19.3.2005

DE

Amtsblatt der Europäischen Union

C 68/1

---

BESTIMMUNGEN DER GESCHÄFTSORDNUNG BETREFFEND DIE VERARBEITUNG UND DEN SCHUTZ PERSONENBEZOGENER DATEN BEI EUROJUST

(Text einstimmig angenommen durch das Kollegium von Eurojust in der Sitzung vom 21. Oktober 2004 und vom Rat genehmigt am 24. Februar 2005)

(2005/C 68/01)

TITEL I

BEGRIFFSBESTIMMUNGEN

Artikel 1

Begriffsbestimmungen

Im Sinne dieser Bestimmungen und anderer Texte zur Umsetzung dieser Bestimmungen bezeichnet der Ausdruck

a)	„Eurojust-Beschluss“ den Beschluss des Rates vom 28. Februar 2002 über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität, geändert durch den Beschluss des Rates vom 18. Juni 2003;

b)	„Kollegium“ das Kollegium von Eurojust nach Artikel 10 des Eurojust-Beschlusses;

c)	„nationales Mitglied“ die von den Mitgliedstaaten zu Eurojust entsandten nationalen Mitglieder nach Artikel 2 Absatz 1 des Eurojust-Beschlusses;

d)	„unterstützende Person“ eine Person, die ein nationales Mitglied nach Artikel 2 Absatz 2 des Eurojust-Beschlusses unterstützen kann;

e)	„Eurojust-Personal“ den Verwaltungsdirektor nach Artikel 29 und das Personal nach Artikel 30 des Eurojust-Beschlusses;

f)	„Datenschutzbeauftragter“ die nach Artikel 17 des Eurojust-Beschlusses bestellte Person;

g)	„gemeinsame Kontrollinstanz“ die nach Artikel 23 des Eurojust-Beschlusses geschaffene unabhängige Instanz;

h)

„personenbezogene Daten“ alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

i)

„Verarbeitung personenbezogener Daten“ („Verarbeitung“) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

j)	„Datei mit personenbezogenen Daten“ („Datei“) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten aufgeteilt geführt wird;

k)

„für die Verarbeitung Verantwortlicher“ die Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung durch einzelstaatliche oder europäische Rechtsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch diese einzelstaatlichen oder europäischen Rechtsvorschriften bestimmt werden;

l)	„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

m)

„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;

n)	„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

TITEL II

ANWENDUNGSBEREICH UND STRUKTUR

Artikel 2

Anwendungsbereich

(1)   Diese Bestimmungen der Geschäftsordnung finden auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten durch Eurojust sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen, nach dem Eurojust-Beschluss Anwendung.

(2)   Diese Bestimmungen finden auf alle von Eurojust erhobenen und weiterverarbeiteten Informationen Anwendung, das heißt Informationen, die von Eurojust erstellt wurden oder bei Eurojust eingegangen sind und sich im Besitz von Eurojust befinden und sich auf Fragen betreffend die Politik und die Tätigkeit von Eurojust und Beschlüsse im Zuständigkeitsbereich von Eurojust beziehen.

(3)   Diese Bestimmungen finden nicht Anwendung auf Informationen, die einem nationalen Mitglied von Eurojust ausschließlich im Rahmen seiner justiziellen Befugnisse nach Artikel 9 Absatz 3 des Eurojust-Beschlusses übermittelt wurden.

Artikel 3

Struktur

(1)   Alle personenbezogenen Daten gelten entweder als fallbezogen oder als nicht-fallbezogen. Personenbezogene Daten gelten als fallbezogen, wenn sie einen Bezug zu den operativen Aufgaben von Eurojust nach den Artikeln 5, 6 und 7 des Eurojust-Beschlusses aufweisen.

(2)   Fallbezogene Daten werden nach den Titeln III und IV verarbeitet. Nicht-fallbezogene Daten werden nach den Titeln III und V verarbeitet.

TITEL III

FÜR EUROJUST GELTENDE ALLGEMEINE GRUNDSÄTZE

Artikel 4

Recht auf den Schutz der Privatsphäre und auf Datenschutz

Eurojust achtet bei der Verarbeitung personenbezogener Daten ungeachtet der Staatsangehörigkeit oder des Wohnsitzes der betroffenen Personen uneingeschränkt die Menschenrechte und die Grundfreiheiten, insbesondere das Recht auf den Schutz der Privatsphäre.

Artikel 5

Grundsätze der Rechtmäßigkeit und von Treu und Glauben, der Verhältnismäßigkeit und der Notwendigkeit der Verarbeitung

(1)   Personenbezogene Daten dürfen nur nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden.

(2)   Eurojust verarbeitet nur personenbezogene Daten, die notwendig sind, den Zwecken entsprechen, für die sie erhoben oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen.

(3)   Eurojust legt die Verarbeitungsvorgänge und Verarbeitungssysteme gemäß dem Ziel fest, dass nur notwendige personenbezogene Daten nach Absatz 2 erhoben oder weiterverarbeitet werden. Insbesondere sind, soweit dies möglich ist, die Möglichkeiten der Zuweisung von Aliasnamen und der Anonymisierung von Daten zu nutzen; dabei ist dem Zweck der Verarbeitung Rechnung zu tragen und darauf zu achten, dass der Aufwand angemessen ist.

Artikel 6

Qualität der Daten

(1)   Eurojust gewährleistet, dass personenbezogene Daten, die verwendet werden, sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, unrichtige oder unvollständige Daten gelöscht oder berichtigt werden.

(2)   Personenbezogene Daten werden nur so lange in einer Form gespeichert, die die Identifizierung der betroffenen Person ermöglicht, wie es für die Erreichung der Zwecke, für die sie nach Artikel 5 Absatz 2 erhoben oder weiterverarbeitet werden, erforderlich ist.

Artikel 7

Datensicherheit

(1)   Gemäß Artikel 22 des Eurojust-Beschlusses und diesen Bestimmungen hat Eurojust die technischen Maßnahmen und organisatorischen Vorkehrungen zu treffen, die erforderlich sind, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Löschung, zufälligem Verlust oder unberechtigter Weitergabe, unberechtigter Änderung und unberechtigtem Zugang sowie allen sonstigen Formen der unbefugten Verarbeitung zu schützen. Insbesondere sind Maßnahmen zu treffen, um zu gewährleisten, dass nur zum Zugang zu personenbezogenen Daten befugte Personen Zugang zu solchen Daten haben können.

