|
12.10.2012 |
DE |
Amtsblatt der Europäischen Union |
C 308/8 |
Beschluss der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik
vom 8. Dezember 2011
über die Datenschutzvorschriften
2012/C 308/07
DIE HOHE VERTRETERIN —
gestützt auf den Beschluss des Rates vom 26. Juli 2010 über die Organisation und die Arbeitsweise des Europäischen Auswärtigen Dienstes (2010/427/EU) (im Folgenden „EAD-Beschluss des Rates“), insbesondere auf Artikel 11 Absatz 3 —
HAT FOLGENDEN BESCHLUSS ERLASSEN:
ABSCHNITT 1
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Geltungsbereich
Dieser Beschluss enthält die Durchführungsbestimmungen zur Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (im Folgenden „Verordnung“) in Bezug auf den Europäischen Auswärtigen Dienst (im Folgenden „EAD“) im Sinne von Artikel 24 Absatz 8 der Verordnung.
Artikel 2
Begriffsbestimmungen
Im Sinne dieses Beschlusses und unbeschadet der Begriffsbestimmungen der Verordnung bezeichnet der Ausdruck
|
a) |
„für die Verarbeitung Verantwortlicher“ den EAD, seine Exekutivdirektoren, Direktoren oder Leiter von Dienststellen vergleichbarer Größe oder Funktion sowie die Leiter von EU-Delegationen, die jeweils allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden; |
|
b) |
„Datenschutzkoordinator“ einen EAD-Bediensteten (AD), der zur Koordinierung und Unterstützung von Datenschutzbelangen auf allen Ebenen der Generaldirektionen oder Dienststellen vergleichbarere Größe und Funktion sowie, falls erforderlich, in EU-Delegationen ernannt wurde; |
|
c) |
„Auftragsverarbeiter“ einen Bediensteten des EAD oder einen Mitarbeiter des beauftragten Unternehmens, der vom für die Verarbeitung Verantwortlichen mit Aufgaben der Datenverarbeitung betraut wurde; |
|
d) |
„EAD-Bedienstete“ nach Artikel 6 des EAD-Beschlusses des Rates die Beamten und sonstigen Bediensteten der Europäischen Union, die für den EAD arbeiten, einschließlich zu Bediensteten auf Zeit ernannter Mitglieder des Personals der diplomatischen Dienste der Mitgliedstaaten, sowie abgeordnete nationale Sachverständige („ANS“) mit Spezialkenntnissen. |
ABSCHNITT 2
DER DATENSCHUTZBEAUFTRAGTE
Artikel 3
Bestellung und Status des Datenschutzbeauftragten (DSB)
(1) Der Chief Operating Officer (COO) wählt den DSB nach Artikel 24 Absatz 2 der Verordnung aus, bestellt ihn und meldet ihn zur Eintragung beim Europäischen Datenschutzbeauftragten (im Folgenden „EDSB“) an. Der DSB ist dem COO unmittelbar beigeordnet.
(2) Die Amtszeit des DSB beträgt fünf Jahre und kann einmal verlängert werden.
(3) Der DSB nimmt seine Aufgaben unabhängig und in Zusammenarbeit mit dem EDSB wahr. Insbesondere darf der DSB weder von der Anstellungsbehörde des EAD noch von einer anderen Person Weisungen in Bezug auf die interne Anwendung der Verordnung und dieses Beschlusses oder auf seine Zusammenarbeit mit dem EDSB entgegennehmen. Der DSB nimmt regelmäßig an Fortbildungen im Bereich Datenschutz teil, und der COO trifft die dafür erforderlichen Maßnahmen.
(4) Der COO bewertet einmal pro Jahr insbesondere anhand des Jahresberichts des DSB und, falls erforderlich, nach vorheriger Anhörung des EDSB die Arbeit des DSB. Die Bestellung zum DSB kann nur mit Zustimmung des EDSB widerrufen werden, wenn der DSB die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.
(5) Unbeschadet des Verfahrens für die Bestellung des DSB ist dieser von allen Kontakten mit externen Dritten, die die Anwendung der Verordnung und dieses Beschlusses betreffen, insbesondere in Bezug auf die Abstimmung mit dem EDSB, zu unterrichten.
(6) Unbeschadet der einschlägigen Bestimmungen der Verordnung gelten für den DSB und sein Personal die Verordnungen und Regelungen für die Beamten und sonstigen Bediensteten der Europäischen Union.
