|
2.12.2022 |
DE |
Amtsblatt der Europäischen Union |
L 311/176 |
BESCHLUSS (EU) 2022/2359 DER EUROPÄISCHEN ZENTRALBANK
vom 22. November 2022
zum Erlass interner Vorschriften zur Beschränkung von Rechten betroffener Personen in Angelegenheiten, welche die interne Arbeitsweise der Europäischen Zentralbank betreffen (EZB/2022/42)
DAS DIREKTORIUM DER EUROPÄISCHEN ZENTRALBANK —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Satzung des Europäischen Systems der Zentralbanken und der Europäischen Zentralbank, insbesondere auf Artikel 11.6,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere auf Artikel 25,
in Erwägung nachstehender Gründe:
|
(1) |
Die Europäische Zentralbank (EZB) nimmt ihre Aufgaben gemäß den Verträgen wahr. |
|
(2) |
Gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1725 enthält der Beschluss (EU) 2020/655 der Europäischen Zentralbank (EZB/2020/28) (2) die allgemeinen Durchführungsvorschriften der Verordnung (EU) 2018/1725 bei der EZB. Insbesondere werden die Vorschriften zur Ernennung und Funktion des Datenschutzbeauftragten der EZB spezifiziert, einschließlich seiner Aufgaben, Pflichten und Befugnisse. |
|
(3) |
Bei der Ausübung der ihr übertragenen Aufgaben handelt die EZB und insbesondere die betreffende Organisationseinheit als Verantwortlicher, insoweit sie allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt. |
|
(4) |
In Angelegenheiten, welche die interne Arbeitsweise der EZB betreffen, sind verschiedene Geschäftsbereiche der EZB (darunter die Generaldirektion Personal (DG/HR), die Stabstelle Compliance und Governance (CGO), die Direktion Interne Revision (D/IA) und die Generaldirektion Rechtsdienste (DG/L)) mit Aufgaben betraut, welche die Verarbeitung personenbezogener Daten innerhalb des für die Beschäftigung bei der EZB geltenden Rechtsrahmens umfassen. Solche Aufgaben beinhalten beispielsweise Maßnahmen im Zusammenhang mit möglichen Verstößen gegen Dienstpflichten (einschließlich Untersuchungen wegen unangemessenem Verhalten nach dem EZB-Rahmen zur Würde am Arbeitsplatz und die Weiterverfolgung von Meldungen rechtswidriger Handlungen oder von Verstößen gegen Dienstpflichten unabhängig vom Mitteilungsweg, unter anderem über das Whistleblowing-Tool der EZB); Aufgaben im Zusammenhang mit Auswahlverfahren; Aufgaben von DG/HR bei der Ausübung ihrer Funktionen im Bereich Leistungsmanagement, Beförderung oder direkte Ernennung von EZB-Beschäftigten, berufliche Weiterentwicklung einschließlich eines geschäftsbereichsinternen und -übergreifenden Talentmanagements, Gehaltserhöhungen und Bonuszahlungen sowie Entscheidungen zu Mobilität und Abwesenheiten; der Prüfung der von Seiten der EZB-Beschäftigten eingelegten internen Beschwerden (auch im Wege verwaltungsinterner Überprüfungen, Beschwerdeverfahren, besonderer Beschwerdeverfahren oder medizinischer Ausschüsse) und ihre Nachverfolgung; den im Ethikrahmen der EZB verankerten Beratungsaufgaben der CGO (vgl. Teil 0 der Dienstvorschriften der EZB) und den Aufgaben der CGO im Zusammenhang mit der Überwachung privater Finanzgeschäfte zu Compliance-Zwecken (einschließlich der Zusammenarbeit mit externen Dienstleistern gemäß Artikel 0.4.3.3 der Dienstvorschriften der EZB); und im Zusammenhang mit der Durchführung von Aufgaben durch die D/IA und Aufgaben gemäß der Rundverfügung Nr. 1/2006 über interne Verwaltungsuntersuchungen (3) im Rahmen ihrer Untersuchungstätigkeiten und behördlichen Ermittlungen in Situationen, die möglicherweise auf disziplinarischer Ebene EZB-Beschäftigte betreffen (einschließlich der Aufgaben der Personen, welche die Untersuchung durchführen, oder der Mitglieder des Untersuchungsausschusses, in Fällen, in denen sie Beweise erheben und die relevanten Tatsachen ermitteln müssen). |
|
(5) |
Gemäß dem Beschluss (EU) 2016/456 der Europäischen Zentralbank (EZB/2016/3) (4) muss die EZB dem Europäischen Amt für Betrugsbekämpfung auf dessen Antrag oder auf eigene Initiative Informationen übermitteln, die sich im Besitz der EZB befinden und aufgrund derer sich ein Verdacht auf mögliche Fälle von Betrug, Korruption oder sonstige rechtswidrige Handlungen zum Nachteil der finanziellen Interessen der Union ergibt. Der Beschluss (EU) 2016/456 (EZB/2016/3) sieht vor, dass Betroffene in solchen Fällen rasch unterrichtet werden sollen, sofern dies die Untersuchung nicht beeinträchtigt, und dass auf keinen Fall Schlussfolgerungen gezogen werden dürfen, die Betroffene mit Namen nennen, ohne dass den Betroffenen die Gelegenheit gegeben wurde, sich zu den sie betreffenden Tatsachen einschließlich der sie belastenden Tatsachen zu äußern. |
