(1)

Nach Artikel 9a Absatz 2 der Verordnung (EU) Nr. 1093/2010 erstellt die Europäische Bankenaufsichtsbehörde (EBA) eine zentrale Datenbank mit gemäß Artikel 9a Absatz 1 Buchstabe a der genannten Verordnung gesammelten Informationen und hält diese Datenbank auf dem neuesten Stand. Die Präzisierung der Art und Weise, wie Informationen zu analysieren und gemäß Artikel 9a Absatz 3 der genannten Verordnung den meldenden Behörden nach dem Grundsatz „Kenntnis nur, wenn nötig“ und auf vertraulicher Basis zur Verfügung zu stellen sind, steht daher unweigerlich im Zusammenhang mit der Festlegung der Details für die Einrichtung dieser zentralen Datenbank.

(2)

Es ist notwendig, eine nähere Bestimmung der Situationen, in denen Schwächen auftreten können, vorzunehmen. Die Aufsicht umfasst unbeschadet der nationalen Zuständigkeiten alle einschlägigen Tätigkeiten aller meldenden Behörden, die gemäß den sektorspezifischen Rechtsakten durchzuführen sind, und ist daher vielseitig. Folglich sollten die entsprechenden Situationen unter Berücksichtigung der durch die verschiedenen meldenden Behörden durchgeführten Aufsichtstätigkeiten spezifiziert werden.

(3)

Damit die Wesentlichkeit einer Schwäche bestimmt werden kann, müssen eine allgemeine Definition und eine nicht erschöpfende Liste von Kriterien zur weiteren Präzisierung dieser Definition aufgestellt werden. Eine solche Definition und Kriterienliste sind erforderlich, um einerseits einen harmonisierten Ansatz bei der Anwendung dieser allgemeinen Definition zu verfolgen und andererseits sicherzustellen, dass alle wesentlichen Schwächen im Sinne der allgemeinen Definition unter Berücksichtigung des spezifischen Kontexts erfasst werden.

(4)

Um sicherzustellen, dass die meldenden Behörden ermittelte Schwächen frühzeitig an die Datenbank melden, sollte die Definition einer wesentlichen Schwäche nicht nur solche Schwächen umfassen, die ein erhebliches Versagen bei der Einhaltung der geltenden Anforderungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung erkennen lassen, sondern auch Schwächen, die zu einem solchen Versagen führen könnten, auch wenn dies noch nicht eingetreten ist. Dies ist auch dadurch gerechtfertigt, dass die meldenden Behörden, die nicht über das gleiche Maß an Informationen und Fachkenntnissen im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung verfügen wie die gemäß der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates (2) als zuständig benannten Aufsichtsbehörden, angehalten sind, Informationen nach bestem Bemühen an die Datenbank zu melden.

(5)

Bei der Bestimmung der Art der zu übermittelnden Informationen ist zwischen allgemeinen Informationen, Informationen über wesentliche Schwächen und Informationen über die ergriffenen Maßnahmen zu unterscheiden.

(6)

Bei der Bestimmung der Bestandteile der zu übermittelnden allgemeinen Informationen sollte grenzüberschreitend tätigen Wirtschaftsbeteiligten des Finanzsektors, einschließlich denjenigen, die Teil einer Gruppe sind, für die ein Kollegium tätig ist, besondere Aufmerksamkeit zukommen. Die für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen Behörden sollten der EBA als Teil dieser allgemeinen Informationen auch das in Bezug auf Geldwäsche und Terrorismusfinanzierung ermittelte Risikoprofil von Wirtschaftsbeteiligten des Finanzsektors unter Verwendung gemeinsamer Kategorien zur Gewährleistung der Vergleichbarkeit der Informationen übermitteln.

(7)

Die durch die Aufsichtsbehörden zu meldenden allgemeinen Informationen sollten Informationen über die Ergebnisse der einschlägigen Risikobewertung aller aufsichtlichen Überprüfungsverfahren und anderen vergleichbaren Verfahren, die durch das Risiko von Geldwäsche oder Terrorismusfinanzierung beim Wirtschaftsbeteiligten des Finanzsektors beeinflusst sind, umfassen, sowie Informationen über jegliche abschließende negative Bewertung oder Ablehnung eines Zulassungsantrags, sofern diese unter anderem auf ermittelte Risiken in Bezug auf Geldwäsche und Terrorismusfinanzierung zurückzuführen ist.

