1. Was ist der Zweck dieser Datenschutzerklärung?

Zweck dieser Datenschutzerklärung ist es, Sie (als betroffene natürliche Person) über die Verarbeitung Ihrer „personenbezogenen Daten“) durch das Zentrum für Cybersicherheit Belgien (im Folgenden „ZCB“) sowie über die Gründe, warum wir diese verwenden und weitergeben, und über die geltenden Aufbewahrungsfristen sowie die Vorschriften zur Wahrnehmung Ihrer Rechte in Bezug auf diese Daten, zu informieren.

Diese Informationen werden Ihnen in Übereinstimmung mit den geltenden Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre zur Verfügung gestellt, einschließlich der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“).

Im Zusammenhang mit einem bestimmten Projekt oder einer bestimmten Anwendung empfiehlt sich gegebenenfalls der Verweis auf die Datenschutzerklärung des betreffenden Projekts bzw. der betreffenden Anwendung (siehe Anhang II – Cookie-Richtlinie).

2. Wer ist für die Datenverarbeitung verantwortlich?

Der Datenschutzverantwortliche ist das Zentrum für Cybersicherheit Belgien (ZCB), mit Sitz in der Rue de la Loi 18/Wetstraat 18, 1000 Brüssel.

Das ZCB bestimmt die Zwecke, zu denen Ihre Daten verarbeitet werden, sowie die verwendeten Mittel und alle Merkmale der Verarbeitung. Diese werden nachstehend erläutert.

3. Zu welchen Zwecken verarbeiten wir Ihre personenbezogenen Daten?

Die Zwecke der Verarbeitung Ihrer personenbezogenen Daten ergeben sich insbesondere aus den verschiedenen gesetzlichen Aufgaben, mit denen das ZCB betraut ist (siehe Anhang I: Tabelle der Verarbeitungszwecke).

Der Königliche Erlass vom 10. Oktober 2014 zur Gründung des Zentrums für Cybersicherheit Belgien listet einige der gesetzlichen Zwecke auf, zu denen das ZCB Ihre personenbezogenen Daten gegebenenfalls verarbeiten muss:

1. Beobachtung, Koordination und Beaufsichtigung der Ausführung der belgischen Politik in diesem Bereich;
2. Verwaltung durch einen integrierten und zentralisierten Ansatz der verschiedenen Projekte im Bereich der Cybersicherheit;
3. Gewährleistung der Koordination zwischen den betroffenen Dienststellen und Behörden und zwischen den öffentlichen Behörden und dem privaten oder wissenschaftlichen Sektor;
4. Formulierung von Vorschlägen zur Anpassung des gesetzlichen und verordnungsrechtlichen Rahmens im Bereich der Cybersicherheit;
5. Gewährleistung des Krisenmanagements bei Cyberereignissen in Zusammenarbeit mit dem Koordinations- und Krisenzentrum der Regierung;
6. Aufsetzen, Verbreiten und Beaufsichtigung der Ausführung von Standards, Richtlinien und Sicherheitsnormen für die verschiedenen Informationssysteme der Verwaltungen und öffentlichen Einrichtungen;
7. Koordination der belgischen Vertretung in internationalen Foren zur Cybersicherheit, der Erfüllung internationaler Verpflichtungen und der Vorschläge hinsichtlich des nationalen Standpunktes in diesem Bereich;
8. Koordinierung der Beurteilung und Zertifizierung der Sicherheit von Informations- und Kommunikationssystemen;
9. Informierung und Sensibilisierung von Nutzern von Informations- und Kommunikationssystemen;
10. Als nationales Koordinierungszentrum im Sinne von Artikel 6 der Verordnung (EU) 2021/887 des Europäischen Parlaments und des Rates vom 20. Mai 2021 zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich Cybersicherheit und des Netzes der nationalen Koordinierungszentren fungieren.

