This document is an excerpt from the EUR-Lex website
Document 02019D1765-20200717
Commission Implementing Decision 2019/1765 of 22 October 2019 providing the rules for the establishment, the management and the functioning of the network of national authorities responsible for eHealth, and repealing Implementing Decision 2011/890/EU (notified under document C(2019) 7460) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Durchführungsbeschluss 2019/1765 der Kommission vom 22. Oktober 2019 mit Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks der für elektronische Gesundheitsdienste zuständigen nationalen Behörden und zur Aufhebung des Durchführungsbeschlusses 2011/890/EU (Bekannt gegeben unter Aktenzeichen C(2019) 7460) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR
Durchführungsbeschluss 2019/1765 der Kommission vom 22. Oktober 2019 mit Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks der für elektronische Gesundheitsdienste zuständigen nationalen Behörden und zur Aufhebung des Durchführungsbeschlusses 2011/890/EU (Bekannt gegeben unter Aktenzeichen C(2019) 7460) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR
ELI: http://data.europa.eu/eli/dec_impl/2019/1765/2020-07-17
02019D1765 — DE — 17.07.2020 — 001.001
Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich
|
DURCHFÜHRUNGSBESCHLUSS 2019/1765 DER KOMMISSION vom 22. Oktober 2019 mit Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks der für elektronische Gesundheitsdienste zuständigen nationalen Behörden und zur Aufhebung des Durchführungsbeschlusses 2011/890/EU (Bekannt gegeben unter Aktenzeichen C(2019) 7460) (Text von Bedeutung für den EWR) (ABl. L 270 vom 24.10.2019, S. 83) |
Geändert durch:
|
|
|
Amtsblatt |
||
|
Nr. |
Seite |
Datum |
||
|
L 227I |
1 |
16.7.2020 |
||
DURCHFÜHRUNGSBESCHLUSS 2019/1765 DER KOMMISSION
vom 22. Oktober 2019
mit Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks der für elektronische Gesundheitsdienste zuständigen nationalen Behörden und zur Aufhebung des Durchführungsbeschlusses 2011/890/EU
(Bekannt gegeben unter Aktenzeichen C(2019) 7460)
(Text von Bedeutung für den EWR)
Artikel 1
Gegenstand
In diesem Beschluss werden die notwendigen Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks für elektronische Gesundheitsdienste der für elektronische Gesundheitsdienste zuständigen nationalen Behörden gemäß Artikel 14 der Richtlinie 2011/24/EU festgelegt.
Artikel 2
Begriffsbestimmungen
(1) Im Sinne dieses Beschlusses bezeichnet der Ausdruck
„Netzwerk für elektronische Gesundheitsdienste“ das freiwillige Netzwerk, mit dem die von den Mitgliedstaaten benannten, für elektronische Gesundheitsdienste zuständigen nationalen Behörden vernetzt und die in Artikel 14 der Richtlinie 2011/24/EU genannten Ziele verfolgt werden;
„nationale Kontaktstellen für elektronische Gesundheitsdienste“ organisatorische und technische Verbindungsstellen zur Bereitstellung grenzüberschreitender elektronischer Gesundheitsinformationsdienste unter der Zuständigkeit der Mitgliedstaaten;
„grenzüberschreitende elektronische Gesundheitsinformationsdienste“ bestehende Dienste, die über nationale Kontaktstellen für elektronische Gesundheitsdienste und über eine Kerndienstplattform, die von der Kommission für die Zwecke der grenzüberschreitenden Gesundheitsversorgung entwickelt wurde, ausgeführt werden;
„digitale eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste“ die Infrastruktur, die die Bereitstellung grenzüberschreitender elektronischer Gesundheitsinformationsdienste über nationale Kontaktstellen für elektronische Gesundheitsdienste und die Europäische Kerndienstplattform ermöglicht. Diese Infrastruktur umfasst sowohl von den Mitgliedstaaten entwickelte Basisdienste gemäß Artikel 2 Absatz 2 Buchstabe e der Verordnung (EU) Nr. 283/2014 als auch eine von der Kommission entwickelte Kerndienstplattform gemäß der Definition in Artikel 2 Absatz 2 Buchstabe d der genannten Verordnung;
„andere gemeinsame europäische elektronische Gesundheitsdienste“ digitale Dienste, die im Rahmen des Netzwerks für elektronische Gesundheitsdienste entwickelt und von den Mitgliedstaaten gemeinsam genutzt werden können;
„Steuerungsmodell“ eine Reihe von Vorschriften für die Benennung von Stellen, die an Beschlussfassungsprozessen in Bezug auf die digitale eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste oder andere im Rahmen des Netzwerks für elektronische Gesundheitsdienste entwickelte gemeinsame europäische elektronische Gesundheitsdienste beteiligt sind, sowie die Beschreibung dieser Prozesse;
„App-Nutzer“ eine Person, die im Besitz eines intelligenten Geräts ist und eine zugelassene Mobil-App zur Kontaktnachverfolgung und Warnung heruntergeladen hat und verwendet;
„Kontaktnachverfolgung“ Maßnahmen zur Nachverfolgung von Personen, die der Quelle einer schwerwiegenden grenzüberschreitenden Gesundheitsbedrohung im Sinne von Artikel 3 Buchstabe c des Beschlusses Nr. 1082/2013/EU des Europäischen Parlaments und des Rates ( 1 ) ausgesetzt waren;
„nationale Mobil-App zur Kontaktnachverfolgung und Warnung“ eine auf nationaler Ebene zugelassene Softwareanwendung, die in intelligenten Geräten, insbesondere in Smartphones, läuft und in der Regel für eine vielfältige und gezielte Interaktion mit Webressourcen konzipiert ist, über die die von vielen in intelligenten Geräten vorhandenen Sensoren erfassten Näherungsdaten und andere kontextbezogene Informationen zu dem Zweck verarbeitet werden, Kontakte mit Personen zu ermitteln, die mit SARS-CoV-2 infiziert sind, und Personen zu warnen, die möglicherweise SARS-CoV-2 ausgesetzt waren. Diese Mobil-Apps sind in der Lage, andere Bluetooth verwendende Geräte in der Nähe zu erkennen und Informationen mit Back-End-Servern über das Internet auszutauschen;
„Federation Gateway“ ein von der Kommission mithilfe eines gesicherten IT-Tools betriebenes Netzwerk-Gateway, das einen Mindestsatz personenbezogener Daten von den Back-End-Servern der Mitgliedstaaten empfängt, speichert und zur Verfügung stellt, um die Interoperabilität der nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung zu gewährleisten;
„Schlüssel“ eine eindeutige kurzlebige Kennung für einen App-Nutzer, der meldet, mit SARS-CoV-2 infiziert zu sein oder möglicherweise SARS-CoV-2 ausgesetzt gewesen zu sein;
„Infektionsverifizierung“ die zur Bestätigung einer Infektion mit SARS-CoV-2 verwendete Methode, d. h. Eigenmeldung durch den App-Nutzer oder Bestätigung durch eine nationale Gesundheitsbehörde oder einen Labortest;
„relevante Länder“ den Mitgliedstaat oder die Mitgliedstaaten, in dem bzw. denen sich ein App-Nutzer in den 14 Tagen vor dem Datum des Hochladens der Schlüssel aufgehalten hat, die zugelassene Mobil-App zur Kontaktnachverfolgung und Warnung heruntergeladen hat sowie in den bzw. in die er gereist ist;
„Ursprungsland der Schlüssel“ den Mitgliedstaat, in dem sich der Back-End-Server befindet, der die Schlüssel in das Federation Gateway hochgeladen hat;
„Protokolldaten“ eine automatische Aufzeichnung eines Vorgangs im Zusammenhang mit dem Austausch von über das Federation Gateway verarbeiteten Daten und den Zugriff darauf, aus der insbesondere die Art der Verarbeitung, das Datum und die Uhrzeit der Verarbeitung sowie die Kennung der Person, die die Daten verarbeitet, hervorgehen.