(2)   Alle Maßnahmen müssen den von der Verarbeitung ausgehenden Risiken und der Art der verarbeiteten Daten angemessen sein.

(3)   Eurojust entwickelt ein umfassendes Sicherheitskonzept gemäß Artikel 22 Absatz 2 des Eurojust-Beschlusses und diesen Bestimmungen. Dieses Sicherheitskonzept hat der Sicherheitsempfindlichkeit der Aufgaben der Stelle für die justizielle Zusammenarbeit in vollem Umfang gerecht zu werden und unter anderem Bestimmungen für die Einstufung von Dokumenten als Verschlusssachen, die Sicherheitsüberprüfung von Bediensteten von Eurojust und Maßnahmen, die im Falle von Verstößen gegen Sicherheitsbestimmungen zu ergreifen sind, zu beinhalten. Die gemeinsame Kontrollinstanz wird zum Sicherheitskonzept von Eurojust konsultiert.

(4)   Alle Eurojust-Bedienstete werden über das Sicherheitskonzept von Eurojust angemessen informiert und müssen die technischen und organisatorischen Maßnahmen, die ihnen gemäß den geltenden Datenschutz- und Sicherheitsvorschriften zur Verfügung stehen, nutzen.

Artikel 8

Recht der betroffenen Personen auf Auskunft

(1)   Unbeschadet der besonderen Bestimmungen in Titel IV zu fallbezogenen Daten und in Titel V zu nicht-fallbezogenen Daten müssen betroffene Personen über den Zweck der Datenverarbeitung und die Identität des für die Verarbeitung Verantwortlichen, die Empfänger oder Kategorien von Empfängern und das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten unterrichtet werden und sonstige Auskünfte wie die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind, die zeitliche Begrenzung der Speicherung der Daten und das Recht, sich jederzeit an die gemeinsame Kontrollinstanz zu wenden, erhalten, sofern derartige sonstige Auskünfte unter Berücksichtigung des Zwecks der Datenverarbeitung und der spezifischen Umstände, unter denen die Daten verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2)   Die Auskünfte müssen spätestens zum Zeitpunkt der Erhebung der Daten bei der betroffenen Person oder, wenn die Daten bei einem Dritten eingeholt werden, bei Beginn der Speicherung personenbezogener Daten oder im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung der Daten oder in den in Titel IV Kapitel II vorgesehenen Fällen dann erteilt werden, sobald die Zwecke der Verarbeitung, einzelstaatliche Ermittlungen und Strafverfolgungsmaßnahmen sowie die Rechte und Freiheiten Dritter alle Wahrscheinlichkeit nach nicht gefährdet werden.

Artikel 9

Recht der betroffenen Personen auf Auskunft, auf Berichtigung, auf Sperrung und auf Löschung

(1)   Die betroffene Person hat das Recht auf Auskunft, auf Berichtigung, auf Sperrung und gegebenenfalls auf Löschung. Eurojust legt erforderlichenfalls in Zusammenarbeit mit den entsprechenden beteiligten einzelstaatlichen Behörden Verfahren fest, mit denen ermöglicht wird, dass betroffene Personen diese Rechte leichter wahrnehmen können.

(2)   Der Datenschutzbeauftragte sorgt dafür, dass betroffene Personen auf Verlangen über ihre Rechte unterrichtet werden.

Artikel 10

Vertraulichkeit der Verarbeitung

Gemäß Artikel 25 des Eurojust-Beschlusses gelten für alle Personen, die bei Eurojust arbeiten oder mit Eurojust zusammenarbeiten, strenge Geheimhaltungspflichten. Eurojust ergreift alle Maßnahmen, die erforderlich sind, um sicherzustellen, dass diese Pflichten eingehalten werden und dass jeglicher Verstoß gegen die Pflichten unverzüglich dem Datenschutzbeauftragten und dem Leiter der Sicherheitsabteilung gemeldet wird, die veranlassen, dass geeignete Maßnahmen ergriffen werden.

Artikel 11

Interne Auftragsverarbeiter

Eine Person, die bei Eurojust als Auftragsverarbeiter handelt und Zugang zu personenbezogenen Daten hat, darf diese Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, einzelstaatliches oder europäisches Recht schreiben ihr die Verarbeitung vor.

Artikel 12

Nachforschungen, Auskunftsersuchen und Angaben von Eurojust-Bediensteten

(1)   Für die Zwecke von Artikel 17 Absätze 2 und 4 des Eurojust-Beschlusses unterrichtet der Datenschutzbeauftragte auf Verlangen jeden Eurojust-Bediensteten über die Datenverarbeitungstätigkeit von Eurojust. Der Datenschutzbeauftragte beantwortet Anfragen und wird bei Auskunftsersuchen und Angaben über mutmaßliche Verstöße gegen die Bestimmungen des Eurojust-Beschlusses, gegen die vorliegenden Bestimmungen oder gegen sonstige Bestimmungen, die die Verarbeitung personenbezogener Daten durch Eurojust regeln, tätig. Niemand darf aufgrund der Tatsache, dass er dem Datenschutzbeauftragten einen mutmaßlichen Verstoß gegen die Bestimmungen über die Verarbeitung personenbezogener Daten zur Kenntnis gebracht hat, benachteiligt werden.

(2)   Alle bei Eurojust tätigen Personen arbeiten mit dem Kollegium, den nationalen Mitgliedern, dem Datenschutzbeauftragten und der gemeinsamen Kontrollinstanz im Rahmen von Nachforschungen, Untersuchungen, Prüfungen oder sonstigen Tätigkeiten im Zusammenhang mit dem Datenschutz zusammen.

