FMA-Information zum Datenschutz

Verantwortliche im Sinne der Datenschutz-Grundverordnung und der nationalen Datenschutzgesetzgebung ist die:

Finanzmarktaufsicht Liechtenstein

Vertreten durch den Vorsitzenden der Geschäftsleitung: Mario Gassner
Landstrasse 109
Postfach 279
9490 Vaduz
Fürstentum Liechtenstein

Telefon: +423 236 73 73

Für Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die FMA wenden Sie sich bitte direkt an den FMA-Datenschutzbeauftragten.

Kontakt FMA-Datenschutzbeauftragter:

FMA Liechtenstein
Persönlich/vertraulich Datenschutzbeauftragter
Landstrasse 109
Postfach 279
9490 Vaduz
Fürstentum Liechtenstein

E-Mail: datenschutz@fma-li.li

Die FMA verarbeitet personenbezogene Daten:

• im Rahmen der Erfüllung ihres gesetzlichen Auftrages – namentlich zur Gewährleistung der Stabilität des Finanzmarktes Liechtenstein, des Kundenschutzes, zur Vermeidung von Missbräuchen sowie zur Umsetzung und Einhaltung anerkannter internationaler Standards (Art. 4 und 5 des Gesetzes über die Finanzmarktaufsicht (FMAG) i.V.m. der jeweiligen Spezialgesetzgebung);
• basierend auf einer entsprechenden Einwilligung (Art. 6 Abs. 1 Bst. a DSGVO); sowie
• zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 Bst. b DSGVO).

Verarbeitung zu anderen Zwecken

Personenbezogene Daten werden ausschliesslich für die Zwecke verarbeitet, für die sie erhoben wurden. Im Falle einer geplanten Weiterverarbeitung zu anderen Zwecken geht die FMA nach Art. 13 Abs. 3 DSGVO vor und informiert die betroffenen Personen entsprechend.

Die FMA verarbeitet sowohl direkt erhobene personenbezogene Daten (z.B. vom Antragsteller selbst im Rahmen von Bewilligungsgesuchen) als auch solche, die nicht direkt bei der betroffenen Person erhoben wurden (z.B. im Rahmen der Amtshilfe übermittelte Daten oder Daten von einem Gesuch nur mittelbar betroffener Personen wie beispielsweise tatsächlich leitender Personen, meldepflichtiger Sonderfunktionen).

Personenbezogene Daten, die von der FMA verarbeitet werden, sind insbesondere die nachfolgenden:

• Daten zur Person (Vorname, Nachname, Geburtsdatum, Staatsangehörigkeit);
• Adress- und Kontaktdaten (geschäftlich und ggf. privat);
• Daten mit Bezug zur beruflichen Tätigkeit (z.B. Leitungs-/Sonderfunktionen);
• Lebenslauf- und Zeugnisdaten in Form von Ausbildungsnachweisen, Nachweisen der praktischen Betätigung;
• Daten zur finanziellen Unbescholtenheit in Form von Konkurs- und Pfändungsbescheinigungen und persönlichen Erklärungen betreffend die Konkurs- und Pfändungsfreiheit;
• Daten in Bezug auf getätigte, meldepflichtige Geschäfte mit Finanzinstrumenten im Sinne der europäischen Finanzmarktregulierungen (z.B. MiFIR-/EMIR-Meldedaten);
• Das Recht am eigenen Bild in Form von Videoüberwachung in den öffentlich zugänglichen Bereichen der FMA (Zutrittskontrolle);
• Besucherdokumentation (Zutrittskontrolle).

Besondere Kategorien von personenbezogenen Daten (Art. 10 DSGVO)

Die FMA verarbeitet zudem gemäss den gesetzlichen Vorgaben besondere Kategorien von personenbezogenen Daten im Bewilligungs- und Aufsichtsbereich (sog. Fit und Proper-Prüfungen). Hierbei handelt es sich ausschliesslich um solche Daten über:

• strafrechtliche Verurteilungen und Straftaten (Strafregisterauszüge, persönliche Erklärungen betreffend die Straf- und Verwaltungsstraffreiheit, persönliche Erklärungen zur disziplinarischen Unbescholtenheit).

