(1)   Die Kommission

(2)   Das Informationssystem wird von den Marktteilnehmern und Händlern sowie gegebenenfalls deren Bevollmächtigten für die Übermittlung und Verwaltung von Sorgfaltserklärungen sowie zur Überprüfung der Gültigkeit von Referenznummern und von den zuständigen Behörden, Zollbehörden und der Kommission für den Zugang zu und die Verwaltung von Sorgfaltserklärungen verwendet, einschließlich des Austauschs von Informationen, die personenbezogene Daten enthalten, zwischen den zuständigen Behörden, Zollbehörden und der Kommission im Zusammenhang mit der Umsetzung und Durchsetzung der Verordnung (EU) 2023/1115. Ein solcher Informationsaustausch entspricht den in den Verordnungen (EU) 2016/679 und (EU) 2018/1725 enthaltenen Vorschriften über den Schutz personenbezogener Daten.

(3)   Die Sorgfaltserklärungen werden den zuständigen Behörden im Informationssystem in folgender Reihenfolge zugewiesen:

(1)   Außer in Fällen, in denen die Sorgfaltserklärung über die in Artikel 28 Absatz 2 der Verordnung (EU) 2023/1115 genannte elektronische Schnittstelle übermittelt wird, übermitteln und verwalten die Informationssystem-Nutzer die Sorgfaltserklärungen relevanter Erzeugnisse im Informationssystem.

(2)   Enthält ein relevantes Erzeugnis Holz oder wurde es unter Verwendung von Holz hergestellt, so geben die Informationssystem-Nutzer in der Sorgfaltserklärung die gebräuchlichen Namen und den vollständigen wissenschaftlichen Namen der entsprechenden Art des Holzes an.

(1)   Informationssystem-Nutzer müssen Sorgfaltserklärungen innerhalb von 72 Stunden nach Bereitstellung der Referenznummer für die Sorgfaltserklärung im Informationssystem ändern oder widerrufen können.

(2)   Sorgfaltserklärungen können nicht innerhalb der in Absatz 1 genannten Frist geändert oder widerrufen werden, nachdem die Sorgfaltserklärung als Referenz in einer von demselben oder einem anderen Informationssystem-Nutzer vorgelegten Sorgfaltserklärung verwendet wurde.

(3)   Nach folgenden Ereignissen darf die Sorgfaltserklärung von einem Informationssystem-Nutzer weder geändert noch widerrufen werden:

(4)   Unbeschadet der Absätze 2 und 3 können die zuständigen Behörden auf individuellen und begründeten Antrag eines Informationssystem-Nutzers die in Absatz 1 genannte Frist verlängern, vorausgesetzt, die genannte Frist ist abgelaufen. Die Frist darf um höchstens acht Kalendertage verlängert werden. Dem Antrag müssen Gründe zugrunde liegen, die sich der Kontrolle des Informationssystem-Nutzers entziehen, wobei der Nutzer in seinem begründeten Antrag darauf hinweist, dass Absatz 3 dieses Artikels nicht anwendbar ist. Eine solche Verlängerung ist auch rückwirkend nach Ablauf der in Absatz 1 genannten Frist möglich.

(5)   Für die geänderte Sorgfaltserklärung wird ein Risikoprofil gemäß Artikel 6 erstellt. Das erstellte Risikoprofil betrifft die gesamte geänderte Sorgfaltspflichterklärung.

(1)   Die zuständigen Behörden müssen die Möglichkeit haben, Situationen im Informationssystem zu ermitteln, in denen das Risiko von Verstößen bei relevanten Erzeugnissen so hoch ist, dass sofortiger Handelsbedarf besteht, bevor diese relevanten Erzeugnisse gemäß Artikel 17 der Verordnung (EU) 2023/1115 in Verkehr gebracht oder auf dem Markt bereitgestellt oder ausgeführt werden, und die zuständigen Behörden über durchzuführende Kontrollen und Aufgaben zu informieren, die ihnen gemäß Kapitel 3 der Verordnung (EU) 2023/1115 übertragen wurden.