|
(6) |
Nach Artikel 4 Buchstabe b des Beschlusses (EU) 2020/655 (EZB/2020/28) prüft der Datenschutzbeauftragte Angelegenheiten und Vorfälle im Zusammenhang mit dem Datenschutz entweder auf eigene Initiative oder auf Antrag der EZB. |
|
(7) |
Die Abteilung Schutz und Sicherheit innerhalb der Direktion Verwaltung ist für die Durchführung von Untersuchungen zum Schutz der physischen Sicherheit von Personen, Räumlichkeiten und Eigentum bei der EZB sowie für die Erfassung von Erkenntnissen über Bedrohungen (Threat Intelligence) und die Analyse von Sicherheitsvorfällen zuständig. |
|
(8) |
Die EZB ist zur loyalen Zusammenarbeit mit den nationalen Behörden, einschließlich der nationalen Strafverfolgungsbehörden, verpflichtet. Insbesondere kann die EZB gemäß dem Beschluss (EU) 2016/1162 der Europäischen Zentralbank (EZB/2016/19) (5) auf Ersuchen einer nationalen Strafverfolgungsbehörde die ihr zur Verfügung stehenden vertraulichen Informationen, die sich auf die Aufgaben, die der EZB durch die Verordnung (EU) Nr. 1024/2013 (6) übertragen wurden, oder sich auf die Geldpolitik oder andere Aufgaben der EZB im Rahmen des ESZB/Eurosystems beziehen, an die NCA oder NZB zur Offenlegung gegenüber der betreffenden nationalen Strafverfolgungsbehörde unter bestimmten Bedingungen übermitteln. |
|
(9) |
Gemäß der Verordnung (EU) 2017/1939 (7) des Rates muss die EZB der Europäischen Staatsanwaltschaft (EUStA) unverzüglich alle Informationen übermitteln, wenn ein Verdacht auf eine in ihre Zuständigkeit fallende Straftat besteht. |
|
(10) |
Die EZB muss bei der Wahrnehmung ihrer jeweiligen Aufgaben mit den EU-Einrichtungen zusammenarbeiten, die Aufsichts-, Überwachungs- oder Prüfungsaufgaben gegenüber der EZB wahrnehmen, wie dem Europäischen Datenschutzbeauftragten, dem Europäischen Rechnungshof und dem Europäischen Bürgerbeauftragten. In diesem Zusammenhang kann die EZB personenbezogene Daten verarbeiten, damit sie Anfragen beantworten, solche Stellen konsultieren und ihnen Informationen zur Verfügung stellen kann. |
|
(11) |
Gemäß dem internen Streitbeilegungsrahmen der EZB können sich EZB-Beschäftigte jederzeit mit einem Mediator in Verbindung setzen, um den Mediator um Unterstützung bei der Beilegung oder Verhinderung von arbeitsbezogenen Streitigkeiten zu ersuchen. Dieser Rahmen sieht vor, dass jede Kommunikation mit dem Mediator vertraulich behandelt wird. Alles, was während des Mediationsverfahrens erwähnt wird, gilt als privilegiert und jede an der Mediation beteiligte Partei darf diese Informationen unbeschadet etwaiger Gerichtsverfahren ausschließlich für die Zwecke des Mediationsverfahrens verwenden. In Ausnahmefällen kann der Mediator Informationen offenlegen, wenn die Offenlegung erforderlich erscheint, um die unmittelbare Gefahr einer ernsthaften Beeinträchtigung der körperlichen oder geistigen Unversehrtheit einer Person abzuwenden. |
|
(12) |
Die EZB ist bestrebt, Arbeitsbedingungen zu gewährleisten, welche die Gesundheit und Sicherheit ihrer Beschäftigten schützen und deren Würde am Arbeitsplatz achten, indem sie Beratungsdienste zur Unterstützung der Beschäftigten anbietet. Die EZB-Beschäftigten können in allen Fragen, einschließlich emotionaler, persönlicher und arbeitsbezogener Fragen, die Dienste eines Beraters in sozialen Angelegenheiten (Social Counsellor) in Anspruch nehmen. Der Social Counsellor hat keinen Zugang zu den Personalakten der EZB-Beschäftigten, es sei denn, es liegt eine ausdrückliche Genehmigung der entsprechenden Person vor. Informationen, die eine Person gegenüber dem Social Counsellor erhält, oder Erklärungen, die sie an den Social Counsellor abgegeben hat, dürfen nur weitergegeben werden, wenn diese Person dies ausdrücklich genehmigt hat oder dies gesetzlich vorgeschrieben ist. |
|
(13) |
In Angelegenheiten ihrer internen Arbeitsweise verarbeitet die EZB mehrere Kategorien von Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen können. Nicht abschließende Listen dieser Kategorien von personenbezogenen Daten, welche von der EZB in Angelegenheiten ihrer internen Arbeitsweise verarbeitet werden, sind den Anhängen dieses Beschlusses zu entnehmen. Personenbezogene Daten könnten auch Teil einer Bewertung sein, die unter anderem vom zuständigen Geschäftsbereich in Bezug auf die zu prüfende Angelegenheit vorgenommen wird, beispielsweise eine durch DG/HR, DG/L, D/IA oder durch einen Disziplinarausschuss oder ein Untersuchungsgremium durchgeführte Bewertung, ob ein Verstoß gegen Dienstpflichten vorliegt. |