Artikel 4
Aufgaben
Der DSB
|
a) |
gewährleistet, dass die für die Verarbeitung Verantwortlichen, die Datenschutzkoordinatoren und die betroffenen Personen über ihre sich aus der Verordnung und diesem Beschluss ergebenden Rechte und Pflichten unterrichtet sind und die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen aller Wahrscheinlichkeit nach nicht beeinträchtigt werden. Hierzu führt er Formulare für Mitteilungen und Meldungen ein, hört die Betroffenen und schärft das allgemeine Bewusstsein für Datenschutzbelange; |
|
b) |
kommt Anfragen des EDSB nach und arbeitet im Rahmen seiner Zuständigkeiten mit dem EDSB auf dessen Ersuchen oder von sich aus zusammen; |
|
c) |
gewährleistet in unabhängiger Art und Weise die interne Anwendung der Verordnung und dieses Beschlusses im EAD; |
|
d) |
führt ein Register über die Verarbeitungen, die der EAD vorgenommen hat, und sorgt im Sinne der Artikel 14 und 15 dafür, dass jedermann dieses Register direkt oder indirekt über den EDSB einsehen kann; dieses Register kann auch in elektronischer Form geführt werden; |
|
e) |
meldet dem EDSB Verarbeitungen, die spezifische Risiken im Sinne von Artikel 27 Absatz 2 der Verordnung aufweisen können. |
Artikel 5
Obliegenheiten
(1) Zusätzlich zu den in Artikel 4 genannten Aufgaben obliegt es dem DSB,
|
a) |
die Anstellungsbehörde des EAD und die für die Verarbeitung Verantwortlichen in Fragen zur Anwendung der Verordnung und dieses Beschlusses zu beraten. Die Anstellungsbehörde, die jeweiligen Auftragsverarbeiter und für die Verarbeitung Verantwortlichen, die Personalvertretung sowie jeder EAD-Bedienstete können den DSB in allen Fragen im Zusammenhang mit der Auslegung oder Anwendung der Verordnung und dieses Beschlusses zurate ziehen, ohne den Dienstweg beschreiten zu müssen; |
|
b) |
von sich aus oder auf Initiative der Anstellungsbehörde, der Auftragsverarbeiter und für die Verarbeitung Verantwortlichen, der Personalvertretung oder eines EAD-Bediensteten Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gebracht werden, zu prüfen und der Anstellungsbehörde oder der Person, die die Untersuchung veranlasst hat, Bericht zu erstatten. Erforderlichenfalls sind alle anderen Betroffenen entsprechend zu unterrichten. Wurde die Beschwerde von einer natürlichen Person oder im Auftrag einer natürlichen Person eingereicht, so muss der DSB so weit wie möglich sicherstellen, dass der Antrag vertraulich behandelt wird, es sei denn, die betroffenen Personen haben einer anderen Behandlung ihres Antrags ausdrücklich zugestimmt; |
|
c) |
bei der Wahrnehmung seiner Aufgaben mit den Datenschutzbeauftragten der anderen Organe, Einrichtungen und sonstigen Stellen der Europäischen Union zusammenzuarbeiten und insbesondere mit ihnen Erfahrungen und bewährte Verfahren auszutauschen; |
|
d) |
den Hohen Vertreter oder den EAD in allen den Datenschutz betreffenden Fragen auf internationaler Ebene unbeschadet der Bestimmungen der Verträge und insbesondere des Artikels 218 des Vertrags über die Arbeitsweise der Europäischen Union („AEUV“) zu vertreten; |
|
e) |
dem Hohen Vertreter einen Jahresbericht über seine Tätigkeit zu unterbreiten und diesen den EAD-Bediensteten zugänglich zu machen. |
(2) Unbeschadet des Artikels 4 Buchstabe b, des Artikels 5 Absatz 1 Buchstaben b und c sowie des Artikels 15 verbreiten der DSB und sein Personal keine Informationen oder Dokumente, die sie bei der Erfüllung ihrer Aufgaben und Obliegenheiten erhalten.