Weitere Daten besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)

Sofern eine betroffene Person personenbezogene Daten besonderer Kategorien auf freiwilliger Basis an die FMA übermittelt hat (z.B. Informationen zur politischen Ausrichtung im Rahmen eines eingereichten Lebenslaufes), kann sie jederzeit die Löschung dieser Daten gegenüber der FMA verlangen.

Minderjährige

Personen unter 18 Jahren sollten ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten an die FMA übermitteln. Die FMA fordert keine personenbezogenen Daten von Kindern und Jugendlichen an. Wissentlich sammelt sie solche Daten nicht und gibt sie auch nicht an Dritte weiter.

Weitere Details zu den von der FMA verarbeiteten personenbezogenen Daten finden sich in Kapitel 2 Spezifische Verarbeitung personenbezogener Daten.

Zugriff auf die verarbeiteten personenbezogenen Daten haben grundsätzlich nur die Mitarbeitenden der FMA im Rahmen der Erfüllung ihrer Aufgaben. Sämtliche Mitarbeitende der FMA unterstehen der Geheimhaltungspflicht nach Art. 23 Öffentliche-Unternehmen-Steuerungs-Gesetz (ÖUSG).

Im Rahmen der Einreichung eines Bewilligungsgesuchs bzw. eines Antrages auf Prüfungszulassung wird bereichsübergreifend eine entsprechende Fit und Proper-Abfrage durchgeführt.

Unter Berücksichtigung der Geheimhaltungspflicht erhalten zudem Dienstleister (z.B. Wirtschaftsprüfer, IT-Serviceanbieter) im Rahmen der Erfüllung ihrer vertraglichen Pflichten gegenüber der FMA beschränkt Zugriff auf erforderliche personenbezogene Daten.

Eine Übermittlung personenbezogener Daten an ein Drittland ist nur in besonderen Fällen (insb. im Rahmen der Amtshilfe) vorgesehen.

Details hierzu finden sich in Kapitel 2 Spezifische Verarbeitung personenbezogener Daten.

Die FMA ist grundsätzlich in die IT-Infrastruktur der Liechtensteinischen Landesverwaltung eingebunden. Sowohl die FMA als auch das zuständige Amt für Informatik verwenden geeignete technische und organisatorische Massnahmen, um personenbezogene Daten vor zufälliger oder vorsätzlicher Manipulation, vor Verlust und Zerstörung sowie gegen unberechtigte Zugriffe Dritter zu schützen.

Das Amt für Informatik orientiert sich hierbei an der ISO/IEC 27000 Familie. Zudem werden regelmässig Penetration-Tests nach standardisierten Verfahren mit externen Spezialisten durchgeführt, um die Sicherheit der eingesetzten Infrastruktur und Anwendungen zu verifizieren.

Sämtliche ergriffenen Massnahmen entsprechen dem aktuellen Stand der Technik und sind im Verhältnis zum Risiko eines unsachgemässen Umgangs mit Daten als ausreichend zu erachten. Die getroffenen Sicherheitsvorkehrungen werden analog zu den technischen Entwicklungen fortlaufend geprüft und optimiert.

Gemäss Art. 33 FMAG beträgt die allgemeine Aufbewahrungsfrist der FMA mindestens 10 Jahre.

Diese Frist beginnt bei Dauerschuldverhältnissen mit Ablauf des Kalenderjahres, in dem das Rechtsverhältnis geendet hat und in allen anderen Fällen mit Ablauf des Kalenderjahres, in dem die FMA letztmalig in der betreffenden Angelegenheit tätig gewesen ist.

Betroffenen Personen stehen grundsätzlich folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO);
• Recht auf Berichtigung (Art. 16 DSGVO);
• Recht auf Löschung (Art. 17 DSGVO);
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
• Widerspruchsrecht (Art. 21 DSGVO).

Sofern von der FMA keinerlei personenbezogene Daten über eine Person verarbeitet werden, besteht dennoch ein Recht auf Auskunft, welches insofern durch eine Negativbestätigung seitens der FMA beantwortet wird.

Zudem benachrichtigt die FMA die betroffenen Personen im Falle einer Verletzung des Schutzes ihrer personenbezogenen Daten (Art. 34 DSGVO) vorausgesetzt, die Verletzung hat voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge.

Beschwerderecht

Betroffenen Personen steht - sofern sie der Auffassung sind, dass die Verarbeitung personenbezogener Daten durch die FMA im Widerspruch zum geltenden Datenschutzrecht steht - zudem ein Beschwerderecht gegenüber der zuständigen Datenschutzaufsichtsbehörde zu.