Gemäß dem Gesetz vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit („NIS-Gesetz“) ist das ZCB als nationales Computer Security Incident Response Team („nationales CSIRT“) zudem mit den folgenden gesetzlichen Aufgaben betraut:

1. Überwachung von Sicherheitsvorfällen auf nationaler und internationaler Ebene, einschließlich Verarbeitung personenbezogener Daten im Zusammenhang mit der Überwachung solcher Vorfälle;
2. Ausgabe von Frühwarnungen und Alarmmeldungen sowie Bekanntmachung und Verbreitung von Informationen über Risiken und Vorfälle unter den einschlägigen Interesse habenden Parteien;
3. Reaktion auf Sicherheitsvorfälle;
4. Dynamische Analyse von Risiken und Vorfällen und Lagebeurteilung;
5. Erkennung, Beobachtung und Analyse von IT-Sicherheitsproblemen;
6. Förderung der Annahme und Anwendung gemeinsamer oder standardisierter Verfahren für Abläufe zur Bewältigung von Sicherheitsvorfällen und Risiken sowie für Systeme zur Klassifizierung von Sicherheitsvorfällen, Risiken und Informationen;
7. Aufbau von Kooperationsbeziehungen zum Privatsektor sowie zu anderen Verwaltungsdiensten oder öffentlichen Behörden;
8. Beteiligung am CSIRT-Netzwerk;
9. Meldung von Sicherheitslücken in Netz- und Informationssystemen.

In Übereinstimmung mit der EU-Verordnung 2021/887, wurde das ZCB mit der Rolle des Koordinierungszentrums für Cybersicherheit für Belgien (im Folgenden "NCC-BE") beauftragt. Das NCC-BE ist u.a. verantwortlich für:

1. Kontaktaufnahme und Interaktion mit der Industrie, dem öffentlichen Sektor und der Forschungsgemeinschaft, um eine lokale Gemeinschaft aufzubauen;
2. als Kontaktstelle auf nationaler Ebene zu fungieren, um das Europäische Kompetenzzentrum für Cybersicherheit zu unterstützen;
3. Bereitstellung von Fachwissen und Beiträgen zu den strategischen Planungsaktivitäten des Europäischen Kompetenzzentrums für Cybersicherheit;
4. Erleichterung der Teilnahme von Industrie, Forschungseinrichtungen und anderen Akteuren an grenzüberschreitenden Projekten;
5. Schaffung von Synergien mit einschlägigen Aktivitäten auf nationaler Ebene im Rahmen der nationalen Politik, wie sie in den nationalen Cybersicherheitsstrategien festgelegt sind;
6. Förderung und Verbreitung der Ergebnisse der Arbeiten des Netzes, der Kompetenzgemeinschaft für Cybersicherheit und des Kompetenzzentrums auf nationaler Ebene unter besonderer Berücksichtigung des Rahmens für die Cybersicherheitszertifizierung;
7. Unterstützung von Anträgen von Einrichtungen, der EU-Kompetenzgemeinschaft für Cybersicherheit beizutreten;
8. Befürwortung und Förderung der Beteiligung von Einrichtungen an den Aktivitäten, die sich aus dem ECCC, dem Netzwerk und der Gemeinschaft ergeben;
9. die nationalen Behörden zu möglichen Beiträgen zur Förderung und Verbreitung von Bildungsprogrammen zur Cybersicherheit zu konsultieren;
10. Bereitstellung technischer Hilfe für Interessengruppen durch Unterstützung in der Antragsphase für Projekte, die vom Kompetenzzentrum im Zusammenhang mit seinem Auftrag und seinen Zielen verwaltet werden;
11. Durchführung spezifischer Maßnahmen, für die Zuschüsse gewährt wurden.

