes sowie über alle ergriffenen Abhilfemaßnahmen. Diese Abhilfemaßnahmen können unter anderem die Aussetzung des Zugangs zum Zentralverzeichnis oder zum CCN für die Zwecke dieser Richtlinie umfassen, bis die Verletzung des Datenschutzes behoben ist.

(7) Die Mitgliedstaaten vereinbaren mit Unterstützung der Kommission die Einzelheiten für die Durchführung dieses Artikels, einschließlich der Verfahren zur Behandlung von Verletzungen des Datenschutzes nach Maßgabe international anerkannter bewährter Verfahren und gegebenenfalls einer Vereinbarung zwischen gemeinsam für die Verarbeitung Verantwortlichen, einer Vereinbarung zwischen Auftragsverarbeitern und Verantwortlichen, oder entsprechender Musterabkommen.