Kontakt Datenschutzstelle:

Städtle 38
Postfach 684
9490 Vaduz
Telefon: +423 236 60 90
E-Mail: info.dss@llv.li

Eine automatisierte Entscheidungsfindung kommt nicht zur Anwendung. Sämtliche von der FMA verwendeten Prozesse (z.B. e-Service) setzten stets das Einwirken von Mitarbeitenden voraus.

Aufsicht, Bewilligungserteilungen und Registerführung

Die FMA ist mit der Aufsicht von Finanzmarktteilnehmern aus den folgenden Bereichen betraut:

• Bereich Banken;        
• Bereich Versicherungen- und Vorsorgeeinrichtungen;
• Bereich Wertpapiere und Märkte;
• Bereich Andere Finanzintermediäre.

Der FMA obliegt u.a. auch die Erteilung von Bewilligungen. Sie führt im Zusammenhang mit dem Bewilligungswesen auf ihrer Website öffentlich abrufbare Register und Mutationslisten über bewilligte Finanzintermediäre gemäss gesetzlichem Auftrag. Die Register beinhalten dabei folgende personenbezogene Daten:

• Daten zur Person (Vorname, Nachname, Titel);
• Adressdaten (geschäftlich);
• Daten des Arbeitgebers;
• Art der erteilten bzw. erloschenen Bewilligung.

Prüfungszulassungen

Die FMA ist des Weiteren auch für die Prüfungszulassung gemäss Treuhändergesetz, Patentanwaltsgesetz und Wirtschaftsprüfergesetz zuständig.

Zum Zwecke der Prüfungsanmeldung verarbeitet die FMA daher die hierfür erforderlichen, vom Anmelder an die FMA übermittelten, personenbezogenen Daten (vgl. hierzu Ziff. 4 des allgemeinen Teils) sowie der zuständigen Prüfungskommission.

Die FMA hat die erforderlichen Daten der zuständigen Prüfungskommission zum Zwecke der Prüfungsdurchführung zur Verfügung zu stellen. An andere Dritte werden die Daten nicht weitergeleitet. Es besteht zudem nicht die Absicht der Übermittlung an ein Drittland.

Anfragen

Die FMA verarbeitet im Rahmen der Beantwortung von Anfragen die hierfür übermittelten und für die Beantwortung erforderlichen personenbezogenen Daten.

Besucher

Die FMA verarbeitet im Rahmen von Besuchen in der FMA die hierfür erforderlichen Namens- und Kontaktdaten. Zudem werden die öffentlich zugänglichen Bereiche der FMA zwecks Zutrittskontrolle videoüberwacht.

Die Besucherliste der FMA wird zum Zwecke der Erfüllung der Zutrittskontrolle und eines allenfalls damit verbundenen, erforderlichen Nachweises 1 Jahr aufbewahrt und danach gelöscht.

Videoüberwachung

Im Rahmen der Zutrittskontrolle werden die öffentlich zugänglichen Bereiche der FMA videoüberwacht.

Zugriff auf die Daten der Videoüberwachung haben nur die mit der Zutrittskontrolle betrauten FMA-Mitarbeitenden.

Die Daten der Videoüberwachung werden nach 7 Tagen automatisch vom System gelöscht. Ausschliesslich in begründeten Einzelfällen kann eine längere Aufbewahrungsdauer durch den Vorsitzenden der Geschäftsleitung beschlossen werden.

Behördeninterne Zusammenarbeit

Im Rahmen der Erfüllung des gesetzlichen Aufsichtsauftrages können im Bedarfsfall FMA-intern vorhandene, relevante personenbezogene Daten, einschliesslich besonderer Kategorien personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten bereichsübergreifend ausgetauscht werden. Dies betrifft insbesondere Fälle von relevanten Vorermittlungen und Abklärungen beispielsweise auf der Basis von MiFIR-/EMIR-Meldungen aber auch Fit und Proper-Abfragen im Rahmen von Bewilligungsgesuchen oder der laufenden Aufsicht.