Artikel 6
Befugnisse
Bei der Erfüllung seiner Aufgaben und Obliegenheiten
|
a) |
hat der DSB jederzeit Zugang zu den Daten, die Gegenstand der Verarbeitung sind, sowie zu allen Geschäftsräumen, Datenverarbeitungsanlagen und Datenträgern; |
|
b) |
kann der DSB das EAD-Referat für Rechtsfragen um ein Rechtsgutachten ersuchen; |
|
c) |
kann der DSB nach Genehmigung des Anweisungsbefugten nach der Haushaltsordnung (Verordnung (EG, Euratom) Nr. 1605/2002) und ihren Durchführungsbestimmungen die Dienste externer Experten für Informationstechnologien in Anspruch nehmen; |
|
d) |
kann der DSB unbeschadet der Aufgaben und Befugnisse des EDSB Verwaltungsmaßnahmen vorschlagen und allgemeine Empfehlungen für eine angemessene Anwendung der Verordnung und dieses Beschlusses geben; |
|
e) |
kann der DSB in bestimmten Fällen der EAD-Hierarchie und/oder allen anderen Betroffenen sonstige Empfehlungen geben, wie der Datenschutz konkret verbessert werden kann; |
|
f) |
kann der DSB die Anstellungsbehörde des EAD über alle Verstöße von Bediensteten gegen die Pflichten aus der Verordnung und diesem Beschlusses unterrichten und vorschlagen, dass eine verwaltungsinterne Untersuchung eingeleitet wird, um festzustellen, ob Artikel 49 der Verordnung anzuwenden ist. |
Artikel 7
Haushaltsmittel
Der DSB ist mit dem Personal und den Mitteln auszustatten, die er für die Erfüllung seiner Aufgaben und Obliegenheiten benötigt.
ABSCHNITT 3
RECHTE UND PFLICHTEN DER AKTEURE IM BEREICH DES DATENSCHUTZES
Artikel 8
Anstellungsbehörde
(1) Wird eine Beschwerde im Sinne von Artikel 90 des Statuts eingereicht, die einen Verstoß gegen die Verordnung oder diesen Beschluss betrifft, so konsultiert die Anstellungsbehörde den DSB, der spätestens 15 Tage nach Eingang der Anfrage schriftlich Stellung nehmen sollte. Hat der DSB der Anstellungsbehörde bis zum Ablauf dieser Frist keine Stellungnahme übermittelt, so erübrigt sich seine Stellungnahme. Die Stellungnahme des DSB ist für die Anstellungsbehörde nicht bindend.
(2) Der DSB ist stets zu informieren, wenn eine Frage behandelt wird, die den Datenschutz berührt oder berühren könnte.
Artikel 9
Für die Verarbeitung Verantwortliche
(1) Die für die Verarbeitung Verantwortlichen haben sicherzustellen, dass bei allen ihrer Aufsicht unterliegenden Verarbeitungen die Verordnung und dieser Beschluss eingehalten werden. Sie können, wenn nötig, nach Artikel 23 der Verordnung ihnen unterstellte EAD-Bedienstete oder Mitarbeiter beauftragter Unternehmen mit Aufgaben der Datenverarbeitung betrauen.
(2) Insbesondere haben sie
|
a) |
dem DSB jede Verarbeitung oder jede Reihe von Verarbeitungen, die für einen einzigen Zweck oder verschiedene, miteinander zusammenhängende Zwecke bestimmt sind, sowie jede wesentliche Änderung einer bereits erfolgten Verarbeitung vorab zu melden; |
|
b) |
den DSB und den EDSB bei der Wahrnehmung von deren jeweiligen Aufgaben zu unterstützen, indem sie deren Anfragen spätestens innerhalb von 30 Tagen beantworten; |
|
c) |
mit den Datenschutzkoordinatoren an der Erstellung des Bestandsverzeichnisses aller erfolgten Verarbeitungen personenbezogener Daten zusammenzuarbeiten; |
|
d) |
geeignete technische und organisatorische Maßnahmen zu ergreifen und den Auftragsverarbeitern entsprechende Anweisungen zu geben, um sowohl die Vertraulichkeit der Verarbeitung als auch ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken angemessen ist; |
|
e) |
gegebenenfalls den DSB dazu zu konsultieren, ob die Verarbeitungen der Verordnung und diesem Beschluss entsprechen, vor allem wenn sie Grund zu der Annahme haben, dass bestimmte Verarbeitungen gegen die Artikel 4 bis 10 der Verordnung verstoßen. Sie können zudem den DSB und/oder die internen Sachverständigen für die Sicherheit der Informationstechnologien zu allen Fragen im Zusammenhang mit der Vertraulichkeit der Verarbeitungen und zu den Sicherheitsmaßnahmen im Sinne von Artikel 22 der Verordnung konsultieren. |
Artikel 10
Koordinatoren
(1) Jeder Exekutivdirektor, Direktor, Leiter einer Dienststelle vergleichbarer Größe oder Funktion oder erforderlichenfalls der Leiter einer EU-Delegation ernennt einen Datenschutzkoordinator, der ihm unterstellt ist.
