Datenschutzerklärung für die Whistleblowing-Plattform der EZB
Maßgeblicher Datenschutz-Rechtsrahmen für die EZB
Alle personenbezogenen Daten werden im Einklang mit den Datenschutzvorschriften der EU verarbeitet, d. h. gemäß der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.
Welche Daten erhebt die EZB und wie geht sie dabei vor?
Die EZB erhebt sensible und personenbezogene Daten über Personen, die einen mutmaßlichen Verstoß gegen maßgebliche Rechtsvorschriften der Europäischen Union melden. Außerdem erhebt die EZB sensible und personenbezogene Daten über Personen, die mutmaßlich gegen EU-Recht verstoßen haben, sowie über sonstige Beteiligte, die in den Meldungen genannt sind, die über die Whistleblowing-Plattform eingereicht wurden. Die EZB verarbeitet zudem Daten von Personen, die für sie selbst oder für eine nationale zuständige Behörde (nationale Aufsicht) arbeiten, sowie Daten jeder anderen Person, die in einer Meldung über einen Verstoß oder in einer daraus resultierenden Fallakte erwähnt wird. Sollte die EZB feststellen, dass diese Personen irrelevant sind für den Fall, so werden ihre Daten nicht weiter verarbeitet.
Da Verstöße gegen einschlägiges EU-Recht anonym über die Whistleblowing-Plattform gemeldet werden können, sind Personen, die einen mutmaßlichen Verstoß melden, keinesfalls verpflichtet, Angaben zu ihrer Person zu machen. Es kann jedoch nicht ausgeschlossen werden, dass die EZB bei der Prüfung einer Meldung auf Informationen mit Identifikationspotenzial stößt (wie etwa Name und Nachname, Geburtsdatum, Geburtsort, Anschrift, Telefonnummer, Faxnummer, E-Mail-Adresse und IP-Adresse), berufliche Daten (einschließlich Tätigkeit, Arbeitgeber und Funktion) oder Finanzdaten (einschließlich Gehaltsabrechnungen, Bankkonten und Wertpapierportfolios).
Wer ist verantwortlich für die Verarbeitung personenbezogener Daten, die über die Whistleblowing-Plattform erhoben werden?
Die EZB trägt die Verantwortung für die Verarbeitung personenbezogener Daten, die über die Whistleblowing-Plattform erhoben werden. Die Abteilung Durchsetzung und Sanktionen der EZB ist die für die Verarbeitung dieser Daten zuständige Organisationseinheit.
Die über die Whistleblowing-Plattform übermittelten Daten werden im Namen der EZB auch extern vom sicheren Drittanbieter EQS Group AG verarbeitet. Die EQS Group AG kann nicht auf den Inhalt der Meldungen zugreifen.
Warum und auf welcher rechtlichen Grundlage verarbeitet die EZB personenbezogene Daten?
Die Whistleblowing-Plattform der EZB ist für alle bestimmt, die in gutem Glauben handeln und einen begründeten Verdacht haben, dass ein beaufsichtigtes Unternehmen oder eine zuständige Behörde (eine nationale Aufsichtsbehörde – auch als „nationale zuständige Behörde“ bezeichnet – oder die EZB) gegen die in Artikel 4 Absatz 3 der Verordnung (EU) Nr. 1024/2013 des Rates (SSM-Verordnung) genannten Rechtsvorschriften verstoßen hat, und der EZB sachdienliche Informationen über einen mutmaßlichen Missstand zukommen lassen möchten.
Die Abteilung Durchsetzung und Sanktionen und die EQS Group AG erheben und verarbeiten personenbezogene Daten gemäß Artikel 5 Absatz 1 Buchstabe a der Verordnung (EU) 2018/1725.
Wer hat Zugriff auf die übermittelten Informationen und an wen werden sie weitergegeben?
Die über die Whistleblowing-Plattform eingehenden Informationen werden im Namen der EZB extern vom Drittanbieter EQS Group AG verarbeitet. Dies geschieht über ein Cloud-Speichersystem mit Servern in Deutschland. Nur Nutzerinnen und Nutzer bei der EZB können auf diese Informationen zugreifen.
Bei der EZB ist die Abteilung Durchsetzung und Sanktionen für die Bearbeitung der Meldungen zuständig, die über die Whistleblowing-Plattform eingehen. Die Mitarbeiterinnen und Mitarbeiter sind an strenge Vertraulichkeitsbestimmungen gebunden. Diese Organisationseinheit entscheidet, ob die Informationen gemäß der SSM-Verordnung an die zuständigen Geschäftsbereiche innerhalb der EZB oder an die zuständigen Behörden (nationale Aufsicht) weitergeleitet werden.
Mittels der Whistleblowing-Plattform kann die EZB Hinweise zu mutmaßlichen Verstößen einer beaufsichtigten Bank, einer nationalen Aufsichtsbehörde oder der EZB selbst gegen einschlägige EU-Rechtsvorschriften entgegennehmen.