Behördenzusammenarbeit national und international

Die FMA ist zudem gemäss der jeweiligen Spezialgesetzgebung zum Austausch personenbezogener Daten, einschliesslich besonderer Kategorien personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten mit den zuständigen nationalen (insbesondere Gerichte, Staatsanwaltschaft, Financial Intelligence Unit (FIU) ) sowie internationalen Behörden (ausländische Finanzmarktaufsichtsbehörden und die Europäische Bankenaufsichtsbehörde, die Europäische Wertpapier- und Marktaufsichtsbehörde und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) verpflichtet.

Die Übermittlung personenbezogener Daten an eine andere Behörde dient ausschliesslich der Verarbeitung eines konkreten Amtshilfeersuchens bzw. der Erfüllung einer spezifischen Meldepflicht (z.B. Meldungen an die Europäischen Aufsichtsbehörden bzgl. verhängter Sanktionen; Meldungen an ausländische Finanzmarktaufsichtsbehörden im Bereich der Transaktionsdaten gem. Art. 26 MiFIR).

Der Austausch von Daten richtet sich nach den konkreten spezialgesetzlichen Vorgaben und dürfen beim Empfänger ausschliesslich für den der Übermittlung zugrundeliegenden Zweck verwendet werden.

Im Rahmen der internationalen Zusammenarbeit können personenbezogene Daten daher auch an Drittländer übermittelt werden. Hierbei sind stets die Vorgaben der Art. 44ff. DSGVO zu berücksichtigen.

In einzelnen Bereichen verwendet die FMA zur Übermittlung von Daten eigens dafür zur Verfügung gestellte, sichere IT-Systeme der Europäischen Aufsichtsbehörden (z.B. eGate).

Binnenmarktinformationssystem (Internal Market Information System - IMI)

Personenbezogene Daten können im Rahmen der Bestimmungen des Binnenmarktinformationssystem IMI mittels sicherer Internet-Anwendung mit Behörden anderer EWR-Vertragsstaaten ausgetauscht werden.

In diesem Fall kommen die Richtlinien 2006/123/EG und 2005/36/EG sowie die Verordnung (EU) 1024/2012 des Europäischen Parlaments und des Rates sowie die Entscheidung der EU-Kommission 2009/739/EG zur Anwendung.

Veröffentlichung von Entscheiden

Die FMA ist in einzelnen Bereichen verpflichtet, rechtskräftige Entscheide gegen Finanzintermediäre auf ihrer Website zu veröffentlichen. Entscheide werden ausschliesslich in den Fällen publiziert, in denen eine spezifische spezialgesetzliche Regelung dies ausdrücklich vorsieht.

Publiziert werden lediglich die im Gesetz zwingend vorgesehenen Informationen. Publikationen enthalten dabei u.a. auch personenbezogene Daten, einschliesslich der namentlichen Nennung der betroffenen natürlichen Personen.

Die Publikation ist öffentlich verfügbar zu machen und daher von jedermann abrufbar. Sie ist vorbehaltlich anderer spezifischer gesetzlicher Regelungen mindestens 5 Jahre auf der Website der FMA abrufbar zu halten. Nach Ablauf der gesetzlichen Frist wird die Publikation gelöscht.

Dem Betroffenen stehen im Zusammenhang mit der Veröffentlichung das Recht auf Berichtigung, das Recht auf Beschränkung der Verarbeitung, sowie das Recht auf Löschung nach Ablauf der gesetzlichen Veröffentlichungsfrist zu.

Veröffentlichung von Warnmeldungen

Zum Zwecke des Kundenschutzes und zur Vermeidung von Missbräuchen gemäss Art. 4 FMAG veröffentlicht die FMA bei Bedarf Warnmeldungen - auch bezüglich nichtbewilligter Personen - auf ihrer Website. Diese Warnmeldungen beinhalten u.a. personenbezogene Daten in Form von konkreten Namens- und Adressnennungen.

Die Warnmeldungen sind nur während des relevanten Zeitraumes auf der Website abrufbar und werden nach Zweckerreichung gelöscht.

Basierend auf Art. 4 und 5 FMAG i.V.m. der jeweiligen Spezialgesetzgebung unterhält die FMA ein sogenanntes Hinweisgebersystem. Über dieses Hinweisgebersystem können der FMA tatsächliche oder mögliche Verstösse gegen Gesetze aus dem Zuständigkeitsbereich der FMA gemeldet werden (sog. Whistleblowing).

Des Weiteren können allgemein Beschwerden im Zusammenhang mit der jeweiligen Tätigkeit über bewilligte Finanzintermediäre bei der FMA eingereicht werden.