(2) Die Begriffsbestimmungen in Artikel 4 Ziffern 1, 2, 7 und 8 der Verordnung (EU) 2016/679 gelten entsprechend.
Artikel 3
Mitgliedschaft im Netzwerk für elektronische Gesundheitsdienste
(1) Die Mitglieder des Netzwerks für elektronische Gesundheitsdienste sind die für elektronische Gesundheitsdienste zuständigen Behörden der Mitgliedstaaten, die von den am Netzwerk für elektronische Gesundheitsdienste teilnehmenden Mitgliedstaaten benannt werden.
(2) Mitgliedstaaten, die am Netzwerk für elektronische Gesundheitsdienste teilnehmen möchten, teilen der Kommission Folgendes schriftlich mit:
die Entscheidung, am Netzwerk für elektronische Gesundheitsdienste teilzunehmen;
die für elektronische Gesundheitsdienste zuständige nationale Behörde, die Mitglied des Netzwerks für elektronische Gesundheitsdienste wird, sowie den Namen der Vertreterin/des Vertreters und ihrer/seiner Stellvertreterin bzw. ihres/seines Stellvertreters.
(3) Die Mitgliedstaaten teilen der Kommission Folgendes schriftlich mit:
ihre Entscheidung, aus dem Netzwerk für elektronische Gesundheitsdienste auszutreten;
jegliche Änderung der Informationen gemäß Absatz 2 Buchstabe b.
(4) Die Kommission macht der Öffentlichkeit die Liste der Mitglieder des Netzwerks für elektronische Gesundheitsdienste zugänglich.
Artikel 4
Tätigkeiten des Netzwerks für elektronische Gesundheitsdienste
(1) Mit Blick auf das in Artikel 14 Absatz 2 Buchstabe a der Richtlinie 2011/24/EU genannte Ziel kann das Netzwerk für elektronische Gesundheitsdienste insbesondere folgende Aufgaben wahrnehmen:
Förderung einer größeren Interoperabilität der nationalen Informations- und Kommunikationstechnologiesysteme und der grenzüberschreitenden Übertragbarkeit elektronischer Gesundheitsdaten im Rahmen der grenzüberschreitenden Gesundheitsversorgung;
Bereitstellung von Leitlinien (in Zusammenarbeit mit anderen zuständigen Aufsichtsbehörden) für die Mitgliedstaaten in Bezug auf den Austausch von Gesundheitsdaten zwischen den Mitgliedstaaten und die Befähigung der Bürgerinnen und Bürger, auf ihre eigenen Gesundheitsdaten zuzugreifen und diese auszutauschen;
Bereitstellung von Leitlinien für die Mitgliedstaaten sowie Förderung des Austauschs bewährter Verfahren in Bezug auf die Entwicklung verschiedener digitaler Gesundheitsdienste wie Telemedizin oder m-Gesundheit, oder neuer Technologien in den Bereichen Massendaten („Big Data“) und künstliche Intelligenz unter Berücksichtigung laufender Maßnahmen auf EU-Ebene;
Bereitstellung von Leitlinien für die Mitgliedstaaten in Bezug auf die Unterstützung der Gesundheitsförderung, der Prävention von Krankheiten und der Verbesserung der Gesundheitsversorgung durch eine bessere Nutzung der Gesundheitsdaten und die Verbesserung der digitalen Kompetenzen von Patienten und Angehörigen der Gesundheitsberufe;
Bereitstellung von Leitlinien für die Mitgliedstaaten und Förderung des freiwilligen Austauschs bewährter Verfahren in Bezug auf Investitionen in die digitale Infrastruktur;
Bereitstellung von Leitlinien für die Mitgliedstaaten (in Zusammenarbeit mit anderen einschlägigen Stellen und Interessenträgern) in Bezug auf die erforderlichen Anwendungsfälle für die klinische Interoperabilität und die Tools, mit denen sich diese erreichen lässt;
Bereitstellung von Leitlinien für die Mitglieder über die Sicherheit der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste oder andere im Rahmen des Netzwerks für elektronische Gesundheitsdienste entwickelte gemeinsame europäische elektronische Gesundheitsdienste unter Berücksichtigung der auf Unionsebene, insbesondere im Bereich der Sicherheit, ausgearbeiteten Rechtsvorschriften und Dokumente sowie der Empfehlungen im Bereich der Cybersicherheit in enger Zusammenarbeit mit der Kooperationsgruppe für Netz- und Informationssicherheit und mit der Agentur der Europäischen Union für Netz- und Informationssicherheit und gegebenenfalls den nationalen Behörden;
Bereitstellung von Leitlinien für die Mitgliedstaaten zum grenzüberschreitenden Austausch personenbezogener Daten über das Federation Gateway zwischen nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung.
