Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32018D1961

    Beschluss (EU) 2018/1961 der Kommission vom 11. Dezember 2018 zur Festlegung interner Vorschriften über die Mitteilung von Informationen an betroffene Personen und die Beschränkung bestimmter Rechte der betroffenen Personen bei der Verarbeitung personenbezogener Daten im Rahmen interner Audittätigkeiten

    C/2018/8587

    ABl. L 315 vom 12.12.2018, p. 35–40 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/dec/2018/1961/oj

    Date of document:
    11/12/2018; Datum der Annahme
    Date of effect:
    11/12/2018; Anwendung Siehe Art. 9
    Date of effect:
    12/12/2018; Inkrafttreten Datum der Veröffentlichung Siehe Art. 9
    Date of end of validity:
    No end date
    Author:
    Europäische Kommission, Interner Auditdienst
    Responsible body:
    IAS
    Form:
    Beschluss
    Treaty:
    Vertrag über die Arbeitsweise der Europäischen Union
    Legal basis:
    Link
    Link
    Link
    Select all documents mentioning this document
    Instruments cited:
    Link

    12.12.2018   

    DE

    Amtsblatt der Europäischen Union

    L 315/35

    BESCHLUSS (EU) 2018/1961 DER KOMMISSION

    vom 11. Dezember 2018

    zur Festlegung interner Vorschriften über die Mitteilung von Informationen an betroffene Personen und die Beschränkung bestimmter Rechte der betroffenen Personen bei der Verarbeitung personenbezogener Daten im Rahmen interner Audittätigkeiten

    DIE EUROPÄISCHE KOMMISSION —

    gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 249 Absatz 1,

    in Erwägung nachstehender Gründe:

    (1)

    Nach Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (1) richtet jedes Unionsorgan das Amt eines Internen Prüfers ein, das unter Einhaltung der einschlägigen internationalen Standards ausgeübt werden muss. In der Kommission ist der am 11. April 2000 gegründete Interne Auditdienst (der „Dienst“) für interne Audittätigkeiten zuständig. Auch in den dezentralen Agenturen der Union sowie sonstigen unabhängigen Einrichtungen, die Beiträge aus dem Unionshaushalt erhalten, übt der Dienst interne Prüfungstätigkeiten aus.

    (2)

    Der Dienst führt die internen Audittätigkeiten gemäß Artikel 117 bis 123 der Verordnung (EU, Euratom) 2018/1046 sowie gemäß seiner Charta durch (2). Zu diesem Zweck genießt der Dienst völlige Unabhängigkeit und hat uneingeschränkten Zugang zu sämtlichen für die Durchführung der internen Audittätigkeiten erforderlichen Informationen aller Tätigkeitsfelder und Dienststellen des betreffenden Unionsorgans.

    (3)

    Der Dienst berät andere Kommissionsdienststellen, Exekutivagenturen sowie sonstige unabhängige Einrichtungen, die Beiträge aus dem Unionshaushalt erhalten, über den Umgang mit Risiken, d.h. über alle Ereignisse oder Probleme, die ein- bzw. auftreten können und sich nachteilig auf das Erreichen der politischen, strategischen oder operativen Ziele der Kommission auswirken können, indem er im Einklang mit Artikel 117 bis 123 der Verordnung (EU, Euratom) 2018/1046 unabhängige Stellungnahmen zur Qualität der Verwaltungs- und Kontrollsysteme und Empfehlungen zur Verbesserung der Bedingungen für die Abwicklung der Vorgänge sowie zur Förderung einer wirtschaftlichen Haushaltsführung abgibt. Folglich stellen die internen Audittätigkeiten des Dienstes in der Regel nicht auf natürliche Personen als solche ab. Personenbezogene Daten im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (3) werden bei den Tätigkeiten des Dienstes jedoch zwangsläufig verarbeitet. Die internen Audittätigkeiten des Dienstes umfassen u.a. die Beurteilung der Angemessenheit und Wirksamkeit der internen Verwaltungssysteme, die Beurteilung der Leistung der Dienststellen bei der Durchführung der Politik, Programme und Maßnahmen sowie die Beurteilung der Effizienz der Systeme der internen Kontrolle und Prüfung, die auf jeden Haushaltsvollzugsvorgang Anwendung finden. Damit tragen sie zur Wahrung eines wichtigen wirtschaftlichen und finanziellen Interesses der Union und der Mitgliedstaaten bei. Der Dienst ist für alle seine Verarbeitungsprozesse nach Artikel 118 und 119 Absatz 2 der Haushaltsordnung verantwortlich.