(8)

Um den in der Richtlinie (EU) 2015/849 festgelegten unterschiedlichen Zuständigkeiten der für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen Behörden des Herkunfts- und des Aufnahmemitgliedstaats Rechnung zu tragen, muss klargestellt werden, dass sowohl die Behörden des Herkunftsmitgliedstaats als auch die des Aufnahmemitgliedstaats der EBA wesentliche Schwächen melden sollten, die sie bei der Wahrnehmung ihrer jeweiligen Zuständigkeiten festgestellt haben. Ferner muss klargestellt werden, dass die von der für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen Behörde des Aufnahmelandes ergriffenen Maßnahmen unabhängig von ihrer Meldung an die Behörde des Herkunftsmitgliedstaats an die Datenbank übermittelt werden sollten.

(9)

Damit das Finanzsystem nicht zu Zwecken der Geldwäsche oder der Terrorismusfinanzierung genutzt wird, muss sichergestellt werden, dass die EBA ihre Rolle bei der Leitung, Koordinierung und Überwachung von Maßnahmen zur Förderung der Integrität, Transparenz und Sicherheit dieses Systems wirksam wahrnehmen kann, indem sie alle ihre Befugnisse und Instrumente nach Maßgabe der Verordnung (EU) Nr. 1093/2010 unter Wahrung des Grundsatzes der Verhältnismäßigkeit in vollem Umfang nutzt. Die EBA sollte daher in die Lage versetzt werden, Informationen aus anderen Quellen für die Zwecke der Analyse der an die Datenbank übermittelten Informationen heranzuziehen. Die EBA sollte sich bemühen, diese Informationen zur Wahrnehmung all ihrer Aufgaben nach Maßgabe der Verordnung (EU) Nr. 1093/2010 zu nutzen.

(10)

Mit dieser Verordnung soll die Zusammenarbeit mit der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) bei der Analyse der an die Datenbank übermittelten und den meldenden Behörden bereitgestellten Informationen im Einklang mit dem Grundsatz der loyalen Zusammenarbeit gemäß Artikel 4 Absatz 3 des Vertrags über die Europäische Union sichergestellt werden, wie in Artikel 2 Absatz 4 der Verordnung (EU) Nr. 1093/2010, Artikel 2 Absatz 4 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates (3) und Artikel 2 Absatz 4 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates (4) näher ausgeführt. Insbesondere sollte präzisiert werden, dass die von der EBA bei diesen Behörden angeforderten oder anderweitig von diesen Behörden erhaltenen Informationen gegebenenfalls zu Analysezwecken verwendet werden können und dass die EBA diese Informationen der EIOPA und der ESMA entweder in Eigeninitiative oder auf Ersuchen dieser Behörden zur Verfügung stellen sollte.

(11)

Es muss festgelegt werden, wie die Informationen den meldenden Behörden zur Verfügung gestellt werden. In Artikel 9a Absatz 2 der Verordnung (EU) Nr. 1093/2010 wird allgemein darauf hingewiesen, dass die EBA sicherstellen muss, dass die Informationen den meldenden Behörden nach dem Grundsatz „Kenntnis nur, wenn nötig“ und auf vertraulicher Basis zur Verfügung gestellt werden, und in Artikel 9a Absatz 3 der genannten Verordnung wird gesondert auf begründete Ersuchen eingegangen. Beide Bestimmungen regeln das Verfahren für die Bereitstellung von Informationen an die meldenden Behörden. In diesem Zusammenhang sollte auch festgelegt werden, welche spezifischen Elemente das begründete Ersuchen, das die meldenden Behörden an die EBA richten, umfassen muss.

(12)

Wenn eine für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständige Behörde Informationen über eine Maßnahme übermittelt, sollte diese Übermittlung von Informationen auch als Meldung dieser Maßnahme gemäß Artikel 62 der Richtlinie (EU) 2015/849 betrachtet werden, um die Einhaltung des Grundsatzes der Verhältnismäßigkeit zu gewährleisten und eine Dopplung von Informationen zu vermeiden. Ferner ist von den für die Bekämpfung von Geldwäsche oder Terrorismusfinanzierung zuständigen Behörden oder Aufsichtsbehörden, die Informationen an die zentrale Datenbank übermitteln, zu verlangen, dass sie im Rahmen der Informationsübermittlung angeben, ob sie bereits eine Meldung im Sinne von Artikel 97 Absatz 6 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates (5) übermittelt haben.