(2) Bei der Erarbeitung der Leitlinien zu wirksamen Verfahren zur Ermöglichung der Nutzung medizinischer Informationen für die öffentliche Gesundheit und Forschung gemäß Artikel 14 Absatz 2 Buchstabe b Ziffer ii der Richtlinie 2011/24/EU berücksichtigt das Netzwerk für elektronische Gesundheitsdienste die vom Europäischen Datenschutzausschuss angenommenen Leitlinien und konsultiert gegebenenfalls diesen Ausschuss. Diese Leitlinien können auch für Informationen gelten, die über die digitale eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste oder andere gemeinsame europäische elektronische Gesundheitsdienste ausgetauscht werden.
Artikel 5
Funktionsweise des Netzwerks für elektronische Gesundheitsdienste
(1) Das Netzwerk für elektronische Gesundheitsdienste gibt sich mit einfacher Mehrheit seiner Mitglieder eine Geschäftsordnung.
(2) Das Netzwerk für elektronische Gesundheitsdienste nimmt ein mehrjähriges Arbeitsprogramm und ein Bewertungsinstrument im Hinblick auf die Durchführung dieses Programms an.
(3) Zur Erfüllung seiner Aufgaben kann das Netzwerk für elektronische Gesundheitsdienste ständige Untergruppen für spezifische Aufgaben einrichten, insbesondere im Zusammenhang mit der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste oder den anderen im Rahmen des Netzwerks für elektronische Gesundheitsdienste entwickelten gemeinsamen europäischen elektronischen Gesundheitsdiensten.
(4) Das Netzwerk für elektronische Gesundheitsdienste kann auch nichtständige Untergruppen einsetzen, einschließlich Sachverständige, um spezifische Fragen auf der Grundlage des vom Netzwerk für elektronische Gesundheitsdienste selbst ausgearbeiteten Mandats zu prüfen. Solche Untergruppen werden aufgelöst, sobald ihr Auftrag erfüllt ist.
(5) Wenn Mitglieder des Netzwerks für elektronische Gesundheitsdienste beschließen, ihre Zusammenarbeit in einigen Aufgabenbereichen des Netzwerks für elektronische Gesundheitsdienste zu verstärken, sollten sie die Regeln dieser verstärkten Zusammenarbeit vereinbaren und diese einhalten.
(6) Das Netzwerk für elektronische Gesundheitsdienste arbeitet bei der Verfolgung seiner Ziele eng mit den Gemeinsamen Aktionen zur Unterstützung der Tätigkeiten des Netzwerks für elektronische Gesundheitsdienste zusammen, sofern es solche gemeinsamen Aktionen gibt, sowie mit Interessenträgern oder anderen betroffenen Einrichtungen bzw. Unterstützungsmechanismen und berücksichtigt die im Rahmen dieser Tätigkeiten erzielten Ergebnisse.
(7) Das Netzwerk für elektronische Gesundheitsdienste erarbeitet zusammen mit der Kommission die Steuerungsmodelle für die digitale eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste und beteiligt sich an dieser Steuerung durch:
Vereinbarung der Prioritäten der digitalen eHealth-Service-Infrastruktur und Überwachung ihres Betriebes;
Ausarbeitung von Leitlinien und Anforderungen für den Betrieb, einschließlich der Auswahl der Normen, auf die bei der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste zurückgegriffen wird;
Einigung darüber, ob es den Mitgliedern des Netzwerks für elektronische Gesundheitsdienste erlaubt sein sollte, den Austausch elektronischer Gesundheitsdaten im Rahmen der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste über ihre nationalen Kontaktstellen für elektronische Gesundheitsdienste auf der Grundlage der Einhaltung der Anforderungen des Netzwerks für elektronische Gesundheitsdienste, die mithilfe von von der Kommission bereitgestellten Tests und durchgeführten Audits bewertet wurde, zu beginnen und fortzuführen;
Billigung des jährlichen Arbeitsplans für die digitale eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste.
(8) Das Netzwerk für elektronische Gesundheitsdienste kann zusammen mit der Kommission die im Rahmen des Netzwerks für elektronische Gesundheitsdienste entwickelten Steuerungsmodelle für andere gemeinsame europäische elektronische Gesundheitsdienste erarbeiten und sich an dieser Steuerung beteiligen. Das Netzwerk kann gemeinsam mit der Kommission auch die Prioritäten festlegen und Leitlinien für den Betrieb solcher gemeinsamen europäischen elektronischen Gesundheitsdienste erarbeiten.
(9) Die Geschäftsordnung kann vorsehen, dass andere Länder als Mitgliedstaaten, die die Richtlinie 2011/24/EU anwenden, als Beobachter an den Sitzungen des Netzwerks für elektronische Gesundheitsdienste teilnehmen können.
(10) Die Mitglieder des Netzwerks für elektronische Gesundheitsdienste und ihre Vertreter sowie eingeladene Sachverständige und Beobachter sind zur Wahrung des Berufsgeheimnisses gemäß Artikel 339 des Vertrags sowie zur Einhaltung der Sicherheitsvorschriften der Kommission für den Schutz von EU-Verschlusssachen gemäß dem Beschluss (EU, Euratom) 2015/444 der Kommission ( 2 ) verpflichtet. Sollten sie diese Verpflichtungen nicht einhalten, kann der Vorsitzende des Netzwerks für elektronische Gesundheitsdienste alle geeigneten Maßnahmen treffen, die die Geschäftsordnung vorsieht.
Artikel 6
Beziehungen zwischen dem Netzwerk für elektronische Gesundheitsdienste und der Kommission
(1) Die Kommission
nimmt zusammen mit dem Vertreter der Mitglieder an den Sitzungen des Netzwerks für elektronische Gesundheitsdienste teil und führt gemeinsam mit ihm den Vorsitz;
arbeitet mit dem Netzwerk für elektronische Gesundheitsdienste in Bezug auf seine Tätigkeiten zusammen und unterstützt es diesbezüglich;
nimmt die Sekretariatsgeschäfte für das Netzwerk für elektronische Gesundheitsdienste wahr;
entwickelt geeignete technische und organisatorische Maßnahmen in Bezug auf die Kerndienste der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste, führt diese durch und erhält sie aufrecht;
unterstützt das Netzwerk für elektronische Gesundheitsdienste bei der Einigung darüber, ob die technischen und organisatorischen Anforderungen an den grenzüberschreitenden Austausch von Gesundheitsdaten von den nationalen Kontaktstellen für elektronische Gesundheitsdienste eingehalten werden, indem sie die erforderlichen Tests und Audits bereitstellt und durchführt. Die Prüfer der Kommission können von Sachverständigen aus den Mitgliedstaaten unterstützt werden;
entwickelt geeignete technische und organisatorische Maßnahmen in Bezug auf die Sicherheit der Übermittlung und Bereithaltung personenbezogener Daten im Federation Gateway für die Zwecke der grenzüberschreitenden Interoperabilität nationaler Mobil-Apps zur Kontaktnachverfolgung und Warnung, führt diese durch und erhält sie aufrecht;
unterstützt das Netzwerk für elektronische Gesundheitsdienste bei der Einigung über die Einhaltung der technischen und organisatorischen Anforderungen an den grenzüberschreitenden Austausch personenbezogener Daten im Federation Gateway seitens der nationalen Behörden, indem sie die erforderlichen Tests und Audits bereitstellt und durchführt. Experten der Mitgliedstaaten können die Auditoren der Kommission unterstützen.
