EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020Q0722(02)

Beschluss Nr. 1/2020 des Verwaltungsrats des Gemeinsamen Unternehmens Shift2Rail vom 26. März 2020 über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit des Gemeinsamen Unternehmens S2R

ABl. L 236 vom 22.7.2020, p. 7–12 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2020/722(3)/oj

22.7.2020   

DE

Amtsblatt der Europäischen Union

L 236/7


BESCHLUSS Nr. 1/2020 DES VERWALTUNGSRATS DES GEMEINSAMEN UNTERNEHMENS SHIFT2RAIL

vom 26. März 2020

über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit des Gemeinsamen Unternehmens S2R

DER VERWALTUNGSRAT DES GEMEINSAMEN UNTERNEHMENS SHIFT2RAIL (im Folgenden: Gemeinsames Unternehmen S2R) —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union (1),

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (2), insbesondere auf Artikel 25,

gestützt auf die Verordnung (EU) Nr. 642/2014 des Rates vom 16. Juni 2014 zur Errichtung des Gemeinsamen Unternehmens Shift2Rail (3), insbesondere auf Artikel 8 der Satzung des Gemeinsamen Unternehmens, die dieser Verordnung als Anhang beigefügt ist,

gestützt auf die Leitlinien des Europäischen Datenschutzbeauftragten zu Artikel 25 der neuen Verordnung und den internen Vorschriften,

nach am 12. November 2019 erfolgter Konsultation des EDSB gemäß Artikel 41 Absatz 2 der Verordnung (EU) 2018/1725,

gestützt auf die Empfehlungen des Europäischen Datenschutzbeauftragten (EDSB) vom 18. Dezember 2019,

nach Konsultation der Personalvertretung des Gemeinsamen Unternehmens S2R,

in Erwägung nachstehender Gründe:

(1)

Die Rechte Betroffener können nur durch auf der Grundlage der Verträge erlassene Rechtsakte beschränkt werden. Für Beschränkungen, die nicht auf Rechtsakte gestützt werden können, die auf der Grundlage der Verträge erlassen wurden, sieht die Verordnung (EU) 2018/1725 vor, dass in Angelegenheiten, die die Tätigkeit des Gemeinsamen Unternehmens S2R betreffen, Beschränkungen durch interne Vorschriften geregelt werden können, einschließlich durch Bestimmungen über die Bewertung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung.

(2)

Nach Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 müssen Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, auf vom Gemeinsamen Unternehmen S2R zu erlassenden internen Vorschriften beruhen.

(3)

Im Rahmen seiner Verwaltungstätigkeit ist das Gemeinsame Unternehmen S2R befugt, Verwaltungsuntersuchungen, Disziplinarverfahren und vorläufige Aktivitäten wegen dem OLAF gemeldeter Fälle möglicher Unregelmäßigkeiten durchzuführen, Meldungen von Missständen zu bearbeiten, (formelle und informelle) Verfahren wegen Mobbings zu bearbeiten, interne und externe Beschwerden zu bearbeiten, interne Audits durchzuführen, Prüfungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie interne (IT-)Sicherheitsüberprüfungen durchzuführen.

(4)

Das Gemeinsame Unternehmen S2R verarbeitet mehrere Kategorien personenbezogener Daten, u. a. Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten sowie fallbezogene Daten (wie Begründungen, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang damit vorgebracht werden) (4).

(5)

Das durch seinen Exekutivdirektor vertretene Gemeinsame Unternehmen S2R handelt als der für die Verarbeitung Verantwortliche.

(6)

Die personenbezogenen Daten werden in einem elektronischen Umfeld oder in Papierform sicher aufbewahrt, um den unrechtmäßigen Zugang oder die Übermittlung von Daten an Personen, die nicht auf deren Kenntnis angewiesen sind, zu verhindern. Die verarbeiteten personenbezogenen Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und angemessen ist, wobei der Zeitraum in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen des Gemeinsamen Unternehmens S2R angegeben ist.

(7)

Die internen Vorschriften sollten für alle Verarbeitungsvorgänge gelten, die vom Gemeinsamen Unternehmen S2R ausgeführt werden im Zusammenhang mit der Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufigen Aktivitäten wegen dem OLAF gemeldeter Fälle möglicher Unregelmäßigkeiten, Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), (formellen und informellen) Verfahren wegen Mobbing/Belästigung, der Bearbeitung interner und externer Beschwerden, internen Prüfungen, Prüfungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 bzw. intern oder mit externer Beteiligung (z. B. durch das CERT-EU) durchgeführten (IT-)Sicherheitsüberprüfungen.

