(1)   In diesem Beschluss werden die Vorschriften für die Bedingungen festgelegt, unter denen das ECDC im Rahmen seiner in Absatz 2 dargelegten Verfahren die Anwendung der Rechte gemäß Artikel 14 bis 21, 35 und 36 sowie Artikel 4 davon unter Beachtung von Artikel 25 der Verordnung (EU) 2018/1725 beschränken kann.

(2)   Im Rahmen der administrativen Tätigkeit des ECDC gilt dieser Beschluss für Vorgänge zur Verarbeitung personenbezogener Daten durch das ECDC zum Zweck der Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, ersten Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, Meldungen von Missständen, (formellen und informellen) Verfahren in Bezug auf Mobbing und sexuelle Belästigung, der Bearbeitung von internen und externen Beschwerden, der Durchführung von internen Prüfungen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725, intern oder extern abgewickelten (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen und in Bezug auf den Umgang mit Personalakten von Mitarbeitern (wenn diese Daten psychologischer oder psychiatrischer Art enthalten können).

(3)   Die betroffenen Datenkategorien sind harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikation- und Verkehrsdaten) und/oder weiche Daten (fallbezogene „subjektive“ Daten wie Beweisführung, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(4)   Wenn das ECDC seine Pflichten bezüglich Rechten betroffener Personen gemäß Verordnung (EU) 2018/1725 erfüllt, ist zu berücksichtigen, ob etwaige der in dieser Verordnung vorgesehenen Ausnahmen Geltung haben.

(5)   Vorbehaltlich der in dem Beschluss festgelegten Bedingungen können die Beschränkungen für die folgenden Rechte gelten: Recht auf Unterrichtung der betroffenen Personen, Auskunft und Berichtigung von personenbezogenen Daten, Löschung, Einschränkung der Verarbeitung, Recht zu Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an die betroffene Person oder Vertraulichkeit von Kommunikationen.

(1)   Zur Vermeidung von Verletzungen des Schutzes personenbezogener Daten, Datenverlusten oder unbefugtem Zugang zu personenbezogenen Daten bestehen die folgenden Garantien:

(2)   Der Verantwortliche ist das ECDC, das von seinem Direktor vertreten wird, der die Funktion des Verantwortlichen delegieren kann. Betroffene Personen werden im Wege der auf der Website und/oder im Intranet des ECDC veröffentlichten Datenschutzmitteilungen oder Aufzeichnungen über den delegierten Verantwortlichen informiert.

(3)   Der in Artikel 1 Absatz 3 genannte Speicherungszeitraum der personenbezogenen Daten ist nicht länger als für die Datenverarbeitungszwecke notwendig und angemessen ist. Auf jeden Fall ist er nicht länger als der in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen gemäß Artikel 5 Absatz 1 angegebene Speicherungszeitraum.

(4)   Wenn das ECDC eine Beschränkung in Erwägung zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Person insbesondere gegen die Risiken für die Rechte und Freiheiten anderer betroffener Personen und die Gefahr der Aufhebung der Wirkung von ECDC-Ermittlungen oder -Verfahren beispielsweise durch das Vernichten von Beweismitteln abgewogen. Die Risiken für die Rechte und Freiheiten der betroffenen Person betreffen in erster Linie Reputationsrisiken und Risiken für das Verteidigungsrecht und den Anspruch auf rechtliches Gehör, ohne darauf beschränkt zu sein.

(1)   Beschränkungen werden von dem ECDC nur vorgenommen, um Folgendes zu garantieren:

(2)   Als eine spezifische Anwendung der in obigem Absatz 1 beschriebenen Zwecke kann das ECDC unter folgenden Umständen Beschränkungen in Bezug auf personenbezogene Daten, die mit Kommissionsdienststellen oder anderen Organen, Einrichtungen, Agenturen und Ämtern der Union, zuständigen Behörden von Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden, auferlegen:

Vor der Auflage von Beschränkungen unter den in Punkten a und b des ersten Unterabsatzes genannten Umständen konsultiert das ECDC die relevanten Kommissionsdienststellen, Organe, Einrichtungen, Agenturen, Ämter der Union oder die zuständigen Behörden von Mitgliedstaaten, es sei denn, für das ECDC ist klar, dass die Auflage einer Beschränkung durch einen der in diesen Punkten genannten Rechtsakte vorgesehen ist.

(3)   Jede Beschränkung muss eine notwendige und verhältnismäßige Maßnahme darstellen und die Risiken für die Rechte und Freiheiten betroffener Personen und den Wesensgehalt der Grundrechte und -freiheiten in einer demokratischen Gesellschaft achten.

(4)   Wenn die Auflage einer Beschränkung in Erwägung gezogen wird, wird auf der Grundlage der vorliegenden Vorschriften eine Prüfung von Notwendigkeit und Verhältnismäßigkeit vorgenommen. Zu Rechenschaftszwecken wird dies von Fall zu Fall mittels einer internen Beurteilungsmitteilung dokumentiert.

