EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32022R0991

Verordnung (EU) 2022/991 des Europäischen Parlaments und des Rates vom 8. Juni 2022 zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation

PE/8/2022/REV/1

ABl. L 169 vom 27.6.2022, p. 1–42 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2022/991/oj

27.6.2022   

DE

Amtsblatt der Europäischen Union

L 169/1


VERORDNUNG (EU) 2022/991 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 8. Juni 2022

zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 88,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

gemäß dem ordentlichen Gesetzgebungsverfahren (1),

in Erwägung nachstehender Gründe:

(1)

Die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) wurde mit der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates (2) zu dem Zweck errichtet, die Tätigkeit der zuständigen Behörden der Mitgliedstaaten sowie deren gegenseitige Zusammenarbeit bei der Verhütung und Bekämpfung der zwei oder mehr Mitgliedstaaten betreffenden schweren Kriminalität, des Terrorismus und der Kriminalitätsformen, die ein gemeinsames Interesse verletzen, das Gegenstand einer Politik der Union ist, zu unterstützen und zu verstärken.

(2)

Europa ist mit einer Sicherheitslandschaft im Wandel konfrontiert, die durch sich entwickelnde und immer komplexere Sicherheitsbedrohungen gekennzeichnet ist. Terroristen und andere Kriminelle nutzen den digitalen Wandel und die neuen Technologien, insbesondere sowohl die Vernetzung als auch das Verschwimmen der Grenzen zwischen der physischen und der virtuellen Welt, beispielsweise durch die Verdeckung ihrer Straftaten oder ihrer Identitäten durch den Einsatz zunehmend ausgefeilter Technologien. Terroristen und andere Kriminelle haben ihre Fähigkeit unter Beweis gestellt, in Krisenzeiten ihre Vorgehensweisen anzupassen und neue kriminelle Aktivitäten zu entwickeln, indem sie beispielsweise technologiegestützte Werkzeuge für die Erweiterung und Ausweitung des Spektrums und des Umfangs ihrer kriminellen Aktivitäten nutzen. Der Terrorismus stellt nach wie vor eine erhebliche Bedrohung für die Freiheit und die Lebensweise der Bürger der Union dar.

(3)

Sich entwickelnde und komplexe Bedrohungen breiten sich über Grenzen hinweg aus, erstrecken sich auf eine große Bandbreite an Straftaten, die dadurch befördert werden, und manifestieren sich in polykriminellen Gruppen der organisierten Kriminalität, die an einem breiten Spektrum krimineller Aktivitäten beteiligt sind. Da Maßnahmen auf nationaler Ebene und die grenzüberschreitende Zusammenarbeit nicht ausreichen, um diese grenzüberschreitenden Bedrohungen zu bewältigen, haben die zuständigen Behörden der Mitgliedstaaten bei der Prävention und der Bekämpfung von Schwerkriminalität und Terrorismus zunehmend auf die Unterstützung und das Fachwissen von Europol zurückgegriffen. Seit dem Geltungsbeginn der Verordnung (EU) 2016/794 hat sich die Bedeutung der Aufgaben von Europol in operativer Hinsicht erheblich verstärkt. Darüber hinaus ändert die neue Bedrohungslage den Umfang und die Art der Unterstützung, die die Mitgliedstaaten benötigen und von Europol erwarten, um die Sicherheit ihrer Bürger zu gewährleisten.

(4)

Daher sollten Europol zusätzliche Aufgaben durch diese Verordnung übertragen werden, um es Europol zu ermöglichen, die zuständigen Behörden der Mitgliedstaaten besser zu unterstützen, wobei die Zuständigkeiten der Mitgliedstaaten im Bereich der nationalen Sicherheit gemäß Artikel 4 Absatz 2 des Vertrags über die Europäische Union (EUV) uneingeschränkt gewahrt bleiben. Das gestärkte Mandat von Europol sollte mit erweiterten Garantien in Bezug auf Grundrechte und einer größeren Rechenschaftspflicht, Haftung und Kontrolle einschließlich einer parlamentarischen Kontrolle und Kontrolle durch den Verwaltungsrat von Europol (im Folgenden „Verwaltungsrat“) einhergehen. Damit Europol ihr gestärktes Mandat erfüllen kann, sollte sie mit angemessenen personellen und finanziellen Ressourcen für ihre zusätzlichen Aufgaben ausgestattet werden.

(5)

Da die Union zunehmend Bedrohungen durch kriminelle Vereinigungen und Terroranschläge ausgesetzt ist, müssen zu einer wirksamen Reaktion der Strafverfolgungsbehörden auch gut ausgebildete, interagierende Spezialeinheiten gehören, die auf die Bewältigung menschengemachter Krisen spezialisiert sind. In der Union arbeiten die Spezialeinheiten der Mitgliedstaaten gemäß dem Beschluss 2008/617/JI des Rates (3) zusammen. Europol sollte diese Spezialeinheiten in technischer und finanzieller Hinsicht unterstützen können und dabei die Anstrengungen der Mitgliedstaaten ergänzen.

(6)

In den letzten Jahren waren sowohl öffentliche als auch private Einrichtungen in vielen Ländern der Union und darüber hinaus das Ziel groß angelegter Cyberangriffe, einschließlich Angriffen, die von Drittstaaten ausgeführt wurden, in verschiedenen Sektoren, darunter Verkehr, Gesundheit und Finanzdienstleistungen. Die Prävention, Erkennung, Untersuchung und Verfolgung solcher Cyberangriffe wird durch die Koordinierung und Zusammenarbeit zwischen den einschlägigen Akteuren, einschließlich der Agentur der Europäischen Union für Cybersicherheit (ENISA), die durch die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates (4) eingerichtet wurde, den für die Sicherheit von Netz- und Informationssystemen zuständigen Behörden im Sinne der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (5), den zuständigen Behörden der Mitgliedstaaten und privaten Parteien unterstützt. Um eine wirksame Zusammenarbeit zwischen allen einschlägigen Akteuren auf Unionsebene und auf nationaler Ebene bei Cyberangriffen und Cybersicherheitsbedrohungen zu gewährleisten, sollte Europol insbesondere im Wege des Informationsaustauschs und analytischer Unterstützung innerhalb ihrer jeweiligen Zuständigkeitsbereiche mit der ENISA zusammenarbeiten.

(7)

Hochrisikostraftäter spielen eine führende Rolle in kriminellen Netzwerken, und ihre kriminellen Aktivitäten stellen ein hohes Risiko für die innere Sicherheit der Union dar. Zur Bekämpfung von Hochrisikogruppierungen der organisierten Kriminalität und ihrer führenden Mitglieder sollte es Europol möglich sein, die Mitgliedstaaten dabei zu unterstützen, ihre Ermittlungsmaßnahmen auf die Identifizierung der Mitglieder und führenden Mitglieder dieser Netzwerke, ihrer kriminellen Aktivitäten und ihrer Finanzanlagen auszurichten.

(8)

Die Bedrohung, die von der Schwerkriminalität ausgeht, erfordert eine koordinierte, kohärente, multidisziplinäre und behördenübergreifende Reaktion. Europol sollte in der Lage sein, erkenntnisgestützte Sicherheitsinitiativen der Mitgliedstaaten — wie die Europäische multidisziplinäre Plattform gegen kriminelle Bedrohungen — zur Identifizierung, Priorisierung und Bewältigung von Bedrohungen durch Schwerkriminalität zu fördern und zu unterstützen. Europol sollte in der Lage sein, solche Maßnahmen administrativ, logistisch, finanziell und operativ zu unterstützen.

(9)

Das Schengener Informationssystem (SIS), das im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen mit der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates (6) eingerichtet wurde, ist ein wesentliches Instrument zur Aufrechterhaltung eines hohen Maßes an Sicherheit im Raum der Freiheit, der Sicherheit und des Rechts. Als Drehscheibe für den Informationsaustausch in der Union erhält und speichert Europol wertvolle Informationen von Drittstaaten und internationalen Organisationen über Personen, die der Beteiligung an Straftaten verdächtigt werden, die unter die Ziele von Europol fallen. Europol sollte im Rahmen ihrer Ziele und ihrer Aufgabe der Unterstützung der Mitgliedstaaten bei der Prävention und der Bekämpfung der Schwerkriminalität und des Terrorismus die Mitgliedstaaten dabei unterstützen, Daten aus Drittstaaten oder von internationalen Organisationen zu verarbeiten, indem die Eingabe von Ausschreibungen durch die Mitgliedstaaten in das SIS unter einer neuen Kategorie von Informationsausschreibungen im Interesse der Union (im Folgenden „Informationsausschreibungen“) vorgeschlagen wird, damit diese Informationsausschreibungen den Endnutzern des SIS zur Verfügung gestellt werden. Zu diesem Zweck sollte ein Mechanismus für die regelmäßige Berichterstattung eingerichtet werden, um sicherzustellen, dass die Mitgliedstaaten und Europol über das Ergebnis der Überprüfung und Analyse dieser Daten und darüber, ob die Ausschreibung in das SIS eingegeben wurde, unterrichtet werden. Die Modalitäten der Zusammenarbeit der Mitgliedstaaten bei der Datenverarbeitung und der Eingabe von Informationsausschreibungen in das SIS, insbesondere im Zusammenhang mit der Bekämpfung des Terrorismus, sollten einer kontinuierlichen Abstimmung zwischen den Mitgliedstaaten unterliegen. Der Verwaltungsrat sollte die Kriterien festlegen, auf deren Grundlage Europol Vorschläge für die Eingabe solcher Informationsausschreibungen in das SIS vorlegen könnte.

(10)

Europol kommt bei der Unterstützung des mit der Verordnung (EU) Nr. 1053/2013 des Rates (7) eingeführten Evaluierungs- und Überwachungsmechanismus für die Überprüfung der Anwendung des Schengen-Besitzstands eine wichtige Rolle zu. Europol sollte deshalb auf Anfrage der Mitgliedstaaten mit ihrem Fachwissen, ihren Analysen, Berichten und anderen relevanten Informationen zum -Evaluierungs- und Überwachungsmechanismus zur Überprüfung der Anwendung des Schengen-Besitzstandes beitragen.

(11)

Risikobewertungen helfen dabei, neue Trends und Bedrohungen, die von Schwerkriminalität und Terrorismus ausgehen, frühzeitig zu erkennen. Um die Kommission und die Mitgliedstaaten bei der Durchführung effektiver Risikobewertungen zu unterstützen, sollte Europol unbeschadet des Unionsrechts über das Risikomanagement im Zollbereich der Kommission und den Mitgliedstaaten eine Bedrohungsanalyse auf der Grundlage der ihr vorliegenden Informationen über kriminelle Erscheinungsformen und Entwicklungstrends zur Verfügung stellen.

(12)

Damit die Finanzierung der Union für die Sicherheitsforschung ihr Ziel, dass diese Forschung ihr Potenzial voll entfalten und den Erfordernissen der Strafverfolgung gerecht werden kann, erreicht, sollte Europol die Kommission bei der Festlegung zentraler Forschungsthemen sowie bei der Ausarbeitung und Durchführung der für die Ziele von Europol relevanten Rahmenprogramme der Union für Forschung und Innovation unterstützen. Gegebenenfalls sollte es Europol möglich sein, die Ergebnisse ihrer Forschungs- und Innovationstätigkeiten im Rahmen ihres Beitrags zur Schaffung von Synergien zwischen den Forschungs- und Innovationstätigkeiten der einschlägigen Einrichtungen der Union zu verbreiten. Bei der Gestaltung und Konzeption von Forschungs- und Innovationstätigkeiten, die für die Ziele von Europol von Bedeutung sind, sollte Europol in der Lage sein, gegebenenfalls die Gemeinsame Forschungsstelle der Kommission zu konsultieren. Europol sollte alle erforderlichen Maßnahmen ergreifen, um Interessenkonflikte zu vermeiden. Europolsollte keine Mittel aus einem Rahmenprogramm der Union erhalten, wenn sie die Kommission bei der Festlegung zentraler Forschungsthemen oder bei der Ausarbeitung und Durchführung dieses Rahmenprogramms unterstützt. Es ist von Bedeutung, dass Europol sich auf die Zurverfügungstellung einer angemessenen Finanzierung verlassen kann, damit sie die Mitgliedstaaten und die Kommission im Bereich von Forschungs- und Innovationstätigkeiten unterstützen kann.

(13)

Die Union und die Mitgliedstaaten können aus Gründen der Sicherheit oder der öffentlichen Ordnung restriktive Maßnahmen gegenüber ausländischen Direktinvestitionen beschließen. Zu diesem Zweck wird mit der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates (8) ein Rahmen für die Überprüfung ausländischer Direktinvestitionen in der Union geschaffen. Ausländische Direktinvestitionen in neue Technologien verdienen besondere Aufmerksamkeit, da sie erhebliche Auswirkungen auf die Sicherheit und die öffentliche Ordnung haben können, insbesondere wenn solche Technologien von zuständigen Behörden der Mitgliedstaaten eingesetzt werden. Aufgrund der Beteiligung Europols bei der Überwachung neu entstehender Technologien und ihrer Beteiligung an der Entwicklung neuer Einsatzmöglichkeiten dieser Technologien für Strafverfolgungszwecke, insbesondere mithilfe ihres Innovationslabors und des EU-Innovationszentrums für innere Sicherheit, verfügt Europol über umfassende Kenntnisse über die Möglichkeiten, die diese Technologien bieten, sowie über die mit ihrer Nutzung verbundenen Risiken. Europol sollte daher die Möglichkeit haben, die Mitgliedstaaten bei der Überprüfung ausländischer Direktinvestitionen in der Union und sicherheitsrelevanter Risiken zu unterstützen, die Technologien bereitstellende Unternehmen betreffen, darunter Software, die von Europol zur Verhütung und Untersuchung von Straftaten genutzt werden, die mit den Zielen von Europol in Verbindung stehen oder kritische Technologien, die dem Terrorismus Vorschub leisten könnten. In diesem Zusammenhang sollte mit dem Fachwissen von Europol die Überwachung der ausländischen Direktinvestitionen und der damit verbundenen Sicherheitsrisiken unterstützt werden. Insbesondere sollte berücksichtigt werden, ob ein ausländischer Investor bereits in sicherheitsrelevante Tätigkeiten oder solche die die öffentliche Ordnung betreffen involviert war, ob ein ernstes Risiko besteht, dass der ausländische Investor illegale oder kriminelle Aktivitäten ausübt, und ob der ausländische Investor unmittelbar oder mittelbar von der Regierung eines Drittstaats kontrolliert wird, auch im Wege von Subventionen.

(14)

Europol stellt Fachwissen zur Bekämpfung von Schwerkriminalität und Terrorismus zur Verfügung. Auf Ersuchen eines Mitgliedstaats sollten Europol-Bedienstete den zuständigen Behörden dieses Mitgliedstaats bei Operationen und Ermittlungen vor Ort operative Unterstützung — auch im Rahmen gemeinsamer Ermittlungsgruppen — leisten können, insbesondere durch Erleichterung des grenzüberschreitenden Informationsaustauschs sowie durch (kriminal-)technische Unterstützung. Auf Ersuchen eines Mitgliedstaats sollten Europol-Bedienstete berechtigt sein, bei der Durchführung von Ermittlungsmaßnahmen in diesem Mitgliedstaat anwesend zu sein. Europol-Bedienstete sollten keine Ermittlungsmaßnahmen durchführen.

(15)

Eines der Ziele von Europol ist es, die Tätigkeit der zuständigen Behörden der Mitgliedstaaten sowie deren Zusammenarbeit bei der Verhütung und Bekämpfung der Kriminalitätsformen, die ein gemeinsames Interesse verletzen, das Gegenstand einer Politik der Union ist, zu unterstützen und zu verstärken. Im Interesse einer effektiveren Unterstützung sollte der Exekutivdirektor von Europol (im Folgenden „Exekutivdirektor“) den zuständigen Behörden eines Mitgliedstaats vorschlagen können, Ermittlungen wegen einer Straftat einzuleiten, durchzuführen oder zu koordinieren, die nur diesen Mitgliedstaat betrifft und ein gemeinsames Interesse verletzt, das Gegenstand einer Politik der Union ist. Europol sollte Eurojust und gegebenenfalls die mit der Verordnung (EU) 2017/1939 des Rates (9) eingerichtete Europäische Staatsanwaltschaft (im Folgenden „EUStA“) von jedem derartigen Vorschlag in Kenntnis setzen.

(16)

Die Veröffentlichung der Identität und bestimmter personenbezogener Daten von verdächtigen oder verurteilten Personen, nach denen auf der Grundlage einer nationalen gerichtlichen Entscheidung gefahndet wird, erhöht die Chancen der Mitgliedstaaten, solche Personen ausfindig zu machen und festzunehmen. Um die Mitgliedstaaten dabei zu unterstützen, solche Personen ausfindig zu machen und festzunehmen, sollte es Europol möglich sein, auf ihrer Website Informationen über flüchtige Personen zu veröffentlichen, nach denen in Europa wegen Straftaten, die mit den Zielen von Europol in Verbindung stehen am meisten gefahndet wird. Zu demselben Zweck sollte Europol es der Öffentlichkeit erleichtern, den Mitgliedstaaten und Europol Informationen über diese Personen zu liefern.

(17)

Wenn Europol feststellt, dass personenbezogene Daten, die sie erhält, unter ihre Ziele fallen, sollte es ihr möglich sein, diese Daten in den folgenden vier Fällen zu verarbeiten. In der ersten Fallgestaltung fallen die erhaltenen personenbezogenen Daten unter eine der in Anhang II der Verordnung (EU) 2016/794 (im Folgenden „Anhang II“) aufgeführten Kategorien von betroffenen Personen. In der zweiten Fallgestaltung bestehen die erhaltenen personenbezogenen Daten aus Ermittlungsfällen, die Daten enthalten, die in keinem Zusammenhang mit den in Anhang II aufgeführten Kategorien von betroffenen Personen stehen, die aber entsprechend einem Ersuchen auf Unterstützung durch Europol bei strafrechtlichen Ermittlungen in einer konkreten Straftat durch einen Mitgliedstaat, die EUStA, Eurojust oder einen Drittstaat, übermittelt wurden, vorausgesetzt dass der Mitgliedstaat, die EUStA, Eurojust oder der Drittstaat diese Ermittlungsdaten gemäß den Verfahrensvorschriften und Garantien des Unionsrechts und des nationalen Rechts verarbeiten darf. In dieser Fallgestaltung sollte Europol die Ermittlungsdaten so lange verarbeiten können, wie Europol die Ermittlungen in dieser konkreten Straftat unterstützt. In der dritten Fallgestaltung stehen die erhaltenen personenbezogenen Daten möglicherweise nicht im Zusammenhang mit den in Anhang II aufgeführten Kategorien von betroffenen Personen und sind nicht aufgrund eines Ersuchens um Unterstützung durch Europol für Ermittlungen in einer konkreten Straftat übermittelt worden. In diesem Fall sollte es Europol möglich sein, zu überprüfen, ob diese personenbezogenen Daten im Zusammenhang mit irgendeiner dieser Kategorien von betroffenen Personen stehen. In der vierten Fallgestaltung sind die erhaltenen personenbezogene Daten für die Zwecke von Forschungs- und Innovationsprojekten übermittelt worden und fallen nicht unter die in Anhang II aufgeführten Kategorien von betroffenen Personen.

(18)

Gemäß Artikel 73 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (10) unterscheidet Europol gegebenenfalls und soweit möglich klar zwischen den personenbezogenen Daten, die sich auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen.

(19)

Wenn Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten über nicht unter die Ziele von Europol fallende Straftaten nutzen, sollte Europol keinen Zugang zu diesen Daten haben und sollte nicht als „Auftragsverarbeiter“ im Sinne von Artikel 87 der Verordnung (EU) 2018/1725 erachtet werden. In diesen Fällen sollte es Europol möglich sein, Daten zu verarbeiten, die nicht im Zusammenhang mit den in Anhang II aufgeführten Kategorien betroffener Personen stehen. Wenn die Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten zu Straftaten nutzen, die unter die Ziele von Europol fallen, und wenn sie Europol Zugang zu diesen Daten gewähren, sollten die Anforderungen im Zusammenhang mit den Kategorien von betroffenen Personen gemäß Anhang II für jede andere Verarbeitung dieser Daten durch Europol gelten.

(20)

Bei Wahrung des Grundsatzes der Datenminimierung sollte Europol überprüfen können, ob personenbezogene Daten, die im Rahmen der Verhütung und Bekämpfung von Straftaten, die in die unter die Ziele von Europol fallen, eingegangen sind, einer der in Anhang II aufgeführten Kategorien von betroffenen Personen entsprechen. Hierzu sollte Europol eine Vorabanalyse der eingegangenen personenbezogenen Daten allein zur Feststellung, ob diese Daten den Kategorien von betroffenen Personen entsprechen, durchführen können, indem sie die personenbezogenen Daten mit den bereits bei ihr vorhandenen Daten abgleicht, ohne die personenbezogenen Daten weiter zu analysieren. Diese Vorabanalyse sollte zeitlich vor und unabhängig von der Datenverarbeitung von Europol zum Zwecke des Abgleichs, der strategischen Analyse, der operativen Analyse oder des Informationsaustauschs erfolgen und nachdem Europol festgestellt hat, dass die Daten für die Erfüllung ihrer Aufgaben relevant und erforderlich sind. Sobald Europol festgestellt hat, dass die personenbezogenen Daten im Zusammenhang mit den Kategorien von betroffenen Personen gemäß Anhang II stehen, sollte Europol diese personenbezogenen Daten zum Zwecke des Abgleichs, der strategischen Analyse, der operativen Analyse oder des Informationsaustauschs verarbeiten können. Wenn Europol zu dem Schluss gelangt, dass diese personenbezogenen Daten nicht im Zusammenhang mit den in Anhang II aufgeführten Kategorien von betroffenen Personen stehen, sollte Europol diese Daten löschen.

(21)

Die Kategorisierung personenbezogener Daten in einem bestimmten Datensatz kann sich im Laufe der Zeit ändern, wenn neue Informationen im Rahmen von strafrechtlichen Ermittlungen, beispielsweise gegenüber weiteren Verdächtigen, verfügbar werden. Daher sollte Europol berechtigt sein, während eines Zeitraums von höchstens 18 Monaten ab dem Zeitpunkt, an dem Europol feststellt, dass diese Daten unter ihre Ziele fallen, personenbezogene Daten zu verarbeiten, wenn das zum Zwecke der Bestimmung der Kategorien von betroffenen Personen, auf die sich die Daten beziehen, unbedingt erforderlich und verhältnismäßig ist. Europol sollte in hinreichend begründeten Fällen und unter der Voraussetzung, dass eine solche Verlängerung notwendig und verhältnismäßig ist, diesen Zeitraum auf drei Jahre verlängern können. Der Europäische Datenschutzbeauftragte (EDSB) sollte über die Verlängerung unterrichtet werden. Ist die Verarbeitung personenbezogener Daten zum Zwecke der Bestimmung der Kategorien von betroffenen Personen nicht mehr notwendig und gerechtfertigt, so sollte Europol die personenbezogenen Daten löschen — in jedem Fall aber nach Ende des maximalen Verarbeitungszeitraums.