Gemäß dem Gesetz vom 20. Juli 2022 über die Cybersicherheitszertifizierung von Informations- und Kommunikationstechnologie und die Benennung einer nationalen Cybersicherheitszertifizierungsbehörde („CSA-Gesetz“) nimmt das ZCB als nationale Cybersicherheitszertifizierungsbehörde die folgenden gesetzlichen Aufgaben wahr:

1. Ausstellung von europäischen Cybersicherheitszertifikaten und Bearbeitung von Beschwerden;
2. Überwachung der Inhaber von europäischen Cybersicherheitszertifikaten, der Aussteller von EU-Konformitätserklärungen und der Konformitätsbewertungsstellen und gegebenenfalls Verhängung von Sanktionen;
3. Teilnahme an der Europäischen Gruppe für Cybersicherheitszertifizierung;
4. Zusammenarbeit mit anderen Behörden.

Gemäß der Verordnung (EU) 2021/887 des Europäischen Parlaments und des Rates vom 20. Mai 2021 zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren nimmt das ZCB als nationales Koordinierungszentrum die folgenden gesetzlichen Aufgaben wahr:

1. Das ZCB fungiert als Ansprechpartner auf nationaler Ebene im Rahmen der oben genannten Verordnung;
2. es stellt Fachwissen für die strategischen Aufgaben bereit und leistet einen aktiven Beitrag zu den in der oben genannten Verordnung erwähnten strategischen Aufgaben;
3. es fördert und erleichtert die Beteiligung der Zivilgesellschaft, der Industrie, insbesondere von Start-up-Unternehmen und KMU, von Wissenschaft und Forschung und anderer Interessenträger auf nationaler Ebene an grenzübergreifenden Projekten und Cybersicherheitsmaßnahmen, die im Rahmen der einschlägigen Programme der Union finanziert werden, und ermutigen diese zur Teilnahme;
4. es stellt technische Hilfe für Interessenträger bereit, indem sie diese in der Antragsphase bei Projekten, die das Kompetenzzentrum im Rahmen seines Auftrags und seiner Ziele verwaltet, unterstützen;
5. es bemüht sich um die Schaffung von Synergien mit einschlägigen Tätigkeiten auf nationaler, regionaler und lokaler Ebene, wie etwa der nationalen Forschungs-, Entwicklungs- und Innovationspolitik im Bereich der Cybersicherheit, insbesondere der Politikbereiche, die in den nationalen Cybersicherheitsstrategien aufgeführt sind;
6. es führt spezifische Maßnahmen durch, für die das Kompetenzzentrum Finanzhilfen gewährt hat;
7. es arbeitet mit den nationalen Behörden im Hinblick auf einen möglichen Beitrag zur Förderung und Verbreitung von Schulungsprogrammen im Bereich Cybersicherheit zusammen;
8. es fördert und verbreitet die einschlägigen Ergebnisse der Arbeit des Netzwerks, der Kompetenzgemeinschaft und des Kompetenzzentrums auf nationaler, regionaler oder lokaler Ebene;
9. es prüft die Anträge von Einrichtungen mit Sitz in Belgien auf Aufnahme in die Kompetenzgemeinschaft;
10. es unterstützt und fördert die Beteiligung einschlägiger Einrichtungen an den Tätigkeiten des Kompetenzzentrums, des Netzwerks und der Kompetenzgemeinschaft und überwacht gegebenenfalls den Umfang der Beteiligung an der Forschung, Entwicklung und Realisierung im Bereich der Cybersicherheit und der Höhe der in diesem Zusammenhang gewährten öffentlichen Finanzhilfen.

Als föderale Behörde kann das ZCB, soweit es nicht über eine Rechtsgrundlage in den vorstehenden Bestimmungen verfügt, Ihre Daten auch zu folgenden Zwecken verarbeiten:

• für die Nutzung seiner Internetseiten;
• für die Nutzung seiner Anwendungen und Tools;
• um seine Besucher zu begrüßen;
• für die Teilnahme an einer seiner Veranstaltungen (vor Ort oder online);
• um Ihre Fragen zu beantworten, Ihnen zu helfen oder Sie zu kontaktieren;
• für seine Personalverwaltung;
• für die Verwaltung seiner öffentlichen Aufgaben, Vereinbarungen, usw.

