16.9.2021   

DE

Amtsblatt der Europäischen Union

L 328/15

BESCHLUSS (EU) 2021/1486 DER EUROPÄISCHEN ZENTRALBANK

vom 7. September 2021

zum Erlass interner Vorschriften zur Beschränkung von Rechten betroffener Personen in Angelegenheiten, welche die Aufgaben der Europäischen Zentralbank im Zusammenhang mit der Aufsicht über Kreditinstitute betreffen (EZB/2021/42)

DAS DIREKTORIUM DER EUROPÄISCHEN ZENTRALBANK —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Satzung des Europäischen Systems der Zentralbanken und der Europäischen Zentralbank, insbesondere auf Artikel 11.6,

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere auf Artikel 25,

In Erwägung nachstehender Gründe:

(1)

Die Europäische Zentralbank (EZB) nimmt ihre Aufgaben gemäß den Verträgen und der Verordnung (EU) Nr. 1024/2013 des Rates (2) wahr.

(2)

Gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1725 enthält der Beschluss (EU) 2020/655 der Europäischen Zentralbank (EZB/2020/28) (3) die allgemeinen Durchführungsvorschriften der Verordnung (EU) 2018/1725 bei der EZB. Insbesondere werden die Vorschriften zur Ernennung und Funktion des Datenschutzbeauftragten der EZB spezifiziert, einschließlich seiner Aufgaben, Pflichten und Befugnisse.

(3)

Bei der Ausübung der ihr übertragenen Aufgaben handelt die EZB und insbesondere die betreffende Organisationseinheit als Verantwortlicher, insoweit sie allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt.

(4)

Gemäß Artikel 4 Absatz 1 der Verordnung (EU) Nr. 1024/2013 ist die EZB ausschließlich für die Wahrnehmung besonderer Aufgaben zur Beaufsichtigung sämtlicher Kreditinstitute zuständig, die in den am einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism — SSM) teilnehmenden Mitgliedstaaten niedergelassen sind, mit dem Ziel die Sicherheit und Solidität der Kreditinstitute und die Stabilität des Finanzsystems zu gewährleisten.

(5)

Bei der Wahrnehmung dieser besonderen Aufgaben verarbeitet die EZB mehrere Kategorien von Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen können, wie Daten zur Identifizierung, Kontaktdaten, berufsbezogene Daten, Finanz- oder Verwaltungsangaben, Daten aus bestimmten Quellen, Daten über elektronische Kommunikation und elektronische Verkehrsdaten, Strafregister, eine Beschreibung finanzieller und nichtfinanzieller Interessen, Einzelheiten der Beziehungen einer natürlichen Person oder ihrer nahen Verwandten zu beaufsichtigten Unternehmen oder Mitgliedern des Leitungsorgans beaufsichtigter Unternehmen sowie Daten über die Position, für die eine Person bestellt wurde oder bestellt werden kann. Personenbezogene Daten könnten auch Teil einer Prüfung sein, einschließlich einer Prüfung zur Zulassung eines Kreditinstituts, zum Entzug der Zulassung eines Kreditinstituts und für ein Inhaberkontrollverfahren; im Zusammenhang mit dem Niederlassungsrecht eines bedeutenden beaufsichtigten Unternehmens; zur Feststellung, ob die Eignungsanforderungen erfüllt sind; im Zusammenhang mit der Vergütungspolitik eines bedeutenden beaufsichtigten Unternehmens und in Bezug auf Kredite durch ein solches Unternehmen an hochrangige Funktionsträger und an mit diesen verwandte Personen; sowie im Zusammenhang mit mutmaßlichen potenziellen Verstößen gegen die in Artikel 4 Absatz 3 der Verordnung (EU) Nr. 1024/2013 genannten Rechtsakte.

(6)

Bei der Wahrnehmung dieser besonderen Aufgaben ist die EZB bestrebt, wichtige Ziele des allgemeinen öffentlichen Interesses der Union zu verfolgen. Aus diesem Grund sollte die Wahrnehmung solcher Aufgaben im Sinne der Verordnung (EU) 2018/1725, insbesondere des Artikels 25 Absatz 1 Buchstaben c und g, sichergestellt werden. Insbesondere bei der Wahrnehmung solcher Aufgaben handelt die EZB im allgemeinen öffentlichen Interesse der Union als öffentliche Behörde, die mit der Wahrnehmung besonderer Aufgaben zur Beaufsichtigung sämtlicher in den am SSM teilnehmenden Mitgliedstaaten niedergelassenen Kreditinstitute betraut ist. Zu diesen Aufgaben gehören Überwachungs-, Inspektions- oder Regulierungsaufgaben im Zusammenhang mit der Ausübung öffentlicher Gewalt im Rahmen der Aufsicht über Kreditinstitute.

