EZB Logo
EUROPÄISCHE ZENTRALBANK|EUROSYSTEM
DE

Datenschutzerklärung

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Die nachfolgende Datenschutzerklärung erläutert, welche Daten wir im Rahmen des Digitaler-Euro-Pilotprojekts erheben, wie wir sie verarbeiten und welche Rechte Ihnen als betroffene Person gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend „DSGVO") sowie dem Bundesdatenschutzgesetz (BDSG) zustehen.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Abs. 7 DSGVO ist:

Europäische Zentralbank
Sonnemannstraße 20
60314 Frankfurt am Main
Deutschland

E-Mail: [email protected]

2. Erhebung und Speicherung personenbezogener Daten

Beim Besuch unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in sogenannten Server-Logfiles gespeichert.

Folgende Daten werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung nach 30 Tagen gespeichert:

  • IP-Adresse des anfragenden Endgeräts (wird nach 7 Tagen pseudonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Ressource
  • Übertragene Datenmenge in Byte
  • Meldung über erfolgreichen Abruf (HTTP-Statuscode)
  • Website, von der die Anforderung kommt (Referrer-URL)
  • Verwendeter Browser und Betriebssystem sowie deren Version
  • Spracheinstellung des Browsers

Die Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Ein Widerspruchsrecht besteht insofern nicht.

3. Cookies und Tracking

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Seite erforderlich sind. Diese Cookies enthalten keine personenbezogenen Daten und werden nach Ende Ihrer Browser-Sitzung automatisch gelöscht (sog. Session-Cookies).

Folgende technisch notwendige Cookies bzw. lokale Speichertechnologien werden eingesetzt:

  • Sitzungs-Cookie – dient der Aufrechterhaltung Ihrer authentifizierten Sitzung (Ablauf: Sitzungsende)
  • CSRF-Token – schützt vor Cross-Site-Request-Forgery-Angriffen (Ablauf: Sitzungsende)
  • localStorage – wird für die Speicherung Ihrer Benutzereinstellungen (z. B. Sprachauswahl, UI-Präferenzen) verwendet; die Daten verbleiben ausschließlich auf Ihrem Endgerät

Wir setzen keine Analyse-, Marketing- oder Tracking-Cookies ein. Es findet keine Weitergabe von Cookie-Daten an Dritte statt. Drittanbieter-Skripte (z. B. Google Analytics, Facebook Pixel) werden nicht eingebunden.

Da ausschließlich technisch notwendige Cookies verwendet werden, ist gemäß § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) keine gesonderte Einwilligung erforderlich.

4. Zwecke der Datenverarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten zu den nachfolgend genannten Zwecken und auf Basis der jeweils angegebenen Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO:

a) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

  • Durchführung der Registrierung und Kontoeröffnung im Pilotprojekt
  • Bereitstellung und Betrieb der Digitalen-Euro-Wallet
  • Abwicklung von Zahlungstransaktionen
  • Kundenservice und Support bei technischen Anfragen

b) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

  • Gewährleistung der IT-Sicherheit und des störungsfreien Betriebs
  • Erkennung und Prävention von Betrug und Missbrauch
  • Statistische Auswertungen zur Verbesserung unseres Angebots (auf Basis aggregierter, anonymisierter Daten)
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

c) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

  • Versand von Informationen und Neuigkeiten zum Pilotprojekt per E-Mail (nur nach ausdrücklicher Einwilligung)
  • Teilnahme an freiwilligen Befragungen und Feedback-Erhebungen

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Den Widerruf richten Sie bitte an [email protected].

d) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

  • Erfüllung geldwäscherechtlicher Sorgfaltspflichten (GwG)
  • Steuerrechtliche Aufbewahrungspflichten (AO, HGB)
  • Aufsichtsrechtliche Meldepflichten gegenüber der BaFin und der Europäischen Zentralbank

5. Registrierung und Kundenportal

Für die Teilnahme am Digitalen-Euro-Pilotprojekt ist eine Registrierung erforderlich. Im Rahmen des Onboarding-Prozesses erheben wir folgende personenbezogene Daten:

  • Vor- und Nachname
  • Geburtsdatum und Geburtsort
  • Wohnanschrift
  • E-Mail-Adresse
  • Mobiltelefonnummer (zur Zwei-Faktor-Authentifizierung)
  • Staatsangehörigkeit
  • Steuerliche Identifikationsnummer (soweit gesetzlich vorgeschrieben)

Im Rahmen der gesetzlich vorgeschriebenen Know-Your-Customer-Prüfung (KYC) gemäß dem Geldwäschegesetz (GwG) sind wir verpflichtet, Ihre Identität vor der Kontoeröffnung zu verifizieren. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 10 ff. GwG.

