Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32021D0858

    Durchführungsbeschluss (EU) 2021/858 der Kommission vom 27. Mai 2021 zur Änderung des Durchführungsbeschlusses (EU) 2017/253 in Bezug auf durch schwerwiegende grenzüberschreitende Gesundheitsgefahren ausgelöste Warnmeldungen und für die Kontaktnachverfolgung von Passagieren mithilfe von Reiseformularen (Text von Bedeutung für den EWR)

    C/2021/3921

    ABl. L 188 vom 28.5.2021, p. 106–118 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/dec_impl/2021/858/oj

    28.5.2021   

    DE

    Amtsblatt der Europäischen Union

    L 188/106


    DURCHFÜHRUNGSBESCHLUSS (EU) 2021/858 DER KOMMISSION

    vom 27. Mai 2021

    zur Änderung des Durchführungsbeschlusses (EU) 2017/253 in Bezug auf durch schwerwiegende grenzüberschreitende Gesundheitsgefahren ausgelöste Warnmeldungen und für die Kontaktnachverfolgung von Passagieren mithilfe von Reiseformularen

    (Text von Bedeutung für den EWR)

    DIE EUROPÄISCHE KOMMISSION —

    gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

    gestützt auf den Beschluss Nr. 1082/2013/EU des Europäischen Parlaments und des Rates vom 22. Oktober 2013 zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung der Entscheidung Nr. 2119/98/EG (1), insbesondere auf Artikel 8 Absatz 2,

    in Erwägung nachstehender Gründe:

    (1)

    Die Feststellung eines positiven COVID-19-Falls nach einer bestimmten grenzüberschreitenden Reise erfüllt die Kriterien gemäß Artikel 9 Absatz 1 des Beschlusses 1082/2013/EU, da dies potenziell immer noch für eine erhebliche Mortalität bei Menschen verantwortlich ist, potenziell rasch anwächst, potenziell mehr als einen Mitgliedstaat betrifft und potenziell eine koordinierte Reaktion auf Unionsebene erfordert. Entsprechend Nummer 23 der Empfehlung (EU) 2020/1475 vom 13. Oktober 2020 für eine koordinierte Vorgehensweise bei der Beschränkung der Freizügigkeit aufgrund der COVID-19-Pandemie (2) sollten Informationen über bei der Ankunft im Hoheitsgebiet eines Mitgliedstaats diagnostizierte COVID-19-Fälle über das Frühwarn- und Reaktionssystem (im Folgenden „EWRS“), das gemäß Artikel 8 des Beschlusses 1082/2013/EU eingerichtet wurde und das von dem Europäischen Zentrum für die Prävention und die Kontrolle von Krankheiten (im Folgenden „ECDC“) betrieben wird, unverzüglich an die Gesundheitsbehörden der Länder weitergeleitet werden, in denen sich die betreffende Person in den vorangegangenen 14 Tagen aufgehalten hat, damit die Kontakte der Person nachverfolgt werden können.

    (2)

    Gemäß der Empfehlung (EU) 2020/1475 können Mitgliedstaaten bei Einreisen in ihr Hoheitsgebiet die Vorlage ausgefüllter Reiseformulare (Passenger Locator Forms — „PLF“) verlangen, die die Datenschutzanforderungen erfüllen.

    (3)

    Indem die Mitgliedstaaten das Ausfüllen nationaler Reiseformulare verschiedener Formate vorschreiben, erheben sie PLF-Daten von grenzüberschreitenden Passagieren, die in ihr Hoheitsgebiet einreisen. Ein Verwendungszweck dieser Daten besteht darin, dass wenn eine Person, die ein Reiseformular ausgefüllt hat, als COVID-19-Fall identifiziert wird, die im Reiseformular erhobenen Daten dazu verwendet werden, den Reiseverlauf dieser Person festzustellen und einschlägige Informationen an die Mitgliedstaaten weiterzuleiten, die Verfahren zur Kontaktnachverfolgung in Bezug auf Personen durchführen müssen, die gegenüber dem infizierten Passagier möglicherweise exponiert waren.

    (4)

    Die Gesundheitsbehörden einiger Mitgliedstaaten haben bereits durch nationale Reiseformulare erhobene personenbezogene Daten untereinander ausgetauscht, um im Zusammenhang mit der COVID-19-Pandemie die Kontaktnachverfolgung zu ermöglichen. Dieser Austausch erfolgte insbesondere über die derzeit im Rahmen des EWRS bereitgestellte technische Infrastruktur.

    (5)

    Die derzeit im Rahmen des EWRS bereitgestellte technische Infrastruktur ist noch nicht darauf ausgelegt, das Volumen an PLF-Daten zu bewältigen, das durch die systematische und großflächige Nutzung von Reiseformularen generiert wird. Beispielsweise ermöglicht sie keine Übertragung zwischen unterschiedlichen nationalen Formaten und erfordert eine manuelle Eingabe, was die Aktualität und Wirksamkeit der Kontaktnachverfolgung beeinträchtigt. Dies gilt insbesondere, wenn die Kontaktnachverfolgung für grenzüberschreitende Passagiere durchgeführt werden muss, die in öffentlichen Verkehrsmitteln mit vorab zugewiesenen Sitzplätzen gereist sind, wie Flugzeugen, bestimmten Zügen, Fähren und Kreuzfahrtschiffen, bei denen die Zahl der exponierten Passagiere und die Dauer der Exposition gegenüber einem infizierten Passagier erheblich sein könnten.

    (6)

    Daher sollte eine technische Infrastruktur — die sogenannte „Plattform für den Austausch von Reiseformularen“ — eingerichtet werden, um den sicheren, zeitnahen und wirksamen Datenaustausch zwischen den für das EWRS zuständigen Behörden der Mitgliedstaaten zu ermöglichen, indem die interoperable und automatische Übermittlung von Informationen aus ihren bestehenden nationalen digitalen PLF-Systemen an andere für das EWRS zuständige Behörden erlaubt wird. Diese sollte auf der Austauschplattform aufbauen, die bereits von der Agentur der Europäischen Union für Flugsicherheit (EASA) entwickelt wurde, wobei die EASA bei der Verarbeitung personenbezogener Daten über die Plattform für den Austausch von Reiseformularen entsprechend diesem Durchführungsbeschlusses keine Rolle spielt. Die Plattform für den Austausch von Reiseformularen sollte auch den Austausch begrenzter epidemiologischer Daten ermöglichen, die für die Kontaktnachverfolgung gemäß Artikel 9 Absatz 3 des Beschlusses 1082/2013/EU erforderlich sind. Um zu vermeiden, dass Tätigkeiten sich mit bestehenden Strukturen und Mechanismen für die Überwachung, Frühwarnung und Bekämpfung schwerwiegender grenzüberschreitender Gesundheitsgefahren überschneiden oder etwaige Maßnahmen ihnen zuwiderlaufen, sollte die Plattform für den Austausch von Reiseformularen im Rahmen des EWRS als Ergänzung der in diesem System bestehenden Funktion für die selektive Nachrichtenübermittlung entwickelt werden.