(22)

Die im Rahmen von strafrechtlichen Ermittlungen erhobenen Daten haben zugenommen und die Datensätze sind komplexer geworden. Die Mitgliedstaaten übermitteln Europol umfangreiche und komplexe Datensätze mit dem Ersuchen um eine operative Analyse, um Verbindungen zu anderen Straftaten als der, in deren Zusammenhang ermittelt wird und Daten erhoben wurden, und zu Straftätern in anderen Mitgliedstaaten und außerhalb der Unionaufzudecken. Da Europol solche grenzüberschreitenden Verbindungen durch eigene Datenanalysen wirksamer aufdecken kann als die Mitgliedstaaten allein, sollte Europol in der Lage sein, die strafrechtlichen Ermittlungen der Mitgliedstaaten durch die Verarbeitung umfangreicher und komplexer Datensätze zu unterstützen, um solche grenzüberschreitenden Verbindungen aufzudecken unter der Voraussetzung, dass die strengen Anforderungen und Garantien dieser Verordnung erfüllt sind. Wenn es zur wirksamen Unterstützung laufender konkreter strafrechtlicher Ermittlungen in einem Mitgliedstaat erforderlich ist, sollte Europol Ermittlungsdaten verarbeiten können, die die nationalen Behörden bei diesen konkreten strafrechtlichen Ermittlungen unter Beachtung der Verfahrensvorschriften und Garantien nach ihrem nationalen Recht verarbeiten dürfen und die anschließend an Europol übermittelt wurden. Das sollte personenbezogene Daten in den Fällen umfassen, in denen ein Mitgliedstaat nicht mit Sicherheit feststellen konnte, ob diese Daten in die in Anhang II aufgeführten Kategorien von betroffenen Personen fallen. Stellt ein Mitgliedstaat, die EUStA oder Eurojust der Europol Ermittlungsdaten mit dem Ersuchen um Unterstützung bei einer laufenden konkreten strafrechtlichen Ermittlung zur Verfügung, so sollte Europol diese Daten nach den Verfahrensvorschriften und unter den Garantien, die nach dem Unionsrecht oder dem nationalen Strafrecht anwendbar sind, verarbeiten können, solange sie diese konkrete strafrechtliche Ermittlung unterstützt.

(23)

Um zu gewährleisten, dass jede Datenverarbeitung im Zusammenhang mit strafrechtlichen Ermittlungen erforderlich und verhältnismäßig ist, sollten die Mitgliedstaaten sicherstellen, dass das Unionsrecht und das nationale Recht eingehalten werden, wenn sie Europol Ermittlungsdaten übermitteln. Wenn die Mitgliedstaaten Ermittlungsdaten an Europol übermitteln, um Europol um Unterstützung für Ermittlungen einer konkreten Straftat zu ersuchen, sollten die Mitgliedstaaten den Umfang und die Komplexität der Datenverarbeitung sowie die Art und Bedeutung der Ermittlungen berücksichtigen. Die Mitgliedstaaten sollten Europol informieren, wenn ihre Genehmigung zur Verarbeitung von Daten im Rahmen der jeweiligen laufenden strafrechtlichen Ermittlungen zu einer konkreten Straftat gemäß den Verfahrensvorschriften und unter den Garantien ihres nationalen Rechts erlischt. Europol sollte nur, personenbezogene Daten verarbeiten, die nicht im Zusammenhang mit Kategorien von betroffenen Personen nach Anhang II stehen, wenn sie zu dem Ergebnis kommt, dass es nicht möglich ist eine laufende Ermittlung einer konkreten Straftat zu unterstützen, ohne diese personenbezogenen Daten zu verarbeiten. Europol sollte diese Prüfung dokumentieren. Europol sollte diese Daten funktional getrennt von anderen Daten aufbewahren und sie nur verarbeiten, wenn das für die Unterstützung der jeweiligen laufenden strafrechtlichen Ermittlung zu einer konkreten Straftat erforderlich ist, zum Beispiel im Falle einer neuen Spur.

(24)

Europol sollte auch aus einem Drittstaat eingegangene personenbezogene Daten verarbeiten können, die für die Unterstützung einer konkreten strafrechtlichen Ermittlungen in einem oder mehreren Mitgliedstaaten notwendig sind, sofern: für den betreffenden Drittstaat ein Angemessenheitsbeschluss gemäß der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (11) (im Folgenden „Angemessenheitsbeschluss“) vorliegt; die Union mit diesem Drittstaat eine internationale Übereinkunft gemäß Artikel 218 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) geschlossen hat, die die Übermittlung personenbezogener Daten zu Strafverfolgungszwecken umfasst (im Folgenden „internationale Übereinkunft“); Europol und der Drittstaat vor dem Inkrafttreten der Verordnung (EU) 2016/794 ein Kooperationsabkommen geschlossen haben, das den Austausch personenbezogener Daten erlaubt (im Folgenden „Kooperationsabkommen“), oder geeignete Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Akt vorgesehen sind oder wenn Europol aufgrund einer Beurteilung aller Umstände des Transfers dieser Daten zu dem Schluss kommt, dass diese Garantien in dem Drittstaat bestehen und der Drittstaat die Daten im Rahmen einer strafrechtlichen Ermittlung unter Beachtung der Verfahrensvorschriften und Garantien seines nationalen Strafrechts erlangt hat. Wenn ein Drittstaat Europol Ermittlungsdaten zur Verfügung stellt, sollte Europol sich vergewissern, dass die Menge der personenbezogenen Daten nicht offensichtlich unverhältnismäßig zu der Unterstützung von Europol bei der konkreten strafrechtlichen Ermittlung in dem Mitgliedstaat ist und, so weit wie möglich, dass es keine objektiven Anhaltspunkte dafür gibt, dass die Ermittlungsdaten in dem Drittstaat unter offensichtlicher Verletzung der Grundrechte erlangt wurden. Kommt Europol zu dem Schluss, dass diese Voraussetzungen nicht erfüllt sind, so sollte Europol die Daten nicht verarbeiten und sollte sie löschen. Stellt ein Drittstaat Europol Ermittlungsdaten zur Verfügung, so sollte der Datenschutzbeauftragte von Europol in der Lage sein, gegebenenfalls den EDSB zu unterrichten.

(25)

Um sicherzustellen, dass ein Mitgliedstaat die Analyseberichte von Europol in einem an strafrechtliche Ermittlungen anschließenden Gerichtsverfahren verwenden kann, sollte Europol die entsprechenden Ermittlungsdaten auf Ersuchen des betreffenden Mitgliedstaats, der EUStA oder von Eurojust speichern können, um die Richtigkeit, Zuverlässigkeit und Rückverfolgbarkeit des kriminalpolizeilichen Erkenntnisprozesses zu gewährleisten. Europol sollte solche Daten funktional von anderen Daten getrennt und nur so lange aufbewahren, wie das mit den betreffenden strafrechtlichen Ermittlungen zusammenhängende Gerichtsverfahren in dem Mitgliedstaat anhängig ist. Außerdem müssen der Zugang der zuständigen Justizbehörden sowie die Verteidigungsrechte, insbesondere das Recht Verdächtigter oder Beschuldigter oder ihrer Rechtsanwälte auf Zugang zu den Verfahrensakten, gewährleistet sein. Zu diesem Zweck sollte Europol alle Beweise und die Methoden, mit denen die Beweise von ihr erstellt oder erlangt wurden, dokumentieren, sodass die Verteidigung die Beweise tatsächlich überprüfen kann.

(26)

Europol sollte personenbezogene Daten, die sie vor Inkrafttreten der vorliegenden Verordnung erhalten hat und die nicht im Zusammenhang mit den in Anhang II aufgeführten Kategorien betroffener Personen stehen gemäß der vorliegenden Verordnung in zwei Fallgestaltungen verarbeiten können. In der ersten Fallgestaltung sollte Europol in der Lage sein, derartige personenbezogene Daten zur Unterstützung strafrechtlicher Ermittlungen oder zur Gewährleistung der Richtigkeit, Zuverlässigkeit und Nachvollziehbarkeit des Verfahrens zur Gewinnung strafrechtlich relevanter Erkenntnisse zu verarbeiten, wenn die Anforderungen der Übergangsbestimmungen für die Verarbeitung personenbezogener Daten, die zur Unterstützung strafrechtlicher Ermittlungen eingegangen sind, erfüllt werden. In der zweiten Fallgestaltung sollte Europol auch in der Lage sein, zu überprüfen, ob diese personenbezogenen Daten einer der in Anhang II aufgeführten Kategorien von betroffenen Personen entsprechen, indem sie eine Vorabanalyse dieser personenbezogenen Daten innerhalb eines Zeitraums von bis zu 18 Monaten ab dem Tag des erstmaligen Erhalts der Daten oder in begründeten Fällen und mit vorheriger Genehmigung des EDSB während eines längeren Zeitraums durchführt. Die Höchstdauer der Verarbeitung personenbezogener Daten zum Zweck einer solchen Vorabanalyse sollte einen Zeitraum von drei Jahren ab dem Tag des erstmaligen Erhalts der Daten bei Europol nicht überschreiten.

(27)

Grenzüberschreitende Fälle von schwerer Kriminalität oder Terrorismus erfordern eine enge Zusammenarbeit zwischen den zuständigen Behörden der betroffenen Mitgliedstaaten. Europol stellt Instrumente zur Verfügung, um eine solche Zusammenarbeit bei Ermittlungen insbesondere durch Informationsaustausch zu unterstützen. Um diese Zusammenarbeit bei konkreten strafrechtlichen Ermittlungen durch eine gemeinsame operative Analyse weiter zu verstärken, sollten die Mitgliedstaaten anderen Mitgliedstaaten den direkten Zugriff auf die von ihnen an Europol übermittelten Informationen gestatten können, unbeschadet etwaiger allgemeiner oder besonderer Beschränkungen, die sie für den Zugang zu diesen Informationen angezeigt haben. Jede Verarbeitung personenbezogener Daten, die Mitgliedstaaten im Rahmen einer gemeinsamen operativen Analyse vornehmen, sollte nach Maßgabe der vorliegenden Verordnung und der Richtlinie (EU) 2016/680 erfolgen.

(28)

Europol und die EUStA sollten eine Arbeitsvereinbarung schließen, in der die Modalitäten für ihre Zusammenarbeit unter gebührender Berücksichtigung ihrer jeweiligen Zuständigkeitsbereiche festgelegt wird. Europol sollte eng mit der EUStA zusammenarbeiten und die Ermittlungen der EUStA auf deren Ersuchen unter anderem durch analytische Unterstützung und sachdienliche Informationen aktiv unterstützen. Europol sollte auch ab dem Zeitpunkt, zu dem der EUStA eine mutmaßliche Straftat gemeldet wird, mit der EUStA bis zu dem Zeitpunkt zusammenarbeiten, zu dem die EUStA entscheidet, Anklage zu erheben oder die Sache auf andere Weise abzuschließen. Europol sollte der EUStA unverzüglich jedes strafbare Verhalten melden, zu dem die EUStA ihre Zuständigkeit ausüben könnte. Zur Verbesserung der operativen Zusammenarbeit zwischen Europol und der EUStA sollte Europol der EUStA den Zugriff auf die Daten im Besitz von Europol nach dem Treffer/Kein-Treffer-Verfahren, mit dem nur Europol im Falle eines Treffers benachrichtigt wird, gemäß der vorliegenden Verordnung ermöglichen, einschließlich der vom Informationslieferanten, der Europol die Informationen übermittelt, vorgesehenen Einschränkungen. Wenn die Informationen unter eine von einem Mitgliedstaat vorgesehener Beschränkung fallen, sollte Europol die Angelegenheit diesem Mitgliedstaat vorlegen, damit er seinen Verpflichtungen aus der Verordnung (EU) 2017/1939 nachkommen kann. Der betroffene Mitgliedstaat sollte die EUStA anschließend gemäß seinem nationalen Verfahren unterrichten. Die Vorschriften der vorliegenden Verordnung für die Übermittlung personenbezogener Daten an Unionseinrichtungen sollten für die Zusammenarbeit von Europol mit der EUStA gelten. Europol sollte auch in der Lage sein, die Ermittlungen der EUStA durch die Analyse umfangreicher und komplexer Datensätze gemäß den Garantien und Datenschutzgarantien dieser Verordnung zu unterstützen.

(29)

Europol sollte eng mit dem Europäischen Amt für Betrugsbekämpfung (OLAF) zusammenarbeiten, um Betrug, Korruption und sonstige rechtswidrige Handlungen zum Nachteil der finanziellen Interessen der Union aufzudecken. Zu diesem Zweck sollte Europol dem OLAF unverzüglich jede Information übermitteln, in deren Zusammenhang das OLAF seine Zuständigkeit ausüben könnte. Die Vorschriften dieser Verordnung für die Übermittlung personenbezogener Daten an Unionseinrichtungen sollten für die Zusammenarbeit von Europol mit dem OLAF gelten.

(30)

Die Hintergründe von schweren Straftaten und Terrorismus erstrecken sich oftmals über die Union hinaus. Europol kann personenbezogene Daten mit Drittstaaten austauschen, wobei der Schutz der Privatsphäre und der Grundrechte und Grundfreiheiten der betroffenen Personen zu wahren ist. Sofern es für die Ermittlungen zu konkreten Straftaten, die unter die Ziele von Europol fallen, von wesentlicher Bedeutung ist, sollte es dem Exekutivdirektor gestattet sein, im Einzelfall eine Kategorie von Übermittlungen personenbezogener Daten an Drittstaaten zu genehmigen, wenn diese Kategorie von Übermittlungen im Zusammenhang mit der gleichen spezifischen Situation steht, aus den gleichen Kategorien personenbezogener Daten besteht und sich auf die gleichen Kategorien von betroffenen Personen bezieht, für den Zweck der Ermittlung die einer konkreten Straftat erforderlich sowie verhältnismäßig ist und alle Anforderungen dieser Verordnung erfüllt. Bei einzelnen Übermittlungen im Rahmen einer Kategorie von Übermittlungen sollte es möglich sein, nur einige der Kategorien personenbezogener Daten und Kategorien von betroffenen Personen aufzunehmen, deren Übermittlung vom Exekutivdirektor genehmigt wird. Es sollte außerdem möglich sein, eine Kategorie von Übermittlungen personenbezogener Daten in folgenden bestimmten Situationen zu gestatten: wenn die Übermittlung personenbezogener Daten zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person oder zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats erforderlich ist; wenn der Zweck der Übermittlung personenbezogener Daten in der Wahrung der berechtigten Interessen der betroffenen Person; oder in Einzelfällen zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen erforderlich ist; oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit der Verhütung, Ermittlung, Aufdeckung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten strafrechtlichen Sanktion.

(31)

Übermittlungen, die nicht auf einer Genehmigung des Exekutivdirektors, einem Angemessenheitsbeschluss, einer internationalen Übereinkunft oder einem Kooperationsabkommen beruhen, sollten nur zulässig sein, wenn geeignete Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen sind, oder wenn Europol aufgrund einer Bewertung aller Umstände der Übermittlung personenbezogener Daten zu der Auffassung gelangt ist, dass geeignete Garantien bestehen. Für die Zwecke dieser Bewertung sollte Europol bilaterale Vereinbarungen zwischen Mitgliedstaaten und Drittstaaten, die den Austausch personenbezogener Daten ermöglichen, berücksichtigen können, und ob die Übermittlung personenbezogener Daten Geheimhaltungspflichten und dem Grundsatz der Spezialität zu unterwerfen ist, damit gewährleistet wird, dass die Daten nicht zu anderen Zwecken als für die Übermittlung verarbeitet werden. Darüber hinaus ist es wichtig, dass Europol berücksichtigt, ob die personenbezogenen Daten dazu verwendet werden könnten, um die Todesstrafe oder eine Form der grausamen und unmenschlichen Behandlung zu beantragen, zu verhängen oder zu vollstrecken. Europol sollte zusätzliche Garantien verlangen können.

(32)

Um die Mitgliedstaaten bei der Zusammenarbeit mit privaten Parteien zu unterstützen, wenn diese privaten Parteien über Informationen verfügen, die für die Verhütung und Bekämpfung von Schwerkriminalität und Terrorismus von Bedeutung sind, sollte Europol personenbezogene Daten von privaten Parteien entgegennehmen und in besonderen Fällen, soweit es notwendig und verhältnismäßig ist, mit privaten Parteien austauschen können.

(33)

Straftäter nutzen zunehmend die von privaten Parteien angebotenen Dienste, um zu kommunizieren und rechtswidrige Handlungen zu begehen. Sexualstraftäter beuten Kinder aus und tauschen weltweit Bilder und Videos, die Darstellungen sexuellen Missbrauchs von Kindern enthalten, auf Online-Plattformen oder mit Gleichgesinnten über nummernunabhängige interpersonelle Kommunikationsdienste aus. Terroristen nutzen die Dienste von Online-Diensteanbietern, um Freiwillige zu rekrutieren, Anschläge zu planen und zu koordinieren und Propaganda zu verbreiten. Cyberkriminelle nutzen die Digitalisierung unserer Gesellschaften und den Mangel an digitalen Kompetenzen und sonstigen digitalen Fertigkeiten in der allgemeinen Öffentlichkeit aus, um mithilfe von Phishing und „Social Engineering“ andere Formen der Cyberkriminalität wie Online-Betrug, Ransomware-Angriffe oder Zahlungsbetrug zu begehen. Infolge der zunehmenden Nutzung von Online-Diensten durch Straftäter verfügen private Parteien über immer mehr personenbezogene Daten, darunter Angaben zu Abonnenten, zum Datenverkehr und zum Inhalt, die für strafrechtliche Ermittlungen potenziell relevant sein sind.

(34)

Angesichts der grenzenlosen Natur des Internets kann es vorkommen, dass der Online-Diensteanbieter und die digitale Infrastruktur, in der die personenbezogenen Daten gespeichert sind, jeweils unterschiedlichen nationalen Rechtsordnungen — entweder innerhalb oder außerhalb der Union — unterliegen. Private Parteien können daher im Besitz von Datensätzen sein, die für die Strafverfolgung von Belang sind, und personenbezogene Daten, die in die Zuständigkeit mehrerer Rechtsordnungen fallen, sowie personenbezogene Daten, die nicht ohne Weiteres einer bestimmten Rechtsordnung zugeordnet werden können, enthalten. Den zuständigen Behörden der Mitgliedstaaten kann es schwerfallen, solche mehreren Rechtsordnungen unterliegenden oder nicht zuzuordnenden Datensätze im Rahmen nationaler Lösungen wirksam zu analysieren. Darüber hinaus gibt es derzeit keine zentrale Anlaufstelle für private Parteien, die beschließen, Datensätze rechtmäßig und freiwillig an die zuständigen Behörden der Mitgliedstaaten weiterzugeben. Daher sollte Europol über Maßnahmen zur Erleichterung der Zusammenarbeit mit privaten Parteien, und zwar auch bei der Weitergabe von Informationen, verfügen.

(35)

Damit gewährleistet ist, dass privaten Parteien eine Anlaufstelle auf Unionsebene zur Verfügung steht, an die sie rechtmäßig und freiwillig Datensätze weiterleiten können, die mehreren Rechtsordnungen unterliegen oder die nicht ohne Weiteres einer oder mehreren bestimmten Rechtsordnungen zuzuordnen sind, sollte Europol personenbezogene Daten direkt von privaten Parteien entgegennehmen können, um den Mitgliedstaaten die Informationen zur Verfügung zu stellen, die zur Festlegung der Gerichtsbarkeit und für Ermittlungen zu Straftaten in ihrem jeweiligen Zuständigkeitsbereich gemäß dieser Verordnung erforderlich sind. Diese Informationen könnten Berichte im Zusammenhang mit moderierten Inhalten beinhalten, bei denen vernünftigerweise davon ausgegangen werden kann, dass sie mit den kriminellen Aktivitäten in Verbindung stehen, die im Zuständigkeitsbereich von Europol liegen.

(36)

Damit die Mitgliedstaaten unverzüglich die Informationen erhalten, die für die Einleitung von Ermittlungen zur Verhütung und Bekämpfung von Schwerkriminalität und Terrorismus erforderlich sind, sollte Europol in der Lage sein, personenbezogene Daten zu verarbeiten und zu analysieren, um die jeweiligen nationalen Stellen zu ermitteln und die personenbezogenen Daten und relevanten Ergebnisse ihrer Analyse und Überprüfung solcher Daten, die für die Zwecke der Feststellung der Zuständigkeit und für Ermittlungen zu den betreffenden Straftaten in ihrem jeweiligen Zuständigkeitsbereich erforderlich sind, an diese nationalen Stellen weiterzuleiten. Europol sollte außerdem die personenbezogenen Daten und Ergebnisse ihrer Analyse und Überprüfung solcher Daten weiterleiten können, die für die Feststellung der Zuständigkeit an Kontaktstellen oder zuständige Behörden von Drittstaaten erheblich sind, für die ein Angemessenheitsbeschluss vorliegt oder mit denen eine internationale Übereinkunft oder ein Kooperationsabkommen geschlossen wurde, oder wenn geeignete Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen sind, oder wenn Europol aufgrund einer Bewertung aller Umstände bei der Übermittlung personenbezogener Daten zu der Auffassung gelangt ist, dass diese Garantien in diesen Drittstaaten bestehen. Unterliegt der der betreffende Drittstaat keinem Angemessenheitsbeschluss oder ist er nicht Vertragspartei einer solchen Übereinkunft oder eines Kooperationsabkommens oder besteht kein rechtsverbindliches Instrument oder ist Europol nicht zu dem Schluss gelangt, dass derartige Garantien gegeben sind, so sollte Europol das Ergebnis ihrer Analyse und Überprüfung dieser Daten an den betreffenden Drittstaat gemäß dieser Verordnung übermitteln können.

(37)

Gemäß der Verordnung (EU) 2016/794 kann es in bestimmten Fällen und abhängig von Bedingungen, erforderlich und verhältnismäßig sein, dass Europol personenbezogene Daten an private Parteienübermittelt, die weder in der Union noch in einem Drittland niedergelassen sind, für das ein Angemessenheitsbeschluss vorliegt oder mit dem eine internationale Übereinkunft oder ein Kooperationsabkommen geschlossen wurde, oder wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument gemäß der Verordnung (EU) 2016/794 vorgesehen sind oder wenn Europol nicht zu der Auffassung gelangt ist, dass angemessene Garantien in diesem Drittstaat bestehen. In solchen Fällen sollte die Übermittlung von der vorherigen Genehmigung des Exekutivdirektors abhängig gemacht werden.

(38)

Damit Europol alle zuständigen nationalen Stellen ermitteln kann, sollte sie private Parteien informieren können, wenn deren Informationen allein es Europol nicht ermöglichen, die betreffenden nationalen Stellen zu ermitteln. Auf diese Weise hätten diese privaten Parteien die Möglichkeit zu entscheiden, ob es in ihrem Interesse liegt, zusätzliche Informationen an Europol weiterzugeben, und ob das rechtmäßig wäre. Zu diesem Zweck sollte Europol private Parteien über fehlende Informationen informieren können, soweit das für den ausschließlichen Zweck der Ermittlung der betreffenden nationalen Stellen unbedingt erforderlich ist. Für Übermittlungen von Informationen von Europol an private Parteien sollten besondere Garantien gelten, wenn die betreffende private Partei nicht in der Union oder in einem Drittstaat niedergelassen ist, für das ein Angemessenheitsbeschluss vorliegt oder mit dem eine internationale Übereinkunft oder ein Kooperationsabkommen geschlossen wurde, oder wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen sind oder wenn Europol nicht zu der Auffassung gelangt ist, dass angemessene Garantien bestehen.

(39)

Wenn Mitgliedstaaten, Drittstaaten, internationale Organisationen oder private Parteien Datensätze, die mehrere Rechtsordnungen betreffen oder die nicht einer oder mehreren bestimmten Rechtsordnungen zuzuordnen sind, an Europol weitergeben, können diese Datensätze mit personenbezogenen Daten in Zusammenhang stehen, die sich im Besitz privater Parteien befinden. In solchen Fällen sollte es Europol möglich sein, den Mitgliedstaaten über deren nationale Stellen ein Ersuchen zu übermitteln, um die personenbezogenen Daten von privaten Parteien, die in ihrem Hoheitsgebiet niedergelassen sind oder dort über einen Vertreter verfügen, zur Verfügung zu stellen. Ein solches Ersuchen sollte nur erfolgen, wenn zusätzliche Informationen bei solchen privaten Parteien eingeholt werden müssen, um die betreffenden nationalen Stellen zu ermitteln. Das Ersuchen sollte begründet und möglichst präzise sein. Die einschlägigen personenbezogenen Daten, die möglichst wenig sensibel und streng auf das zur Ermittlung der betreffenden nationalen Stellen erforderliche und verhältnismäßige Maß beschränkt sein sollten, sollten Europol nach Maßgabe der geltenden Rechtsvorschriften der betreffenden Mitgliedstaaten übermittelt werden. Die zuständigen Behörden der betreffenden Mitgliedstaaten sollten das Ersuchen von Europol prüfen und gemäß ihren nationalen Rechtsvorschriften entscheiden, ob sie ihm stattgeben. Jede Datenverarbeitung durch private Parteienbei der Bearbeitung solcher Ersuchen der zuständigen Behörden der Mitgliedstaaten, sollte weiterhin den geltenden Vorschriften, insbesondere für den Datenschutz, unterliegen. Private Parteien sollten die angeforderten Daten den zuständigen Behörden der Mitgliedstaaten, die zur Weiterleitung an Europol zur Verfügung stellen. In vielen Fällen können die betreffenden Mitgliedstaaten möglicherweise keine andere Verbindung zu ihrer Rechtsordnung erkennen als die Tatsache, dass die private Partei, in deren Besitz sich die betreffenden Daten befinden, in ihrem Hoheitsgebiet niedergelassen oder rechtlich vertreten ist. Ungeachtet ihrer Zuständigkeit für die konkrete Straftat, sollten die Mitgliedstaaten in jedem Fall sicherstellen, dass ihre zuständigen Behörden personenbezogene Daten bei privaten Parteien einholen können, damit Europol die Informationen zur Verfügung gestellt werden können, die Europol benötigt, um ihre Ziele unter uneingeschränkter Einhaltung der Verfahrensgarantien in den nationalen Rechtsvorschriften zu erreichen.