TITEL IV

REGELN FÜR FALLBEZOGENE DATENVERARBEITUNGEN

Kapitel I

Voraussetzungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Artikel 13

Personenbezogene Daten, die im Rahmen fallbezogener Tätigkeiten verarbeitet werden

(1)   Soweit dies zur Erreichung der Ziele von Eurojust erforderlich ist, verarbeitet Eurojust im Rahmen fallbezogener Tätigkeiten personenbezogene Daten in automatisierter Form oder in strukturierten manuell geführten Dateien gemäß den Artikeln 14, 15 und 16 des Eurojust-Beschlusses.

(2)   Nationale Mitglieder, die personenbezogene Daten zu Einzelfällen verarbeiten, entscheiden über die Zwecke und die Form der Verarbeitung der personenbezogenen Daten und gelten daher als für die Verarbeitung Verantwortliche oder gegebenenfalls als Mitverantwortliche.

Artikel 14

Rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung

Personenbezogene Daten können im Rahmen fallbezogener Tätigkeiten erhoben und weiterverarbeitet werden, sofern die Verarbeitung für die Erfüllung der Aufgaben von Eurojust bei der Verstärkung der Bekämpfung der schweren Kriminalität erforderlich ist.

Artikel 15

Zweckbindung

Personenbezogene Daten, die von Eurojust im Rahmen von Ermittlungen und Strafverfolgungen verarbeitet werden, dürfen unter keinen Umständen für einen anderen Zweck verarbeitet werden.

Artikel 16

Datenqualität

(1)   Erhält Eurojust von einem Mitgliedstaat oder einer externen Partei im Rahmen von Ermittlungen oder einer Strafverfolgung Informationen, so ist Eurojust nicht für die Richtigkeit der erhaltenen Informationen verantwortlich, sorgt aber ab dem Zeitpunkt des Erhalts dafür, dass alle angemessenen Maßnahmen ergriffen werden, damit die Informationen auf dem neuesten Stand gehalten werden.

(2)   Stellt Eurojust bei den betreffenden Daten einen Fehler fest, so informiert Eurojust den Dritten, von dem die Informationen erhalten wurden, und berichtigt die Informationen.

Artikel 17

Spezielle Datenkategorien

(1)   Eurojust trifft angemessene technische Maßnahmen, um zu gewährleisten, dass der Datenschutzbeauftragte automatisch über die Ausnahmefälle unterrichtet wird, in denen Artikel 15 Absatz 4 des Eurojust-Beschlusses angewandt wird. Mit dem Fallverwaltungssystem wird dafür gesorgt, dass solche Daten nicht in den Index nach Artikel 16 Absatz 1 des Eurojust-Beschlusses aufgenommen werden können.

(2)   Betreffen diese Daten Zeugen oder Opfer im Sinne von Artikel 15 Absatz 2 des Eurojust-Beschlusses, so werden diese Informationen vom Fallverwaltungssystem nicht gespeichert, es sei denn, es liegt ein Beschluss des Kollegiums über ihre Verarbeitung vor.

Artikel 18

Verarbeitung der Kategorien personenbezogener Daten nach Artikel 15 Absatz 3 des Eurojust-Beschlusses

(1)   Eurojust trifft angemessene technische Maßnahmen, um zu gewährleisten, dass der Datenschutzbeauftragte automatisch über die Ausnahmefälle unterrichtet wird, in denen für begrenzte Zeit Artikel 15 Absatz 3 des Eurojust-Beschlusses angewandt wird.

(2)   Betreffen diese Daten Zeugen oder Opfer im Sinne von Artikel 15 Absatz 2 des Eurojust-Beschlusses, so werden diese Informationen vom Fallverwaltungssystem nicht gespeichert, es sei denn, es liegt ein Beschluss über ihre Verarbeitung, der von mindestens zwei nationalen Mitgliedern gemeinsam gefasst wurde, vor.

Kapitel II

Rechte der betroffenen Personen

Artikel 19

Auskunftsrecht der betroffenen Personen

(1)   Im Rahmen der operativen Arbeit von Eurojust erhalten betroffene Personen Auskünfte über die Verarbeitung, sobald feststeht, dass die Weitergabe dieser Auskünfte an die betroffene Person Folgendes nicht gefährdet:

a)	die Erfüllung der Aufgaben von Eurojust bei der Verstärkung der Bekämpfung der schweren Kriminalität,

b)	einzelstaatliche Ermittlungen und Strafverfolgungsmaßnahmen, bei denen Eurojust Unterstützung leistet,

c)	Kontroll-, Überwachungs- und Ordnungsaufgaben, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a und b genannten Fällen verbunden sind,

d)	die Rechte und Freiheiten Dritter.

(2)   Die Anwendung der in Absatz 1 aufgeführten Fälle wird in der befristet geführten Arbeitsdatei zu dem Fall gespeichert, wobei die Grundlage für den Beschluss angegeben wird, der von dem (den) für diese Datei zuständigen nationalen Mitglied(ern) gefasst wurde.

Artikel 20

Zugangsrecht der betroffenen Personen

Jede Person hat gemäß den Modalitäten nach Artikel 19 des Eurojust-Beschlusses Anspruch auf Auskunft über die sie betreffenden personenbezogenen Daten, die von Eurojust verarbeitet werden.

Artikel 21

Verfahren für die Geltendmachung der Rechte der betroffenen Personen

(1)   Wer seine Rechte als betroffene Person geltend machen will, kann seinen Antrag direkt an Eurojust richten oder ihn über die hierfür im Mitgliedstaat seiner Wahl bezeichnete Behörde stellen, die den Antrag dann an Eurojust weiterleitet.

(2)   Anträge auf Geltendmachung von Rechten werden von dem(den)von dem Antrag betroffenen nationalen Mitglied(ern) bearbeitet, das(die) eine Kopie des Antrags an den Datenschutzbeauftragten zur Registrierung weiterleitet(weiterleiten).

(3)   Das(die) von dem Antrag betroffene(n) nationale(n) Mitglied(er) nimmt(nehmen) die erforderlichen Überprüfungen vor und unterrichtet(unterrichten) den Datenschutzbeauftragten über die in dem speziellen Fall getroffene Entscheidung. Bei der Entscheidung werden die vorliegenden Bestimmungen und die nach Artikel 19 Absatz 3 des Eurojust-Beschlusses für den Antrag geltenden Rechtsvorschriften, die in Artikel 19 Absatz 4 des Eurojust-Beschlusses angeführten Verweigerungsgründe und die Konsultationen mit den zuständigen Strafverfolgungsbehörden, die nach Artikel 19 Absatz 9 des Eurojust-Beschlusses vor dem Erlass der Entscheidung zu erfolgen haben, uneingeschränkt berücksichtigt.