    (4)

    Die in der Kommission und ihren Exekutivagenturen sowie in den dezentralen Agenturen der Union und sonstigen unabhängigen Einrichtungen durchgeführten internen Audittätigkeiten unterscheiden sich in ihrer Form und ihrem Inhalt von Aufträgen zur Erlangung von Prüfungssicherheit (darunter Risikobewertungen) sowie Beratungsaufträgen bis hin zu Überprüfungen mit begrenztem Umfang und Folgemaßnahmen.

    (5)

    Nach seiner am 21. November 2018 (C(2018)7707) aktualisierten Charta ist der Auditbegleitausschuss ein Beratungsgremium, (4) das die Kommission bei der Erfüllung ihrer in den Verträgen und anderen Rechtsinstrumenten verankerten Verpflichtungen [Verordnung (EU, Euratom) 2018/1046] unterstützt, indem er die Unabhängigkeit des IAS sicherstellt, die Qualität der internen Audittätigkeiten kontrolliert und dafür sorgt, dass die Kommissionsdienststellen den Auditempfehlungen ordnungsgemäß Rechnung tragen und sich diese in angemessenen Folgemaßnahmen niederschlagen. Auf diese Weise trägt der Auditbegleitausschuss insgesamt zur weiteren Verbesserung der Effektivität und Effizienz der Kommission bei der Verwirklichung ihrer Ziele bei und erleichtert die Aufsicht des Kollegiums über die Steuerung, das Risikomanagement und die internen Kontrollmaßnahmen der Kommission. Der Auditbegleitausschuss ist verantwortlich für alle seine Verarbeitungsprozesse nach Artikel 123 der Haushaltsordnung.

    (6)

    Für die Zwecke ihrer Tätigkeiten nach Artikel 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046 verarbeitet die Kommission personenbezogene Daten, die sie von juristischen Personen, natürlichen Personen, Mitgliedstaaten sowie internationalen Einrichtungen und Organisationen erhalten hat, unabhängig davon, ob sie von Amts wegen oder auf der Grundlage eingegangener Informationen handelt. Im Rahmen dieser internen Audittätigkeiten kann der Dienst auch personenbezogene Daten aus öffentlich zugänglichen Quellen, anonymen Quellen oder bekannten Quellen, deren Identität zu schützen ist, verarbeiten.

    (7)

    Die Kommission kann ihrerseits personenbezogene Daten mit den Organen, Einrichtungen und sonstigen Stellen der Union mit den zuständigen Behörden der Mitgliedstaaten sowie mit Drittstaaten und internationalen Organisationen im Einklang mit den einschlägigen internationalen Verträgen oder Kooperationsabkommen austauschen.

    (8)

    Die Verarbeitung personenbezogener Daten im Sinne des Artikels 3 Nummer 3 der Verordnung (EU) 2018/1725 bei internen Audittätigkeiten kann bereits vor der förmlichen Einleitung des Verfahrens durch die Kommission erfolgen und während der gesamten Audittätigkeit sowie nach deren förmlichen Abschluss fortgesetzt werden (z. B. zur Überwachung der Umsetzung der Empfehlungen oder zur Beurteilung der Notwendigkeit neuer interner Audittätigkeiten).

    (9)

    Zu den Kategorien der von der Kommission verarbeiteten personenbezogenen Daten gehören beispielsweise Identifizierungsdaten, Kontaktdaten, berufsbezogene Daten und Daten, die den Gegenstand der Tätigkeit betreffen oder in diesem Zusammenhang übermittelt wurden. Diese Kategorien personenbezogener Daten werden in einem gesicherten elektronischen Umfeld gespeichert, um einen unberechtigten Zugriff oder eine unrechtmäßige Weitergabe von Daten an Personen zu verhindern, die diese nicht kennen müssen. Personenbezogene Daten werden nicht länger als zehn Jahre gespeichert. Am Ende der Aufbewahrungsfrist werden die Informationen, die die interne Audittätigkeit betreffen, einschließlich der personenbezogenen Daten an die historischen Archive der Kommission übermittelt (5) oder vernichtet.