Sowohl bei der Nutzung des Hinweisgebersystems als auch im Rahmen der Einreichung von Beschwerden werden i.d.R. folgende personenbezogenen Daten verarbeitet:

• Daten zur von der Meldung bzw. Beschwerde belasteten Person wie Vornamen und Nachnamen (für die Bearbeitung der Meldung bzw. Beschwerde erforderliches personenbezogenes Datum).

Auf freiwilliger Basis (Meldungen und Beschwerden können auch anonym erstattet werden) kommen zudem die folgenden personenbezogenen Daten in Betracht:

• Daten zur Person der meldenden bzw. beschwerenden Person; und
• Adress- und Kontaktdaten der durch die Meldung bzw. Beschwerde belasteten Person.

Zugriff auf die gemeldeten Daten haben ausschliesslich die für die Verarbeitung erhaltener Meldungen und Beschwerden zuständigen FMA-Mitarbeitenden sowie die Mitarbeitenden, die für die weitere Bearbeitung in den betroffenen Bereichen zuständig sind.

Meldungen, die auf einen strafrechtlich relevanten Sachverhalt schliessen lassen, werden an die Liechtensteinische Staatsanwaltschaft übermittelt.

Meldungen, die nicht in den Zuständigkeitsbereich der FMA fallen, werden an die zuständige Behörde weitergeleitet.

Das e-Service Portal der FMA ermöglicht gemäss Art. 4 Abs. 2, Art. 5 Abs. 2 und Art. 6 E-Government-Gesetz die elektronische Kommunikation mit der FMA, einschliesslich der elektronischen Übermittlung von erforderlichen Meldedaten an die FMA. Weitere Informationen zur Nutzung von e-Service finden sich hier.

Im Rahmen der Nutzung des e-Service Portals werden dabei folgende personenbezogene Daten verarbeitet, die für die ordnungsgemässe Nutzung erforderlich sind:

• Persönliche Identifikationsnummer (PEID) aus lilog bzw. lisign und eID.li;
• Vorname und Nachname;
• Rolle (Superuser, sonstige Anwender);
• Geschlecht (freiwillige Angabe zwecks Anrede);
• Hauptarbeitgeber;
• Finanzintermediär;
• Meldung von Sonderfunktionen (z.B. Sorgfaltspflicht- Untersuchungsbeauftragter);
• E-Mailadresse (geschäftlich); und
• Telefonnummer (geschäftlich).

Die FMA verarbeitet personenbezogene Daten nur für die Wahrnehmung ihrer Aufsicht im Rahmen von Art. 5 FMAG. Es erfolgt keine Auswertung und auch keine Veröffentlichung der Daten. Des Weiteren gibt die FMA die personenbezogenen Daten nicht an Dritte weiter, ausser die FMA ist gesetzlich dazu verpflichtet.

Wenn ein Benutzer die e-Service Plattform der FMA aufruft, speichert die FMA Datum, Uhrzeit, IP-Adresse, Client-Version und weitere technische Log-Daten der Benutzeraktion. Die FMA verwendet diese Aufzeichnungen ausschliesslich zur Fehleranalyse sowie im Falle von missbräuchlicher Nutzung zur strafrechtlichen Verfolgung. Hier können im Bedarfsfall spezialisierte Unternehmen zur technischen Unterstützung hinzugezogen werden.

Die Log-Informationen werden automatisch nach einem Jahr gelöscht.

Die FMA bietet einen Newsletter-Service für interessierte Personen an.

Im Rahmen der Registrierung werden folgende personenbezogene Daten abgefragt:

• E-Mailadresse (für den Versand des Newsletters erforderliches personenbezogenes Datum);
• Vorname und Nachname (freiwillige Angabe zwecks Anrede);
• Geschlecht (freiwillige Angabe zwecks Anrede).

Die Registrierung ist durch einen Hyperlink, welcher umgehend an die angegebene E-Mailadresse übermittelt wird, zu bestätigen. Diese Bestätigung hat innert 7 Tagen zu erfolgen.

Durch Bestätigung der Registrierung mittels Verwendung des Hyperlinks wird die erforderliche Einwilligung i.S.d. Art. 6 Abs. 1 Bst. a DSGVO zur Verarbeitung der personenbezogenen Daten zu Zwecken des Newsletter-Versands erteilt. Erst nach erteilter Einwilligung erfolgt die Newsletter-Übermittlung.

