(1) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten verarbeiten, die aufgrund dieses Gesetzes übermittelt, erhoben oder abgefragt werden, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.

(2) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die sie zur Erfüllung ihrer Aufgaben gespeichert hat, mit anderen Daten abgleichen, wenn dies nach diesem Gesetz oder nach einem anderen Gesetz zulässig ist.

(2a) Die Zentralstelle für Finanztransaktionsuntersuchungen darf bei der Verarbeitung personenbezogener Daten nach Absatz 1 und beim Abgleich dieser personenbezogenen Daten mit anderen Daten nach Absatz 2 automatisierte Anwendungen zur Datenanalyse einsetzen

1.

zur Risikobewertung nach § 30 Absatz 2 Satz 3,

2.

bei der operativen Analyse nach § 28 Absatz 1 Satz 3 Nummer 2 und

3.

bei der strategischen Analyse nach § 28 Absatz 1 Satz 3 Nummer 8

von Meldungen und sonstigen Informationen nach diesem Gesetz. Folgende personenbezogene Daten dürfen in automatisierten Anwendungen zur Datenanalyse nach Satz 1 nicht verarbeitet werden:

1.

Daten, die ursprünglich durch den Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, die Verfassungsschutzbehörden der Länder oder den Militärischen Abschirmdienst erhoben wurden;

2.

Daten, die durch eine Maßnahme nach den §§ 100a, 100b, 100c, 100f, 100g, 100h, 100i, 100k Absatz 1 Satz 2, den §§ 110a, 163f der Strafprozessordnung oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden;

3.

biometrische Daten.

Folgende Datenarten dürfen mittels einer automatisierten Anwendung zur Datenanalyse verarbeitet werden: der Familienname, die Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, Name der juristischen Person, das Geschlecht, das Geburtsdatum, der Geburtsort, der Geburtsstaat, der Familienstand, die aktuellen und bisherigen Staatsangehörigkeiten, die gegenwärtigen und bisherigen Anschriften, die Nummer eines Legitimationsdokumentes einschließlich der ausstellenden öffentlichen Stelle, eigene oder jeweils genutzte Telekommunikationsanschlüsse sowie Adressen für elektronische Post, elektronische Adressen für neue Zahlungsmethoden (Wallet-Adressen), sonstige Angaben zur beruflichen Erreichbarkeit und Daten über die Geschäftsbeziehung gemäß § 1 Absatz 4 einer Person mit einem Verpflichteten nach § 2, insbesondere Daten eines bei einem Verpflichteten geführten Kontos. Personenbezogene Daten aus allgemein zugänglichen Quellen dürfen nicht automatisiert in die Verarbeitung personenbezogener Daten in automatisierten Anwendungen zur Datenanalyse einbezogen werden.