    (10)

    Die Kommission ist bei der Durchführung von internen Audittätigkeiten verpflichtet, die Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten zu achten, die in Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, in Artikel 16 Absatz 1 des Vertrags sowie in der Verordnung (EU) 2018/1725 anerkannt werden. Ferner ist die Kommission verpflichtet, die in den internationalen Standards für das interne Audit verankerten strengen Vorschriften über die Wahrung der Vertraulichkeit im Einklang mit Artikel 117 der Verordnung (EU, Euratom) 2018/1046 einzuhalten.

    (11)

    Unter bestimmten Umständen ist es gleichwohl erforderlich, die in der Verordnung (EU) 2018/1725 festgelegten Rechte der von der Datenverarbeitung betroffenen Personen mit den Anforderungen in Einklang zu bringen, die für die internen Audittätigkeiten, für die Vertraulichkeit des Informationsaustausches mit natürlichen und juristischen Personen und im Hinblick auf die vollständige Wahrung der Grundrechte und Freiheiten anderer von der Datenverarbeitung betroffener Personen gelten. Zu diesem Zweck sieht Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung (EU) 2018/1725 für den Dienst die Möglichkeit vor, die Anwendung der Artikel 14 bis 17, 19, 20 und 35 sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a, soweit dessen Bestimmungen den in den Artikeln 14 bis 17, 19, 20 und 35 der genannten Verordnung festgelegten Rechten und Pflichten entsprechen, zu beschränken.

    (12)

    Zur Gewährleistung der Wirksamkeit interner Audittätigkeiten unter Einhaltung der Standards für den Schutz personenbezogener Daten nach der Verordnung (EU) 2018/1725, die die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (6) ersetzte, ist es erforderlich, interne Vorschriften festzulegen, nach deren Maßgabe die Kommission die Rechte von der Datenbearbeitung betroffener Personen in Übereinstimmung mit Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung (EU) 2018/1725 beschränken kann.

    (13)

    Die internen Vorschriften sollten alle Verarbeitungsvorgänge der Kommission bei der Ausübung ihrer internen Audittätigkeiten abdecken, unabhängig davon, ob sie von Amts wegen oder auf der Grundlage eingegangener Informationen handelt, wenn die Ausübung der Rechte der betroffenen Person die Durchführung von internen Audittätigkeiten gefährden könnte. Diese Vorschriften sollten zudem für alle Verarbeitungsvorgänge gelten, die vor der förmlichen Einleitung eines Auftrags, während des Auftrags sowie während der Überwachung der Folgemaßnahmen im Anschluss an die Ergebnisse durchgeführt werden.

    (14)

    Zur Einhaltung der Artikel 14, 15 und 16 der Verordnung (EU) 2018/1725 unterrichtet die Kommission durch die auf ihrer Website veröffentlichten Datenschutzhinweise alle betroffenen Personen transparent und kohärent über die Tätigkeiten, bei denen die Kommission ihre personenbezogene Daten verarbeitet. Erforderlichenfalls sollte die Kommission zusätzliche Schutzmaßnahmen ergreifen, um sicherzustellen, dass alle betroffenen Personen einzeln und in angemessener Form unterrichtet werden.

    (15)

    Auf der Grundlage von Artikel 25 der Verordnung (EU) 2018/1725 ist die Kommission befugt, die Information der von der Datenverarbeitung betroffenen Personen und die Anwendung anderer Rechte betroffenen Personen zu beschränken, um ihre internen Audittätigkeiten, Audittätigkeiten mitgliedstaatlicher Behörden, ihre Prüfinstrumente und -methoden sowie die Rechte anderer mit ihren internen Audittätigkeiten verbundener Personen zu schützen.

    (16)

    Um eine wirksame Zusammenarbeit aufrechtzuerhalten, kann es außerdem erforderlich sein, dass die Kommission die Anwendung der Rechte der betroffenen Personen beschränkt, um die Verarbeitungsvorgänge der Kommissionsdienststellen, anderer Organen, Einrichtungen und sonstiger Stellen der Union, mitgliedstaatlicher Behörden, internationaler Organisationen sowie des Auditbegleitausschusses zu schützen. Zu diesem Zweck sollte die Kommission die betreffenden Dienststellen, Organe, Einrichtungen, sonstigen Stellen, Behörden und Organisationen sowie den Auditbegleitausschuss zu den Gründen für die Beschränkungen sowie zur Erforderlichkeit und Angemessenheit der Beschränkungen konsultieren.

