6. Abschnitt Aufbewahrung von Aufzeichnungen, Datenschutz, Informationsaustausch und Anforderungen an die interne Organisation

§ 21. Aufbewahrungspflichten und Datenschutz

(1) Die Verpflichteten haben aufzubewahren:

1. Kopien der erhaltenen Dokumente und Informationen, die für die Erfüllung der Sorgfaltspflichten gegenüber Kunden erforderlich sind, für die Dauer von fünf Jahren nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach dem Zeitpunkt einer gelegentlichen Transaktion;

2. die Transaktionsbelege und -aufzeichnungen, die für die Ermittlung von Transaktionen erforderlich sind, für die Dauer von fünf Jahren nach Beendigung der Geschäftsbeziehung mit dem Kunden oder nach einer gelegentlichen Transaktion.

(2) Die Verpflichteten haben alle personenbezogenen Daten, die sie ausschließlich für die Zwecke dieses Bundesgesetzes verarbeitet haben, nach Ablauf der Aufbewahrungsfristen nach Abs. 1 zu löschen, es sei denn, Vorschriften anderer Bundesgesetze erfordern oder berechtigen zu einer längeren Aufbewahrungsfrist. Keine Löschung der Daten darf bis zur rechtskräftigen Beendigung eines anhängigen Ermittlungs-, Haupt- oder Rechtsmittelverfahrens wegen § 165, § 278a, § 278b, § 278c, § 278d oder § 278e StGB erfolgen, wenn der Verpflichtete davon nachweislich Kenntnis erlangt hat.

(3) Die FMA kann längere Aufbewahrungsfristen mit Verordnung nach einer eingehenden Prüfung ihrer Erforderlichkeit und Verhältnismäßigkeit anordnen, wenn dies für die Verhinderung, Aufdeckung oder Ermittlung von Geldwäscherei oder Terrorismusfinanzierung erforderlich ist oder dies aufgrund der besonderen Umstände bei bestimmten Arten von Verpflichteten erforderlich ist. Die Aufbewahrungsfristen dürfen zehn Jahre nicht überschreiten.

(4) Personenbezogene Daten, die von den Verpflichteten ausschließlich auf der Grundlage dieses Bundesgesetzes für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung verarbeitet werden, dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Diese personenbezogenen Daten dürfen nicht für andere Zwecke, wie beispielsweise für kommerzielle Zwecke, verarbeitet werden.

(5) Die Verpflichteten haben neuen Kunden die nach Art. 13 und 14 der Verordnung (EU) 2016/679 vorgeschriebenen Informationen zur Verfügung zu stellen, bevor sie eine Geschäftsbeziehung begründen oder gelegentliche Transaktionen ausführen. Diese Informationen haben insbesondere einen allgemeinen Hinweis zu den rechtlichen Pflichten der Verpflichteten gemäß diesem Bundesgesetz bei der Verarbeitung personenbezogener Daten zu Zwecken der Verhinderung von Geldwäscherei und Terrorismusfinanzierung zu enthalten.

(6) Die Sicherstellung öffentlicher Interessen gemäß Art. 23 Abs. 1 der Verordnung (EU) 2016/679 kann dann vorliegen, wenn die Verweigerung einer Auskunft (§ 20 Abs. 1) zur Geheimhaltung von Vorgängen, die der Wahrnehmung des § 16 und des § 17 dienen, erforderlich ist, um

1. dem Verpflichteten oder der FMA die ordnungsgemäße Wahrnehmung seiner oder ihrer Aufgaben für die Zwecke dieses Bundesgesetzes zu ermöglichen oder

2. behördliche oder gerichtliche Ermittlungen, Analysen, Untersuchungen oder Verfahren für die Zwecke dieses Bundesgesetzes nicht zu behindern und zu gewährleisten, dass die Verhinderung, Ermittlung und Aufdeckung von Geldwäscherei und Terrorismusfinanzierung nicht gefährdet wird.

Datenquelle: RIS — https://www.ris.bka.gv.at - Gesamte Rechtsvorschrift (RIS)