Die im Kundenportal hinterlegten Daten werden für die Dauer der Vertragsbeziehung gespeichert und nach deren Beendigung unter Beachtung gesetzlicher Aufbewahrungsfristen gelöscht (vgl. Abschnitt 10).

6. Identitätsprüfung und Ausweisdokumente

Zur Durchführung der Identitätsprüfung benötigen wir ein gültiges amtliches Ausweisdokument (Personalausweis oder Reisepass). Folgende Daten werden dabei erhoben:

  • Dokumentenart, Dokumentennummer und ausstellende Behörde
  • Gültigkeitsdatum des Dokuments
  • Lichtbild und maschinenlesbare Zone (MRZ)
  • Digitales Foto zur biometrischen Gesichtserkennung (Liveness-Check)

Die hochgeladenen Ausweisdokumente und biometrischen Daten werden auf verschlüsselten Servern innerhalb der Europäischen Union gespeichert. Die Speicherung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 8 GwG.

Ausweiskopien werden fünf Jahre nach Beendigung der Geschäftsbeziehung gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten (insbesondere § 8 Abs. 4 GwG: Aufbewahrung bis fünf Jahre nach Vertragsende) eine längere Speicherung erfordern. Biometrische Vergleichsdaten werden unmittelbar nach erfolgreichem Abschluss der Identitätsprüfung unwiderruflich gelöscht.

7. Zahlungsverkehr und Wallet

Bei der Nutzung der Digitalen-Euro-Wallet verarbeiten wir folgende transaktionsbezogene Daten:

  • Wallet-Kennung und zugeordnete IBAN
  • Transaktionsbetrag, Währung und Zeitstempel
  • Empfänger- bzw. Absender-Kennung
  • Verwendungszweck der Transaktion
  • Status der Transaktion (ausstehend, abgeschlossen, fehlgeschlagen)

Die Verarbeitung dieser Daten ist zur Erfüllung des Nutzungsvertrags gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich. Darüber hinaus sind wir nach Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 25h KWG zur Überwachung von Transaktionen zum Zweck der Geldwäscheprävention verpflichtet.

Transaktionsdaten werden für die Dauer der gesetzlichen Aufbewahrungsfrist von zehn Jahren (§ 257 HGB, § 147 AO) nach Ende des Kalenderjahres der Buchung gespeichert.

8. Weitergabe an Dritte

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt ausschließlich in den nachfolgend genannten Fällen:

  • Aufsichtsbehörden: Weitergabe an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Europäische Zentralbank (EZB) im Rahmen aufsichtsrechtlicher Meldepflichten
  • Steuerbehörden: Übermittlung an zuständige Finanzbehörden, soweit steuerrechtliche Verpflichtungen dies erfordern
  • Strafverfolgungsbehörden: Weitergabe aufgrund richterlicher Anordnung oder zur Erfüllung von Meldepflichten nach dem GwG (Verdachtsmeldungen an die Financial Intelligence Unit – FIU)
  • Auftragsverarbeiter: Einbindung sorgfältig ausgewählter Dienstleister auf Grundlage von Auftragsverarbeitungsverträgen gemäß Art. 28 DSGVO (z. B. für Hosting, Identitätsprüfung)

Ein Verkauf Ihrer personenbezogenen Daten an Dritte findet nicht statt und wird auch in Zukunft nicht stattfinden.

9. Übermittlung in Drittländer

Sämtliche personenbezogene Daten werden ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet und gespeichert. Eine Übermittlung in Drittländer außerhalb des EWR findet grundsätzlich nicht statt.

