EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019Q1025(01)

Beschluss der Europäischen Behörde für Lebensmittelsicherheit vom 19. Juni 2019 über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der EFSA

ABl. L 272 vom 25.10.2019, p. 154–161 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/proc_rules/2019/1025/oj

25.10.2019   

DE

Amtsblatt der Europäischen Union

L 272/154


BESCHLUSS DER EUROPÄISCHEN BEHÖRDE FÜR LEBENSMITTELSICHERHEIT

vom 19. Juni 2019

über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der EFSA

DER VERWALTUNGSRAT —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere Artikel 25,

gestützt auf die Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates vom 28. Januar 2002 zur Festlegung der allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts, zur Errichtung der Europäischen Behörde für Lebensmittelsicherheit und zur Festlegung von Verfahren zur Lebensmittelsicherheit (2), insbesondere Artikel 25, 26 und 48,

gestützt auf die Geschäftsordnung des Verwaltungsrats der EFSA (3), insbesondere Artikel 8,

gestützt auf die Stellungnahme des Europäischen Datenschutzbeauftragten („EDSB“) vom 14. Mai 2019 und auf die Leitlinien des Europäischen Datenschutzbeauftragten zu Artikel 25 der neuen Verordnung und den internen Vorschriften,

nach Anhörung der Personalvertretung,

in Erwägung nachstehender Gründe:

(1)

Die EFSA übt ihre Tätigkeiten gemäß ihrer Gründungsverordnung (EG) Nr. 178/2002 aus.

(2)

Gemäß Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 sollten Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 dieser Verordnung insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, auf von der EFSA zu erlassenden internen Vorschriften beruhen, wenn diese nicht auf Rechtsakten basieren, die auf der Grundlage der Verträge erlassen wurden.

(3)

Diese internen Vorschriften, einschließlich ihrer Bestimmungen über die Beurteilung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung, sollten nicht gelten, wenn eine Beschränkung von Rechten Betroffener durch einen auf der Grundlage der Verträge erlassenen Rechtsakt vorgesehen ist.

(4)

Wenn die EFSA ihre Pflichten bezüglich Rechten betroffener Personen gemäß der Verordnung (EU) 2018/1725 erfüllt, ist zu berücksichtigen, ob etwaige der in dieser Verordnung vorgesehenen Ausnahmen Geltung haben.

(5)

Im Rahmen ihrer Verwaltungstätigkeit ist die EFSA befugt, Verwaltungsuntersuchungen, Disziplinarverfahren und vorläufige Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, durchzuführen, Meldungen von Missständen zu bearbeiten, (formelle und informelle) Verfahren zur Prävention von Belästigung zu bearbeiten, interne und externe Beschwerden zu bearbeiten, interne Audits durchzuführen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 und interne (IT-)Sicherheitsüberprüfungen durchzuführen.

Die EFSA verarbeitet mehrere Kategorien personenbezogener Daten, einschließlich harter Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weicher Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(6)

Die EFSA, vertreten durch ihren geschäftsführenden Direktor, ist der für die Verarbeitung Verantwortliche, unabhängig von weiteren Delegierungen dieser Rolle innerhalb der EFSA zur Berücksichtigung betrieblicher Zuständigkeiten für spezifische Verarbeitungsvorgänge und personenbezogene Daten.

(7)

Die personenbezogenen Daten werden sicher in einem elektronischen Umfeld oder in Papierform aufbewahrt, um den unrechtmäßigen Zugang oder die Übermittlung von Daten an Personen die keine Kenntnis davon haben müssen, zu verhindern. Die verarbeiteten personenbezogenen Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und angemessen ist und für die in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen der EFSA angegebenen Dauer.

(8)

Die internen Vorschriften sollten für alle Verarbeitungsvorgänge gelten, die von der EFSA zur Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufigen Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, Meldungen von Missständen (Whistleblowing), (formellen und informellen) Verfahren in Bezug auf Mobbing, der Bearbeitung von internen und externen Beschwerden, internen Audits, der Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder externer Beteiligung (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen ausgeführt werden.