(5)   Sobald die die Beschränkungen rechtfertigenden Umstände nicht mehr vorliegen, werden diese aufgehoben. Insbesondere wenn gilt, dass die Wirkung der auferlegten Beschränkung durch die Ausübung des beschränkten Rechts nicht mehr aufgehoben wird oder die Rechte oder Freiheiten anderer betroffener Personen dadurch nicht mehr in Mitleidenschaft gezogen werden.

(1)   Das ECDC informiert seinen Datenschutzbeauftragten („DSB“) unverzüglich, wenn der Verantwortliche in Übereinstimmung mit diesem Beschluss die Geltung von Rechten betroffener Personen beschränkt oder die Beschränkung verlängert. Der Verantwortliche verschafft dem DSB Zugang zu der Aufzeichnung, die die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthält, und dokumentiert das Datum, an dem der DSB informiert wurde, in der Aufzeichnung.

(2)   Der DSB kann den Verantwortlichen schriftlich dazu auffordern, die Geltung der Beschränkungen zu prüfen. Der Verantwortliche informiert den DSB schriftlich über das Ergebnis der angeforderten Prüfung.

(3)   Der Verantwortliche informiert den DSB, wenn die Beschränkung aufgehoben worden ist.

(1)   In angemessen begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen beschränkt werden:

In die auf der Website und/oder im Intranet des ECDC veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Aufzeichnungen im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, in denen betroffene Personen über ihre Rechte im Rahmen eines gegebenen Verfahrens informiert werden, nimmt das ECDC Informationen über die potenzielle Beschränkung dieser Rechte auf. Die Unterrichtung bezieht sich darauf, welche Rechte beschränkt werden können, die Gründe dafür und die mögliche Dauer.

(2)   Unbeschadet der Bestimmungen von Absatz 3 informiert das ECDC, falls verhältnismäßig, auch alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, einzeln, unverzüglich und schriftlich über ihre Rechte in Bezug auf gegenwärtige oder künftige Beschränkungen.

(3)   Wenn das ECDC die in Absatz 2 erwähnte Bereitstellung von Informationen an die betroffenen Personen gänzlich oder teilweise beschränkt, zeichnet es die Gründe für die Beschränkung und die Rechtsgrundlage gemäß Artikel 3 dieses Beschlusses, einschließlich einer Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung auf.

Die Aufzeichnung und gegebenenfalls die Dokumente, die zugrunde liegende sachliche und rechtliche Elemente enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

(4)   Die in Absatz 3 erwähnte Beschränkung gilt so lange, wie die sie rechtfertigenden Gründe dafür gelten.

Wenn die Gründe für die Beschränkung nicht mehr gelten, informiert das ECDC die betroffene Person über die Hauptgründe, auf denen das Auferlegen einer Beschränkung basiert. Gleichzeitig teilt das ECDC der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Das ECDC prüft das Gelten der Beschränkung alle sechs Monate nach ihrer Auferlegung sowie nach Abschluss der relevanten Ermittlung, des relevanten Verfahrens oder der relevanten Untersuchung. Danach überwacht der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung einer Beschränkung.

(1)   In angemessen begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Auskunftsrecht durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:

Wenn betroffene Personen gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre personenbezogenen Daten im Zusammenhang mit einem oder mehreren spezifischen Fällen oder über einen bestimmten Verarbeitungsvorgang beantragen, begrenzt das ECDC seine Beurteilung des Antrags auf ausschließlich diese personenbezogenen Daten.

(2)   Wenn das ECDC das in Artikel 17 der Verordnung (EU) 2018/1725 genannte Auskunftsrecht gänzlich oder teilweise beschränkt, ergreift es die folgenden Maßnahmen:

Die in Punkt a erwähnte Unterrichtung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendeten Beschränkung zunichtemachen würde.

Das ECDC prüft das Gelten der Beschränkung alle sechs Monate nach ihrer Auferlegung sowie nach Abschluss der relevanten Untersuchung. Danach überwacht der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung einer Beschränkung.

(3)   Die Aufzeichnung und gegebenenfalls die Dokumente, die zugrunde liegende sachliche und rechtliche Elemente enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

(1)   In angemessen begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Berichtigung, Löschung und Einschränkung durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:

(2)   Wenn das ECDC die Geltung des in Artikeln 18, 19 Absatz 1 und 20 Absatz 1 der Verordnung (EU) 2018/1725 genannten Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung gänzlich oder teilweise beschränkt, ergreift es die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und registriert die Aufzeichnung gemäß Artikel 6 Absatz 3 davon.

(1)   In angemessen begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Mitteilung über eine Verletzung des Schutzes personenbezogener Daten durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und verhältnismäßig, beschränkt werden:

(2)   In angemessen begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Vertraulichkeit der elektronischen Kommunikation durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen, wenn nötig und angemessen, beschränkt werden:

(3)   Wenn das ECDC die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder die Vertraulichkeit der elektronischen Kommunikation, wie in Artikel 35 und 36 der Verordnung (EU) 2018/1725 erwähnt, beschränkt, zeichnet es gemäß Artikel 5 Absatz 3 dieses Beschlusses die Gründe für die Beschränkung auf und registriert sie. Es gilt Artikel 5 Absatz 4 dieses Beschlusses.