(2)   Für die Zwecke von Absatz 1 müssen die zuständigen Behörden die Möglichkeit haben, Risikoprofile im Informationssystem zu erstellen, um fundierte Entscheidungen für die Auswahl von Marktteilnehmern oder Händlern bzw. von mit der Sorgfaltserklärung verbundenen relevanten Erzeugnissen, für die eine Kontrolle durchgeführt werden soll, zu treffen. Diese Risikoprofile stützen sich unter anderem auf die Risikokriterien, die im Einklang mit ihrem risikobasierten Ansatz gemäß Artikel 16 Absatz 3 der Verordnung (EU) 2023/1115 in ihrem gemäß Artikel 16 Absatz 5 der Verordnung (EU) 2023/1115 erstellten Jahresplan festgelegt sind.

(3)   Nach der Übermittlung über das Informationssystem wird für jede Sorgfaltserklärung ein automatisches elektronisches Risikoprofil erstellt und jeder Sorgfaltserklärung wird vom Informationssystem ein Risikostatus zugewiesen.

(4)   Die zuständigen Behörden können Sorgfaltserklärungen in jeder Phase nach der Einreichung einer Sorgfaltserklärung überprüfen, um festzustellen, ob ein relevantes Erzeugnis Artikel 3 der Verordnung (EU) 2023/1115 entspricht. In diesem Fall können sie der Sorgfaltserklärung infolge der Überprüfung einen neuen Risikostatus zuweisen. Weist die zuständige Behörde einer Sorgfaltserklärung einen neuen Risikostatus zu, so hat dieser neue Risikostatus Vorrang vor einem gemäß Absatz 3 dieses Artikels zugewiesenen Risikostatus.

(1)   Der vom Informationssystem-Nutzer übermittelten Sorgfaltserklärung wird nach Erstellung des Risikoprofils gemäß Artikel 6 unverzüglich eine Referenznummer und eine Prüfnummer vom Informationssystem zugewiesen.

(2)   Die Referenznummer und die Prüfnummer werden dem Informationssystem-Nutzer nach Erstellung des Risikoprofils gemäß Artikel 6 bereitgestellt.

(3)   Die zuständigen Behörden können die Bereitstellung der Referenznummer im Informationssystem verzögern, um festzustellen, ob die relevanten Erzeugnisse Artikel 3 der Verordnung (EU) 2023/1115 entsprechen sowie insbesondere um sicherzustellen, dass die ermittelte Situation gemäß Artikel 6 Absatz 1 der vorliegenden Verordnung nicht auf dieses relevante Erzeugnis zutrifft. Diese Verzögerung muss so kurz wie möglich gehalten werden und darf den in Artikel 17 Absatz 3 der Verordnung (EU) 2023/1115 genannten Zeitraum nicht überschreiten. Nach Ermessen der zuständigen Behörde ist eine weitere Verlängerung möglich.

(1)   Damit relevante Erzeugnisse, die nicht der Verordnung (EU) 2023/1115 entsprechen, gemäß Artikel 17 der Verordnung (EU) 2023/1115 nicht in Verkehr gebracht oder auf dem Markt bereitgestellt oder ausgeführt werden, können die zuständigen Behörden Sorgfaltserklärungen abweisen, es sei denn die Referenznummer einer Sorgfaltserklärung wurde dem Informationssystem-Nutzer bereits bereitgestellt.

(2)   Das in einer abgewiesenen Sorgfaltserklärung angemeldete Erzeugnis gilt als Erzeugnis, für das keine Sorgfaltserklärung gemäß Artikel 3 Buchstabe c der Verordnung (EU) 2023/1115 vorliegt.

(3)   Die Abweisung ist im Informationssystem durch die Zuweisung eines spezifischen Status für die entsprechende Sorgfaltserklärung zu kennzeichnen.