|
(14) |
Im Zusammenhang mit den Erwägungsgründen 4 bis 13 ist es angemessen, die Gründe zu präzisieren, aus denen die EZB die Rechte betroffener Personen beschränken kann. |
|
(15) |
Bei der Wahrnehmung ihrer Aufgaben ist die EZB bestrebt, wichtige Ziele des allgemeinen öffentlichen Interesses der Union zu verfolgen. Daher sollte die Wahrnehmung solcher Aufgaben im Sinne der Verordnung (EU) 2018/1725, insbesondere des Artikels 25 Absatz 1 Buchstaben b, c, d, f, g und h, sichergestellt werden. |
|
(16) |
Nach Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 sollten Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der genannten Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, durch interne Vorschriften oder Rechtsakte, die auf der Grundlage der Verträge erlassen werden, festgelegt werden. Dementsprechend sollte die EZB die Vorschriften festlegen, nach denen sie die Rechte betroffener Personen bei der Wahrnehmung ihrer Aufsichtsaufgaben beschränken kann. |
|
(17) |
Die EZB sollte rechtfertigen, aus welchen Gründen solche Beschränkungen von Rechten betroffener Personen in einer demokratischen Gesellschaft zur Sicherstellung der Ziele, welche die EZB in Ausübung ihrer öffentlichen Gewalt verfolgt, und der damit verbundenen Aufgaben unbedingt erforderlich und verhältnismäßig sind; ferner sollte sie rechtfertigen, wie sie den Wesensgehalt der Grundrechte und Grundfreiheiten achtet, wenn sie solche Beschränkungen auferlegt. |
|
(18) |
In diesem Rahmen ist die EZB gehalten, die Grundrechte der betroffenen Personen weitestgehend zu achten, insbesondere im Zusammenhang mit der in der Verordnung (EU) 2018/1725 vorgesehenen Informationspflicht und den Rechten auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person sowie auf Vertraulichkeit der Kommunikation. |
|
(19) |
Die EZB kann jedoch zum Schutz der Wahrnehmung ihrer Aufgaben verpflichtet sein, die Informationen an betroffene Personen sowie die Rechte betroffener Personen zu beschränken, insbesondere bei ihren eigenen Untersuchungen und Verfahren, bei Untersuchungen und Verfahren anderer Behörden sowie bei den im Zusammenhang mit ihren eigenen Untersuchungen oder anderen Verfahren bestehenden Grundrechten und Grundfreiheiten anderer Personen. |
|
(20) |
Die EZB sollte eine bereits angewandte Beschränkung aufheben, soweit sie nicht mehr erforderlich ist. |
|
(21) |
Damit die Einhaltung dieses Beschlusses und der Verordnung (EU) 2018/1725 sichergestellt ist, sollte der Datenschutzbeauftragte die Anwendung von Beschränkungen überprüfen. |
|
(22) |
Obwohl in diesem Beschluss die Regeln festgelegt werden, nach denen die EZB die Rechte betroffener Personen beschränken kann, wenn die EZB personenbezogene Daten in Angelegenheiten ihrer internen Arbeitsweise verarbeitet, hat das Direktorium einen gesonderten Beschluss erlassen, mit dem interne Vorschriften über die Beschränkung der Rechte bei der Wahrnehmung ihrer Aufsichtsaufgaben verabschiedet wurden. |
|
(23) |
Die EZB kann eine Ausnahmeregelung gemäß der Verordnung (EU) 2018/1725 anwenden, womit die Notwendigkeit entfällt, eine Beschränkung in Betracht zu ziehen; dies ist insbesondere bei den in Artikel 15 Absatz 4, Artikel 16 Absatz 5, Artikel 19 Absatz 3 und Artikel 35 Absatz 5 der genannten Verordnung vorgesehenen Ausnahmeregelungen der Fall. |
|
(24) |
Ausnahmen von den Rechten betroffener Personen nach den Artikeln 17, 18, 20, 21, 22 und 23 der Verordnung (EU) 2018/1725 für im öffentlichen Interesse liegende Archivzwecke können vorbehaltlich der nach Artikel 25 Absatz 4 der Verordnung (EU) 2018/1725 erforderlichen Bedingungen und Garantien in internen Vorschriften oder Rechtsakten vorgesehen werden, die von der EZB auf der Grundlage der Verträge in Bezug auf ihre Archivierung erlassen wurden. |
|
(25) |
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 41 Absatz 2 der Verordnung (EU) 2018/1725 konsultiert und hat am 12. März 2021 eine Stellungnahme abgegeben — |
|
(26) |
Die Personalvertretung wurde angehört — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Gegenstand und Geltungsbereich
(1) Mit diesem Beschluss werden die Vorschriften für die EZB zur Beschränkung der Rechte betroffener Personen im Rahmen der im Zentralregister verzeichneten Datenverarbeitungstätigkeiten in Angelegenheiten ihrer internen Arbeitsweise festgelegt.
