17.5.2019   

DE

Amtsblatt der Europäischen Union

LI 129/1

VERORDNUNG (EU) 2019/796 DES RATES

vom 17. Mai 2019

über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen

DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 215,

gestützt auf den Beschluss (GASP) 2019/797 des Rates vom 17. Mai 2019 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen (1),

auf gemeinsamen Vorschlag der Hohen Vertreterin der Union für Außen- und Sicherheitspolitik und der Europäischen Kommission,

in Erwägung nachstehender Gründe:

(1)

Am 18. Oktober 2018 hat der Europäische Rat Schlussfolgerungen angenommen, in denen er dazu aufforderte, die Arbeit an der Fähigkeit, mit restriktiven Maßnahmen der Union auf Cyberangriffe zu reagieren und diese zu verhindern, anknüpfend an die Schlussfolgerungen des Rates vom 19. Juni 2017 voranzubringen.

(2)

Am 17. Mai 2019 hat der Rat den Beschluss (GASP) 2019/797 angenommen. Mit dem Beschluss (GASP) 2019/797 wird ein Rahmen für gezielte restriktive Maßnahmen zur Verhinderung von Cyberangriffen und zur Reaktion auf Cyberangriffe mit erheblichen Auswirkungen, die eine externe Bedrohung für die Union oder ihre Mitgliedstaaten darstellen, geschaffen. Die Personen, Organisationen und Einrichtungen, die restriktiven Maßnahmen unterliegen, sind im Anhang jenes Beschlusses aufgeführt.

(3)

Diese Verordnung steht im Einklang mit den Grundrechten und Grundsätzen, die vor allem mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, insbesondere mit dem Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht und dem Recht auf Schutz personenbezogener Daten. Diese Verordnung sollte unter Wahrung dieser Rechte angewandt werden.

(4)

Zur Wahrung der Übereinstimmung mit dem Verfahren zur Änderung und Überprüfung des Anhangs des Beschlusses (GASP) 2019/797 sollte die Befugnis zur Änderung der Liste in Anhang I dieser Verordnung vom Rat ausgeübt werden.

(5)

Zur Durchführung dieser Verordnung und zur Gewährleistung eines Höchstmaßes an Rechtssicherheit innerhalb der Union sollten die Namen und übrigen sachdienlichen Angaben zu den natürlichen und juristischen Personen, Organisationen und Einrichtungen, deren Gelder und wirtschaftliche Ressourcen nach dieser Verordnung eingefroren werden sollen, veröffentlicht werden. Die Verarbeitung personenbezogener Daten sollte unter Einhaltung der Verordnungen (EU) 2016/679 (2) und der Verordnung (EU) 2018/1725 (3) des Europäischen Parlaments und des Rates erfolgen.

(6)

Die Kommission und die Mitgliedstaaten sollten einander über die gemäß dieser Verordnung getroffenen Maßnahmen unterrichten und andere ihnen vorliegende sachdienliche Informationen im Zusammenhang mit dieser Verordnung austauschen.

(7)

Die Mitgliedstaaten sollten Regeln für Sanktionen bei Verstößen gegen die Bestimmungen dieser Verordnung festlegen und die Durchsetzung dieser Sanktionen sicherstellen. Die Sanktionen sollten wirksam, verhältnismäßig und abschreckend sein –

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

(1)   Diese Verordnung gilt für Cyberangriffe mit erheblichen Auswirkungen, einschließlich versuchter Cyberangriffe mit potenziell erheblichen Auswirkungen, die eine äußere Bedrohung für die Union oder ihre Mitgliedstaaten darstellen.

(2)   Zu Cyberangriffen, die eine äußere Bedrohung darstellen, zählen Cyberangriffe, die

a)

ihren Ausgang außerhalb der Union haben oder von dort durchgeführt werden,

b)

außerhalb der Union befindliche Infrastrukturen nutzen,

c)

von natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die außerhalb der Union ansässig oder tätig sind, durchgeführt werden oder

d)

mit Unterstützung, auf Anweisung oder unter der Kontrolle von natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die außerhalb der Union tätig sind, durchgeführt werden.

(3)   Zu diesem Zweck sind Cyberangriffe Handlungen, die

a)

den Zugang zu Informationssystemen,

b)

den Eingriff in Informationssysteme,

c)

den Eingriff in Daten oder

d)

das Abfangen von Daten

umfassen, wenn diese Handlungen vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder der Daten oder eines Teils des Systems oder der Daten nicht ordnungsgemäß gestattet wurden oder nach dem Recht der Union oder des betreffenden Mitgliedstaats nicht zulässig sind.