(4)   Der Datenschutzbeauftragte nimmt erforderlichenfalls zusätzliche Überprüfungen im Fallverwaltungssystem vor und unterrichtet das(die) betroffene(n) nationale(n) Mitglied(er), falls bei diesen Überprüfungen zusätzliche relevante Informationen zutage treten. Das(die) betroffene(n) nationale(n) Mitglied(er) kann(können) aufgrund der vom Datenschutzbeauftragten übermittelten Informationen beschließen, die ursprüngliche Entscheidung zu überdenken.

(5)   Der Datenschutzbeauftragte übermittelt im Einklang mit Artikel 19 Absatz 6 des Eurojust-Beschlusses die endgültige Entscheidung des(der) betroffenen nationalen Mitglieds(Mitglieder) der betroffenen Person und unterrichtet sie von der Möglichkeit, bei der gemeinsamen Kontrollinstanz Beschwerde einzulegen, falls sie mit der Antwort von Eurojust nicht einverstanden ist.

(6)   Der Antrag wird innerhalb von drei Monaten nach seinem Eingang vollständig bearbeitet. Die betroffene Person kann die gemeinsame Kontrollinstanz mit der Angelegenheit befassen, falls sie nicht innerhalb dieser Frist eine Antwort auf ihren Antrag erhalten hat.

(7)   Ist der Antrag über eine nationale Behörde gestellt worden, so sorgt/sorgen das/die nationale(n) Mitglied(er) dafür, dass diese Behörde davon unterrichtet wird, dass der Datenschutzbeauftragte der betroffenen Person eine Antwort erteilt hat.

(8)   Eurojust führt Verfahren der Zusammenarbeit mit den einzelstaatlichen Behörden ein, die zur Bearbeitung der Ansprüche betroffener Personen bezeichnet worden sind, um zu gewährleisten, dass Anträge angemessen und rechtzeitig an Eurojust weitergeleitet werden.

Artikel 22

Unterrichtung Dritter nach Berichtigung, Sperrung oder Löschung personenbezogener Daten, die sich auf einen bestimmten Fall beziehen

Eurojust trifft angemessene technische Maßnahmen, um zu gewährleisten, dass in Fällen, in denen Eurojust auf Antrag personenbezogene Daten berichtigt, sperrt oder löscht, automatisch eine Liste der Stellen erstellt wird, die diese Daten übermittelt oder empfangen haben. Entsprechend Artikel 20 Absatz 5 des Eurojust-Beschlusses hat der für die Verarbeitung Verantwortliche zu gewährleisten, dass die in der Liste aufgeführten Stellen von den an den personenbezogenen Daten vorgenommenen Änderungen unterrichtet werden.

Kapitel III

Datensicherheit

Artikel 23

Automatisiertes Fallverwaltungssystem

(1)   Eurojust führt ein automatisiertes Fallverwaltungssystem einschließlich eines Ablagesystems ein, das von den nationalen Mitgliedern bei der Erledigung fallbezogener Tätigkeiten benutzt wird; dieses System umfasst auch die befristet geführten Arbeitsdateien und den Ermittlungsindex nach Artikel 16 des Eurojust-Beschlusses. Das System muss Funktionen wie eine Fallverwaltung, eine Beschreibung des Arbeitsablaufs, Querverweisungen bei Informationen und Sicherheit enthalten.

(2)   Das Fallverwaltungssystem wird vom Kollegium nach Anhörung des Datenschutzbeauftragten, der gemeinsamen Kontrollinstanz und der zuständigen Eurojust-Bediensteten gebilligt und trägt den Anforderungen des Artikels 22 und anderer einschlägiger Bestimmungen des Eurojust-Beschlusses Rechnung.

(3)   Das Fallverwaltungssystem ermöglicht es nationalen Mitgliedern, im Rahmen der Aufgaben nach Artikel 5, 6 und 7 des Eurojust-Beschlusses Zweck und spezielle Ziele der Anlegung einer befristet geführten Arbeitsdatei festzustellen.

Artikel 24

Befristet geführte Arbeitsdateien und Ermittlungsindex

(1)   Nach Artikel 14 Absatz 4 und Artikel 16 des Eurojust-Beschlusses erstellt Eurojust einen Ermittlungsindex und befristet geführte Arbeitsdateien, die auch personenbezogene Daten enthalten. Der Ermittlungsindex und die befristet geführten Arbeitsdateien sind Bestandteil des Fallverwaltungssystems nach Artikel 23 und werden unter Beachtung der Einschränkungen für die Verarbeitung personenbezogener Daten nach Artikel 15 des Eurojust-Beschlusses geführt.

(2)   Die nationalen Mitglieder sind für das Anlegen neuer befristet geführter Arbeitsdateien, die mit von ihnen bearbeiteten Fällen in Verbindung stehen, zuständig. Das Fallverwaltungssystem weist jeder neu angelegten befristet geführten Arbeitsdatei automatisch eine Referenznummer (Kennung) zu.

(3)   Eurojust führt ein automatisiertes Fallverwaltungssystem ein, das es den nationalen Mitgliedern ermöglicht, die von ihnen in einer befristet geführten Arbeitsdatei verarbeiteten personenbezogenen Daten zu sperren oder den Zugriff auf sie oder Teile von ihnen einem oder mehreren anderen nationalen Mitgliedern, die ebenfalls mit dem Fall, um den es in der Datei geht, befasst sind, zu gewähren. Das Fallverwaltungssystem ermöglicht es ihnen, die speziellen personenbezogenen und nicht personenbezogenen Daten festzulegen, auf die sie einem oder mehreren anderen nationalen Mitgliedern beziehungsweise einer oder mehreren der diese unterstützenden Personen oder befugten Mitarbeitern, die an der Bearbeitung der Fälle mitwirken, zuzugreifen gestatten wollen, und die Informationen auszuwählen, die sie nach den Artikeln 14 und 15 des Eurojust-Beschlusses in den Ermittlungsindex aufnehmen wollen; hierbei gewährleisten sie, dass zumindest die folgenden Informationen in den Index aufgenommen werden: Bezugnahme auf die befristet geführte Arbeitsdatei; Kriminalitätsformen; Mitgliedstaaten, internationale Organisationen und Stellen und/oder Behörden betroffener Drittstaaten; Beteiligung der Europäischen Kommission oder von Gremien und Einrichtungen der EU; Ziele und Status des Falles (laufend/abgeschlossen).