(7)

In diesem Zusammenhang ist es angemessen, die Gründe festzulegen, aus denen die EZB die Rechte betroffener Personen in Bezug auf Daten beschränken kann, die sie bei der Wahrnehmung ihrer Aufsichtsaufgaben gemäß der Verordnung (EU) Nr. 1024/2013 erhalten hat.

(8)

Gemäß Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 sollten Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der genannten Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, in internen Vorschriften oder Rechtsakten, die auf der Grundlage der Verträge erlassen werden, festgelegt werden. Dementsprechend sollte die EZB die Vorschriften festlegen, nach denen sie die Rechte betroffener Personen bei der Wahrnehmung ihrer Aufsichtsaufgaben beschränken kann.

(9)

Während in diesem Beschluss die Vorschriften festgelegt werden, nach denen die EZB die Rechte betroffener Personen bei der Wahrnehmung ihrer Aufsichtsaufgaben beschränken kann, beabsichtigt das Direktorium einen gesonderten Beschluss zu verabschieden, mit welchem die Vorschriften erlassen werden, mit denen die EZB diese Rechte in Angelegenheiten ihrer internen Funktionsweise bei der Verarbeitung personenbezogener Daten beschränken kann.

(10)

Die EZB kann eine Ausnahmeregelung gemäß der Verordnung (EU) 2018/1725 anwenden, womit die Notwendigkeit entfällt, eine Beschränkung in Betracht zu ziehen; dies ist insbesondere bei den in Artikel 15 Absatz 4, Artikel 16 Absatz 5, Artikel 19 Absatz 3 und Artikel 35 Absatz 3 der genannten Verordnung vorgesehenen Ausnahmeregelungen der Fall. Für die Verarbeitung der im öffentlichen Interesse liegenden Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke kann die EZB die in Artikel 16 Absatz 5 Buchstabe b oder die in Artikel 19 Absatz 3 Buchstabe d der Verordnung (EU) 2018/1725 festgelegte Ausnahmeregelung anwenden.

(11)

Die Ausübung der in den Artikeln 17, 18, 20, 21, 22 und 23 der Verordnung (EU) 2018/1725 für betroffene Personen genannten Rechte kann es unmöglich machen, bestimmte Zwecke, einschließlich im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, zu erreichen oder diese ernsthaft beeinträchtigen. Daher sollte in diesem Beschluss vorbehaltlich geeigneter Garantien eine Ausnahmeregelung zu diesen Rechten gemäß Artikel 25 Absatz 3 oder Absatz 4 der Verordnung (EU) 2018/1725 vorgesehen werden.

(12)

Die EZB sollte rechtfertigen, aus welchen Gründen solche Beschränkungen von Rechten betroffener Personen in einer demokratischen Gesellschaft zur Sicherstellung der Ziele, welche die EZB in Ausübung ihrer öffentlichen Gewalt verfolgt, und der damit verbundenen Aufgaben unbedingt erforderlich und verhältnismäßig sind; ferner sollte sie rechtfertigen, wie sie den Wesensgehalt der Grundrechte und Grundfreiheiten achtet, wenn sie solche Beschränkungen auferlegt.

(13)

In diesem Rahmen ist die EZB gehalten, die Grundrechte betroffener Personen weitestgehend zu achten, insbesondere im Zusammenhang mit der in der Verordnung (EU) 2018/1725 vorgesehenen Informationspflicht und den Rechten auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person sowie auf Vertraulichkeit der Kommunikation.

(14)

Die EZB kann jedoch zum Schutz der Wahrnehmung ihrer Aufsichtsaufgaben verpflichtet sein, die Informationen an betroffene Personen sowie die Rechte betroffener Personen zu beschränken, insbesondere bei ihren eigenen Untersuchungen und Verfahren, bei Untersuchungen und Verfahren anderer Behörden sowie bei den im Zusammenhang mit ihren eigenen Untersuchungen oder anderen Verfahren bestehenden Grundrechten und Grundfreiheiten anderer Personen.

(15)

Die EZB sollte eine bereits angewandte Beschränkung aufheben, soweit sie nicht mehr erforderlich ist.