(4)   Zu Cyberangriffen, die eine Bedrohung für die Mitgliedstaaten darstellen, zählen Cyberangriffe auf Informationssysteme, u. a. in den folgenden Bereichen:

a)

kritische Infrastrukturen, einschließlich Seekabel und in den Weltraum gestarteter Gegenstände, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind;

b)

Dienstleistungen, die für die Aufrechterhaltung wesentlicher sozialer und/oder wirtschaftlicher Tätigkeiten erforderlich sind, insbesondere in den Sektoren: Energie (Elektrizität, Öl und Gas), Verkehr (Luft, Schiene, Wasser und Straße), Bankenwesen, Finanzmarktinfrastrukturen, Gesundheitswesen (Gesundheitsdienstleister, Krankenhäuser und Privatkliniken), Trinkwasserlieferung und -versorgung oder digitale Infrastruktur und in anderen Sektoren, die für den betreffenden Mitgliedstaat von wesentlicher Bedeutung sind;

c)

kritische staatliche Funktionen, insbesondere in den Bereichen Verteidigung, Staatsführung und Funktionieren der Institutionen, u. a. im Zusammenhang mit Wahlen oder dem Wahlvorgang, Funktionieren der wirtschaftlichen und der zivilen Infrastruktur, innere Sicherheit sowie Außenbeziehungen, einschließlich mittels diplomatischer Missionen;

d)

Speicherung oder Verarbeitung von Verschlusssachen oder

e)

Katastrophenstäbe der Regierungen.

(5)   Zu Cyberangriffen, die eine Bedrohung für die Union darstellen, zählen Cyberangriffe, die gegen ihre Organe, Einrichtungen und sonstigen Stellen, ihre Delegationen in Drittstaaten oder bei internationalen Organisationen, ihre Operationen und Missionen im Bereich der Gemeinsame Sicherheits- und Verteidigungspolitik (GSVP) und ihre Sonderbeauftragten geführt werden.

(6)   Sofern dies für notwendig erachtet wird, um die in den einschlägigen Bestimmungen des Artikels 21 des Vertrags über die Europäische Union festgelegten Ziele der Gemeinsamen Außen- und Sicherheitspolitik (GASP) zu erreichen, können restriktive Maßnahmen gemäß dieser Verordnung auch zur Reaktion auf gegen Drittstaaten oder internationale Organisationen gerichtete Cyberangriffe mit erheblichen Auswirkungen angewandt werden.

(7)   Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

a)

„Informationssysteme“ eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von digitalen Daten durchführen, sowie die von ihr oder ihnen zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherten, verarbeiteten, abgerufenen oder übertragenen digitalen Daten;

b)

„Eingriff in Informationssysteme“ eine Behinderung oder Störung des Betriebs eines Informationssystems durch Eingeben von digitalen Daten, durch Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von digitalen Daten oder durch Unzugänglichmachen von digitalen Daten;

c)

„Eingriff in Daten“ das Löschen, Beschädigen, Beeinträchtigen, Verändern, Unterdrücken oder Unzugänglichmachen von digitalen Daten eines Informationssystems; hierunter fällt auch der Diebstahl von Daten, Geldern, wirtschaftlichen Ressourcen oder geistigem Eigentum;

d)

„Abfangen von Daten“ das mit technischen Hilfsmitteln bewirkte Abfangen nichtöffentlicher digitaler Datenübermittlungen an ein Informationssystem, aus einem Informationssystem oder innerhalb eines Informationssystems, einschließlich elektromagnetischer Abstrahlungen aus einem Informationssystem, das Träger solcher digitaler Daten ist.

(8)   Zusätzlich zu den vorstehenden Begriffsbestimmungen bezeichnet für die Zwecke dieser Verordnung der Ausdruck

a)

„Anspruch“ jede vor oder nach Inkrafttreten dieser Verordnung erhobene Forderung, die mit der Durchführung eines Vertrags oder einer Transaktion im Zusammenhang steht, unabhängig davon, ob sie gerichtlich geltend gemacht wird oder wurde, und umfasst insbesondere

i)

Ansprüche auf Erfüllung einer Verpflichtung aus oder in Verbindung mit einem Vertrag oder einer Transaktion,

ii)

Ansprüche auf Verlängerung oder Zahlung einer finanziellen Garantie oder Gegengarantie in jeder Form,

iii)

Ansprüche auf Schadensersatz in Verbindung mit einem Vertrag oder einer Transaktion,

iv)

