(1) 1Die Zentralstelle für Sanktionsdurchsetzung darf, soweit dies zur Erfüllung ihrer Aufgaben nach diesem Gesetz erforderlich ist, personenbezogene Daten verarbeiten. 2Sie erhält die zur Erfüllung ihrer Aufgaben erforderlichen Informationen von anderen Behörden, sofern gesetzliche Verschwiegenheitspflichten dem nicht entgegenstehen. 3Für die Übermittlung personenbezogener Daten gilt § 25 des Bundesdatenschutzgesetzes.
(2) 1Die Deutsche Bundesbank, das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), die Zentralstelle für Finanztransaktionsuntersuchungen, das Bundeskriminalamt, die Bundespolizei, die Bundesanstalt für Finanzdienstleistungsaufsicht, das Bundesamt für Güterverkehr, das Luftfahrt-Bundesamt, das Bundeszentralamt für Steuern, die Landesfinanzbehörden und die Behörden der Zollverwaltung dürfen für Zwecke der Durchsetzung der vom Rat der Europäischen Union im Bereich der Gemeinsamen Außen- und Sicherheitspolitik beschlossenen wirtschaftlichen Sanktionsmaßnahmen personenbezogene Daten unter entsprechender Beachtung von § 12 Absatz 2 und 3 des Bundeskriminalamtgesetzes an die Zentralstelle für Sanktionsdurchsetzung übermitteln; gesetzliche Verschwiegenheitspflichten, soweit sie nicht auf Vorschriften der Europäischen Union beruhen, stehen insoweit nicht entgegen. 2Satz 1 gilt entsprechend für das Bundesamt für Verfassungsschutz und den Bundesnachrichtendienst, soweit tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung erforderlich ist zur Verhütung von besonders schweren Straftaten nach § 100b Absatz 2 Nummer 4 der Strafprozessordnung sowie von Straftaten nach § 18 Absatz 1 Nummer 1 Buchstabe a und c des Außenwirtschaftsgesetzes.
(3) 1Die Zentralstelle für Sanktionsdurchsetzung kann für die Dauer einer befristeten projektbezogenen Zusammenarbeit mit den in Absatz 2 genannten Behörden gemeinsame Dateien errichten und den Informationsaustausch nach Absatz 1 Satz 2 automatisieren. 2Die projektbezogene Zusammenarbeit bezweckt nach Maßgabe der Aufgaben und Befugnisse der beteiligten Behörden den Austausch und die gemeinsame Auswertung von Erkenntnissen, um bereichsspezifisch für einen konkreten Sanktionssachverhalt Risikoprofile erstellen und auf diese Weise gezielt und risikobasiert eine drohende Verschleierung der wirtschaftlichen Berechtigung an Geldern oder wirtschaftlichen Ressourcen durch Maßnahmen nach den §§ 2 und 3 ermitteln zu können, insbesondere, um bei komplexen Unternehmenskonstruktionen, die der Verschleierung von Vermögen dienen könnten, den wirtschaftlich Berechtigten ermitteln zu können. 3Eine Teilnahme des Bundesamtes für Verfassungsschutz und des Bundesnachrichtendienstes ist auf die in Absatz 2 Satz 2 genannten Zwecke beschränkt. 4In der gemeinsamen Datei enthaltene personenbezogene Daten dürfen von den an der projektbezogenen Zusammenarbeit beteiligten Behörden ausschließlich zu den in Satz 2 genannten Zwecken und nur im Rahmen ihrer jeweiligen Befugnisse weiterverarbeitet werden, soweit dies in diesem Zusammenhang zur Erfüllung ihrer Aufgaben erforderlich ist. 5Bei der Weiterverarbeitung der personenbezogenen Daten finden für die beteiligten Behörden die jeweils für sie geltenden Vorschriften über die Weiterverarbeitung von Daten Anwendung. 6Für die Eingabe personenbezogener Daten in die gemeinsame Datei gelten die jeweiligen Übermittlungsvorschriften zugunsten der an der Zusammenarbeit beteiligten Behörden entsprechend mit der Maßgabe, dass die Eingabe nur zulässig ist, wenn die Daten allen an der projektbezogenen Zusammenarbeit teilnehmenden Behörden übermittelt werden dürfen. 7Eine Eingabe ist ferner nur zulässig, wenn die Behörde, die die Daten eingegeben hat, die Daten auch in eigenen Dateien weiterverarbeiten darf. 8Die Daten sind zu kennzeichnen. 