(9)

Diese internen Vorschriften sollten für Verarbeitungsvorgänge gelten, die vor der Einleitung der vorstehend genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen vorgenommen werden. Dies sollte auch die von der EFSA für nationale Behörden und internationale Organisationen außerhalb ihrer administrativen Untersuchungen geleistete Unterstützung und Zusammenarbeit umfassen.

(10)

Wenn diese internen Vorschriften Anwendung finden, legt die EFSA die Gründe dafür dar und erläutert, warum jegliche Beschränkung in einer demokratischen Gesellschaft eine unbedingt erforderliche und verhältnismäßige Maßnahme darstellt und den Wesensgehalt der Grundrechte und -freiheiten achtet.

(11)

In diesem Rahmen achtet die EFSA in größtmöglichem Umfang die Grundrechte der betroffenen Personen bei der Durchführung der vorstehend genannten Verfahren, insbesondere jene im Zusammenhang mit dem Recht auf Unterrichtung, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen oder Vertraulichkeit der Kommunikation, wie in der Verordnung (EU) 2018/1725 festgelegt.

(12)

Die EFSA kann jedoch verpflichtet sein, die Unterrichtung betroffener Personen und Rechte anderer betroffener Personen zu beschränken, um insbesondere ihre eigenen Untersuchungen, die Untersuchungen und Verfahren anderer Behörden sowie die Rechte und Freiheiten anderer Personen im Zusammenhang mit ihren Untersuchungen oder anderen Verfahren zu schützen.

(13)

Die EFSA kann daher die Unterrichtung zum Zweck des Schutzes der Untersuchung sowie der Grundrechte und -freiheiten anderer betroffener Personen beschränken.

(14)

Die EFSA sollte regelmäßig überprüfen, dass die Voraussetzungen, welche die Beschränkung rechtfertigen, erfüllt sind, und die Beschränkung aufheben, soweit diese nicht länger gegeben sind.

(15)

Der für die Verarbeitung Verantwortliche sollte den Datenschutzbeauftragten zum Zeitpunkt einer Zurückstellung und während der Überprüfungen unterrichten —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Gegenstand und Anwendungsbereich

(1)   Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die EFSA im Rahmen ihrer unter Absatz 2 aufgeführten Verfahren die Anwendung der Rechte beschränken darf, die in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 davon unter Beachtung von Artikel 25 der Verordnung (EU) 2018/1725 vorgesehen sind.

(2)   Im Rahmen der administrativen Tätigkeit der EFSA gilt dieser Beschluss für die Verarbeitungsvorgänge an personenbezogenen Daten durch die Behörde für folgende Zwecke: Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufigen Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten, Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), (formellen und informellen) Verfahren in Bezug auf Mobbing, der Bearbeitung von internen und externen Beschwerden, internen Audits, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder mit externer Beteiligung (z. B. CERT-EU) gehandhabten (IT)-Sicherheitsuntersuchungen.

(3)   Die betroffenen Datenkategorien sind harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Beweisführung, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(4)   Wenn die EFSA ihre Pflichten bezüglich Rechten Betroffener gemäß Verordnung (EU) 2018/1725 erfüllt, ist zu berücksichtigen, ob etwaige der in dieser Verordnung vorgesehenen Ausnahmen Geltung haben.

(5)   Vorbehaltlich der in diesem Beschluss festgelegten Bedingungen können die Beschränkungen für die folgenden Rechte gelten: Recht auf Unterrichtung der betroffenen Personen, Auskunft zu und Berichtigung von personenbezogenen Daten, Löschung, Einschränkung der Verarbeitung, des Rechts zu Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an den Betroffenen oder auf Vertraulichkeit der elektronischen Kommunikation.