Unbeschadet der Zuständigkeiten des DSB hat jeder Koordinator
|
a) |
die Aufgabe, die Führung eines Bestandsverzeichnisses aller erfolgten Verarbeitungen personenbezogener Daten zu unterstützen und mit dem DSB bei der Erstellung und Aktualisierung dieses Bestandsverzeichnisses zusammenzuarbeiten; |
|
b) |
die Aufgabe, die entsprechenden Auftragsverarbeiter und für die Verarbeitung Verantwortlichen auszuwählen; |
|
c) |
das Recht, von den Auftragsverarbeitern und den für die Verarbeitung Verantwortlichen sowie von EAD-Bediensteten in hinreichendem Maß Informationen einzuholen, die er für die Erfüllung seiner administrativen Aufgaben benötigt. Er hat jedoch kein Recht auf Zugang zu personenbezogenen Daten, die unter Aufsicht des für die Verarbeitung Verantwortlichen verarbeitet wurden; |
|
d) |
die Aufgabe, dem DSB globale Meldungen zu Datenverarbeitungsarten oder -kategorien vorzuschlagen. |
(2) Unbeschadet der Zuständigkeiten der für die Verarbeitung Verantwortlichen haben die Koordinatoren die Aufgabe,
|
a) |
die für die Verarbeitung Verantwortlichen bei der Erfüllung ihrer Pflichten zu unterstützen; |
|
b) |
gegebenenfalls die Kommunikation zwischen dem DSB und den für die Verarbeitung Verantwortlichen zu erleichtern. |
Artikel 11
EAD-Bedienstete
(1) Alle EAD-Bediensteten tragen dazu bei, dass die Bestimmungen der Artikel 21 und 22 der Verordnung über die Vertraulichkeit und Sicherheit bei der Verarbeitung personenbezogener Daten angewandt werden. EAD-Bedienstete, die Zugang zu personenbezogenen Daten haben, dürfen diese nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen Verpflichtungen aufgrund einzelstaatlicher Rechtsvorschriften oder der Rechtsvorschriften der Union.
(2) Alle EAD-Bediensteten können beim EDSB gemäß den von ihm aufgestellten Regeln eine Beschwerde wegen Verletzung der Bestimmungen der Verordnung oder dieses Beschlusses über die Verarbeitung personenbezogener Daten einreichen, ohne den Dienstweg beschreiten zu müssen.
Artikel 12
Betroffene Personen
(1) Zusätzlich zu ihrem in den Artikeln 11 und 12 der Verordnung festgelegten Recht auf angemessene Unterrichtung über jede Verarbeitung von sie betreffenden personenbezogenen Daten können sich die betroffenen Personen an den zuständigen für die Verarbeitung Verantwortlichen wenden, um ihre Rechte aus den Artikeln 13 bis 19 der Verordnung nach Abschnitt 5 dieses Beschlusses wahrzunehmen.
(2) Unbeschadet der Einlegung eines Rechtsbehelfs bei Gericht kann jede betroffene Person beim EDSB gemäß den von ihm aufgestellten Regeln eine Beschwerde einreichen, wenn sie der Ansicht ist, dass die ihr in der Verordnung oder diesem Beschluss eingeräumten Rechte infolge der Verarbeitung von sie betreffenden personenbezogenen Daten durch die für die Verarbeitung Verantwortlichen verletzt worden sind.
(3) Keine betroffene Person darf aufgrund einer Beschwerde beim EDSB oder aufgrund der Tatsache, dass sie dem DSB eine Angelegenheit zur Kenntnis gebracht hat, die ihren Angaben zufolge eine Verletzung der Verordnung darstellt, benachteiligt werden.