(2) Die Rechte betroffener Personen, die beschränkt werden können, sind in den folgenden Artikeln der Verordnung (EU) 2018/1725 festgelegt:
|
a) |
Artikel 14 (transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person); |
|
b) |
Artikel 15 (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person); |
|
c) |
Artikel 16 (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden); |
|
d) |
Artikel 17 (Auskunftsrecht der betroffenen Person); |
|
e) |
Artikel 18 (Recht auf Berichtigung); |
|
f) |
Artikel 19 (Recht auf Löschung bzw. „Recht auf Vergessenwerden“); |
|
g) |
Artikel 20 (Recht auf Einschränkung der Verarbeitung); |
|
h) |
Artikel 21 (Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung); |
|
i) |
Artikel 22 (Recht auf Datenübertragbarkeit); |
|
j) |
Artikel 35 (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person); |
|
k) |
Artikel 36 (Vertraulichkeit der elektronischen Kommunikation); |
|
l) |
Artikel 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten entsprechen. |
Artikel 2
Begriffsbestimmungen
Im Sinne dieses Beschlusses gelten folgende Begriffsbestimmungen:
|
1. |
„Verarbeitung“ Verarbeitung im Sinne von Artikel 3 Nummer 3 der Verordnung (EU) 2018/1725; |
|
2. |
„personenbezogene Daten“ personenbezogene Daten im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2018/1725; |
|
3. |
„betroffene Person“ eine identifizierte oder identifizierbare natürliche Person; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; |
|
4. |
„Zentrales Register“ der öffentlich zugängliche Speicherort für alle bei der EZB ausgeführten Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten, das vom Datenschutzbeauftragten der EZB geführt wird und auf das in Artikel 9 des Beschlusses (EU) 2020/655 (EZB/2020/28) Bezug genommen wird; |
|
5. |
„Verantwortlicher“ die EZB und insbesondere die zuständige organisatorische Einheit innerhalb der EZB, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt und für den Verarbeitungsvorgang verantwortlich ist; |
|
6. |
„Organe und Einrichtungen der Union“ Organe und Einrichtungen der Union im Sinne von Artikel 3 Nummer 10 der Verordnung (EU) 2018/1725. |
Artikel 3
Anwendung von Beschränkungen
(1) Zur Sicherstellung der in Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 genannten Interessen und Ziele kann der Verantwortliche bei den in Artikel 1 Absatz 1 genannten Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten die in Artikel 1 Absatz 2 genannten Rechte beschränken, insbesondere wenn die Ausübung dieser Rechte Folgendes gefährden würde:
|
a) |
die Bewertung und Meldung potenzieller Verstöße gegen Dienstpflichten und erforderlichenfalls deren anschließende Untersuchung und Weiterverfolgung, einschließlich der Suspendierung vom Dienst; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, f und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
b) |
die informellen bzw. formellen Verfahren zur Wahrung der Würde am Arbeitsplatz, einschließlich der Berücksichtigung von Fällen, die zu einem solchen Verfahren gemäß Teil 0.5 der Dienstvorschriften der EZB führen können; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, f und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
c) |
die ordnungsgemäße Wahrnehmung der Aufgaben durch die Generaldirektion Personal (DG/HR) gemäß dem arbeitsrechtlichen Rahmen der EZB im Zusammenhang mit dem Leistungsmanagement, Beförderungsverfahren oder der direkten Ernennung von EZB-Beschäftigten, mit Auswahlverfahren und der beruflichen Entwicklung, insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben c und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
d) |
die Prüfung der von Seiten der EZB-Beschäftigten eingelegten internen Beschwerden (auch im Wege verwaltungsinterner Überprüfungen, Beschwerdeverfahren, besonderer Beschwerdeverfahren oder medizinischer Ausschüsse) und ihre Weiterverfolgung, insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
e) |
die Meldung von rechtswidrigen Handlungen oder Verstößen gegen Dienstpflichten über das Whistleblowing-Tool der EZB oder die Bewertung von Anträgen durch die Stabstelle Compliance und Governance (CGO) auf Schutz von Hinweisgebern oder Zeugen vor Repressalien; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, f und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
f) |
die im Ethikrahmen der EZB verankerten Tätigkeiten der CGO (vgl. Teil 0 der Dienstvorschriften der EZB und die Bestimmungen über die Auswahl und Ernennung von Bewerbern nach Teil 1A der Dienstvorschriften der EZB) und die Aufgaben der CGO in Bezug auf die Überwachung privater Finanzgeschäfte zu Compliance-Zwecken (jeweils einschließlich der von Dienstleistern, die von der EZB gemäß Artikel 0.4.3.3 der Dienstvorschriften beauftragt wurden, wahrgenommenen Funktionen als auch der Bewertung und Weiterverfolgung möglicher Verstöße, die sich aus dieser Überwachung durch die CGO ergeben), insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, f und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
g) |
Prüfungen der Direktion Interne Revision (D/IA), Untersuchungstätigkeiten und interne Verwaltungsuntersuchungen, insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
h) |
die Wahrnehmung der Aufgaben der EZB gemäß dem Beschluss (EU) 2016/456 (EZB/2016/3), insbesondere die Pflicht der EZB, Informationen über rechtswidrige Handlungen zu melden, insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, g und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
i) |
Prüfungen des Datenschutzbeauftragten zu Verarbeitungstätigkeiten bei der EZB gemäß Artikel 4 Buchstabe b des Beschlusses (EU) 2020/655 (EZB/2020/28); insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