(1)   Nur registrierte Informationssystem-Nutzer haben Zugriff auf das Informationssystem.

(2)   Die Authentifizierung im Informationssystem erfolgt über EU Login, den Authentifizierungsdienst der Europäischen Kommission.

(3)   Über die Referenz- und Prüfnummern der zugehörigen Sorgfaltserklärungen haben die Informationssystem-Nutzer Zugriff auf die Informationen im Informationssystem, die sie übermittelt haben oder auf die ihnen von einem anderen Informationssystem-Nutzer Zugriff gewährt wurde.

(1)   Die Kommission hat zum Zwecke der Erstellung von Berichten sowie für die Entwicklung, den Betrieb und die Pflege des Systems Zugriff auf alle Daten, Informationen und Dokumente im Informationssystem.

(2)   Die Kommission gewährt den Informationssystem-Akteuren Zugriffsrechte und kann diese widerrufen, wenn sich die Zuständigkeiten gemäß Artikel 14 Absatz 2 der Verordnung (EU) 2023/1115 geändert haben.

(3)   Die Authentifizierung im Informationssystem erfolgt über EU Login, den Authentifizierungsdienst der Europäischen Kommission.

(4)   Die Informationssystem-Akteure treffen geeignete Vorkehrungen, um sicherzustellen, dass einzelne Nutzer, bei denen es sich um Informationssystem-Akteure handelt, auf im Informationssystem verarbeitete personenbezogene Daten nur dann zugreifen können, wenn dies für die Umsetzung und Durchsetzung der Verordnung (EU) 2023/1115 unbedingt notwendig ist.

(5)   Informationssystem-Akteure haben Zugriff auf alle relevanten Informationen im Informationssystem, die zur Erfüllung ihrer Pflichten und Aufgaben gemäß der Verordnung (EU) 2023/1115 erforderlich sind.

(1)   Die Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten im Informationssystem darf nur soweit sie erforderlich und verhältnismäßig ist und nur zu folgenden Zwecken erfolgen:

(2)   Die Verarbeitung personenbezogener Daten darf im Informationssystem nur in Bezug auf die folgenden Kategorien personenbezogener Daten erfolgen:

(3)   Im Informationssystem werden personenbezogene Daten der in Absatz 2 aufgeführten Kategorien gespeichert, die zur Umsetzung und Durchsetzung der Verordnung (EU) 2023/1115 verarbeitet wurden.

(4)   Die in Absatz 2 genannte Datenspeicherung erfolgt mithilfe von IT-Infrastrukturen, die sich im Europäischen Wirtschaftsraum befinden.

(5)   Die in den Sorgfaltserklärungen enthalten personenbezogenen Daten werden im Informationssystem für einen Zeitraum von höchstens zehn Jahren ab dem Zeitpunkt gespeichert, zu dem die Sorgfaltserklärung im Informationssystem übermittelt wurde. Die Speicherfrist kann von der Kommission auf individuellen Antrag von Informationssystem-Nutzern oder -Akteuren verlängert werden, wenn dies zur Erfüllung ihrer Aufgaben und Pflichten gemäß der Verordnung (EU) 2023/1115 erforderlich ist.

(6)   Unbeschadet der in Artikel 14 genannten Datenverarbeitungstätigkeiten gilt jeder Informationssystem-Akteur als separater Verantwortlicher im Sinne der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725, was die von ihm ausgeführten Datenverarbeitungstätigkeiten anbelangt.

(7)   Die nationalen Aufsichtsbehörden und der Europäische Datenschutzbeauftragte gewährleisten im Rahmen ihrer jeweiligen Befugnisse eine koordinierte Überwachung des Informationssystems und dessen Nutzung durch Informationssystem-Akteure und -Nutzer gemäß Artikel 62 der Verordnung (EU) 2018/1725.

