(1) Die Börsenaufsichtsbehörde, der Börsenrat, die Geschäftsführung, die Handelsüberwachungsstelle und der Sanktionsausschuss sind befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Verarbeiten die in Satz 1 genannten Stellen personenbezogene Daten im Zuge einer Maßnahme zur Durchführung ihrer Aufgaben nach diesem Gesetz, stehen den betroffenen Personen die Rechte aus den Artikeln 15 bis 18 und 20 bis 22 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung nicht zu, soweit die Erfüllung der Rechte der betroffenen Personen Folgendes gefährden würde:
- 1.
die Stabilität und Integrität der Finanzmärkte der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums,
- 2.
den Zweck der Maßnahme,
- 3.
ein sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums, insbesondere ein wichtiges wirtschaftliches oder finanzielles Interesse, oder
- 4.
die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
Unter diesen Voraussetzungen sind die Börsenaufsichtsbehörde, der Börsenrat, die Geschäftsführung, die Handelsüberwachungsstelle und der Sanktionsausschuss auch von den Pflichten nach den Artikeln 5, 12 bis 14, 19 und 34 der Verordnung (EU) 2016/679 befreit.
(2) Die jeweils betroffene Person ist über das Ende der Beschränkung in geeigneter Form zu unterrichten, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
(3) Soweit der betroffenen Person in den Fällen des Absatzes 1 keine Auskunft erteilt wird, ist die Auskunft auf Verlangen der betroffenen Person der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde zu erteilen, soweit nicht im Einzelfall festgestellt wird, dass dadurch die öffentliche Sicherheit des Bundes oder eines Landes oder die Stabilität und Integrität der Finanzmärkte gefährdet würde. Die Mitteilung der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand der genannten Stellen zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmen.
(4) Soweit Personen oder Unternehmen personenbezogene Daten zur Erfüllung der Aufgaben nach Absatz 1 an die Börsenaufsichtsbehörde, den Börsenrat, die Geschäftsführung, die Handelsüberwachungsstelle oder den Sanktionsausschuss übermitteln oder diese von dort erhoben werden, bestehen die Pflicht zur Information der betroffenen Person nach Artikel 13 Absatz 3 und Artikel 14 Absatz 4 der Verordnung (EU) 2016/679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht.