22.7.2008

DE

Amtsblatt der Europäischen Union

L 193/7

---

BESCHLUSS DER KOMMISSION

vom 3. Juni 2008

zur Annahme von Durchführungsbestimmungen betreffend den Datenschutzbeauftragten gemäß Artikel 24 Absatz 8 der Verordnung (EG) Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

(2008/597/EG)

DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —

gestützt auf die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (1), insbesondere auf Artikel 24 Absatz 8 und den Anhang,

In Erwägung nachstehender Gründe:

(1)

In der Verordnung (EG) Nr. 45/2001, nachstehend „Verordnung“ genannt, sind die Grundsätze und Regelungen festgelegt, die für alle Organe und Einrichtungen der Gemeinschaft gelten; sie schreibt vor, dass jedes Organ und jede Einrichtung der Gemeinschaft einen behördlichen Datenschutzbeauftragten bestellt.

(2)

Nach Artikel 24 Absatz 8 der Verordnung erlässt jedes Organ und jede Einrichtung der Gemeinschaft weitere Durchführungsbestimmungen über den behördlichen Datenschutzbeauftragten gemäß den Bestimmungen im Anhang jener Verordnung. Diese Durchführungsbestimmungen betreffen insbesondere die Aufgaben, Pflichten und Befugnisse des behördlichen Datenschutzbeauftragten.

(3)

Durch Beschluss K(2002) 510 der Kommission (2) vom 18. Februar 2002 wurde die Stelle eines Datenschutzbeauftragten (DSB) der Kommission geschaffen und der Datenschutzbeauftragte verpflichtet, der Kommission im Benehmen mit den Generaldirektionen entsprechend ihren Bedürfnissen und Erfahrungen weitere Durchführungsbestimmungen vorzuschlagen —

BESCHLIESST:

ABSCHNITT 1

ALLGEMEINES

Artikel 1

Begriffsbestimmungen

Im Sinne dieses Beschlusses und unbeschadet der Begriffsbestimmungen der Verordnung bezeichnet der Ausdruck

—	„Datenschutzkoordinator“ (nachstehend „DSK“) den Bediensteten einer Generaldirektion oder Dienststelle, der vom Generaldirektor ernannt wurde, um alle Aspekte des Datenschutzes in der jeweiligen Generaldirektion zu koordinieren;

—	„für die Verarbeitung Verantwortlicher“ — wie in Artikel 2 Buchstabe d definiert und in Artikel 25 Absatz 2 Buchstabe a genannt — den Beamten, der für die Verwaltungseinheit zuständig ist, die die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten festgelegt hat.

Artikel 2

Anwendungsbereich

Dieser Beschluss legt entsprechend Artikel 24 Absatz 8 der Verordnung die Vorschriften und Verfahren zur Umsetzung der Aufgaben des Datenschutzbeauftragten (nachstehend „DSB“) innerhalb der Kommission fest. Er findet keine Anwendung auf die Tätigkeiten der Kommission bei der Festlegung von Maßnahmen bezüglich des Schutzes von Personen bei der Verarbeitung personenbezogener Daten.

ABSCHNITT 2

DER BEHÖRDLICHE DATENSCHUTZBEAUFTRAGTE

Artikel 3

Bestellung und Status

(1)   Die Kommission bestellt den DSB (3) und meldet ihn zur Eintragung beim Europäischen Datenschutzbeauftragten (nachstehend „EDSB“ genannt).

(2)   Die Amtszeit des DSB beträgt fünf Jahre und kann einmal verlängert werden.

(3)   Der DSB nimmt seine Aufgaben im Hinblick auf die innerbehördliche Anwendung der Bestimmungen der Verordnung unabhängig wahr. Bei der Wahrnehmung seiner Aufgaben darf der Datenschutzbeauftragte keinen Weisungen unterworfen sein.

(4)   Der DSB wird entsprechend den einschlägigen Verfahren aus den Kommissionsbediensteten ausgewählt. Zusätzlich zu den Anforderungen gemäß Artikel 24 Absatz 2 der Verordnung muss der DSB über solide Kenntnisse der Kommissionsdienststellen, ihres Aufbaus und ihrer Verwaltungsvorschriften und -verfahren verfügen. Er verfügt über gute Kenntnisse in den Bereichen Datenschutz und Informationssysteme, Grundlagen und Methodik. Er verfügt über ein sicheres Urteilsvermögen und die Fähigkeit, unparteiisch und objektiv im Einklang mit dem Statut zu handeln.

(5)   Gemäß der Verordnung kann der DSB von der Kommission nur mit Zustimmung des EDSB seines Amtes enthoben werden, wenn der DSB die zur Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt. Auf Vorschlag des Generalsekretärs und im Einvernehmen mit dem Generaldirektor für Personal und Verwaltung stellt die Kommission fest, dass der DSB die zur Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.

(6)   Unbeschadet der einschlägigen Bestimmungen der Verordnung gelten für den DSB und sein Personal die Verordnungen und Regelungen für die Beamten der Europäischen Gemeinschaften.

Artikel 4

Aufgaben

(1)   Unbeschadet der in Artikel 24 der Verordnung und in ihren Anhängen beschriebenen Aufgaben leistet der DSB einen Beitrag zur Schaffung einer Datenschutzkultur innerhalb der Kommission, indem er für Datenschutzfragen sensibilisiert und dabei für ein Gleichgewicht zwischen den Grundsätzen von Datenschutz und Transparenz sorgt.

(2)   Der DSB nimmt eine Bestandsaufnahme der Verarbeitung aller persönlichen Daten durch die Kommission vor. Die Datenschutzkoordinatoren ergänzen dieses Verzeichnis um alle mitzuteilenden Verarbeitungsvorgänge der jeweiligen Generaldirektionen. Die Datenschutzkoordinatoren benennen auch den für diese Datenverarbeitung Verantwortlichen. Der DSB unterstützt den für die Verarbeitung Verantwortlichen bei der Analyse der in seinem Zuständigkeitsbereich mit der Datenverarbeitung verbundenen Risiken und bei der Überwachung der Durchführung der Verordnung innerhalb der Kommission, insbesondere in Form eines jährlichen Datenschutzberichts.

(3)   Der DSB veranstaltet die regelmäßigen Sitzungen des Netzes der Datenschutzkoordinatoren und führt den Vorsitz.

(4)   Der DSB erstellt das in Artikel 26 der Verordnung genannte Register der Verarbeitungen, das auf den internen und externen Webseiten der Kommission zugänglich ist.

(5)   Der DSB kann der Kommission und den für die Verarbeitung Verantwortlichen in Fragen der Anwendung der Datenschutzbestimmungen Empfehlungen und Ratschläge geben, auf Anfrage oder auf eigene Initiative Untersuchungen im Zusammenhang mit Fragen und Vorkommnissen durchführen, die mit seinen Aufgaben in direktem Zusammenhang stehen, und der Person, die ihn mit der Prüfung beauftragte, gemäß dem Verfahren nach Artikel 13 dieses Beschlusses Bericht erstatten. Wurde der Antrag von einer natürlichen Person oder im Auftrag einer natürlichen Person eingereicht, so muss der DSB so weit wie möglich sicherstellen, dass der Antrag vertraulich behandelt wird, es sei denn, die betroffenen Personen haben einer anderen Behandlung ihres Antrags ausdrücklich zugestimmt.

(6)   Die Verarbeitung personenbezogener Daten durch Personalausschüsse fällt in den Zuständigkeitsbereich des DSB der Kommission. Zum Zwecke von Artikel 6 übermittelt der DSB Informationen an den Vorsitzenden des betreffenden Personalausschusses und nicht an den Generalsekretär, sobald Fragen im Hinblick auf die Datenverarbeitung durch den betreffenden Personalausschuss aufgeworfen werden.

(7)   Unbeschadet der Unabhängigkeit des DSB kann ihn der Generalsekretär im Namen der Kommission bitten, das Organ in allen Datenschutzfragen zu vertreten; hierzu kann auch die Mitwirkung des DSB in den entsprechenden Ausschüssen und Gremien auf internationaler Ebene gehören.

Artikel 5

Pflichten

(1)   Zusätzlich zu seinen allgemeinen Aufgaben obliegt es dem DSB,

a)

dem Generalsekretär und dem Generaldirektor für Personal und Verwaltung jährlich einen Datenschutzbericht für die Kommission zur Erörterung auf der geeigneten Ebene — wie dem regelmäßigen Zusammenkommen der Generaldirektoren — vorzulegen; der Bericht wird den Kommissionsbediensteten zur Verfügung gestellt;

b)	bei der Wahrnehmung seiner Aufgaben mit den Datenschutzbeauftragten der anderen Organe und Einrichtungen zusammenzuarbeiten und insbesondere Erfahrungen und bewährte Verfahren mit ihnen auszutauschen.

(2)   Bei der Verarbeitung personenbezogener Daten unter seiner Verantwortung fungiert der DSB als für die Verarbeitung Verantwortlicher.

Artikel 6

Befugnisse

Unbeschadet seiner Aufgaben und Obliegenheiten und unbeschadet der ihm durch die Verordnung verliehenen Befugnisse hat der DSB die Möglichkeit,

a)	Gutachten des Juristischen Dienstes der Kommission anzufordern;

b)	bei Meinungsverschiedenheiten hinsichtlich der Auslegung oder Durchführung der Verordnung die zuständige Managementebene und den Generalsekretär zu informieren, bevor die Angelegenheit an den EDSB weiterverwiesen wird;

c)

den Generalsekretär darauf hinzuweisen, dass — Bedienstete den Pflichten aus der Verordnung nicht nachkommen; — für die Verarbeitung Verantwortliche den internen Kontrollstandards der Kommission, die insbesondere mit den Pflichten aus der Verordnung im Zusammenhang stehen, nicht nachkommen; und vorzuschlagen, eine verwaltungsinterne Untersuchung im Hinblick auf die mögliche Anwendung von Artikel 49 der Verordnung einzuleiten;

d)	im Zusammenhang mit Fragen und Vorkommnissen, die mit seinen Aufgaben in direktem Zusammenhang stehen, Untersuchungen durchzuführen und dabei die entsprechenden Grundsätze für Anfragen und Audittätigkeiten in der Kommission sowie das Verfahren nach Artikel 13 dieses Beschlusses anzuwenden;

e)	jederzeit Zugang zu den Daten zu haben, die Gegenstand der Verarbeitung personenbezogener Daten sind, sowie zu allen Geschäftsräumen, Datenverarbeitungsanlagen und Datenträgern.

Artikel 7

Ressourcen

Die Kommission stellt dem DSB die für die Durchführung seiner Aufgaben notwendigen Ressourcen zur Verfügung.

ABSCHNITT 3

REGELN UND VERFAHREN

Artikel 8

Berichterstattung

(1)   Der DSB ist unverzüglich von der federführenden Dienststelle zu informieren, sobald eine Frage mit Datenschutzbezug von den Kommissionsdienststellen geprüft wird, spätestens jedoch vor einer Beschlussfassung.

(2)   Berät und informiert die Kommission den EDSB gemäß den einschlägigen Artikeln der Verordnung, insbesondere nach Artikel 28 Absatz 1 und Artikel 28 Absatz 2, ist der DSB zu unterrichten. Er ist ebenfalls gemäß den einschlägigen Artikeln der Verordnung über die unmittelbare Zusammenarbeit zwischen den für die Verarbeitung Verantwortlichen der Kommission und dem EDSB zu informieren.

(3)   Der DSB ist von der federführenden Dienststelle bzw. vom Juristischen Dienst über Gutachten und Positionspapiere des Juristischen Dienstes, die die interne Anwendung der Bestimmungen der Verordnung unmittelbar betreffen, zu informieren sowie über Gutachten, die die Auslegung oder Anwendung anderer Rechtsakte im Hinblick auf den Schutz personenbezogener Daten und die Verarbeitung dieser Daten, insbesondere im Zusammenhang mit der dienststellenübergreifenden Konsultation sowie im Zusammenhang mit dem Zugang zu Informationen, betreffen.

Artikel 9

Für die Verarbeitung Verantwortliche

(1)   Unbeschadet der Bestimmungen der Verordnung betreffend ihre Pflichten ist es Aufgabe der für die Verarbeitung Verantwortlichen,

a)	den DSB unverzüglich über alle bestehenden Datenverarbeitungsvorgänge, die noch nicht mitgeteilt wurden, zu informieren;

b)	gegebenenfalls den DSB darüber zu konsultieren, ob die Verarbeitungen der Verordnung entsprechen, insbesondere bei Zweifeln hinsichtlich der Einhaltung;

c)	mit dem DSB an der Erstellung des Bestandsverzeichnisses über alle erfolgten Verarbeitungen personenbezogener Daten der Generaldirektion zusammenzuarbeiten.