(8)

Sie sollten für die Verarbeitungsvorgänge gelten, die vor der Einleitung der vorstehend genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen vorgenommen werden. Zudem sollten sie auch für die Unterstützung und Zusammenarbeit gelten, die das Gemeinsame Unternehmen S2R außerhalb des Rahmens seiner Verwaltungsuntersuchungen für nationale Behörden und internationale Organisationen leistet.

(9)

In Fällen, in denen diese internen Vorschriften Anwendung finden, muss das Gemeinsame Unternehmen S2R unter Angaben von Gründen erklären, inwiefern die Beschränkungen eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen und den Wesensgehalt der Grundrechte und Grundfreiheiten achten.

(10)

In diesem Rahmen ist das Gemeinsame Unternehmen S2R in den vorgenannten Verfahren gehalten, die Grundrechte der betroffenen Personen in größtmöglichem Umfang zu achten, insbesondere deren Rechte auf Unterrichtung, Auskunft und Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen sowie Vertraulichkeit der Kommunikation, so wie diese in der Verordnung (EU) 2018/1725 verankert sind.

(11)

Das Gemeinsame Unternehmen S2R kann jedoch verpflichtet sein, die Unterrichtung betroffener Personen und Rechte anderer betroffener Personen zu beschränken, um insbesondere ihre eigenen Untersuchungen, die Untersuchungen und Verfahren anderer Behörden sowie die Rechte und Freiheiten anderer Personen im Zusammenhang mit ihren Untersuchungen oder anderen Verfahren zu schützen.

(12)

Wenn das Gemeinsame Unternehmen S2R die Anwendung einer Beschränkung in Erwägung zieht, sind die Risiken für die Rechte und Freiheiten der betroffenen Person abzuwägen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko, dass die Wirksamkeit der vom Gemeinsamen Unternehmen S2R durchgeführten Untersuchungen oder Verfahren, z. B. durch Vernichtung von Beweismaterial, zunichtegemacht wird. Bei den Risiken für die Rechte und Freiheiten der betroffenen Person handelt es sich insbesondere, jedoch nicht ausschließlich, um Reputationsrisiken und Risiken für das Verteidigungsrecht und den Anspruch auf rechtliches Gehör.

(13)

Das Gemeinsame Unternehmen S2R kann daher die Unterrichtung beschränken, um die Untersuchung wie auch die Grundrechte und Grundfreiheiten anderer betroffener Personen zu schützen.

(14)

Das Gemeinsame Unternehmen S2R muss regelmäßig überprüfen, dass die Voraussetzungen, welche die Beschränkung rechtfertigen, erfüllt sind, und die Beschränkung aufheben, soweit diese nicht länger gegeben sind.

(15)

Der Verantwortliche muss den Datenschutzbeauftragten zum Zeitpunkt der Zurückstellung und während der Überprüfungen unterrichten —

HAT FOLGENDEN BESCHLUSS GEFASST:

Artikel 1

Gegenstand und Anwendungsbereich

(1)   Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen das Gemeinsame Unternehmen S2R im Rahmen seiner unter Absatz 2 aufgeführten Verfahren gemäß Artikel 25 der Verordnung (EU) 2018/1725 befugt ist, die Anwendung der in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 der Verordnung verankerten Rechte zu beschränken.

(2)   Im Rahmen der Verwaltungstätigkeit des Gemeinsamen Unternehmens S2R gilt dieser Beschluss für die personenbezogene Daten betreffenden Verarbeitungsvorgänge, die das Programmbüro zu folgenden Zwecken ausführt: Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufige Aktivitäten bezüglich dem OLAF gemeldeter Fälle möglicher Unregelmäßigkeiten, Bearbeitung von Meldungen von Missständen (Whistleblowing), (formelle und informelle) Verfahren wegen Mobbing/Belästigung, Bearbeitung interner und externer Beschwerden, interne Prüfungen, Prüfungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder mit externer Beteiligung (z. B. durch das CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen.

(3)   Bei den betroffenen Datenkategorien handelt es sich unter anderem um Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten, fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang damit vorgebracht werden.

(4)   Bei der Wahrnehmung seiner Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 prüft das Gemeinsame Unternehmen S2R, ob eine der in dieser Verordnung vorgesehenen Ausnahmen gilt.

Artikel 2

Angaben zum Verantwortlichen

Der für die Verarbeitung Verantwortliche ist das Gemeinsame Unternehmen S2R, vertreten durch seinen Exekutivdirektor.

Artikel 3

Angaben zu den Garantien

(1)   In Bezug auf personenbezogene Daten gibt das Gemeinsame Unternehmen S2R die folgenden Garantien zur Verhinderung von Missbrauch, unrechtmäßigem Zugang oder unrechtmäßiger Übermittlung:

a)

Dokumente in Papierform werden in gesicherten Schränken aufbewahrt und ausschließlich befugtem Personal zugänglich gemacht.

b)

Alle elektronischen Daten werden in einer sicheren IT-Anwendung gemäß den Sicherheitsstandards des Gemeinsamen Unternehmens S2R sowie in speziellen elektronischen Ordnern gespeichert, wobei der Zugang befugtem Personal vorbehalten ist. Angemessene Zugangsrechte werden auf individueller Basis erteilt.

c)

Die Datenbank ist passwortgeschützt unter einem Single-Sign-on-System und automatisch mit der ID und dem Passwort des Benutzers verbunden; soweit angemessen beinhaltet dies „Pseudonymisierung“ und/oder „Verschlüsselung“. Die Ersetzung von Benutzern ist streng untersagt. Elektronische Aufzeichnungen werden sicher aufbewahrt, um die Vertraulichkeit und den Schutz der darin enthaltenen Daten zu garantieren.

d)

Alle Personen, die Zugang zu den Daten haben, sind zur Geheimhaltung verpflichtet.

(2)   Die in Absatz 1 genannten Schutzgarantien unterliegen nach Artikel 6 Absatz 3 der regelmäßigen Überprüfung.

(3)   Die in Artikel 1 Absatz 3 genannte Aufbewahrungsfrist für personenbezogene Daten ist in den Datenschutzhinweisen, Datenschutzerklärungen oder Verzeichnissen angegeben, auf die in Artikel 7 Absatz 1 Bezug genommen wird. Die Aufbewahrungsfrist darf nicht länger sein als es für die Zwecke, zu denen die Daten verarbeitet werden, notwendig und verhältnismäßig ist. (5)

Artikel 4

Gründe für Beschränkungen

(1)   Beschränkungen werden vom Gemeinsamen Unternehmen S2R nur vorgenommen, um Folgendes zu garantieren:

a)

die nationale Sicherheit, die öffentliche Sicherheit oder die Landesverteidigung der Mitgliedstaaten;

b)

die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

c)

sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

d)

die innere Sicherheit der Organe und Einrichtungen der Union, einschließlich ihrer elektronischen Kommunikationsnetze;

e)

die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;

f)

Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a bis c genannten Fällen verbunden sind;

g)

den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

h)

die Durchsetzung zivilrechtlicher Ansprüche.

(2)   Im Rahmen einer spezifischen Anwendung zu den oben in Absatz 1 genannten Zwecken kann das Gemeinsame Unternehmen S2R unter den folgenden Voraussetzungen Beschränkungen vornehmen:

a)

im Falle personenbezogener Daten, die mit Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union ausgetauscht werden:

sofern die Dienststelle der Kommission, das Organ, die Einrichtung oder die sonstige Stelle der Union aufgrund anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder gemäß Kapitel IX der genannten Verordnung oder gemäß den Gründungsakten der betreffenden Organe, Einrichtungen oder sonstigen Stellen der Union befugt ist, die Ausübung der aufgeführten Rechte zu beschränken;

sofern der Zweck der von der Dienststelle der Kommission, dem Organ, der Einrichtung oder der sonstigen Stelle der Union vorgenommenen Beschränkung gefährdet wäre, falls das Gemeinsame Unternehmen S2R hinsichtlich der betreffenden personenbezogenen Daten keine entsprechende Beschränkung vornähme.

b)

im Falle personenbezogener Daten, die mit zuständigen Behörden von Mitgliedstaaten ausgetauscht werden:

sofern die zuständigen Behörden der Mitgliedstaaten aufgrund in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (6) genannter Rechtsakte oder nach nationalen Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (7) befugt sind, die Ausübung der aufgeführten Rechte zu beschränken;

sofern der Zweck der von der zuständigen Behörde vorgenommenen Beschränkung gefährdet wäre, falls das Gemeinsame Unternehmen S2R hinsichtlich der betreffenden personenbezogenen Daten keine entsprechende Beschränkung vornähme.

c)

im Falle personenbezogener Daten, die mit Drittländern oder internationalen Organisationen ausgetauscht werden: sofern es klare Beweise dafür gibt, dass die Ausübung dieser Rechte und Pflichten in der Wahrnehmung seiner Aufgaben die Zusammenarbeit des Gemeinsamen Unternehmens S2R mit Drittländern oder internationalen Organisationen wahrscheinlich beeinträchtigen würde.

