|
6.5.2021 |
DE |
Amtsblatt der Europäischen Union |
L 158/17 |
BESCHLUSS DES VERWALTUNGSRATS Nr. 5/2020
vom 21. Oktober 2020
über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Agentur der Europäischen Union für Flugsicherheit
DER VERWALTUNGSRAT DER AGENTUR DER EUROPÄISCHEN AGENTUR FÜR FLUGSICHERHEIT —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere auf Artikel 25,
Gestützt auf die Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates vom 4. Juli 2018 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit sowie zur Änderung der Verordnungen (EG) Nr. 2111/2005, (EG) Nr. 1008/2008, (EU) Nr. 996/2010, (EU) Nr. 376/2014 und der Richtlinien 2014/30/EU und 2014/53/EU des Europäischen Parlaments und des Rates, und zur Aufhebung der Verordnungen (EG) Nr. 552/2004 und (EG) Nr. 216/2008 des Europäischen Parlaments und des Rates und der Verordnung (EWG) Nr. 3922/91 des Rates (2), insbesondere auf Artikel 132,
gestützt auf die Geschäftsordnung des Verwaltungsrats der Agentur der Europäischen Agentur für Flugsicherheit,
nach Anhörung des Europäischen Datenschutzbeauftragten,
nach Unterrichtung des Personalausschusses,
in Erwägung nachstehender Gründe:
|
(1) |
Die Agentur der Europäischen Union für Flugsicherheit (im Folgenden: EASA) ist befugt, Verwaltungsuntersuchungen, Vordisziplinar-, Disziplinar- und Dienstenthebungsverfahren gemäß dem Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union, so wie diese in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (im Folgenden: Statut) (3) niedergelegt sind, sowie gemäß der Entscheidung Nr. 2011/216/E des EASA-Exekutivdirektors vom 16. Dezember 2011 zur Festlegung allgemeiner Durchführungsbestimmungen für die Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren, durchzuführen. Erforderlichenfalls werden Fälle auch an OLAF gemeldet. |
|
(2) |
Die Beschäftigten der EASA sind verpflichtet, potenziell rechtswidrige Handlungen, einschließlich Betrug oder Korruption, zum Nachteil der Interessen der Union, zu melden. Die Beschäftigten sind auch verpflichtet, Verhaltensweisen zu melden, die mit der Ausübung beruflicher Pflichten im Zusammenhang stehen und eine schwerwiegende Verletzung der Pflichten von Beamten der Union darstellen könnten. Dies ist im Beschluss des EASA-Verwaltungsrats 15-2018 vom 14. Dezember 2018 geregelt. |
|
(3) |
Die EASA hat Grundsätze für die Prävention gegen Mobbing und sexuelle Belästigung im Arbeitsumfeld sowie ein wirksames Vorgehen bei erwiesenen oder mutmaßlichen Fällen aufgestellt; diese Grundsätze sind in der Entscheidung Nr. 2008/180/A des EASA-Exekutivdirektors vom 5. August 2009 zur Verabschiedung von Durchführungsmaßnahmen gemäß der Personalverordnung niedergelegt. |
|
(4) |
Mit dem Beschluss wurde ein formloses Verfahren eingeführt, nach dem sich mutmaßliche Opfer von Mobbing bzw. sexueller Belästigung an die „Vertrauenspersonen“ der EASA wenden können. |
|
(5) |
Die EASA kann auch Untersuchungen wegen möglicher Verstöße gegen Sicherheitsvorschriften für den Schutz von Verschlusssachen der Europäischen Union (im Folgenden „EUVS“) durchführen; die Rechtsgrundlage dafür ist der Entscheidung Nr. 2020/010/ED des EASA Exekutivdirektors vom 17. Februar 2020 zu den Sicherheitsvorschriften von EASA zum Schutz von Verschlusssachen der Europäischen Union. |
|
(6) |
Die EASA unterliegt hinsichtlich ihrer Tätigkeiten sowohl internen als auch externen Audits. |
|
(7) |
Im Zusammenhang mit solchen Verwaltungsuntersuchungen, Audits und Ermittlungen arbeitet die EASA mit anderen Organen, Einrichtungen und sonstigen Stellen der Union zusammen. |
|
(8) |
Die EASA kann mit nationalen Behörden von Drittländern und internationalen Organisationen auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten. |
|
(9) |
Die EASA kann auch mit Behörden der EU-Mitgliedstaaten auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten. |
|
(10) |
Die EASA ist an Rechtssachen vor dem Gerichtshof der Europäischen Union beteiligt; dies ist der Fall, wenn sie dort Klage erhebt, eine von ihr getroffene Entscheidung, die vor dem Gerichtshof angefochten wird, verteidigt oder in Rechtssachen, die ihre Aufgaben betreffen, als Streithelfer dem Rechtsstreit beitritt. In diesem Zusammenhang kann es vorkommen, dass die EASA die Vertraulichkeit personenbezogener Daten in den von den Parteien oder Streithelfern erlangten Dokumenten wahren muss. |