(16)

Damit die Einhaltung dieses Beschlusses und der Verordnung (EU) 2018/1725 sichergestellt ist, sollte der Datenschutzbeauftragte der EZB die Anwendung von Beschränkungen überprüfen.

(17)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 41 Absatz 2 der Verordnung (EU) 2018/1725 konsultiert und hat am 12. März 2021 eine Stellungnahme abgegeben —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Gegenstand und Geltungsbereich

(1)   Mit diesem Beschluss werden die Vorschriften für die EZB zur Beschränkung der Rechte betroffener Personen im Rahmen der im Zentralregister verzeichneten Datenverarbeitungstätigkeiten bei der Wahrnehmung ihrer Aufsichtsaufgaben nach der Verordnung (EU) Nr. 1024/2013 festgelegt.

(2)   Die Rechte betroffener Personen, die beschränkt werden können, sind in den folgenden Artikeln der Verordnung (EU) 2018/1725 festgelegt:

a)

Artikel 14 (transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person);

b)

Artikel 15 (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person);

c)

Artikel 16 (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden);

d)

Artikel 17 (Auskunftsrecht der betroffenen Person);

e)

Artikel 18 (Recht auf Berichtigung);

f)

Artikel 19 (Recht auf Löschung bzw. „Recht auf Vergessenwerden“);

g)

Artikel 20 (Recht auf Einschränkung der Verarbeitung);

h)

Artikel 21 (Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung);

i)

Artikel 22 (Recht auf Datenübertragbarkeit);

j)

Artikel 35 (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person);

k)

Artikel 36 (Vertraulichkeit der elektronischen Kommunikation);

l)

Artikel 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten entsprechen.

Artikel 2

Begriffsbestimmungen

Im Sinne dieses Beschlusses gelten folgende Begriffsbestimmungen:

(1)

„Verarbeitung“ Verarbeitung im Sinne von Artikel 3 Nummer 3 der Verordnung (EU) 2018/725;

(2)

„personenbezogene Daten“ personenbezogene Daten im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2018/1725;

(3)

„betroffene Person“ eine identifizierte oder identifizierbare natürliche Person; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

(4)

„Zentrales Register“ der öffentlich zugängliche Speicherort für alle bei der EZB ausgeführten Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten, das vom Datenschutzbeauftragten der EZB geführt wird und auf das in Artikel 9 des Beschlusses (EU) 2020/655 (EZB/2020/28) Bezug genommen wird;

(5)

„Verantwortlicher“ die EZB und insbesondere die zuständige organisatorische Einheit innerhalb der EZB, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt und für den Verarbeitungsvorgang verantwortlich ist;

(6)

„Organe und Einrichtungen der Union“ Organe und Einrichtungen der Union im Sinne von Artikel 3 Nummer 10 der Verordnung (EU) 2018/1725.

Artikel 3

Anwendung von Beschränkungen

(1)   Zur Sicherstellung der in Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 genannten Interessen und Ziele kann der Verantwortliche die in Artikel 1 Absatz 2 genannten Rechte beschränken, insbesondere wenn die Ausübung dieser Rechte Folgendes gefährden oder anderweitig beeinträchtigen würde:

a)

die Wahrnehmung der Aufsichtsaufgaben durch die EZB gemäß der Verordnung (EU) Nr. 1024/2013, einschließlich des ordnungsgemäßen Funktionierens des Aufsichtssystems;

b)

die Sicherheit und Solidität der Kreditinstitute und die Stabilität des Finanzsystems innerhalb der Union und in den Mitgliedstaaten;

c)

die Wirksamkeit der Meldung von Verstößen gemäß Artikel 23 der Verordnung (EU) Nr. 1024/2013.

(2)   Zur Sicherstellung der in Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 genannten Interessen und Ziele kann der Verantwortliche die in Artikel 1 Absatz 2 genannten Rechte in Bezug auf personenbezogene Daten, die er von anderen Organen und Einrichtungen der Union und von zuständigen Behörden der Mitgliedstaaten oder von Drittländern oder internationalen Organisationen erhält, in folgenden Fällen beschränken:

a)

wenn die Ausübung dieser Rechte durch andere Organe und Einrichtungen der Union, von denen die personenbezogenen Daten stammen, auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsvorschriften oder gemäß Kapitel IX der genannten Verordnung oder gemäß den Gründungsakten anderer Organe und Einrichtungen der Union beschränkt werden könnte;

b)

wenn die Ausübung dieser Rechte durch die zuständigen Behörden der Mitgliedstaaten, von denen die personenbezogenen Daten stammen, auf der Grundlage der in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) genannten Rechtsvorschriften oder aufgrund nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (5) beschränkt werden könnte;

c)

wenn die Ausübung dieser Rechte die EZB bei der Ausführung ihrer Aufgaben dabei gefährden oder auf andere Weise beeinträchtigen könnte, mit Drittländern oder internationalen Organisationen, von denen die Informationen stammen, zusammenzuarbeiten, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen das Interesse der EZB an der Zusammenarbeit.