    (7)

    Die Plattform für den Austausch von Reiseformularen sollte vom ECDC entsprechend Artikel 8 der Verordnung (EG) Nr. 851/2004 des Europäischen Parlaments und des Rates (3) betrieben werden.

    (8)

    Die auszutauschenden PLF-Daten und epidemiologischen Daten sollten auf der Plattform für den Austausch von Reiseformularen nicht gespeichert werden.

    (9)

    Wenn ein Mitgliedstaat nicht über ein national entwickeltes digitales Reiseformularsystem verfügt, könnte er das gemeinsame digitale Reiseformularsystem der Europäischen Union (European Union digital Passenger Locator Form System — „EUdPLF“) verwenden, mit dessen Entwicklung die gemeinsame Maßnahme „EU Healthy Gateways“ von der Kommission betraut wurde (Finanzhilfe Nr. 801493) (4). Der Zweck des EUdPLF besteht darin, einen zentralen Zugangspunkt und eine zentrale Datenbank für die Erfassung von Reiseformularen zu schaffen. In Zukunft sollte das EUdPLF mit der Plattform für den Austausch von Reiseformularen zu dem einzigen Zweck verbunden werden, den Datenaustausch zwischen Mitgliedstaaten mit eigenen nationalen digitalen Reiseformularsystemen einerseits und Mitgliedstaaten, die das EUdPLF verwenden, andererseits zu ermöglichen. Dieser Beschluss betrifft weder die Einrichtung des EUdPLF noch regelt er die Verarbeitung personenbezogener Daten im Zusammenhang mit dem EUdPLF.

    (10)

    Dieser Beschluss regelt nicht die Einrichtung nationaler Reiseformulare, über die die Mitgliedstaaten zu entscheiden haben. Die Mitgliedstaaten können frei entscheiden, ob sie Reiseformulare von allen in ihrem Hoheitsgebiet ankommenden Passagieren oder nur von Passagieren erheben, deren endgültiger Zielpunkt dieser Mitgliedstaat ist. Eine wirksame grenzüberschreitende Kontaktnachverfolgung auf der Grundlage von PLF-Daten erfordert, dass die Mitgliedstaaten über ihre nationalen Reiseformulare einen gemeinsamen Mindestumfang an PLF-Daten erheben. Daher sollten diese PLF-Mindestdaten festgelegt werden. Darüber hinaus sollten die Mitgliedstaaten aus Gründen der Kosteneffizienz, der Nachhaltigkeit und der erhöhten Sicherheit der Lösung in Erwägung ziehen, einen gemeinsamen Ansatz in Bezug auf die Frage zu verfolgen, ob Reiseformulare für alle Passagiere, einschließlich Passagiere im Transitverkehr, oder nur für Passagiere, deren endgültiger Zielpunkt der betreffende Mitgliedstaat ist, verbindlich sein sollen.

    (11)

    Die Nutzung der Plattform für den Austausch von Reiseformularen sollte freiwillig sein, und es sollte den Mitgliedstaaten freigestellt sein, Warnmeldungen vorläufig im Rahmen der derzeit bestehenden technischen Infrastruktur des EWRS zu übermitteln, sofern dies die Zwecke der Kontaktnachverfolgung nicht beeinträchtigt.

    (12)

    Die für das EWRS zuständigen Behörden sollten im Einklang mit dem Grundsatz der Minimierung der Verarbeitung personenbezogener Daten nur genau festgelegte über ihre Reiseformulare erhobene Datensätze und andere begrenzte epidemiologische Daten, die für die Kontaktnachverfolgung erforderlich sind, austauschen. Wenn der Mitgliedstaat, der die Warnmeldung über einen infizierten Passagier übermittelt, auf der Grundlage der verfügbaren PLF-Daten alle betroffenen Mitgliedstaaten identifizieren kann, sollte er nur an die für das EWRS zuständigen Behörden dieser Mitgliedstaaten Daten übermitteln. Das ist beispielsweise der Fall, wenn der Mitgliedstaat, der den infizierten Passagier identifiziert, Reiseformulare für alle Passagiere, einschließlich Transitpassagiere, erfasst, die in seinem Hoheitsgebiet mit einer Direktverbindung vom ursprünglichen Abreiseort ankommen.

    (13)

    Wenn ein Passagier in einem Mitgliedstaat als mit SARS-CoV-2 infiziert diagnostiziert wird, sollten die für das EWRS zuständigen Behörden dieses Mitgliedstaats in der Lage sein, den für das EWRS zuständigen Behörden des Abreisemitgliedstaats einen aus den Reiseformularen extrahierten begrenzten Datensatz zu übermitteln, der strikt danach festgelegt sein sollte, was für die Durchführung einer Kontaktnachverfolgung exponierter Personen im Mitgliedstaat der Abreise und im Mitgliedstaat des Wohnsitzes, sofern anders als der Mitgliedstaat der Abreise, erforderlich ist, nämlich die Identitäts- und Kontaktinformationen des infizierten Passagiers.

    (14)

    Wenn ein Passagier in einem Mitgliedstaat als mit SARS-CoV-2 infiziert diagnostiziert wird, sollten die für das EWRS zuständigen Behörden dieses Mitgliedstaats außerdem in der Lage sein, einen begrenzten Datensatz an die für das EWRS zuständigen Behörden aller Mitgliedstaaten oder der betroffenen Mitgliedstaaten zu übermitteln, wenn diese Behörden über Informationen verfügen, die es ihnen ermöglichen, solche Mitgliedstaaten zu identifizieren. Die Daten sollten beschränkt sein auf den Abreiseort, den Ankunftsort, das Abreisedatum, das verwendete Verkehrsmittel (z. B Flugzeug, Bahn, Reisebus, Fähre, Schiff), die Kennnummer des Beförderungsdiensts — d. h. Flugnummer, Zugnummer, Kennzeichen des Reisebusses, Name der Fähre oder des Schiffs —, die Platznummer oder Kabinennummer des infizierten Passagiers und die Abreisezeit, falls die vorstehenden Daten nicht zur Identifizierung der Beförderung ausreichen. Dies sollte es den für das EWRS zuständigen Behörden, die die Daten erhalten, ermöglichen, festzustellen, ob exponierte Passagiere in ihrem Hoheitsgebiet angekommen sind, und gegebenenfalls eine Kontaktnachverfolgung durchzuführen.

    (15)

    Bei der Übermittlung von Daten an für das EWRS zuständige Behörden über die Plattform für den Austausch von Reiseformularen sollte die jeweilige für das EWRS zuständige Behörde in der Lage sein, epidemiologische Informationen hinzuzufügen, die darauf beschränkt sind, was für die Kontaktnachverfolgung erforderlich ist, d. h. den Typ des durchgeführten COVID-19-Tests, die Variante des SARS-CoV-2-Virus, das Datum der Probenahme und das Datum des Auftretens der Symptome.