Bevor Beschränkungen unter den in Buchstaben a und b des ersten Unterabsatzes genannten Voraussetzungen vorgenommen werden, muss das Gemeinsame Unternehmen S2R die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten konsultieren, es sei denn, für das Gemeinsame Unternehmen S2R ist klar, dass die Vornahme der Beschränkung in einem der Rechtsakte vorgesehen ist, die in den beiden Buchstaben genannt sind.

Artikel 5

Beschränkungen und Rechte betroffener Personen

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche die folgenden Rechte im Rahmen der in Artikel 1 Absatz 2 und unten in Absatz 2 aufgeführten Verarbeitungsvorgänge, soweit notwendig und verhältnismäßig, beschränken:

a)

das Recht auf Unterrichtung;

b)

das Recht auf Auskunft;

c)

das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung;

d)

das Recht der betroffenen Person auf Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten;

e)

das Recht auf Vertraulichkeit der elektronischen Kommunikation.

(2)   m Hinblick auf die in Artikel 4 Absatz 1 garantierten Schutzzwecke kann der Verantwortliche in hinreichend begründeten Fällen Beschränkungen vornehmen, die die folgenden in Artikel 1 Absatz 2 genannten Verarbeitungsvorgänge betreffen:

a)

die Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;

b)

vorläufige Aktivitäten wegen dem OLAF gemeldeter Fälle möglicher Unregelmäßigkeiten;

c)

Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing);

d)

(formelle und informelle) Verfahren wegen Mobbing/Belästigung;

e)

die Bearbeitung interner und externer Beschwerden;

f)

interne Prüfungen (Audits);

g)

vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;

h)

intern oder unter externer Mitwirkung (z. B. durch das CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen;

i)

Verarbeitungsvorgänge im Rahmen der Finanzhilfeverwaltung oder des öffentlichen Auftragswesens nach dem Schlusstermin für die Angebotseinreichung oder der Ausschreibung.

(3)   Im Falle von Verfahren wegen Mobbing/Belästigung können die in Absatz 1 genannten Rechte — mit Ausnahme des in Absatz 1 Buchstabe d genannten Rechts auf Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten — unter denselben Voraussetzungen beschränkt werden.

(4)   Im Falle von Verfahren, die die Finanzhilfeverwaltung oder das öffentliche Auftragswesen betreffen, können die in Absatz 1 genannten Rechte — mit Ausnahme des in Absatz 1 Buchstabe c genannten Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung — unter denselben Voraussetzungen beschränkt werden.

(5)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung, außer in den in den Absätzen 3 und 4 vorgesehenen Ausnahmefällen, beschränken.

(6)   Soweit das Gemeinsame Unternehmen S2R die Anwendung der in den Absätzen 1, 3, 4 und 5 genannten Rechte ganz oder zum Teil beschränkt, ist nach den Artikeln 6 und 7 dieses Beschlusses zu verfahren.

(7)   Von Betroffenen gestellte Anträge gemäß Artikel 17 der Verordnung (EU) 2018/1725 auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten im Zusammenhang mit einem oder mehreren spezifischen Fällen oder einem bestimmten Verarbeitungsvorgang werden vom Gemeinsamen Unternehmen S2R ausschließlich im Hinblick auf die betreffenden personenbezogenen Daten geprüft.

Artikel 6

Notwendigkeit und Verhältnismäßigkeit von Beschränkungen

(1)   Jede auf Artikel 4 beruhende Beschränkung muss notwendig und im Hinblick auf die Risiken für die Rechte und Freiheiten der betroffenen Personen verhältnismäßig sein und den Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft achten.

(2)   Wird eine Beschränkung in Erwägung gezogen, so ist deren Notwendigkeit und Verhältnismäßigkeit auf Grundlage der vorliegenden Vorschriften zu prüfen. Diese Prüfung ist auch im Rahmen der regelmäßigen Überprüfung vorzunehmen, und zwar im Anschluss an die Prüfung des Vorliegens der tatsächlichen und rechtlichen Voraussetzungen für die Beschränkung. Zu Rechenschaftszwecken ist dies in jedem Einzelfall in einem internen Bewertungsvermerk zu dokumentieren.

(3)   Beschränkungen gelten nur vorübergehend. Sie bleiben so lange in Kraft, wie die sie rechtfertigenden Gründe weiterhin vorliegen. Insbesondere, wenn nicht mehr anzunehmen ist, dass die Ausübung des beschränkten Rechts die Wirkung der vorgenommenen Beschränkung zunichtemachen oder die Rechte oder Freiheiten anderer betroffener Personen beeinträchtigen würde.