Gegenansprüche,

v)

Ansprüche auf Anerkennung oder Vollstreckung – auch im Wege der Zwangsvollstreckung – von Gerichtsurteilen, Schiedssprüchen oder gleichwertigen Entscheidungen, ungeachtet des Ortes, an dem sie ergangen sind;

b)

„Vertrag oder Transaktion“ jede Transaktion, ungeachtet der Form und des anwendbaren Rechts, bei dem dieselben oder verschiedene Parteien einen oder mehrere Verträge abschließen oder vergleichbare Verpflichtungen eingehen; als „Vertrag“ gelten auch alle Garantien, insbesondere finanzielle Garantien und Gegengarantien, sowie Kredite, rechtlich unabhängig oder nicht, ebenso alle Nebenvereinbarungen, die auf einem solchen Geschäft beruhen oder mit diesem im Zusammenhang stehen;

c)

„zuständige Behörden“ die auf den in Anhang II aufgeführten Internetseiten angegebenen zuständigen Behörden der Mitgliedstaaten;

d)

„wirtschaftliche Ressourcen“ Vermögenswerte jeder Art, unabhängig davon, ob sie materiell oder immateriell, beweglich oder unbeweglich sind, bei denen es sich nicht um Gelder handelt, die aber für den Erwerb von Geldern, Waren oder Dienstleistungen verwendet werden können;

e)

„Einfrieren von wirtschaftlichen Ressourcen“ die Verhinderung jeder Art von Verwendung wirtschaftlicher Ressourcen für den Erwerb von Geldern, Waren oder Dienstleistungen, die auch den Verkauf, das Vermieten oder das Verpfänden dieser Ressourcen einschließt, sich aber nicht darauf beschränkt;

f)

„Einfrieren von Geldern“ die Verhinderung jeglicher Form der Bewegung, des Transfers, der Veränderung und der Verwendung von Geldern sowie des Zugangs zu ihnen oder ihres Einsatzes, wodurch das Volumen, die Höhe, die Belegenheit, das Eigentum, der Besitz, die Eigenschaften oder die Zweckbestimmung der Gelder verändert oder jegliche sonstigen Veränderungen bewirkt werden, die eine Nutzung der Gelder einschließlich der Vermögensverwaltung ermöglichen;

g)

„Gelder“ finanzielle Vermögenswerte und Vorteile jeder Art, die Folgendes einschließen, aber nicht darauf beschränkt sind:

i)

Bargeld, Schecks, Geldforderungen, Wechsel, Zahlungsanweisungen und andere Zahlungsmittel,

ii)

Einlagen bei Finanzinstituten oder anderen Einrichtungen, Guthaben auf Konten, Zahlungsansprüche und verbriefte Forderungen,

iii)

öffentlich und privat gehandelte Wertpapiere und Schuldtitel einschließlich Aktien und Anteilen, Wertpapierzertifikate, Obligationen, Schuldscheine, Optionsscheine, Pfandbriefe und Derivate,

iv)

Zinserträge, Dividenden oder andere Einkünfte oder Wertzuwächse aus Vermögenswerten,

v)

Kredite, Rechte auf Verrechnung, Bürgschaften, Vertragserfüllungsgarantien und andere finanzielle Ansprüche,

vi)

Akkreditive, Konnossemente und Übereignungsurkunden sowie

vii)

Dokumente zur Verbriefung von Anteilen an Fondsvermögen oder anderen Finanzressourcen;

h)

„Gebiet der Union“ die Hoheitsgebiete der Mitgliedstaaten, in denen der Vertrag Anwendung findet, nach Maßgabe der im Vertrag festgelegten Bedingungen, einschließlich ihres Luftraums.

Artikel 2

Zu den Faktoren, anhand deren festgestellt wird, ob ein Cyberangriff erhebliche Auswirkungen im Sinne von Artikel 1 Absatz 1 hat, gehören die folgenden:

a)

Umfang, Ausmaß, Wirkung oder Schwere der verursachten Störung, einschließlich für wirtschaftliche und gesellschaftliche Tätigkeiten, wesentliche Dienste, kritische staatliche Funktionen, die öffentliche Ordnung oder die öffentliche Sicherheit;

b)

die Zahl der betroffenen natürlichen oder juristischen Personen, Organisationen oder Einrichtungen;

c)

die Zahl der betroffenen Mitgliedstaaten;

d)

die Höhe des wirtschaftlichen Schadens, der z. B. durch einen groß angelegten Diebstahl von Geldern, wirtschaftlichen Ressourcen oder geistigem Eigentum verursacht wurde;

e)

der vom Täter für sich selbst oder für andere erlangte wirtschaftliche Nutzen;

f)

die Menge oder Art der gestohlenen Daten oder das Ausmaß der Datenschutzverstöße oder

g)

die Art der wirtschaftlich sensiblen Daten, auf die zugegriffen wurde.