(13)

Damit die zentrale Datenbank zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu einem wirksamen Instrument bei der Bekämpfung von Geldwäsche und Terrorismusfinanzierung wird, muss gewährleistet werden, dass die meldenden Behörden diese Informationen zeitnah an die zentrale Datenbank übermitteln und die Qualität dieser Informationen sicherstellen. Daher sollten Informationen über wesentliche Schwächen und ergriffene Maßnahmen unverzüglich übermittelt werden und die meldenden Behörden auf Ersuchen der EBA, die nach Durchführung einer Qualitätsprüfungsanalyse gestellt werden, unverzüglich reagieren. Aus demselben Grund sollten die meldenden Behörden kontinuierlich die Korrektheit, Vollständigkeit, Zweckdienlichkeit und Aktualisierung dieser Informationen sicherstellen, und Informationen über wesentliche Schwächen sollten unabhängig von den daraufhin ergriffenen Maßnahmen übermittelt werden.

(14)

Die übermittelten Informationen und Ersuchen sollten im Interesse der Zeiteffizienz in englischer Sprache verfasst werden, um eine kohärente, systematische und wirksame Überwachung und Bewertung der Risiken im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung in den Finanzsystemen der Union zu fördern. Sollten die begleitenden Unterlagen nicht in englischer Sprache vorliegen, sind sie in der Originalsprache einzureichen und eine Zusammenfassung in englischer Sprache beizufügen, um die Einhaltung des Grundsatzes der Verhältnismäßigkeit zu gewährleisten und übermäßige Kosten für die meldenden Behörden zu vermeiden.

(15)

Wird ein Einlagensicherungssystem von einer privaten Einrichtung verwaltet, so sollte die für die Aufsicht dieses Systems benannte Behörde sicherstellen, dass dieses System der benannten Behörde wesentliche Schwächen meldet, die im Rahmen seiner Tätigkeiten festgestellt werden.

(16)

Unter Berücksichtigung der großen Zahl der involvierten meldenden Behörden und der beträchtlichen Unterschiede in der Meldehäufigkeit, da einige meldende Behörden aufgrund ihrer Aufsichtsbefugnisse wesentliche Schwächen und Maßnahmen im Zusammenhang mit der Bekämpfung von Geldwäsche und Terrorismusfinanzierung seltener melden dürften als andere, und im Interesse der operativen Effizienz und der Kosteneffizienz sowohl seitens der meldenden Behörden als auch der EBA, sollte die Architektur der Datenbank auf einem sequentiellen Ansatz beruhen. Entsprechend diesem sequentiellen Ansatz sollten einige meldende Behörden direkten und andere indirekten Zugang zur Datenbank haben.

(17)

Alle am Informationsaustausch beteiligten Parteien sollten an das Berufsgeheimnis und die Geheimhaltungspflicht gebunden sein. Daher sollten spezifische Bestimmungen zur Weitergabe von Informationen unter Wahrung der Vertraulichkeit vorgegeben werden.

(18)

Wenn die übermittelten, angeforderten, weitergegebenen oder bereitgestellten Informationen natürliche Personen betreffen, sollte bei der Verarbeitung von Informationen über diese natürlichen Personen der Grundsatz der Verhältnismäßigkeit gewahrt werden. Um dies zu gewährleisten, müssen die verarbeiteten Informationen über natürliche Personen spezifiziert werden.

(19)

Damit die Datenbank sowie die Analyse der darin enthaltenen Informationen effizient ist und ein wirksames Instrument zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung darstellt, sollte die EBA die Informationen, die ihr gemäß der vorliegenden Verordnung übermittelt werden, im Rahmen ihrer Analyse zusammen mit anderen verfügbaren Informationen über wesentliche Schwächen bei einzelnen Wirtschaftsbeteiligten des Finanzsektors, die diese für Geldwäsche oder Terrorismusfinanzierung anfällig machen und von denen die EBA bei der Wahrnehmung ihrer Aufgaben im Rahmen ihres Mandats Kenntnis erhält, nutzen können. Wenn diese zusammengeführten Informationen personenbezogene Daten enthalten, sollten diese unter die in Anhang II aufgeführten Datenkategorien fallen, um ihre Zweckmäßigkeit zu gewährleisten. Die Verwendung personenbezogener Daten sollte nur in Ausnahmefällen erfolgen, und ihre Verarbeitung darf nur der Erreichung der Zwecke dieser Verordnung dienen. Die Daten müssen möglicherweise zusammengeführt werden, um i) die Korrektheit und Vollständigkeit der von den zuständigen Behörden erhaltenen Daten zu überprüfen oder ii) die EBA in die Lage zu versetzen, in ihre Datenbank einschlägige Informationen derselben Art wie die von den zuständigen Behörden übermittelten aufzunehmen, auch wenn sie diese über einen anderen Kanal, beispielsweise im Rahmen ihrer Untersuchungen zu möglichen Verletzungen des Unionsrechts gemäß Artikel 17 der Verordnung (EU) Nr. 1093/2010, erhält.