(1)   Die Kommission gilt in Bezug auf die Verarbeitung personenbezogener Daten der Informationssystem-Nutzer sowie in Bezug auf die Verarbeitung bei der Registrierung von Informationssystem-Nutzern im Informationssystem als Verantwortliche im Sinne von Artikel 3 Nummer 8 der Verordnung (EU) 2018/1725.

(2)   Wenn die Kommission beim Betrieb des Informationssystems personenbezogene Daten im Namen anderer Informationssystem-Akteure zu Zwecken des Informationsaustauschs gemäß Artikel 27 der Verordnung (EU) 2023/1115 verarbeitet, gilt sie als Auftragsverarbeiterin im Sinne von Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725.

(3)   Die Kommission gilt als Auftragsverarbeiterin im Sinne des Artikels 3 Nummer 12 der Verordnung (EU) 2018/1725 bezüglich der Verarbeitung personenbezogener Daten für gemeinsame Untersuchungen gemäß Artikel 21 der Verordnung (EU) 2023/1115, die im Zusammenhang mit der Umsetzung und Durchsetzung der Verordnung (EU) 2023/1115 durchgeführt werden.

(1)   Die Kommission trifft die erforderlichen, dem Stand der Technik entsprechenden Maßnahmen, um die Sicherheit der im Informationssystem verarbeiteten personenbezogenen Daten zu gewährleisten, einschließlich einer angemessenen Datenzugangskontrolle und eines Sicherheitsplans, der regelmäßig zu aktualisieren ist.

(2)   Die Kommission trifft die erforderlichen, dem Stand der Technik entsprechenden Maßnahmen im Hinblick auf Sicherheitsvorfälle, ergreift Abhilfemaßnahmen und stellt sicher, dass überprüft werden kann, welche personenbezogenen Daten wann, von wem und zu welchem Zweck im Informationssystem verarbeitet wurden.

(3)   Die Kommission unterrichtet die zuständigen Behörden über die Maßnahmen gemäß den Absätzen 1 und 2 dieses Artikels.

(1)   Alle Mitgliedstaaten und die Kommission wenden ihre eigenen Vorschriften zur Wahrung des Berufsgeheimnisses oder vergleichbarer Vertraulichkeitspflichten im Zusammenhang mit dem Informationssystem im Einklang mit nationalem Recht bzw. dem Unionsrecht an.

(2)   Jeder Informationssystem-Akteur stellt sicher, dass die unter seiner Verantwortung tätigen Personen den Ersuchen anderer Informationssystem-Akteure um vertrauliche Behandlung von über das Informationssystem ausgetauschten Informationen nachkommen.

(1)   Die Kommission stellt das Informationssystem in allen Amtssprachen der Union zur Verfügung.

(2)   Informationssystem-Akteure können im Zusammenhang mit der Wahrnehmung der ihnen gemäß der Verordnung (EU) 2023/1115 übertragenen Aufgaben alle im Informationssystem erhaltenen Informationen, Dokumente, Erkenntnisse, Erklärungen oder beglaubigten Kopien auf der gleichen Grundlage vorlegen und verwenden wie ähnliche Informationen, die sie im eigenen Land erhalten haben, und zwar zu Zwecken, die mit den Zwecken vereinbar sind, für die die Daten ursprünglich erhoben wurden, und im Einklang mit dem einschlägigen nationalen Recht und EU-Recht.

(1)   Die Kosten für die Einrichtung, die Pflege und den Betrieb des Informationssystems werden von der Kommission getragen.

(2)   Die Kosten für das Informationssystem auf der Ebene der Mitgliedstaaten, einschließlich der Personalkosten für Schulungen, Bekanntmachung und technischen Support, sowie die Kosten für die Nutzung des Informationssystems auf nationaler Ebene und etwaige Anpassungen nationaler Netze und Informationssysteme werden von dem Mitgliedstaat getragen, dem sie entstehen.