Die Überprüfung der vorgenommenen Beschränkung durch das Gemeinsame Unternehmen S2R erfolgt alle sechs Monate nach ihrer Vornahme sowie bei Abschluss der jeweiligen Prüfungen, Verfahren oder Untersuchungen. Danach überwacht der Verantwortliche alle sechs Monate, ob die Aufrechterhaltung von Beschränkungen weiterhin notwendig ist.

(4)   Wenn das Gemeinsame Unternehmen S2R Rechte ganz oder zum Teil nach Artikel 4 dieses Beschlusses beschränkt, sind die Gründe für die Beschränkung sowie die Rechtsgrundlage gemäß obigem Absatz 1 einschließlich der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung in einem Vermerk festzuhalten.

Der Vermerk sowie gegebenenfalls die Unterlagen, die die tatsächlichen und rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Verlangen zur Verfügung gestellt.

Artikel 7

Informationspflicht

(1)   In die auf der Website und/oder im Intranet des Gemeinsamen Unternehmens S2R veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Aufzeichnungen im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, in denen betroffene Personen über ihre Rechte im Rahmen eines gegebenen Verfahrens informiert werden, nimmt das Gemeinsame Unternehmen S2R Informationen über die mögliche Beschränkung dieser Rechte auf. Darin ist darüber zu informieren, welche Rechte aus welchen Gründen und für welche Dauer eingeschränkt werden können.

Unbeschadet der Bestimmungen in Artikel 6 Absatz 4 informiert das Gemeinsame Unternehmen S2R, sofern dies verhältnismäßig ist, auch alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, einzeln, unverzüglich und schriftlich über gegenwärtige oder künftige Beschränkungen ihrer Rechte.

(2)   Werden in Artikel 5 genannte Rechte vom Gemeinsamen Unternehmen S2R ganz oder zum Teil beschränkt, unterrichtet es die jeweilige betroffene Person über die vorgenommene Beschränkung und die Hauptgründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

Die Unterrichtung nach Absatz 2 kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 vorgenommenen Beschränkung zunichtemachen würde.

Artikel 8

Überprüfung durch den Datenschutzbeauftragten

(1)   Das Gemeinsame Unternehmen S2R unterrichtet den Datenschutzbeauftragten des Gemeinsame Unternehmen S2R (im Folgenden: DSB) unverzüglich, wenn der für die Verarbeitung Verantwortliche Rechte betroffener Personen gemäß diesem Beschluss beschränkt oder deren Beschränkung verlängert. Der für die Verarbeitung Verantwortliche gewährt dem DSB Zugang zu dem Verzeichnis, das die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthält, und dokumentiert das Datum, an dem der DSB informiert wurde, im Verzeichnis.

(2)   Der DSB kann den Verantwortlichen schriftlich auffordern, die vorgenommenen Beschränkungen zu überprüfen. Der für die Verarbeitung Verantwortliche unterrichtet den DSB schriftlich über das Ergebnis der Überprüfung.

(3)   Der DSB ist in das gesamte Verfahren einzubeziehen. Der Verantwortliche unterrichtet den DSB über die Aufhebung der Beschränkung.

Artikel 9

Inkrafttreten

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Geschehen zu Brüssel am 26. März 2020.

Für den Verwaltungsrat des Gemeinsamen Unternehmens S2R

Henrik HOLOLEI

Vorsitzender


(1)  ABl. C 202 vom 7.6.2016, S. 47.

(2)  ABl. L 295 vom 21.11.2018, S. 39.

(3)  ABl. L 177 vom 17.6.2014, S. 9.

(4)  Handelt es sich um gemeinsam Verantwortliche, erfolgt die Datenverarbeitung mit den Mitteln und zu den Zwecken, die in der von den gemeinsam Verantwortlichen gemäß Artikel 28 der Verordnung (EU) 2018/1725 geschlossenen einschlägigen Vereinbarung festgelegt sind.

(5)  Die für das GU S2R geltenden Aufbewahrungsregeln wurden auf Grundlage der Gemeinsamen Aufbewahrungsliste für die Aufbewahrung der Akten in der Kommission aufgestellt; in diesem Rechtsdokument (die letzte Fassung ist SEC(2019)900) in Form eines Zeitplans sind die Aufbewahrungsfristen für die verschiedenen Arten von Kommissionsakten festgelegt.

(6)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(7)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).


Top