Artikel 3

(1)   Sämtliche Gelder und wirtschaftlichen Ressourcen, die Eigentum oder Besitz der in Anhang I aufgeführten natürlichen oder juristischen Personen, Organisationen oder Einrichtungen sind oder von diesen gehalten oder kontrolliert werden, werden eingefroren.

(2)   Den in Anhang I aufgeführten natürlichen oder juristischen Personen, Organisationen oder Einrichtungen dürfen weder unmittelbar noch mittelbar Gelder oder wirtschaftliche Ressourcen zur Verfügung gestellt werden oder zugutekommen.

(3)   Anhang I enthält auf der Grundlage von Feststellungen durch den Rat gemäß Artikel 5 Absatz 1 des Beschlusses (GASP) 2019/797 eine Liste

a)

der natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die für Cyberangriffe oder versuchte Cyberangriffe verantwortlich sind,

b)

der natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die finanzielle, technische oder materielle Unterstützung für Cyberangriffe oder versuchte Cyberangriffe leisten oder auf andere Weise, einschließlich durch Planung, Vorbereitung, Mitwirkung, Steuerung, Unterstützung oder Ermutigung, daran beteiligt sind oder sie durch Handlung oder Unterlassung erleichtern,

c)

der natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die mit den unter den Buchstaben a und b genannten natürlichen oder juristischen Personen, Organisationen und Einrichtungen in Verbindung stehen.

Artikel 4

(1)   Abweichend von Artikel 3 können die zuständigen Behörden der Mitgliedstaaten die Freigabe bestimmter eingefrorener Gelder oder wirtschaftlicher Ressourcen oder die Zurverfügungstellung bestimmter Gelder oder wirtschaftlicher Ressourcen unter ihnen geeignet erscheinenden Bedingungen genehmigen, nachdem festgestellt wurde, dass die betreffenden Gelder oder wirtschaftlichen Ressourcen

a)

zur Befriedigung der Grundbedürfnisse der in Anhang I genannten natürlichen Personen sowie von unterhaltsberechtigten Familienangehörigen jener natürlichen Personen, unter anderem für die Bezahlung von Nahrungsmitteln, Mieten oder Hypotheken, Medikamenten und medizinischer Behandlung, Steuern, Versicherungsprämien und Gebühren öffentlicher Versorgungseinrichtungen, erforderlich sind;

b)

ausschließlich der Bezahlung angemessener Honorare oder der Rückerstattung von Ausgaben im Zusammenhang mit der Bereitstellung rechtlicher Dienste dienen;

c)

ausschließlich der Bezahlung von Gebühren oder Kosten für die routinemäßige Verwahrung oder Verwaltung eingefrorener Gelder oder wirtschaftlicher Ressourcen dienen;

d)

für die Deckung außerordentlicher Ausgaben erforderlich sind, vorausgesetzt, dass die relevante zuständige Behörde den zuständigen Behörden der anderen Mitgliedstaaten und der Kommission mindestens zwei Wochen vor Erteilung der Genehmigung mitgeteilt hat, aus welchen Gründen sie der Auffassung ist, dass eine spezifische Genehmigung erteilt werden sollte; oder

e)

auf Konten oder von Konten einer diplomatischen Vertretung oder einer Konsularstelle oder einer internationalen Organisation überwiesen werden sollen, die Immunität nach dem Völkerrecht genießt, sofern diese Zahlungen für amtliche Zwecke dieser diplomatischen Vertretung oder Konsularstelle oder internationalen Organisation bestimmt sind.

(2)   Der betreffende Mitgliedstaat unterrichtet die anderen Mitgliedstaaten und die Kommission innerhalb von zwei Wochen über jede nach Absatz 1 erteilte Genehmigung.