(40)

Damit gewährleistet ist, dass Europol die direkt von privaten Parteien erhaltenen personenbezogenen Daten nicht länger als für die Ermittlung der betroffenen nationalen Stellen erforderlich speichert, sollten für die Speicherung personenbezogener Daten durch Europol Fristen gelten. Sobald Europol alle ihr zur Verfügung stehenden Möglichkeiten zur Ermittlung der betroffenen nationalen Stellen ausgeschöpft hat und bei vernünftiger Betrachtung nicht erwarten kann, weitere betroffene nationale Stellen zu ermitteln, ist die Speicherung dieser personenbezogenen Daten für die Ermittlung der betroffenen nationalen Stellen nicht mehr erforderlich und verhältnismäßig. Europol sollte die personenbezogenen Daten innerhalb von vier Monaten nach der letzten Übermittlung, der Übertragung an eine nationale Stelle oder an eine Kontaktstelle eines Drittstaats oder an eine Behörde eines Drittstaats löschen, es sei denn, eine betroffene nationale Stelle, Kontaktstelle oder Behörde legt Europol erneut die personenbezogenen Daten innerhalb dieser Frist gemäß dem Unionsrecht und dem nationalen Recht als ihre Daten vor. Wenn die erneut vorgelegten personenbezogenen Daten Teil eines größeren Satzes personenbezogener Daten waren, sollte Europol nur diejenigen personenbezogenen Daten speichern, die von einer betroffenen nationalen Stelle, Kontaktstelle oder Behörde erneut vorgelegt wurden.

(41)

Eine Zusammenarbeit von Europol mit privaten Parteien sollte die Tätigkeit der zentralen Meldestellen (Financial Intelligence Units, FIU), die mit der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates (12) eingerichtet wurden, weder duplizieren noch beeinträchtigen und nur Informationen betreffen, die den FIU nicht bereits nach der genannten Richtlinie zur Verfügung gestellt werden müssen. Europol sollte mit den FIU auch weiterhin vor allem über die nationalen Stellen zusammenarbeiten.

(42)

Europol sollte den zuständigen Behörden der Mitgliedstaaten die notwendige Unterstützung bei der Interaktion mit privaten Parteien, insbesondere durch Bereitstellung der für eine solche Interaktion erforderlichen Infrastruktur, leisten können, zum Beispiel, wenn die zuständigen Behörden der Mitgliedstaaten Online-Diensteanbietern terroristische Online-Inhalte melden, Entfernungsanordnungen für derartige Inhalte an Online-Diensteanbieter gemäß der Verordnung (EU) 2021/784 des Europäischen Parlaments und des Rates (13) übermitteln oder im Zusammenhang mit Cyberangriffen Informationen mit privaten Parteien austauschen. Wenn Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten über Straftaten nutzen, die nicht unter die Ziele von Europol fallen, sollte Europol keinen Zugang zu diesen Daten haben. Europol sollte mit technischen Mitteln sicherstellen, dass ihre Infrastruktur strikt darauf beschränkt ist, einen Kanal für solche Interaktionen zwischen den zuständigen Behörden der Mitgliedstaaten und einer privaten Partei bereitzustellen, und dass Europol alle erforderlichen Garantien bietet, damit eine private Partei keinen Zugang zu anderen Informationen in den Systemen von Europol hat, die nicht mit dem Austausch mit dieser privaten Partei in Zusammenhang stehen.

(43)

Terroranschläge lösen die umfassende Verbreitung terroristischer Inhalte über Online-Plattformen aus, die Angriffe auf das Leben oder die körperliche Unversehrtheit zeigen oder unmittelbar zu Angriffen auf das Leben oder die körperliche Unversehrtheit aufrufen, und ermöglichen auf diese Weise die Glorifizierung von Terrorismus, entsprechende Ausbildungen sowie schließlich die Radikalisierung und die Rekrutierung anderer Personen. Darüber hinaus verstetigt der zunehmende Rückgriff auf das Internet, um Darstellungen sexuellen Missbrauchs von Kindern aufzuzeichnen oder weiterzugeben, den Schaden für die Opfer, da das Material leicht vervielfältigt und weiterverbreitet werden kann. Damit Straftaten, die unter die Ziele von Europol fallen, verhindert und bekämpft werden können, sollte Europol die Mitgliedstaaten bei Maßnahmen zur wirksamen Bekämpfung der Verbreitung terroristischer Inhalte im Zusammenhang mit Online-Krisensituationen, die auf aktuelle oder kürzlich stattgefundene Ereignisse in der realen Welt zurückzuführen sind, und der Online-Verbreitung von Online-Darstellungen sexuellen Missbrauchs von Kindern sowie bei Maßnahmen von Online-Diensteanbietern gemäß ihren Pflichten nach dem Unionsrecht sowie bei ihren freiwilligen Maßnahmen unterstützen können. Zu diesem Zweck sollte Europol einschlägige personenbezogene Daten, einschließlich der mit solchen Inhalten verbundenen eindeutigen, unumkehrbaren digitalen Signaturen (sog. „Hashes“), IP-Adressen oder URLs, mit privaten Parteien austauschen können, die in der Union oder in einem Drittstaat niedergelassen sind, für den ein Angemessenheitsbeschluss vorliegt oder, sofern ein solcher Beschluss nicht vorliegt, mit dem eine internationale Übereinkunft oder ein Kooperationsabkommen abgeschlossen wurde oder wenn geeignete Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen sind oder wenn Europol aufgrund einer Bewertung aller Umstände der Übermittlung personenbezogener Daten zu der Auffassung gelangt ist, dass diese Garantien in diesem Drittstaat bestehen. Ein solcher Austausch von personenbezogenen Daten sollte nur stattfinden, um die Entfernung terroristischer Inhalte und Online-Darstellungen sexuellen Missbrauchs von Kindern zu ermöglichen, insbesondere wenn eine exponentielle Verbreitung und Viralität von solchem Inhalt und Material bei mehreren Online-Diensteanbietern erwartet wird. Die vorliegende Verordnung sollte keinesfalls dahin gehend ausgelegt werden, dass sie einen Mitgliedstaat daran hindert, Entfernungsanordnungen gemäß der Verordnung (EU) 2021/784 als Instrument zur Bekämpfung terroristischer Online-Inhalte zu nutzen.

(44)

Um Doppelarbeit mit und mögliche Beeinträchtigungen von Ermittlungen zu vermeiden und den Aufwand für die betroffenen Hostingdiensteanbieter so gering wie möglich zu halten, sollte Europol die zuständigen Behörden der Mitgliedstaaten bei der Übermittlung und Übertragung personenbezogener Daten an private Parteien zur Bewältigung von Online-Krisensituationen und zur Bekämpfung der Verbreitung von Online-Darstellungen sexuellen Missbrauchs von Kindern im Internet unterstützen, Informationen mit ihnen austauschen und mit ihnen zusammenarbeiten.

(45)

Die Verordnung (EU) 2018/1725 stellt Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union auf. Während die Verordnung (EU) 2018/1725 auf die Verarbeitung verwaltungstechnischer personenbezogener Daten durch Europol anwendbar ist, die nicht mit strafrechtlichen Ermittlungen zusammenhängen, etwa Personaldaten, gelten Artikel 3 Ziffer 2 und Kapitel IX der genannten Verordnung, die die Verarbeitung personenbezogener Daten regeln, derzeit nicht für Europol. Zur Gewährleistung eines einheitlichen und kohärenten Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten sollte Kapitel IX der Verordnung (EU) 2018/1725 nach deren Artikel 2 Absatz 2 auf Europol Anwendung finden und durch besondere Bestimmungen für die spezifischen Verarbeitungsvorgänge ergänzt werden, die Europol zur Erfüllung ihrer Aufgaben durchführen sollte. Daher sollten die Aufsichtsbefugnisse des EDSB über Europols Verarbeitungsmaßnahmen gemäß den maßgeblichen Befugnissen für die Verarbeitung verwaltungstechnischer personenbezogener Daten, die für alle Organe, Einrichtungen und sonstige Stellen der Union gemäß Kapitel VI der Verordnung (EU) 2018/1725 gelten, gestärkt werden. Zu diesem Zweck sollte der EDSB im Falle der Verarbeitung personenbezogener Daten durch Europol zu operativen Zwecken imstande sein, Europol anzuweisen, Verarbeitungsvorgänge mit dieser Verordnung in Einklang zu bringen und die Aussetzung der Datenübermittlung an einen Empfänger in einem Mitgliedstaat, einem Drittstaat oder bei einer internationalen Organisation anzuordnen und bei Nichteinhaltung durch Europol eine Geldbuße zu verhängen.

(46)

Die Verarbeitung von Daten für die Zwecke der vorliegenden Verordnung könnte die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (14) nach sich ziehen. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien personenbezogener Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ in Artikel 3 Nummer 18 der Verordnung (EU) 2018/1725 erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

(47)

Der in der Verordnung (EU) 2018/1725 vorgesehene Mechanismus der vorherigen Konsultation unter Einbeziehung der EDSB ist eine wichtige Garantie für neue Arten von Verarbeitungsvorgängen. Dieser Mechanismus sollte jedoch nicht für spezifische individuelle Verarbeitungstätigkeiten wie Projekte der operativen Analysen gelten, sondern für die Nutzung neuer Informationstechnologie (IT)-Systeme zur Verarbeitung personenbezogener Daten und für wesentliche Änderungen dieser Systeme, die ein hohes Risiko für die Rechte und Grundfreiheiten der betroffenen Personen mit sich bringen würden. Es sollte nicht möglich sein, die Frist auszusetzen, innerhalb deren der EDSB verpflichtet sein sollte, eine schriftliche Stellungnahme zu solchen Konsultationen abzugeben. Im Falle besonders dringender Verarbeitungstätigkeiten, die für die Erfüllung der Aufgaben von Europol von erheblicher Bedeutung sind, sollte es Europol möglich sein, die Verarbeitung ausnahmsweise bereits nach Beginn der vorherigen Konsultation einzuleiten, selbst wenn die Frist für die schriftliche Stellungnahme des EDSB noch nicht abgelaufen ist. Eine solche Dringlichkeit kann in Situationen entstehen, die für die Erfüllung der Aufgaben von Europol von erheblicher Bedeutung sind, wenn die Verarbeitung zur Verhütung und Bekämpfung einer unmittelbaren Bedrohung durch eine Straftat, die unter die Ziele von Europol fallen, und zum Schutz lebenswichtiger Interessen einer betroffenen oder einer sonstigen Person erforderlich ist. Der Datenschutzbeauftragte von Europol sollte in die Beurteilung der Dringlichkeit und Notwendigkeit einer solchen Verarbeitung einbezogen werden, bevor die Frist, innerhalb deren der EDSB auf eine vorherige Konsultation antworten soll, abläuft. Der Datenschutzbeauftragte von Europol sollte solche Verarbeitungsfragen überwachen. Der EDSB sollte in der Lage sein, seine Befugnisse bei einer solchen Verarbeitung auszuüben.

(48)

Angesichts der Herausforderungen, die die schnelle technologische Entwicklung und der Einsatz neuer Technologien durch Terroristen und andere Straftäter für die Sicherheit in der Union mit sich bringen, müssen die zuständigen Behörden der Mitgliedstaaten ihre technologischen Kapazitäten ausbauen, um die für die Ermittlungen bei Straftaten erforderlichen Daten zu identifizieren, zu sichern und zu analysieren. Europol sollte die Mitgliedstaaten beim Einsatz neu entwickelter Technologien, bei der Erforschung neuer Konzepte und der Entwicklung gemeinsamer technologischer Lösungen unterstützen können, damit die Mitgliedstaaten Straftaten, die unter die Ziele von Europol fallen, besser verhindern und bekämpfen können. Gleichzeitig sollte Europol sicherstellen, dass bei der Entwicklung, der Nutzung und dem Einsatz neuer Technologien die Grundsätze der Transparenz, der Erklärbarkeit, der Fairness und der Rechenschaftspflicht zum Tragen kommen, die Grundrechte und -freiheiten nicht beeinträchtigt werden und das Unionsrecht eingehalten wird. Zu diesem Zweck sollte Europol Forschungs- und Innovationsprojekte in den unter diese Verordnung fallenden Bereichen durchführen können, sofern sie in den allgemeinen Anwendungsbereich für die Forschungs- und Innovationstätigkeiten fallen, der vom Verwaltungsrat in einem verbindlichen Dokument festgelegt wurde. Dieses Dokument sollte gegebenenfalls aktualisiert und dem EDSB zur Verfügung gestellt werden sollte. Diese Projekte sollten nur dann die Verarbeitung personenbezogener Daten umfassen können, wenn bestimmte Bedingungen erfüllt sind, insbesondere wenn die Verarbeitung personenbezogener Daten unbedingt erforderlich ist, das Ziel des jeweiligen Projekts mithilfe nicht personenbezogener wie synthetischer oder anonymer Daten nicht erreicht werden kann und wenn die uneingeschränkte Achtung der Grundrechte, insbesondere des Rechts auf Nichtdiskriminierung, gewährleistet wird.

Die Verarbeitung bestimmter Kategorien personenbezogener Daten zu Forschungs- und Innovationszwecken sollte nur gestattet sein, wenn sie unbedingt erforderlich ist. In Anbetracht der Sensibilität einer solchen Verarbeitung sollten geeignete zusätzliche Schutzvorkehrungen wie etwa Pseudonymisierung zum Einsatz kommen. Um eine Verzerrung in algorithmischen Entscheidungsprozessen zu verhindern, sollte es Europol gestattet sein, personenbezogene Daten zu verarbeiten, die nicht mit Kategorien betroffener Personen in Anhang II in Verbindung stehen. Europol sollte Protokolle jeder Verarbeitung personenbezogener Daten im Zusammenhang mit ihren Forschungs- und Innovationsprojekten nur zum Zweck der Überprüfung der Richtigkeit der Ergebnisse der Datenverarbeitung und nur so lange aufbewahren, wie das für diese Überprüfung erforderlich ist. Die Bestimmungen über die Entwicklung neuer Instrumente durch Europol sollten keine Rechtsgrundlage für deren Einsatz auf Unionsebene oder auf nationaler Ebene darstellen. Um Innovationen zu fördern und Synergieeffekte in Forschungs- und Innovationsprojekten zu stärken, ist es wichtig, dass Europol ihre Zusammenarbeit mit den einschlägigen Netzen von Praktikern der Mitgliedstaaten und mit anderen Agenturen der Union in deren jeweiligen Zuständigkeitsbereichen ausbaut und damit weitere zusammenhängende Formen der Zusammenarbeit wie die Sekretariatsunterstützung für das „EU-Innovationszentrum für innere Sicherheit“ als kooperatives Netz von Innovationslabors unterstützt.

(49)

Europol sollte eine Schlüsselrolle bei der Unterstützung der Mitgliedstaaten bei der Entwicklung neuer, für die Verwirklichung der Ziele von Europol relevanter technologischer Lösungen auf der Grundlage von künstlicher Intelligenz spielen, die den zuständigen Behörden der Mitgliedstaaten in der gesamten Union zugutekommen. Diese Unterstützung sollte unter uneingeschränkter Achtung der Grundrechte und -freiheiten einschließlich des Rechts auf Nichtdiskriminierung erfolgen. Europol sollte eine Schlüsselrolle bei der Förderung der Entwicklung und des Einsatzes ethisch vertretbarer, vertrauenswürdiger und auf den Menschen ausgerichteter künstlicher Intelligenz spielen, für die solide Garantien für Sicherheit, Transparenz, Erklärbarkeit und Grundrechte gelten.

(50)

Europol sollte den EDBS vor Beginn ihrer Forschungs- und Innovationsprojekte, die die Verarbeitung personenbezogener Daten umfassen, unterrichten. Europol sollte ihren Verwaltungsrat entweder informieren oder konsultieren, anhand bestimmter Kriterien, die in einschlägigen Leitlinien festgelegt werden sollten. Europol sollte Daten für Forschungs- und Innovationsprojekte nicht ohne die Zustimmung des Mitgliedstaats, der Unionseinrichtung, des Drittstaats oder der internationalen Organisation, der bzw. die die Daten an Europol übermittelt hat, verarbeiten, es sei denn, der betreffende Mitgliedstaat, die Unionseinrichtung, der Drittstaat oder die internationale Organisation hat seine vorherige Genehmigung für eine solche Verarbeitung zu diesem Zweck erteilt. Für jedes Projekt sollte Europol vor der Verarbeitung eine Abschätzung der Folgen für den Datenschutz vornehmen, damit das Recht auf Datenschutz und alle anderen Grundrechte und -freiheiten der betroffenen Personen umfassend gewahrt werden. Die Abschätzung der Folgen für den Datenschutz sollte eine Prüfung der Geeignetheit, Notwendigkeit und Verhältnismäßigkeit der Verarbeitung personenbezogener Daten für den spezifischen Zweck des Projekts, einschließlich des Erfordernisses der Datenminimierung und einer Bewertung einer potenziellen Verzerrung im Ergebnis und in den personenbezogenen Daten, die für den spezifischen Zweck des Projekts verarbeitet werden sollen, und der vorgesehenen Maßnahmen zur Eindämmung dieser Risiken umfassen. Die Entwicklung neuer Instrumente durch Europol sollte die Rechtsgrundlage, einschließlich der Gründe für die Verarbeitung der betreffenden personenbezogenen Daten, unberührt lassen, die später für ihren Einsatz auf Unionsebene oder auf nationaler Ebene erforderlich wäre.

(51)

Wenn Europol mit zusätzlichen Instrumenten und Fähigkeiten ausgestattet wird, müssen auch die demokratische Kontrolle und die Rechenschaftspflicht von Europol verstärkt werden. Die gemeinsame parlamentarische Kontrolle ist ein wichtiger Bestandteil der politischen Überwachung der Tätigkeit von Europol. Um eine wirksame politische Überwachung der Art der Anwendung der in dieser Verordnung vorgesehenen zusätzlichen Instrumente und Fähigkeiten durch Europol zu ermöglichen, sollte Europol dem Gemeinsamen parlamentarischen Kontrollausschuss („Joint Parliamentary Scrutiny Group“ — JPSG) und den Mitgliedstaaten jährlich detaillierte Informationen über die Entwicklung, die Nutzung und die Wirksamkeit dieser Instrumente und Fähigkeiten und das Ergebnis ihrer Verwendung vorlegen, und zwar insbesondere über Forschungs- und Innovationsprojekte sowie neue Aktivitäten oder die Einrichtung etwaiger neuer spezialisierter Zentren innerhalb von Europol. Darüber hinaus sollten, um die doppelte Wählerschaft des JPSG widerzuspiegeln, zwei Vertreter des JPSG — einer für das Europäische Parlament und einer für die nationalen Parlamente — jährlich zu mindestens zwei ordentlichen Sitzungen des Verwaltungsrats eingeladen werden, um im Namen des JPSG vor dem Verwaltungsrat zu sprechen und den konsolidierten jährlichen Tätigkeitsbericht, das einheitliche Programmplanungsdokument und den jährlichen Haushaltsplan, schriftliche Fragen und Antworten des JPSG sowie Außenbeziehungen und Partnerschaften zu erörtern, wobei die unterschiedlichen Rollen und Zuständigkeiten des Verwaltungsrates und des JPSG nach dieser Verordnung zu achten sind. Der Verwaltungsrat sollte in der Lage sein, gemeinsam mit den Vertretern des JPSG weitere zu erörternde Fragen von politischem Interesse festzulegen. Der Aufsichtsfunktion des JPSG entsprechend sollten die beiden Vertreter des JPSG über kein Stimmrecht im Verwaltungsrat verfügen. Geplante Forschungs- und Innovationstätigkeiten sollten in dem einheitlichen Programmplanungsdokument, das die mehrjährige Programmplanung und das jährliche Arbeitsprogramm von Europol umfasst, festgelegt und dem JPSG übermittelt werden.

(52)

Der Verwaltungsrat sollte auf Vorschlag des Exekutivdirektors einen Grundrechtsbeauftragten bestimmen, der Europol dabei unterstützen sollte, die Achtung der Grundrechte in all ihren Tätigkeiten und Aufgaben und insbesondere bei ihren Forschungs- und Innovationsprojekten und beim Austausch personenbezogener Daten mit privaten Parteien zu gewährleisten. Es sollte möglich sein, ein Mitglied des vorhandenen Europol-Personals, das eine besondere Schulung in Grundrechtsnormen und -praxis erhalten hat, als Grundrechtsbeauftragten zu bestimmen. Der Grundrechtsbeauftragte sollte — innerhalb der jeweiligen Zuständigkeitsbereiche — eng mit dem Datenschutzbeauftragten zusammenarbeiten. Soweit Datenschutzangelegenheiten betroffen sind, sollte der Datenschutzbeauftragte uneingeschränkt zuständig sein.

(53)

Da das Ziel dieser Verordnung, nämlich die Tätigkeit der zuständigen Behörden der Mitgliedstaaten sowie deren gegenseitige Zusammenarbeit bei der Verhütung und Bekämpfung von zwei oder mehr Mitgliedstaaten betreffender schwerer Kriminalität, von Terrorismus und von Kriminalitätsformen, die ein gemeinsames Interesse verletzen, das Gegenstand einer Politik der Union ist, zu unterstützen und zu verstärken, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen des grenzüberschreitenden Charakters von schwerer Kriminalität und Terrorismus und der Notwendigkeit einer koordinierten Reaktion auf die damit zusammenhängenden Sicherheitsbedrohungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.

(54)

Gemäß Artikel 3 des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts hat Irland mitgeteilt, dass es sich an der Annahme und Anwendung dieser Verordnung beteiligen möchte.

(55)

Gemäß den Artikeln 1 und 2 des dem EUV und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(56)

Der EDSB wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 angehört und hat am 8. März 2021 eine Stellungnahme (15) abgegeben.

(57)

Diese Verordnung steht vollständig im Einklang mit den Grundrechten und Garantien sowie den Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) anerkannt wurden, insbesondere mit dem Recht auf Achtung des Privat- und Familienlebens und dem Recht auf Schutz personenbezogener Daten gemäß den Artikeln 7 und 8 der Charta und Artikel 16 AEUV. Angesichts der Bedeutung der Verarbeitung personenbezogener Daten für die Strafverfolgung im Allgemeinen und für die von Europol bereitgestellte Unterstützung im Besonderen sollte diese Verordnung erweiterte Garantien und demokratische Kontroll- und Rechenschaftsmechanismen umfassen, um sicherzustellen, dass die Tätigkeiten und Aufgaben von Europol in voller Übereinstimmung mit den Grundrechten, die in der Charta verankert sind, durchgeführt werden, und zwar insbesondere mit den Rechten auf Gleichheit vor dem Gesetz, auf Nichtdiskriminierung und auf einen wirksamen Rechtsschutz bei dem zuständigen nationalen Gericht gegen alle gemäß dieser Verordnung ergriffenen Maßnahmen. Jede Verarbeitung personenbezogener Daten nach dieser Verordnung sollte auf das unbedingt notwendige Maß beschränkt und verhältnismäßig sein und klaren Bedingungen, strengen Anforderungen und einer wirksamen Aufsicht durch den EDSB unterliegen.

(58)

Die Verordnung (EU) 2016/794 sollte daher entsprechend geändert werden.

(59)

Damit die in dieser Verordnung vorgesehenen Maßnahmen zügig angewendet werden können, sollte diese Verordnung am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Die Verordnung (EU) 2016/794 wird wie folgt geändert:

1.

Artikel 2 wird wie folgt geändert:

a)

Die Buchstaben h bis k sowie die Buchstaben m, n und o werden gestrichen.

b)

Buchstabe p erhält folgende Fassung:

„p)

‚verwaltungstechnische personenbezogene Daten‘ von Europol verarbeitete personenbezogene Daten mit Ausnahme der operativen personenbezogenen Daten;“.

c)

Folgende Buchstaben werden angefügt:

„q)

‚Ermittlungsdaten‘ Daten, die ein Mitgliedstaat, die mit der Verordnung (EU) 2017/1939 des Rates (*1) eingerichtete Europäische Staatsanwaltschaft (im Folgenden „EUStA“), Eurojust oder ein Drittland im Rahmen laufender strafrechtlicher Ermittlungen, die ein oder mehr Mitgliedstaaten betreffen, gemäß den Verfahrensvorschriften und Garantien, die nach dem Unionsrecht oder dem nationalen Recht anwendbar sind, verarbeiten darf oder die ein Mitgliedstaat, die EUStA, Eurojust oder ein Drittland Europol zur Unterstützung einer solchen laufenden strafrechtlichen Ermittlungen übermittelt hat und die personenbezogene Daten enthalten, die sich nicht auf in Anhang II aufgeführte Kategorien betroffener Personen beziehen;

r)

‚terroristische Inhalte‘ terroristische Inhalte im Sinne von Artikel 2 Nummer 7 der Verordnung (EU) 2021/784 des Europäischen Parlaments und des Rates (*2);

s)

‚Online-Darstellungen sexuellen Missbrauchs von Kindern‘ Online-Material, das Kinderpornografie im Sinne von Artikel 2 Buchstabe c der Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates (*3) oder pornografische Darbietung im Sinne von Artikel 2 Buchstabe e jener Richtlinie darstellt;

t)

‚Online-Krisensituation‘ die Verbreitung von Online-Inhalten, die auf ein aktuelles oder kürzlich stattgefundenes Ereignis in der realen Welt zurückzuführen sind, Angriffe auf das Leben oder die körperliche Unversehrtheit zeigen oder unmittelbar dazu aufrufen oder die darauf abzielen oder bewirken, dass eine Bevölkerung ernsthaft eingeschüchtert wird, vorausgesetzt, dass ein Zusammenhang mit oder ein begründeter Verdacht auf einen Zusammenhang mit Terrorismus oder gewaltbereitem Extremismus und dass das Potential einer exponentiellen Verbreitung und Viralität dieser Inhalte bei mehreren Online-Diensten erwartet wird;

u)

‚Kategorie von Übermittlungen personenbezogener Daten‘ eine Gruppe von Übermittlungen personenbezogener Daten, wenn die Daten sich auf dieselbe spezifische Situation beziehen und wenn die Übermittlungen aus denselben Kategorien personenbezogener Daten und aus denselben Kategorien von betroffenen Personen bestehen;

v)

‚Forschungs- und Innovationsprojekte‘ Projekte in den unter diese Verordnung fallenden Bereichen für das Entwickeln, Trainieren, Erproben und Validieren von Algorithmen zur Entwicklung spezifischer Instrumente und andere spezifische Forschungs- und Innovationsprojekte, die für das Erreichen der Ziele Europols von Bedeutung sind.

(*1)  Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1)."

(*2)  Verordnung (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte (ABl. L 172 vom 17.5.2021, S. 79)."

(*3)  Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).“."

2.

Artikel 4 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt geändert:

i)

Folgender Buchstabe wird eingefügt:

„ha)

Bereitstellung administrativer und finanzieller Unterstützung für die Spezialeinheiten der Mitgliedstaaten im Sinne des Beschlusses 2008/617/JI des Rates (*4);

(*4)  Beschluss 2008/617/JI des Rates vom 23. Juni 2008 über die Verbesserung der Zusammenarbeit zwischen den Spezialeinheiten der Mitgliedstaaten der Europäischen Union in Krisensituationen (ABl. L 210 vom 6.8.2008, S. 73).“;"

ii)

Buchstabe j erhält folgende Fassung:

„j)

Zusammenarbeit mit den auf der Grundlage von Titel V AEUV errichteten Unionseinrichtungen, mit OLAF und der durch die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates (*5) eingerichtete Agentur der Europäischen Union für Cybersicherheit (ENISA), insbesondere durch den Austausch von Informationen und durch Unterstützung mit Analysen zu den in ihre jeweiligen Zuständigkeiten fallenden Bereichen;

(*5)  Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15).“;"

iii)

Buchstabe m erhält folgende Fassung:

„m)

Unterstützung der Maßnahmen der Mitgliedstaaten bei der Verhütung und Bekämpfung der in Anhang I aufgeführten Kriminalitätsformen, die mithilfe des Internets erleichtert, gefördert oder begangen werden, unter anderem durch

i)

Unterstützung der zuständigen Behörden der Mitgliedstaaten auf deren Ersuchen bei der Reaktion auf vermutlich kriminell motivierte Cyberangriffe,

ii)

Zusammenarbeit mit den zuständigen Behörden der Mitgliedstaaten gemäß Artikel 14 der Verordnung (EU) 2021/784 bei den Entfernungsanordnungen und

iii)

die Verweisung von Online-Inhalten an die betroffenen Anbieter von Online-Diensten, damit diese freiwillig die Vereinbarkeit dieser Inhalte mit ihren eigenen Geschäftsbedingungen überprüfen;“;

iv)

Folgende Buchstaben werden angefügt:

„r)

Unterstützung der Mitgliedstaaten bei der Identifizierung von Personen, deren kriminellen Aktivitäten unter die in Anhang I aufgeführten Kriminalitätsformen fallen und die ein hohes Sicherheitsrisiko darstellen;

s)

Erleichterung gemeinsamer, koordinierter und prioritärer Ermittlungen gegenüber in Buchstabe r genannten Personen;

t)

Unterstützung der Mitgliedstaaten bei der Verarbeitung von Daten, die von Drittstaaten oder internationalen Organisationen an Europol übermittelt werden und an Terrorismus oder schwerer Kriminalität beteiligte Personen betreffen, sowie Vorschlag der möglichen Eingabe von Informationsausschreibungen über Staatsangehörige eines Drittstaates im Interesse der Union (im Folgenden ‚Informationsausschreibung‘) in das Schengener Informationssystem (SIS) durch die Mitgliedstaaten nach deren Ermessen und im Anschluss an die Überprüfung und Analyse dieser Daten, gemäß der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates (*6);

u)

im Zusammenhang mit den Zielen von Europol Unterstützung des Evaluierungs- und Überwachungsmechanismus zur Überprüfung der Anwendung des Schengen-Besitzstandes nach der Verordnung (EU) Nr. 1053/2013 im Wege der Bereitstellung von Fachwissen und Analysen, falls angezeigt;

v)

proaktive Beobachtung der Forschungs- und Innovationstätigkeiten, die für die Erreichung der Ziele von Europol relevant sind, und Leistung eines Beitrags zu diesen Tätigkeiten, indem sie damit zusammenhängende Tätigkeiten der Mitgliedstaaten unterstützt und ihre eigenen Forschungs- und Innovationstätigkeiten, darunter Projekte zum Entwickeln, Trainieren, Erproben und Validieren von Algorithmen für die Entwicklung spezifischer Instrumente für die Verwendung durch Strafverfolgungsbehörden, durchführt, sowie Verbreitung der Ergebnisse dieser Tätigkeiten an die Mitgliedstaaten gemäß Artikel 67;

w)

Leistung eines Beitrags zur Schaffung von Synergien zwischen den Forschungs- und Innovationstätigkeiten der Einrichtungen und Agenturen der EU, die für die Erfüllung der Ziele von Europol relevant sind, einschließlich mittels des EU-Innovationszentrums für innere Sicherheit, und in enger Zusammenarbeit mit den Mitgliedstaaten;

x)

Unterstützung von Maßnahmen der Mitgliedstaaten auf deren Ersuchen bei der Bewältigung von Online-Krisensituationen, insbesondere dadurch, dass privaten Parteien die zur Ermittlung relevanter Online-Inhalte benötigten Informationen übermittelt werden;

y)

Unterstützung von Maßnahmen der Mitgliedstaaten zur Bekämpfung der Verbreitung von Online-Darstellungen sexuellen Missbrauchs von Kindern im Internet;

z)

Zusammenarbeit nach Artikel 12 der Richtlinie (EU) 2019/1153 des Europäischen Parlaments und des Rates (*7) mit den gemäß der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates (*8) errichteten zentralen Meldestellen (Financial Intelligence Units, FIU) über die maßgebliche nationale Europol-Stelle oder, sofern der jeweilige Mitgliedstaat es gestattet, durch direkten Kontakt mit den FIU, insbesondere durch den Austausch von Informationen und die Bereitstellung von Analysen an die Mitgliedstaaten, um grenzüberschreitende Ermittlungen zu Geldwäscheaktivitäten internationaler krimineller Vereinigungen und zu Terrorismusfinanzierung zu unterstützen.

(*6)  Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7.12.2018, S. 56)."

(*7)  Richtlinie (EU) 2019/1153 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Festlegung von Vorschriften zur Erleichterung der Nutzung von Finanz- und sonstigen Informationen für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung bestimmter Straftaten und zur Aufhebung des Beschlusses 2000/642/JI des Rates (ABl. L 186 vom 11.7.2019, S. 122)."

(*8)  Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission (ABl. L 141 vom 5.6.2015, S. 73).“;"

v)

Folgende Unterabsätze werden angefügt:

„Damit ein Mitgliedstaat innerhalb von zwölf Monaten, nachdem Europol die mögliche Eingabe einer Ausschreibung gemäß Unterabsatz 1 Buchstabe t vorgeschlagen hat, andere Mitgliedstaaten und Europol über das Ergebnis der Überprüfung und Analyse sowie darüber unterrichtet, ob eine Ausschreibung in das SIS eingegeben wurde, wird ein Mechanismus für die regelmäßige Berichterstattung eingerichtet.

Die Mitgliedstaaten unterrichten Europol gemäß dem in der Verordnung (EU) 2018/1862 festgelegten Verfahren Europol über jede in das SIS eingegebene Ausschreibung und jeden Treffer zu diesen Ausschreibungen und können über Europol den Drittstaat oder die internationale Organisation, von dem bzw. der die zu der Ausschreibung führenden Daten stammen, über Treffer zu dieser Ausschreibung.“

b)

Absatz 2 Satz 2 erhält folgende Fassung:

„Europol leistet zudem Unterstützung bei der operativen Umsetzung dieser Ziele, insbesondere im Rahmen der Europäischen multidisziplinären Plattform gegen kriminelle Bedrohungen, unter anderem durch die Erleichterung und Bereitstellung administrativer, logistischer, finanzieller und operativer Unterstützung für operative und strategische Tätigkeiten unter Führung der Mitgliedstaaten.“

c)

In Absatz 3 wird folgender Satz angefügt:

„Europol erstellt auch Bedrohungsanalysen auf der Grundlage der ihr vorliegenden Informationen über kriminelle Erscheinungsformen und Entwicklungstrends, um die Kommission und die Mitgliedstaaten bei der Durchführung von Risikobewertungen zu unterstützen.“

d)

Folgende Absätze werden eingefügt:

„(4a)   Europol unterstützt die Mitgliedstaaten und die Kommission bei der Festlegung zentraler Forschungsthemen.

Europol unterstützt die Kommission bei der Ausarbeitung und Durchführung der Rahmenprogramme der Union für Forschung und Innovation, die für die Erreichung der Ziele von Europol relevant sind.

Gegebenenfalls kann Europol die Ergebnisse ihrer Forschungs- und Innovationstätigkeiten im Rahmen ihres Beitrags zur Schaffung von Synergien zwischen den bei Forschungs- und Innovationstätigkeiten der maßgebenden Einrichtungen der Union gemäß Absatz 1, Unterabsatz 1, Buchstabe w verbreiten.

Europol ergreift alle erforderlichen Maßnahmen, um Interessenkonflikte zu vermeiden. Europol erhält keine Mittel aus einem Rahmenprogramm der Union, wenn sie die Kommission bei der Festlegung zentraler Forschungsthemen sowie bei der Ausarbeitung und Durchführung dieses Programms unterstützt.

Bei der Gestaltung und der Konzeption der Forschungs- und Innovationstätigkeiten im Zusammenhang mit Bereichen, die unter diese Verordnung fallen, kann Europol gegebenenfalls die Gemeinsame Forschungsstelle der Kommission konsultieren.

(4b)   Europol unterstützt die Mitgliedstaaten im Hinblick auf die zu erwartenden Auswirkungen auf die Sicherheit bei der Überprüfung bestimmter Fälle ausländischer Direktinvestitionen in die Union nach Maßgabe der Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates (*9), die Unternehmen betreffen, welche Technologien bereitstellen, einschließlich Software, die Europol zur Verhütung und Untersuchung von unter die Ziele von Europol fallenden Straftaten verwendet.

(*9)  Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates vom 19. März 2019 zur Schaffung eines Rahmens für die Überprüfung ausländischer Direktinvestitionen in der Union (ABl. L 79 I vom 21.3.2019, S. 1).“"

e)

Absatz 5 erhält folgende Fassung:

„(5)   Bei der Durchführung ihrer Aufgaben wendet Europol keine Zwangsmaßnahmen an.

Das Europol-Personal kann den zuständigen Behörden der Mitgliedstaaten während der Durchführung von Ermittlungsmaßnahmen auf deren Ersuchen und nach Maßgabe ihres nationalen Rechts operative Unterstützung leisten, insbesondere durch Erleichterung des grenzüberschreitenden Informationsaustauschs, forensische und technische Unterstützung und durch Anwesenheit bei der Durchführung dieser Maßnahmen. Das Europol-Personal selbst führt keine Ermittlungsmaßnahmen durch.“

f)

Folgender Absatz wird angefügt:

„(5a)   Europol achtet bei der Wahrnehmung ihrer Aufgaben die in der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) verankerten Grundrechte und -freiheiten.“

3.

Artikel 6 wird wie folgt geändert:

a)

Folgender Absatz wird eingefügt:

„(1a)   Unbeschadet von Absatz 1 kann der Exekutivdirektor in den Fällen, in denen er der Auffassung ist, dass strafrechtliche Ermittlungen zu einer bestimmten Straftat eingeleitet werden sollten, die zwar nur einen Mitgliedstaat betrifft, aber ein gemeinsames Interesse verletzt, das Gegenstand einer Politik der Union ist, den zuständigen Behörden des betreffenden Mitgliedstaats über seine nationale Stelle die Einleitung, Durchführung oder Koordinierung einer strafrechtlichen Ermittlung vorschlagen.“

b)

Absatz 2 erhält folgende Fassung:

„(2)   Die nationalen Stellen setzen Europol, in Bezug auf jedes Ersuchen gemäß Absatz 1, oder den Exekutivdirektor, in Bezug auf jeden nach Absatz 1a gemachten Vorschlag, unverzüglich von der Entscheidung der zuständigen Behörden der Mitgliedstaaten.“

c)

Absatz 4 erhält folgende Fassung:

„4.   Europol setzt Eurojust und — falls angezeigt — die EUStA unverzüglich von jedem Ersuchen gemäß Absatz 1, von jedem Vorschlag nach den Absatz 1a sowie von jeder Entscheidung einer zuständigen Behörde eines Mitgliedstaats nach Absatz 2 in Kenntnis.“

4.

Artikel 7 Absatz 8 erhält folgende Fassung:

„(8)   Jeder Mitgliedstaat stellt sicher, dass seine FIU befugt ist, im Rahmen ihres Mandats und Zuständigkeitsbereichs und vorbehaltlich nationaler Verfahrensgarantien, ordnungsgemäß begründete Ersuchen von Europol um Finanzinformationen und Analysen gemäß Artikel 12 der Richtlinie (EU) 2019/1153 entweder über die ihre seine nationale Stelle oder — sofern dieser Mitgliedstaat es gestattet — durch direkten Kontakt zwischen der FIU und Europol zu beantworten.“

5.

Artikel 11 Absatz 1 wird wie folgt geändert:

a)

Buchstabe a erhält folgende Fassung:

„a)

beschließt jedes Jahr mit Zweidrittelmehrheit seiner Mitglieder gemäß Artikel 12 der vorliegenden Verordnung ein einheitliches Programmplanungsdokument im Sinne von Artikel 32 der Delegierten Verordnung (EU) 2019/715 der Kommission (*10);

(*10)  Delegierte Verordnung (EU) 2019/715 der Kommission vom 18. Dezember 2018 über die Rahmenfinanzregelung für gemäß dem AEUV und dem Euratom-Vertrag geschaffene Einrichtungen nach Artikel 70 der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (ABl. L 122 vom 10.5.2019, S. 1).“."

b)

Folgende Buchstaben werden angefügt:

„v)

bestimmt einen Grundrechtsbeauftragten im Sinne von Artikel 41c.

w)

legt die Kriterien fest, auf deren Grundlage Europol Vorschläge für eine mögliche Eingabe von Ausschreibungen in das SIS vorlegen kann.“.

6.

Artikel 12 wird wie folgt geändert:

a)

Absatz 1 erhält folgende Fassung:

„(1)   Der Verwaltungsrat beschließt bis zum 30. November jedes Jahres ein einheitliches Programmplanungsdokument mit der mehrjährigen Programmplanung und dem jährlichen Arbeitsprogramm von Europol auf der Grundlage eines vom Exekutivdirektor vorgelegten Entwurfs und unter Berücksichtigung der Stellungnahme der Kommission sowie — was die mehrjährige Programmplanung betrifft — nach Anhörung des Gemeinsamen parlamentarischen Kontrollausschusses.

Wenn der Verwaltungsrat beschließt, die Stellungnahme der Kommission nach Unterabsatz 1 ganz oder teilweise nicht zu berücksichtigen, gibt Europol eine ausführliche Begründung ab.

Wenn der Verwaltungsrat beschließt, keine der vom Gemeinsamen parlamentarischen Kontrollausschuss gemäß Artikel 51 Absatz 2 Buchstabe c angesprochenen Punkte zu berücksichtigen, gibt Europol eine ausführliche Begründung ab.

Sobald das einheitliche Programmplanungsdokument angenommen wurde, übermittelt der Verwaltungsrat dieses dem Rat, der Kommission und dem Gemeinsamen parlamentarischen Kontrollausschuss.“

b)

Absatz 2 Unterabsatz 1 erhält folgende Fassung:

„In der mehrjährigen Programmplanung wird die strategische Gesamtplanung einschließlich Zielvorgaben, erwarteten Ergebnisse und Leistungsindikatoren festgelegt. Sie enthält ferner die Ressourcenplanung, einschließlich des mehrjährigen Finanz- und Stellenplans. Zudem enthält sie die Strategie für die Beziehungen zu Drittstaaten und internationalen Organisationen und umfasst die von Europol geplanten Forschungs- und Innovationstätigkeiten.“

7.

Artikel 14 Absatz 4 erhält folgende Fassung:

„(4)   Der Verwaltungsrat kann jede Person, deren Stellungnahme von Interesse für die Beratungen sein kann, als nicht stimmberechtigten Beobachter zu seinen Sitzungen einladen.

Zwei Vertreter des Gemeinsamen parlamentarischen Kontrollausschusses werden als nicht stimmberechtigte Beobachter jährlich zu zwei ordentlichen Sitzungen des Verwaltungsrats eingeladen, um die folgenden Angelegenheiten von politischem Interesse zu erörtern:

a)

den in Artikel 11 Absatz 1 Buchstabe c genannten konsolidierten jährlichen Tätigkeitsbericht für das Vorjahr;

b)

das in Artikel 12 genannte einheitliche Programmplanungsdokument für das folgende Jahr und den jährlichen Haushaltsplan;

c)

schriftliche Fragen des Gemeinsamen parlamentarischen Kontrollausschusses und Antworten;

d)

Außenbeziehungen und Partnerschaften.

Der Verwaltungsrat kann gemeinsam mit den Vertretern des Gemeinsamen parlamentarischen Kontrollausschusseses weitere zu erörternde politische Angelegenheiten in den in Unterabsatz 1 genannten Sitzungen festlegen.“

8.

Artikel 16 wird wie folgt geändert:

a)

Absatz 3 erhält folgende Fassung:

„(3)   Der Rat oder der Gemeinsame parlamentarische Kontrollausschuss können den Exekutivdirektor auffordern, über die Durchführung seiner Aufgaben Bericht zu erstatten.“

b)

Absatz 5 wird wie folgt geändert:

i)

Buchstabe d erhält folgende Fassung:

„d)

den Entwurf des in Artikel 12 genannten einheitlichen Programmplanungsdokuments auszuarbeiten und ihn nach Anhörung der Kommission und des Gemeinsamen parlamentarischen Kontrollausschusses dem Verwaltungsrat zu unterbreiten,“;

ii)

Folgender Buchstabe wird eingefügt:

„oa)

den Verwaltungsrat über mit privaten Parteien unterzeichnete Vereinbarungen zu unterrichten;“.

9.

Artikel 18 wird wie folgt geändert:

a)

Absatz 2 wird wie folgt geändert:

i)

Buchstabe d erhält folgende Fassung:

„d)

Erleichterung des Informationsaustauschs zwischen Mitgliedstaaten, Europol, anderen Unionseinrichtungen, Drittstaaten, internationalen Organisationen und privaten Parteien;“;

ii)

Folgende Buchstaben werden angefügt:

„e)

Forschungs- und Innovationsprojekte;

f)

Unterstützung der Mitgliedstaaten auf deren Ersuchen bei der Unterrichtung der Öffentlichkeit über Verdächtige oder verurteilte Personen, nach denen aufgrund einer nationalen gerichtlichen Entscheidung zu Straftaten, die unter die Ziele von Europol fallen, gefahndet wird, und Erleichterung der Übermittlung von Informationen über diese Personen durch die Öffentlichkeit an die Mitgliedstaaten und Europol.“;

b)

Folgender Absatz wird eingefügt:

„(3a)   Falls es für die Erreichung der Ziele der Forschungs- und Innovationsprojekte von Europol erforderlich ist, erfolgt die Verarbeitung personenbezogener Daten zu diesem Zweck ausschließlich im Rahmen von Forschungs- und Innovationsprojekten von Europol mit klar definierten Zwecken und Zielen gemäß Artikel 33a.“

c)

Absatz 5 erhält folgende Fassung:

„(5)   Unbeschadet des Artikels 8 Absatz 4, des Artikels 18 Absatz 2 Buchstabe e, des Artikels 18a und der Datenverarbeitung gemäß Artikel 26 Absatz 6c, wo die Europol-Infrastruktur für den bilateralen Austausch personenbezogener Daten genutzt wird und Europol keinen Zugriff auf den Inhalt der Daten hat, sind die Kategorien personenbezogener Daten und die Kategorien von betroffenen Personen, deren Daten zu den Zwecken des Absatzes 2 erhoben und verarbeitet werden dürfen, in Anhang II aufgeführt.“

d)

Folgender Absatz eingefügt:

„(5a)   Gemäß Artikel 73 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (*11) unterscheidet Europol gegebenenfalls und so weit wie möglich klar zwischen den personenbezogenen Daten, die sich auf die verschiedenen in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen.