(4)   Gewährt ein nationales Mitglied einem oder mehreren anderen betroffenen nationalen Mitgliedern Zugriff auf eine befristet geführte Arbeitsdatei oder einen Teil einer solchen Datei, so gewährleistet das Fallverwaltungssystem, dass die Nutzungsberechtigten Zugriff auf die entsprechenden Teile der Datei haben, die vom Anleger der Datei eingegebenen Daten aber nicht ändern können. Die Nutzungsberechtigten können jedoch den neuen Teilen der befristet geführten Arbeitsdateien relevante Informationen hinzufügen. Ebenso können im Ermittlungsindex enthaltene Informationen von allen Nutzungsberechtigten des Systems gelesen, aber nur von der Person, die sie eingegeben hat, geändert werden.

(5)   Der Datenschutzbeauftragte wird von dem System automatisch unterrichtet, wenn eine neue Arbeitsdatei, die personenbezogene Daten enthält, angelegt wird, und insbesondere dann, wenn in Ausnahmefällen Artikel 15 Absatz 3 des Eurojust-Beschlusses angewandt wird. Das Fallverwaltungssystem kennzeichnet derartige Daten in einer Weise, dass die Person, die sie in das System eingegeben hat, an die Verpflichtung erinnert wird, dass diese Daten nur für begrenzte Zeit gespeichert werden dürfen. Betreffen diese Daten Zeugen oder Opfer im Sinne von Artikel 15 Absatz 2 des Eurojust-Beschlusses, so werden diese Informationen vom System nicht gespeichert, es sei denn, es liegt ein Beschluss über ihre Verarbeitung vor, der von mindestens zwei nationalen Mitgliedern gemeinsam gefasst wurde.

(6)   Das Fallverwaltungssystem unterrichtet den Datenschutzbeauftragten automatisch über die Ausnahmefälle, in denen Artikel 15 Absatz 4 des Eurojust Beschlusses angewandt wird. Betreffen diese Daten Zeugen oder Opfer im Sinne von Artikel 15 Absatz 2 des Eurojust-Beschlusses, so werden diese Informationen vom System nicht gespeichert, es sei denn, es liegt ein Beschluss des Kollegiums über ihre Verarbeitung vor.

(7)   Das Fallverwaltungssystem stellt sicher, dass nur personenbezogene Daten nach Artikel 15 Absatz 1 Buchstaben a bis i und k sowie nach Artikel 15 Absatz 2 des Eurojust-Beschlusses im Ermittlungsindex gespeichert werden können.

(8)   Die in dem Index enthaltenen Informationen müssen ausreichen, um den Aufgaben von Eurojust und insbesondere den Zielen des Artikels 16 Absatz 1 des Eurojust-Beschlusses gerecht zu werden.

Artikel 25

Protokolldateien und Prüfpfade

(1)   Eurojust trifft angemessene technische Maßnahmen, um zu gewährleisten, dass alle Verarbeitungen personenbezogener Daten aufgezeichnet werden. Das Fallverwaltungssystem gewährleistet insbesondere, dass die Übermittlung und der Empfang personenbezogener Daten entsprechend Artikel 17 Absatz 2 Buchstabe b des Eurojust-Beschlusses für die Zwecke von Artikel 19 Absatz 3 jenes Beschlusses aufgezeichnet werden. Hierdurch wird entsprechend Artikel 22 des Eurojust-Beschlusses gewährleistet, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt werden und welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind.

(2)   Der Datenschutzbeauftragte überprüft diese Aufzeichnungen regelmäßig, um die nationalen Mitglieder und das Kollegium in Datenschutzfragen unterstützen zu können, und stellt im Falle von Unregelmäßigkeiten die erforderlichen Nachforschungen an. Erforderlichenfalls unterrichtet der Datenschutzbeauftragte das Kollegium und die gemeinsame Kontrollinstanz nach dem Verfahren des Artikels 17 Absatz 4 des Eurojust-Beschlusses von etwaigen Verstößen gegen die Datenschutzvorschriften, die sich durch die genannten Aufzeichnungen belegen lassen. Der Datenschutzbeauftragte sorgt erforderlichenfalls für eine Unterrichtung des Verwaltungsdirektors, damit dieser die erforderlichen Maßnahmen innerhalb der Verwaltung treffen kann.

(3)   Der Datenschutzbeauftragte gewährt der gemeinsamen Kontrollinstanz auf deren Verlangen uneingeschränkten Zugang zu den Aufzeichnungen nach Absatz 1.

Artikel 26

Befugter Zugang zu personenbezogenen Daten

(1)   Eurojust trifft angemessene technische Maßnahmen und sorgt für die entsprechenden organisatorischen Vorkehrungen, um zu gewährleisten, dass nur nationale Mitglieder, die sie unterstützenden Personen und befugte Eurojust-Mitarbeiter zur Erreichung der Ziele von Eurojust Zugang zu personenbezogenen Daten haben, die von der Eurojust-Stelle im Rahmen ihrer operativen Tätigkeiten verarbeitet werden.

(2)   Bei den genannten Maßnahmen werden die Zwecke, zu denen die Daten erhoben und weiterverarbeitet worden sind, der Stand der Technik, das aufgrund der Sicherheitsempfindlichkeit der Eurojust-Arbeit erforderliche Sicherheitsniveau und die Anforderungen nach Artikel 22 des Eurojust-Beschlusses berücksichtigt.