(3)   Bevor der Verantwortliche in den in Absatz 2 Buchstaben a und b genannten Fällen eine Beschränkung anwendet, hat er

a)

die mit den betreffenden Organen und Einrichtungen der Union oder den zuständigen Behörden der Mitgliedstaaten getroffenen Vereinbarungen zur Kenntnis zu nehmen;

b)

die zuständigen Organe und Einrichtungen der Union oder die zuständigen Behörden der Mitgliedstaaten zu konsultieren, es sei denn, es ist für den Verantwortlichen ersichtlich, dass die Anwendung dieser Beschränkung in einem der in Absatz 2 Buchstaben a und b genannten Rechtsvorschriften oder in einer der dort genannten Maßnahmen vorgesehen ist.

(4)   Der Verantwortliche darf eine Beschränkung nur dann anwenden, wenn er bei der Prüfung im Einzelfall zu dem Schluss gelangt ist, dass

a)

die Beschränkung unter Berücksichtigung der Risiken für die Rechte und Freiheiten der betroffenen Person erforderlich und verhältnismäßig ist;

b)

mit der Beschränkung der Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft geachtet wird.

(5)   Der Verantwortliche dokumentiert seine Bewertung in einem internen Bewertungsvermerk, in dem die Rechtsgrundlage, die Gründe für die Beschränkung, die beschränkten Rechte der betroffenen Personen, die betroffenen Personen, die Erforderlichkeit und Verhältnismäßigkeit der Beschränkung und die voraussichtliche Dauer der Beschränkung enthalten sind.

(6)   Eine Entscheidung über die Beschränkung der Rechte einer betroffenen Person nach diesem Beschluss, die vom Verantwortlichen zu treffen ist, wird auf der Ebene des jeweiligen Geschäftsbereichsleiters oder stellvertretenden Leiters getroffen, in dessen Geschäftsbereich der die personenbezogenen Daten betreffende Hauptverarbeitungsvorgang durchgeführt wird.

Artikel 4

Ausnahmeregelungen

(1)   Für die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken kann der Verantwortliche Ausnahmeregelungen gemäß Artikel 25 Absatz 3 der Verordnung (EU) 2018/1725 anwenden. Zu diesem Zweck kann der Verantwortliche unter den in Artikel 25 Absatz 3 der Verordnung (EU) 2018/1725 vorgesehenen Bedingungen von den Rechten in den Artikeln 17, 18, 20 und 23 der genannten Verordnung abweichen.

(2)   Für die Verarbeitung zu im öffentlichen Interesse liegenden Archivierungszwecken kann der Verantwortliche Ausnahmeregelungen gemäß Artikel 25 Absatz 4 der Verordnung (EU) 2018/1725 anwenden. Zu diesem Zweck kann der Verantwortliche unter den in Artikel 25 Absatz 4 der Verordnung (EU) 2018/1725 vorgesehenen Bedingungen von den Rechten in den Artikeln 17, 18, 20, 21, 22 und 23 der genannten Verordnung abweichen.

(3)   Solche Ausnahmeregelungen unterliegen angemessenen Garantien gemäß Artikel 13 der Verordnung (EU) 2018/1725 und Artikel 8 des vorliegenden Beschlusses.

Artikel 5

Informationspflicht bei Beschränkungen

Der Verantwortliche stellt allgemeine Informationen über die mögliche Beschränkung der Rechte betroffener Personen wie folgt zur Verfügung:

a)

der Verantwortliche führt die Rechte auf, die beschränkt werden können, die Gründe für die Beschränkung und die mögliche Dauer der Beschränkung;

b)

der Verantwortliche nimmt die in Buchstabe a genannten Informationen in seine Datenschutzhinweise, Datenschutzerklärungen und die in Artikel 31 der Verordnung (EU) 2018/1725 genannten Verzeichnisse von Verarbeitungstätigkeiten auf.