    (16)

    Die Verarbeitung personenbezogener Daten von infizierten Passagieren, die über die Plattform für den Austausch von Reiseformularen ausgetauscht werden, muss durch die für das EWRS zuständigen Behörden entsprechend der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (5) erfolgen. Die Verarbeitung personenbezogener Daten unter der Verantwortung des ECDC als Betreiber der Plattform für den Austausch von Reiseformularen für die Zwecke der Kontaktnachverfolgung und der Kommission als dessen Unterauftragsverarbeiter muss im Einklang mit der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (6) erfolgen.

    (17)

    Die Rechtsgrundlage für den Austausch von personenbezogenen Daten infizierter Passagiere, einschließlich Gesundheitsdaten, zwischen den für das EWRS zuständigen Behörden zum Zwecke der Kontaktnachverfolgung ist in Artikel 9 Absatz 1 und Artikel 9 Absatz 3 Buchstabe i des Beschlusses 1082/2013/EU im Einklang mit Artikel 6 Absatz 1 Buchstabe c und Artikel 9 Absatz 2 Buchstabe i der 9 Verordnung (EU) 2016/679 festgelegt. Im vorliegenden Beschluss sollten geeignete und spezifische Maßnahmen zur Sicherung der Rechte und Freiheiten der betroffenen Person festgelegt werden. Diese sollten Maßnahmen in Bezug auf die Festlegung der erforderlichen auszutauschenden Datensätze, die für das EWRS zuständigen Behörden, mit denen die Daten in den verschiedenen Fällen ausgetauscht werden sollten, die angemessenen Sicherheitsmaßnahmen, einschließlich der Verschlüsselung, und die Modalitäten für die Verarbeitung von Daten zwischen den nationalen Behörden über die Plattform für den Austausch von Reiseformularen innerhalb der Europäischen Union umfassen.

    (18)

    Die für das EWRS zuständigen Behörden, die an der Plattform für den Austausch von Reiseformularen beteiligt sind, bestimmen gemeinsam den Zweck und die Mittel der Verarbeitung personenbezogener Daten auf der Plattform für den Austausch von Reiseformularen und sind daher gemeinsam Verantwortliche. Gemäß Artikel 26 der Verordnung (EU) 2016/679 sind gemeinsam Verantwortliche verpflichtet, in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß der genannten Verordnung erfüllt. Ferner ist darin die Möglichkeit vorgesehen, dass diese Zuständigkeiten durch Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt werden, denen die Verantwortlichen unterliegen. In dem vorliegenden Beschluss sollten daher die jeweiligen Funktionen und Zuständigkeiten der gemeinsam Verantwortlichen festgelegt werden.

    (19)

    Das ECDC als Anbieter technischer und organisatorischer Lösungen für die Plattform für den Austausch von Reiseformularen verarbeitet PLF-Daten und epidemiologische Daten im Auftrag der Mitgliedstaaten, die als gemeinsam Verantwortliche an der Plattform für den Austausch von Reiseformularen beteiligt sind, und ist daher ein Auftragsverarbeiter im Sinne von Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725. Gemäß Artikel 28 der Verordnung (EU) 2016/679 und Artikel 29 der Verordnung (EU) 2018/1725 muss die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines Rechtsinstruments nach dem Recht der Union oder dem Recht der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und die Verarbeitung regelt. Daher müssen Regeln für die Verarbeitung durch das ECDC als Auftragsverarbeiter festgelegt werden.

    (20)

    Artikel 3 Absatz 3 der Verordnung (EG) Nr. 851/2004 sieht vor, dass das ECDC mit der Kommission und den Mitgliedstaaten zusammenarbeitet, um eine wirksame Kohärenz zwischen deren jeweiligen Tätigkeitsbereichen zu fördern. Dementsprechend sollten Dienstleistungsvereinbarungen zwischen der Kommission und dem ECDC geschlossen werden, um bei der technischen Entwicklung und dem Betrieb der Plattform für den Austausch von Reiseformularen zusammenzuarbeiten. In diesen ist die Aufteilung der (organisatorischen, finanziellen und technischen) Zuständigkeiten zwischen den Parteien festzulegen, um die Umsetzung der Plattform für den Austausch von Reiseformularen sowie die technischen Maßnahmen im Zusammenhang mit deren Betrieb, Wartung und Weiterentwicklung zu erleichtern.

    (21)

    Der Durchführungsbeschluss (EU) 2017/253 sollte daher entsprechend geändert werden.

    (22)

    Die Plattform für den Austausch von Reiseformularen soll im Jahr 2021 aus dem Soforthilfeinstrument finanziert werden, das eingerichtet wurde, um die Mitgliedstaaten bei der Bewältigung der Coronavirus-Pandemie zu unterstützen, indem sie auf europäischer Ebene strategisch und koordiniert auf die Erfordernisse eingeht, sowie durch die Maßnahme „Unterstützende Tätigkeiten für die Europäische Verkehrspolitik, Verkehrssicherheit und Passagierrechte einschließlich Kommunikationstätigkeiten“. Im Jahr 2022 soll ihre Finanzierung aus dem Programm „Digitales Europa“ erfolgen.

    (23)

    Angesichts des vorgesehenen Datums der Inbetriebnahme der Plattform für den Austausch von Reiseformularen sollte der vorliegende Beschluss ab dem 1. Juni 2021 gelten. Der Datenaustausch sollte nach 12 Monaten eingestellt werden oder sobald der Generaldirektor der Weltgesundheitsorganisation gemäß den Internationalen Gesundheitsvorschriften erklärt hat, dass die durch SARS-CoV-2 verursachte gesundheitliche Notlage von internationaler Tragweite beendet ist, sofern diese Erklärung früher abgegeben wird.

    (24)

    Der Betrieb der Plattform für den Austausch von Reiseformularen sollte sich auf die Bekämpfung der COVID-19-Pandemie beschränken. Er könnte in Zukunft jedoch durch einen Änderungsdurchführungsbeschluss auf Epidemien ausgeweitet werden, für deren Bekämpfung Mitgliedstaaten entsprechend den Kriterien in Artikel 9 Absatz 1 und den Bedingungen gemäß Artikel 9 Absatz 3 des Beschlusses 1082/2013/EU PLF-Daten für die Zwecke der Kontaktnachverfolgung austauschen müssen.

    (25)

    Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert und hat am 6. Mai 2021 eine Stellungnahme abgegeben.