Artikel 5

(1)   Abweichend von Artikel 3 Absatz 1 können die zuständigen Behörden der Mitgliedstaaten die Freigabe bestimmter eingefrorener Gelder oder wirtschaftlicher Ressourcen genehmigen, wenn die nachstehenden Voraussetzungen erfüllt sind:

a)

Die Gelder oder wirtschaftlichen Ressourcen sind Gegenstand einer schiedsgerichtlichen Entscheidung, die vor dem Datum ergangen ist, an dem die in Artikel 3 genannte natürliche oder juristische Person, Organisation oder Einrichtung in Anhang I aufgenommen wurde, oder Gegenstand einer vor oder nach diesem Datum in der Union ergangenen gerichtlichen oder behördlichen Entscheidung oder einer in dem betreffenden Mitgliedstaat vollstreckbaren gerichtlichen Entscheidung;

b)

die Gelder oder wirtschaftlichen Ressourcen werden im Rahmen der anwendbaren Gesetze und sonstigen Rechtsvorschriften über die Rechte des Gläubigers ausschließlich zur Erfüllung der Forderungen verwendet, die durch eine solche Entscheidung gesichert sind oder deren Bestehen in einer solchen Entscheidung bestätigt worden ist;

c)

die Entscheidung begünstigt nicht einer in Anhang I aufgeführten natürlichen oder juristischen Person, Organisation oder Einrichtung; und

d)

die Anerkennung der Entscheidung steht nicht im Widerspruch zur öffentlichen Ordnung des betreffenden Mitgliedstaats.

(2)   Der betreffende Mitgliedstaat unterrichtet die anderen Mitgliedstaaten und die Kommission innerhalb von zwei Wochen über jede nach Absatz 1 erteilte Genehmigung.

Artikel 6

(1)   Abweichend von Artikel 3 Absatz 1 und vorausgesetzt, dass eine Zahlung von einer in Anhang I aufgeführten natürliche oder juristische Person, Organisation oder Einrichtung Zahlungen aufgrund eines Vertrags, einer Vereinbarung oder einer Verpflichtung zu leisten ist, der/die vor dem Datum geschlossen bzw. eingegangen wurde, an dem jene natürliche oder juristische Person, Organisation oder Einrichtung in Anhang I aufgenommen wurde, können die zuständigen Behörden der Mitgliedstaaten die Freigabe bestimmter eingefrorener Gelder oder wirtschaftlicher Ressourcen unter ihnen geeignet erscheinenden Bedingungen genehmigen, wenn die betreffende zuständige Behörde festgestellt hat, dass

a)

die Gelder oder wirtschaftlichen Ressourcen für eine Zahlung von einer in Anhang I aufgeführten natürlichen oder juristischen Person, Organisation oder Einrichtung verwendet werden sollen und

b)

die Zahlung nicht gegen Artikel 3 Absatz 2 verstößt.

(2)   Der betreffende Mitgliedstaat unterrichtet die anderen Mitgliedstaaten und die Kommission innerhalb von zwei Wochen über jede nach Absatz 1 erteilte Genehmigung.

Artikel 7

(1)   Artikel 3 Absatz 2 hindert Finanz- und Kreditinstitute nicht daran, Gelder, die von Dritten auf das Konto einer in der Liste geführten natürlichen oder juristischen Person, Einrichtung oder Organisation überwiesen werden, auf den eingefrorenen Konten gutzuschreiben, sofern die auf diesen Konten gutgeschriebenen Beträge ebenfalls eingefroren werden. Die Finanz- oder Kreditinstitute setzen unverzüglich die einschlägige zuständige Behörde von solchen Transaktionen in Kenntnis.

(2)   Artikel 3 Absatz 2 gilt nicht für die auf eingefrorenen Konten eingehenden

a)

Zinsen und sonstigen Erträge dieser Konten,

b)

Zahlungen aufgrund von Verträgen, Vereinbarungen oder Verpflichtungen, die vor dem Datum, an dem die in Artikel 3 Absatz 1 genannte natürliche oder juristische Person, Organisation oder Einrichtung in Anhang I aufgenommen wurde, geschlossen wurden bzw. entstanden sind, oder

c)

Zahlungen aufgrund von in einem Mitgliedstaat ergangenen oder in dem betreffenden Mitgliedstaat vollstreckbaren gerichtlichen, behördlichen oder schiedsgerichtlichen Entscheidungen,

sofern diese Zinsen, sonstigen Erträge und Zahlungen weiterhin den Maßnahmen nach Artikel 3 Absatz 1 unterliegen.