4. Auf welcher Rechtsgrundlage verwenden wir Ihre personenbezogenen Daten?

Wir erfassen und verwenden Ihre personenbezogenen Daten soweit erforderlich:

• um einer gesetzlichen Verpflichtung nachzukommen oder um einen unserer gesetzlichen Aufträge auszuführen;
• für die Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung der uns übertragenen öffentlichen Gewalt;
• im Rahmen einer (vor)vertraglichen Beziehung;
• auf der Grundlage Ihrer Einwilligung zu Zwecken, die Ihnen außerhalb unseres gesetzlichen Auftrags vorgeschlagen werden.

5. Welche personenbezogenen Daten verarbeiten wir?

Die von uns verarbeiteten Daten können folgende Elemente umfassen:

• Ihre Identifikationsdaten (Name, Vorname, Foto, Personalausweis, Nationalregisternummer, Name Ihrer Firma, ZDU-Nummer, usw.);
• Ihre Kontaktdaten (Postanschrift, E-Mail-Adresse, Telefonnummer, Anschrift Ihrer Firma, usw.);
• Ihre familiäre Situation (Familienstand, Anzahl der Kinder, usw.); 
• Informationen zu Ihrer Ausbildung und Beschäftigung (Berufsbezeichnung, Lebenslauf, usw.);
• Daten über Ihre Interaktionen mit uns über unsere Websites, unsere Anwendungen, Telefonanrufe, E-Mails, Interviews (Ihre IP-Adresse, IP-Adressbereich, Domainnamen, Sprache, Cookies, Metadaten, usw.);
• Ihre Daten im Zusammenhang mit der Videoüberwachung privater, nicht öffentlich zugänglicher Orte (aus Sicherheitsgründen, wenn Sie unsere Büros besuchen);
• Ihre Daten im Zusammenhang mit Verwaltungssanktionen.

Die von uns verarbeiteten Daten können direkt bei Ihnen oder aus anderen Quellen zur Überprüfung oder Ergänzung unserer Datenbanken angefordert worden sein.

6. An wen geben wir gegebenenfalls Ihre personenbezogenen Daten weiter?

Die Sie betreffenden Daten werden vertraulich und sicher verarbeitet, um Ihre personenbezogenen Daten zu schützen.

Gelegentlich setzen wir externe Dienstleister ein, die als Subunternehmer ebenfalls die DSGVO und unsere vertraglichen Bestimmungen einhalten müssen. Diese Dienstleister dürfen Ihre Daten nicht für andere als die vom ZCB festgelegten Zwecke verarbeiten.

Ihre Daten können möglicherweise an andere Behörden bzw. Dienststellen weitergegeben werden, falls dies für die Erfüllung ihrer Aufgaben im öffentlichen Interesse erforderlich ist.

7. Wie schützen wir Ihre Daten?

Das ZCB und seine Dienstleister treffen geeignete technische und organisatorische Maßnahmen, um zu gewährleisten, dass das Sicherheitsniveau Ihrer personenbezogenen Daten risikoadäquat ist.

Insbesondere werden Ihre Daten vor unbefugtem Zugriff, unbefugter Nutzung, Verlust und unbefugter Änderung geschützt.

8. Wie lange bewahren wir Ihre personenbezogenen Daten auf?

Wir bewahren Ihre personenbezogenen Daten nicht länger auf, als dies für die Zwecke ihrer Verarbeitung erforderlich ist, es sei denn, die Aufbewahrung ist für andere grundlegende Zwecke erforderlich, beispielsweise für die Erfüllung unserer gesetzlichen Verpflichtungen, die Bearbeitung von Beschwerden oder die Beilegung von Streitigkeiten.