    (26)

    Die in diesem Beschluss vorgesehenen Maßnahmen stehen im Einklang mit der Stellungnahme des gemäß Artikel 18 des Beschlusses Nr. 1082/2013/EU eingesetzten Ausschusses für schwerwiegende grenzüberschreitende Gesundheitsgefahren —

    HAT FOLGENDEN BESCHLUSS ERLASSEN:

    Artikel 1

    Der Durchführungsbeschluss (EU) 2017/253 wird wie folgt geändert:

    1.

    Folgender Artikel 1a wird eingefügt:

    „Artikel 1a

    Begriffsbestimmungen

    Für die Zwecke dieses Beschlusses bezeichnet der Ausdruck

    a)

    ‚Reiseformular‘ (Passenger Locator Form — ‚PLF‘) ein auf Verlangen der Gesundheitsbehörden ausgefülltes Formular, das mindestens die in Anhang I aufgeführten Passagierdaten erfasst und diese Behörden bei der Bewältigung einer Notlage im Bereich der öffentlichen Gesundheit unterstützt, indem es ihnen die Nachverfolgung von Passagieren, die möglicherweise gegenüber einer mit SARS-CoV-2 infizierten Person exponiert waren, nach einem Grenzübertritt gestattet;

    b)

    ‚Reiseformulardaten‘ (‚PLF-Daten‘) personenbezogene Daten, die mithilfe eines Reiseformulars erhoben werden;

    c)

    ‚digitaler Zugangspunkt‘ einen einzigen digitalen Punkt, an dem die für das EWRS zuständigen Behörden ihre nationalen digitalen Reiseformular-Systeme sicher mit der Plattform für den Austausch von Reiseformularen verbinden können;

    d)

    ‚Reise‘ die Fortbewegung mit Grenzübertritt einer Person in einem öffentlichen Verkehrsmittel mit vorab zugewiesenen Plätzen mit einem oder mehreren Reiseabschnitten, unter Berücksichtigung des ersten Abreisepunkts und des endgültigen Zielpunkts der betreffenden Person;

    e)

    ‚Reiseabschnitt‘ eine einzelne Fortbewegung mit Grenzübertritt eines Passagiers ohne Anschlüsse oder Wechsel von Flug, Zug, Schiff oder Fahrzeug;

    f)

    ‚infizierter Passagier‘ einen Passagier, der das Laborkriterium für eine SARS-CoV-2-Infektion erfüllt;

    g)

    ‚exponierte Person‘ einen Passagier oder eine andere Person, die in nahem Kontakt mit einem infizierten Passagier stand;

    h)

    ‚Warnmeldung‘ eine Meldung über das Frühwarn- und Reaktionssystem (EWRS) gemäß Artikel 9 des Beschlusses Nr. 1082/2013/EU. “

    2.

    Die folgenden Artikel 2a, 2b und 2c werden eingefügt:

    „Artikel 2a

    Plattform für den Austausch von PLF-Daten

    (1)   Eine Plattform für den sicheren Austausch von PLF-Daten infizierter Passagiere für den alleinigen Zweck der SARS-CoV-2-Kontaktnachverfolgung exponierter Personen durch die für das EWRS zuständigen Behörden (‚Plattform für den Austausch von Reiseformularen‘) wird im Rahmen des EWRS als Ergänzung der in diesem System bestehenden Funktion für die selektive Nachrichtenübermittlung eingerichtet.

    Die Plattform für den Austausch von Reiseformularen bietet den für das EWRS zuständigen Behörden einen digitalen Zugangspunkt für die sichere Anbindung ihrer nationalen digitalen Reiseformularsysteme oder die Anbindung über das gemeinsame digitale Reiseformularsystem der Europäischen Union (EUdPLF), um den Austausch von durch Reiseformulare erhobenen Daten zu ermöglichen.

    Die für das EWRS zuständigen Behörden müssen in der Lage sein, die Plattform für den Austausch von Reiseformularen für den Austausch zusätzlicher Daten, d. h. epidemiologischer Daten für den alleinigen Zweck der SARS-CoV-2-Kontaktnachverfolgung exponierter Personen, gemäß Artikel 2b Absatz 5 zu verwenden.

    (2)   Die Plattform für den Austausch von Reiseformularen wird von dem ECDC betrieben.

    (3)   Um ihren Verpflichtungen gemäß Artikel 2 nachzukommen, schwerwiegende grenzüberschreitende Gesundheitsgefahren mitzuteilen, die im Rahmen der Erhebung von PLF-Daten festgestellt werden, tauschen die für das EWRS zuständigen Behörden der Mitgliedstaaten, die das Ausfüllen eines Reiseformulars verlangen, über die Plattform für den Austausch von Reiseformularen einen PLF-Datensatz aus, wie er in Artikel 2b beschrieben ist.

    (4)   Die für das EWRS zuständigen Behörden können ihren Verpflichtungen gemäß Artikel 9 Absätze 1 und 3 des Beschlusses 1082/2013/EU zur Mitteilung schwerwiegender grenzüberschreitender Gesundheitsgefahren, die im Rahmen der Erfassung von PLF-Daten festgestellt werden, weiterhin nachkommen, indem sie vorübergehend Daten über die anderen bestehenden Kommunikationskanäle übermitteln, die in Artikel 1 Absatz 2 genannt werden, sofern diese Entscheidung den Zweck der Kontaktnachverfolgung nicht beeinträchtigt.

    (5)   Die PLF-Daten und die zusätzlichen epidemiologischen Daten dürfen auf der Plattform für den Austausch von Reiseformularen nicht gespeichert werden. Die Plattform ermöglicht es den für das EWRS zuständigen Behörden lediglich, Daten zu empfangen, die ihnen von anderen für das EWRS zuständigen Behörden für den alleinigen Zweck der SARS-CoV-2-Kontaktnachverfolgung gesendet wurden. Das ECDC greift auf die Daten ausschließlich zu, um das reibungslose Funktionieren der Plattform für den Austausch von Reiseformularen zu gewährleisten.

    (6)   Die für das EWRS zuständigen Behörden bewahren die PLF-Daten und die epidemiologischen Daten, die sie über die Plattform für den Austausch von Reiseformularen erhalten haben, nicht über die im Rahmen ihrer nationalen Tätigkeiten für die SARS-CoV-2-Kontaktnachverfolgung geltende Speicherfrist hinaus auf.

    (7)   Die Kommission arbeitet mit dem ECDC bei der Erfüllung der ihm durch den vorliegenden Beschluss übertragenen Aufgaben zusammen, insbesondere in Bezug auf technische und organisatorische Maßnahmen im Zusammenhang mit der Einführung, der Implementierung, dem Betrieb, der Wartung und der Weiterentwicklung der Plattform für den Austausch von Reiseformularen.