Artikel 8

(1)   Unbeschadet der geltenden Vorschriften über die Anzeigepflicht, die Vertraulichkeit und das Berufsgeheimnis müssen natürliche und juristische Personen, Organisationen und Einrichtungen

a)

Informationen, die die Anwendung dieser Verordnung erleichtern, wie etwa Informationen über die nach Artikel 3 Absatz 1 eingefrorenen Konten und Beträge, unverzüglich der zuständigen Behörde des Mitgliedstaats, in dem sie ihren Sitz bzw. Wohnsitz haben, und – direkt oder über den Mitgliedstaat – der Kommission übermitteln und

b)

mit der zuständigen Behörde bei der Überprüfung dieser Informationen gemäß Buchstabe a zusammenarbeiten.

(2)   Zusätzliche Informationen, die direkt bei der Kommission eingehen, werden den Mitgliedstaaten zur Verfügung gestellt.

(3)   Die gemäß diesem Artikel übermittelten oder erhaltenen Angaben dürfen nur für die Zwecke verwendet werden, für die sie übermittelt oder entgegengenommen wurden.

Artikel 9

Es ist verboten, wissentlich und vorsätzlich an Tätigkeiten teilzunehmen, mit denen die Umgehung der Maßnahmen nach Artikel 3 bezweckt oder bewirkt wird.

Artikel 10

(1)   Natürliche und juristische Personen, Organisationen und Einrichtungen sowie ihre Führungskräfte und Beschäftigten, die im guten Glauben, im Einklang mit dieser Verordnung zu handeln, Gelder oder wirtschaftliche Ressourcen einfrieren oder ihre Zurverfügungstellung ablehnen, können hierfür nicht haftbar gemacht werden, es sei denn, es ist nachgewiesen, dass das Einfrieren oder das Zurückhalten der Gelder oder wirtschaftlichen Ressourcen auf Fahrlässigkeit beruht.

(2)   Natürliche oder juristische Personen, Organisationen oder Einrichtungen können für ihre Handlungen nicht haftbar gemacht werden, wenn sie nicht wussten und vernünftigerweise nicht wissen konnten, dass sie mit ihrem Handeln gegen die in dieser Verordnung festgelegten Maßnahmen verstoßen würden.

Artikel 11

(1)   Ansprüche im Zusammenhang mit Verträgen oder Transaktionen, deren Erfüllung bzw. Durchführung von den mit dieser Verordnung verhängten Maßnahmen unmittelbar oder mittelbar, ganz oder teilweise betroffen ist, einschließlich Schadensersatzansprüchen und sonstigen derartigen Ansprüchen, wie etwa Entschädigungsansprüche oder Garantieansprüche, vor allem Ansprüche auf Verlängerung oder Zahlung einer insbesondere finanziellen Garantie oder Gegengarantie in jeglicher Form, werden nicht erfüllt, sofern sie geltend gemacht werden von

a)

den benannten, in Anhang I aufgeführten natürlichen oder juristischen Personen, Organisationen oder Einrichtungen,

b)

natürlichen oder juristischen Personen, Organisationen oder Einrichtungen, die über eine der unter Buchstabe a genannten natürlichen oder juristischen Personen, Organisationen oder Einrichtungen oder in deren Namen handeln.

(2)   In Verfahren zur Durchsetzung eines Anspruchs trägt die natürliche oder juristische Person, Organisation oder Einrichtung, die den Anspruch geltend macht, die Beweislast dafür, dass die Erfüllung des Anspruchs nicht nach Absatz 1 verboten ist.

(3)   Dieser Artikel berührt nicht das Recht der in Absatz 1 genannten natürlichen oder juristischen Personen, Organisationen und Einrichtungen auf gerichtliche Überprüfung der Rechtmäßigkeit der Nichterfüllung vertraglicher Pflichten nach dieser Verordnung.

Artikel 12

(1)   Die Kommission und die Mitgliedstaaten informieren sich untereinander über die nach dieser Verordnung getroffenen Maßnahmen und übermitteln einander ihnen im Zusammenhang mit dieser Verordnung vorliegende sonstige sachdienliche Informationen, insbesondere in Bezug auf

a)

gemäß Artikel 3 eingefrorene Gelder und gemäß den Artikeln 4, 5 und 6 erteilte Genehmigungen,

b)

Verstöße, Vollzugsprobleme und Urteile einzelstaatlicher Gerichte.

(2)   Die Mitgliedstaaten übermitteln einander und der Kommission unverzüglich ihnen vorliegende sonstige sachdienliche Informationen, die die wirksame Anwendung dieser Verordnung berühren könnten.

Artikel 13

(1)   Beschließt der Rat, eine natürliche oder juristische Person, Organisation oder Einrichtung den in Artikel 3 genannten Maßnahmen zu unterwerfen, so ändert er Anhang I entsprechend.