(2) Die Kommission kann an den Sitzungen der Untergruppen des Netzwerks für elektronische Gesundheitsdienste teilnehmen.
(3) Die Kommission kann das Netzwerk für elektronische Gesundheitsdienste zu Fragen im Zusammenhang mit elektronischen Gesundheitsdiensten auf Unionsebene und zum Austausch bewährter Verfahren im Bereich der elektronischen Gesundheitsdienste konsultieren.
(4) Die Kommission macht der Öffentlichkeit Informationen über die Tätigkeiten des Netzwerks für elektronische Gesundheitsdienste zugänglich.
Artikel 7
Schutz personenbezogener Daten‚ die über die digitale eHealth-Service-Infrastruktur verarbeitet werden
(1) Die Mitgliedstaaten, vertreten durch die zuständigen nationalen Behörden oder andere benannte Stellen, gelten als Verantwortliche für die von ihnen über die digitale eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste verarbeiteten personenbezogenen Daten und teilen den Verantwortlichen die Zuständigkeiten in klarer und transparenter Weise zu.
(2) Die Kommission gilt als Auftragsverarbeiterin für die personenbezogenen Patientendaten, die im Wege der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste verarbeitet werden. In ihrer Eigenschaft als Auftragsverarbeiterin verwaltet die Kommission die Kerndienste der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste und hält die im ►M1 Anhang I ◄ des vorliegenden Beschlusses festgelegten Verpflichtungen eines Auftragsverarbeiters ein. Die Kommission hat keinen Zugriff auf die im Wege der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste verarbeiteten personenbezogenen Patientendaten.
(3) Die Kommission gilt als Verantwortliche für die Verarbeitung der personenbezogenen Daten, die für die Gewährung und Verwaltung der Zugangsrechte zu den Kerndiensten der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste benötigt werden. Bei diesen Daten handelt es sich um die Kontaktdaten der Nutzer, einschließlich Name, Vorname und E-Mail-Adresse sowie Zugehörigkeit.
Artikel 7a
Grenzüberschreitender Datenaustausch zwischen nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung über das Federation Gateway
(1) Werden personenbezogene Daten über das Federation Gateway ausgetauscht, so beschränkt sich die Verarbeitung auf die Ermöglichung der Interoperabilität nationaler Mobil-Apps zur Kontaktnachverfolgung und Warnung im Federation Gateway sowie der Kontinuität der Ermittlung von Kontaktpersonen in einem grenzüberschreitenden Kontext.
(2) Die in Absatz 3 genannten personenbezogenen Daten werden dem Federation Gateway in einem pseudonymisierten Format übermittelt.
(3) Die pseudonymisierten personenbezogenen Daten, die über das Federation Gateway ausgetauscht und darin verarbeitet werden, dürfen nur folgende Informationen enthalten:
die Schlüssel, die bis zu 14 Tage vor dem Datum des Hochladens der Schlüssel von den nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung übermittelt wurden;
Protokolldaten zu den Schlüsseln gemäß den technischen Spezifikationen, die im Ursprungsland der Schlüssel verwendet werden;
die Verifizierung der Infektion;
die relevanten Länder und das Ursprungsland der Schlüssel.
(4) Die benannten nationalen Behörden oder amtlichen Stellen, die personenbezogene Daten im Federation Gateway verarbeiten, sind gemeinsam Verantwortliche für die im Federation Gateway verarbeiteten Daten. Die Zuständigkeiten der gemeinsam Verantwortlichen sind in Anhang II geregelt. Jeder Mitgliedstaat, der am grenzüberschreitenden Datenaustausch zwischen nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung teilnehmen möchte, teilt der Kommission im Vorfeld seine Absicht mit und gibt die nationale Behörde oder amtliche Stelle an, die als Verantwortliche benannt wurde.
(5) Die Kommission ist die Auftragsverarbeiterin der personenbezogenen Daten, die im Federation Gateway verarbeitet werden. In ihrer Eigenschaft als Auftragsverarbeiterin gewährleistet die Kommission die Sicherheit der Verarbeitung personenbezogener Daten im Federation Gateway, einschließlich ihrer Übermittlung und Bereithaltung, und nimmt die in Anhang III festgelegten Zuständigkeiten eines Auftragsverarbeiters wahr.
(6) Die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten im Federation Gateway wird von der Kommission und den zum Zugriff auf das Federation Gateway befugten nationalen Behörden regelmäßig geprüft, beurteilt und bewertet.
(7) Unbeschadet der Entscheidung der gemeinsamen Verantwortlichen, die Verarbeitung im Federation Gateway zu beenden, wird das Federation Gateway spätestens 14 Tage, nachdem alle verbundenen nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung die Übermittlung von Schlüsseln über das Federation Gateway eingestellt haben, deaktiviert.
Artikel 8
Kosten
(1) Die an den Tätigkeiten des Netzwerks für elektronische Gesundheitsdienste Beteiligten werden von der Kommission für ihre Arbeit nicht entlohnt.
(2) Die Kommission erstattet die Reise- und Aufenthaltskosten der an den Tätigkeiten des Netzwerks für elektronische Gesundheitsdienste Beteiligten nach den innerhalb der Kommission geltenden Bestimmungen über die Erstattung der Kosten von nicht der Kommission angehörenden Personen, die als Sachverständige zur Teilnahme an Sitzungen einbestellt werden. Diese Kosten werden nach Maßgabe der Mittel erstattet, die im Rahmen des jährlichen Verfahrens für die Mittelzuweisung zur Verfügung stehen.