j) |
Intern oder mit externer Unterstützung durchgeführte Prüfungen zur Gewährleistung der physischen Sicherheit von Personen, Räumlichkeiten und Eigentum bei der EZB, sowie die Erfassung von Erkenntnissen über Bedrohungen (Threat Intelligence) und die Analyse von Sicherheitsvorfällen; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, d und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
k) |
Gerichtsverfahren, insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c und/oder h der Verordnung (EU) 2018/1725 erfasst. |
|
l) |
die Zusammenarbeit zwischen der EZB und den nationalen Strafverfolgungsbehörden, insbesondere wenn nationale Strafverfolgungsbehörden die Übermittlung vertraulicher Informationen anfragen, über welche die EZB verfügt, damit sie ihnen offengelegt werden können; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, d und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
m) |
die Zusammenarbeit zwischen der EZB und der EUStA gemäß der Verordnung (EU) 2017/1939, insbesondere die Pflicht der EZB, Informationen über Straftaten zur Verfügung zu stellen; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben b, c, d und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
n) |
die Zusammenarbeit mit EU-Einrichtungen, die eine Aufsichts-, Überwachungs- oder Prüfungsfunktion gegenüber der EZB ausüben; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstaben c, d, g und/oder h der Verordnung (EU) 2018/1725 erfasst; |
|
o) |
die Wahrnehmung der Aufgaben eines Mediators gemäß dem internen Streitbeilegungsrahmen der EZB, insbesondere die Unterstützung bei der Beilegung oder Vermeidung von arbeitsbezogenen Streitigkeiten; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstabe h der Verordnung (EU) 2018/1725 erfasst; |
|
p) |
die Erbringung von Beratungsdiensten durch den Berater in sozialen Angelegenheiten (Social Counsellor) zur Unterstützung der EZB-Beschäftigten; insoweit vom Schutz des Artikels 25 Absatz 1 Buchstabe h der Verordnung (EU) 2018/1725 erfasst. |
Die Kategorien von personenbezogenen Daten, für welche die in Absatz 1 genannten Beschränkungen angewendet werden können, sind in den Anhängen I bis XIV dieses Beschlusses aufgeführt.
(2) Der Verantwortliche darf eine Beschränkung nur dann anwenden, wenn er bei der Prüfung im Einzelfall zu dem Schluss gelangt ist, dass
|
a) |
die Beschränkung unter Berücksichtigung der Risiken für die Rechte und Freiheiten der betroffenen Person erforderlich und verhältnismäßig ist; |
|
b) |
mit der Beschränkung der Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft geachtet wird. |
(3) Der Verantwortliche dokumentiert seine Bewertung in einem internen Bewertungsvermerk, in dem die Rechtsgrundlage, die Gründe für die Beschränkung, die beschränkten Rechte der betroffenen Personen, die betroffenen Personen, die Erforderlichkeit und Verhältnismäßigkeit der Beschränkung und die voraussichtliche Dauer der Beschränkung enthalten sind.
(4) Eine Entscheidung über die Beschränkung der Rechte einer betroffenen Person gemäß Absatz 1, die vom Verantwortlichen zu treffen ist, wird auf der Ebene des jeweiligen Geschäftsbereichsleiters oder stellvertretenden Leiters getroffen, in dessen Geschäftsbereich der die personenbezogenen Daten betreffende Hauptverarbeitungsvorgang durchgeführt wird.
Artikel 4
Informationspflicht bei Beschränkungen
Der Verantwortliche stellt allgemeine Informationen über die mögliche Beschränkung der Rechte betroffener Personen wie folgt zur Verfügung:
|
a) |
der Verantwortliche führt die Rechte auf, die beschränkt werden können, die Gründe für die Beschränkung und die mögliche Dauer der Beschränkung; |
|
b) |
der Verantwortliche nimmt die in Buchstabe a genannten Informationen in seine Datenschutzhinweise, Datenschutzerklärungen und die in Artikel 31 der Verordnung (EU) 2018/1725 genannten Verzeichnisse von Verarbeitungstätigkeiten auf. |
Artikel 5
Beschränkung des Rechts der betroffenen Personen auf Auskunft, auf Berichtigung, auf Löschung und auf Einschränkung der Verarbeitung
(1) Beschränkt der Verantwortliche die jeweils in den Artikeln 17 und 18, Artikel 19 Absatz 1 sowie Artikel 20 Absatz 1 der Verordnung (EU) 2018/1725 genannten Rechte auf Auskunft, auf Berichtigung, auf Löschung oder auf Einschränkung der Verarbeitung ganz oder teilweise, unterrichtet er die betroffene Person innerhalb der in Artikel 11 Absatz 5 des Beschlusses (EU) 2020/655 (EZB/2020/28) genannten Frist in seiner schriftlichen Antwort auf den Antrag über die angewandte Beschränkung und die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten einzureichen und einen gerichtlichen Rechtsbehelf vor dem Gerichtshof der Europäischen Union einzulegen.
(2) Der Verantwortliche verwahrt den in Artikel 3 Absatz 3 genannten internen Bewertungsvermerk und gegebenenfalls die Unterlagen, welche die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, und stellt diese dem Datenschutzbeauftragten und dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung.
(3) Der Verantwortliche kann die Unterrichtung über die Gründe für die Beschränkung nach Absatz 1 zurückstellen, unterlassen oder ablehnen, solange diese Unterrichtung den Zweck der Beschränkung beeinträchtigen würde. Sobald der Verantwortliche feststellt, dass die Unterrichtung den Zweck der Beschränkung nicht mehr beeinträchtigt, stellt der Verantwortliche der betroffenen Person diese Informationen zur Verfügung.
Artikel 6
Dauer der Beschränkungen
(1) Der Verantwortliche hebt eine Beschränkung auf, sobald die Umstände, die diese Beschränkung rechtfertigten, nicht mehr gegeben sind.