Die FMA-Newsletter enthalten keine offensichtlichen oder versteckten Zähler, Werbung Dritter oder Verknüpfungen auf fremde Seiten, die nicht direkt mit dem Inhalt unserer Newsletter im Zusammenhang stehen. Die übermittelten Daten dienen ausschliesslich dem Versand des Newsletters. Eine Weiterverarbeitung erfolgt nicht.

Nur die mit dem Versand des Newsletters betrauten FMA-Mitarbeitenden und Mitarbeitenden des Amtes für Informatik, sowie beauftragter IT-Serviceanbieter (sog. Auftragsverarbeiter) erhalten im Rahmen der Auftragserfüllung Zugriff auf die verarbeiteten personenbezogenen Daten. Auftragsverarbeiter erfüllen die Voraussetzungen der DSGVO.

Es besteht nicht die Absicht, personenbezogene Daten in ein Drittland zu übermitteln.

Die verarbeiteten Daten werden nach Massgabe des Art. 17 DSGVO gelöscht. Im Falle der Abbestellung des Newsletters wird daher die E-Mailadresse mit samt der damit verbundenen übermittelten personenbezogenen Daten umgehend gelöscht.

Widerrufsmöglichkeit (Art. 21 DSGVO)

Das Newsletter-Abonnement kann jederzeit widerrufen werden. Die Widerrufsmöglichkeit ist jedem Newsletter durch Verlinkung beigefügt.

Die FMA betreibt die Website www.reiseblog.fma-li.li. Entsprechende Beiträge, insbesondere von Mitarbeitenden, werden gestützt auf eine Einwilligung gem. Art. 6 Abs. 1 Bst. a DSGVO aufgeschaltet. Spätestens sechs Monate nach Austritt eines Mitarbeitenden oder bei Widerruf werden entsprechende Beiträge umgehend von der Website entfernt.

Die FMA informiert u.a. im Rahmen von öffentlichen Veranstaltungen über ihre Tätigkeit. Anlässlich der Organisation solcher Veranstaltungen verarbeitet die FMA personenbezogene Daten in Form von:

• Vornamen und Nachnamen;
• Kontaktdaten der anmeldenden Person; und
• ggf. Informationen zum Arbeitgeber o.ä.

Die vom Anmelder übermittelten personenbezogenen Daten werden ausschliesslich für die Durchführung des konkreten Anlasses genutzt (bspw. auch zur Ausstellung einer Teilnahmebestätigung).

Auf die Daten haben lediglich die zuständigen FMA-Mitarbeitenden Zugriff. Es besteht in diesen Fällen nicht die Absicht der Übermittlung an einen Drittstaat.

Die Daten werden mit Zweckerreichung direkt nach Durchführung der Veranstaltung gelöscht.

Die FMA kann das Tool Zoom nutzen, um Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen. Zoom ist ein Service der Zoom Video Communications, Inc., die ihren Sitz in den USA hat. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt.

Bei der Nutzung von Zoom werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten vor bzw. bei der Teilnahme an einem Online-Meeting gemacht werden.

Folgende personenbezogene Daten sind Gegenstand der Verarbeitung:

• Angaben zum Benutzer: Vorname, Nachname, Telefon (optional), E-Mail-Adresse, Passwort (wenn „Single-Sign-On“ nicht verwendet wird), Profilbild (optional), Abteilung (optional)
• Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen

Bei Aufzeichnungen (optional):

• MP4-Datei aller Video-, Audio- und Präsentationsaufnahmen, M4A-Datei aller Audioaufnahmen, Textdatei des Online-Meeting-Chats.

Bei Einwahl mit dem Telefon:

• Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Ggf. können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden.

Text-, Audio- und Videodaten (optional): Es besteht ggf. die Möglichkeit, in einem Online-Meeting die Chat-, Fragen- oder Umfragenfunktionen zu nutzen. Insoweit werden die gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen und ggf. zu protokollieren. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon des jeweiligen Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Die Kamera oder das Mikrofon kann jederzeit selbst über die Zoom-Applikationen abgeschaltet bzw. stummgestellt werden.