Die maximale Aufbewahrungsfrist beträgt im Prinzip:

• für Ihre IP-Adresse: 24 Stunden, es sei denn, Ihre IP-Adresse wird vom ZCB im Rahmen eines Phishing-Versuchs verarbeitet, um die betrügerische Website zu identifizieren und die erforderlichen Maßnahmen zur Strafverfolgung zu ergreifen. In diesem Fall kann Ihre IP-Adresse je nach Ereignis für einen Zeitraum von einer (1) Woche bis zu einem (1) Monat gespeichert werden (z.B.: Schwierigkeiten bei der Identifizierung der Website, große Anzahl von Phishing-Versuchen für dieselbe Website und verschiedene Benutzer, usw.);
• für Cookies: Diese Frist wird in Anhang II der Cookie-Richtlinie ausführlich beschrieben;
• für Mitteilungen über das Kontaktformular und per E-Mail: 12 Monate ab der letzten Mitteilung;
• für Logdateien: 13 Monate ab ihrer Erstellung.

Bei Nutzung der Plattform Safeonweb@Work beträgt die maximale Aufbewahrungsfrist:

• Ihrer Identifikationsdaten (Name, Vorname, E-Mail-Adresse, Anschrift, Telefonnummer, Position, Name des Unternehmens, ZDU-Nummer des Unternehmens, Postanschrift des Unternehmens) so lange wie Sie die Plattform nutzen;
• Ihrer Nationalregisternummer: 5 Jahre ab Ihrer letzten Nutzung der Plattform;
• Ihrer IP-Adresse und Ihres IP-Adressbereichs: 5 Jahre ab Ihrer letzten Nutzung der Plattform;
• Ihres Domainnamens: 5 Jahre ab Ihrer letzten Nutzung der Plattform;
• für Cookies: 13 Monate ab der Erstellung des Cookies;
• für Logdateien: 13 Monate ab ihrer Erstellung.

Wenn Ihre personenbezogenen Daten für grundlegende Zwecke gespeichert bleiben müssen, beispielsweise im Hinblick auf die Einhaltung unserer gesetzlichen Verpflichtungen, die Beilegung von Streitigkeiten und die Bearbeitung von Beschwerden, können diese Aufbewahrungsfristen überschritten werden.

Als föderale Behörde unterliegen wir auch dem Archivgesetz vom 24. Juni 1955 und können daher die in unserem Besitz befindlichen Dokumente nicht einfach vernichten. Darüber hinaus können Dokumente einer öffentlichen Verwaltung, die keinen administrativen bzw. rechtlichen Nutzen mehr haben, immer noch von historischer, wissenschaftlicher oder statistischer Bedeutung sein. Sie werden dann dem Staatsarchiv zugeleitet. Unter diesem Gesichtspunkt werden die in unserem Besitz befindlichen Verwaltungsunterlagen in Zusammenarbeit mit dem Staatsarchiv über einen gewissen Zeitraum hinweg aufbewahrt.

9. Welche Rechte haben Sie und wie können Sie sie wahrnehmen?

Nach Maßgabe der geltenden Vorschriften und vorbehaltlich gesetzlicher Ausnahmeregelungen haben Sie die folgenden Rechte:

• Recht auf Einsichtnahme: Sie können Informationen über die Verarbeitung Ihrer personenbezogenen Daten und eine Kopie dieser Daten erhalten.
• Recht auf Berichtigung: Wenn Ihre personenbezogenen Daten, die sich in unserem Besitz befinden, unrichtig oder unvollständig sind, können Sie diese Daten entsprechend ändern lassen.
• Recht auf Löschung: Sie können verlangen, dass Ihre personenbezogenen Daten gelöscht werden. Ihrem Ersuchen wird jedoch nicht entsprochen, wenn die Verarbeitung Ihrer Daten für uns im Rahmen unseres gesetzlichen Auftrags, zur Erfüllung einer unserer Aufgaben von öffentlichem Interesse bzw. in Ausübung einer uns übertragenen hoheitlichen Aufgabe oder zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist.
• Recht auf Einschränkung der Verarbeitung: Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn Sie von Ihrem Widerspruchsrecht Gebrauch machen, wenn Sie die Richtigkeit der Daten bestreiten, wenn Ihnen deren Verarbeitung unrechtmäßig erscheint oder wenn Sie die Daten zur Geltendmachung, Ausübung oder Untermauerung von Rechtsansprüchen benötigen. Von Ausnahmefällen abgesehen wird die Verarbeitung Ihrer Daten daher für den Zeitraum ausgesetzt, der für die Bearbeitung Ihres Antrags erforderlich ist.
• Widerspruchsrecht: Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einlegen.
• Recht auf Widerruf der Einwilligung: Wenn Ihre personenbezogenen Daten ausschließlich auf der Grundlage Ihrer Einwilligung verarbeitet werden, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen.