(2) Hebt der Verantwortliche eine Beschränkung gemäß Absatz 1 auf, so muss der Verantwortliche unverzüglich
|
a) |
die betroffene Person über die wesentlichen Gründe für die Anwendung einer Beschränkung unterrichten, sofern dies noch nicht geschehen ist; |
|
b) |
die betroffene Person über ihr Beschwerderecht beim Europäischen Datenschutzbeauftragten oder über ihr Recht auf einen gerichtlichen Rechtsbehelf beim Gerichtshof unterrichten; |
|
c) |
der betroffenen Person das Recht gewähren, das der aufgehobenen Beschränkung unterlag. |
(3) Der Verantwortliche überprüft alle sechs Monate erneut, ob eine gemäß diesem Beschluss angewandte Beschränkung aufrechterhalten werden muss, und dokumentiert seine erneute Bewertung in einem internen Bewertungsvermerk.
Artikel 7
Garantien
Die EZB sieht die im Anhang XV genannten Garantien organisatorischer und technischer Art vor, um den Missbrauch, den unrechtmäßigen Zugang zu oder die unrechtmäßige Übermittlung von Informationen zu verhindern.
Artikel 8
Überprüfung durch den Datenschutzbeauftragten
(1) Wenn der Verantwortliche die Ausübung der Rechte einer betroffenen Person beschränkt, muss er den Datenschutzbeauftragten laufend einbeziehen. Dabei gilt insbesondere Folgendes:
|
a) |
Der Verantwortliche muss den Datenschutzbeauftragten unverzüglich konsultieren; |
|
b) |
Auf Antrag des Datenschutzbeauftragten gewährt der Verantwortliche dem Datenschutzbeauftragten Zugang zu allen Dokumenten, welche die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, einschließlich des in Artikel 3 Absatz 3 genannten internen Bewertungsvermerks; |
|
c) |
Der Verantwortliche muss dokumentieren, wie der Datenschutzbeauftragte einbezogen wurde, einschließlich relevanter Informationen, die ausgetauscht wurden, insbesondere das Datum, an dem der Datenschutzbeauftragte gemäß Buchstabe a erstmalig konsultiert wurde; |
|
d) |
Der Datenschutzbeauftragte kann den Verantwortlichen auffordern, die Beschränkung zu überprüfen; |
|
e) |
Der Verantwortliche unterrichtet den Datenschutzbeauftragten unverzüglich und in jedem Fall vor Anwendung einer Beschränkung schriftlich über das Ergebnis dieser Überprüfung. |
(2) Der Verantwortliche unterrichtet den Datenschutzbeauftragten, wenn die Beschränkung gemäß Artikel 6 Absatz 3 neu bewertet oder aufgehoben wurde.
Artikel 9
Inkrafttreten
Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Geschehen zu Frankfurt am Main am 22. November 2022.
Die Präsidentin der EZB
Christine LAGARDE
(1) ABl. L 295 vom 21.11.2018, S. 39.
(2) Beschluss (EU) 2020/655 der Europäischen Zentralbank vom 5. Mai 2020 zum Erlass von Durchführungsbestimmungen für den Datenschutz bei der Europäischen Zentralbank und zur Aufhebung des Beschlusses EZB/2007/1 (EZB/2020/28) (ABl. L 152 vom 15.5.2020, S. 13).
(3) Die Rundverfügung Nr. 1/2006 über interne Verwaltungsuntersuchungen (Administrative Circular 01/2006) wurde am 21. März 2006 erlassen und ist auf der Website der EZB abrufbar.
(4) Beschluss (EU) 2016/456 der Europäischen Zentralbank vom 4. März 2016 über die Bedingungen und Modalitäten der Untersuchungen des Europäischen Amtes für Betrugsbekämpfung in der Europäischen Zentralbank zur Bekämpfung von Betrug, Korruption und sonstigen gegen die finanziellen Interessen der Union gerichteten rechtswidrigen Handlungen (EZB/2016/3) (ABl. L 79 vom 30.3.2016, S. 34).
(5) Beschluss (EU) 2016/1162 der Europäischen Zentralbank vom 30. Juni 2016 über die Offenlegung vertraulicher Informationen bei strafrechtlichen Ermittlungen (EZB/2016/19) (ABl. L 192 vom 16.7.2016, S. 73).
(6) Verordnung (EU) Nr. 1024/2013 des Rates vom 15. Oktober 2013 zur Übertragung besonderer Aufgaben im Zusammenhang mit der Aufsicht über Kreditinstitute auf die Europäische Zentralbank (ABl. L 287 vom 29.10.2013, S. 63).
(7) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).