(3)   Jedes nationale Mitglied von Eurojust dokumentiert die in seinem nationalen Verbindungsbüro von ihm gewählte Politik für den Zugang zu fallbezogenen Dateien und unterrichtet den Datenschutzbeauftragten hiervon. Insbesondere sorgen die nationalen Mitglieder für geeignete organisatorische Vorkehrungen und deren Einhaltung sowie für eine ordnungsgemäße Anwendung der technischen und organisatorischen Maßnahmen, die ihnen Eurojust zur Verfügung stellt.

(4)   Das Kollegium kann sonstigen Eurojust-Mitarbeitern den Zugang zu fallbezogenen Dateien gewähren, wenn dies zur Durchführung der Aufgaben von Eurojust erforderlich ist.

Artikel 27

Überprüfungen und Kontrollen

(1)   Der Datenschutzbeauftragte überwacht, ob die Verarbeitung personenbezogener Daten rechtmäßig und unter Einhaltung des Eurojust-Beschlusses, dieser Geschäftsordnung und sonstiger für Eurojust geltenden einschlägigen Regelungen erfolgt. Zu diesem Zweck unterstützt der Datenschutzbeauftragte die nationalen Mitglieder in Datenschutzfragen und überprüft jährlich die Einhaltung der genannten Regelungen bei Eurojust. Der Datenschutzbeauftragte erstattet dem Kollegium und der gemeinsamen Kontrollinstanz über die Ergebnisse dieser Überprüfungen sowie über sonstige relevante Entwicklungen bei Eurojust Bericht. Der Datenschutzbeauftragte sorgt gegebenenfalls für eine Unterrichtung des Verwaltungsdirektors, damit dieser die erforderlichen Maßnahmen innerhalb der Verwaltung treffen kann.

(2)   Die gemeinsame Kontrollinstanz führt Kontrollen und Überprüfungen nach Artikel 23 Absatz 7 des Eurojust-Beschlusses durch.

Kapitel IV

Datenübermittlung an Dritte oder Organisationen

Artikel 28

Datenübermittlung an Dritte oder Organisationen

(1)   Eurojust bemüht sich darum, mit allen Partnern, mit denen Eurojust regelmäßig Daten austauscht, Vereinbarungen über eine Zusammenarbeit, die geeignete Bestimmungen über den Austausch personenbezogener Daten enthalten, zu schließen.

(2)   Unbeschadet der Fälle, in denen derartige Vereinbarungen über eine Zusammenarbeit bestehen, übermittelt Eurojust personenbezogene Daten nur dann an ein Drittland oder an eine der in Artikel 27 Absatz 1 des Eurojust-Beschlusses genannten Einrichtungen, wenn diese dem am 28. Januar 1981 in Straßburg unterzeichneten Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten unterliegen oder ein vergleichbares Schutzniveau gewährleistet ist.

(3)   Die Entscheidung über eine Übermittlung von Daten an Nicht-Vertragsparteien des Europarat-Übereinkommens vom 28. Januar 1981 wird von dem(den) nationalen Mitglied(ern) anhand einer vom Datenschutzbeauftragten vorgenommenen Bewertung der Angemessenheit des Schutzniveaus getroffen. Die Angemessenheit des Schutzniveaus wird für jede Übermittlung oder Übermittlungsart anhand aller Umstände bewertet. Hierbei werden insbesondere folgende Punkte geprüft: Art der Daten; Zwecke und Dauer der Verarbeitung, die Anlass der Datenübermittlung ist; Herkunfts- und Endbestimmungsland; in dem betreffenden Staat oder in der betreffenden Organisation geltende allgemeine und sektorielle Rechtsvorschriften; dort geltende Standes- und Sicherheitsregeln sowie Bestehen ausreichender, vom Empfänger der übermittelten Daten eingeführter Sicherheitsbestimmungen. Diese Sicherheitsbestimmungen können insbesondere das Ergebnis schriftlicher Vereinbarungen seien, die sowohl für den für die Verarbeitung Verantwortlichen, der die Datenübermittlung vornimmt, als auch für den Empfänger, der nicht der Gerichtsbarkeit einer Vertragspartei des Übereinkommens unterliegt, verbindlich sind. Die einschlägigen Datenschutzbestimmungen müssen Gegenstand der betreffenden Vereinbarungen seien. In Fällen, in denen die Bewertung des Schutzniveaus Schwierigkeiten bereitet, konsultiert der Datenschutzbeauftragte die gemeinsame Kontrollinstanz, bevor er eine spezielle Datenübermittlung bewertet.

(4)   Auch wenn die in den vorstehenden Absätzen genannten Bedingungen nicht erfüllt sind, darf ein nationales Mitglied unter den in Artikel 27 Absatz 6 des Eurojust-Beschlusses genannten besonderen Umständen allein für den Fall, dass dringende Maßnahmen der Abwendung einer unmittelbar drohenden ernsten Gefahr für eine Person oder die öffentliche Sicherheit ergriffen werden müssen, Daten in ein Drittland übermitteln. Das nationale Mitglied hält diese außergewöhnliche Datenübermittlung in der diesen Fall betreffenden befristet geführten Arbeitsdatei fest, wobei er die Gründe für die Übermittlung angibt, und unterrichtet den Datenschutzbeauftragten von der Übermittlung. Der Datenschutzbeauftragte überprüft, ob derartige Übermittlungen nur in außergewöhnlichen und dringenden Fällen stattfinden.

Kapitel V

Speicherungsfristen für personenbezogene Daten

Artikel 29

Speicherungsfristen für personenbezogene Daten

(1)   Eurojust trifft angemessene technische Maßnahmen, um zu gewährleisten, dass die Speicherungsfristen für personenbezogene Daten nach Artikel 21 des Eurojust-Beschlusses eingehalten werden.

(2)   Das Fallverwaltungssystem gewährleistet insbesondere, dass alle drei Jahre nach der Eingabe von Daten in eine befristet geführte Arbeitsdatei überprüft wird, ob die Daten weiter gespeichert werden müssen. Derartige Überprüfungen müssen, einschließlich der Begründung hierbei getroffener Entscheidungen, ordnungsgemäß im System festgehalten werden, und das Ergebnis der Überprüfungen wird dem Datenschutzbeauftragten automatisch übermittelt.