Wenn ein Online-Meeting aufgezeichnet werden soll, wird dies im Vorweg transparent mitgeteilt und – soweit erforderlich – eine Einwilligung eingeholt. Die Tatsache der Aufzeichnung wird zudem in der Zoom-App angezeigt. Im Falle von Webinaren können für Zwecke der Aufzeichnung und Nachbereitung von Webinaren auch die gestellten Fragen von Webinar-Teilnehmenden verarbeitet werden.

Die FMA kann das Tool LimeSurvey nutzen, um Online-Umfragen durchzuführen. LimeSurvey ist eine Online-Umfrage-Applikation mit Sitz in Deutschland.

Bei der Nutzung von LimeSurvey werden verschiedene Datenarten verarbeitet. Beim Aufrufen der Website werden automatisch Informationen an den Server der Website gesendet. Diese Informationen werden temporär in einem Logfile gespeichert. In keinem Fall werden die erhobenen Daten zu dem Zweck, Rückschlüsse auf die Person zu ziehen, verwendet. Folgende Informationen werden dabei erfasst und bis zur automatisierten Löschung gespeichert:

• Anonymisierte (= gekürzte) IP-Adresse des anfragenden Rechners;
• Datum und Uhrzeit des Zugriffs;
• Name und URL der abgerufenen Datei;
• Grösse der übertragenen Daten;
• Angabe, ob der Download erfolgreich war;
• Website, von der aus der Zugriff erfolgt (Referrer-URL);
• verwendeter Browser und ggf. das Betriebssystem des Rechners sowie der Name des Access-Providers.

Die genannten Daten werden zu folgenden Zwecken verarbeitet:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Websites;
• Gewährleistung einer komfortablen Nutzung der Websites;
• Auswertung der Systemsicherheit und -stabilität; sowie
• zu weiteren administrativen Zwecken.

Personenbezogene Daten, die bei LimeSurvey durch eine Kontaktanfrage (per Website, E-Mail, Telefon, Fax oder persönlich), eine Newsletter-Anmeldung oder direkte geschäftliche Beziehungen mitgeteilt werden, werden mit Hilfe eines Kundenbeziehungssystems (ZOHO CORPORATION B. V.) verarbeitet und gepflegt. Weitere Informationen zu LimeSurvey sind hier abrufbar.

Nach Abschluss der Umfrage löscht die FMA die entsprechenden Daten auf LimeSurvey und verarbeitet diese anschliessend ausschliesslich im FMA-Netzwerk. Auf die Aufbewahrungs- und Löschfristen finden die allgemeinen Aufbewahrungsfristen Anwendung.

Die FMA verarbeitet in ihrer Funktion als Arbeitgeberin im Rahmen der Durchführung von Bewerbungsverfahren – einschliesslich Bewerbungsgesprächen und Assessmentcenter – personenbezogene Daten. Zur administrativen Abwicklung des Bewerbungsverfahrens nutzt die FMA das E-Recruiting System der Ostendis AG mit Sitz in der Schweiz. Weitere Informationen zur Ostendis AG sind hier abrufbar. Verarbeitet werden ausschliesslich die für das Bewerbungsverfahren erforderlichen personenbezogenen Daten, um zu prüfen, ob diese mit dem Anforderungsprofil übereinstimmen. Hierbei handelt es sich i.d.R. um folgende Daten:

• Lebenslaufdaten:
  • Vornamen und Nachnamen;
  • Adress- und Kontaktdaten (privat und ggf. geschäftlich);
  • Personenbezogene Daten aus dem Bewerbungsanschreiben;
  • Zeugnisdaten in Form von Ausbildungsnachweisen und Arbeitszeugnissen;
  • Kontaktdaten zu Referenzen bei Bekanntgabe durch den Bewerber (ausschliesslich im Rahmen der engeren Auswahl relevant);
  • Assessmentcenterberichte (Führungsfunktionen);
  • Daten zur finanziellen Unbescholtenheit in Form von Betreibungsregisterauszügen (ausschliesslich im Rahmen der Anstellung relevant);
  • allenfalls Hintergrundchecks von öffentlich verfügbaren Informationen (z.B. Google-Search ohne Dokumentation); und
  • allenfalls Beurteilungen des Bewerbers (Bewerberpräsentation) durch das vermittelnde Personalbüro.