Artikel 9
Aufhebung
Der Durchführungsbeschluss 2011/890/EU wird hiermit aufgehoben. Bezugnahmen auf den aufgehobenen Beschluss gelten als Bezugnahmen auf den vorliegenden Beschluss.
Artikel 10
Adressaten
Dieser Beschluss ist an die Mitgliedstaaten gerichtet.
ANHANG I
VERPFLICHTUNGEN DER KOMMISSION ALS AUFTRAGSVERARBEITERIN FÜR DIE DIGITALE EHEALTH-SERVICE-INFRASTRUKTUR FÜR GRENZÜBERSCHREITENDE ELEKTRONISCHE GESUNDHEITSINFORMATIONSDIENSTE
Die Kommission
schafft und gewährleistet eine sichere und zuverlässige Kommunikationsinfrastruktur, die die Netze der Mitglieder des Netzwerks für elektronische Gesundheitsinformationsdienste, die sich an der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste („Zentrale Sichere Kommunikationsinfrastruktur“) beteiligen, miteinander verbindet. Um ihren Verpflichtungen nachzukommen, kann die Kommission Dritte beauftragen. Die Kommission stellt sicher, dass dieselben Datenschutzverpflichtungen, wie sie in diesem Beschluss festgelegt sind, auch für diese Dritten gelten;
konfiguriert einen Teil der Zentralen Sicheren Kommunikationsinfrastruktur so, dass die nationalen Kontaktstellen für elektronische Gesundheitsdienste sicher, zuverlässig und effizient Informationen austauschen können;
verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung der Verantwortlichen.
ergreift alle organisatorischen, physischen und logischen Sicherheitsmaßnahmen, um die Zentrale Sichere Kommunikationsinfrastruktur aufrechtzuerhalten. Zu diesem Zweck wird die Kommission
eine für das Sicherheitsmanagement auf der Ebene der Zentralen Sicheren Kommunikationsinfrastruktur zuständige Stelle benennen, den für die Datenverarbeitung Verantwortlichen deren Kontaktdaten übermitteln und deren Verfügbarkeit zur Reaktion auf Sicherheitsbedrohungen gewährleisten;
die Verantwortung für die Sicherheit der Zentralen Sicheren Kommunikationsinfrastruktur übernehmen;
sicherstellen, dass alle Personen, denen Zugang zur Zentralen Sicheren Kommunikationsinfrastruktur gewährt wird, vertraglichen, beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegen;
sicherstellen, dass das Personal, das Zugang zu Verschlusssachen hat, die entsprechenden Kriterien bezüglich Sicherheitsüberprüfung und Vertraulichkeit erfüllt;
ergreift alle erforderlichen Sicherheitsmaßnahmen, um das reibungslose Funktionieren der Domain des anderen nicht zu beeinträchtigen. Zu diesem Zweck richtet die Kommission die besonderen Verfahren für den Anschluss an die Zentrale Sichere Kommunikationsinfrastruktur ein. Diese Information umfasst:
das Verfahren zur Risikobewertung, um potenzielle Bedrohungen des Systems zu ermitteln und abzuschätzen;
ein Audit- und Überprüfungsverfahren
zur Überprüfung der Übereinstimmung der umgesetzten Sicherheitsmaßnahmen mit der geltenden Sicherheitspolitik;
zur regelmäßigen Kontrolle der Integrität der Systemdateien, der Sicherheitsparameter und der erteilten Genehmigungen;
zur Überwachung zur Feststellung von Verstößen gegen die Sicherheitsvorschriften und von unbefugtem Eindringen;
zur Umsetzung von Änderungen zur Umgehung bestehender Sicherheitslücken, und
zur Festlegung der Bedingungen für die Genehmigung — auch auf Ersuchen der für die Verarbeitung Verantwortlichen — und die Mitwirkung an der Durchführung unabhängiger Audits, einschließlich Inspektionen, sowie von Überprüfungen von Sicherheitsmaßnahmen.
ein Änderungskontrollverfahren, um die Auswirkungen einer Änderung vor ihrer Umsetzung zu dokumentieren und zu messen und die nationalen Kontaktstellen für elektronische Gesundheitsdienste über alle Änderungen auf dem Laufenden zu halten, die Auswirkungen auf die Kommunikation mit den anderen nationalen Infrastrukturen und/oder die Sicherheit der anderen nationalen Infrastrukturen haben können;
ein Wartungs- und Reparaturverfahren zur Festlegung der Regeln und Bedingungen für die Wartung und/oder Reparatur von Ausrüstungen;
ein Verfahren in Bezug auf Sicherheitsvorfälle zur Festlegung des Melde- und Eskalationsprogramms, zur unverzüglichen Unterrichtung der zuständigen nationalen Verwaltung sowie des Europäischen Datenschutzbeauftragten über jegliche Sicherheitsverletzung sowie zur Festlegung eines Disziplinarverfahrens, um gegen Sicherheitsverletzungen vorzugehen;
ergreift physische und/oder logische Sicherheitsmaßnahmen für die Einrichtungen, in denen die Ausrüstung für die Zentrale Sichere Kommunikationsinfrastruktur untergebracht ist, und für die Kontrollen der logischen Daten und der Zugangssicherheit. Zu diesem Zweck wird die Kommission
physische Sicherheit durchsetzen, um abgegrenzte Sicherheitsbereiche einzurichten und das Erkennen von Verstößen zu ermöglichen;
den Zugang zu den Einrichtungen kontrollieren und ein Besucherregister für Rückverfolgungszwecke führen;
sicherstellen, dass die externen Personen, denen Zugang zu den Räumlichkeiten gewährt wird, von entsprechend bevollmächtigten Mitarbeitern ihrer jeweiligen Organisation begleitet werden;
sicherstellen, dass Ausrüstungen ohne Vorabgenehmigung durch die benannten zuständigen Stellen nicht hinzugefügt, ersetzt oder entfernt werden können;
den Zugriff aus anderen Netzen und auf andere Netze, die mit der Zentralen Sicheren Kommunikationsinfrastruktur verbunden sind, kontrollieren;
sicherstellen, dass Personen, die Zugang zur Zentralen Sicheren Kommunikationsinfrastruktur haben,