(3)   Das Fallverwaltungssystem kennzeichnet in besonderer Weise Daten, die nach Artikel 15 Absatz 3 des Eurojust-Beschlusses nur begrenzte Zeit gespeichert werden dürfen. Bei diesen Kategorien von Daten findet alle drei Monate eine Überprüfung der Notwendigkeit ihrer weiteren Speicherung statt, die in der in den Absätzen 1 und 2 genannten Weise festgehalten wird.

(4)   Der für die Verarbeitung Verantwortliche konsultiert erforderlichenfalls das Kollegium und den Datenschutzbeauftragten, wenn nach einer Überprüfung entschieden werden soll, die Daten länger zu speichern.

TITEL V

REGELN FÜR DIE VERARBEITUNG NICHT-FALLBEZOGENER DATEN

Kapitel I

Allgemeine Grundsätze

Artikel 30

Rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung

Personenbezogene Daten müssen nach Treu und Glauben und rechtmäßig verarbeitet werden. Insbesondere dürfen personenbezogene Daten nur verarbeitet werden, wenn

a)	die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt, oder

b)	die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen, oder

c)	die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat, oder

d)	die Verarbeitung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist, oder

e)

die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen wahrgenommen wird, sofern nicht das Interesse an einer Wahrung der Grundrechte und Grundfreiheiten der betroffenen Person, die nach Artikel 4 geschützt sind, überwiegt.

Artikel 31

Zweckbindung

(1)   Die Verarbeitung personenbezogener Daten hat für einen speziellen, genau festgelegten rechtmäßigen und legitimen Zweck zu erfolgen; diese dürfen in der Folge nur dann weiterverarbeitet werden, soweit dies mit dem ursprünglichen Zweck der Verarbeitung nicht unvereinbar ist.

(2)   Mit Ausnahme zum Zwecke der Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten dürfen personenbezogene Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle und Verwaltung der Verarbeitungssysteme oder-vorgänge erfasst werden, für keinen anderen Zweck verwendet werden.

Artikel 32

Verarbeitung besonderer Datenkategorien

(1)   Die Verarbeitung personenbezogener Daten, die Hinweise auf die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit, das Sexualleben oder Verurteilungen geben, für nicht-fallbezogene Zwecke ist untersagt.

(2)   Dieses Verbot findet nicht Anwendung, wenn

a)	die betroffene Person ausdrücklich in die Verarbeitung der genannten Daten eingewilligt hat, oder

b)

die Verarbeitung erforderlich ist, um den Pflichten und spezifischen Rechten des für die Bearbeitung Verantwortlichen, wie etwa Pflichten auf dem Gebiet des Steuer- oder Arbeitsrechts, die für diesen gelten, Rechnung zu tragen oder sie, falls notwendig, vom Datenschutzbeauftragten vorbehaltlich angemessener Garantien genehmigt wird, oder

c)	die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, oder

d)	die Verarbeitung sich auf Daten bezieht, die die betroffene Person offenkundig öffentlich gemacht hat, oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist.

(3)   Die in Absatz 1 genannten Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben worden sind.

Artikel 33

Ausnahmen vom Recht der betroffenen Person auf Auskunft

(1)   Im Rahmen der nicht operativen Arbeit von Eurojust sind Ausnahmen vom allgemeinen Grundsatz des Auskunftsrechts der betroffenen Person möglich, falls die Erteilung der betreffenden Auskünfte an die betroffene Person

a)	ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union oder

b)	den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder

c)	die nationale und die öffentliche Sicherheit sowie die Verteidigung der Mitgliedstaaten gefährden würde.

(2)   Der Datenschutzbeauftragte wird unterrichtet, wenn diese Ausnahmeregelungen Anwendung finden.

Artikel 34

Meldung beim Datenschutzbeauftragten

(1)   Jeder für die Verarbeitung Verantwortliche hat dem Datenschutzbeauftragten jede Verarbeitung oder jede Reihe von Verarbeitungen, die für einen einzigen Zweck oder verschiedene, miteinander zusammenhängende Zwecke bestimmt sind, vorab zu melden.

(2)   Zu den zu machenden Angaben gehören

a)	Name des für die Verarbeitung Verantwortlichen und Angabe der organisatorischen Einheiten eines Organs oder einer Einrichtung, die mit der Verarbeitung personenbezogener Daten für einen bestimmten Zweck beauftragt sind;

b)	Zweckbestimmung(en) der Verarbeitung;

c)	eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien;

d)	Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind;

e)	Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; und

f)	eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Sicherheitsmaßnahmen angemessen sind.

(3)   Alle relevanten Änderungen hinsichtlich der in Absatz 2 genannten Angaben sind dem Datenschutzbeauftragten unverzüglich mitzuteilen.

Artikel 35

Register

(1)   Der Datenschutzbeauftragte führt ein Register der gemäß Artikel 34 gemeldeten Verarbeitungen.

(2)   Das Register enthält mindestens die Angaben nach Artikel 34 Absatz 2 Buchstaben a bis f.

(3)   Der Datenschutzbeauftragte stellt der gemeinsamen Kontrollinstanz auf deren Verlangen im Register enthaltene Informationen zur Verfügung.

Artikel 36

Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

(1)   Der für die Verarbeitung Verantwortliche wählt, wenn die Verarbeitung in seinem Auftrag von einem externen Auftragsverarbeiter vorgenommen wird, einen Auftragsverarbeiter aus, der hinsichtlich der technischen und organisatorischen Sicherheitsmaßnahmen, die nach Artikel 22 des Eurojust-Beschlusses und weiteren relevanten Dokumenten für die Verarbeitung zu treffen sind, ausreichende Gewähr bietet, und er hat für die Einhaltung dieser Maßnahmen zu sorgen.

(2)   Die Durchführung einer Verarbeitung durch einen externen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere Folgendes vorgesehen ist:

a)	Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;

b)

die im Eurojust-Beschluss und in den vorliegenden Bestimmungen genannten Verpflichtungen in Bezug auf Vertraulichkeit und Sicherheit gelten auch für den Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter unterliegt aufgrund von Artikel 16 oder Artikel 17 Absatz 3 zweiter Gedankenstrich der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1) bereits Verpflichtungen in Bezug auf Vertraulichkeit und Sicherheit, die in den nationalen Rechtsvorschriften eines der Mitgliedstaaten festgelegt sind.

