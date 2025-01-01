1. Einführung
Die Europäische Investitionsbank (nachfolgend „die EIB“) nimmt den Schutz personenbezogener Daten sehr ernst. Die EIB erhebt und verarbeitet personenbezogene Daten nach Maßgabe der Verordnung (EG) 2018/1725 vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (nachfolgend die „EU-DSVO“).
Die vorliegende Datenschutzerklärung legt dar, warum die Daten verarbeitet und wie sie erhoben, behandelt und geschützt werden. Darüber hinaus wird erläutert, wie die Daten verwendet werden, und welche Rechte betroffene Personen in Bezug auf ihre personenbezogenen Daten haben.
Im Folgenden finden Sie Informationen zur Verarbeitung von Daten durch die EIB im Kundenportal der EIB-Gruppe bei der digitalen Interaktion mit geschäftlichen Stakeholdern.
2. Datenverantwortliche/r
Datenverantwortlicher ist die Abteilung „Informationssysteme und Anwendungen“, die zur Hauptabteilung „Geschäftsplanung und -unterstützung“ der EIB gehört.
3. Zweck der Verarbeitung
Die vorliegende Datenschutzerklärung enthält Informationen zur Verarbeitung personenbezogener Daten durch die EIB im Zusammenhang mit der Nutzung des Kundenportals der EIB-Gruppe durch geschäftliche Stakeholder. Die EIB nimmt diese Aufgaben in Ausübung der Zuständigkeit wahr, die ihr mit den EU-Verträgen und ihrer Satzung übertragen wurden.
Die EIB verarbeitet personenbezogene Daten, um das Kundenportal der EIB-Gruppe angemessen und ordnungsgemäß in Einklang mit den anwendbaren Gesetzen und Vorschriften zu verwalten. Personenbezogene Daten werden nach Maßgabe der Verordnung (EU) 2018/1725 vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (nachfolgend die „EU-DSVO“) verarbeitet.
Im Zusammenhang mit der Nutzung des Kundenportals der EIB-Gruppe verarbeitet die EIB personenbezogene Daten für die nachfolgend aufgeführten Zwecke:
Die EIB verarbeitet personenbezogene Daten, um Stakeholdern wie Kunden, Partnern und Prüfern der EIB-Gruppe sichere und relevante Online-Services anbieten zu können. Dazu gehört auch das Erheben und Übertragen von personenbezogenen Daten zur Unterstützung verschiedener Tätigkeiten, unter anderem das Bereitstellen von Finanzdaten im Zusammenhang mit Verträgen, das Austauschen von Mandatsverwaltungsberichten, das Ermöglichen von vertragsbezogenen Transaktionen (z. B. Revisionen, Umrechnungen, vorzeitige Rückzahlungen, Auszahlungen), das Bereitstellen von Dokumenten sowie das Ermöglichen von Kommentaren und Ad-hoc-Anfragen.
Die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Kundenportals der EIB-Gruppe beinhaltet keine automatisierte Entscheidungsfindung, einschließlich Profiling.
4. Rechtsgrundlage der Verarbeitung
Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung des Kundenportals der EIB-Gruppe ist die Einwilligung der Nutzerinnen und Nutzer im Zusammenhang mit einem Vertrag oder geplanten Vertrag mit der EIB-Gruppe und im öffentlichen Interesse.
Das Kundenportal der EIB-Gruppe ist zwar aus Sicherheits- und Effizienzgründen der bevorzugte Kommunikationskanal, aber die geschäftlichen Stakeholder der EIB-Gruppe sind nicht verpflichtet, das Kundenportal der EIB-Gruppe zu nutzen; sie können die EIB-Gruppe auch über andere Kommunikationskanäle wie E-Mail kontaktieren.
5. Kategorien von betroffenen Personen
Die folgenden Kategorien betroffener Personen sind (möglicherweise) von der Verarbeitung gemäß Abschnitt 2 betroffen:
- Kunden oder Interessenten: Beschäftigte von Unternehmen, Ländern, Finanzinstituten sowie, sofern erforderlich, Prüferinnen und Prüfer sowie Beraterinnen und Berater.
- Partnerschaftskunden: Beschäftigte des Europäischen Investitionsfonds oder der Europäischen Kommission
- Interne Nutzerinnen und Nutzer: Beschäftigte der EIB-Gruppe mit Zugriffsberechtigung auf das Kundenportal der EIB-Gruppe
6. Welche personenbezogenen Daten verarbeitet die EIB?
Die EIB verarbeitet die folgenden Kategorien personenbezogener Daten: Name, Kontaktdaten (Telefon, E-Mail, Berufsbezeichnung, Firma), Geburtsdatum.
