16.4.2018

DE

Amtsblatt der Europäischen Union

L 96/1

---

DELEGIERTE VERORDNUNG (EU) 2018/573 DER KOMMISSION

vom 15. Dezember 2017

über Kernelemente der im Rahmen eines Rückverfolgbarkeitssystems für Tabakerzeugnisse zu schließenden Datenspeicherungsverträge

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Richtlinie 2014/40/EU des Europäischen Parlaments und des Rates vom 3. April 2014 zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Herstellung, die Aufmachung und den Verkauf von Tabakerzeugnissen und verwandten Erzeugnissen und zur Aufhebung der Richtlinie 2001/37/EG (1), insbesondere auf Artikel 15 Absatz 12,

in Erwägung nachstehender Gründe:

(1)

Artikel 15 Absatz 8 der Richtlinie 2014/40/EU sieht vor, dass im Rahmen des in der Durchführungsverordnung (EU) 2018/574 der Kommission (2) genauer festgelegten Rückverfolgbarkeitssystems für Tabakerzeugnisse jeder Hersteller und jeder Importeur mit einem unabhängigen dritten Anbieter einen Vertrag über das Hosting der Daten bezüglich seiner Tabakerzeugnisse schließt. Mit Artikel 15 Absatz 12 der Richtlinie 2014/40/EU wird der Kommission die Befugnis übertragen, die Kernelemente dieser Verträge festzulegen.

(2)

Um das reibungslose Funktionieren des Rückverfolgbarkeitssystems für Tabakerzeugnisse im Allgemeinen und die Interoperabilität des Repository-Systems im Besonderen sicherzustellen, sollten die Kernelemente der Datenspeicherungsverträge festgelegt werden, darunter die Spezifikationen bezüglich Operabilität, Verfügbarkeit und Leistungsfähigkeit der von den Datenspeicherungsanbietern zu erbringenden Dienste. Für das reibungslose, kontinuierliche Funktionieren des Rückverfolgbarkeitssystems und des darin integrierten Datenspeicherungssystems ist es nötig, dass die Anbieter für den Fall, dass ein Hersteller oder Importeur seinen Anbieter wechselt, klare Anforderungen hinsichtlich der Datenportabilität festlegen. Zu diesem Zweck sollten die Verträge Bestimmungen enthalten, denen zufolge eine bereits auf dem Markt verfügbare und in der Branche übliche Technologie genutzt werden muss, um eine reibungslose, unterbrechungsfreie Datenübertragung zwischen derzeitigem und neuem Anbieter sicherzustellen.

(3)

Damit das erforderliche Maß an Flexibilität gewährleistet ist, sollte es möglich sein, den Datenspeicherungsanbieter gegen Zahlung einer Gebühr mit zusätzlichen technischen Diensten in Verbindung mit dem Betrieb des primären Repository — wie etwa die Erweiterung der operativen Funktionalität der Benutzerschnittstellen — zu beauftragen, vorausgesetzt, dass die zusätzlichen Dienste zum ordnungsgemäßen Funktionieren des Repository-Systems beitragen und nicht gegen eine Anforderung der Durchführungsverordnung (EU) 2018/574 verstoßen. Daher sollte der Vertrag eine solche Option vorsehen.

(4)

Um den unabhängigen Betrieb des Rückverfolgbarkeitssystems jederzeit sicherzustellen, sollte die Kommission die Möglichkeit haben, die Zulassung eines Datenspeicherungsanbieters, mit dem bereits ein Vertrag geschlossen wurde, zu widerrufen, wenn die Eignung eines Anbieters im Rahmen einer Bewertung oder Neubewertung seiner technischen Leistungsfähigkeit oder seiner Unabhängigkeit negativ beurteilt wird.

(5)	Um die reibungslose Organisation des laufenden Systembetriebs zu gewährleisten, sollten die Anbieter primärer Repositories miteinander sowie mit den zuständigen Behörden der Mitgliedstaaten und mit der Kommission zusammenarbeiten —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Gegenstand

In dieser Verordnung werden die Kernelemente festgelegt, die in die Datenspeicherungsverträge gemäß Artikel 15 Absatz 8 der Richtlinie 2014/40/EU aufzunehmen sind.

Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten zusätzlich zu den Begriffsbestimmungen in der Richtlinie 2014/40/EU und der Durchführungsverordnung (EU) 2018/574 folgende Begriffsbestimmungen:

1.	„Vertrag“ bezeichnet eine vertragliche Vereinbarung zwischen einem Hersteller oder Importeur von Tabakerzeugnissen und einem Anbieter von Datenspeicherungssystemen gemäß Artikel 15 Absatz 8 der Richtlinie 2014/40/EU und der Durchführungsverordnung (EU) 2018/574;

2.	„Anbieter“ bezeichnet eine juristische Person, mit der ein Hersteller oder Importeur von Tabakerzeugnissen einen Vertrag zum Zweck der Einrichtung und des Betriebs seines primären Repository und der zugehörigen Dienste schließt;

3.	„Datenportabilität“ bezeichnet die Fähigkeit, Daten unter Einsatz einer bereits marktüblichen und in der Branche weithin genutzten Technologie zwischen verschiedenen Repositories zu verschieben.

Artikel 3

Zentrale Vertragspflichten

(1)   Der Vertrag legt die wichtigsten vom Anbieter zu erbringenden Dienste fest, darunter:

1.	Einrichtung und Betrieb eines primären Repository gemäß Artikel 26 der Durchführungsverordnung (EU) 2018/574;

2.	falls der Betreiber des primären Repository als Anbieter des sekundären Repository benannt wird: Einrichtung und Betrieb des sekundären Repository und des Routers gemäß den Artikeln 27, 28 und 29 der Durchführungsverordnung (EU) 2018/574;

3.	auf Anfrage Erbringung weiterer zusätzlicher technischer Dienste in Verbindung mit dem Betrieb des primären Repository, die zum ordnungsgemäßen Funktionieren des Repository-Systems beitragen.

(2)   Zur Festlegung der unter Absatz 1 Nummern 1 und 2 genannten wichtigsten Dienste enthält der Vertrag Spezifikationen bezüglich Operabilität, Verfügbarkeit und Leistungsfähigkeit der Dienste, wobei die in dieser Verordnung und in Kapitel V der Durchführungsverordnung (EU) 2018/574 vorgesehenen Mindestanforderungen zu erfüllen sind.

Artikel 4

Technische Kompetenz

Der Vertrag legt fest, dass die Anbieter gegenüber dem Hersteller oder Importeur eine schriftliche Erklärung dahingehend abgeben, dass sie über die nötige technische und operative Kompetenz zur Erbringung der in Artikel 3 genannten Dienste verfügen oder auf diese Kompetenz zurückgreifen können und die Anforderungen in Kapitel V der Durchführungsverordnung (EU) 2018/574 erfüllen.

Artikel 5

Verfügbarkeit des primären Repository

(1)   Der Vertrag legt für das primäre Repository eine garantierte monatliche effektive Betriebszeit und Verfügbarkeit von 99,5 % fest.

(2)   Der Vertrag legt fest, dass der Anbieter geeignete Back-up-Mechanismen zur Vermeidung des Verlusts von Daten nutzt, die zum Zeitpunkt einer Nichtverfügbarkeit des primären Repository gespeichert, empfangen oder übertragen werden.

Artikel 6

Zugangsrechte

Der Vertrag enthält die Anforderungen hinsichtlich der Gewährung des physischen und des virtuellen Zugangs zum primären Repository — auf Server- und auf Datenbankebene — für nationale Administratoren der Mitgliedstaaten, für die Kommission und für benannte externe Prüfer gemäß Artikel 25 der Durchführungsverordnung (EU) 2018/574.

Artikel 7

Vergabe von Unteraufträgen

(1)   Sieht der Vertrag vor, dass der Anbieter bestimmte Vertragspflichten einem Unterauftragnehmer übertragen kann, so muss eine Bestimmung enthalten sein, die besagt, dass die primäre Verantwortung des Anbieters für die Vertragserfüllung von dem Untervertrag unberührt bleibt.

(2)   Des Weiteren enthält der Vertrag folgende Anforderungen an den Anbieter:

a)	Gewährleistung, dass der vorgeschlagene Unterauftragnehmer über die erforderliche technische Kompetenz verfügt und die in Artikel 35 der Durchführungsverordnung (EU) 2018/574 genannten Anforderungen bezüglich der Unabhängigkeit erfüllt;

b)	Übermittlung einer Kopie der in Artikel 8 dieser Verordnung genannten Erklärung, die von dem (den) betreffenden Unterauftragnehmer(n) unterzeichnet ist, an die Kommission.

