ten Anwendungen zur Datenanalyse nach Satz 1 nicht verarbeitet werden:
1.
Daten, die ursprünglich durch den Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, die Verfassungsschutzbehörden der Länder oder den Militärischen Abschirmdienst erhoben wurden;
2.
Daten, die durch eine Maßnahme nach den §§ 100a, 100b, 100c, 100f, 100g, 100h, 100i, 100k Absatz 1 Satz 2, den §§ 110a, 163f der Strafprozessordnung oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden;
3.
biometrische Daten.
Folgende Datenarten dürfen mittels einer automatisierten Anwendung zur Datenanalyse verarbeitet werden: der Familienname, die Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, Name der juristischen Person, das Geschlecht, das Geburtsdatum, der Geburtsort, der Geburtsstaat, der Familienstand, die aktuellen und bisherigen Staatsangehörigkeiten, die gegenwärtigen und bisherigen Anschriften, die Nummer eines Legitimationsdokumentes einschließlich der ausstellenden öffentlichen Stelle, eigene oder jeweils genutzte Telekommunikationsanschlüsse sowie Adressen für elektronische Post, elektronische Adressen für neue Zahlungsmethoden (Wallet-​Adressen), sonstige Angaben zur beruflichen Erreichbarkeit und Daten über die Geschäftsbeziehung gemäß § 1 Absatz 4 einer Person mit einem Verpflichteten nach § 2, insbesondere Daten eines bei einem Verpflichteten geführten Kontos. Personenbezogene Daten aus allgemein zugänglichen Quellen dürfen nicht automatisiert in die Verarbeitung personenbezogener Daten in automatisierten Anwendungen zur Datenanalyse einbezogen werden.
(2b) Durch den Einsatz automatisierter Anwendungen zur Datenanalyse nach Absatz 2a können Meldungen und sonstige Informationen im Datenbestand der Zentralstelle für Finanztransaktionsuntersuchungen dahingehend bewertet und identifiziert werden, ob relevante Anhaltspunkte bestehen, dass ein Vermögensgegenstand mit Geldwäsche, mit Terrorismusfinanzierung oder mit einer sonstigen Straftat im Zusammenhang steht. Hierzu können Beziehungen zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen und die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet werden. Hierzu werden die von den Verpflichteten bei der Abgabe einer Meldung anzugebenden Informationen und sonstige Informationen im Datenbestand der Zentralstelle für Finanztransaktionsuntersuchungen mit den Parametern für die Risikobewertung nach § 30 Absatz 2 Satz 2 bis 8 oder Parametern für die operative und strategische Analyse automatisiert auf Beziehungen und mögliche Übereinstimmungen abgeglichen. Selbstlernende und automatisierte Systeme, die eigenständig Gefährlichkeitsaussagen über Personen treffen können, sind unzulässig.
(2c) Die Zentralstelle für Finanztransaktionsuntersuchungen darf zur Erfüllung ihrer Aufgaben nach diesem Gesetz Informationen nach § 28 Absatz 1 Satz 3 Nummer 2 erheben, verarbeiten und mit anderen Daten abgleichen.
(3) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die bei ihr vorhanden sind, zu Fortbildungszwecken oder zu statistischen Zwecken verarbeiten, soweit eine Verarbeitung anonymisierter Daten zu diesen Zwecken nicht möglich ist.
(4) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die bei ihr vorhanden sind, verar‑