Datenschutzerklärung für die Whistleblower-Plattform der EZB

Für die EZB maßgeblicher Rechtsrahmen für den Datenschutz

Alle personenbezogenen Daten werden im Einklang mit den Datenschutzvorschriften der EU verarbeitet, d. h. gemäß der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.

Welche Daten werden von der EZB erhoben? Wie werden die Daten erhoben?

Die EZB erhebt sensible und personenbezogene Daten über Personen, die einen mutmaßlichen Verstoß gegen maßgebliche Rechtsvorschriften der Europäischen Union melden. Die EZB erhebt außerdem sensible und personenbezogene Daten über Personen, die mutmaßlich einen Verstoß begangen haben, sowie über andere Beteiligte, die in den über die Whistleblower-Plattform eingegangenen Meldungen über Verstöße genannt werden. Die EZB verarbeitet ebenfalls Daten von Personen, die für sie selbst oder für eine nationale zuständige Behörde (nationale Aufsicht) arbeiten, sowie Daten jeder anderen Person, die in einer Meldung über einen Verstoß oder in einer daraus resultierenden Fallakte erwähnt wird. Sollte die EZB feststellen, dass diese Personen für den Fall nicht relevant sind, werden ihre Daten nicht weiter verarbeitet.

Da Verstöße gegen das maßgebliche EU-Recht anonym über die Whistleblower-Plattform gemeldet werden können, sind Personen, die einen mutmaßlichen Verstoß melden, in keiner Weise verpflichtet, ihre personenbezogenen Daten anzugeben. Es kann jedoch nicht ausgeschlossen werden, dass die EZB im Rahmen der Prüfung einer Meldung auf Informationen stößt, die Identifikationsdaten (einschließlich Name und Nachname, Geburtsdatum, Geburtsort, Anschrift, Telefonnummer, Faxnummer, E-Mail-Adresse und IP-Adresse), berufliche Daten (einschließlich Beruf, Arbeitgeber und Funktion) oder Finanzdaten (einschließlich Gehaltsabrechnungen, Bankkonten und Wertpapierportfolios) einschließen.

Wer ist verantwortlich für die Verarbeitung personenbezogener Daten, die über die Whistleblower-Plattform erhoben werden?

Die EZB trägt die Verantwortung für die Verarbeitung personenbezogener Daten, die über die Whistleblower-Plattform erhoben werden, und die „Enforcement Section“ der Abteilung Durchsetzung und Sanktionen der EZB ist die für die Verarbeitung dieser Daten zuständige Organisationseinheit.

Die über die Whistleblower-Plattform übermittelten Daten werden im Namen der EZB auch extern von dem sicheren Drittanbieter EQS Group AG verarbeitet. EQS Group AG hat keinen Zugriff auf den Inhalt der Meldungen.

Warum und auf welcher rechtlichen Grundlage verarbeitet die EZB personenbezogene Daten?

Die Whistleblower-Plattform der EZB ist für alle Personen bestimmt, die in gutem Glauben handeln und einen begründeten Verdacht haben, dass ein beaufsichtigtes Unternehmen oder eine zuständige Behörde (eine nationale Aufsichtsbehörde, auch als nationale zuständige Behörde bezeichnet, oder die EZB) gegen die in Artikel 4 Absatz 3 der Verordnung (EU) Nr. 1024/2013 des Rates (SSM-Verordnung) genannten Rechtsvorschriften verstoßen hat, und der EZB relevante Informationen darüber übermitteln möchte.

Personenbezogene Daten werden gemäß Artikel 5 Absatz 1 Buchstabe a der Verordnung (EU) 2018/1725 von der Abteilung Durchsetzung und Sanktionen und EQS Group AG erhoben und verarbeitet.

Wer hat Zugang zu den übermittelten Informationen und an wen werden sie weitergegeben?

Die über die Whistleblower-Plattform eingehenden Informationen werden im Namen der EZB extern von dem Drittanbieter EQS Group AG verarbeitet. Dies geschieht über ein Cloud-Speichersystem mit Servern in Deutschland. Nur EZB-Nutzer können auf diese Informationen zugreifen.

In der EZB ist die „Enforcement Section“ für die Bearbeitung der über die Whistleblower-Plattform eingehenden Meldungen zuständig. Ihre Mitarbeiterinnen und Mitarbeiter sind an strenge Vertraulichkeitsbestimmungen gebunden. Diese Organisationseinheit entscheidet, ob die Informationen gemäß der SSM-Verordnung an die zuständigen Geschäftsbereiche innerhalb der EZB oder an die zuständigen Behörden (nationale Aufsicht) weitergeleitet werden.

Die EZB verfolgt mit der Whistleblower-Plattform den Zweck, Meldungen über Verstöße einer beaufsichtigten Bank, einer nationalen Aufsichtsbehörde oder der EZB selbst gegen maßgebliche Rechtsvorschriften der Europäischen Union zu erhalten.