identifiziert und authentifiziert werden;
die Zugangsrechte betreffend die Zentrale Sichere Kommunikationsinfrastruktur überprüfen, falls eine Sicherheitsverletzung in Bezug auf diese Infrastruktur eintritt;
die Integrität der über die Zentrale Sichere Kommunikationsinfrastruktur übertragenen Informationen wahren;
technische und organisatorische Sicherheitsmaßnahmen umsetzen, um unbefugten Zugriff auf personenbezogene Daten zu verhindern;
bei Bedarf Maßnahmen zur Verhinderung des unbefugten Zugangs zur Zentralen Sicheren Kommunikationsinfrastruktur von der Domain der nationalen Kontaktstellen für elektronische Gesundheitsdienste aus ergreifen (d. h. Sperrung eines Standorts/einer IP-Adresse);
ergreift Maßnahmen zum Schutz ihrer Domain, einschließlich der Trennung von Anschlüssen, im Falle einer erheblichen Abweichung von den Qualitäts- oder Sicherheitsgrundsätzen und -konzepten;
führt einen Risikomanagementplan in Bezug auf ihren Zuständigkeitsbereich;
überwacht — in Echtzeit — die Leistung aller Dienstkomponenten ihrer Zentralen Sicheren Kommunikationsinfrastruktur, erstellt regelmäßige Statistiken und führt Aufzeichnungen;
unterstützt alle Dienste der Zentralen Sicheren Kommunikationsinfrastruktur in englischer Sprache 24 Stunden täglich und sieben Tage pro Woche über Telefon, E-Mail oder das Web-Portal und nimmt Anrufe von autorisierten Anrufern entgegen: von den Koordinatoren der Zentralen Sicheren Kommunikationsinfrastruktur und ihren jeweiligen Helpdesks, von Projektbeauftragten und benannten Mitarbeitern der Kommission;
unterstützt die Verantwortlichen durch Bereitstellung von Informationen über die Zentrale Sichere Kommunikationsinfrastruktur der digitalen eHealth-Service-Infrastruktur für grenzüberschreitende elektronische Gesundheitsinformationsdienste zur Umsetzung der Verpflichtungen gemäß den Artikeln 35 und 36 der Verordnung (EU) 2016/679.
stellt sicher, dass die innerhalb der Zentralen Sicheren Kommunikationsinfrastruktur übermittelten Daten verschlüsselt sind;
ergreift alle erforderlichen Maßnahmen, um zu verhindern, dass die Betreiber der Zentralen Sicheren Kommunikationsinfrastruktur unbefugten Zugriff auf die übermittelten Daten haben;
ergreift Maßnahmen, um die Interoperabilität und die Kommunikation zwischen den benannten zuständigen nationalen Behörden der Zentralen Sicheren Kommunikationsinfrastruktur zu erleichtern.
ANHANG II
ZUSTÄNDIGKEITEN DER TEILNEHMENDEN MITGLIEDSTAATEN ALS GEMEINSAM VERANTWORTLICHE FÜR DAS FEDERATION GATEWAY ZUR GRENZÜBERSCHREITENDEN DATENVERARBEITUNG ZWISCHEN NATIONALEN MOBIL-APPS ZUR KONTAKTNACHVERFOLGUNG UND WARNUNG
ABSCHNITT 1
Unterabschnitt 1
Verteilung der Zuständigkeiten
1. Die gemeinsam Verantwortlichen verarbeiten personenbezogene Daten über das Federation Gateway (Datenabgleichstelle) im Einklang mit den vom Netzwerk für elektronische Gesundheitsdienste festgelegten technischen Spezifikationen ( 3 ).
2. Jeder Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten im Federation Gateway im Einklang mit der Datenschutz-Grundverordnung und der Richtlinie 2002/58/EG erfolgt.
3. Jeder Verantwortliche richtet eine Anlaufstelle mit einem Funktionspostfach ein, das der Kommunikation zwischen den gemeinsam Verantwortlichen und zwischen den gemeinsam Verantwortlichen und dem Auftragsverarbeiter dient.
4. Eine vom Netzwerk für elektronische Gesundheitsdienste gemäß Artikel 5 Absatz 4 eingesetzte nichtständige Untergruppe wird damit beauftragt, alle Fragen zu prüfen, die sich in Bezug auf die Interoperabilität der nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung und auf die gemeinsame Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten ergeben, sowie an der Erstellung koordinierter Weisungen für die Kommission als Auftragsverarbeiterin mitzuwirken. Unter anderem können die Verantwortlichen im Rahmen der nichtständigen Untergruppe auf einen gemeinsamen Ansatz für die Vorratsspeicherung von Daten in ihren nationalen Back-End-Servern hinarbeiten, wobei die im Federation Gateway festgelegte Speicherfrist zu berücksichtigen ist.
5. Weisungen für die Auftragsverarbeiterin werden im Einvernehmen mit den anderen gemeinsam Verantwortlichen in der oben genannten Untergruppe von der Anlaufstelle eines gemeinsam Verantwortlichen übermittelt.
6. Nur Personen, die von den benannten nationalen Behörden oder amtlichen Stellen dazu ermächtigt wurden, dürfen auf die über das Federation Gateway ausgetauschten personenbezogenen Daten von Nutzern zugreifen.
7. Jede benannte nationale Behörde oder amtliche Stelle verliert ab dem Tag, an dem sie ihre Teilnahme am Federation Gateway zurückzieht, ihre Funktion als gemeinsam Verantwortliche. Sie bleibt jedoch für die vor dem Rückzug erfolgte Verarbeitung im Federation Gateway verantwortlich.
Unterabschnitt 2
Zuständigkeiten und Funktionen bei der Bearbeitung von Anfragen/Anträgen und der Unterrichtung betroffener Personen
1. Jeder Verantwortliche stellt den Nutzern der jeweiligen nationalen Mobil-App zur Kontaktnachverfolgung und Warnung (im Folgenden „betroffene Personen“) im Einklang mit den Artikeln 13 und 14 der Datenschutz-Grundverordnung Informationen über die Verarbeitung ihrer personenbezogenen Daten im Federation Gateway für die Zwecke der grenzüberschreitenden Interoperabilität der nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung zur Verfügung.