    (8)   Die Verarbeitung personenbezogener Daten auf der Plattform für den Austausch von Reiseformularen für den alleinigen Zweck der SARS-CoV-2-Kontaktnachverfolgung erfolgt bis zum 31. Mai 2022 oder solange, bis der Generaldirektor der Weltgesundheitsorganisation gemäß den Internationalen Gesundheitsvorschriften erklärt hat, dass die durch SARS-CoV-2 verursachte gesundheitliche Notlage von internationaler Tragweite beendet ist, je nachdem, was eher eintritt.

    Artikel 2b

    Auszutauschende Daten

    (1)   Bei der Übermittlung einer Warnmeldung über die Plattform für den Austausch von Reiseformularen übermitteln die für das EWRS zuständigen Behörden des Mitgliedstaats, in dem der infizierte Passagier diagnostiziert wurde, die folgenden PLF-Daten an die für das EWRS zuständigen Behörden des Mitgliedstaats der ersten Abreise des infizierten Passagiers oder des Mitgliedstaats, in dem der infizierte Passagier seinen Wohnsitz hat, sofern sich der Wohnsitz vom ersten Abreiseort unterscheidet:

    a)

    Vorname,

    b)

    Nachname,

    c)

    Geburtsdatum,

    d)

    Telefonnummer (Festnetzanschluss und/oder Mobiltelefon),

    e)

    E-Mail-Adresse,

    f)

    Anschrift des Wohnsitzes.

    (2)   Die für das EWRS zuständigen Behörden des Mitgliedstaats des ersten Abreisepunkts des infizierten Passagiers können die empfangenen PLF-Daten an einen anderen Abreisemitgliedstaat als den im Reiseformular erklärten Mitgliedstaat des ersten Abreisepunkts übermitteln, wenn sie über zusätzliche Informationen verfügen, die auf den Mitgliedstaat hinweisen, der die Kontaktnachverfolgung durchführen sollte.

    (3)   Bei der Übermittlung einer Warnmeldung über die Plattform für den Austausch von Reiseformularen übermitteln die für das EWRS zuständigen Behörden des Mitgliedstaats, in dem der infizierte Passagier diagnostiziert wurde, die folgenden PLF-Daten in Bezug auf jeden Reiseabschnitt dieses Passagiers an die für das EWRS zuständigen Behörden aller Mitgliedstaaten:

    a)

    Abgangsort jedes betroffenen Verkehrsmittels,

    b)

    Ankunftsort jedes betroffenen Verkehrsmittels,

    c)

    Abgangsdatum jedes betroffenen Verkehrsmittels,

    d)

    Art jedes betroffenen Verkehrsmittels (z. B. Flugzeug, Bahn, Reisebus, Fähre, Schiff),

    e)

    Kennnummer jedes betroffenen Verkehrsmittels (z. B. Flugnummer, Zugnummer, Kennzeichen des Reisebusses, Name der Fähre oder des Schiffes),

    f)

    Platz-/Kabinennummer in jedem betroffenen Verkehrsmittel,

    g)

    erforderlichenfalls die Abgangszeit jedes betroffenen Verkehrsmittels.

    (4)   Können die für das EWRS zuständigen Behörden des Mitgliedstaats, der die Warnmeldung übermittelt, die betroffenen Mitgliedstaaten anhand der ihnen vorliegenden Informationen ermitteln, übermitteln sie die in Absatz 3 aufgeführten Daten ausschließlich an die für das EWRS zuständigen Behörden dieser Mitgliedstaaten.

    (5)   Die für das EWRS zuständigen Behörden müssen in der Lage sein, die folgenden epidemiologischen Daten bereitzustellen, wenn dies für die Durchführung einer wirksamen Kontaktnachverfolgung erforderlich ist:

    a)

    Art des durchgeführten Tests,

    b)

    Variante des SARS-CoV-2-Virus,

    c)

    Datum der Probenahme,

    d)

    Datum des Auftretens der Symptome.

    Artikel 2c

    Zuständigkeiten der für das EWRS zuständigen Behörden und des ECDC bei der Verarbeitung von PLF-Daten

    (1)   Die für das EWRS zuständigen Behörden, welche PLF-Daten und die in Artikel 2b Absatz 5 genannten Daten austauschen, sind gemeinsam Verantwortliche für die Eingabe und die Übermittlung bis zum Erhalt dieser Daten über die Plattform für den Austausch von Reiseformularen. Die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen werden gemäß Anhang II zugewiesen. Jeder Mitgliedstaat, der am grenzüberschreitenden Austausch von PLF-Daten über die Plattform für den Austausch von Reiseformularen teilnehmen möchte, teilt dem ECDC im Vorfeld seine Absicht mit und gibt die für das EWRS zuständige Behörde an, die als Verantwortlicher benannt wurde.

    (2)   Das ECDC ist der Auftragsverarbeiter der über die Plattform für den Austausch von Reiseformularen ausgetauschten Daten. Es stellt die Plattform für den Austausch von Reiseformularen bereit und gewährleistet die Sicherheit der Verarbeitung, auch der Übermittlung, der über diese Plattform ausgetauschten Daten und nimmt die in Anhang III festgelegten Zuständigkeiten eines Auftragsverarbeiters wahr.

    (3)   Die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung der PLF-Daten, die über die Plattform für den Austausch von Reiseformularen ausgetauscht werden, wird von dem ECDC und den zum Zugriff auf die Plattform für den Austausch von Reiseformularen befugten für das EWRS zuständigen Behörden regelmäßig geprüft, beurteilt und bewertet.

    (4)   Das ECDC beauftragt die Kommission als Unterauftragsverarbeiter und stellt sicher, dass dieselben Datenschutzverpflichtungen, wie sie in diesem Beschluss festgelegt sind, auch für die Kommission gelten.“

    3.

    In Artikel 3 Absatz 3 wird die Angabe „im Anhang“ durch die Angabe „in Anhang IV“ ersetzt.

    4.

    Im Anhang wird der Titel „ANHANG“ durch „ANHANG IV“ ersetzt.

    5.

    Die Anhänge I, II und III werden gemäß dem Anhang des vorliegenden Beschlusses eingefügt.

    Artikel 2

    Dieser Beschluss tritt am dritten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

    Er gilt ab dem 1. Juni 2021.

    Brüssel, den 27. Mai 2021

    Für die Kommission

    Die Präsidentin

    Ursula VON DER LEYEN


    (1)  ABl. L 293 vom 5.11.2013, S. 1.

    (2)  ABl. L 337 vom 14.10.2020, S. 3.

    (3)  Verordnung (EG) Nr. 851/2004 des Europäischen Parlaments und des Rates vom 21. April 2004 zur Errichtung eines Europäischen Zentrums für die Prävention und die Kontrolle von Krankheiten (ABl. L 142 vom 30.4.2004, S. 1).

    (4)  Die gemeinsame Maßnahme zur Abwehrbereitschaft und für Maßnahmen an den Grenzübergangsstellen (Häfen, Flughäfen und Landübergangsstellen) HEALTHY GATEWAYS vereint 28 europäische Länder und wird im Rahmen des dritten Gesundheitsprogramms (2014–2020) finanziert.