Artikel 6

Beschränkung des Rechts der betroffenen Personen auf Auskunft, auf Berichtigung, auf Löschung und auf Einschränkung der Verarbeitung

(1)   Beschränkt der Verantwortliche die jeweils in den Artikeln 17 und 18, Artikel 19 Absatz 1 sowie Artikel 20 Absatz 1 der Verordnung (EU) 2018/1725 genannten Rechte auf Auskunft, auf Berichtigung, auf Löschung oder auf Einschränkung der Verarbeitung ganz oder teilweise, unterrichtet er die betroffene Person innerhalb der in Artikel 11 Absatz 5 des Beschlusses (EU) 2020/655 (EZB/2020/28) genannten Frist in seiner schriftlichen Antwort auf den Antrag über die angewandte Beschränkung und die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten einzureichen oder einen gerichtlichen Rechtsbehelf vor dem Gerichtshof der Europäischen Union einzulegen.

(2)   Der Verantwortliche verwahrt den in Artikel 3 Absatz 5 genannten internen Bewertungsvermerk und gegebenenfalls die Unterlagen, welche die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, und stellt diese dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung.

(3)   Der Verantwortliche kann die Unterrichtung über die Gründe für die Beschränkung nach Absatz 1 zurückstellen, unterlassen oder ablehnen, solange diese Unterrichtung den Zweck der Beschränkung beeinträchtigen würde. Sobald der Verantwortliche feststellt, dass die Unterrichtung den Zweck der Beschränkung nicht mehr beeinträchtigt, stellt der Verantwortliche der betroffenen Person diese Informationen zur Verfügung.

Artikel 7

Dauer der Beschränkungen

(1)   Der Verantwortliche hebt eine Beschränkung auf, sobald die Umstände, die diese Beschränkung rechtfertigten, nicht mehr gegeben sind.

(2)   Hebt der Verantwortliche eine Beschränkung gemäß Absatz 1 auf, so muss der Verantwortliche unverzüglich

a)

die betroffene Person über die wesentlichen Gründe für die Anwendung einer Beschränkung unterrichten, sofern dies noch nicht geschehen ist;

b)

die betroffene Person über ihr Beschwerderecht beim Europäischen Datenschutzbeauftragten oder über ihr Recht auf einen gerichtlichen Rechtsbehelf beim Gerichtshof unterrichten;

c)

der betroffenen Person das Recht gewähren, das der aufgehobenen Beschränkung unterlag.

(3)   Der Verantwortliche überprüft alle sechs Monate erneut, ob eine gemäß diesem Beschluss angewandte Beschränkung aufrechterhalten werden muss, und dokumentiert seine erneute Bewertung in einem internen Bewertungsvermerk.

Artikel 8

Garantien

Die EZB sieht die im Anhang genannten Garantien organisatorischer und technischer Art vor, um den Missbrauch, den unrechtmäßigen Zugang zu oder die unrechtmäßige Übermittlung von Informationen zu verhindern.

Artikel 9

Überprüfung durch den Datenschutzbeauftragten

(1)   Wenn der Verantwortliche die Ausübung der Rechte einer betroffenen Person beschränkt, muss er den Datenschutzbeauftragten laufend einbeziehen. Dabei gilt insbesondere Folgendes:

a)

Der Verantwortliche muss den Datenschutzbeauftragten unverzüglich konsultieren;

b)

Auf Antrag des Datenschutzbeauftragten gewährt der Verantwortliche dem Datenschutzbeauftragten Zugang zu allen Dokumenten, welche die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, einschließlich des in Artikel 3 Absatz 5 genannten internen Bewertungsvermerks;

c)

Der Verantwortliche muss dokumentieren, wie der Datenschutzbeauftragte einbezogen wurde, einschließlich relevanter Informationen, die ausgetauscht wurden, insbesondere das Datum, an dem der Datenschutzbeauftragte gemäß Buchstabe a erstmalig konsultiert wurde;

d)

Der Datenschutzbeauftragte kann den Verantwortlichen auffordern, die Beschränkung zu überprüfen;

e)

Der Verantwortliche unterrichtet den Datenschutzbeauftragten unverzüglich und in jedem Fall vor Anwendung einer Beschränkung schriftlich über das Ergebnis dieser Überprüfung.

(2)   Der Verantwortliche unterrichtet den Datenschutzbeauftragten, wenn die Beschränkung aufgehoben wurde.

Artikel 10

Inkrafttreten

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Geschehen zu Frankfurt am Main am 7. September 2021.