2. Jeder Verantwortliche dient als Anlaufstelle für die Nutzer der jeweiligen nationalen Mobil-App zur Kontaktnachverfolgung und Warnung und bearbeitet die von diesen Nutzern oder ihren Vertretern gestellten Anfragen/Anträge im Zusammenhang mit der Ausübung der Rechte betroffener Personen im Einklang mit der Datenschutz-Grundverordnung. Jeder Verantwortliche bestimmt eine spezielle Anlaufstelle für Anfragen/Anträge von betroffenen Personen. Erhält ein gemeinsam Verantwortlicher eine Anfrage/einen Antrag einer betroffenen Person, die/der nicht seiner Zuständigkeit unterliegt, so leitet er sie/ihn umgehend an den zuständigen gemeinsam Verantwortlichen weiter. Auf Anfrage unterstützen sich die gemeinsam Verantwortlichen gegenseitig bei der Bearbeitung von Anfragen/Anträgen betroffener Personen und antworten einander unverzüglich, spätestens jedoch innerhalb von 15 Tagen nach Eingang eines Amtshilfeersuchens.
3. Jeder Verantwortliche stellt den betroffenen Personen den Inhalt dieses Anhangs einschließlich der Bestimmungen der Nummern 1 und 2 zur Verfügung.
ABSCHNITT 2
Management von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten
1. Die gemeinsam Verantwortlichen unterstützen sich gegenseitig bei der Ermittlung und Behandlung von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten, im Zusammenhang mit der Verarbeitung im Federation Gateway.
2. Insbesondere teilen die gemeinsam Verantwortlichen einander Folgendes mit:
potenzielle oder tatsächliche Risiken für die Verfügbarkeit, Vertraulichkeit und/oder Integrität der personenbezogenen Daten, die im Federation Gateway verarbeitet werden;
Sicherheitsvorfälle, die mit der Verarbeitung im Federation Gateway in Verbindung stehen;
jede Verletzung des Schutzes personenbezogener Daten, die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und die Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen sowie alle Maßnahmen, die ergriffen wurden, um gegen die Verletzung des Schutzes personenbezogener Daten vorzugehen und das Risiko für die Rechte und Freiheiten natürlicher Personen zu mindern;
jeden Verstoß gegen die technischen und/oder organisatorischen Vorkehrungen für die Verarbeitungsvorgänge im Federation Gateway.
3. Die gemeinsam Verantwortlichen unterrichten die Kommission, die zuständigen Aufsichtsbehörden und, falls erforderlich, die betroffenen Personen im Einklang mit den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder nach Mitteilung der Kommission über alle Verletzungen des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung im Federation Gateway.
ABSCHNITT 3
Datenschutzfolgenabschätzungen
Benötigt ein Verantwortlicher zur Erfüllung seiner Pflichten nach den Artikeln 35 und 36 der Datenschutz-Grundverordnung Informationen von einem anderen Verantwortlichen, so übermittelt er eine besondere Anfrage an das in Abschnitt 1 Unterabschnitt 1 Nummer 3 genannte Funktionspostfach. Letzterer bemüht sich nach besten Kräften, diese Informationen zur Verfügung zu stellen.
ANHANG III
ZUSTÄNDIGKEITEN DER KOMMISSION ALS AUFTRAGSVERARBEITERIN FÜR DAS FEDERATION GATEWAY ZUR GRENZÜBERSCHREITENDEN DATENVERARBEITUNG ZWISCHEN NATIONALEN MOBIL-APPS ZUR KONTAKTNACHVERFOLGUNG UND WARNUNG
Die Kommission:
schafft und gewährleistet eine sichere und zuverlässige Kommunikationsinfrastruktur, die die nationalen Mobil-Apps zur Kontaktnachverfolgung und Warnung der am Federation Gateway teilnehmenden Mitgliedstaaten miteinander verbindet. Um ihren Verpflichtungen als Auftragsverarbeiterin im Federation Gateway nachzukommen, kann die Kommission Dritte als Unterauftragsverarbeiter beauftragen; die Kommission unterrichtet die gemeinsam Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Beauftragung oder Ersetzung anderer Auftragsverarbeiter und gibt dabei den Verantwortlichen gemäß Anhang II Abschnitt 1 Unterabschnitt 1 Nummer 4 die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben. Die Kommission stellt sicher, dass dieselben Datenschutzverpflichtungen, wie sie in diesem Beschluss festgelegt sind, auch für diese Unterauftragsverarbeiter gelten;
verarbeitet personenbezogene Daten nur auf dokumentierte Weisung der Verantwortlichen, es sei denn, dass eine Verarbeitung nach Unionsrecht oder nationalem Recht erfolgen muss; in einem solchen Fall teilt die Kommission den Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
verarbeitet die Daten wie folgt:
Authentifizierung nationaler Back-End-Server auf der Grundlage nationaler Back-End-Server-Zertifikate;
Empfang der in Artikel 7a Absatz 3 des Durchführungsbeschlusses genannten Daten von nationalen Back-End-Servern über eine von ihr bereitgestellte Anwendungsprogrammierschnittstelle, die es nationalen Back-End-Servern ermöglicht, die betreffenden Daten hochzuladen;
Speicherung der Daten im Federation Gateway nach dem Empfang von den nationalen Back-End-Servern;
Bereitstellung der Daten zum Herunterladen durch nationale Back-End-Server;
Löschung der Daten, sobald alle teilnehmenden Back-End-Server sie heruntergeladen haben, oder 14 Tage nach ihrem Empfang, wobei der frühere der beiden Zeitpunkte gilt;
Löschung aller verbleibenden Daten nach Beendigung der Leistung, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt eine Speicherung personenbezogener Daten vor.
Die Auftragsverarbeiterin trifft die zur Wahrung der Integrität der verarbeiteten Daten erforderlichen Maßnahmen;
trifft alle organisatorischen, physischen und logischen Sicherheitsmaßnahmen auf Grundlage des aktuellen Stands der Technik, um das Federation Gateway aufrechtzuerhalten. Zu diesem Zweck wird die Kommission:
eine für das Sicherheitsmanagement beim Federation Gateway zuständige Stelle benennen, den Verantwortlichen deren Kontaktdaten mitteilen und deren Verfügbarkeit zur Reaktion auf Sicherheitsbedrohungen gewährleisten;
die Verantwortung für die Sicherheit des Federation Gateway übernehmen;
sicherstellen, dass alle Personen, denen der Zugriff auf das Federation Gateway gewährt wird, vertraglichen, beruflichen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegen.