    (5)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4.5.2016, S. 1).

    (6)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).


    ANHANG

    „ANHANG I

    MINDESTUMFANG DER PLF-DATEN, DIE DURCH DAS NATIONALE REISEFORMULAR ZU ERHEBEN SIND

    Das Reiseformular umfasst mindestens die folgenden PLF-Daten:

    (1)

    Vorname,

    (2)

    Nachname,

    (3)

    Geburtsdatum,

    (4)

    Telefonnummer (Festnetzanschluss und/oder Mobiltelefon),

    (5)

    E-Mail-Adresse,

    (6)

    Anschrift des Wohnsitzes,

    (7)

    endgültiger Zielpunkt oder letzter Zielort in der EU der gesamten Reise,

    (8)

    die folgenden Angaben zu jedem Reiseabschnitt der Reise bis zum Mitgliedstaat, der das Reiseformular vorschreibt:

    (a)

    Abreiseort,

    (b)

    Ankunftsort,

    (c)

    Datum der Abreise,

    (d)

    Art des Verkehrsmittels (z. B. Flugzeug, Bahn, Reisebus, Fähre, Schiff),

    (e)

    Uhrzeit der Abreise,

    (f)

    Kennnummer des Verkehrsmittels (z. B. Flugnummer, Zugnummer, Kennzeichen des Reisebusses, Name der Fähre oder des Schiffes),

    (g)

    Platz-/Kabinennummer.

    ANHANG II

    ZUSTÄNDIGKEITEN DER TEILNEHMENDEN MITGLIEDSTAATEN ALS GEMEINSAM VERANTWORTLICHE FÜR DIE PLATTFORM FÜR DEN AUSTAUSCH VON REISEFORMULAREN

    ABSCHNITT 1

    Verteilung der Zuständigkeiten

    (1)

    Jede für das EWRS zuständige Behörde stellt sicher, dass die Verarbeitung der PLF-Daten und der zusätzlichen epidemiologischen Daten, die über die Plattform für den Austausch von Reiseformularen ausgetauscht werden, entsprechend der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (*) erfolgt. Insbesondere stellt sie sicher, dass die Daten, die sie über die Plattform für den Austausch von Reiseformularen eingibt und übermittelt, richtig und auf die in Artikel 2b festgelegten Daten beschränkt sind.

    (2)

    Jede für das EWRS zuständige Behörde bleibt der alleinige Verantwortliche für die Erhebung, Verwendung, Offenlegung und sonstige Verarbeitung von PLF-Daten und zusätzlichen epidemiologischen Daten, die außerhalb der Plattform für den Austausch von Reiseformularen durchgeführt werden. Jede für das EWRS zuständige Behörde stellt sicher, dass die Übermittlung der Daten im Einklang mit den technischen Spezifikationen erfolgt, die für die Plattform für den Austausch von Reiseformularen festgelegt sind.

    (3)

    Weisungen für den Auftragsverarbeiter werden im Einvernehmen mit den anderen gemeinsam Verantwortlichen von der Anlaufstelle eines gemeinsam Verantwortlichen übermittelt.

    (4)

    Nur von den für das EWRS zuständigen Behörden ermächtigte Personen dürfen Zugriff auf PLF-Daten und zusätzlichen epidemiologischen Daten haben, die über die Plattform für den Austausch von Reiseformularen ausgetauscht werden.

    (5)

    Jede für das EWRS zuständige Behörde richtet eine Anlaufstelle mit einem Funktionspostfach ein, das der Kommunikation zwischen den gemeinsam Verantwortlichen sowie zwischen den gemeinsam Verantwortlichen und dem Auftragsverarbeiter dient. Das Entscheidungsfindungsverfahren der gemeinsam Verantwortlichen wird von der Arbeitsgruppe des EWRS-Gesundheitssicherheitsausschusses geregelt.

    (6)

    Jede für das EWRS zuständige Behörde verliert ab dem Tag, an dem sie ihre Teilnahme an der Plattform für den Austausch von Reiseformularen zurückzieht, ihre Funktion als gemeinsam Verantwortlicher. Sie bleibt jedoch für die vor ihrem Rückzug erfolgte Erhebung und Übermittlung von PLF-Daten und zusätzlichen epidemiologischen Daten über die Plattform für den Austausch von Reisedokumenten zuständig.

    (7)

    Jede für das EWRS zuständige Behörde führt ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Der Status als gemeinsam Verantwortlicher kann in dem Verzeichnis angegeben werden.

    ABSCHNITT 2

    Zuständigkeiten und Funktionen bei der Bearbeitung von Anfragen/Anträgen und der Unterrichtung betroffener Personen

    (1)

    Jede für das EWRS zuständige Behörde, die ein Reiseformular vorschreibt, stellt den grenzüberschreitenden Passagieren (im Folgenden ‚betroffene Personen‘) gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 Informationen über die Umstände des Austauschs ihrer PLF-Daten und epidemiologischen Daten über die Plattform für den Austausch von Reiseformularen für die Zwecke der Kontaktnachverfolgung zur Verfügung.

    (2)

    Jede für das EWRS zuständige Behörde fungiert als Anlaufstelle für die betroffenen Personen und bearbeitet die Anfragen/Anträge, die die betroffenen Personen oder ihre Vertreter im Zusammenhang mit der Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 stellen. Jede für das EWRS zuständige Behörde bestimmt eine spezielle Anlaufstelle für Anfragen/Anträge von betroffenen Personen. Erhält eine für das EWRS zuständige Behörde eine Anfrage/einen Antrag einer betroffenen Person, die/der nicht seiner Zuständigkeit unterliegt, so leitet sie sie/ihn umgehend an die zuständige für das EWRS zuständige Behörde weiter und informiert das ECDC. Auf Anfrage unterstützen sich die für das EWRS zuständigen Behörden gegenseitig bei der Bearbeitung von Anfragen/Anträgen betroffener Personen im Zusammenhang mit ihrem Status als gemeinsam Verantwortliche und antworten einander unverzüglich, spätestens jedoch innerhalb von 15 Tagen nach Eingang eines Amtshilfeersuchens.

    (3)

    Jede für das EWRS zuständige Behörde stellt den betroffenen Personen den Inhalt dieses Anhangs einschließlich der Bestimmungen der Nummern 1 und 2 zur Verfügung.

    ABSCHNITT 3

    Management von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten

    (1)

    Die für das EWRS zuständigen Behörden als gemeinsam Verantwortliche unterstützen sich gegenseitig bei der Ermittlung und Behandlung von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten, im Zusammenhang mit der Verarbeitung von PLF-Daten und epidemiologischen Daten, die über die Plattform für den Austausch von Reiseformularen ausgetauscht werden.