Bei der Nutzung des E-Recruiting-Systems werden verschiedene Datenarten verarbeitet. Beim Aufrufen der Website werden automatisch Informationen an den Server der Website gesendet. Diese Informationen werden temporär in einem Logfile gespeichert. In keinem Fall werden die erhobenen Daten zu dem Zweck, Rückschlüsse auf die Person zu ziehen, verwendet. Folgende Informationen werden dabei erfasst und bis zur automatisierten Löschung gespeichert:

• IP-Adresse (nicht anonymisiert);
• Datum und Uhrzeit des Zugriffs;
• bei Downloads, Name der heruntergeladenen Datei;
• bei Uploads, Name der Datei und Dateigrösse (implizit Angabe, ob Upload erfolgreich war).

Die genannten Daten werden zu folgenden Zwecken verarbeitet:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Websites;
• Gewährleistung einer komfortablen Nutzung der Websites;
• Auswertung der Systemsicherheit und -stabilität; sowie
• zu weiteren administrativen Zwecken.

Des Weiteren hat die FMA im Falle einer Anstellung zum Zwecke der Evaluierung der Vertrauenswürdigkeit des potenziellen Mitarbeitenden auch besondere Kategorien von personenbezogenen Daten zu verarbeiten. Hierbei handelt es sich ausschliesslich um Daten über:

• Strafrechtliche Verurteilungen und Straftaten in Form eines Strafregisterauszuges.

Auf die übermittelten Daten haben ausschliesslich die für das Bewerbungsverfahren zuständigen Mitarbeitenden der FMA (HR und Bereiche) sowie der Ostendis AG Zugriff. Die Zugriffsrechte werden auf das nötige Minimum zur Erfüllung des definierten Aufgabenbereichs eingeschränkt. Die Mitarbeitenden sind im Umgang mit personenbezogenen Daten geschult und zu den Vorgaben der Geheimhaltung instruiert. Es besteht nicht die Absicht der Übermittlung der Daten an Drittländer.

Eine FMA-interne Weitergabe der Daten an einen anderen als den in der Bewerbung adressierten Bereich der FMA, zwecks möglicher Besetzung einer anderen als die beworbene Stelle, erfolgt nur nach Rücksprache und ausdrücklicher Einwilligung des Bewerbers.

Sowohl die elektronischen als auch die physischen Bewerbungsunterlagen werden nach Abschluss des Bewerbungsverfahrens und im Falle der Nichtanstellung umgehend, spätestens jedoch 6 Monate nach Abschluss des Bewerbungsverfahrens, gelöscht. Bei Einreichung von physischen Unterlagen (Zeugnissen) werden diese dem Bewerber zurückgegeben. Im Rahmen einer Anstellung werden die relevanten Daten in die Personalakte überführt.

Eine Speicherung der Daten für künftige Bewerbungsverfahren erfolgt nur nach ausdrücklichem Wunsch und schriftlicher Einwilligung des Bewerbers für maximal ein Jahr („Bewerberpool“).

Die FMA bietet für ehemalige Mitarbeitende einen speziellen Newsletter-Service an, in dem sie über Veranstaltungen, Stelleninserate etc. informiert. Der Versand des Newsletters erfolgt ausschliesslich bei Vorliegen einer ausdrücklichen Einwilligung der ehemaligen Mitarbeitenden und kann jederzeit ohne Begründung gegenüber den Zentralen Diensten per E-Mail an hr@fma-li.li widerrufen werden. Der Newsletter-Versand wird bei Widerruf umgehend eingestellt und die angegebene E-Mailadresse gelöscht.

Im Rahmen ihrer vertraglichen Beziehungen mit Dienstleistern, Lieferanten, Wirtschaftsprüfern/Revisoren und Experten verarbeitet die FMA ausschliesslich die für die Erfüllung des jeweiligen Vertragszwecks erforderlichen personenbezogenen Daten. Hierbei handelt es sich insbesondere um die folgenden Daten:

• Daten zur Person (Vorname und Nachname) des Vertragspartners und allenfalls notwendig involvierter Mitarbeitender des Vertragspartners;
• Adress- und Kontaktdaten (geschäftlich); 
• Kontodaten (soweit für die Vertragserfüllung erforderlich).

Von Personen, die bei der FMA ein reines Schnupperpraktikum ohne entsprechenden Vertrag absolvieren, werden ausschliesslich die folgenden personenbezogenen Daten zum Zwecke der Durchführung des Praktikums verarbeitet:

• Daten zur Person (Vorname und Nachname); und
• Adressdaten.