Informationen über den Verdacht auf begangene Straftaten oder strafrechtliche Verurteilungen eines Kunden, eines wirtschaftlichen Eigentümers, eines Mitglieds des Leitungsorgans oder eines Inhabers von Schlüsselfunktionen könnten ein Hinweis auf mangelnde Ehrlichkeit oder Integrität sowie Risiken im Zusammenhang mit Geldwäsche oder Terrorismusfinanzierung sein. Dies kann wesentliche Schwächen in den Governance-Regelungen von Wirtschaftsbeteiligten des Finanzsektors sowie bei Fragen im Zusammenhang mit der Zuverlässigkeit und Eignung, dem Halten qualifizierter Beteiligungen oder den Geschäftsmodellen und -tätigkeiten in erheblichem Maße bedingen oder begünstigen. Daher dürfen die in Anhang II aufgeführten personenbezogenen Daten Informationen über Verdachtsmomente oder Verurteilungen wegen Straftaten umfassen.

Es dürfen nur Informationen zu wesentlichen Schwächen in die Datenbank aufgenommen werden. Da sich die wesentlichen Schwächen im Sinne der vorliegenden Verordnung nur auf signifikante Verstöße gegen die Anforderungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung beziehen, ist sichergestellt, dass sich die Verarbeitung von Daten gemäß dieser Verordnung lediglich auf schwerwiegende Verstöße gegen die Anforderungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung beschränkt und somit nicht über das erforderliche und verhältnismäßige Maß hinausgeht.

Die Verarbeitung aller personenbezogenen Daten im Rahmen der Umsetzung dieser Verordnung sollte im Einklang mit dem Datenschutzrahmen der Union erfolgen, einschließlich der Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz, Zweckbindung, Datenminimierung, Korrektheit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

(20)

Für die Verarbeitung personenbezogener Daten gelten Datenschutzgesetze, insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (6) und die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (7).

(21)

Die EBA, die ESMA, die EIOPA und die meldenden Behörden sollten ihre jeweiligen Zuständigkeiten als gemeinsam für die Verarbeitung personenbezogener Daten Verantwortliche im Wege einer Vereinbarung gemäß Artikel 26 der Verordnung (EU) 2016/679 und Artikel 86 der Verordnung (EU) 2018/1725 festlegen, soweit diese Zuständigkeiten nicht durch das Unionsrecht oder das nationale Recht, dem sie unterliegen, geregelt werden.

(22)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert und hat am 24. Januar 2023 eine förmliche Stellungnahme abgegeben.

(23)

In Anbetracht des komplementären Charakters des in Artikel 9a Absatz 1 der Verordnung (EU) Nr. 1093/2010 erteilten Mandats für die Definition von Schwächen und deren Wesentlichkeit sowie für die Spezifizierung der jeweiligen Situationen, in denen eine Schwäche auftreten kann, und der Art und praktischen Durchführung der Informationserhebung und des in Absatz 3 desselben Artikels erteilten Mandats für die Bestimmung der Art und Weise, wie die erhobenen Informationen analysiert und nach dem Grundsatz „Kenntnis nur, wenn nötig“ und auf vertraulicher Basis zur Verfügung gestellt werden sollten, sollten die einschlägigen Bestimmungen in einer einzigen Verordnung festgelegt werden.

(24)

Gemäß Artikel 9a der Verordnung (EU) Nr. 1093/2010 ist die EBA mit der Erhebung von Informationen über die Maßnahmen betraut, die die meldenden Behörden zur Behebung wesentlicher Schwächen ergriffen haben. Unter solchen Maßnahmen sind alle Aufsichts- und Verwaltungsmaßnahmen, Sanktionen und Strafen, einschließlich vorsorglicher oder vorübergehender Maßnahmen, zu verstehen, die von den meldenden Behörden im Rahmen einer Aufsichtstätigkeit gemäß Artikel 2 Absatz 5 Unterabsatz 2 der Verordnung (EU) Nr. 1093/2010, Artikel 2 Absatz 5 Unterabsatz 2 der Verordnung (EU) Nr. 1094/2010 und Artikel 2 Absatz 5 Unterabsatz 2 der Verordnung (EU) Nr. 1095/2010 ergriffen werden.

(25)

Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von der EBA vorgelegt wurde.

(26)

Die EBA hat zu dem Entwurf technischer Regulierungsstandards, der dieser Verordnung zugrunde liegt, öffentliche Konsultationen durchgeführt, die damit verbundenen möglichen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 eingesetzten Interessengruppe eingeholt —