(2)   Der für die Verarbeitung Verantwortliche kann bestimmte Aufgaben auf andere übertragen, die unter seiner Aufsicht und Verantwortung als stellvertretende für die Verarbeitung Verantwortliche fungieren.

Artikel 10

Auftragsverarbeiter

Auftragsverarbeiter in der Kommission, die die personenbezogenen Daten im Namen der für die Verarbeitung Verantwortlichen verarbeiten müssen, handeln ausschließlich auf in einer schriftlichen Vereinbarung niedergelegte Anweisung der für die Verarbeitung Verantwortlichen und verarbeiten diese personenbezogenen Daten unter strenger Beachtung der Verordnung sowie anderer anzuwendender Datenschutzvorschriften. Eine schriftliche Vereinbarung zwischen Verwaltungseinheiten der Kommission gilt als verbindlicher Rechtsakt im Sinne von Artikel 23 Absatz 2 der Verordnung.

Mit externen Auftragsverarbeitern sind förmliche Verträge zu schließen; solche Verträge enthalten die in Artikel 23 Absatz 2 der Verordnung genannten speziellen Erfordernisse.

Artikel 11

Notifikationen

Die für die Verarbeitung Verantwortlichen nutzen das über die Webseite des DSB im Intranet der Kommission zugängliche Online-Notifizierungssystem der Kommission, um dem DSB ihre Notifikationen zu übermitteln.

Zur einfachen Verarbeitung nicht sensibler personenbezogener Daten bietet das System die Möglichkeit einer vereinfachten Notifikation.

Artikel 12

Register

Das in Artikel 4 Absatz 4 oben erwähnte elektronische Verarbeitungsregister ist allen Bediensteten der Organe und Einrichtungen der Gemeinschaft über die Webseite des DSB im Intranet der Kommission bzw. allen Internet-Nutzern über die Webseite „EUROPA“ zugänglich. Auszüge aus dem Register können von allen Personen, die keinen Internetzugang haben, schriftlich beim DSB beantragt werden, der innerhalb von 10 Arbeitstagen antwortet.

Artikel 13

Untersuchungsverfahren

(1)   Die in Artikel 4 Absatz 5 oben genannten Untersuchungsanträge sind schriftlich an den DSB zu richten. Der DSB übermittelt der Person, die um die Untersuchung ersucht hat, innerhalb von 15 Tagen nach Eingang des Antrags eine Empfangsbestätigung und überprüft, ob der Antrag vertraulich zu behandeln ist. Wird das Recht, eine Untersuchung zu beantragen, offensichtlich missbräuchlich in Anspruch genommen, ist der DSB nicht verpflichtet, dem Antragsteller zu antworten.

(2)   Der DSB fordert den betreffenden für die Verarbeitung Verantwortlichen auf, sich zu der Angelegenheit schriftlich zu äußern. Der für die Verarbeitung Verantwortliche antwortet dem DSB innerhalb von 15 Arbeitstagen. Der DSB kann von ihm und/oder anderen Parteien innerhalb von 15 Tagen weitere Angaben verlangen. Gegebenenfalls kann er ein Gutachten des Juristischen Dienstes einholen. Das Gutachten ist dem DSB innerhalb von 30 Tagen zu übermitteln.

(3)   Der DSB antwortet der Person, die um die Untersuchung ersucht hat, spätestens drei Monate nach Eingang des Antrags. Diese Frist kann ausgesetzt werden, bis der DSB die von ihm verlangten näheren Angaben erhalten hat.

(4)   Niemand darf benachteiligt werden, weil er dem DSB eine Angelegenheit zur Kenntnis gebracht hat, die eine angebliche Verletzung der Bestimmungen der Verordnung darstellt.

Artikel 14

Datenschutzkoordinatoren

(1)   In jeder Generaldirektion oder Dienststelle ist vom Generaldirektor oder Dienststellenleiter ein DSK zu ernennen. Aufgrund einer schriftlichen Vereinbarung können mehrere Generaldirektionen, Dienststellen oder Ämter aus Gründen der Kohärenz oder der Effizienz einen gemeinsamen DSK ernennen oder die Dienste eines bereits ernannten DSK gemeinsam in Anspruch nehmen.