Sollte in Ausnahmefällen eine Übermittlung in ein Drittland erforderlich werden, erfolgt diese nur, sofern die Europäische Kommission für das betreffende Land einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen hat oder geeignete Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) vorliegen. Über eine etwaige Drittlandübermittlung werden Sie gesondert informiert.

10. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies für die Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungsfristen eine längere Speicherung vorschreiben. Im Einzelnen gelten folgende Fristen:

DatenkategorieSpeicherdauerRechtsgrundlage
Server-Logfiles30 Tage (IP nach 7 Tagen pseudonymisiert)Art. 6 Abs. 1 lit. f DSGVO
Stammdaten (Name, Adresse etc.)Dauer der Vertragsbeziehung + 10 Jahre§ 257 HGB, § 147 AO
KYC-/Identifizierungsdaten5 Jahre nach Beendigung der Geschäftsbeziehung§ 8 Abs. 4 GwG
Biometrische VergleichsdatenLöschung unmittelbar nach IdentitätsprüfungArt. 9 Abs. 2 lit. g DSGVO
Transaktionsdaten10 Jahre nach Ende des Kalenderjahres der Buchung§ 257 HGB, § 147 AO
Korrespondenz / Supportanfragen3 Jahre nach Abschluss des Vorgangs§ 195 BGB (regelmäßige Verjährung)
Einwilligungsnachweise3 Jahre nach Widerruf der EinwilligungArt. 7 Abs. 1 DSGVO, § 195 BGB

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden die Daten routinemäßig und unwiderruflich gelöscht oder anonymisiert, sofern sie nicht für die Erfüllung weitergehender gesetzlicher Pflichten erforderlich sind.

11. Ihre Rechte als betroffene Person

Ihnen stehen gemäß der DSGVO die folgenden Rechte gegenüber dem Verantwortlichen hinsichtlich Ihrer personenbezogenen Daten zu:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 Abs. 1 DSGVO.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die unverzügliche Löschung Ihrer Daten zu verlangen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe zutrifft und die Verarbeitung nicht gemäß Art. 17 Abs. 3 DSGVO erforderlich ist (z. B. zur Erfüllung einer rechtlichen Verpflichtung).
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen gegeben ist, etwa wenn Sie die Richtigkeit der Daten bestreiten.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
  • Automatisierte Entscheidungsfindung (Art. 22 DSGVO): Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Im Rahmen des Pilotprojekts findet keine vollautomatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an unseren Datenschutzbeauftragten unter [email protected]. Wir werden Ihrem Anliegen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang Ihres Antrags nachkommen (Art. 12 Abs. 3 DSGVO).

12. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: [email protected]
Web: https://datenschutz.hessen.de

Darüber hinaus können Sie sich jederzeit an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Straße 153
53117 Bonn
Telefon: +49 228 997799-0
E-Mail: [email protected]
Web: https://www.bfdi.bund.de

13. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

Zu den eingesetzten Maßnahmen gehören insbesondere:

  • Transportverschlüsselung: Sämtliche Datenübertragungen zwischen Ihrem Endgerät und unseren Servern erfolgen über TLS 1.3 (Transport Layer Security) mit aktuellen Cipher-Suites
  • Verschlüsselung ruhender Daten: Personenbezogene Daten werden auf unseren Servern mittels AES-256-Verschlüsselung (Encryption at Rest) geschützt
  • Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC) mit dem Prinzip der minimalen Rechtevergabe (Least Privilege); Zugriff auf personenbezogene Daten nur durch autorisiertes Personal
  • Mehrstufige Authentifizierung: Alle administrativen Zugriffe erfordern eine Zwei-Faktor-Authentifizierung (2FA)
  • Überwachung und Protokollierung: Kontinuierliche Überwachung der IT-Infrastruktur durch ein Security Information and Event Management (SIEM); Sicherheitsvorfälle werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet
  • Regelmäßige Sicherheitsaudits: Durchführung von Penetrationstests und Schwachstellenanalysen durch unabhängige Dritte

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Funktionalitäten. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Wesentliche Änderungen an dieser Datenschutzerklärung werden wir Ihnen rechtzeitig mitteilen, sofern uns Ihre Kontaktdaten vorliegen. Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig auf Änderungen zu überprüfen.

Stand: April 2026