(*11)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).“"

e)

Absatz 6 erhält folgende Fassung:

„(6)   Europol kann Daten vorübergehend verarbeiten, um festzustellen, ob die betreffenden Daten für ihre Aufgaben relevant sind und, falls das der Fall ist, für welche der in Absatz 2 genannten Zwecke sie relevant sind. Die Frist für die Verarbeitung solcher Daten für diesen Zweck darf sechs Monate ab Erhalt dieser Daten nicht überschreiten.“

f)

Folgende Absätze werden eingefügt:

„(6a)   Bevor die Daten nach Absatz 2 des vorliegenden Artikels verarbeitet werden und sofern das unbedingt erforderlich ist, einzig um festzustellen, ob personenbezogene Daten Absatz 5 des vorliegenden Artikels entsprechen, kann Europol die ihr gemäß Artikel 17 Absätze 1 und 2 übermittelten personenbezogenen Daten ausschließlich zu diesem Zweck vorübergehend verarbeiten, auch durch Abgleich dieser Daten mit allen Daten, die Europol bereits gemäß Absatz 5 des vorliegenden Artikels verarbeitet.

Europol darf personenbezogene Daten nach Unterabsatz 1 nur für einen Zeitraum von bis zu 18 Monaten ab dem Zeitpunkt, an dem Europol feststellt, dass diese Daten unter ihre Ziele fallen, oder in begründeten Fällen länger verarbeiten, wenn das für die Zwecke dieses Artikels erforderlich ist. Europol unterrichtet den EDSB über die Verlängerung des Verarbeitungszeitraums. Die maximale Gesamtdauer der Datenverarbeitung gemäß Unterabsatz 1 beträgt drei Jahre. Diese personenbezogenen Daten werden funktional getrennt von anderen Daten aufbewahrt.

Gelangt Europol zu dem Schluss, dass die in Unterabsatz 1 des vorliegenden Absatzes genannten personenbezogenen Daten nicht Absatz 5 entsprechen, löscht Europol diese Daten und setzt den Lieferanten dieser gelöschten Daten gegebenenfalls davon in Kenntnis.

(6b)   Der Verwaltungsrat legt auf Vorschlag des Exekutivdirektors, nach Anhörung des EDSB und unter gebührender Berücksichtigung der in Artikel 71 der Verordnung (EU) 2018/1725 genannten Grundsätze, die Bedingungen für die Verarbeitung der in den Absätzen 6 und 6a des vorliegenden Artikels genannten Daten fest, insbesondere hinsichtlich der Übermittlung der Daten, den Zugang zu ihnen und ihre Verwendung sowie der Fristen für die Speicherung und Löschung solcher Daten, die jene gemäß den Absätzen 6 und 6a des vorliegenden Artikels nicht überschreiten dürfen.“

10.

Folgender Artikel wird eingefügt:

„Artikel 18a

Verarbeitung personenbezogener Daten zur Unterstützung strafrechtlicher Ermittlungen

(1)   Sofern das zur Unterstützung einer laufenden konkreten strafrechtlichen Ermittlung zu einer Straftat im Rahmen der Ziele von Europol erforderlich ist, kann Europol personenbezogene Daten verarbeiten, die sich nicht auf in Anhang II aufgeführte Kategorien von betroffenen Personen beziehen, wenn

a)

ein Mitgliedstaat, die EUStA oder Eurojust Europol gemäß Artikel 17 Absatz 1 Buchstabe a oder b Ermittlungsdaten übermittelt und Europol ersucht, diese Ermittlungen zu unterstützen, und zwar:

i)

durch operative Analysen gemäß Artikel 18 Absatz 2 Buchstabe c oder

ii)

in hinreichend begründeten Ausnahmefällen durch den Abgleich gemäß Artikel 18 Absatz 2 Buchstabe a;

b)

Europol feststellt, dass es nicht möglich ist, die operative Analyse gemäß Artikel 18 Absatz 2 Buchstabe c oder den Abgleich gemäß Artikel 18 Absatz 2 Buchstabe a zur Unterstützung dieser Ermittlungen durchzuführen, ohne personenbezogene Daten zu verarbeiten, die nicht Artikel 18 Absatz 5 entsprechen.

Die Ergebnisse dieser Bewertung nach Unterabsatz 1 Buchstabe b ist zu protokollieren und dem EDSB zur Information zu übermitteln, wenn Europol die Unterstützung der in Unterabsatz 1 genannten Ermittlungen beendet.

(2)   Wenn der in Absatz 1, Unterabsatz 1, Buchstabe a genannte Mitgliedstaat gemäß den Verfahrensvorschriften und Garantien nach seinem geltenden nationalen Recht nicht länger befugt ist, die Daten in den in Absatz 1 genannten laufenden konkreten Strafermittlungen zu verarbeiten, informiert er Europol,

Wenn die EUStA oder Eurojust Europol Ermittlungsdaten übermittelt und nach den Verfahrensvorschriften und Garantien des geltenden Unionsrechts und des geltenden nationalen Rechts nicht länger befugt ist, diese Daten im Rahmen der in Absatz 1 genannten laufenden konkreten strafrechtlichen Ermittlungen zu verarbeiten, informiert sie Europol.

(3)   Europol darf Ermittlungsdaten ausschließlich zur Unterstützung dieser Ermittlungen und nur so lange gemäß Artikel 18 Absatz 2 verarbeiten, wie Europol die laufenden konkreten strafrechtlichen Ermittlungen unterstützt, für die die Ermittlungsdaten gemäß Absatz 1, Unterabsatz 1, Buchstabe a des vorliegenden Artikels übermittelt wurden.

(4)   Europol darf die gemäß Absatz 1, Unterabsatz 1, Buchstabe a übermittelten Ermittlungsdaten und das Ergebnis der Verarbeitung dieser Daten auf Ersuchen des Bereitstellers dieser Ermittlungsdaten über die in Absatz 3 festgelegte Verarbeitungsfrist hinaus ausschließlich zum Zweck der Gewährleistung der Richtigkeit, Zuverlässigkeit und Rückverfolgbarkeit des kriminalpolizeilichen Verfahrens und nur so lange speichern, wie das Gerichtsverfahren anhängig ist, das die konkreten strafrechtlichen Ermittlungen betrifft, für die diese Daten übermittelt wurden.

Die Lieferanten dieser Ermittlungsdaten gemäß Absatz 1, Unterabsatz 1, Buchstabe a oder mit ihrer Zustimmung ein Mitgliedstaat, in dem ein Gerichtsverfahren im Zusammenhang mit strafrechtlichen Ermittlungen anhängig ist, kann Europol ersuchen, die Ermittlungsdaten und das Ergebnis der operativen Analyse dieser Daten über den in Absatz 3 festgelegten Verarbeitungszeitraum hinaus zur Gewährleistung der Richtigkeit, Zuverlässigkeit und Rückverfolgbarkeit des kriminalpolizeilichen Verfahrens und nur so lange zu speichern, wie ein Gerichtsverfahren, das damit zusammenhängende strafrechtliche Ermittlungen betrifft, in diesem anderen Mitgliedstaat anhängig ist.

(5)   Unbeschadet der Verarbeitung personenbezogener Daten gemäß Artikel 18 Absatz 6a werden personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen, von anderen Daten funktional getrennt aufbewahrt und dürfen nur dann verarbeitet werden, wenn das für die Zwecke der Absätze 3, 4 und 6 des vorliegenden Artikels erforderlich und verhältnismäßig ist.

Auf Vorschlag des Exekutivdirektors und nach Anhörung des EDSB legt der Verwaltungsrat Bedingungen für die Übermittlung und Verarbeitung der personenbezogenen Daten gemäß den Absätzen 3 und 4 fest.

(6)   Die Absätze 1 bis 4 des vorliegenden Artikels gelten auch, wenn personenbezogene Daten Europol von einem in Artikel 25 Absatz 1 Buchstaben a, b oder c oder Artikel 25 Absatz 4a genannten Drittstaat zur Verfügung gestellt werden und dieser Drittstaat Europol Ermittlungsdaten zur operativer Analyse als Beitrag zu konkreten strafrechtlichen Ermittlungen in einem oder mehreren Mitgliedstaaten, die Europol unterstützt, zur Verfügung stellt, sofern der Drittstaat die Daten im Rahmen von strafrechtlicher Ermittlungen gemäß den Verfahrensvorschriften und Garantien nach seinem geltenden nationalen Strafrecht erlangt hat.

Stellt ein Drittstaat Europol Ermittlungsdaten gemäß Unterabsatz 1 zur Verfügung, so kann der Datenschutzbeauftragte den EDSB gegebenenfalls darüber unterrichten.

Europol vergewissert sich, dass die Menge der in Unterabsatz 1 genannten personenbezogenen Daten nicht offensichtlich unverhältnismäßig zu den von Europol in einem Mitgliedstaat unterstützten konkreten strafrechtlichen Ermittlungen ist. Gelangt Europol zu dem Schluss, dass ein Hinweis darauf vorliegt, dass solche Daten offensichtlich unverhältnismäßig sind oder unter offensichtlicher Verletzung von Grundrechten erhoben wurden, so verarbeitet Europol die Daten nicht und löscht sie.

Europol greift auf die nach diesem Absatz verarbeiteten personenbezogenen Daten nur zu, wenn das zur Unterstützung konkreter strafrechtlicher Ermittlungen, für die die Daten zur Verfügung gestellt wurden, erforderlich ist. Diese personenbezogenen Daten dürfen nur innerhalb der Union weitergegeben werden.“

11.

Artikel 19 Absätze 1 und 2 erhält folgende Fassung:

„(1)   Die Mitgliedstaaten, Unionseinrichtungen, Drittstaaten oder internationalen Organisationen, die Europol Informationen übermitteln, bestimmen, zu welchem Zweck oder welchen Zwecken diese Informationen gemäß Artikel 18 verarbeitet werden dürfen.

Wenn ein in Unterabsatz 1 genannter Informationslieferant diesen Unterabsatz nicht genügt, verarbeitet Europol im Einvernehmen mit dem Informationslieferanten die Informationen, um zu bestimmen, wie sachdienlich die Informationen sind und zu welchem Zweck oder welchen Zwecken sie weiterverarbeitet werden.

Europol verarbeitet Informationen zu einem anderen Zweck als dem Zweck, zu dem sie übermittelt wurden, nur dann, wenn der Informationslieferant dem zustimmt.

Informationen, die zu den in Artikel 18 Absatz 2 Buchstaben a bis d genannten Zwecke übermittelt werden, dürfen von Europol auch für die Zwecke des Artikels 18 Absatz 2 Buchstabe e gemäß Artikel 33a verarbeitet werden.

(2)   Die Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationale Organisationen können bei der Übermittlung von Informationen an Europol etwaige für den Zugriff darauf oder ihre Verwendung geltende Einschränkungen allgemeiner oder besonderer Art vorsehen, insbesondere zu der Übermittlung, Löschung oder Vernichtung der Informationen. Sollten sich derartige Einschränkungen erst nach der Übermittlung der Informationen als notwendig erweisen, so setzen sie Europol hiervon in Kenntnis. Europol leistet den Einschränkungen Folge.“

12.

Artikel 20 wird wie folgt geändert:

a)

Folgender Absatz wird eingefügt:

„(2a)   Im Rahmen von in Artikel 18 Absatz 3 genannten Projekten der operativen Analyse und vorbehaltlich der in dieser Verordnung festgelegten Vorschriften für die und Garantien bei der Verarbeitung personenbezogener Daten können die Mitgliedstaaten unbeschadet der gemäß Artikel 19 Absatz 2 vorgesehener Einschränkungen festlegen, welche Informationen Europol ausgewählten anderen Mitgliedstaaten für gemeinsame operative Analysen bei konkreten Ermittlungen und nach den Verfahren, die in den in Artikel 18 Absatz 7 genannten Leitlinien festgelegt sind, direkt zugänglich macht.“

b)

In Absatz 3 erhält der einleitende Wortlaut folgende Fassung:

„(3)   Nach Maßgabe des nationalen Rechts dürfen der Zugriff auf die und die Weiterverarbeitung der in den Absätzen 1, 2 und 2a genannten Informationen durch die Mitgliedstaaten nur für die Zwecke der Verhütung, Aufdeckung, Untersuchung und Verfolgung folgender Formen von Straftaten erfolgen:“

13.

Folgender Artikel wird eingefügt:

„Artikel 20a

Beziehungen zur Europäischen Staatsanwaltschaft

(1)   Europol knüpft und unterhält enge Beziehungen zur EUStA. Im Rahmen dieser Beziehungen handeln Europol und die EUStA im Rahmen ihrer jeweiligen Zuständigkeiten. Hierzu schließen sie eine Arbeitsvereinbarung, in der die Modalitäten ihrer Zusammenarbeit festgelegt werden.

(2)   Auf Antrag der EUStA gemäß Artikel 102 der Verordnung (EU) 2017/1939 des Rates unterstützt Europol die Ermittlungen der EUStA und arbeitet mit ihr im Wege der Bereitstellung von Informationen und analytischer Unterstützung zusammen, bis die EUStA entscheidet, Anklage zu erheben oder die Sache auf andere Weise abzuschließen.

(3)   Damit der EUStA Informationen gemäß Absatz 2 des vorliegenden Artikels bereitgestellt werden, ergreift Europol alle geeigneten Maßnahmen, um die EUStA in die Lage zu versetzen, dass sie indirekten Zugriff auf die zu den Zwecken von Artikel 18 Absatz 2 Buchstaben a, b und c übermittelten Daten zu Straftaten, die in die Zuständigkeit von EPPO fallen, nach dem Treffer/Kein-Treffer-Verfahren hat. Bei diesem Treffer/Kein-Treffer-Verfahren wird im Falle eines Treffers nur Europol unterrichtet, vorbehaltlich etwaiger gemäß Artikel 19 Absatz 2 vorgesehener Einschränkungen, die die in Artikel 19 Absatz 1 genannten Informationslieferanten vorsehen.

Im Fall eines Treffers leitet Europol das Verfahren ein, durch das die Information, die den Treffer ausgelöst hat, je nach der Entscheidung des in Artikel 19 Absatz 1 genannten Informationslieferanten weitergegeben werden darf, und zwar nur so weit, als die Daten, die den Treffer ausgelöst haben, für den in Absatz 2 des vorliegenden Artikels genannten Antrag relevant sind.

(4)   Europol meldet der EUStA unverzüglich jedes strafbare Verhalten, in dessen Zusammenhang die EUStA ihre Zuständigkeit gemäß Artikel 22 und Artikel 25 Absätze 2 und 3 der Verordnung (EU) 2017/1939 ausüben könnte, vorbehaltlich aller Einschränkungen, die der Informationslieferant gemäß Artikel 19 Absatz 2 der vorliegenden Verordnung vorsieht.

Wenn Europol eine Meldung an die EUStA gemäß Unterabsatz 1 macht, setzt sie die betroffenen Mitgliedstaaten unverzüglich davon in Kenntnis.

Wurden Europol Informationen über strafbares Verhalten, bezüglich dessen die EUStA ihre Zuständigkeit ausüben könnte, von einem Mitgliedstaat übermittelt, der gemäß Artikel 19 Absatz 2 der vorliegenden Verordnung Einschränkungen für die Verwendung dieser Informationen vorgesehen hat, so teilt Europol der EUStA das Bestehen dieser Einschränkungen mit und verweist die Angelegenheit an den betreffenden Mitgliedstaat. Der betreffende Mitgliedstaat wendet sich direkt an die EUStA, um Artikel 24 Absätze 1 und 4 der Verordnung (EU) 2017/1939 zu entsprechen.“

14.

In Artikel 21 wird folgender Absatz angefügt:

„(8)   Stellt Europol im Laufe der Informationsverarbeitung zu einer bestimmten strafrechtlichen Ermittlung oder zu einem bestimmten Projekt fest, dass Informationen für eine mögliche rechtswidrige Handlung zum Nachteil der finanziellen Interessen der Union von Belang sind, so leitet Europol diese Informationen — vorbehaltlich etwaiger gemäß Artikel 19 Absatz 2 vorgesehener Einschränkungen durch den Mitgliedstaat, der die Informationen geliefert hat — unverzüglich an das OLAF weiter.

Wenn Europol gemäß Unterabsatz 1 Informationen an das OLAF weiterleitet, setzt sie die betroffenen Mitgliedstaaten unverzüglich davon in Kenntnis.“

15.

Artikel 23 Absatz 7 erhält folgende Fassung:

„(7)   Eine Weiterübermittlung von bei Europol gespeicherten personenbezogenen Daten durch Mitgliedstaaten, Unionseinrichtungen, Drittstaaten, internationale Organisationen oder private Parteien ist verboten, es sei denn, Europol hat vorher seine ausdrückliche Genehmigung erteilt.“

16.

Die Überschrift von Abschnitt 2 erhält folgende Fassung:

Übermittlung und Austausch personenbezogener Daten“.

17.

Artikel 24 erhält folgende Fassung:

„Artikel 24

Übermittlung personenbezogener Daten an Unionseinrichtungen

(1)   Europol übermittelt nur dann personenbezogene Daten gemäß Artikel 71 Absatz 2 der Verordnung (EU) 2018/1725 und vorbehaltlich aller weiteren Einschränkungen nach der vorliegenden Verordnung, und unbeschadet des Artikels 67 der vorliegenden Verordnung an eine Unionseinrichtung, wenn diese Daten für die rechtmäßige Wahrnehmung der Aufgaben der empfangenden Unionseinrichtung verhältnismäßig und erforderlich sind.

(2)   Im Anschluss an ein Ersuchen einer anderen Unionseinrichtung auf Übermittlung personenbezogener Daten überprüft Europol die Zuständigkeit der anderen Unionseinrichtung. Sofern Europol die Notwendigkeit der Übermittlung personenbezogener Daten gemäß Absatz 1 nicht bestätigen kann, so holt Europol weitere Auskünfte von der ersuchenden Unionseinrichtung ein.

Die ersuchende Unionseinrichtung stellt sicher, dass die Notwendigkeit der Übermittlung personenbezogener Daten überprüft werden kann.

(3)   Die empfangende Unionseinrichtung verarbeitet die in den Absätzen 1 und 2 genannten personenbezogenen Daten nur für die Zwecke, für die sie übermittelt wurden.“

18.

Artikel 25 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt geändert:

i)

Der einleitende Wortlaut erhält folgende Fassung:

„(1)   Vorbehaltlich aller nach Artikel 19 Absatz 2 oder Absatz 3 vorgesehenen Einschränkungen und unbeschadet des Artikels 67 kann Europol, wenn das für die Erfüllung der Aufgaben von Europol erforderlich ist, personenbezogene Daten an zuständige Behörden eines Drittstaates oder an eine internationale Organisation auf der Grundlage eines der folgenden Instrumente übermitteln:“

ii)

Buchstabe a erhält folgende Fassung:

„a)

eines Beschlusses der Kommission gemäß Artikel 36 der Richtlinie (EU) 2016/680, dem zufolge der Drittstaat oder ein Gebiet oder ein oder mehrere Sektoren in diesem Drittstaat oder die betreffende internationale Organisation einen ausreichenden Datenschutz gewährleistet (‚Angemessenheitsbeschluss‘);“;

b)

Absatz 3 wird gestrichen.

c)

Folgender Absatz wird eingefügt:

„(4a)   Liegt kein Angemessenheitsbeschluss vor, so kann der Verwaltungsrat Europol gestatten, personenbezogene Daten an eine zuständige Behörde eines Drittstaats oder eine internationale Organisation zu übermitteln, wenn

a)

geeignete Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen sind oder

b)

Europol alle Umstände der Übermittlung personenbezogener Daten beurteilt hat und zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz dieser Daten bestehen.“

d)

Absatz 5 wird wie folgt geändert:

i)

Der einleitende Wortlaut erhält folgende Fassung:

„Abweichend von Absatz 1 kann der Exekutivdirektor in hinreichend begründeten Fällen die Übermittlung personenbezogener Daten oder eine Kategorie von Übermittlungen personenbezogener Daten an eine zuständige Behörde eines Drittstaats oder eine internationale Organisation im Einzelfall genehmigen, wenn die Übermittlung oder die Kategorie von Übermittlungen:“

ii)

Buchstabe b erhält folgende Fassung:

„b)

zur Wahrung berechtigter Interessen der betroffenen Person erforderlich ist;“;

e)

Absatz 8 erhält folgende Fassung:

„(8)   Europol unterrichtet den EDSB über Kategorien von Übermittlungen gemäß Absatz 4a Buchstabe b. Übermittlungen nach Absatz 4a oder Absatz 5 werden dokumentiert, und die Dokumentation wird dem EDSB auf Anfrage zur Verfügung gestellt. Die Dokumentation enthält das Datum und die Uhrzeit der Übermittlung sowie Informationen über die in diesem Artikel genannte zuständige Behörde, die Gründe für die Übermittlung und die übermittelten personenbezogenen Daten.“

19.

Artikel 26 wird wie folgt geändert:

a)

Absatz 1 Buchstabe c erhält folgende Fassung:

„c)

über eine Behörde eines Drittstaats oder eine internationale Organisation, gemäß Artikel 25 Absatz 1 Buchstaben a, b oder c, oder gemäß Artikel 25 Absatz 4a.“;

b)

Absatz 2 erhält folgende Fassung:

„(2)   Sofern Europol personenbezogene Daten direkt von privaten Parteien entgegennimmt, kann sie diese personenbezogenen Daten gemäß Artikel 18 verarbeiten, um die in Absatz 1 Buchstabe a genannten betreffenden nationalen Stellen zu ermitteln. Europol leitet die personenbezogenen Daten und relevante Ergebnisse aus der Verarbeitung dieser Daten, die für die Feststellung der Zuständigkeit erforderlich sind, unverzüglich an die betreffenden nationalen Stellen weiter. Europol kann die personenbezogenen Daten und relevante Ergebnisse aus der Verarbeitung dieser Daten, die für die Feststellung der Zuständigkeit erforderlich sind, gemäß Artikel 25 an die betreffenden Kontaktstellen und Behörden im Sinne des Absatzes 1 Buchstaben b und c des vorliegenden Artikels weiterleiten. Wenn Europol keine betreffenden nationalen Stellen ermitteln konnte oder die personenbezogenen Daten bereits an alle ermittelten betreffenden nationalen Stellen weitergeleitet hat und es nicht möglich war, weitere betreffende nationale Stellen zu ermitteln, so löscht sie die Daten, es sei denn, die betreffende nationale Stelle, Kontaktstelle oder Behörde legt diese personenbezogenen Daten gemäß Artikel 19 Absatz 1 innerhalb von vier Monaten nach der Übermittlung erneut vor.

Die Kriterien dafür, ob es sich bei der nationalen Stelle des Niederlassungsmitgliedstaats der betreffenden privaten Partei um eine betreffende nationale Stelle handelt, werden in den Leitlinien nach Artikel 18 Absatz 7 festgelegt.“

c)

Folgender Absatz wird eingefügt:

„(2a)   Eine Zusammenarbeit von Europol mit privaten Parteien darf die Tätigkeiten der FIU der Mitgliedstaaten weder duplizieren noch beeinträchtigen und darf keine Informationen betreffen, die den FIU für die Zwecke der Richtlinie (EU) 2015/849 zur Verfügung zu stellen sind.“

d)

Absatz 4 erhält folgende Fassung:

„(4)   Erhält Europol personenbezogene Daten von einer privaten Partei, die in einem Drittstaat niedergelassen ist, so leitet Europol diese Daten und die Ergebnisse ihrer Analyse und Verifizierung dieser Daten nur an einen Mitgliedstaat oder einen in Artikel 25 Absatz 1 Buchstabe a, b oder c oder Artikel 25 Absatz 4a genannten betroffenen Drittstaat weiter.