(3)   Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in Bezug auf Vertraulichkeits- und Sicherheitsmaßnahmen schriftlich oder in einer anderen gleichwertigen Form zu dokumentieren.

Artikel 37

Automatisierte Einzelentscheidungen

Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens, es sei denn, die Entscheidung ist ausdrücklich aufgrund einzelstaatlicher oder europäischer Rechtsvorschriften zulässig oder wird, falls notwendig, vom Datenschutzbeauftragten ausdrücklich genehmigt. In beiden Fällen müssen Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, wie etwa Gewährleistung der Möglichkeit, ihren Standpunkt geltend zu machen, oder Maßnahmen, die es der betroffenen Person ermöglichen, die Logik der Verarbeitung zu verstehen, getroffen werden.

Kapitel II

Interne Regeln zum Schutz der personenbezogenen Daten und der Privatsphäre im Rahmen interner Telekommunikationsnetze

Artikel 38

Anwendungsbereich

(1)   Die Regelungen dieses Kapitels finden unbeschadet der vorstehenden Artikel auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung und Verwaltung von Telekommunikationsnetzen oder Endgeräten Anwendung, die unter der Kontrolle von Eurojust betrieben werden.

(2)   Für die Zwecke dieses Kapitels bezeichnet der Ausdruck „Nutzer“ jede natürliche Person, die ein unter der Kontrolle von Eurojust betriebenes Telekommunikationsnetz oder Endgerät nutzt.

Artikel 39

Sicherheit

(1)   Eurojust trifft geeignete technische und organisatorische Maßnahmen, um die sichere Nutzung der Telekommunikationsnetze und Endgeräte (Computer, Server, Hardware und Software) gegebenenfalls mit den Anbietern öffentlich zugänglicher Telekommunikationsdienste oder den Anbietern öffentlicher Telekommunikationsnetze zu garantieren. Diese Maßnahmen müssen unter Berücksichtigung der neuesten technischen Möglichkeiten und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

(2)   Besteht ein besonderes Risiko der Verletzung der Sicherheit der Telekommunikationsnetze und Endgeräte, unterrichtet Eurojust die Nutzer über dieses Risiko sowie über mögliche Abhilfen und alternative Kommunikationsmittel.

Artikel 40

Vertraulichkeit des Kommunikationsverkehrs

Eurojust gewährleistet unter Beachtung des Gemeinschaftsrechts die Vertraulichkeit der Kommunikation über Telekommunikationsnetze und Endgeräte.

Artikel 41

Verkehrsdaten und Daten für die Gebührenabrechnung

(1)   Verkehrsdaten, die sich auf Nutzer beziehen und die für den Verbindungsaufbau von Anrufen oder anderen Verbindungen über das Telekommunikationsnetz verarbeitet werden, sind nach Beendigung des Gesprächs oder anderer Verbindungen zu löschen oder zu anonymisieren.

(2)   Ausnahmen von diesem allgemeinen Grundsatz (etwa die Notwendigkeit, einige Verkehrsdaten aufzubewahren, falls sie mit der für bestimmte Dateien erforderlichen Protokollierung in Verbindung stehen oder der Abrechnung privater Anrufe dienen) sind nur gestattet, wenn sie in internen Regelungen vorgesehen sind, die Eurojust nach Anhörung des Datenschutzbeauftragten erlässt. Ist der Datenschutzbeauftragte von der Rechtmäßigkeit oder Angemessenheit dieser Ausnahmeregelungen nicht überzeugt, so wird die gemeinsame Kontrollinstanz konsultiert.

(3)   Die Verarbeitung von Verkehrsdaten oder Daten für die Gebührenabrechnung darf lediglich durch Personen vorgenommen werden, die für die Gebührenabrechnung, Verkehrsabwicklung oder die Verwaltung des Haushalts zuständig sind.

Artikel 42

Nutzerverzeichnisse

(1)   Personenbezogene Daten in gedruckten oder elektronischen Nutzerverzeichnissen und der Zugang zu solchen Verzeichnissen sind auf das für die besonderen Zwecke dieses Nutzerverzeichnisses unbedingt erforderliche Maß zu beschränken.

(2)   Diese Verzeichnisse stehen nur Eurojust-Nutzern für den rein internen Gebrauch oder zur Verwendung in anderen, als geeignet angesehenen interinstitutionellen Verzeichnissen zur Verfügung.

Kapitel III

Spezielle Regelungen

Artikel 43

Zusätzliche Regelungen

Eurojust arbeitet erforderlichenfalls weitere Regelungen für die Verarbeitung personenbezogener Daten bei nicht-fallbezogenen Tätigkeiten aus. Derartige Regelungen werden der gemeinsamen Kontrollinstanz mitgeteilt und in gesonderten internen Handbüchern veröffentlicht.

TITEL VI

SONSTIGE BESTIMMUNGEN

Artikel 44

Überarbeitung der vorliegenden Bestimmungen

(1)   Die vorliegenden Bestimmungen werden regelmäßig im Hinblick darauf überprüft, ob Änderungen an ihnen erforderlich sind. Derartige Änderungen sind nach den gleichen Verfahren vorzunehmen, die im Eurojust-Beschluss für die Annahme der vorliegenden Bestimmungen vorgesehen sind.

(2)   Der Datenschutzbeauftragte unterrichtet den Vorsitzenden des Kollegiums und die gemeinsame Kontrollinstanz, wenn er der Ansicht ist, dass Änderungen an den vorliegenden Bestimmungen vorgenommen werden müssen.

(3)   Die gemeinsame Kontrollinstanz befasst das Kollegium mit Vorschlägen oder Empfehlungen für Änderungen an den vorliegenden Bestimmungen.

Artikel 45

Inkrafttreten und Veröffentlichung

(1)   Die vorliegenden Bestimmungen treten am Tag nach ihrer endgültigen Annahme durch den Rat in Kraft.

(2)   Sie werden im Amtsblatt der Europäischen Union veröffentlicht.

---

(1)  ABl. L 281 vom 23.11.1995, S. 31.

---