ABSCHNITT 4
REGISTER DER GEMELDETEN VERARBEITUNGEN
Artikel 13
Meldeverfahren
(1) Die für die Verarbeitung Verantwortlichen melden dem DSB jede Verarbeitung personenbezogener Daten anhand eines Meldeformulars, das über das Intranet des EAD und der EU-Delegationen (unter „Datenschutz“) aufgerufen werden kann. Die Meldung wird dem DSB elektronisch übermittelt. Die Meldung wird dem DSB mit einem entsprechenden schriftlichen Vermerk, der innerhalb von zehn Arbeitstagen zu übermitteln ist, bestätigt. Nach Eingang der Bestätigung veröffentlicht der DSB die Meldung im Register.
(2) Die Meldung enthält alle Angaben nach Artikel 25 Absatz 2 der Verordnung. Alle Änderungen, die diese Angaben berühren, sind dem DSB unverzüglich mitzuteilen.
(3) Die weiteren Vorschriften und Verfahren, die von den für die Verarbeitung Verantwortlichen bei der Meldung zu befolgen sind, werden vom DSB im Rahmen seiner allgemeinen Empfehlungen festgelegt.
Artikel 14
Inhalt und Zweck des Registers
(1) Der DSB führt ein Register der Verarbeitungen personenbezogener Daten, das anhand der Meldungen der für die Verarbeitung Verantwortlichen erstellt wird.
(2) Das Register enthält mindestens die Angaben nach Artikel 25 Absatz 2 Buchstaben a bis g der Verordnung. Ausnahmsweise können die vom DSB in das Register aufgenommenen Angaben jedoch beschränkt werden, wenn dies zur Gewährleistung der Sicherheit einer bestimmten Verarbeitung erforderlich ist.
(3) Das Register gibt Aufschluss über die vom EAD vorgenommenen Verarbeitungen personenbezogener Daten. Es ist für alle betroffenen Personen zugänglich und ermöglicht ihnen, ihre Rechte aus den Artikeln 13 bis 19 der Verordnung und diesem Beschluss wahrzunehmen.
Artikel 15
Zugang zum Register
(1) Der DSB ergreift geeignete Maßnahmen, um sicherzustellen, dass jede betroffene Person das Register direkt oder indirekt über den EDSB einsehen kann. Insbesondere erteilt der DSB betroffenen Personen Auskunft darüber, wie und wo sie ihre Anträge auf Zugang zum Register einreichen können, und ist ihnen dabei behilflich.
(2) Soweit nicht ein Online-Zugang zum Register eingeräumt wird, sind Anträge auf Zugang zum Register in schriftlicher Form, auch auf elektronischem Wege, in einer der in Artikel 342 AEUV genannten Sprachen einzureichen; sie müssen so genau formuliert sein, dass der DSB die betroffene Verarbeitung ermitteln kann. Dem Antragsteller ist unverzüglich eine Empfangsbestätigung zu übermitteln.
(3) Ist ein Antrag zu ungenau, fordert der DSB den Antragsteller auf, seinen Antrag genauer zu formulieren, und hilft ihm dabei. Betrifft ein Antrag eine sehr große Anzahl von Verarbeitungen, so kann sich der DSB mit dem Antragsteller informell beraten, um eine angemessene Lösung zu finden.
(4) Jede betroffene Person kann beim DSB eine Kopie der im Register enthaltenen Informationen zu jeder gemeldeten Verarbeitung beantragen.
ABSCHNITT 5
VERFAHREN FÜR DIE WAHRNEHMUNG DER RECHTE DER BETROFFENEN PERSONEN
Artikel 16
Allgemeine Bestimmungen
(1) Die Rechte der in diesem Abschnitt genannten Personen können nur von diesen selbst oder — in Ausnahmefällen — mit ihrer ausdrücklichen Genehmigung von Dritten in ihrem Namen wahrgenommen werden. Entsprechende Anträge sind schriftlich an den zuständigen für die Verarbeitung Verantwortlichen zu richten, wobei dem DSB eine Kopie zu übermitteln ist. Erforderlichenfalls hilft der DSB der betroffenen Person, den zuständigen für die Verarbeitung Verantwortlichen zu ermitteln. Der DSB gibt spezielle Formulare heraus. Die für die Verarbeitung Verantwortlichen geben dem Antrag nur statt, wenn das Formular vollständig ausgefüllt ist und die Identität des Antragstellers angemessen überprüft wurde. Für die betroffenen Personen ist die Wahrnehmung ihrer Rechte gebührenfrei.