Artikel 8

Rechtliche und finanzielle Unabhängigkeit

Der Vertrag legt fest, dass die Anbieter — und gegebenenfalls ihre Unterauftragnehmer — bei Abschluss des Datenspeicherungsvertrags eine schriftliche Erklärung gegenüber dem Hersteller oder Importeur dahingehend abgeben, dass sie die in Artikel 35 der Durchführungsverordnung (EU) 2018/574 genannten Anforderungen bezüglich rechtlicher und finanzieller Unabhängigkeit erfüllen.

Artikel 9

Datenschutz und Vertraulichkeit

(1)   Der Vertrag legt fest, dass der Anbieter alle geeigneten Maßnahmen trifft, die zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher im Rahmen des Vertrags gespeicherter Daten erforderlich sind. Zu diesen Maßnahmen gehören administrative, technische und physische Sicherheitskontrollen.

(2)   Der Vertrag legt fest, dass im Rahmen des Vertrags genutzte personenbezogene Daten im Einklang mit der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (3) verarbeitet werden.

Artikel 10

Informationssicherheitsmanagement

Der Vertrag legt fest, dass die Anbieter eine Erklärung darüber abgeben, dass das primäre Repository und — gegebenenfalls — das sekundäre Repository nach den international anerkannten Standards für das Informationssicherheitsmanagement verwaltet werden. Es wird davon ausgegangen, dass nach ISO/IEC 27001:2013 zertifizierte Anbieter diese Standards erfüllen.

Artikel 11

Kosten

Der Vertrag legt fest, dass die Kosten, die den Herstellern oder Importeuren von den Anbietern in Rechnung gestellt werden, gemäß Artikel 30 der Durchführungsverordnung (EU) 2018/574 fair und vertretbar zu sein haben und im Verhältnis stehen müssen zu

a)	den erbrachten Diensten und

b)	der Zahl individueller Erkennungsmerkmale, die während eines gegebenen Zeitraums vom betreffenden Hersteller oder Importeur beantragt werden.

Artikel 12

Beteiligung am sekundären Repository-System

(1)   Der Vertrag legt fest, dass sich der Anbieter an der Einrichtung des sekundären Repository-Systems beteiligt (wenn das sekundäre System bei Vertragsabschluss noch nicht eingerichtet ist), sofern dies nach den Bestimmungen des Kapitels V der Durchführungsverordnung (EU) 2018/574 erforderlich ist.

(2)   Der Vertrag enthält eine Bestimmung, die es den Anbietern erlaubt, sich von den Herstellern und Importeuren von Tabakerzeugnissen die Kosten erstatten zu lassen, die im Zusammenhang mit der Einrichtung, dem Betrieb und der Instandhaltung des sekundären Repository und des Routers gemäß Kapitel V der Durchführungsverordnung (EU) 2018/574 entstehen.

Artikel 13

Vertragsdauer

Die Vertragsdauer wird auf mindestens fünf Jahre festgelegt, wobei die Möglichkeit einer Verlängerung besteht, sofern die Vertragsparteien zustimmen und der Anbieter weiterhin die Anforderungen der Richtlinie 2014/40/EU und der Durchführungsverordnung (EU) 2018/574 erfüllt.

Artikel 14

Kommunikation mit anderen Parteien

Der Vertrag legt fest, dass die Anbieter miteinander sowie mit den zuständigen Behörden der Mitgliedstaaten in dem Umfang zusammenarbeiten, wie es für die Gewährleistung einer reibungslosen Organisation des laufenden Betriebs des Repository-Systems nötig ist.

Artikel 15

Prüfungen

(1)   Der Vertrag legt Bedingungen fest, die es externen, von der Kommission zugelassenen Prüfern ermöglichen, gemäß Artikel 15 Absatz 8 der Richtlinie 2014/40/EU angekündigte und unangekündigte Prüfungen in Bezug auf das primäre Repository und gegebenenfalls das sekundäre Repository vorzunehmen, einschließlich einer Beurteilung, ob der Anbieter und gegebenenfalls seine Unterauftragnehmer die einschlägigen rechtlichen Anforderungen erfüllen.

(2)   Der Vertrag legt fest, dass den externen Prüfern für die Dauer der Prüfung uneingeschränkter physischer und virtueller Zugang zum primären und gegebenenfalls zum sekundären Repository sowie zu den zugehörigen Diensten gewährt wird.

Artikel 16

Haftung

Der Vertrag legt Bedingungen fest, aus denen die Haftung der Parteien nach geltendem Recht hervorgeht, auch im Hinblick auf direkte und indirekte Schäden, die im Rahmen des Vertrags entstehen können. Unbeschadet des geltenden Rechts legt der Vertrag außerdem fest, dass es im Fall eines Verstoßes gegen das Vertraulichkeitsgebot oder gegen die Datenschutzvorschriften keine Haftungsbeschränkung gibt.