(2)   Die Aufgabe des DSK kann gegebenenfalls mit anderen Aufgaben kombiniert werden. Zur Erlangung der für seine Aufgaben notwendigen Fähigkeiten absolviert er innerhalb von sechs Monaten nach seiner Ernennung die vorgeschriebene DSK-Schulung.

(3)   Die Amtszeit des DSK ist nicht befristet. Es ist auf der geeigneten hierarchischen Ebene aufgrund seiner vorbildlichen Dienstauffassung, seiner Kenntnisse und Erfahrungen im Zusammenhang mit der Arbeitsweise seiner Generaldirektion sowie aufgrund seiner Motivation für diese Aufgabe auszuwählen. Er sollte die Grundsätze der Informationssysteme kennen.

(4)   Unbeschadet der Verantwortungen des DSB hat der DSK die Aufgabe,

a)

ein Bestandsverzeichnis der Verarbeitungen in der Generaldirektion zu erstellen, es zu aktualisieren und an der Festlegung eines angemessenen Risikoniveaus für jeden Verarbeitungsschritt mitzuwirken sowie das DSK-Online-Bestandsverwaltungssystem, das für diese Zwecke vom DSB auf seiner Webseite im Intranet der Kommission eingerichtet wurde, zu nutzen;

b)	den Generaldirektor oder Dienststellenleiter bei der Auswahl der jeweiligen für die Verarbeitung Verantwortlichen zu unterstützen;

c)	und das Recht, die notwendigen und angemessenen Angaben von den für die Verarbeitung Verantwortlichen anzufordern. Hierzu gehört jedoch nicht das Recht auf Zugang zu personenbezogenen Daten, die unter Aufsicht des für die Verarbeitung Verantwortlichen verarbeitet wurden.

(5)   Unbeschadet der Verantwortungen des für die Verarbeitung Verantwortlichen hat der DSK die Aufgabe,

a)	die für die Verarbeitung Verantwortlichen bei der Erfüllung ihrer rechtlichen Pflichten zu unterstützen;

b)	den für die Verarbeitung Verantwortlichen bei der Erstellung von Notifikationen behilflich zu sein;

c)	die vereinfachten Notifikationen in das Online-Notifizierungssystem des DSB einzugeben.

(6)   Der DSK nimmt an den regelmäßigen Sitzungen des DSK-Netzes unter Vorsitz des DSB teil, um die kohärente Durchführung und Auslegung der Verordnung zu gewährleisten und Themen von gemeinsamem Interesse zu erörtern.

(7)   Bei der Ausübung seiner Tätigkeiten kann der DSK den DSB um Empfehlungen, Ratschläge oder Stellungnahmen bitten.

Artikel 15

Verwaltung und Leitung

(1)   Der DSB wird verwaltungstechnisch dem Generalsekretariat zugeordnet. Seine Tätigkeiten werden nach dem Prinzip von ABB und maßnahmenbezogenem Management unter Titel 7 des Generalsekretariats (Beziehungen zur Zivilgesellschaft, Transparenz und Information) erfasst. In diesem Zusammenhang wirkt der DSB mit bei der Aufstellung des jährlichen Managementplans und des Haushaltsvorentwurfs des Generalsekretariats.

(2)   Der DSB ist für die Bediensteten seines Sekretariats und den stellvertretenden Datenschutzbeauftragten der beurteilende Beamte. Der stellvertretende Generalsekretär ist der gegenzeichnende Beamte.

(3)   Der DSB wirkt gegebenenfalls an der Managementkoordinierung des Generalsekretariats mit.

ABSCHNITT 4

SCHLUSSBESTIMMUNGEN

Artikel 16

Inkrafttreten

Diese Entscheidung tritt am 3. Juni 2008 in Kraft.

---

(1)  ABl. L 8 vom 12. Januar 2001, S. 1.

(2)  Noch nicht im Amtsblatt veröffentlicht.

(3)  Die Bezeichnung „Datenschutzbeauftragter“ bezieht sich im folgenden Text sowohl auf einen weiblichen als auch auf einen männlichen Amtsinhaber.

---