ANHANG I
Bewertung und Meldung potenzieller Verstöße gegen Dienstpflichten und der sich erforderlichenfalls anschließenden Untersuchung und Weiterverfolgung
Die in Artikel 3 Absatz 1 Buchstabe a dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Standortdaten; |
|
g) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
h) |
Daten zu externen Tätigkeiten; |
|
i) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
j) |
alle sonstigen Daten, die sich auf die Bewertung und Meldung potenzieller Verstöße gegen Dienstpflichten und eine sich erforderlichenfalls anschließende Untersuchung und Weiterverfolgung beziehen. |
ANHANG II
Informelle und/oder formelle Verfahren zur Wahrung der Würde am Arbeitsplatz, einschließlich der Berücksichtigung von Fällen, die zu einem solchen Verfahren gemäß Teil 0.5 der Dienstvorschriften der EZB führen können
Die in Artikel 3 Absatz 1 Buchstabe b dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Standortdaten; |
|
g) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
h) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
i) |
alle sonstigen Daten, die sich auf informelle und/oder formelle Verfahren zur Wahrung der Würde am Arbeitsplatz beziehen, einschließlich der Berücksichtigung von Fällen, die zu einem solchen Verfahren gemäß Teil 0.5 der Dienstvorschriften der EZB führen können. |
ANHANG III
Die Wahrnehmung der Aufgaben der DG/HR gemäß dem arbeitsrechtlichen Rahmen der EZB
Die in Artikel 3 Absatz 1 Buchstabe c dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Standortdaten; |
|
g) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
h) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
i) |
alle sonstigen Daten im Rahmen von Einzelfällen oder solche, die sich auf die Erwägung von Einzelfällen beziehen, insbesondere solche, die zu einer Entscheidung führen können, die sich nachteilig auf EZB-Beschäftigte auswirkt, und solche, die sich auf die Prüfung der von Seiten der EZB-Beschäftigten eingelegten internen Beschwerden und deren Weiterverfolgung beziehen; |
|
j) |
alle sonstigen Daten, die sich auf Auswahlverfahren beziehen. |
ANHANG IV
Die Prüfung interner Rechtsbehelfe und ihre Weiterverfolgung
Die in Artikel 3 Absatz 1 Buchstabe d dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten und insbesondere auf die folgenden Kategorien von personenbezogenen Daten angewendet werden:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Standortdaten; |
|
g) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
h) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
i) |
alle sonstigen Daten im Rahmen von Einzelfällen oder solche, die sich auf die Erwägung von Einzelfällen beziehen, insbesondere solche, die zu einer Entscheidung führen können, die sich nachteilig auf EZB-Beschäftigte auswirkt, und solche, die sich auf die Prüfung der von Seiten der EZB-Beschäftigten eingelegten internen Beschwerden und deren Weiterverfolgung beziehen. |
ANHANG V
Die Meldung von rechtswidrigen Handlungen oder Verstößen gegen Dienstpflichten über sämtliche Mitteilungswege, auch über das Whistleblowing-Tool der EZB, oder die Bewertung von Anträgen auf Schutz von Hinweisgebern oder Zeugen durch die Stabstelle Compliance und Governance
Die in Artikel 3 Absatz 1 Buchstabe e dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Standortdaten; |
|
g) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
h) |
Daten zu externen Tätigkeiten; |
|
i) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
j) |
alle sonstigen Daten, die sich auf eine mutmaßliche rechtswidrige Handlung oder einen mutmaßlichen Verstoß gegen Dienstpflichten oder einen Antrag auf Schutz von Hinweisgebern oder Zeugen beziehen. |
ANHANG VI
Im Ethikrahmen der EZB verankerte Tätigkeiten der CGO
Die in Artikel 3 Absatz 1 Buchstabe f dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Daten zu externen Tätigkeiten; |
|
g) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
h) |
alle sonstigen Daten sich auf Tätigkeiten beziehen, die von der CGO gemeldet oder untersucht werden. |
ANHANG VII
Prüfungen durch die Direktion Interne Revision und Untersuchungstätigkeiten oder interne Verwaltungsuntersuchungen
Die in Artikel 3 Absatz 1 Buchstabe g dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Daten zu externen Tätigkeiten; |
|
g) |
Standortdaten; |
|
h) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
i) |
soziale und verhaltensbezogene Daten sowie andere Arten von Daten, die für den Verarbeitungsvorgang spezifisch sind; |
|
j) |
Informationen zu Verwaltungsverfahren oder sonstigen Untersuchungen; |
|
k) |
elektronische Verkehrsdaten; |
|
l) |
Videoüberwachungsdaten; |
|
m) |
Audioaufnahmen; |
|
n) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
o) |
Daten zu Strafverfahren, Sanktionen oder anderen Verwaltungssanktionen; |
|
p) |
alle sonstigen Daten, die sich auf die von der Direktion Interne Revision durchgeführten Prüfungen und jegliche Untersuchungstätigkeiten oder interne Verwaltungsuntersuchungen beziehen. |
ANHANG VIII
Die Wahrnehmung der Aufgaben der EZB gemäß dem Beschluss (EU) 2016/456 (EZB/2016/3)
Die in Artikel 3 Absatz 1 Buchstabe h dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
Daten zu externen Tätigkeiten; |
|
g) |
Standortdaten; |
|
h) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
i) |
elektronische Verkehrsdaten; |
|
j) |
Videoüberwachungsdaten; |
|
k) |
Audioaufnahmen; |
|
l) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
m) |
alle sonstigen Daten, die sich auf die Wahrnehmung der Aufgaben der EZB gemäß dem Beschluss (EU) 2016/456 (EZB/2016/3) beziehen. |