    (17)

    Die Kommission muss möglicherweise auch die Unterrichtung betroffener Personen und die Anwendung anderer Rechte betroffener Personen im Zusammenhang mit personenbezogenen Daten, die sie von Drittländern oder internationalen Organisationen erhalten hat, beschränken, um mit diesen Ländern oder Organisationen zusammenzuarbeiten und so ein wichtiges Ziel des allgemeinen öffentlichen Interesses der Union zu wahren. Unter bestimmten Umständen können die Interessen oder Grundrechte der betroffenen Person jedoch Vorrang vor dieser Pflicht zur Zusammenarbeit haben.

    (18)

    Die Kommission sollte alle Beschränkungen transparent anwenden und im entsprechenden Verzeichnis eintragen.

    (19)

    Nach Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 können die für die Verarbeitung Verantwortlichen die Unterrichtung über die Gründe für die Anwendung einer Beschränkung auf die betroffene Person zurückstellen, unterlassen oder ablehnen, wenn diese Unterrichtung den Zweck der Beschränkung in irgendeiner Weise gefährden würde. Dies gilt insbesondere für Beschränkungen der in den Artikeln 16 und 35 der Verordnung (EU) 2018/1725 vorgesehenen Rechte.

    (20)

    Werden andere Rechte von betroffenen Personen beschränkt, sollte der Verantwortliche des internen Auditdienstes von Fall zu Fall prüfen, ob durch die Unterrichtung über die angewendete Beschränkung die Wirkung der angewendeten Beschränkung z

    (21)

    Der Datenschutzbeauftragte der Europäischen Kommission sollte eine unabhängige Überprüfung der Anwendung von Beschränkungen vornehmen, um die Einhaltung dieses Beschlusses zu gewährleisten.

    (22)

    Die Verordnung (EU) 2018/1725 ersetzt die Verordnung (EG) Nr. 45/2001 ohne Übergangsfrist ab dem Datum ihres Inkrafttretens. Die Möglichkeit, bestimmte Rechte zu beschränken, wurde in der Verordnung (EG) Nr. 45/2001 vorgesehen. Um eine Gefährdung der Rechtmäßigkeit interner Audittätigkeiten zu vermeiden, sollte dieser Beschluss ab dem Datum des Inkrafttretens der Verordnung (EU) 2018/1725 gelten.

    (23)

    Der Europäische Datenschutzbeauftragte hat am 27. November 2018 eine Stellungnahme abgegeben —

    HAT FOLGENDEN BESCHLUSS ERLASSEN:

    Artikel 1

    Gegenstand und Anwendungsbereich

    (1)   In diesem Beschluss werden die Vorschriften festgelegt, nach denen die Kommission die betroffenen Personen über die Verarbeitung von deren Daten nach den Artikeln 14, 15 und 16 der Verordnung (EU) 2018/1725 im Rahmen ihrer internen Audittätigkeiten nach Artikel 117 bis 123 der Verordnung (EU, Euratom) 2018/1046 unterrichtet.

    Ferner werden die Bedingungen festgelegt, unter denen die Kommission die Anwendung der Artikel 4, 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 nach deren Artikel 25 Absatz 1 Buchstabe c, g und h beschränken kann.

    (2)   Dieser Beschluss gilt für die Verarbeitung personenbezogener Daten durch die Kommission für die Zwecke der oder im Zusammenhang mit den Tätigkeiten zur Erfüllung ihrer Aufgaben nach den Artikeln 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046.

    (3)   Dieser Beschluss gilt zudem für die Verarbeitung personenbezogener Daten innerhalb der Kommission, insofern diese personenbezogene Daten verarbeitet, die in Informationen enthalten sind, zu deren Verarbeitung die Kommission für die Zwecke der oder im Zusammenhang mit den im vorliegenden Artikel genannten Tätigkeiten verpflichtet ist.

    Artikel 2

    Anwendbare Ausnahmen und Beschränkungen

    (1)   Die Kommission prüft bei der Erfüllung ihrer Pflichten in Bezug auf die Rechte der betroffenen Personen nach der Verordnung (EU) 2018/1725, ob eine der in der genannten Verordnung festgelegten Ausnahmen Anwendung findet.