Die Präsidentin der EZB

Christine LAGARDE

(1)   ABl. L 295 vom 21.11.2018, S. 39.

(2)  Verordnung (EU) Nr. 1024/2013 des Rates vom 15. Oktober 2013 zur Übertragung besonderer Aufgaben im Zusammenhang mit der Aufsicht über Kreditinstitute auf die Europäische Zentralbank (ABl. L 287 vom 29.10.2013, S. 63).

(3)  Beschluss (EU) 2020/655 der Europäischen Zentralbank vom 5. Mai 2020 zum Erlass von Durchführungsbestimmungen für den Datenschutz bei der Europäischen Zentralbank und zur Aufhebung des Beschlusses EZB/2007/1 (EZB/2020/28) (ABl. L 152 vom 15.5.2020, S. 13).

(4)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(5)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

ANHANG

Zur Verhinderung von Missbrauch oder unrechtmäßigem Zugang zu oder unrechtmäßiger Übermittlung von Informationen umfassen Garantien organisatorischer und technischer Art bei der EZB Folgendes:

a)

In Bezug auf Personen:

i)

Alle Personen, die Zugang zu nicht öffentlichen Informationen der EZB haben, sind dafür verantwortlich die Grundsätze und Regelungen der EZB über die Verwaltung und Vertraulichkeit von Informationen zu kennen und anzuwenden;

ii)

Mit einer Sicherheitsüberprüfung wird sichergestellt, dass nur überprüfte und befugte Personen Zugang zu den Räumlichkeiten der EZB und zu deren nicht öffentlichen Informationen haben;

iii)

Informationstechnologie, Informationen und Maßnahmen zur Sensibilisierung für physische Sicherheit;

iv)

Schulungen, die regelmäßig für Mitarbeiter und externe Dienstleister durchgeführt werden;

v)

die Mitarbeiter der EZB unterliegen strikten, in den Beschäftigungsbedingungen und den Dienstvorschriften der EZB festgelegten Regelungen über die Geheimhaltung, die bei einem Verstoß mit Disziplinarmaßnahmen verbunden sind;

vi)

Regeln und Pflichten für den Zugang externer Dienstleister oder Auftragnehmer zu nicht öffentlichen Informationen der EZB, die in vertraglichen Vereinbarungen festgelegt sind;

vii)

Zugangskontrollen, einschließlich der Einrichtung und Durchsetzung von Sicherheitszonen, um zu gewährleisten, dass der Zugang von Personen zu nicht öffentlichen Informationen der EZB auf der Grundlage von Geschäftserfordernissen und Sicherheitsanforderungen genehmigt und beschränkt wird;

b)

In Bezug auf Prozesse:

i)

Verfahren, welche die kontrollierte Umsetzung, den Betrieb und die Aufrechterhaltung der IT-Anwendungen sicherstellen und so die Geschäftstätigkeit der EZB unterstützen;

ii)

IT-Anwendungen für die Geschäftstätigkeit der EZB, welche die Sicherheitsstandards der EZB erfüllen;

iii)

ein umfassendes Betriebsprogramm für die physische Sicherheit, mit welchem Sicherheitsbedrohungen laufend bewertet werden können und das physische Sicherheitsmaßnahmen umfasst, mit denen ein angemessenes Schutzniveau sichergestellt wird.

c)

In Bezug auf Technologie:

i)

alle elektronischen Daten, die in IT-Anwendungen gespeichert werden, erfüllen die Sicherheitsstandards der EZB und sind somit vor unbefugtem Zugriff oder unbefugter Veränderung geschützt;

ii)

IT-Anwendungen werden auf einem Sicherheitsniveau implementiert, betrieben und aufrechterhalten, das dem Vertraulichkeits-, Integritäts- und Verfügbarkeitsbedarf der IT-Anwendungen entspricht, und beruhen auf Analysen der geschäftlichen Auswirkungen;

iii)

ein gewisses Sicherheitsniveau von IT-Anwendungen, welches regelmäßig durch technische und nichttechnische Sicherheitsbewertungen validiert wird;

iv)

Zugang zu nicht öffentlichen Informationen der EZB wird nach dem Grundsatz des begründeten Bedarfs („Kenntnis nur, wenn nötig“) gewährt und der bevorrechtigte Zugang wird strikt beschränkt und streng kontrolliert;

v)

Kontrollen werden durchgeführt, um tatsächliche und potenzielle Sicherheitsverstöße aufzudecken und weiterzuverfolgen.