Um die Rechte an Ihren persönlichen Daten wahrzunehmen, fügen Sie bitte eine Kopie (Scan oder Foto) Ihres Personalausweises, Reisepasses oder eines ähnlichen Dokuments mit Ihrer Unterschrift bei, auf dem Sie alle Angaben unkenntlich machen können, die zur Überprüfung Ihrer Identität als betroffene Person nicht relevant sind. Sie können auf dieser Kopie auch den Namen der Organisation, das Datum und den Gegenstand Ihres Antrags angeben, so dass dieser später nicht für andere Zwecke verwendet werden kann. Wenn Sie jedoch eine allgemeine Frage haben, brauchen Sie uns diesen Nachweis nicht zu erbringen.

Sie können unserem Datenschutzbeauftragten eine E-Mail oder einen Brief an folgende Kontaktadresse schicken:

Zentrum für Cybersicherheit Belgien (ZCB)

z Hd. Datenschutzbeauftragter

Rue de la Loi/Wetstraat 18

1000 Brüssel

E-Mail: privacy@ccb.belgium.be

Weitere Informationen zum Schutz personenbezogener Daten finden Sie auf der Website der Datenschutzbehörde: https://www.datenschutzbehorde.be.

10. Welche Ausnahmen gibt es bei der Wahrnehmung Ihrer Rechte?

Die Wahrnehmung bestimmter Rechte (siehe vorheriger Punkt) kann aus triftigen Gründen eingeschränkt oder vom ZCB verweigert werden, insbesondere wenn die Verarbeitung Ihrer Daten für die Anwendung bestimmter Rechtsvorschriften erforderlich ist und die Wahrnehmung Ihrer Rechte damit unvereinbar ist.

11. Beschwerden

Wenn Sie nach Kontaktaufnahme mit unserem Datenschutzbeauftragten der Ansicht sind, dass das Zentrum für Cybersicherheit Belgien Ihre personenbezogenen Daten nicht in Übereinstimmung mit den geltenden Vorschriften verarbeitet hat, haben Sie das Recht, eine Beschwerde bei der Datenschutzbehörde einzureichen.

Datenschutzbehörde

Rue de la Presse 35/Drukpersstraat 35

1000 Brüssel

Tel +32 2 274 48 00

Fax +32 2 274 48 35

E-Mail: contact@apd-gba.be

Website: https://www.datenschutzbehorde.be

12. An wen können Sie sich in Bezug auf Ihre personenbezogenen Daten wenden?

Für weitere Informationen über unsere Datenschutzpolitik wenden Sie sich bitte an unseren Datenschutzbeauftragten: privacy@ccb.belgium.be

13. Kann diese Datenschutzerklärung geändert werden?

Wir überprüfen unsere Richtlinien regelmäßig und behalten uns das Recht vor, sie jederzeit anzupassen, um Änderungen unserer Aktivitäten oder neuen gesetzlichen Anforderungen Rechnung zu tragen.

Um Sie über diese Änderungen zu informieren, veröffentlichen wir auf unseren verschiedenen Websites die jeweils aktuelle Version unserer Richtlinien: „www.ccb.belgium.be”, „www.cert.be“, „www.safeonweb.be“, „atwork.safeonweb.be“ bzw. „https://community.ncc.belgium.be/”.

Das Datum der „letzten Aktualisierung“ finden Sie oben auf dieser Datenschutzerklärung, so dass Sie überprüfen können, wann diese zuletzt überarbeitet wurde.