Unbeschadet des Unterabsatzes 1 des vorliegenden Absatzes kann Europol das Ergebnis nach Unterabsatz 1 des vorliegenden Absatzes an den betroffenen Drittstaat gemäß Artikel 25 Absatz 5 oder 6 weiterleiten.“

e)

Die Absätze 5 und 6 erhalten folgende Fassung:

„(5)   Europol übermittelt keine personenbezogenen Daten an private Parteien, mit Ausnahme der folgenden Fälle und vorausgesetzt, diese Übermittlung ist im Einzelfall unbedingt erforderlich und verhältnismäßig, was im Einzelfall festzustellen ist:

a)

die Übermittlung liegt zweifelsfrei im Interesse der betroffenen Person;

b)

die Übermittlung zur Verhinderung einer unmittelbar bevorstehenden Begehung einer Straftat, einschließlich einer terroristischen Straftat, die unter die Ziele von Europol fällt, ist zwingend erforderlich;

c)

die Übermittlung öffentlich zugänglicher personenbezogener Daten zur Erfüllung der in Artikel 4 Absatz 1 Buchstabe m genannten Aufgabe ist unbedingt erforderlich und die folgenden Voraussetzungen sind erfüllt:

i)

Die Übermittlung betrifft einen bestimmten Einzelfall;

ii)

die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen im konkreten Fall nicht das öffentliche Interesse an einer Übermittlung dieser personenbezogenen Daten oder

d)

die Übermittlung ist unbedingt erforderlich, damit Europol die private Partei davon in Kenntnis setzen kann, dass die eingegangenen Informationen für Europol nicht ausreichen, um die betreffenden nationalen Stellen zu ermitteln, und die folgenden Voraussetzungen sind erfüllt:

i)

Die Übermittlung erfolgt nach der Entgegennahme der direkt von einer privaten Partei übermittelten personenbezogener Daten gemäß Absatz 2;

ii)

die fehlenden Informationen, auf die sich Europol in ihrer Mitteilung beziehen kann, weisen einen klaren Bezug zu den Informationen auf, die zuvor von dieser privaten Partei übermittelt wurden;

iii)

die fehlenden Informationen, auf die sich Europol in ihrer Mitteilung beziehen kann, beschränken sich auf das, was unbedingt notwendig ist, damit Europol die betreffenden nationalen Stellen ermitteln kann.

Die in Unterabsatz 1 des vorliegenden Absatzes genannte Übermittlung erfolgt vorbehaltlich etwaiger Einschränkungen, die gemäß Artikel 19 Absatz 2 oder Absatz 3 vorgesehen sind, und unbeschadet des Artikels 67.

(6)   Hinsichtlich Absatz 5 Buchstaben a, b und d des vorliegenden Artikels, wenn die betreffende private Partei nicht in der Union oder in einem in Artikel 25 Absatz 1 Buchstabe a, b oder c oder in Artikel 25 Absatz 4a genannten Drittstaat niedergelassen ist, wird die Übermittlung vom Exekutivdirektor nur genehmigt, wenn die Übermittlung

a)

zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

b)

für die Wahrung berechtigter Interessen der betroffenen Person erforderlich ist,

c)

zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats unerlässlich ist,

d)

in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat, die unter die Ziele von Europol fällt, erforderlich ist oder

e)

in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat, in unter die Ziele von Europol fällt, erforderlich ist.

Personenbezogene Daten werden nicht übermittelt, wenn der Exekutivdirektor feststellt, dass die Grundrechte und Grundfreiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung im Sinne von Unterabsatz 1 Buchstaben d und e dieses Absatzes überwiegen.“

f)

Folgende Absätze werden eingefügt:

„(6a)   Unbeschadet des Absatzes 5 Buchstaben a, c und d des vorliegenden Artikels und anderer Rechtsakte der Union sind systematische, massive oder strukturelle Übermittlungen personenbezogener Daten gemäß den Absätzen 5 und 6 nicht zulässig.

(6b)   Europol kann die Mitgliedstaaten über deren nationale Stellen ersuchen, nach ihrem nationalen Recht personenbezogene Daten von privaten Parteien zu erlangen, die in ihrem Hoheitsgebiet niedergelassen sind oder einen Vertreter haben, um diese Daten an Europol weiterzugeben. Ein solches Ersuchen muss begründet und so bestimmt wie möglich sein. Solche personenbezogenen Daten müssen möglichst wenig sensibel sein und sind streng auf das zu beschränken, was für Europol zur Ermittlung der betreffenden nationalen Stellen unbedingt erforderlich und verhältnismäßig ist.

Die Mitgliedstaaten stellen ungeachtet ihrer Zuständigkeit für eine betreffende Straftat sicher, dass ihre zuständigen Behörden die in Unterabsatz 1 genannten Ersuchen gemäß ihrem nationalen Recht bearbeiten können, damit Europol die Informationen zur Verfügung gestellt werden können, die Europol zur Ermittlung der betroffenen nationalen Stellen benötigt.

(6c)   Für den Datenaustausch zwischen den zuständigen Behörden der Mitgliedstaaten und privaten Parteien kann die Infrastruktur von Europol gemäß den nationalen Rechtsvorschriften der betreffenden Mitgliedstaaten genutzt werden. Dieser Austausch kann sich auch auf nicht unter die Ziele von Europol fallende Straftaten erstrecken.

Wenn Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten über Straftaten nutzen, die unter die Ziele von Europol fallen, können sie Europol Zugang zu diesen Daten gewähren.

Wenn Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten über Straftaten nutzen, die nicht unter die Ziele von Europol fallen, so erhält Europol keinen Zugang zu diesen Daten und wird nicht als ‚Auftragsverarbeiter‘ gemäß Artikel 87 der Verordnung (EU) 2018/1725 erachtet.

Europol bewertet die Sicherheitsrisiken, die sich aus der Gewährung der Nutzung ihrer Infrastruktur durch private Parteien ergeben, und ergreift erforderlichenfalls geeignete Präventiv- und Abhilfemaßnahmen.“

g)

Die Absätze 9 und 10 werden gestrichen.

h)

Folgender Absatz wird angefügt:

„(11)   Europol bereitet einen Jahresbericht für den Verwaltungsrat über die mit privaten Parteien gemäß den Artikeln 26, 26a und 26b ausgetauschten personenbezogenen Daten auf der Grundlage der vom Verwaltungsrat festgelegten quantitativen und qualitativen Bewertungskriterien vor.

Der Jahresbericht schließt konkrete Beispiele ein, die zeigen, warum die Ersuchen von Europol gemäß Absatz 6b des vorliegenden Artikels für die Erreichung ihrer Ziele und die Erfüllung ihrer Aufgaben erforderlich waren.

Im Jahresbericht wird die Verpflichtung zur Zurückhaltung und Verschwiegenheit berücksichtigt und werden die Beispiele anonymisiert, soweit es um personenbezogene Daten geht.

Der Jahresbericht wird dem Europäischen Parlament, dem Rat, der Kommission und den nationalen Parlamenten zugeleitet.“

20.

Folgende Artikel werden eingefügt:

„Artikel 26a

Austausch personenbezogener Daten mit privaten Parteien in Online-Krisensituationen

(1)   In Online-Krisensituationen darf Europol personenbezogene Daten direkt von privaten Parteien entgegennehmen und diese personenbezogenen Daten gemäß Artikel 18 verarbeiten.

(2)   Wenn Europol personenbezogene Daten von einer in einem Drittstaat niedergelassenen privaten Partei erhält, leitet Europol diese Daten und die Ergebnisse ihrer Analyse sowie die Verifizierung dieser Daten nur an einen Mitgliedstaat oder an einen in Artikel 25 Absatz 1 Buchstabe a, b oder c oder in Artikel 25 Absatz 4a genannten betroffenen Drittstaat weiter.

Europol kann die Ergebnisse ihrer Analyse und Verifizierung der in Absatz 1 des vorliegenden Artikels genannten Daten an den betreffenden Drittstaat gemäß Artikel 25 Absätze 5 und 6 weiterleiten.

(3)   Europol darf personenbezogene Daten im Einzelfall privaten Parteien übermitteln, vorbehaltlich etwaiger nach Artikel 19 Absatz 2 oder Absatz 3 vorgesehener Einschränkungen und unbeschadet des Artikels 67, wenn die Übermittlung solcher Daten unbedingt erforderlich ist, um Online-Krisensituationen zu bewältigen, und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht das öffentliche Interesse an der Übermittlung der personenbezogenen Daten überwiegen.

(4)   Wenn die betroffene private Partei nicht in der Union oder in einem in Artikel 25 Absatz 1 Buchstabe a, b oder c, oder gemäß Artikel 25 Absatz 4a genannten Drittstaat niedergelassen ist, bedarf die Übermittlung der Genehmigung des Exekutivdirektors.

(5)   Europol unterstützt die zuständigen Behörden der Mitgliedstaaten bei der Übermittlung personenbezogener Daten an private Parteien gemäß den Absätzen 3 oder 4, tauscht Informationen mit ihnen aus und arbeitet mit ihnen zusammen, um insbesondere Doppelarbeit zu vermeiden, die Koordinierung zu verbessern und Beeinträchtigungen von Ermittlungen in verschiedenen Mitgliedstaaten zu vermeiden.

(6)   Europol kann die Mitgliedstaaten über deren nationale Stellen ersuchen, personenbezogene Daten von privaten Parteien gemäß deren geltendem Recht zu erlangen, die in ihrem Hoheitsgebiet niedergelassen sind oder einen Vertreter haben, um diese Daten an Europol weiterzugeben. Solche Ersuchen müssen begründet werden und so bestimmt wie möglich sein. Solche personenbezogenen Daten müssen möglichst wenig sensibel sein und sind streng auf das zu beschränken, was unbedingt erforderlich und für die Unterstützung der Mitgliedstaaten in Online-Krisensituationen durch Europol verhältnismäßig ist.

Ungeachtet der Zuständigkeit der Mitgliedstaaten für die Verbreitung von Inhalten, zu denen Europol die personenbezogenen Daten anfordert, stellen die Mitgliedstaaten sicher, dass ihre zuständigen Behörden die in Unterabsatz 1 genannten Ersuchen gemäß ihren nationalen Rechtsvorschriften bearbeiten können, damit Europol die Informationen zur Verfügung gestellt werden, die Europol zur Erreichung ihrer Ziele benötigt.

(7)   Europol stellt sicher, dass detaillierte Aufzeichnungen aller Übermittlungen personenbezogener Daten und die Gründe für diese Übermittlungen gemäß dieser Verordnung geführt werden. Auf Verlangen des EDSB stellt Europol diese Aufzeichnungen dem EDSB gemäß Artikel 39a zur Verfügung.

(8)   Berühren die erhaltenen oder zu übermittelnden personenbezogenen Daten die Interessen eines Mitgliedstaats, so unterrichtet Europol unverzüglich die nationale Stelle des betreffenden Mitgliedstaats.

Artikel 26b

Austausch personenbezogener Daten mit privaten Parteien zur Bekämpfung der Verbreitung von Darstellungen sexuellen Missbrauchs von Kindern im Internet

(1)   Europol darf personenbezogene Daten direkt von privaten Parteien entgegennehmen und diese personenbezogenen Daten gemäß Artikel 18 verarbeiten, um die Verbreitung von Darstellungen sexuellen Missbrauchs von Kindern im Internet nach Artikel 4 Absatz 1 Buchstabe y zu bekämpfen.

(2)   Wenn Europol personenbezogene Daten von einer privaten Partei aus einem Drittstaat übermittelt werden, leitet Europol diese Daten und die Ergebnisse ihrer Analyse sowie die Verifizierung dieser Daten nur an einen Mitgliedstaat oder an einen in Artikel 25 Absatz 1 Buchstabe a, b oder c oder in Artikel 25 Absatz 4a genannten betroffenen Drittstaat weiter.

Europol darf die Ergebnisse ihrer Analyse und Verifizierung der in Unterabsatz 1 des vorliegenden Absatzes genannten Daten an den betroffenen Drittstaat gemäß Artikel 25 Absatz 5 oder Absatz 6 weiterleiten.

(3)   Europol darf im Einzelfall personenbezogene Daten vorbehaltlich etwaiger nach Artikel 19 Absatz 2 oder 3 vorgesehener Einschränkungen und unbeschadet des Artikels 67 im Einzelfall privaten Parteien übermitteln, wenn die Übermittlung solcher Daten unbedingt erforderlich ist, um die Verbreitung von Darstellungen sexuellen Missbrauchs von Kindern im Internet nach Artikel 4 Absatz 1 Buchstabe y zu bekämpfen, und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht das öffentliche Interesse an der Übermittlung personenbezogener Daten überwiegen.

(4)   Wenn die betreffende private Partei nicht in der Union oder in einem in Artikel 25 Absatz 1 Buchstabe a, b oder c oder in Artikel 25 Absatz 4a genannten Drittstaat niedergelassen ist, bedarf die Übermittlung der Genehmigung des Exekutivdirektors.

(5)   Europol unterstützt die zuständigen Behörden der Mitgliedstaaten bei der Übermittlung personenbezogener Daten an private Parteien gemäß den Absätzen 3 oder 4, tauscht Informationen mit ihnen aus und arbeitet mit ihnen zusammen, um insbesondere Doppelarbeit zu vermeiden, die Koordinierung zu verbessern und Beeinträchtigungen von Ermittlungen in verschiedenen Mitgliedstaaten zu vermeiden.

(6)   Europol kann die Mitgliedstaaten über deren nationale Stellen ersuchen, personenbezogene Daten von privaten Parteien gemäß deren geltendem Recht zu erlangen, die in ihrem Hoheitsgebiet niedergelassen sind oder einen Vertreter haben, um diese Daten an Europol weiterzugeben. Solche Ersuchen müssen begründet werden und so bestimmt wie möglich sein. Solche personenbezogenen Daten müssen möglichst wenig sensibel sein und sind streng auf das zu beschränken, was verhältnismäßig und für Europol erforderlich ist, um die Verbreitung von Darstellungen sexuellen Missbrauchs von Kindern im Internet nach Artikel 4 Absatz 1 Buchstabe y zu bekämpfen.

Ungeachtet der Zuständigkeit der Mitgliedstaaten stellen im Zusammenhang mit der Verbreitung von Inhalten, zu denen Europol die personenbezogenen Daten anfordert, sicher, dass die zuständigen Behörden der Mitgliedstaaten die in Unterabsatz 1 genannten Ersuchen gemäß den nationalen Rechtsvorschriften bearbeiten können, damit Europol die Informationen zur Verfügung gestellt werden, die die Agentur zur Erreichung ihrer Ziele benötigt.

(7)   Europol stellt sicher, dass detaillierte Aufzeichnungen aller Übermittlungen personenbezogener Daten und die Gründe für diese Übermittlungen gemäß dieser Verordnung geführt werden. Auf Verlangen der EDSB stellt Europol diese Aufzeichnungen dem EDSB gemäß Artikel 39a zur Verfügung.

(8)   Berühren die erhaltenen oder zu übermittelnden personenbezogenen Daten die Interessen eines Mitgliedstaats, so unterrichtet Europol unverzüglich die nationale Stelle des betreffenden Mitgliedstaats.“

21.

Artikel 27 Absätze 1 und 2 erhält folgende Fassung:

„(1)   Soweit das für die Erfüllung ihrer Aufgaben erforderlich ist, kann Europol von Privatpersonen stammende Informationen entgegennehmen und verarbeiten.

Personenbezogene Daten, die von Privatpersonen stammen, werden von Europol nur dann verarbeitet, wenn ihr diese Daten auf einem der folgenden Wege zugehen:

a)

über eine nationale Stelle gemäß den nationalen Rechtsvorschriften,

b)

über die Kontaktstelle eines Drittstaates oder einer internationalen Organisation gemäß Artikel 25 Absatz 1 Buchstabe c oder

c)

über eine Behörde eines Drittstaats oder eine internationale Organisation gemäß Artikel 25 Absatz 1 Buchstabe a, b oder c, oder gemäß Artikel 25 Absatz 4a.

(2)   Erhält Europol Informationen einschließlich personenbezogener Daten von einer Privatperson mit Wohnsitz in einem anderen Drittstaat als dem in Artikel 25 Absatz 1 Buchstabe a oder b oder in Artikel 25 Absatz 4a genannten, so übermittelt Europol diese Informationen nur einem Mitgliedstaat oder einem solchen Drittstaat.“

22.

Der Titel des Kapitels VI erhält folgende Fassung:

„DATENSCHUTZ“.

23.

Folgender Artikel wird eingefügt:

„Artikel 27a

Verarbeitung personenbezogener Daten durch Europol

(1)   Unbeschadet der vorliegenden Verordnung finden Artikel 3 und Kapitel IX der Verordnung (EU) 2018/1725 auf die Verarbeitung personenbezogener Daten durch Europol Anwendung.

Auf die Verarbeitung verwaltungstechnischer personenbezogener Daten durch Europol findet die Verordnung (EU) 2018/1725 mit Ausnahme des Kapitels IX Anwendung.

(2)   Bezugnahmen auf ‚personenbezogene Daten‘ in der vorliegenden Verordnung sind, sofern in der vorliegenden Verordnung nicht anders vorgesehen, als Bezugnahmen auf ‚operative personenbezogene Daten‘ im Sinne des Artikels 3 Nummer 2 der Verordnung (EU) 2018/1725 zu verstehen.

(3)   Der Verwaltungsrat erlässt Vorschriften zur Festlegung der Fristen für die Speicherung verwaltungstechnischer personenbezogener Daten.“

24.

Artikel 28 wird gestrichen.

25.

Artikel 30 wird wie folgt geändert:

a)

Absatz 2 Satz 1 erhält folgende Fassung:

„(2)   Unabhängig davon, ob die Verarbeitung automatisiert oder nicht automatisiert erfolgt, ist die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung genetischer Daten, biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person und von Daten, die die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer natürlichen Person betreffen, nur dann erlaubt, wenn das für Forschungs- und Innovationsprojekte im Sinne von Artikel 33a und für operative Zwecke im Rahmen der Ziele von Europol streng verhältnismäßig und erforderlich ist, und nur für die Zwecke der Verhütung oder Bekämpfung von Straftaten, die in den Anwendungsbereich der Ziele von Europol fallen. Diese Verarbeitung unterliegt ferner angemessenen Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung und ist mit Ausnahme der biometrischen Daten, die allein zum Zweck der eindeutigen Identifizierung einer natürlichen Person verarbeitet werden, nur zulässig, sofern diese Daten andere von Europol verarbeitete personenbezogene Daten ergänzen.“

b)

Folgender Absatz wird eingefügt:

„(2a)   Der Datenschutzbeauftragte ist im Fall der Verarbeitung personenbezogener Daten gemäß dem vorliegenden Artikel unverzüglich zu unterrichten.“

c)

Absatz 3 erhält folgende Fassung:

„(3)   Nur Europol hat unmittelbaren Zugriff auf die in den Absätzen 1 und 2 genannten personenbezogenen Daten. Der Exekutivdirektor erteilt einer begrenzten Anzahl von Europol-Bediensteten ordnungsgemäß ein Zugriffsrecht, falls das für die Erfüllung ihrer Aufgaben erforderlich ist.

Unbeschadet des Unterabsatzes 1 erteilt der Exekutivdirektor, sofern es erforderlich ist, Bediensteten der zuständigen Behörden der Mitgliedstaaten oder Agenturen der Union, die auf der Grundlage von Titel V AEUV eingerichtet wurden, für die Erfüllung ihrer Aufgaben direkten Zugriff auf personenbezogene Daten, in den nach Artikel 20 Absätze 1 und 2a der vorliegenden Verordnung vorgesehenen Fällen oder für Forschungs- und Innovationsprojekte, gemäß Artikel 33a Absatz 2 Buchstabe d der vorliegenden Verordnung, einer begrenzten Anzahl dieser Bediensteten ordnungsgemäß ein Zugriffsrecht.“

d)

Absatz 4 wird gestrichen.

e)

Absatz 5 erhält folgende Fassung:

„(5)   Personenbezogene Daten der in den Absätzen 1 und 2 genannten Art dürfen nicht an Mitgliedstaaten oder Unionseinrichtungen, Drittstaaten oder internationale Organisationen übermittelt werden, es sei denn, die Übermittlung ist nach Unionsrecht vorgeschrieben oder in Einzelfällen im Zusammenhang mit Straftaten, die unter die Ziele von Europol fallen, unbedingt notwendig und verhältnismäßig und erfolgt gemäß Kapitel V.“

26.

Artikel 32 erhält folgende Fassung:

„Artikel 32

Sicherheit der Verarbeitung

Gemäß Artikel 91 der Verordnung (EU) 2018/1725 trifft Europol und gemäß Artikel 29 der Richtlinie (EU) 2016/680 treffen die Mitgliedstaaten Vorkehrungen, damit auch bei Anwendung verschiedener Informationssysteme den Sicherheitsmaßnahmen Rechnung getragen wird.“

27.

Artikel 33 wird gestrichen.

28.

Folgender Artikel wird eingefügt:

„Artikel 33a

Verarbeitung personenbezogener Daten für Forschung und Innovation

(1)   Europol kann zum Zweck seiner Forschungs- und Innovationsprojekte personenbezogene Daten verarbeiten, sofern die Verarbeitung dieser personenbezogenen Daten:

a)

unbedingt erforderlich und hinreichend begründet ist, um die Ziele des Projekts zu erreichen,

b)

bei besonderen Kategorien personenbezogener Daten unbedingt erforderlich ist und geeigneten Garantien, zu denen eine Pseudonymisierung gehören kann, unterliegt.

Die Verarbeitung personenbezogener Daten im Rahmen eines Forschungs- und Innovationsprojekts durch Europol muss den Grundsätzen von Transparenz, Erklärbarkeit, Fairness und Rechenschaftspflicht folgen.

(2)   Unbeschadet des Absatzes 1 gelten für die Verarbeitung personenbezogener Daten im Rahmen der Forschungs- und Innovationsprojekte von Europol die folgenden Garantien:

a)

Jedes Forschungs- und Innovationsprojekt bedarf der vorherigen Genehmigung durch den Exekutivdirektor, in Absprache mit dem Datenschutzbeauftragten und dem Grundrechtsbeauftragten, auf der Grundlage

i)

einer Beschreibung der Projektziele und einer Erklärung, wie das Projekt Europol oder die zuständigen Behörden der Mitgliedstaaten bei ihren Aufgaben unterstützt;

ii)

einer Beschreibung des geplanten Verarbeitungsvorgangs, in der die Ziele, der Umfang und die Dauer der Verarbeitung festgelegt sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung der personenbezogenen Daten, zum Beispiel zur Erforschung und Erprobung technologischer Lösungen und zur Gewährleistung der Genauigkeit der Projektergebnisse, dargelegt werden;

iii)

einer Beschreibung der Kategorien der zu verarbeitenden personenbezogenen Daten;

iv)

einer Beurteilung der Einhaltung der in Artikel 71 der Verordnung (EU) 2018/1725 festgelegten Datenschutzgrundsätze, der Speicherfristen und der Bedingungen für den Zugang zu den personenbezogenen Daten sowie

v)

einer Datenschutz-Folgenabschätzung einschließlich der Risiken für Rechte und Freiheiten der betroffenen Personen, des Risikos einer Verzerrung bei den für das Trainieren von Algorithmen verwendeten personenbezogenen Daten und beim Ergebnis der Verarbeitung, sowie der Maßnahmen, mit denen diesen Risiken begegnet werden soll und Grundrechtsverletzungen vermieden werden sollen.

b)

Der EDSB wird vor Beginn des Projekts unterrichtet.

c)

Der Verwaltungsrat wird vor Beginn des Projekts gemäß den in Artikel 18 Absatz 7 genannten Leitlinien gehört oder unterrichtet.

d)

Personenbezogene Daten, die im Rahmen des Projekts verarbeitet werden sollen,

i)

werden vorübergehend in eine getrennte, isolierte und geschützte Datenverarbeitungsumgebung innerhalb von Europol ausschließlich zur Durchführung des betreffenden Projekts kopiert;

ii)

werden gemäß Artikel 30 Absatz 3 der vorliegenden Verordnung nur von eigens dazu ermächtigten Bediensteten von Europol und — vorbehaltlich technischer Sicherheitsmaßnahmen — eigens dazu ermächtigten Bediensteten der zuständigen Behörden der Mitgliedstaaten und der gemäß Titel V AEUV eingerichteten Agenturen der Union eingesehen;

iii)

werden nicht übermittelt;

iv)

führen nicht zu Maßnahmen oder Entscheidungen, die Auswirkungen auf die betroffenen Personen infolge ihrer Verarbeitung haben;

v)

werden gelöscht, sobald das Projekt abgeschlossen oder die Speicherfrist für die personenbezogenen Daten nach Artikel 31 abgelaufen ist.

e)

Die Protokolle der Verarbeitung personenbezogener Daten im Rahmen des Projekts werden für zwei Jahre nach Abschluss des Projekts ausschließlich für den Zweck und die erforderliche Dauer der Überprüfung der Genauigkeit der Ergebnisse der Datenverarbeitung aufbewahrt.