9Für die Führung einer projektbezogenen gemeinsamen Datei durch die Zentralstelle für Sanktionsdurchsetzung gelten § 29 Absatz 5, die §§ 31 und 86 des Bundeskriminalamtgesetzes entsprechend und mit der Maßgabe, dass die Datei von der Zentralstelle für Sanktionsdurchsetzung geführt wird. 10Hinsichtlich der Protokollierung der Datenabrufe gilt § 76 des Bundesdatenschutzgesetzes entsprechend. 11Die gemeinsamen Dateien sind auf höchstens zwei Jahre zu befristen. 12Die Frist kann um zwei Jahre und danach um ein weiteres Jahr verlängert werden, wenn das Ziel der projektbezogenen Zusammenarbeit bei Projektende noch nicht erreicht worden ist und die Datei weiterhin für die Erreichung des Ziels erforderlich ist. 13Nach Ablauf der Frist sind die gemeinsamen Dateien durch die Zentralstelle für Sanktionsdurchsetzung zu löschen. 14Für die Berichtigung und Verarbeitungseinschränkung personenbezogener Daten durch die Behörde, die die Daten eingegeben hat, gelten die jeweiligen für sie anwendbaren Vorschriften über die Berichtigung und Verarbeitungseinschränkung von Daten entsprechend. 15Für Daten, die die Zentralstelle für Sanktionsdurchsetzung eingegeben hat, findet § 75 Absatz 1 und 2 des Bundesdatenschutzgesetzes Anwendung. Die Zentralstelle für Sanktionsdurchsetzung hat mit Zustimmung des Bundesministeriums der Finanzen sowie der für die Fachaufsicht der zusammenarbeitenden Behörden jeweils zuständigen obersten Bundes- und Landesbehörden für die projektbezogenen gemeinsamen Dateien folgende Festlegungen zu treffen:
(4) 1Die Zentralstelle für Sanktionsdurchsetzung hat im Einvernehmen mit den an der projektbezogenen Zusammenarbeit teilnehmenden Behörden deren jeweilige Organisationseinheiten zu bestimmen, die zur Eingabe und zum Abruf befugt sind. 2Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist vor den Festlegungen anzuhören.
(5) 1Die Zentralstelle für Sanktionsdurchsetzung ist berechtigt, im Rahmen der Erfüllung ihrer Aufgaben nach § 1 Absatz 1 Nummer 1, 2 und 3 die in ihrem Informationssystem gespeicherten, personenbezogenen Daten mit den im polizeilichen Informationsverbund nach § 29 Absatz 1 und 2 des Bundeskriminalamtgesetzes enthaltenen, personenbezogenen Daten automatisiert abzugleichen, soweit tatsächliche Anhaltspunkte dafür bestehen, dass dies zur Verhütung von Straftaten nach § 18 Absatz 1 Nummer 1 Buchstabe a und c des Außenwirtschaftsgesetzes erforderlich ist. 2Wird im Zuge des Abgleichs nach Satz 1 eine Übereinstimmung übermittelter Daten mit im polizeilichen Informationsverbund gespeicherten Daten festgestellt, so erhält der datenbesitzende Teilnehmer am polizeilichen Informationsverbund automatisiert die Information über das Vorliegen eines Treffers. 3Zugleich erhält die Zentralstelle für Sanktionsdurchsetzung in den Fällen nach Satz 2 die Information über das Vorliegen eines Treffers sowie die Information, wer datenbesitzender Teilnehmer am polizeilichen Informationsverbund ist. 4Bei Informationen über das Vorliegen eines Treffers nach Satz 2 obliegt es dem jeweiligen datenbesitzenden Teilnehmer des polizeilichen Informationsverbunds, mit der Zentralstelle für Sanktionsdurchsetzung unverzüglich Kontakt aufzunehmen und ihr die Daten zu übermitteln, soweit dem keine Übermittlungsbeschränkungen entgegenstehen.
(6) Die erhobenen personenbezogenen Daten sind mit Ausnahme der nach Absatz 3 erhobenen Daten spätestens nach Ablauf von sechs Monaten nach Wegfall der jeweils zugrundeliegenden Verfügungsbeschränkung oder des jeweils zugrundeliegenden Bereitstellungsverbotes im Sinne des § 1 Absatz 1 Satz 2 Nummer 1 und 2 zu löschen.