Artikel 2

Verantwortlicher und Schutzmaßnahmen

(1)   Zur Vermeidung von Verletzungen des Schutzes personenbezogener Daten, Datenverlusten oder unbefugtem Zugang zu personenbezogenen Daten bestehen die folgenden Garantien:

a)

Dokumente in Papierform werden in gesicherten Schränken aufbewahrt und ausschließlich befugtem Personal zugänglich gemacht.

b)

Alle elektronischen Daten werden in einer sicheren IT-Anwendung gemäß den Sicherheitsstandards der EFSA sowie in speziellen elektronischen Ordnern gespeichert, die ausschließlich befugtem Personal zugänglich sind. Angemessene Zugangsrechte werden individuell gewährt.

c)

Die Datenbanken sind passwortgeschützt unter einem Single-Sign-on-System, automatisch mit der ID und dem Passwort des Benutzers verbunden sowie durch ein sicheres Zugangsmanagementsystem unterstützt. E-Aufzeichnungen werden sicher aufbewahrt, um die Vertraulichkeit und den Schutz der darin enthaltenen Daten zu garantieren.

d)

Alle Personen, die Zugang zu den Daten haben, sind zur Geheimhaltung verpflichtet.

(2)   Der für die Verarbeitung Verantwortliche ist die EFSA, vertreten durch ihren geschäftsführenden Direktor, der die Funktion des Verantwortlichen delegieren kann. Betroffene Personen werden über den delegierten Verantwortlichen in Form von Datenschutzhinweisen oder -aufzeichnungen unterrichtet, die auf der Website, im Intranet-Portal und/oder im Dienstleistungskatalog der EFSA veröffentlicht werden.

(3)   Die Aufbewahrungsfrist der in Artikel 1 Absatz 3 genannten personenbezogenen Daten darf nicht länger als erforderlich sein und muss für die Zwecke, zu denen die Daten verarbeitet werden, angemessen sein. Auf jeden Fall ist er nicht länger als der in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen gemäß Artikel 5 Absatz 1 angegebene Speicherungszeitraum.

(4)   Wenn die EFSA einer Beschränkung in Erwägung zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Personen abgewogen, insbesondere gegen die Risiken für die Rechte und Freiheiten anderer betroffener Personen sowie die Gefahr des Zunichtemachens der Wirkung der von der EFSA durchgeführten Ermittlungen oder Verfahren, z. B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten der betroffenen Person betreffen in erster Linie jedoch Reputationsrisiken und Risiken für das Verteidigungsrecht und des Anspruchs auf rechtliches Gehör, ohne darauf beschränkt zu sein.

Artikel 3

Beschränkungen

(1)   Beschränkungen werden von der EFSA nur zu folgenden Zwecken vorgenommen:

a)

zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

b)

sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

c)

zur inneren Sicherheit der Organe und Einrichtungen der Union, einschließlich ihrer elektronischen Kommunikationsnetze;

d)

zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen;

e)

zu einer Kontroll-, Überwachungs- und Ordnungsfunktion, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Punkten a) und b) genannten Fällen verbunden sind;

f)

zum Schutz der betroffenen Person oder der Rechte und Freiheiten Dritter.

(2)   Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die EFSA unter den folgenden Umständen Beschränkungen für personenbezogene Daten anwenden, die mit den Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, den zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden:

a)

wenn die Ausübung dieser Rechte und Pflichten durch die Dienststellen der Kommission oder andere Organe, Einrichtungen und sonstige Stellen der Union auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder gemäß Kapitel IX der genannten Verordnung oder gemäß den Gründungsakten anderer Organe, Einrichtungen und sonstiger Stellen der Union beschränkt werden könnte;

b)

wenn die Ausübung dieser Rechte und Pflichten von den zuständigen Behörden der Mitgliedstaaten auf der Grundlage von in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) genannten Rechtsakten oder im Rahmen nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (5) beschränkt werden könnte;

c)

wenn die Ausübung dieser Rechte und Pflichten die Zusammenarbeit der EFSA mit Drittländern oder internationalen Organisationen bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnte.