Artikel 17

Beendigung des Vertrags

(1)   Der Vertrag legt Bedingungen bezüglich der Beendigung des Vertrags nach geltendem Recht fest. Für den Fall der Beendigung legt der Vertrag fest, dass die den Vertrag beendigende Partei die Kommission gemäß den Verfahrensvorschriften in Anhang I der Durchführungsverordnung (EU) 2018/574 in Kenntnis setzt.

(2)   Der Vertrag legt fest, dass die Parteien eine Mindestkündigungsfrist von fünf Monaten einhalten.

Abweichend von Absatz 1 legt der Vertrag fest, dass Hersteller und Importeure den Vertrag in folgenden Fällen unverzüglich beenden:

a)	bei einem schwerwiegenden Verstoß des Anbieters gegen seine Vertragspflichten,

b)	bei Insolvenz oder drohender Insolvenz des Anbieters nach geltendem Recht.

(3)   Für die Zwecke von Absatz 2 Buchstabe a gilt es als schwerwiegender Verstoß,

a)

wenn der Anbieter seinen Vertragspflichten nicht nachkommt oder die vertraglich festgelegten Dienste nicht erbringt, die für das reibungslose Funktionieren des Rückverfolgbarkeitssystems entscheidend sind; dazu gehört insbesondere die Nichterfüllung der Anforderungen des Kapitels V der Durchführungsverordnung (EU) 2018/574;

b)

wenn ein Anbieter die in Artikel 35 Absatz 2 der Durchführungsverordnung (EU) 2018/574 genannten Anforderungen bezüglich rechtlicher und finanzieller Unabhängigkeit nicht mehr erfüllt und die Erfüllung der Anforderungen bis zum Ablauf der in Artikel 35 Absatz 6 der Durchführungsverordnung (EU) 2018/574 genannten Frist nicht nachgewiesen werden konnte.

Artikel 18

Aussetzung von Diensten

Der Vertrag legt fest, dass die Aussetzung von Diensten im Fall verspäteter Zahlungen eines Herstellers oder Importeurs an den Anbieter verboten ist, es sei denn, die endgültige Zahlungsfrist wird um mindestens 30 Tage überschritten.

Artikel 19

Datenportabilität

(1)   Der Vertrag legt fest, dass die Anbieter die vollständige Datenportabilität gewährleisten, wenn ein Hersteller oder Importeur mit einem neuen Anbieter einen Vertrag über den Betrieb seines primären Repository schließt. Der derzeitige Anbieter überlässt dem neuen Anbieter vor dem Datum der Vertragsbeendigung eine aktuelle Kopie sämtlicher im primären Repository gespeicherten Daten. Etwaige nach dieser Übergabe durchgeführte Updates der Daten werden unverzüglich zum neuen Anbieter migriert.

(2)   Zur Gewährleistung der Betriebskontinuität umfasst der Vertrag einen Ausstiegsplan mit dem Verfahren, das zu befolgen ist, wenn der Vertrag beendet wird und der Hersteller oder Importeur einen Vertrag mit einem neuen Anbieter schließt. Der Plan umfasst die Anforderung an den derzeitigen Anbieter, seine Dienste so lang zu erbringen, bis der neue Anbieter den Betrieb aufnimmt.

(3)   Der Vertrag enthält Bestimmungen dahingehend, dass der derzeitige Anbieter nach der Übergabe an den neuen Anbieter kein Recht hat, Daten, Informationen oder sonstiges erforderliches Material im Zusammenhang mit dem primären Repository zu behalten.

Artikel 20

Anzuwendendes Recht und gerichtliche Zuständigkeit

(1)   Der Vertrag unterliegt dem Recht eines der Mitgliedstaaten der Europäischen Union, wie von den Vertragsparteien vereinbart.

(2)   Der Vertrag unterliegt der Gerichtsbarkeit eines der Mitgliedstaaten der Europäischen Union, wie von den Vertragsparteien vereinbart.

Artikel 21

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

---

(1)  ABl. L 127 vom 29.4.2014, S. 1.

(2)  Durchführungsverordnung (EU) 2018/574 der Kommission vom 15. Dezember 2017 über technische Standards für die Errichtung und den Betrieb eines Rückverfolgbarkeitssystems für Tabakerzeugnisse (siehe Seite 7 dieses Amtsblatts).

(3)  Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

---