    (2)

    Insbesondere teilen sie einander und dem ECDC Folgendes mit:

    (a)

    potenzielle oder tatsächliche Risiken für die Verfügbarkeit, Vertraulichkeit und/oder Integrität der PLF-Daten und der epidemiologischen Daten, die auf der Plattform für den Austausch von Reiseformularen verarbeitet werden;

    (b)

    jede Verletzung des Schutzes personenbezogener Daten, die wahrscheinlichen Folgen der Verletzung des Datenschutzes und die Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen sowie alle Maßnahmen, die ergriffen wurden, um gegen die Verletzung des Schutzes personenbezogener Daten vorzugehen und das Risiko für die Rechte und Freiheiten natürlicher Personen zu mindern;

    (c)

    jeden Verstoß gegen die technischen und/oder organisatorischen Vorkehrungen für die Verarbeitungsvorgänge auf der Plattform für den Austausch von Reiseformularen.

    (3)

    Die für das EWRS zuständigen Behörden unterrichten das ECDC, die zuständigen Aufsichtsbehörden und, falls erforderlich, die betroffenen Personen im Einklang mit den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder nach Mitteilung des ECDC über alle Verletzungen des Datenschutzes im Zusammenhang mit den Verarbeitungsvorgängen auf der Plattform für den Austausch von Reiseformularen.

    (4)

    Jede für das EWRS zuständige Behörde trifft geeignete technische und organisatorische Maßnahmen:

    (a)

    für die Gewährleistung und den Schutz der Sicherheit, der Integrität und der Vertraulichkeit der gemeinsam verarbeiteten personenbezogenen Daten;

    (b)

    für den Schutz vor jeglicher unbefugten oder unrechtmäßigen Form der Verarbeitung, des Verlusts, der Verwendung, der Offenlegung oder des Erwerbs aller in ihrem Besitz befindlichen personenbezogenen Daten oder des Zugriffs auf diese;

    (c)

    für die Gewährleistung, dass der Zugriff auf die personenbezogenen Daten nicht an andere Personen als die Empfänger oder Auftragsverarbeiter weitergegeben oder gewährt wird.

    ABSCHNITT 4

    Datenschutzfolgenabschätzung

    Benötigt ein Verantwortlicher zur Erfüllung seiner Pflichten nach den Artikeln 35 und 36 der Verordnung (EU) 2016/679 Informationen von einem anderen Verantwortlichen, so übermittelt er eine besondere Anfrage an das in Abschnitt 1 Unterabschnitt 1 Nummer 5 genannte Funktionspostfach. Letzterer bemüht sich nach besten Kräften, diese Informationen zur Verfügung zu stellen.

    ANHANG III

    ZUSTÄNDIGKEITEN DES ECDC ALS AUFTRAGSVERARBEITER FÜR DIE PLATTFORM FÜR DEN AUSTAUSCH VON REISEFORMULAREN

    (1)   

    Das ECDC richtet eine sichere und zuverlässige Kommunikationsinfrastruktur ein und stellt ihre Funktion sicher; diese Kommunikationsinfrastruktur verbindet die für das EWRS zuständigen Behörden der Mitgliedstaaten, die sich an der Plattform für den Austausch von Reiseformularen beteiligen.

    Die Verarbeitung auf der Plattform für den Austausch von Reiseformularen durch das ECDC umfasst Folgendes:

    (a)

    Festlegung der technischen Mindestanforderungen für ein reibungsloses und sicheres Onboarding und Offboarding nationaler PLF-Datenbanken,

    (b)

    sichere und automatisierte Gewährleistung der Interoperabilität der nationalen PLF-Datenbanken.

    (2)   

    Um seinen Verpflichtungen als Auftragsverarbeiter der Plattform für den Austausch von Reiseformularen nachzukommen, beauftragt das ECDC die Kommission als Unterauftragsverarbeiter und stellt sicher, dass dieselben Datenschutzverpflichtungen für die Kommission gelten, wie sie in dem vorliegenden Beschluss festgelegt sind.

    Das ECDC kann die Kommission ermächtigen, Dritte als weitere Unterauftragsverarbeiter zu beauftragen.

    Wenn die Kommission Unterauftragsverarbeiter beauftragt, unternimmt das ECDC Folgendes:

    (a)

    Es stellt sicher, dass dieselben Datenschutzverpflichtungen, wie sie in diesem Beschluss festgelegt sind, auch für diese Unterauftragsverarbeiter gelten.

    (b)

    Es informiert die Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Unterauftragsverarbeiter, wodurch die Verantwortlichen die Möglichkeit erhalten, mit einfacher Mehrheit gegen derartige Änderungen Einspruch zu erheben.

    (3)   

    Das ECDC:

    (a)

    richtet eine sichere und zuverlässige Kommunikationsinfrastruktur ein, die die für das EWRS zuständigen Behörden der Mitgliedstaaten, die sich an der Plattform für den Austausch von Reiseformularen beteiligen, miteinander verbindet, und gewährleistet deren Funktion;

    (b)

    verarbeitet die PLF-Daten und zusätzliche epidemiologische Daten nur auf dokumentierte Weisung der Verantwortlichen, es sei denn, dass eine Verarbeitung nach Unionsrecht erfolgen muss; in einem solchen Fall teilt das ECDC den Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;

    (c)

    stellt einen Sicherheitsplan sowie Notfallpläne zur Aufrechterhaltung und Wiederherstellung des Betriebs auf;

    (d)

    ergreift die erforderlichen Maßnahmen zur Erhaltung der Integrität der verarbeiteten PLF-Daten und zusätzlichen epidemiologischen Daten;

    (e)

    trifft alle organisatorischen, physischen und elektronischen Sicherheitsmaßnahmen auf Grundlage des aktuellen Stands der Technik, um die Plattform für den Austausch von Reiseformularen aufrechtzuerhalten. Zu diesem Zweck wird das ECDC:

    i)

    eine für das Sicherheitsmanagement bei der Plattform für den Austausch von Reiseformularen zuständige Stelle benennen, den Verantwortlichen deren Kontaktdaten mitteilen und deren Verfügbarkeit zur Reaktion auf Sicherheitsbedrohungen gewährleisten;

    ii)

    die Verantwortung für die Sicherheit der Plattform für den Austausch von Reiseformularen übernehmen;

    iii)

    sicherstellen, dass alle Personen, denen der Zugriff auf die Plattform für den Austausch von Reiseformularen gewährt wird, vertraglichen, beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegen;

    (f)

    ergreift alle erforderlichen Sicherheitsmaßnahmen, damit das reibungslose Funktionieren der Plattform für den Austausch von Reiseformularen nicht beeinträchtigt wird. Zu diesem Zweck richtet das ECDC besondere Verfahren für das Funktionieren der Plattform für den Austausch von Reiseformularen und den Anschluss der Back-End-Server an diese Plattform ein. Dies umfasst:

    i)

    ein Verfahren zur Risikobewertung, um potenzielle Bedrohungen des Systems zu ermitteln und abzuschätzen;

    ii)

    ein Audit- und Überprüfungsverfahren

    1)

    zur Überprüfung der Übereinstimmung der umgesetzten Sicherheitsmaßnahmen mit den geltenden Sicherheitsvorgaben;