(2)   Der Rat setzt die betreffende natürliche oder juristische Person, Organisation oder Einrichtung entweder auf direktem Weg, falls ihre Anschrift bekannt ist, oder durch die Veröffentlichung einer Bekanntmachung von dem Beschluss nach Absatz 1 und den Gründen für die Aufnahme in die Liste in Kenntnis und gibt dieser natürlichen oder juristischen Person, Organisation oder Einrichtung Gelegenheit zur Stellungnahme.

(3)   Wird eine Stellungnahme unterbreitet oder werden stichhaltige neue Beweise vorgelegt, so überprüft der Rat seinen Beschluss nach Absatz 1 und unterrichtet die betreffende natürliche oder juristische Person, Organisation oder Einrichtung entsprechend.

(4)   Die Liste in Anhang I wird regelmäßig, mindestens jedoch alle 12 Monate, überprüft.

(5)   Die Kommission wird ermächtigt, Anhang II auf der Grundlage der durch die Mitgliedstaaten übermittelten Informationen zu ändern.

Artikel 14

(1)   In Anhang I werden die Gründe für die Aufnahme der betreffenden natürlichen und juristischen Personen, Organisationen und Einrichtungen in die Liste angegeben.

(2)   Anhang I enthält die zur Identifizierung der betreffenden natürlichen oder juristischen Personen, Organisationen oder Einrichtungen erforderlichen Angaben, soweit diese verfügbar sind. Bei natürlichen Personen können diese Angaben Namen und Aliasnamen, Geburtsdatum und -ort, Staatsangehörigkeit, Reisepass- und Personalausweisnummern, Geschlecht, Anschrift, soweit bekannt, und Funktion oder Beruf umfassen. Bei juristischen Personen, Organisationen oder Einrichtungen können diese Angaben Namen, Ort und Datum der Registrierung, Registriernummer und Geschäftssitz umfassen.

Artikel 15

(1)   Die Mitgliedstaaten legen fest, welche Sanktionen bei Verstößen gegen Bestimmungen dieser Verordnung zu verhängen sind, und treffen die zu ihrer Durchsetzung erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

(2)   Die Mitgliedstaaten teilen der Kommission die in Absatz 1 genannten Bestimmungen unverzüglich nach Inkrafttreten dieser Verordnung mit und melden ihr alle Änderungen dieser Bestimmungen.

Artikel 16

(1)   Die Kommission verarbeitet personenbezogene Daten, um ihre Aufgaben nach dieser Verordnung zu erfüllen. Zu diesen Aufgaben gehören

a)

die Aufnahme des Inhalts von Anhang I in die elektronisch verfügbare konsolidierte Liste der Personen, Gruppen und Organisationen, die finanziellen Sanktionen der Union unterliegen, und in die interaktive Weltkarte der Sanktionen, die beide öffentlich zugänglich sind;

b)

die Verarbeitung von Informationen über die Auswirkungen der in dieser Verordnung vorgesehenen Maßnahmen, z. B. Wert der eingefrorenen Gelder, und von Informationen über die von den zuständigen Behörden erteilten Genehmigungen.

(2)   Für die Zwecke dieser Verordnung wird die in Anhang II angegebene Dienststelle der Kommission zu dem „für die Verarbeitung Verantwortlichen“ der Kommission im Sinne von Artikel 3 Absatz 8 der Verordnung (EU) 2018/1725 bestimmt, um sicherzustellen, dass die betreffenden natürlichen Personen ihre Rechte nach jener Verordnung ausüben können.

Artikel 17

(1)   Die Mitgliedstaaten benennen die in dieser Verordnung genannten zuständigen Behörden und geben sie auf den Websites in Anhang II an. Die Mitgliedstaaten notifizieren der Kommission jede Änderung der Adressen ihrer Websites in Anhang II.

(2)   Die Mitgliedstaaten teilen der Kommission ihre zuständigen Behörden, einschließlich der Kontaktdaten, unverzüglich nach Inkrafttreten dieser Verordnung mit und informieren sie über spätere Änderungen.

(3)   Soweit diese Verordnung eine Mitteilungs-, Informations- oder sonstige Kommunikationspflicht gegenüber der Kommission vorsieht, werden dazu die Anschrift und die anderen Kontaktdaten verwendet, die in Anhang II angegeben sind.