Vor der Anwendung von Beschränkungen unter den in den vorstehenden Punkten a) und b) genannten Umständen konsultiert die EFSA die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, der EFSA ist klar, dass die Anwendung einer Beschränkung durch einen der in diesen Punkten genannten Rechtsakte vorgesehen ist.

(3)   Jede Beschränkung muss eine notwendige und verhältnismäßige Maßnahme darstellen und die Risiken für die Rechte und Freiheiten betroffener Personen und den Wesensgehalt der Grundrechte und -freiheiten in einer demokratischen Gesellschaft achten.

(4)   Wenn die Anwendung einer Beschränkung in Betracht gezogen wird, wird eine Prüfung auf Notwendigkeit und Verhältnismäßigkeit auf der Grundlage der vorliegenden Vorschriften durchgeführt. Zu Rechenschaftszwecken wird dies von Fall zu Fall mittels einer internen Beurteilungsmitteilung dokumentiert.

(5)   Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gelten, insbesondere wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirksamkeit der verhängten Beschränkung oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigt. In diesem Fall werden die Beschränkungen so bald wie möglich und in der Regel innerhalb von fünf Arbeitstagen nach Änderung der rechtlichen oder tatsächlichen Umstände aufgehoben.

Artikel 4

Überprüfung durch den Datenschutzbeauftragten

(1)   Die EFSA informiert den Datenschutzbeauftragten der EFSA („DSB“) unverzüglich, wenn der für die Verarbeitung Verantwortliche gemäß diesem Beschluss die Anwendung der Rechte betroffener Personen beschränkt oder die Beschränkung verlängert. Der für die Verarbeitung Verantwortliche gewährt dem DSB Zugang zu dem Verzeichnis, das die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthält, und dokumentiert das Datum, an dem der DSB informiert wurde, in der Auszeichnung.

(2)   Der DSB kann schriftlich von dem für die Verarbeitung Verantwortlichen eine Überprüfung der vorgenommenen Beschränkungen fordern. Der für die Verarbeitung Verantwortliche unterrichtet den DSB schriftlich über das Ergebnis der Überprüfung.

(3)   Der DSB wird von dem für die Verarbeitung Verantwortlichen informiert, wenn die Beschränkung aufgehoben worden ist.

Artikel 5

Unterrichtung der betroffenen Personen

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden:

a)

Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;

b)

vorläufige Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;

c)

Verfahren in Bezug auf Meldung von Missständen (Whistleblowing);

d)

(formellen und informellen) Verfahren in Bezug auf Mobbing;

e)

Bearbeitung von internen und externen Beschwerden;

f)

internen Audits;

g)

vom Datenschutzbeauftragten („DSB“) gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;

h)

intern oder extern abgewickelte (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

Die EFSA nimmt in die auf ihrer Website und/oder im Intranet veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Auszeichnungen im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, die die betroffenen Personen im Rahmen eines bestimmten Verfahrens über ihre Rechte informieren, Informationen über die mögliche Beschränkung dieser Rechte auf. Die Informationen umfassen die Frage, welche Rechte beschränkt werden können, die Gründe für solche Beschränkungen sowie ihre potenzielle Dauer.

(2)   Unbeschadet der Bestimmungen in Absatz 3 informiert die EFSA, sofern dies verhältnismäßig ist, alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, unverzüglich auch einzeln über gegenwärtige oder künftige Beschränkungen ihrer Rechte schriftlich.

(3)   Wenn die EFSA das in Absatz 2 erwähnte Bereitstellung von Informationen an die Betroffenen ganz oder teilweise beschränkt, zeichnet sie die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung auf.

Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegende sachliche und rechtliche Elemente enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.

(4)   Die in Absatz 3 genannte Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen, und wird so bald wie möglich und in der Regel innerhalb von fünf Arbeitstagen nach der Änderung der rechtlichen oder tatsächlichen Umstände aufgehoben.