    (2)   Die Kommission kann vorbehaltlich der Artikel 3 bis 7 dieses Beschlusses die Anwendung der Artikel 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a dieser Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 17, 19, 20 und 35 dieser Verordnung vorgesehenen Rechten und Pflichten entsprechen, beschränken, falls die Wahrnehmung dieser Rechte und Pflichten den Zweck der Tätigkeiten der Kommission nach Artikel 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046 – unter anderem durch Offenlegung ihrer Prüfinstrumente und -methoden – gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.

    (3)   Die Kommission kann vorbehaltlich der Artikel 3 bis 7 die in Absatz 2 genannten Rechte und Pflichten in Bezug auf personenbezogene Daten, die sie von anderen Organen, Einrichtungen und sonstigen Stellen der Union, zuständigen Behörden von Mitgliedstaaten oder Drittländern oder von internationalen Organisationen erhalten hat, beschränken:

    a)

    falls die Wahrnehmung dieser Rechte und Pflichten durch andere Organe, Einrichtungen und sonstige Stellen der Union auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder nach Kapitel IX der genannten Verordnung oder nach der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates (7) oder der Verordnung (EU) 2017/1939 des Rates (8) beschränkt werden könnte;

    b)

    falls die Wahrnehmung dieser Rechte und Pflichten durch zuständige Behörden von Mitgliedstaaten auf der Grundlage in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (9) genannter Rechtsakte oder nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (10) beschränkt werden könnte;

    c)

    falls durch die Wahrnehmung dieser Rechte und Pflichten die von der Kommission im Rahmen der Durchführung interner Audittätigkeiten geleistete Zusammenarbeit mit Drittländern oder internationalen Organisationen beeinträchtigt werden könnte.

    Bevor die Kommission in den Fällen nach Unterabsatz 1 Buchstaben a und b Beschränkungen anwendet, hört sie die zuständigen Organe, Einrichtungen und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, der Kommission ist klar, dass die Anwendung einer Beschränkung in einem der unter diesen Buchstaben genannten Rechtsakte vorgesehen ist oder dass eine derartige Anhörung den Zweck ihrer Tätigkeiten nach Artikel 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046 gefährden würde.

    Unterabsatz 1 Buchstabe c findet keine Anwendung, wenn die Interessen, Grundrechte oder Freiheiten der von der Datenverarbeitung betroffenen Personen gegenüber dem Interesse der Kommission an der Zusammenarbeit mit Drittländern oder internationalen Organisationen überwiegen.

    (4)   Die Absätze 1, 2 und 3 gelten unbeschadet der Anwendung anderer Beschlüsse der Kommission zur Festlegung interner Vorschriften über die Unterrichtung der betroffenen Personen und über die Beschränkung bestimmter Rechte nach Artikel 25 der Verordnung (EU) 2018/1725 und Artikel 23 der Geschäftsordnung der Kommission.

    Artikel 3

    Unterrichtung der von der Datenverarbeitung betroffenen Personen

    Die Kommission veröffentlicht auf ihrer Website Datenschutzhinweise, die alle betroffenen Personen über ihre Tätigkeiten informieren, bei denen personenbezogene Daten dieser Personen zum Zweck ihrer Tätigkeiten nach Artikel 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046 verarbeitet werden. Erforderlichenfalls sollte die Kommission sicherstellen, dass alle betroffenen Personen einzeln und in angemessener Form unterrichtet werden.

    Wenn die Kommission die Unterrichtung betroffener Personen, deren Daten für den Zweck ihrer Tätigkeiten nach Artikel 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046 verarbeitet werden, ganz oder teilweise beschränkt, erfasst und registriert sie die Gründe für die Beschränkung nach Artikel 6.

    Artikel 4

    Auskunftsrecht der betroffenen Personen, Recht auf Löschung und Recht auf Einschränkung der Verarbeitung

    (1)   Wenn die Kommission das Auskunftsrecht einer betroffenen Person oder deren Recht auf Löschung oder auf Einschränkung der Verarbeitung nach den Artikeln 17, 19 bzw. 20 der Verordnung (EU) 2018/1725 ganz oder teilweise beschränkt, unterrichtet sie die betroffene Person in ihrer Antwort auf den Antrag auf Auskunft, Löschung oder Einschränkung der Verarbeitung über die Beschränkung und die Hauptgründe hierfür sowie über die Möglichkeit einer Beschwerde beim Europäischen Datenschutzbeauftragten oder eines Rechtsbehelfs beim Gerichtshof der Europäischen Union.