Cookies: Das Kundenportal der EIB-Gruppe nutzt Cookies, die für das Funktionieren und die Leistung des Portals unbedingt notwendig sind.
|Cookie
|Größe in Bytes
|Ablauf
|Beschreibung
|Art
|ASP.NET_SessionId (.NET)OSSESSIONID (Java)
|41
|Session
|Werden von der zugrunde liegenden Technologie (Microsoft ASP.NET) zum Ausführen der Webanwendung gesetzt oder von OutSystems (Java). Sole Transmission
|Sole Transmission
|osVisitor
|45
|Nie
|Beim ersten Zugriff des Endnutzers auf den Webserver (Zugriff auf eine Webseite des Servers) wird in diesem Cookie ein eindeutiger Wert gespeichert. OutSystems ordnet keine tatsächliche(n) Benutzeridentität(en) zu.
|Unbedingt notwendig
|osVisit
|43
|30 Min.
|Jedes Mal, wenn ein Endnutzer auf eine Webseite zugreift und dieses Cookie noch nicht existiert, wird das Cookie erstellt und mit einem eindeutigen Wert gesetzt, der anzeigt, dass die Person auf die Website zugegriffen hat. Dieses Cookie läuft nach 30 Minuten ab. Wenn jemand die Website verlässt und eine halbe Stunde später zurückkommt, beginnt eine neue Session. OutSystems ordnet keine tatsächliche(n) Benutzeridentität(en) zu.
|Unbedingt notwendig
|pageLoadedFromBrowserCache
|30
|Session
|Sorgt dafür, dass Benachrichtigungen nicht erneut angezeigt werden, wenn jemand auf „Zurück“ klickt. Für das ordnungsgemäße Verhalten von Anwendungen erforderlich.
|Unbedingt notwendig
|(web screen name):(generated id):(initial tab)
|46
|Session
|Von einigen Anwendungen genutzt, um auf einzelnen Webseiten den aktuellen Stand der Seitennavigation (Paginierung) zu erhalten.
|Unbedingt notwendig
|(User Provider Name)
|49
|10 Tage
|Von der „Login merken“-Funktion mancher Anwendungen genutzt.
|Unbedingt notwendig
|(User Provider Name).sid
|56
|Session
|In Verbindung mit dem Session-ID-Cookie verwendet, um Schwachstellen durch Session-Fixation zu vermeiden.
|Unbedingt notwendig
|Nr1(User Provider Name)
|192
|Session
|Erzwingt ggf. das Ablaufen einer Session. Enthält Informationen, die zum Gewährleisten der Sitzungsauthentizität erforderlich sind.
|Unbedingt notwendig
|Nr2(User Provider Name)
|99
|Session
|Übermittelt dem Anwendungscode den Benutzeridentifikator mithilfe der eingebauten Funktion GetUserId. Enthält Daten, die zum Vermeiden von CSRF-Angriffen nötig sind.
|Sole Transmission
|DEVICE_ORIENTATION
|26
|360 Tage
|Speichert die Ausrichtung des mobilen Geräts, damit OutSystems UI die Aktion GetDeviceOrientation korrekt ausführen kann. OutSystems ordnet keine tatsächlichen Benutzeridentitäten zu.
|Unbedingt notwendig
|DEVICE_TYPE
|21
|360 Tage
|Speichert den verwendeten Gerätetyp, damit der Rahmen in Silk UI (traditionelle Web-Apps) ordnungsgemäß angepasst werden kann. OutSystems ordnet keine tatsächlichen Benutzeridentitäten zu.
|Unbedingt notwendig
|DEVICES_TYPE
|17
|360 Tage
|Speichert den verwendeten Mobilgerätetyp, damit OutSystems UI Web (traditionelle Web-Apps) das Interface anpassen kann. OutSystems ordnet keine tatsächlichen Benutzeridentitäten zu.
|Unbedingt notwendig
|DEVICE_BROWSER
|20
|360 Tage
|Speichert den auf dem Gerät verwendeten Browser, damit OutSystems UI die Aktion GetBrowser korrekt ausführen kann. OutSystems ordnet keine tatsächlichen Benutzeridentitäten zu.
|Unbedingt notwendig
|DEVICE_OS
|12
|360 Tage
|Speichert das auf dem Gerät verwendete Betriebssystem, damit OutSystems UI die Aktion GetOS korrekt ausführen kann. OutSystems ordnet keine tatsächlichen Benutzeridentitäten zu.
|Unbedingt notwendig
7. Woher bezieht die EIB personenbezogene Daten?
Personenbezogene Daten werden direkt von den betroffenen Personen bezogen.
8. Wer hat Zugang zu den personenbezogenen Daten?
Die Daten werden intern an die zuständigen Stellen der EIB übertragen, damit diese ihre Geschäftsprozesse durchführen können.