ANHANG IX
Untersuchungen des Datenschutzbeauftragten gemäß Artikel 4 Buchstabe b des Beschlusses (EU) 2020/655 (EZB/2020/28)
Die in Artikel 3 Absatz 1 Buchstabe i dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zu Familie, Lebensumständen und sozialen Verhältnissen; |
|
f) |
Daten zu externen Tätigkeiten; |
|
g) |
Datenspeicherort; |
|
h) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
i) |
elektronische Verkehrsdaten; |
|
j) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
k) |
alle sonstigen Daten, die sich auf Untersuchungen des Datenschutzbeauftragten gemäß Artikel 4 Buchstabe b des Beschlusses (EU) 2020/655 (EZB/2020/28) beziehen. |
ANHANG X
Untersuchungen zur Gewährleistung der physischen Sicherheit von Personen, Räumlichkeiten und Eigentum bei der EZB sowie die Erfassung von Erkenntnissen über Bedrohungen (Threat Intelligence) und die Analyse von Sicherheitsvorfällen
Die in Artikel 3 Absatz 1 Buchstabe j dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Standortdaten; |
|
e) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
f) |
elektronische Verkehrsdaten; |
|
g) |
Videoüberwachungsdaten; |
|
h) |
Audioaufnahmen; |
|
i) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
j) |
Daten zu anhängigen Strafverfahren oder Strafregistern; |
|
k) |
alle sonstigen Daten, die sich auf Untersuchungen zur Gewährleistung der physischen Sicherheit bei der EZB von Personen, Räumlichkeiten und Eigentum, auf Erkenntnisse über Bedrohungen (Threat Intelligence) oder auf die Analyse von Sicherheitsvorfällen beziehen. |
ANHANG XI
Gerichtsverfahren
Die in Artikel 3 Absatz 1 Buchstabe k dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere die folgenden Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zu Familie, Lebensumständen und sozialen Verhältnissen; |
|
f) |
Daten zu externen Tätigkeiten; |
|
g) |
Datenspeicherort; |
|
h) |
elektronische Verkehrsdaten; |
|
i) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
j) |
sonstige Daten, die sich auf Gerichtsverfahren beziehen. |
ANHANG XII
Die Zusammenarbeit zwischen der EZB und den nationalen strafrechtlichen Ermittlungsbehörden, der EUStA und EU-Einrichtungen mit einer Aufsichts-, Überwachungs- oder Prüfungsfunktion gegenüber der EZB
Die in Artikel 3 Absatz 1 Buchstaben l bis n dieses Beschlusses genannte Beschränkung kann auf alle in den Anhängen I bis XI genannten Kategorien von personenbezogenen Daten sowie auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Identifikationsdaten; |
|
b) |
Kontaktdaten; |
|
c) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
d) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
e) |
Daten zu Familie, Lebensumständen und sozialen Verhältnissen; |
|
f) |
Daten zu externen Tätigkeiten; |
|
g) |
Standortdaten; |
|
h) |
Daten zu gelieferten Waren oder erbrachten Dienstleistungen; |
|
i) |
Videoüberwachungsdaten; |
|
j) |
elektronische Verkehrsdaten; |
|
k) |
Audioaufnahmen; |
|
l) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
m) |
Informationen zu Verwaltungsverfahren oder sonstigen aufsichtsrechtlichen Prüfungen; |
|
n) |
Daten zu Strafverfahren, Sanktionen oder anderen Verwaltungssanktionen; |
|
o) |
alle sonstigen Daten, die sich auf die Zusammenarbeit zwischen der EZB und den nationalen Strafverfolgungsbehörden, der EUStA und EU-Einrichtungen mit einer Aufsichts-, Überwachungs- oder Prüfungsfunktion gegenüber der EZB beziehen. |
ANHANG XIII
Die Wahrnehmung der Aufgaben des Mediators
Die in Artikel 3 Absatz 1 Buchstabe o dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Kontaktdaten; |
|
b) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
c) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
d) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
e) |
soziale und verhaltensbezogene Daten sowie andere Arten von Daten, die für den Verarbeitungsvorgang spezifisch sind; |
|
f) |
Informationen zu Verwaltungsverfahren oder sonstigen aufsichtsrechtlichen Prüfungen; |
|
g) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
h) |
alle sonstigen Daten, die sich auf die Erfüllung der Aufgaben des Mediators beziehen. |
ANHANG XIV
Die Erbringung der Beratungsleistungen durch den Social Counsellor
Die in Artikel 3 Absatz 1 Buchstabe p dieses Beschlusses vorgesehene Beschränkung kann auf die in den jeweiligen Verzeichnissen der Verarbeitungstätigkeiten aufgeführten Kategorien von Daten angewendet werden, insbesondere auf folgende Kategorien von personenbezogenen Daten:
|
a) |
Kontaktdaten; |
|
b) |
berufliche Daten einschließlich Angaben zur allgemeinen und beruflichen Aus- und Weiterbildung sowie zu Beschäftigungsverhältnissen; |
|
c) |
Angaben zur finanziellen Situation (z. B. Informationen über Gehalt, Zulagen oder private Transaktionen); |
|
d) |
Daten zur Familie, den Lebensumständen und sozialen Verhältnissen; |
|
e) |
soziale und verhaltensbezogene Daten sowie andere Arten von Daten, die für den Verarbeitungsvorgang spezifisch sind; |
|
f) |
Informationen zu Verwaltungsverfahren oder sonstigen aufsichtsrechtlichen Prüfungen; |
|
g) |
Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten oder biometrische Daten; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
|
h) |
alle sonstigen Daten, die sich auf die Erbringung der Beratungsdienste durch den Social Counsellor beziehen. |
ANHANG XV
Zur Verhinderung von Missbrauch oder unrechtmäßiger Verarbeitung von Informationen umfassen Garantien organisatorischer und technischer Art bei der EZB Folgendes:
|
a) |
In Bezug auf Personen:
|
|
b) |
In Bezug auf Prozesse:
|
|
c) |
In Bezug auf Technologie:
|