    (2)   Die Unterrichtung über die Gründe für die in Absatz 1 dieses Artikels genannte Beschränkung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn dies dem Zweck der Beschränkung zuwiderliefe.

    (3)   Die Kommission erfasst die Gründe für die Beschränkung nach Artikel 6 dieses Beschlusses.

    (4)   Wenn das Auskunftsrecht ganz oder teilweise beschränkt ist, nimmt die betroffene Person ihr Auskunftsrecht über den Europäischen Datenschutzbeauftragten nach Artikel 25 Absätze 6 bis 8 der Verordnung (EU) 2018/1725 wahr.

    Artikel 5

    Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen

    Wenn die Kommission die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Artikel 35 der Verordnung (EU) 2018/1725 beschränkt, erfasst und registriert sie die Gründe für die Beschränkung nach Artikel 6 dieses Beschlusses.

    Artikel 6

    Erfassung und Registrierung von Beschränkungen

    Die Kommission erfasst die Gründe für Beschränkungen nach diesem Beschluss, einschließlich einer Bewertung der Erforderlichkeit und Angemessenheit der Beschränkung, unter Berücksichtigung aller relevanten Elemente nach Artikel 25 Absatz 2 der Verordnung (EU) 2018/1725.

    Dabei ist anzugeben, inwieweit die Ausübung dieses Rechts den Zweck der Tätigkeiten der Kommission nach Artikel 118 und 119 Absatz 2 der Verordnung (EU, Euratom) 2018/1046 oder der nach Artikel 2 Absatz 2 oder 3 angewandten Beschränkungen gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.

    Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

    Artikel 7

    Dauer der Beschränkungen

    (1)   Die in den Artikeln 3, 4 und 5 dieses Beschlusses genannten Beschränkungen gelten, solange die Gründe dafür vorliegen.

    (2)   Wenn die in den Artikeln 3 oder 5 dieses Beschlusses genannten Gründe für die Beschränkung nicht mehr vorliegen, hebt die Kommission die Beschränkungen auf und unterrichtet die betroffene Person über die Hauptgründe für die Beschränkung. Gleichzeitig teilt die Kommission der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

    (3)   Die Kommission überprüft die Anwendung einer in den Artikeln 3 und 5 dieses Beschlusses genannten Beschränkung alle sechs Monate nach deren Einführung sowie vor und nach dem Abschluss der jeweiligen internen Audittätigkeit. Danach prüft die Kommission alljährlich, inwieweit es erforderlich ist, eine Beschränkung oder Zurückstellung aufrechtzuerhalten.

    Artikel 8

    Überprüfung durch den Datenschutzbeauftragten der Europäischen Kommission

    Der Datenschutzbeauftragte der Europäischen Kommission wird unverzüglich unterrichtet, wenn die Rechte der betroffenen Personen nach diesem Beschluss eingeschränkt werden. Auf Anfrage des Datenschutzbeauftragten verschafft die Kommission diesem Zugang zu den erfassten Angaben und sonstigen Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten.

    Der Datenschutzbeauftragte kann eine Überprüfung der Beschränkungen fordern. Der Datenschutzbeauftragte wird über das Ergebnis der Überprüfung schriftlich unterrichtet.

    Artikel 9

    Inkrafttreten

    Dieser Beschluss tritt am Tag seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

    Er gilt ab dem 11. Dezember 2018.

    Brüssel, den 11. Dezember 2018

    Für die Kommission

    Der Präsident

    Jean-Claude JUNCKER

    (1)  Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).

    (2)  C(2017) 4435 final

    (3)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295, vom 21.11.2018, S. 39).

    (4)  Eingerichtet im Oktober 2000, SEK(2000) 1808/3.

    (5)  Die Aufbewahrung der Akten in der Kommission wird durch die gemeinsame Aufbewahrungsliste geregelt; in diesem Rechtsdokument (die letzte Fassung ist SEC(2012) 713) in Form eines Zeitplans sind die Aufbewahrungsfristen für die verschiedenen Arten von Kommissionsakten festgelegt.

    (6)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18.Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

    (7)  Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53).

    (8)  Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).

    (9)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

    (10)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

    Top