(3)   Der Verwaltungsrat legt in einem verbindlichen Dokument den allgemeinen Anwendungsbereich für die Forschungs- und Innovationsprojekte fest. Dieses Dokument wird gegebenenfalls aktualisiert und dem EDSB zu Kontrollzwecken zur Verfügung gestellt.

(4)   Europol bewahrt ein Dokument mit einer detaillierten Beschreibung des Prozesses und der Erwägungen auf, die dem Trainieren, Erproben und Validieren der Algorithmen zugrunde lagen, um die Transparenz des Verfahrens und der Algorithmen — darunter deren Einhaltung der in diesem Artikel vorgesehenen Garantien — sicherzustellen und die Überprüfung der Genauigkeit der Ergebnisse, die auf der Nutzung solcher Algorithmen beruhen, zu ermöglichen. Europol stellt dieses Dokument der Beschreibung interessierten Parteien, einschließlich der Mitgliedstaaten und des Gemeinsamen Parlamentarischen Untersuchungsausschusses, auf Anfrage zur Verfügung.

(5)   Wurden die für ein Forschungs- und Innovationsprojekt zu verarbeitenden Daten von einem Mitgliedstaat, einer Einrichtung der Union, einem Drittstaat oder einer internationalen Organisation bereitgestellt, so ersucht Europol um die Einwilligung dieses Datenlieferanten gemäß Artikel 19 Absatz 2, es sei denn, der Lieferant personenbezogener Daten hat eine vorherige Genehmigung für eine solche Verarbeitung für die Zwecke von Forschungs- und Innovationsprojekten, entweder allgemein oder unter besonderen Bedingungen, erteilt.

Europol verarbeitet Daten für Forschung und Innovationsprojekte nicht ohne Zustimmung des Datenlieferanten. Diese Zustimmung kann jederzeit widerrufen werden.“

29.

Artikel 34 wird wie folgt geändert:

a)

Absatz 1 erhält folgende Fassung:

„(1)   Unbeschadet des Artikels 92 der Verordnung (EU) 2018/1725 meldet Europol im Falle einer Verletzung des Schutzes personenbezogener Daten diese Verletzung gemäß Artikel 7 Absatz 5 dieser Verordnung unverzüglich den zuständigen Behörden der betroffenen Mitgliedstaaten sowie dem betreffenden Datenlieferanten, es sei denn, die Verletzung des Schutzes personenbezogener Daten gefährdet voraussichtlich nicht die Rechte und Freiheiten natürlicher Personen.“

b)

Absatz 3 wird gestrichen.

30.

Artikel 35 wird wie folgt geändert:

a)

Die Absätze 1 und 2 werden gestrichen.

b)

Absatz 3 erhält folgende Fassung:

„Verfügt Europol nicht über die Kontaktdaten der betroffenen Person, so ersucht sie unbeschadet des Artikels 93 der Verordnung (EU) 2018/1725 den Datenlieferanten, die betroffene Person von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen und Europol über die getroffene Entscheidung zu unterrichten. Die die Daten liefernden Mitgliedstaaten benachrichtigen die betroffene Person gemäß dem nationalen Recht von der Verletzung der personenbezogenen Daten.“

c)

Die Absätze 4 und 5 werden gestrichen.

31.

Artikel 36 wird wie folgt geändert:

a)

Die Absätze 1 und 2 werden gestrichen.

b)

Absatz 3 erhält folgende Fassung:

„(3)   Jede betroffene Person, die ihr Recht nach Artikel 80 der Verordnung (EU) 2018/1725 auf Auskunft über sie betreffende personenbezogene Daten ausüben möchte, kann das bei der zu diesem Zweck benannten Behörde eines Mitgliedstaats ihrer Wahl oder bei Europol beantragen. Wird der Antrag bei der Behörde gestellt, so leitet diese den Antrag unverzüglich, und innerhalb eines Monats nach Eingang des Antrags, an Europol weiter.“

c)

Die Absätze 6 und 7 werden gestrichen.

32.

Artikel 37 wird wie folgt geändert:

a)

Absatz 1 erhält folgende Fassung:

„(1)   Jede betroffene Person, die ihr Recht auf Berichtigung oder Löschung personenbezogener Daten oder auf Einschränkung der Verarbeitung für sie betreffende, in Artikel 82 der Verordnung (EU) 2018/1725 genannte personenbezogene Daten ausüben möchte, kann das bei der zu diesem Zweck benannten Behörde eines Mitgliedstaats ihrer Wahl oder bei Europol beantragen. Wird der Antrag bei dieser Behörde gestellt, so leitet sie den Antrag unverzüglich und innerhalb eines Monats nach Eingang des Antrags, an Europol weiter.“

b)

Absatz 2 wird gestrichen.

c)

Absätze 3, 4 und 5 erhalten folgende Fassung:

„(3)   Besteht berechtigter Grund zu der Annahme, dass eine Löschung die schutzwürdigen Interessen der betroffenen Person beeinträchtigen würde, so löscht Europol unbeschadet des Artikels 82 Absatz 3 der Verordnung (EU) 2018/1725 die personenbezogenen Daten nicht, sondern schränkt lediglich ihre Verarbeitung ein.

Daten, deren Verarbeitung eingeschränkt wurde, werden nur zum Schutz der Rechte der betroffenen Person, wenn das zur Wahrung der lebenswichtigen Interessen der betroffenen Person oder einer anderen Person erforderlich ist, oder zu den in Artikel 82 Absatz 3 der Verordnung (EU) 2018/1725 festgelegten Zwecken verarbeitet.

(4)   Wurden bei Europol gespeicherte personenbezogene Daten der in den Absätzen 1 und 3 genannten Art Europol von Drittstaaten, internationalen Organisationen oder Unionseinrichtungen übermittelt oder wurden sie unmittelbar durch private Parteien übermittelt, von Europol aus öffentlich zugänglichen Quellen gewonnen oder stammen sie aus eigenen Analysen von Europol, so berichtigt oder löscht Europol diese Daten oder schränkt ihre Verarbeitung ein und unterrichtet gegebenenfalls die betreffenden Datenlieferanten.

(5)   Wurden bei Europol gespeicherte personenbezogene Daten der in den Absätzen 1 und 3 genannten Art Europol von Mitgliedstaaten übermittelt, so berichtigen oder löschen die betreffenden Mitgliedstaaten diese Daten oder schränken ihre Verarbeitung ein; das geschieht im Rahmen ihrer jeweiligen Zuständigkeiten und in Abstimmung mit Europol.“

d)

Die Absätze 8 und 9 werden gestrichen.

33.

Artikel 38 wird wie folgt geändert:

a)

Absatz 1 erhält folgende Fassung:

„(1)   Europol verarbeitet personenbezogene Daten so, dass gewährleistet ist, dass ihre Quelle nach Maßgabe von Artikel 17 feststellbar ist.“

b)

Absatz 2 erhält der einleitende Satzteil folgende Fassung:

„(2)   Die Verantwortung für die Genauigkeit personenbezogener Daten gemäß Artikel 71 Absatz 1 Buchstabe d der Verordnung (EU) 2018/1725 liegt bei“;

c)

Absatz 4 erhält folgende Fassung:

„(4)   Im Falle von verwaltungstechnischen personenbezogenen Daten ist Europol für die Einhaltung der Verordnung (EU) 2018/1725 bei und im Falle von personenbezogenen Daten für die Einhaltung der vorliegenden Verordnung sowie des Artikels 3 und des Kapitels IX der Verordnung (EU) 2018/1725 verantwortlich.“

d)

Absatz 7 Satz 3 erhält folgende Fassung:

„Die Sicherheit dieses Austauschs wird gemäß Artikel 91 der Verordnung (EU) 2018/1725 gewährleistet.“

34.

Artikel 39 erhält folgende Fassung:

„Artikel 39

Vorherige Konsultation

(1)   Unbeschadet des Artikels 90 der Verordnung (EU) 2018/1725 gilt die vorherige Konsultation des EDSB nicht für bestimmte individuelle Verarbeitungstätigkeiten, die keine neue Art von Verarbeitungsvorgang umfassen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen würde.

(2)   Europol kann Verarbeitungsvorgänge einleiten, die an eine vorherige Konsultation des EDSB gemäß Artikel 90 Absatz 1 der Verordnung (EU) 2018/1725 geknüpft sind, es sei denn, der EDSB hat innerhalb der in Artikel 90 Absatz 4 der genannten Verordnung festgelegten Fristen, die am Tag des Eingangs des ursprünglichen Konsultationsersuchens beginnen und nicht ausgesetzt werden dürfen, begründete schriftliche Empfehlungen gemäß Artikel 90 Absatz 4 der Verordnung (EU) 2018/1725 abgegeben.

(3)   Sind die in Absatz 2 des vorliegenden Artikels genannten Verarbeitungsvorgänge für die Erfüllung der Aufgaben von Europol von erheblicher Bedeutung und zur Verhütung und Bekämpfung einer unmittelbaren Bedrohung durch eine Straftat, die unter die Ziele von Europol fällt, oder zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person besonders dringend und erforderlich, so kann Europol die Verarbeitung ausnahmsweise nach Beginn der vorherigen Konsultation des EDSB gemäß Artikel 90 Absatz 1 der Verordnung (EU) 2018/1725, und vor Ablauf Frist des Artikels 90 Absatz 4 der genannten Verordnung einleiten. In diesem Fall unterrichtet Europol den EDSB vor Beginn der Verarbeitungsmaßnahmen.

Die schriftlichen Empfehlungen des EDSB gemäß Artikel 90 Absatz 4 der Verordnung (EU) 2018/1725 werden rückwirkend berücksichtigt, und die Art der Verarbeitung wird entsprechend angepasst.

Der Datenschutzbeauftragte wird vor Ablauf der Frist des Artikels 90 Absatz 4 der Verordnung (EU) 2018/1725 in die Beurteilung der Dringlichkeit von solchen Verarbeitungsmaßnahmen einbezogen, er überwacht die betreffende Verarbeitung.

(4)   Der EDSB führt ein Register aller ihm aufgrund von Absatz 1 gemeldeten Verarbeitungen. Das Register ist nicht öffentlich einsehbar.“

35.

Folgender Artikel wird eingefügt:

„Artikel 39a

Verzeichnis der Kategorien von Verarbeitungstätigkeiten

(1)   Europol führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die ihrer Verantwortung unterliegen. Dieses Verzeichnis enthält folgende Angaben:

a)

die Kontaktdaten von Europol sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten;

b)

die Zwecke der Verarbeitung;

c)

eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien personenbezogener Daten;

d)

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich der Empfänger in Drittstaaten oder bei internationalen Organisationen;

e)

gegebenenfalls die Übermittlungen personenbezogener Daten an einen Drittstaat, eine internationale Organisation oder eine private Partei, einschließlich der Bezeichnung dieses Empfängers;

f)

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g)

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 91 der Verordnung (EU) 2018/1725;

h)

gegebenenfalls die Verwendung von Profiling.

(2)   Das in Absatz 1 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(3)   Europol stellt dem EDSB das in Absatz 1 genannten Verzeichnis auf Anfrage zur Verfügung.“

36.

Artikel 40 erhält folgende Fassung:

„Artikel 40

Protokollierung

(1)   Gemäß Artikel 88 der Verordnung (EU) 2018/1725 protokolliert Europol ihre Verarbeitungsvorgänge. Eine Änderung der Protokolle darf nicht möglich sein.

(2)   Unbeschadet des Artikel 88 der Verordnung (EU) 2018/1725 werden die nach Absatz 1 erstellten Protokolle, falls sie von einer nationalen Stelle für eine bestimmte Ermittlung im Zusammenhang mit der Einhaltung der Datenschutzvorschriften benötigt werden, dieser nationalen Stelle übermittelt.“

37.

Artikel 41 erhält folgende Fassung:

„Artikel 41

Ernennung des Datenschutzbeauftragten

(1)   Der Verwaltungsrat ernennt ein Mitglied des Personals von Europol zum Datenschutzbeauftragten, der eigens für diese Aufgabe bestellt ist.

(2)   Der Datenschutzbeauftragte wird aufgrund der beruflichen Befähigung und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Durchführung der in Artikel 41b der vorliegenden Verordnung und in der Verordnung (EU) 2018/1725 genannten Aufgaben ausgewählt.

(3)   Die Auswahl des Datenschutzbeauftragten darf nicht zu einem Interessenkonflikt zwischen seinem Amt als Datenschutzbeauftragter und seinen sonstigen Dienstpflichten, insbesondere in Verbindung mit der Anwendung der vorliegenden Verordnung, führen.

(4)   Der Datenschutzbeauftragte darf vom Verwaltungsrat nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden.

(5)   Europol veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt sie dem EDSB mit.“

38.

Folgende Artikel werden eingefügt:

„Artikel 41a

Stellung des Datenschutzbeauftragten

(1)   Europol stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen eingebunden wird.

(2)   Europol unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben nach Artikel 41b, indem sie die zur Erfüllung dieser Aufgaben erforderlichen Ressourcen und Bediensteten zur Verfügung stellt und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen.

Um den Datenschutzbeauftragten bei der Durchführung seiner Aufgaben zu unterstützen, kann ein Mitglied des Personals von Europol zum stellvertretenden Datenschutzbeauftragten ernannt werden.

(3)   Europol stellt sicher, dass der Datenschutzbeauftragte unabhängig handelt und keine Weisungen zur Durchführung seiner Aufgaben erhält.

Der Datenschutzbeauftragte erstattet unmittelbar dem Verwaltungsrat Bericht.

(4)   Betroffene Personen können den Datenschutzbeauftragten zu allen Fragen zurate ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Ausübung ihrer Rechte nach der vorliegenden Verordnung und nach der Verordnung (EU) 2018/1725 im Zusammenhang stehen.

Niemand darf benachteiligt werden, weil er den Datenschutzbeauftragten von einem mutmaßlichen Verstoß gegen die vorliegende Verordnung oder die Verordnung (EU) 2018/1725 in Kenntnis gesetzt hat.

(5)   Der Verwaltungsrat erlässt den Datenschutzbeauftragten betreffende Durchführungsvorschriften. Diese Durchführungsvorschriften betreffen insbesondere das Auswahlverfahren für die Stelle des Datenschutzbeauftragten, seine Abberufung, seine Aufgaben, Pflichten und Befugnisse sowie die Garantien für seine Unabhängigkeit.

(6)   Der Datenschutzbeauftragte und seine Bediensteten sind nach Artikel 67 Absatz 1 zur Wahrung der Vertraulichkeit verpflichtet.

(7)   Der Datenschutzbeauftragte wird für eine Amtszeit von vier Jahren ernannt und kann wiederernannt werden.

(8)   Der Datenschutzbeauftragte kann vom Verwaltungsrat, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt und nur mit Zustimmung des Europäischen Datenschutzbeauftragten seines Amtes enthoben werden

(9)   Der Datenschutzbeauftragte und der stellvertretende Datenschutzbeauftragte werden durch den Verwaltungsrat beim EDSB registriert.

(10)   Die für den Datenschutzbeauftragten geltenden Bestimmungen gelten entsprechend für den stellvertretenden Datenschutzbeauftragten.

Artikel 41b

Aufgaben des Datenschutzbeauftragten

(1)   Im Zusammenhang mit der Verarbeitung personenbezogener Daten hat der Datenschutzbeauftragte insbesondere die Aufgabe,

a)

in unabhängiger Weise sicherzustellen, dass Europol die Datenschutzbestimmungen der vorliegenden Verordnung und der Verordnung (EU) 2018/1725 sowie die einschlägigen Datenschutzbestimmungen in den internen Vorschriften von Europol einhält; das umfasst die Überwachung der Einhaltung der vorliegenden Verordnung, der Verordnung (EU) 2018/1725, anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten sowie der Maßnahmen von Europol für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Bediensteten und der damit zusammenhängenden Prüfungen;

b)

Europol und die Bediensteten, die personenbezogene Daten verarbeiten, über ihre Pflichten nach der vorliegenden Verordnung, der Verordnung (EU) 2018/1725 sowie anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten zu unterrichten und dazu zu beraten;

c)

zu der Datenschutz-Folgenabschätzung auf Anfrage nach Artikel 89 der Verordnung (EU) 2018/1725 zu beraten und die Durchführung der Datenschutz-Folgenabschätzung zu überwachen;

d)

ein Register der Verletzungen des Schutzes personenbezogener Daten zu führen und auf Anfrage Beratung zu der Notwendigkeit einer Meldung oder Benachrichtigung nach den Artikeln 92 und 93 der Verordnung (EU) 2018/1725 im Falle einer Verletzung des Schutzes personenbezogener Daten zu leisten;

e)

sicherzustellen, dass die Übermittlung und der Empfang personenbezogener Daten nach der vorliegenden Verordnung dokumentiert werden;

f)

sicherzustellen, dass die betroffenen Personen auf Anfrage über ihre Rechte nach der vorliegenden Verordnung und der Verordnung (EU) 2018/1725 unterrichtet werden;

g)

mit den für Verfahren, Schulung und Beratung im Bereich der Datenverarbeitung zuständigen Europol-Bediensteten zusammenzuarbeiten;

h)

Anfragen des EDSB zu beantworten und im Rahmen seines Zuständigkeitsbereichs auf Ersuchen des EDSB oder aus eigener Initiative mit dem EDSB zusammenzuarbeiten und sich mit ihm abzusprechen;

i)

mit den zuständigen Behörden der Mitgliedstaaten, insbesondere mit den Datenschutzbeauftragten der zuständigen Behörden der Mitgliedstaaten und nationalen Kontrollbehörden in Datenschutzangelegenheiten im Bereich der Strafverfolgung zusammenzuarbeiten;

j)

als Kontaktstelle für den EDSB in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation nach den Artikeln 40 und 90 der Verordnung (EU) 2018/1725, zu dienen und bei Bedarf in allen sonstigen Angelegenheiten in seinem Zuständigkeitsbereich konsultierend tätig zu sein;

k)

einen Jahresbericht auszuarbeiten und dem Verwaltungsrat und dem EDSB zu übermitteln;

l)

sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungsvorgänge nicht beeinträchtigt werden.

(2)   Der Datenschutzbeauftragte kann Empfehlungen für die praktische Verbesserung des Datenschutzes an den Verwaltungsrat richten und in Fragen der Anwendung der Datenschutzbestimmungen beraten.

Der Datenschutzbeauftragte kann auf eigene Initiative oder auf Antrag des Verwaltungsrats oder einer Einzelperson Angelegenheiten und Ereignisse untersuchen, die unmittelbar mit seinen Aufgaben zusammenhängen und von denen er Kenntnis erhält, und dem Antragsteller der Untersuchung oder dem Verwaltungsrat die Ergebnisse dieser Untersuchung mitteilen.

(3)   Im Zusammenhang mit verwaltungstechnischen personenbezogenen Daten nimmt der Datenschutzbeauftragte die in der Verordnung (EU) 2018/1725 vorgesehenen Aufgaben wahr.

(4)   Bei der Erfüllung seiner Aufgaben haben der Datenschutzbeauftragte und die ihn bei der Erfüllung seiner Pflichten unterstützenden Europol-Bediensteten Zugang zu allen von Europol verarbeiteten Daten und zu allen Diensträumen von Europol.

(5)   Ist der Datenschutzbeauftragte der Auffassung, dass die Bestimmungen der vorliegenden Verordnung oder der Verordnung (EU) 2018/1725 über die Verarbeitung verwaltungstechnischer personenbezogener Daten oder die Bestimmungen der vorliegenden Verordnung oder von Artikel 3 und von Kapitel IX der Verordnung (EU) 2018/1725über die Verarbeitung personenbezogener Daten nicht eingehalten wurden, so unterrichtet er den Exekutivdirektor und fordert ihn auf, innerhalb einer bestimmten Frist Abhilfe zu schaffen.

Sorgt der Exekutivdirektor nicht innerhalb dieser bestimmten Frist für Abhilfe, so unterrichtet der Datenschutzbeauftragte den Verwaltungsrat. Der Verwaltungsrat antwortet innerhalb einer mit dem Datenschutzbeauftragten vereinbarten Frist. Sorgt der Verwaltungsrat nicht innerhalb der bestimmten Frist für Abhilfe, so befasst der Datenschutzbeauftragte den EDSB.

Artikel 41c

Grundrechtsbeauftragter

(1)   Der Verwaltungsrat ernennt auf Vorschlag des Exekutivdirektors einen Grundrechtsbeauftragten. Der Grundrechtsbeauftragte kann Mitglied des vorhandenen Europol-Personals sein, das eine besondere Schulung in Grundrechtsnormen und -praxis erhalten hat.

(2)   Der Grundrechtsbeauftragte nimmt folgende Aufgaben wahr:

a)

Er berät Europol zu ihren Tätigkeiten, wenn er das als notwendig erachtet oder darum ersucht wird, ohne diese Tätigkeiten zu behindern oder zu verzögern.

b)

Er überwacht die Achtung der Grundrechte durch Europol.

c)

Er gibt unverbindliche Stellungnahmen zu den Arbeitsmethoden ab.

d)

Er informiert den Exekutivdirektor über mögliche Verstöße gegen die Grundrechte im Zuge der Tätigkeiten von Europol.

e)

Er fördert die Achtung der Grundrechte durch Europol bei der Durchführung ihrer Aufgaben und Tätigkeiten.

f)

Er führt alle sonstigen Aufgaben aus, die in dieser Verordnung vorgesehen sind.

(3)   Europol stellt sicher, dass der Grundrechtsbeauftragte keine Weisungen zur Erfüllung seiner Aufgaben erhält.

(4)   Der Grundrechtsbeauftragte erstattet unmittelbar dem Exekutivdirektor Bericht und bereitet jährliche Berichte über seine Tätigkeiten und das Ausmaß der Achtung der Grundrechte im Rahmen der Tätigkeiten von Europol vor. Diese Berichte werden dem Verwaltungsrat zugänglich gemacht.

Artikel 41d

Grundrechte-Schulung

Alle Bediensteten von Europol, die an operativen Aufgaben beteiligt sind, bei denen personenbezogene Daten verarbeitet werden, erhalten eine obligatorische Schulung über den Schutz der Grundrechte und Grundfreiheiten, auch bei der Verarbeitung personenbezogener Daten. Diese Schulungen werden in Zusammenarbeit mit der Agentur der Europäischen Union für Grundrechte (FRA), die mit der Verordnung (EG) Nr. 168/2007 des Rates (*12) eingerichtet wurde, und der Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung (CEPOL), die mit der Verordnung (EU) 2015/2219 des Europäischen Parlaments und des Rates (*13) eingerichtet wurde, entwickelt.

(*12)  Verordnung (EG) Nr. 168/2007 des Rates vom 15. Februar 2007 zur Errichtung einer Agentur der Europäischen Union für Grundrechte (ABl. L 53 vom 22.2.2007, S. 1)."

(*13)  Verordnung (EU) 2015/2219 des Europäischen Parlaments und des Rates vom 25. November 2015 über die Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung (EPA) und zur Ersetzung sowie Aufhebung des Beschlusses 2005/681/JI des Rates (ABl. L 319 vom 4.12.2015, S. 1).“"

39.

Artikel 42 Absätze 1 und 2 erhält folgende Fassung:

„(1)   Zur Durchführung ihrer Kontrollen haben die in Artikel 41 der Richtlinie (EU) 2016/680 genannten nationalen Kontrollbehörden bei der nationalen Stelle oder in den Diensträumen der Verbindungsbeamten Zugang zu den Daten, die ihr Mitgliedstaat Europol nach den einschlägigen nationalen Verfahren übermittelt hat, sowie zu den in Artikel 40 genannten Protokollen der vorliegenden Verordnung.

(2)   Die nationalen Kontrollbehörden haben Zugang zu den Diensträumen und zu den Akten ihrer jeweiligen Verbindungsbeamten bei Europol.“

40.