Erhält die EZB Hinweise zu Verstößen gegen einschlägiges EU-Recht, so werden die jeweiligen Informationen an den zuständigen Geschäftsbereich der EZB oder die nationalen Aufsichtsbehörden weitergeleitet. Diese Meldungen werden von der EZB als geschützte Meldungen behandelt. Das heißt, die EZB gibt die Identität oder die personenbezogenen Daten einer Person, die eine geschützte Meldung über die Whistleblower-Plattform übermittelt hat, nicht ohne die vorherige ausdrückliche Zustimmung dieser Person preis – es sei denn, diese Offenlegung wird durch einen Gerichtsbeschluss im Zusammenhang mit weiteren Ermittlungen oder einem anschließenden Gerichtsverfahren angeordnet.
Erhält die EZB Meldungen, die nicht mit Verstößen gegen einschlägiges EU-Recht zusammenhängen, jedoch andere Aufgaben der EZB betreffen, so werden die betreffenden Informationen an den zuständigen Geschäftsbereich der EZB weitergeleitet. Dabei gelten die allgemeinen Datenschutzbestimmungen der EZB.
Erhält die EZB Meldungen, die nach ihrem Ermessen im Zusammenhang mit Verstößen gegen nicht einschlägiges EU-Recht (z. B. Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Verbraucherschutz oder Beaufsichtigung von Zahlungsdiensten) stehen und nicht andere Aufgaben der EZB betreffen, so werden die personenbezogenen Daten gelöscht und keine Informationen weitergeleitet. Dabei gelten die allgemeinen Datenschutzbestimmungen der EZB.
Verstöße gegen nicht einschlägiges EU-Recht können jedoch Verstöße gegen aufsichtsrechtliche Anforderungen offenbaren. So können Verstöße gegen Bestimmungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung Anzeichen einer unsoliden Governance und unzureichender interner Kontrollmechanismen sein, deren Struktur in den Vorschriften im Zusammenhang mit der Aufsicht über Kreditinstitute festgelegt ist. Daher können solche Meldungen von der EZB im Einzelfall als geschützte Meldungen im Zusammenhang mit Verstößen gegen einschlägiges EU-Recht behandelt werden. In einem solchen Fall werden die Informationen gemäß der SSM-Verordnung an die zuständigen Geschäftsbereiche der EZB oder die nationalen Aufsichtsbehörden weitergeleitet.
Außerdem kann die EZB Informationen aus Meldungen über Verstöße an die für die Bekämpfung von Geldwäsche zuständigen nationalen Behörden weiterleiten, wenn a) die Meldungen Informationen enthalten, die für die Wahrnehmung der Aufgaben dieser Behörden gemäß dem multilateralen Übereinkommen über die praktischen Modalitäten für den Informationsaustausch zwischen der EZB und den für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen nationalen Behörden relevant und erforderlich sind, und b) sich die Informationen auf die internen Systeme und Kontrollen eines beaufsichtigten Unternehmens beziehen.
Wie lange bewahrt die EZB über die Whistleblowing-Plattform eingegangene personenbezogene Daten auf?
Nach Schließung einer Fallakte werden alle relevanten personenbezogenen Daten für einen bestimmten Aufbewahrungszeitraum gespeichert.
Wird eine bei der EZB eingegangene Meldung als relevant für die Aufsichtsaufgaben der EZB betrachtet, so werden die Daten für einen Zeitraum von fünf Jahren gespeichert. Wird eine Meldung als nicht relevant für die Aufsichtsaufgaben der EZB angesehen, betrifft sie aber andere Aufgaben der EZB, so werden die Daten für einen Zeitraum von zwölf Monaten gespeichert. Ist eine Meldung nach Ermessen der EZB für keine ihrer Aufgaben relevant, so werden die Daten drei Monate lang gespeichert.
Weitergabe von personenbezogenen Daten an Länder außerhalb der EU
Die EZB ist an verschiedenen Kooperationsvereinbarungen beteiligt und wird auch künftig derartige Vereinbarungen mit anderen Behörden oder internationalen Organisationen schließen. Diese Organisationen können personenbezogene Daten aus Fallakten zum Whistleblowing über gemeldete Verstöße gegen EU-Recht anfordern. In solchen Fällen ist die EZB verpflichtet, spezielle Vorschriften für die Weitergabe von personenbezogenen Daten an Empfänger in Drittländern einzuhalten, in denen das EU-Datenschutzrecht keine Anwendung findet. Diese Vorschriften sind in Kapitel V der Datenschutzverordnung festgelegt.
Ihre Rechte
Sie haben das Recht, Ihre personenbezogenen Daten einzusehen und zu berichtigen, die Verarbeitung Ihrer Daten einzuschränken oder abzulehnen und unter bestimmten Bedingungen die Löschung Ihrer Daten zu beantragen. Wenn Sie Ihre Rechte geltend machen möchten, wenden Sie sich bitte an:
Europäische Zentralbank
Generaldirektion SSM-Governance und operatives Geschäft Abteilung Durchsetzung und Sanktionen
Whistleblowing-Mechanismus
60640 Frankfurt am Main
Bezüglich der Verarbeitung Ihrer personenbezogenen Daten können Sie sich jederzeit an den Europäischen Datenschutzbeauftragten wenden.
Weitere Informationen
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zu Ihren Rechten können Sie sich per E-Mail (dpo@ecb.europa.eu) an den Datenschutzbeauftragten der EZB wenden.