(2) Der zuständige für die Verarbeitung Verantwortliche übermittelt dem Antragsteller innerhalb von fünf Arbeitstagen nach Registrierung des Antrags eine Empfangsbestätigung. Sofern nichts anderes vorgeschrieben ist, beantwortet der für die Verarbeitung Verantwortliche den Antrag spätestens 15 Arbeitstage nach Registrierung des Antrags und gibt ihm entweder statt oder teilt dem Antragsteller schriftlich die Gründe für die vollständige oder teilweise Ablehnung mit, insbesondere wenn der Antragsteller nicht als betroffene Person betrachtet wird.
(3) Im Fall von Unregelmäßigkeiten oder in Fällen, in denen eine betroffene Person ihre Rechte in offensichtlich missbräuchlicher Weise wahrnimmt und behauptet, dass die Verarbeitung rechtswidrig ist, muss der für die Verarbeitung Verantwortliche den DSB zu dem Antrag konsultieren und/oder die betroffene Person an den DSB verweisen, der entscheidet, ob der Antrag zulässig ist und in welcher Weise damit weiter verfahren wird.
(4) Jede betroffene Person kann den DSB zur Wahrnehmung ihrer Rechte in einem bestimmten Fall konsultieren. Jede betroffene Person kann unbeschadet der Einlegung eines Rechtsbehelfs bei Gericht eine Beschwerde beim EDSB einreichen, wenn sie der Ansicht ist, dass die ihr in der Verordnung eingeräumten Rechte infolge der Verarbeitung sie betreffender personenbezogener Daten verletzt worden sind.
Artikel 17
Zugangsrecht
Die betroffene Person hat das Recht, jederzeit frei und ungehindert innerhalb von drei Monaten nach Eingang eines entsprechenden Antrags von den für die Verarbeitung Verantwortlichen Auskünfte nach Artikel 13 Buchstaben a bis d der Verordnung zu erhalten, wobei sie diese Angaben entweder vor Ort einsehen kann oder — auf Wunsch gegebenenfalls auch auf elektronischem Wege — eine Kopie erhält.
Artikel 18
Recht auf Berichtigung
In jedem Antrag einer betroffenen Person auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten ist anzugeben, um welche Daten es sich handelt und wie sie berichtigt werden sollen. Der für die Verarbeitung Verantwortliche hat den Antrag unverzüglich zu bearbeiten.
Artikel 19
Recht auf Sperrung
Der zuständige für die Verarbeitung Verantwortliche muss jeden Antrag auf Sperrung von Daten im Sinne von Artikel 15 der Verordnung unverzüglich bearbeiten. In dem Antrag ist anzugeben, um welche Daten es sich handelt und aus welchen Gründen sie gesperrt werden sollen. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person, die den Antrag gestellt hat, bevor die Sperrung aufgehoben wird.
Artikel 20
Recht auf Löschung
Die betroffene Person kann von den für die Verarbeitung Verantwortlichen die unverzügliche Löschung von Daten verlangen, wenn sie rechtswidrig verarbeitet wurden, insbesondere wenn dabei gegen die Artikel 4 bis 10 der Verordnung verstoßen wurde. In dem Antrag ist anzugeben, um welche Daten es sich handelt, wobei Gründe oder Beweise für die Rechtswidrigkeit der Verarbeitung anzuführen sind. In automatisierten Dateien wird die Löschung grundsätzlich durch alle geeigneten technischen Mittel gewährleistet, wobei sicherzustellen ist, dass die gelöschten Daten nicht mehr weiter verarbeitet werden können. Ist eine Löschung der Daten aus technischen Gründen nicht möglich, so sind sie von dem zuständigen für die Verarbeitung Verantwortlichen nach vorheriger Konsultation des DSB und der betroffenen Person unverzüglich zu sperren.
Artikel 21
Mitteilung an Dritte
Werden Daten auf Antrag der betroffenen Person berichtigt, gesperrt oder gelöscht, so kann diese Person von den für die Verarbeitung Verantwortlichen verlangen, dass dies Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, es sei denn, dass sich diese Übermittlung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert.