Artikel 18

Diese Verordnung gilt

a)

im Gebiet der Union einschließlich ihres Luftraums,

b)

an Bord der Luftfahrzeuge und Schiffe, die der Hoheitsgewalt der Mitgliedstaaten unterstehen,

c)

für natürliche Personen, die die Staatsangehörigkeit eines Mitgliedstaats besitzen, innerhalb und außerhalb des Gebiets der Union,

d)

für alle nach dem Recht eines Mitgliedstaats gegründeten oder eingetragenen juristischen Personen, Organisationen und Einrichtungen innerhalb und außerhalb des Gebiets der Union,

e)

für juristische Personen, Organisationen und Einrichtungen in Bezug auf Geschäfte, die ganz oder teilweise in der Union getätigt werden.

Artikel 19

Diese Verordnung tritt am Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am 17. Mai 2019.

Im Namen des Rates

Der Präsident

E.O. TEODOROVICI

(1)  Siehe Seite 13 dieses Amtsblatts.

(2)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(3)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

ANHANG I

Liste der natürlichen und juristischen Personen, Organisationen und Einrichtungen gemäß Artikel 3

[…]

ANHANG II

Websites mit Informationen über die zuständigen Behörden und Anschrift für Notifikationen an die Europäische Kommission

BELGIEN

https://diplomatie.belgium.be/nl/Beleid/beleidsthemas/vrede_en_veiligheid/sancties

https://diplomatie.belgium.be/fr/politique/themes_politiques/paix_et_securite/sanctions

https://diplomatie.belgium.be/en/policy/policy_areas/peace_and_security/sanctions

BULGARIEN

https://www.mfa.bg/en/101

TSCHECHIEN

www.financnianalytickyurad.cz/mezinarodni-sankce.html

DÄNEMARK

http://um.dk/da/Udenrigspolitik/folkeretten/sanktioner/

DEUTSCHLAND

http://www.bmwi.de/DE/Themen/Aussenwirtschaft/aussenwirtschaftsrecht,did=404888.html

ESTLAND

http://www.vm.ee/est/kat_622/

IRLAND

http://www.dfa.ie/home/index.aspx?id=28519

GRIECHENLAND

http://www.mfa.gr/en/foreign-policy/global-issues/international-sanctions.html

SPANIEN

http://www.exteriores.gob.es/Portal/en/PoliticaExteriorCooperacion/GlobalizacionOportunidadesRiesgos/Paginas/SancionesInternacionales.aspx

FRANKREICH

http://www.diplomatie.gouv.fr/fr/autorites-sanctions/

KROATIEN

http://www.mvep.hr/sankcije

ITALIEN

https://www.esteri.it/mae/it/politica_estera/politica_europea/misure_deroghe

ZYPERN

http://www.mfa.gov.cy/mfa/mfa2016.nsf/mfa35_en/mfa35_en?OpenDocument

LETTLAND

http://www.mfa.gov.lv/en/security/4539

LITAUEN

http://www.urm.lt/sanctions

LUXEMBURG

https://maee.gouvernement.lu/fr/directions-du-ministere/affaires-europeennes/mesures-restrictives.html

UNGARN

http://www.kormany.hu/download/9/2a/f0000/EU%20szankci%C3%B3s%20t%C3%A1j%C3%A9koztat%C3%B3_20170214_final.pdf

ΜΑLTA

https://foreignaffairs.gov.mt/en/Government/SMB/Pages/Sanctions-Monitoring-Board.aspx

NIEDERLANDE

https://www.rijksoverheid.nl/onderwerpen/internationale-sancties

ÖSTERREICH

http://www.bmeia.gv.at/view.php3?f_id=12750&LNG=en&version=

POLEN

https://www.gov.pl/web/dyplomacja

PORTUGAL

http://www.portugal.gov.pt/pt/ministerios/mne/quero-saber-mais/sobre-o-ministerio/medidas-restritivas/medidas-restritivas.aspx

RUMÄNIEN

http://www.mae.ro/node/1548

SLOWENIEN

http://www.mzz.gov.si/si/omejevalni_ukrepi

SLOWAKEI

https://www.mzv.sk/europske_zalezitosti/europske_politiky-sankcie_eu

FINNLAND

http://formin.finland.fi/kvyhteistyo/pakotteet

SCHWEDEN

http://www.ud.se/sanktioner

VEREINIGTES KÖNIGREICH

https://www.gov.uk/sanctions-embargoes-and-restrictions

Anschrift für Notifikationen an die Europäische Kommission:

Europäische Kommission

Dienst für außenpolitische Instrumente (FPI)

EEAS 07/99

B-1049 Brüssel, Belgien

E-Mail: relex-sanctions@ec.europa.eu