trifft alle erforderlichen Sicherheitsmaßnahmen, damit das reibungslose Funktionieren der nationalen Back-End-Server nicht beeinträchtigt wird. Zu diesem Zweck richtet die Kommission besondere Verfahren für den Anschluss der Back-End-Server an das Federation Gateway ein. Dazu gehören:
ein Verfahren zur Risikobewertung, um potenzielle Bedrohungen des Systems zu ermitteln und abzuschätzen;
ein Audit- und Überprüfungsverfahren
zur Überprüfung der Übereinstimmung der umgesetzten Sicherheitsmaßnahmen mit den geltenden Sicherheitsvorgaben;
zur regelmäßigen Kontrolle der Integrität der Systemdateien, der Sicherheitsparameter und der erteilten Genehmigungen;
zur Überwachung zwecks Feststellung von Sicherheitsverstößen und von unbefugtem Eindringen;
zur Umsetzung von Änderungen zur Behebung bestehender Sicherheitslücken und
zur Ermöglichung — auch auf Anfrage der Verantwortlichen — und zur Mitwirkung an der Durchführung unabhängiger Audits, einschließlich Inspektionen, sowie von Überprüfungen von Sicherheitsmaßnahmen im Einklang mit den Bedingungen des Protokolls (Nr. 7) zum AEUV über die Vorrechte und Befreiungen der Europäischen Union ( 4 );
ein Änderungskontrollverfahren, um die Auswirkungen einer Änderung vor ihrer Umsetzung zu dokumentieren und abzuschätzen und die Verantwortlichen über alle Änderungen auf dem Laufenden zu halten, die sich auf die Kommunikation mit ihren Infrastrukturen und/oder deren Sicherheit auswirken können;
die Festlegung eines Wartungs- und Reparaturverfahrens mit Regeln und Bedingungen für die Wartung und/oder Reparatur von Ausrüstungen;
die Festlegung eines Verfahrens in Bezug auf Sicherheitsvorfälle zur Festlegung des Melde- und Eskalationsprogramms, zur unverzüglichen Unterrichtung der Verantwortlichen sowie des Europäischen Datenschutzbeauftragten über jegliche Verletzung des Schutzes personenbezogener Daten sowie zur Festlegung eines Disziplinarverfahrens, um gegen Sicherheitsverletzungen vorzugehen;
ergreift physische und/oder logische Sicherheitsmaßnahmen auf Grundlage des aktuellen Stands der Technik für die Einrichtungen, in denen die Ausrüstung für das Federation Gateway untergebracht ist, und für die Kontrollen der logischen Daten und der Zugriffssicherheit. Zu diesem Zweck wird die Kommission:
die physische Sicherheit durchsetzen, um abgegrenzte Sicherheitsbereiche einzurichten und das Erkennen von Verstößen zu ermöglichen;
den Zugang zu den Einrichtungen kontrollieren und ein Besucherregister für Rückverfolgungszwecke führen;
sicherstellen, dass die externen Personen, denen Zugang zu den Räumlichkeiten gewährt wird, von entsprechend bevollmächtigten Mitarbeitern begleitet werden;
sicherstellen, dass Ausrüstungen ohne Vorabgenehmigung durch die benannten zuständigen Stellen nicht hinzugefügt, ersetzt oder entfernt werden können;
den beiderseitigen Zugriff auf nationale Back-End-Server und das Federation Gateway kontrollieren;
sicherstellen, dass Personen, die Zugriff auf das Federation Gateway haben, identifiziert und authentifiziert werden;
die Rechte für den Zugriff auf das Federation Gateway überprüfen, falls eine Sicherheitsverletzung in Bezug auf diese Infrastruktur eintritt;
die Integrität der über das Federation Gateway übermittelten Informationen wahren;
technische und organisatorische Sicherheitsmaßnahmen umsetzen, um unbefugten Zugriff auf personenbezogene Daten zu verhindern;
bei Bedarf Maßnahmen zur Verhinderung des unbefugten Zugriffs auf das Federation Gateway von der Netzdomäne der nationalen Behörden aus ergreifen (d. h. Sperrung eines Standorts/einer IP-Adresse);
ergreift Maßnahmen zum Schutz ihrer Netzdomäne, einschließlich der Trennung von Anschlüssen, im Falle einer erheblichen Abweichung von den Qualitäts- oder Sicherheitsgrundsätzen und -konzepten;
führt einen Risikomanagementplan in Bezug auf ihren Zuständigkeitsbereich;
überwacht — in Echtzeit — die Leistung aller Dienstkomponenten ihres Federation Gateways, erstellt regelmäßige Statistiken und führt Aufzeichnungen;
leistet Unterstützung für alle Dienste des Federation Gateways in englischer Sprache rund um die Uhr über Telefon, E-Mail oder das Web-Portal und nimmt Anrufe von autorisierten Anrufern entgegen: von den Koordinatoren des Federation Gateways und ihren jeweiligen Helpdesks, von Projektbeauftragten und benannten Mitarbeitern der Kommission;
unterstützt, soweit dies möglich ist, die Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung ihrer Verpflichtung zur Bearbeitung von Anfragen/Anträgen in Bezug auf die Ausübung der Rechte der betroffenen Person gemäß Kapitel III der Datenschutz-Grundverordnung;
unterstützt die Verantwortlichen durch die Bereitstellung von Informationen über das Federation Gateway dabei, den Verpflichtungen gemäß den Artikeln 32, 35 und 36 der Datenschutz-Grundverordnung nachzukommen;
stellt sicher, dass die im Federation Gateway verarbeiteten Daten für Personen, die nicht zugriffsbefugt sind, unverständlich sind;
ergreift alle erforderlichen Maßnahmen, damit die Betreiber des Federation Gateways keinen unbefugten Zugriff auf übermittelte Daten haben;
ergreift Maßnahmen, um die Interoperabilität und die Kommunikation zwischen den benannten Verantwortlichen des Federation Gateway zu erleichtern;
führt gemäß Artikel 31 Absatz 2 der Verordnung (EU) 2018/1725 ein Verzeichnis aller im Auftrag eines Verantwortlichen durchgeführten Verarbeitungsvorgänge.
( 1 ) Beschluss Nr. 1082/2013/EU des Europäischen Parlaments und des Rates vom 22. Oktober 2013 zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung der Entscheidung Nr. 2119/98/EG (ABl. L 293 vom 5.11.2013, S. 1).
( 2 ) Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).
( 3 ) Insbesondere die Interoperabilitätsspezifikationen für den Abgleich grenzüberschreitender Übertragungsketten zwischen zugelassenen Apps vom 16. Juni 2020, abrufbar unter: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0
( 4 ) Protokoll (Nr. 7) über die Vorrechte und Befreiungen der Europäischen Union (ABl. C 326 vom 26.10.2012, S. 266).