Erhält die EZB Meldungen über Verstöße gegen maßgebliches EU-Recht, so werden die jeweiligen Informationen an den zuständigen Geschäftsbereich der EZB oder die nationalen Aufsichtsbehörden weitergeleitet. Diese Meldungen werden von der EZB jedoch als „geschützte Meldungen“ behandelt. Das heißt, die EZB gibt die Identität oder die personenbezogenen Daten einer Person, die eine geschützte Meldung über die Whistleblower-Plattform übermittelt hat, nicht ohne die vorherige ausdrückliche Zustimmung dieser Person preis – es sei denn, diese Offenlegung wird durch einen Gerichtsbeschluss im Zusammenhang mit weiteren Ermittlungen oder einem anschließenden Gerichtsverfahren angeordnet.

Erhält die EZB Meldungen, die nicht mit Verstößen gegen einschlägiges EU-Recht zusammenhängen, jedoch andere Aufgaben der EZB betreffen, so werden die Informationen an den zuständigen Geschäftsbereich der EZB weitergeleitet. Es gelten die allgemeinen Datenschutzbestimmungen der EZB.

Erhält die EZB Meldungen, die nach ihrem Ermessen im Zusammenhang mit Verstößen gegen nicht maßgebliches EU-Recht (wie der Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Verbraucherschutz oder der Beaufsichtigung von Zahlungsdiensten) stehen und nicht andere Aufgaben der EZB betreffen, so werden die personenbezogenen Daten gelöscht und keine Informationen weitergeleitet. Es gelten die allgemeinen Datenschutzbestimmungen der EZB.

Verstöße gegen nicht maßgebliches EU-Recht können jedoch Verstöße gegen aufsichtsrechtliche Anforderungen offenbaren. So können Verstöße gegen Bestimmungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung Anzeichen einer nicht soliden Governance und unzureichender interner Kontrollmechanismen sein, deren Struktur in den Vorschriften im Zusammenhang mit der Aufsicht über Kreditinstitute festgelegt ist. Daher können solche Meldungen von der EZB im Einzelfall als „geschützte Meldungen“ im Zusammenhang mit Verstößen gegen maßgebliches EU-Recht behandelt werden. In einem solchen Fall werden die Informationen gemäß der SSM-Verordnung an die zuständigen Geschäftsbereiche der EZB oder die nationalen Aufsichtsbehörden weitergeleitet.

Außerdem kann die EZB Informationen aus Meldungen über Verstöße an die für die Bekämpfung von Geldwäsche zuständigen nationalen Behörden weiterleiten, wenn a) die Meldungen Informationen enthalten, die für die Wahrnehmung der Aufgaben dieser Behörden gemäß dem multilateralen Übereinkommen über die praktischen Modalitäten für den Informationsaustausch zwischen der EZB und den für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen nationalen Behörden relevant und erforderlich sind, und b) sich die Informationen auf die internen Systeme und Kontrollen eines beaufsichtigten Unternehmens beziehen.

Wie lange bewahrt die EZB über die Whistleblower-Plattform eingegangene personenbezogene Daten auf?

Nach Schließung einer Fallakte werden alle relevanten personenbezogenen Daten für einen bestimmten Aufbewahrungszeitraum gespeichert.

Wird eine bei der EZB eingegangene Meldung als relevant für die Aufsichtsaufgaben der EZB betrachtet, so werden die Daten für einen Zeitraum von fünf Jahren gespeichert. Wird eine Meldung als nicht relevant für die Aufsichtsaufgaben der EZB angesehen, betrifft sie aber andere Aufgaben der EZB, so werden die Daten für einen Zeitraum von zwölf Monaten gespeichert. Ist eine Meldung nach Ermessen der EZB für keine ihrer Aufgaben relevant, so werden die Daten für einen Zeitraum von drei Monaten gespeichert.

Weitergabe von personenbezogenen Daten an Länder außerhalb der EU

Die EZB ist an verschiedenen Kooperationsvereinbarungen beteiligt und wird auch weiterhin derartige Vereinbarungen mit anderen Behörden oder internationalen Organisationen schließen. Diese Organisationen können personenbezogene Daten aus Fallakten zum Whistleblowing über gemeldete Verstöße gegen EU-Recht anfordern. In solchen Fällen ist die EZB verpflichtet, spezielle Vorschriften für die Weitergabe von personenbezogenen Daten an Empfänger in Drittländern einzuhalten, in denen das EU-Datenschutzrecht keine Anwendung findet. Diese Vorschriften sind in Kapitel V der Datenschutzverordnung festgelegt.

Ihre Rechte

Sie haben das Recht, Ihre personenbezogenen Daten einzusehen und zu berichtigen, die Verarbeitung Ihrer Daten einzuschränken oder abzulehnen und unter bestimmten Bedingungen die Löschung Ihrer Daten zu beantragen. Wenn Sie Ihre Rechte geltend machen möchten, wenden Sie sich bitte an:

Europäische Zentralbank
DG/SSB/ESA/EN – Enforcement Section
Meldemechanismus für Verstöße/Hinweisgebersystem
60640 Frankfurt am Main

Sie können sich bezüglich der Verarbeitung Ihrer personenbezogenen Daten auch jederzeit an den Europäischen Datenschutzbeauftragten wenden.

Weitere Informationen

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zu Ihren Rechten können Sie sich an den Datenschutzbeauftragten der EZB (dpo@ecb.europa.eu) wenden.