Die EIB leitet personenbezogene Daten unter Umständen an folgenden Empfänger weiter:
- Middle Office / KYC & Verwaltung der Vertragspartner / Team für Vertragspartner-Onboarding & KYC- & KYC-Monitoring-Team für Onboarding und Monitoring (KYC-Dokumente, Kunden-Due-Diligence)
- Middle Office / Abteilung Durchgeleitete Finanzierungen für Garantie-Portfolio-Monitoring
- Middle Office / Abteilung Auszahlungen für Revisions-/Konversionsanträge
- Zuständiges Team für Ad-hoc-Anfragen
- Für Support und Wartung
- Verantwortliche für das Kundenportal der EIB-Gruppe, d.h. die Abteilung Geschäftsplanung und -entwicklung / Informationssysteme und Anwendungen, Team Geschäftsprojektentwicklung
- Group Digital Office/Hauptabteilung Geschäftslösungen/Abteilung Finanzierungen/Team Middle Office für Finanzierungen
- Das Team für Datenschutz und Zugangskontrolle im Group Digital Office
Außerdem können Nutzerinnen und Nutzer des Kundenportals der EIB-Gruppe – entsprechend ihrer Benutzerrolle sowie den Zugriffsrechten für Vertragspartner und Verträge – Aktivitäten anderer Nutzerinnen und Nutzer sehen (z. B. den Benutzernamen bei einem ausgeführten Aktivitätsschritt oder einem hinzugefügten Kommentar).
9. Internationale Übermittlung
Personenbezogene Daten können an Einrichtungen außerhalb der EU oder des Europäischen Wirtschaftsraums übermittelt werden. Dabei gelten folgende Mechanismen/Vorkehrungen:
Standard-Vertragsklauseln (von der Europäischen Kommission genehmigt)
10. Wie lange bewahrt die EIB personenbezogene Daten auf?
Nur kontobezogene Daten werden gespeichert, nämlich: Benutzer-ID, Name und Kontaktdaten. Die Angaben werden nur so lange aufbewahrt, wie es für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist. Die Aufbewahrungsfrist wird anhand folgender Kriterien festgelegt:
- Nutzeraktivitäten auf dem Kundenportal der EIB-Gruppe
- Anfrage zur Deaktivierung des Kontos
Kontobezogene persönliche Daten werden nach der Deaktivierung eines Kontos bis zu zehn Jahre aufbewahrt. Danach wird nur die Benutzer-ID aufbewahrt, und diese ist anonym.
11. Welche Rechte haben betroffene Personen, und wie können sie diese ausüben?
Die Rechte betroffener Personen sind in den Abschnitten 3 bis 5 der EU-DSVO festgelegt.
- Betroffene Personen haben das Recht, von der/dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden; ist dies der Fall, so haben sie ein Recht auf Auskunft über die personenbezogenen Daten, indem sie die/den Verantwortliche/n oder die/den Datenschutzbeauftragte/n der EIB kontaktieren (Auskunftsrecht).
- Betroffene Personen haben das Recht, von der/dem Verantwortlichen die Berichtigung unrichtiger und/oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen (Recht auf Berichtigung).
- Betroffene Personen haben das Recht, von der/dem Verantwortlichen gemäß Artikel 19 der EU-DSVO die Löschung ihrer personenbezogenen Daten zu verlangen (Recht auf Vergessenwerden).
- Betroffene Personen haben das Recht, bei der/dem Verantwortlichen eine Einschränkung der Verarbeitung zu verlangen (Recht auf Einschränkung der Verarbeitung), wenn:
- (i) sie die Richtigkeit ihrer personenbezogenen Daten bestreiten,
- (ii) die Verarbeitung unrechtmäßig ist und sie die Löschung der personenbezogenen Daten ablehnen,
- (iii) die/der Verantwortliche die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung braucht, die betroffenen Personen hingegen sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen,
- (iv) die betroffenen Personen Widerspruch gegen die Verarbeitung eingelegt haben und die EIB klären will, ob die berechtigten Gründe der/des Verantwortlichen gegenüber dem Recht der betroffenen Personen überwiegen.
- Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen, es sei denn, die EIB kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Betroffene Personen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format von der EIB zu erhalten und diese Daten einer/einem anderen Verantwortlichen ohne Behinderung durch die EIB zu übermitteln (Recht auf Datenübertragbarkeit).
- Sofern ihre Einwilligung als Rechtsgrundlage für die Verarbeitung dient, haben betroffene Personen das Recht, Ihre Einwilligung jederzeit zu widerrufen. Das Widerrufen der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.
- Betroffene Personen haben das Recht, jederzeit eine Beschwerde beim Europäischen Datenschutzbeauftragten (www.edps.europa.eu) einzureichen (Recht auf Beschwerde).
12. Kontakt
Wenn betroffene Personen Fragen zur Verarbeitung ihrer personenbezogenen Daten haben oder eines der vorstehenden Rechte ausüben möchten, wenden sie sich entweder unter group-portal-helpdesk@eib.org an „Informationssysteme und Anwendungen“ in der Hauptabteilung „Geschäftsplanung und -entwicklung“, oder sie kontaktieren den Datenschutzbeauftragten der EIB, Herrn Pelopidas Donos – entweder per E-Mail unter p.donos@eib.org oder unter der folgenden Adresse:
Mr. Pelopidas Donos European Investment Bank
98-100, boulevard Konrad Adenauer
L-2950 Luxembourg