Wenn die Gründe für die Beschränkung nicht mehr gelten, informiert die EFSA die betroffene Person über die Hauptgründe, auf denen die Anwendung einer Beschränkung beruht. Gleichzeitig teilt die EFSA der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die EFSA überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Prüfung, des entsprechenden Verfahrens und der entsprechenden Untersuchung.

Artikel 6

Auskunftsrechte der betroffenen Person

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Auskunft durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

a)

Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;

b)

vorläufigen Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;

c)

Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing);

d)

(formelle und informelle) Verfahren in Bezug auf Mobbing;

e)

Bearbeitung von internen und externen Beschwerden;

f)

internen Audits;

g)

vom Datenschutzbeauftragten („DSB“) gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;

h)

intern oder extern abgewickelte (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

Wenn die betroffene Person gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre im Rahmen eines oder mehrerer spezifischer Fälle verarbeiteten personenbezogenen Daten oder über einen bestimmten Verarbeitungsvorgang beantragt, beschränkt die EFSA ihre Bewertung des Antrags ausschließlich auf derartige personenbezogene Daten.

(2)   Wenn die EFSA das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Auskunft ganz oder teilweise beschränkt, ergreift sie die folgenden Maßnahmen:

a)

sie informiert die jeweils betroffene Person in ihrer Antwort auf den Antrag über die angewandte Beschränkung und die Hauptgründe hierfür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen;

b)

sie dokumentiert in Form eines internen Bewertungsvermerks die Gründe für die Beschränkung, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung sowie ihrer Dauer.

Die in Punkt a) erwähnte Unterrichtung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendeten Beschränkung zunichtemachen würde.

Die EFSA überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Untersuchung.

(3)   Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.

Artikel 7

Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

a)

Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;

b)

vorläufigen Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;

c)

Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing);

d)

(formelle und informelle) Verfahren in Bezug auf Mobbing;

e)

Bearbeitung von internen und externen Beschwerden;

f)

internen Audits;

g)

vom Datenschutzbeauftragten („DSB“) gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;

h)

intern oder extern abgewickelte (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(2)   Wenn die EFSA das in den Artikeln 18, 19 Absatz 1 und 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise beschränkt, ergreift sie die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und registriert die Aufzeichnung gemäß Artikel 6 Absatz 3 dieses Beschlusses.

Artikel 8

Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an den Betroffenen und Vertraulichkeit von Kommunikationen

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

a)

Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;

b)

vorläufigen Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;

c)

Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing);

d)

(formelle und informelle) Verfahren in Bezug auf Mobbing;

e)

Bearbeitung von internen und externen Beschwerden;

f)

internen Audits;

g)

vom Datenschutzbeauftragten („DSB“) gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;

h)

intern oder extern abgewickelte (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(2)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Vertraulichkeit der elektronischen Kommunikation durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

a)

Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;

b)

vorläufigen Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;

c)

Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing);

d)

formelle Verfahren in Bezug auf Mobbing;

e)

Bearbeitung von internen und externen Beschwerden;

f)

intern oder extern abgewickelte (z. B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(3)   Wenn die EFSA das in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannte Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation beschränkt, erfasst und registriert sie die Gründe hierfür gemäß Artikel 5 Absatz 3 dieses Beschlusses. Es gilt Artikel 5 Absatz 4 dieses Beschlusses.

Artikel 9

Inkrafttreten

Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Parma, den 19. Juni 2019

Für den EFSA-Verwaltungsrat

Jaana HUSU-KALLIO

Vorsitzende des Verwaltungsrats


(1)  ABl. L 295 vom 21.11.2018, S. 39.

(2)  ABl. L 31 vom 1.2.2002, S. 1.

(3)  mb 27 06 13 — Überarbeitete Geschäftsordnung des Verwaltungsrats — ANGENOMMEN.

(4)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(5)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).


Top