Artikel 43 wird wie folgt geändert:

a)

Absatz 1 Satz 1 erhält folgende Fassung:

„(1)   Der EDSB ist zuständig für die Kontrolle und Sicherstellung der Anwendung der Bestimmungen der vorliegenden Verordnung und der Verordnung (EU) 2018/1725 zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Europol sowie für die Beratung von Europol und der betroffenen Personen in allen die Verarbeitung personenbezogener Daten betreffenden Angelegenheiten.“

b)

In Absatz 3 werden die folgenden Buchstaben angefügt:

„j)

den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen;

k)

die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Mitgliedstaat, einem Drittstaat oder an eine internationale Organisation anordnen;

l)

je nach den Umständen des Einzelfalls eine Geldbuße verhängen, wenn Europol eine der unter den Buchstaben c, e, f, j und k dieses Absatzes genannten Maßnahmen nicht einhält.“;

c)

Absatz 5 erhält folgende Fassung:

„(5)   Der EDSB bereitet einen jährlichen Bericht über seine Europol betreffenden Kontrolltätigkeiten vor. Dieser Bericht ist Teil des in Artikel 60 der Verordnung (EU) 2018/1725 genannten Jahresberichts des EDSB.

Der EDSB fordert die nationalen Kontrollbehörden auf, zu diesem Teil des jährlichen Berichts Stellung zu nehmen, bevor der Jahresbericht angenommen wird. Der EDSB trägt diesen Stellungnahmen umfassend Rechnung und erwähnt sie im Jahresbericht.

Der in Unterabsatz 2 genannte Teil des Berichts enthält statistische Informationen über Beschwerden, Untersuchungen und Ermittlungen sowie über Übermittlungen personenbezogener Daten an Drittstaaten und internationale Organisationen, Fälle vorheriger Konsultation der ECSB und die Ausübung der Befugnisse nach Absatz 3 dieses Artikels.“

41.

Artikel 44 wird wie folgt geändert:

a)

Absatz 2 erhält folgende Fassung:

„(2)   In den in Absatz 1 genannten Fällen wird die koordinierte Aufsicht gemäß Artikel 62 der Verordnung (EU) 2018/1725 gewährleistet. Der EDSB nutzt bei der Erfüllung seiner Pflichten nach Artikel 43 Absatz 2 der vorliegenden Verordnung Fachwissen und Erfahrung der nationalen Kontrollbehörden.

Bei der Durchführung gemeinsamer Überprüfungen mit dem EDSB haben die Mitglieder und Bediensteten der nationalen Kontrollbehörden unter gebührender Berücksichtigung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit Befugnisse, die den Befugnissen nach Artikel 43 Absatz 4 der vorliegenden Verordnung entsprechen, und unterliegen einer Verpflichtung, die der Verpflichtung nach Artikel 43 Absatz 6 der vorliegenden Verordnung entspricht.“

b)

Absatz 4 erhält folgende Fassung:

„(4)   In Fällen, die Daten aus einem oder mehreren Mitgliedstaaten betreffen — einschließlich der in Artikel 47 Absatz 2 aufgeführten Fälle — konsultiert der EDSB die betroffenen nationalen Kontrollbehörden. Der EDSB trifft keinen Beschluss zur Einleitung weiterer Maßnahmen, bevor nicht diese nationalen Kontrollbehörden den EDSB, innerhalb einer vom EDSB gesetzten Frist von mindestens einem Monat und höchstens drei Monaten ab dem Zeitpunkt, zu dem der EDSB die betroffenen nationalen Kontrollbehörden konsultiert, von ihrer Stellungnahme in Kenntnis gesetzt haben. Der EDSB trägt den jeweiligen Standpunkten der nationalen Kontrollbehörden umfassend Rechnung. Beabsichtigt der EDSB, dem Standpunkt einer nationalen Kontrollbehörde nicht zu folgen, so teilt er das der Behörde unter Angabe von Gründen mit und befasst den Europäischen Datenschutzausschuss mit dieser Angelegenheit.“

42.

Die Artikel 45 und 46 werden gestrichen.

43.

Artikel 47 wird wie folgt geändert:

a)

Absatz 1 erhält folgende Fassung:

„(1)   Jede betroffene Person hat das Recht, beim EDSB Beschwerde einzulegen, wenn sie der Ansicht ist, dass die Verarbeitung sie betreffender personenbezogener Daten durch Europol gegen die vorliegende Verordnung oder die Verordnung (EU) 2018/1725 verstößt.“

b)

Absatz 2 Satz 1 erhält folgende Fassung:

„(2)   Betrifft eine Beschwerde eine Entscheidung nach den Artikeln 36 oder 37 der vorliegenden Verordnung oder nach den Artikeln 81 oder 82 der Verordnung (EU) 2018/1725, so konsultiert der EDSB die nationalen Kontrollbehörden des Mitgliedstaats, von dem die Daten stammen, oder des unmittelbar betroffenen Mitgliedstaats.“

c)

Folgender Absatz wird angefügt:

„(5)   Der EDSB unterrichtet die betroffene Person über den Stand und die Ergebnisse der Prüfung der Beschwerde sowie über die Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 48.“

44.

Artikel 50 erhält folgende Fassung:

„Artikel 50

Recht auf Schadensersatz

(1)   Jede Person, der wegen eines Verstoßes gegen die vorliegende Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gemäß Artikel 65 der Verordnung (EU) 2018/1725 und Artikel 56 der Richtlinie (EU) 2016/680.

(2)   Mit Streitigkeiten zwischen Europol und Mitgliedstaaten über die Frage, wer letztlich für den Schadensersatz zuständig ist, der einer Person, der ein materieller oder immaterieller Schaden entstanden ist, nach Absatz 1 des vorliegenden Artikels gewährt wird, ist der Verwaltungsrat zu befassen. Der Verwaltungsrat entscheidet über die Zuständigkeit mit Zweidrittelmehrheit seiner Mitglieder, unbeschadet des Rechts, diese Entscheidung nach Artikel 263 AEUV anzufechten.“

45.

Artikel 51 wird wie folgt geändert:

a)

Absatz 3 wird wie folgt geändert:

i)

Buchstabe d erhält folgende Fassung:

„d)

den konsolidierten jährlichen Tätigkeitsbericht über die in Artikel 11 Absatz 1 Buchstabe c genannten Tätigkeiten von Europol, einschließlich relevanter Informationen über die Tätigkeiten und Ergebnisse von Europol bei der Verarbeitung großer Datensätze, ohne dass operative Einzelheiten offengelegt werden und unbeschadet laufender Ermittlungen;“;

ii)

Folgende Buchstaben werden angefügt:

„f)

jährliche Informationen gemäß Artikel 26 Absatz 11 über personenbezogene Daten, die mit privaten Parteien gemäß Artikeln 26, 26a und 26b ausgetauscht wurden, einschließlich einer Bewertung der Wirksamkeit der Zusammenarbeit, konkreter Fallbeispiele, die zeigen, warum diese Ersuchen für die Erreichung der Ziele und die Durchführung der Aufgaben von Europol erforderlich und verhältnismäßig waren, und, zu dem Austausch personenbezogener Daten gemäß Artikel 26b, der Zahl der Kinder, die aufgrund dieses Austauschs identifiziert wurden, sofern diese Informationen Europol zur Verfügung stehen;

g)

jährliche Informationen über die Zahl der Fälle, in denen Europol personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen, verarbeiten musste, um Mitgliedstaaten bei laufenden konkreten strafrechtlichen Ermittlungen nach Artikel 18a zu unterstützen, und Angaben zur Dauer und zu den Ergebnissen der Verarbeitung, einschließlich Fallbeispielen, die zeigen, warum diese Datenverarbeitung erforderlich und verhältnismäßig war;

h)

jährliche Informationen zu Übermittlungen personenbezogener Daten an Drittstaaten oder internationale Organisationen gemäß Artikel 25 Absatz 1 oder Absatz 4a, aufgeschlüsselt nach Rechtsgrundlage, und über die Zahl der Fälle, in denen der Exekutivdirektor die Übermittlung oder Kategorien von Übermittlungen personenbezogener Daten im Zusammenhang mit einer laufenden konkreten strafrechtlichen Ermittlung an Drittstaaten oder internationale Organisationen gemäß Artikel 25 Absatz 5 genehmigt hat, einschließlich Informationen zu den betreffenden Ländern und der Dauer der Genehmigung;

i)

jährliche Informationen über die Zahl der Fälle, in denen Europol die mögliche Eingabe von Informationsausschreibungen in das SIS nach Artikel 4 Absatz 1 Buchstabe t vorgeschlagen hat, einschließlich konkreter Fallbeispiele, die zeigen, warum die Eingabe dieser Ausschreibungen vorgeschlagen wurde;

j)

jährliche Informationen über die Zahl der durchgeführten Forschungs- und Innovationsprojekte, einschließlich Informationen über die Zwecke dieser Projekte, die Kategorien der verarbeiteten personenbezogenen Daten, die angewandten zusätzlichen Schutzmaßnahmen, einschließlich der Datenminimierung, die Erfordernisse der Strafverfolgung, die diese Projekte erfüllen sollen, und die Ergebnisse dieser Projekte;

k)

jährliche Informationen über die Zahl der Fälle, in denen Europol die vorübergehende Verarbeitung gemäß Artikel 18 Absatz 6a angewandt hat, und gegebenenfalls über die Zahl der Fälle, in denen die Verarbeitungsdauer verlängert wurde;

l)

jährliche Informationen über die Zahl und Art der Fälle, in denen besondere Kategorien personenbezogener Daten gemäß Artikel 30 Absatz 2 verarbeitet wurden.

Die in den Buchstaben f und i genannten Beispiele sind zu anonymisieren, soweit es um personenbezogene Daten geht.

Die in Buchstabe g genannten Beispiele sind zu anonymisieren, soweit es um personenbezogene Daten geht, ohne dass operative Einzelheiten offengelegt und laufende Ermittlungen berührt werden.“

b)

Absatz 5 erhält folgende Fassung:

„(5)   Der Gemeinsame Parlamentarische Untersuchungsausschuss kann zusammenfassende Schlussfolgerungen über die politische Kontrolle der Tätigkeiten von Europol einschließlich unverbindlicher konkreter Empfehlungen an Europol erstellen und diese Schlussfolgerungen dem Europäischen Parlament und den nationalen Parlamenten vorlegen. Das Europäische Parlament übermittelt diese Schlussfolgerungen informationshalber an den Rat, die Kommission und Europol.“

46.

Folgender Artikel wird eingefügt:

„Artikel 52a

Konsultationsforum

(1)   Der Gemeinsame Parlamentarische Untersuchungsausschuss setzt ein Konsultationsforum ein, das ihn auf Anfrage unterstützt, indem es unabhängige Beratung in Grundrechtsfragen leistet.

Der Gemeinsame Parlamentarische Untersuchungsausschuss und der Exekutivdirektor können das Konsultationsforum zu allen Fragen im Zusammenhang mit den Grundrechten konsultieren.

(2)   Der Gemeinsame Parlamentarische Untersuchungsausschuss bestimmt die Zusammensetzung des Konsultationsforums, seine Arbeitsmethoden sowie die Art und Weise der Übermittlung von Informationen an das Konsultationsforum.“

47.

Artikel 58 Absatz 9 erhält folgende Fassung:

„(9)   Die Delegierte Verordnung (EU) 2019/715 gilt für Immobilienprojekte, die voraussichtlich erhebliche Auswirkungen auf den Haushalt von Europol habe.“

48.

Artikel 60 wird wie folgt geändert:

a)

Absatz 4 erhält folgende Fassung:

„(4)   Nach Eingang der Bemerkungen des Rechnungshofs zu den vorläufigen Jahresabschlüssen von Europol für das Jahr N gemäß Artikel 246 der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (*14) stellt der Rechnungsführer von Europol die endgültigen Jahresabschlüsse von Europol für dieses Jahr auf. Der Exekutivdirektor legt diese endgültigen Jahresabschlüsse dem Verwaltungsrat zur Stellungnahme vor.

(*14)  Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).“"

b)

Absatz 9 erhält folgende Fassung:

„(9)   Auf Anfrage des Europäischen Parlaments unterbreitet der Exekutivdirektor diesem gemäß Artikel 106 Absatz 3 der Delegierten Verordnung (EU) 2019/715 alle Informationen, die für eine ordnungsgemäße Abwicklung des Entlastungsverfahrens für das Jahr N erforderlich sind.“

49.

Artikel 61 erhält folgende Fassung:

„Artikel 61

Finanzregelung

(1)   Der Verwaltungsrat erlässt nach Konsultationen mit der Kommission die für Europol geltende Finanzregelung. Diese darf von der Delegierten Verordnung (EU) 2019/715 nur abweichen, wenn das für den Betrieb von Europol eigens erforderlich ist und die Kommission vorher ihre Zustimmung erteilt hat.

(2)   Europol darf Finanzhilfen im Zusammenhang mit der Erreichung ihrer Ziele und die Erfüllung ihrer Aufgaben gewähren.

(3)   Europol darf Mitgliedstaaten Finanzhilfen für die Durchführung von Maßnahmen im Rahmen der Ziele und Aufgaben von Europol gewähren, ohne dass es einer Aufforderung zur Einreichung von Vorschlägen bedarf.

(4)   Nach Genehmigung durch den Verwaltungsrat kann die finanzielle Unterstützung die gesamten Investitionskosten für Ausrüstung und Infrastruktur decken, wenn das für operative Zwecke hinreichend begründet ist.

In der Finanzregelung nach Absatz 1 können die Kriterien festgelegt werden, nach denen die finanzielle Unterstützung die gesamten in Unterabsatz 1 dieses Absatzes genannten Investitionskosten decken kann.

(5)   Für die finanzielle Unterstützung für die Tätigkeit gemeinsamer Ermittlungsgruppen legen Europol und Eurojust gemeinsam die Regeln und Voraussetzungen fest, nach denen Anträge auf derartige Unterstützung zu bearbeiten sind.“

50.

Artikel 68 wird wie folgt geändert:

a)

Absatz 1 erhält folgende Fassung:

„(1)   Die Kommission nimmt bis zum 29. Juni 2027 und anschließend alle fünf Jahre eine Bewertung vor, in deren Rahmen insbesondere die Wirkung, Wirksamkeit und Effizienz Europols und ihrer Arbeitsverfahren beurteilt werden. In dieser Bewertung kann insbesondere auf die etwaige Notwendigkeit, den Aufbau, die Arbeitsweise, den Tätigkeitsbereich und die Aufgaben Europols zu ändern, und die finanziellen Auswirkungen solcher Änderungen eingegangen werden.“

b)

Folgender Absatz wird angefügt:

„(3)   Die Kommission legt dem Europäischen Parlament und dem Rat bis zum 29. Juni 2025 einen Bericht vor, in dem sie die operativen Auswirkungen der Ausübung der in dieser Verordnung — insbesondere in Artikel 4 Absatz 1 Buchstabe t, Artikel 18 Absatz 2 Buchstabe e, Artikel 18 Absatz 6a sowie, Artikel 18a, Artikel 26, Artikel 26a und Artikel 26b — vorgesehenen Aufgaben gemessen an den Zielen von Europol bewertet. In dem Bericht werden die Auswirkungen dieser Aufgaben auf die in der Charta der Grundrechte festgelegten Grundrechte und Grundfreiheiten bewertet. Er enthält ferner eine Kosten-Nutzen-Analyse der Erweiterung der Aufgaben von Europol.“

51.

Folgende Artikel werden eingefügt:

„Artikel 74a

Übergangsbestimmungen für die Verarbeitung personenbezogener Daten zur Unterstützung einer laufenden strafrechtlichen Ermittlung

(1)   Hat ein Mitgliedstaat, die EUStA oder Eurojust personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen, vor 28. Juni 2022 an Europol übermittelt, so kann Europol diese personenbezogenen Daten gemäß Artikel 18a verarbeiten, wenn

a)

der betreffende Mitgliedstaat, die EUStA oder Eurojust Europol bis zum 29. September 2022 mitteilt, dass er beziehungsweise sie die personenbezogenen Daten im Rahmen der laufenden strafrechtlichen Ermittlung, für die er beziehungsweise sie Europol bei der ursprünglichen Bereitstellung der Daten um Unterstützung ersucht hat, gemäß den nach dem Unionsrecht anwendbaren Verfahrensvorschriften und Garantien oder nationalen Recht verarbeiten darf;

b)

der betreffende Mitgliedstaat, die EUStA oder Eurojust Europol bis zum 29. September 2022 um Unterstützung dieser in Buchstabe a genannten laufenden strafrechtlichen Ermittlung ersucht; und

c)

Europol gemäß Artikel 18a Absatz 1 Buchstabe b feststellt, dass es nicht möglich ist, die in Buchstabe a des vorliegenden Absatzes genannten laufenden strafrechtlichen Ermittlungen zu unterstützen, ohne personenbezogene Daten zu verarbeiten, die nicht Artikel 18 Absatz 5 entsprechen.

Die in Buchstabe c des vorliegenden Absatzes genannte Feststellung wird protokolliert und dem EDSB zur Information übermittelt, wenn Europol die Unterstützung der betreffenden konkreten strafrechtlichen Ermittlungen beendet.

(2)   Erfüllt ein Mitgliedstaat, die EUStA oder Eurojust nicht eine oder mehrere der in Absatz 1 Buchstaben a und b des vorliegenden Absatzes genannten Anforderungen an personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen und die er beziehungsweise sie Europol vor dem 28. Juni 2022 übermittelt haben, oder entspricht ein Mitgliedstaat, die EUStA oder Eurojust nicht Absatz 1 Buchstabe c des vorliegenden Absatzes, so verarbeitet Europol diese personenbezogenen Daten gemäß Artikel 18a nicht, sondern löscht diese personenbezogenen Daten unbeschadet des Artikels 18 Absatz 5 und des Artikels 74b nach dem 29. Oktober 2022.

(3)   Hat ein Drittstaat gemäß Artikel 18a Absatz 6 personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen und, vor dem 28. Juni 2022 an Europol übermittelt, so kann Europol diese personenbezogenen Daten gemäß Artikel 18a Artikel 6 verarbeiten, wenn

a)

der Drittstaat die personenbezogenen Daten zur Unterstützung konkreter strafrechtlicher Ermittlung in einem oder mehreren Mitgliedstaaten, die Europol unterstützt, zur Verfügung gestellt hat;

b)

der Drittstaat die Daten im Rahmen einer strafrechtlichen Ermittlung gemäß den Verfahrensvorschriften und Garantien seines nationalen Strafrechst erlangt hat;

c)

der Drittstaat Europol bis zum 29. September 2022 darüber informiert, dass er befugt ist, diese personenbezogenen Daten im Rahmen der strafrechtlichen Ermittlungen, in deren Rahmen er die Daten erlangt hat, zu verarbeiten;

d)

Europol gemäß Artikel 18a Absatz 1 Buchstabe b feststellt, dass es nicht möglich ist, die konkreten strafrechtlichen Ermittlungen nach Buchstabe a des vorliegenden Absatzes zu unterstützen, ohne personenbezogene Daten zu verarbeiten, die nicht Artikel 18 Absatz 5 entsprechen, und diese Feststellung wird protokolliert und dem EDSB zur Information übermittelt, wenn Europol die Unterstützung der betreffenden konkreten strafrechtlichen Ermittlungen beendet; und

e)

Europol sich gemäß Artikel 18a Absatz 6 vergewissert, dass die Menge der personenbezogenen Daten nicht offensichtlich unverhältnismäßig zu der von Europol in einem oder mehr als einem Mitgliedstaat unterstützten in Buchstabe a des vorliegenden Absatzes genannten konkreten strafrechtlichen Ermittlung ist.

(4)   Erfüllt ein Drittstaat nicht die in Absatz 3 Buchstabe c des vorliegenden Artikels genannten Anforderungen an personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen und die er Europol vor dem 28. Juni 2022 übermittelt hat, oder sind die übrigen Anforderungen des Absatzes 3 des vorliegenden Artikels nicht erfüllt, so verarbeitet Europol diese personenbezogenen Daten gemäß Artikel 18a Absatz 6 nicht, sondern löscht diese personenbezogenen Daten unbeschadet des Artikels 18 Absatz 5 und des Artikels 74b bis zum 29. Oktober 2022.

(5)   Hat ein Mitgliedstaat, die EUStA oder Eurojust vor dem 28. Juni 2022 personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen, an Europol übermittelt, so kann er beziehungsweise sie Europol bis zum 29. September 2022 ersuchen, diese Daten und die Ergebnisse der Verarbeitung dieser Daten durch Europol zu speichern, wenn das erforderlich ist, um die Richtigkeit, Zuverlässigkeit und Rückverfolgbarkeit des kriminalpolizeilichen Verfahrens zu gewährleisten. Europol bewahrt personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen und, von anderen Daten funktional getrennt auf und verarbeitet diese Daten nur, um die Richtigkeit, Zuverlässigkeit und Rückverfolgbarkeit des kriminalpolizeilichen Verfahrens sicherzustellen, und nur so lange, wie das Gerichtsverfahren im Zusammenhang mit den strafrechtlichen Ermittlungen, für die diese Daten bereitgestellt wurden, noch andauert.

(6)   Hat Europol personenbezogene Daten, die sich nicht auf die in Anhang II aufgeführten Kategorien von betroffenen Personen beziehen, vor dem 28. Juni 2022 erhalten, so speichert Europol diese Daten nicht zum Zwecke der Sicherstellung der Richtigkeit, Zuverlässigkeit und Rückverfolgbarkeit des kriminalpolizeilichen Verfahrens, es sei denn, darum wurde gemäß Absatz 5 ersucht. Liegt kein solches Ersuchen vor, so löscht Europol diese personenbezogenen Daten bis zum 29. Oktober 2022.

Artikel 74b

Übergangsbestimmungen für die Verarbeitung von durch Europol gespeicherten personenbezogenen Daten

Unbeschadet des Artikels 74a darf Europol bei personenbezogenen Daten, die Europol vor dem 28. Juni 2022 erhalten hat, prüfen, ob sich diese personenbezogenen Daten auf eine der Kategorien von betroffenen Personen gemäß Anhang II beziehen. Dafür darf Europol eine Vorabanalyse dieser personenbezogenen Daten für einen Zeitraum von bis zu 18 Monaten ab dem Tag des erstmaligen Erhalts der Daten oder in begründeten Fällen mit vorheriger Genehmigung des EDSB für einen längeren Zeitraum durchführen.

Die Höchstdauer der Verarbeitung der in Unterabsatz 1 genannten Daten beträgt drei Jahre ab dem Tag des Erhalts der Daten bei Europol.“

Artikel 2

Diese Verordnung tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.

Geschehen zu Straßburg am 8. Juni 2022.

Im Namen des Europäischen Parlaments

Die Präsidentin

R. METSOLA

Im Namen des Rates

Der Präsident

C. BEAUNE


(1)  Standpunkt des Europäischen Parlaments vom 4. Mai 2022 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 24. Mai 2022.

(2)  Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53).

(3)  Beschluss 2008/617/JI des Rates vom 23. Juni 2008 über die Verbesserung der Zusammenarbeit zwischen den Spezialeinheiten der Mitgliedstaaten der Europäischen Union in Krisensituationen (ABl. L 210 vom 6.8.2008, S. 73).

(4)  Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15).

(5)  Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

(6)  Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems (SIS) im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7.12.2018, S. 56).

(7)  Verordnung (EU) Nr. 1053/2013 des Rates vom 7. Oktober 2013 zur Einführung eines Evaluierungs- und Überwachungsmechanismus für die Überprüfung der Anwendung des Schengen-Besitzstands und zur Aufhebung des Beschlusses des Exekutivausschusses vom 16. September 1998 bezüglich der Errichtung des Ständigen Ausschusses Schengener Durchführungsübereinkommen (ABl. L 295 vom 6.11.2013, S. 27).

(8)  Verordnung (EU) 2019/452 des Europäischen Parlaments und des Rates vom 19. März 2019 zur Schaffung eines Rahmens für die Überprüfung ausländischer Direktinvestitionen in der Union (ABl. L 79 I vom 21.3.2019, S. 1).

(9)  Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).

(10)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(11)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(12)  Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission (ABl. L 141 vom 5.6.2015, S. 73).

(13)  Verordnung (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte (ABl. L 172 vom 17.5.2021, S. 79).

(14)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(15)  ABl. C 143 vom 23.4.2021, S. 6.


Top