Artikel 22
Widerspruchsrecht
Die betroffene Person kann gegen die Verarbeitung sie betreffender Daten und gegen die Weitergabe oder die Verwendung dieser Daten nach Artikel 18 der Verordnung Widerspruch einlegen. In dem Antrag ist anzugeben, um welche Daten es sich handelt und aus welchen Gründen Widerspruch eingelegt wird. Bei berechtigtem Widerspruch darf sich die betreffende Verarbeitung nicht mehr auf diese Daten beziehen.
Artikel 23
Automatisierte Einzelentscheidungen
Die betroffene Person hat das Recht, nicht einer im Wege der automatisierten Verarbeitung erstellten Einzelentscheidung im Sinne von Artikel 19 der Verordnung unterworfen zu werden, es sei denn, die Entscheidung ist nach einzelstaatlichen Rechtsvorschriften oder Rechtsvorschriften der Union zulässig oder wurde vom EDSB ausdrücklich genehmigt, wobei die berechtigten Interessen der betroffenen Person gewahrt wurden. In beiden Fällen muss die betroffene Person die Möglichkeit haben, zuvor ihren Standpunkt geltend zu machen und den DSB zu konsultieren.
Artikel 24
Ausnahmen und Einschränkungen
(1) Die für die Verarbeitung Verantwortlichen können die Rechte nach den Artikeln 17 bis 21 dieses Beschlusses einschränken, sofern hierfür eindeutig berechtigte Gründe nach Artikel 20 der Verordnung vorliegen. Außer im Falle unbedingt notwendiger Einschränkungen konsultiert der für die Verarbeitung Verantwortliche zunächst den DSB, dessen Stellungnahme für den EAD nicht bindend ist. Der für die Verarbeitung Verantwortliche hat Anträge im Zusammenhang mit Ausnahmen oder Einschränkungen der Wahrnehmung der Rechte unverzüglich zu beantworten und seine Entscheidung zu begründen.
(2) Jede betroffene Person kann beim EDSB die Anwendung von Artikel 47 Absatz 1 Buchstabe c der Verordnung beantragen.
ABSCHNITT 6
UNTERSUCHUNGSVERFAHREN
Artikel 25
Praktisches Vorgehen
(1) Anträge auf Einleitung einer Untersuchung sind schriftlich an den DSB zu richten, wobei ein bei diesem erhältliches besonderes Formular zu verwenden ist. Wird das Recht, eine Untersuchung zu beantragen, offensichtlich missbräuchlich in Anspruch genommen, wenn beispielsweise dieselbe Person bereits kürzlich einen gleichlautenden Antrag gestellt hat, so ist der DSB nicht verpflichtet, dem Antragsteller zu antworten.
(2) Der DSB übermittelt der Anstellungsbehörde oder der Person, die um die Untersuchung ersucht hat, innerhalb von 15 Tagen nach Eingang des Antrags eine Empfangsbestätigung und prüft, ob der Antrag vertraulich zu behandeln ist.
(3) Der DSB fordert den betreffenden für die Verarbeitung Verantwortlichen auf, sich zu der Angelegenheit schriftlich zu äußern. Der für die Verarbeitung Verantwortliche antwortet dem DSB innerhalb von 15 Tagen. Der DSB kann bei anderen Diensten des EAD, wie beispielsweise dem Sicherheitsbüro und dem Büro für Informationssicherheit (INFOSEC), zusätzliche Informationen anfordern. Gegebenenfalls kann er ein Gutachten des Referats für Rechtsfragen einholen. Die Informationen oder Gutachten sind dem DSB innerhalb von 30 Tagen zu übermitteln.
(4) Der DSB antwortet der Anstellungsbehörde und der Person, die den Antrag gestellt hat, spätestens drei Monate nach Eingang des Antrags.
ABSCHNITT 7
SCHLUSSBESTIMMUNGEN
Artikel 26
Im Falle eines Widerspruchs zwischen den Bestimmungen dieses Beschlusses und der Verordnung ist letztere maßgebend.
Artikel 27
Die EAD-Bediensteten werden auf geeignetem Wege, insbesondere durch Veröffentlichung im Intranet des EAD und der EU-Delegationen (unter „Datenschutz“) von diesem Beschluss in Kenntnis gesetzt.
Artikel 28
Auswirkungen
Dieser Beschluss tritt am Tag seiner Annahme in Kraft.
Brüssel, den 8. Dezember 2011
Die Hohe Vertreterin
C. ASHTON