    2)

    zur regelmäßigen Kontrolle der Integrität der Systemdateien, der Sicherheitsparameter und der erteilten Genehmigungen;

    3)

    zur Ermittlung und Überwachung von Sicherheitsverletzungen und von unbefugtem Eindringen;

    4)

    zur Umsetzung von Änderungen zur Behebung bestehender Sicherheitslücken;

    5)

    zur Ermöglichung — auch auf Anfrage der Verantwortlichen — und zur Mitwirkung an der Durchführung unabhängiger Audits, einschließlich Inspektionen, sowie von Überprüfungen von Sicherheitsmaßnahmen im Einklang mit den Bedingungen des Protokolls (Nr. 7) zum AEUV über die Vorrechte und Befreiungen der Europäischen Union (2);

    iii)

    ein Änderungskontrollverfahren, um die Auswirkungen einer Änderung vor ihrer Umsetzung zu dokumentieren und abzuschätzen und die Verantwortlichen über alle Änderungen auf dem Laufenden zu halten, die sich auf die Kommunikation mit ihren Infrastrukturen und/oder deren Sicherheit auswirken können;

    iv)

    die Festlegung eines Wartungs- und Reparaturverfahrens mit Regeln und Bedingungen für die Wartung und/oder Reparatur von Ausrüstungen;

    v)

    die Festlegung eines Verfahrens in Bezug auf Sicherheitsvorfälle zur Festlegung des Melde- und Eskalationsprogramms, zur unverzüglichen Unterrichtung der Verantwortlichen über jegliche Verletzung des Schutzes personenbezogener Daten, sodass diese die nationalen Datenschutzaufsichtsbehörden informieren können, sowie zur Festlegung eines Disziplinarverfahrens, um gegen Sicherheitsverletzungen vorzugehen;

    (g)

    ergreift physische und/oder elektronische Sicherheitsmaßnahmen auf Grundlage des aktuellen Stands der Technik für die Einrichtungen, in denen die Ausrüstung für die Plattform für den Austausch von Reiseformularen untergebracht ist, und für die Kontrollen der Daten und der Zugriffssicherheit. Zu diesem Zweck wird das ECDC:

    i)

    die physische Sicherheit durchsetzen, um abgegrenzte Sicherheitsbereiche einzurichten und das Erkennen von Verstößen zu ermöglichen;

    ii)

    den Zugang zu den Einrichtungen kontrollieren und ein Besucherregister für Rückverfolgungszwecke führen;

    iii)

    sicherstellen, dass die externen Personen, denen Zugang zu den Räumlichkeiten gewährt wird, von entsprechend bevollmächtigten Mitarbeitern begleitet werden;

    iv)

    sicherstellen, dass Ausrüstungen nicht ohne Vorabgenehmigung durch die benannten zuständigen Stellen hinzugefügt, ersetzt oder entfernt werden können;

    v)

    den beiderseitigen Zugriff auf die nationalen Reiseformularsysteme und die Plattform für den Austausch von Reiseformularen kontrollieren;

    vi)

    sicherstellen, dass Personen, die Zugriff auf die Plattform für den Austausch von Reiseformularen haben, identifiziert und authentifiziert werden;

    vii)

    die Rechte für den Zugriff auf die Plattform für den Austausch von Reiseformularen überprüfen, falls eine Sicherheitsverletzung in Bezug auf diese Infrastruktur eintritt;

    viii)

    technische und organisatorische Sicherheitsmaßnahmen umsetzen, um unbefugten Zugriff auf PLF-Daten und epidemiologische Daten zu verhindern;

    ix)

    bei Bedarf Maßnahmen zur Verhinderung des unbefugten Zugriffs auf die Plattform für den Austausch von Reiseformularen von der Netzdomäne der nationalen Behörden aus ergreifen (d. h. Sperrung eines Standorts/einer IP-Adresse);

    (h)

    ergreift Maßnahmen zum Schutz seiner Netzdomäne, einschließlich der Trennung von Anschlüssen, im Falle einer erheblichen Abweichung von den Qualitäts- oder Sicherheitsgrundsätzen und -konzepten;

    (i)

    führt einen Risikomanagementplan in Bezug auf seinen Zuständigkeitsbereich;

    (j)

    überwacht — in Echtzeit — die Leistung aller Dienstkomponenten der Plattform für den Austausch von Reiseformularen, erstellt regelmäßige Statistiken und führt Aufzeichnungen;

    (k)

    gewährleistet, dass der Dienst rund um die Uhr verfügbar ist, mit einer akzeptablen Ausfallzeit für Wartungszwecke;

    (l)

    leistet Unterstützung für alle Dienste der Plattform für den Austausch von Reiseformularen in englischer Sprache über Telefon, E-Mail oder das Web-Portal und nimmt Anrufe von autorisierten Anrufern entgegen: von den Koordinatoren der Plattform für den Austausch von Reiseformularen und ihren jeweiligen Helpdesks, von Projektbeauftragten und benannten Mitarbeitern des ECDC;

    (m)

    unterstützt, soweit dies möglich ist, die Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung ihrer Verpflichtung zur Bearbeitung von Anfragen/Anträgen in Bezug auf die Ausübung der Rechte der betroffenen Person gemäß Kapitel III der Verordnung (EU) 2016/679;

    (n)

    unterstützt die Verantwortlichen durch die Bereitstellung von Informationen über die Plattform für den Austausch von Reiseformularen dabei, den Verpflichtungen gemäß den Artikeln 32, 35 und 36 der Verordnung (EU) 2016/679 nachzukommen;

    (o)

    stellt sicher, dass PLF-Daten und epidemiologische Daten, die über die Plattform für den Austausch von Reiseformularen übermittelt werden, für alle Personen, die nicht zum Zugriff auf diese Daten befugt sind, unzugänglich sind, insbesondere durch Anwendung einer starken Verschlüsselung;

    (p)

    ergreift alle erforderlichen Maßnahmen, damit die Betreiber der Plattform für den Austausch von Reiseformularen keinen unbefugten Zugriff auf übermittelte PLF-Daten und epidemiologische Daten haben;

    (q)

    ergreift Maßnahmen, um die Interoperabilität und die Kommunikation zwischen den benannten Verantwortlichen der Plattform für den Austausch von Reiseformularen zu erleichtern;

    (r)

    führt gemäß Artikel 31 Absatz 2 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates ein Verzeichnis aller im Auftrag eines Verantwortlichen durchgeführten Verarbeitungsvorgänge.


    (*)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119 vom 4.5.2016, S. 1).


    Top