|
(11) |
Die EASA ist befugt, Inspektionen, andere Überwachungstätigkeiten und Untersuchungen gemäß Artikel 75 Absatz 2 Buchstabe e der Verordnung (EU) 2018/1139 durchzuführen. |
|
(12) |
Die EASA ist befugt, interne oder externe IT-Sicherheitsuntersuchungen (z. B. CERT-EU) gemäß Artikel 75 Absatz 2 Buchstabe d der Verordnung (EU) 2018/1139 durchzuführen. |
|
(13) |
Der Datenschutzbeauftragte der EASA (im Folgenden: DSB) ist befugt, interne und externe Beschwerden zu bearbeiten und interne Audits und Untersuchungen gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 (im Folgenden „die Verordnung“) durchzuführen. |
|
(14) |
Zur Erfüllung ihrer Aufgaben sammelt und verarbeitet die EASA Informationen und verschiedene Kategorien personenbezogener Daten, darunter Identifikationsdaten natürlicher Personen, Kontaktinformationen, berufliche Rollen und Aufgaben, Informationen über privates und berufliches Verhalten und Leistung sowie Finanzdaten. Die EASA fungiert als Verantwortliche. |
|
(15) |
Aufgrund der Verordnung ist die EASA daher verpflichtet, die betroffenen Personen über diese Verarbeitungstätigkeiten zu informieren und deren Rechte als betroffene Personen zu wahren. |
|
(16) |
Die EASA ist unter Umständen gehalten, diese Rechte mit den Zielen von Verwaltungsuntersuchungen, Audits, Ermittlungen und Gerichtsverfahren in Einklang zu bringen. Die EASA könnte auch gehalten sein, die Rechte einer betroffenen Person gegen die Grundrechte und Grundfreiheiten anderer betroffener Personen abzuwägen. Zu diesem Zweck bietet Artikel 25 der Verordnung der EASA die Möglichkeit, unter strengen Voraussetzungen die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, zu beschränken. Sofern diese Beschränkungen nicht in einem auf der Grundlage der Verträge erlassenen Rechtsakt vorgesehen sind, ist es erforderlich, interne Vorschriften zu erlassen, die die EASA zur Beschränkung der betreffenden Rechte berechtigen. |
|
(17) |
So könnte es für die EASA z. B. in der Vorphase einer Verwaltungsuntersuchung oder während der eigentlichen Verwaltungsuntersuchung, vor einer etwaigen Verfahrenseinstellung oder im Vordisziplinarverfahren erforderlich sein, die Informationen zu beschränken, die der betroffenen Person über die Verarbeitung ihrer personenbezogenen Daten mitgeteilt werden. Unter bestimmten Umständen könnte die Mitteilung solcher Informationen die Fähigkeit der EASA, die Untersuchung wirksam durchzuführen, erheblich beeinträchtigen; beispielsweise wenn die Gefahr besteht, dass die betreffende Person Beweise vernichten oder potenzielle Zeugen beeinflussen könnte, bevor diese vernommen werden. Es könnte auch erforderlich sein, dass die EASA die Rechte und Freiheiten von Zeugen oder anderen beteiligten Personen schützt. |
|
(18) |
Es könnte erforderlich sein, die Anonymität von Zeugen oder Hinweisgebern zu wahren, die darum gebeten haben, nicht identifiziert zu werden. In solchen Fällen könnte die EASA beschließen, die Auskunft über die Identität, Aussagen und sonstigen personenbezogenen Daten solcher Personen zu beschränken, um deren Rechte und Freiheiten zu schützen. |
|
(19) |
Es könnte notwendig sein, vertrauliche Informationen zu schützen, die einen Mitarbeiter betreffen, der sich im Zusammenhang mit einem Verfahren wegen Mobbings oder sexueller Belästigung an Vertrauenspersonen der EASA gewandt hat. In solchen Fällen könnte es für die EASA erforderlich sein, die Auskunft über die Identität, Aussagen und sonstigen personenbezogenen Daten des mutmaßlichen Opfers, des mutmaßlichen Täters und anderer Beteiligter zu beschränken, um die Rechte und Freiheiten aller Beteiligten zu schützen. |
|
(20) |
Die EASA sollte solche Beschränkungen nur vornehmen, wenn sie den Wesensgehalt der Grundrechte und Grundfreiheiten achten, unbedingt notwendig sind und eine in einer demokratischen Gesellschaft verhältnismäßige Maßnahme darstellen. Die EASA muss begründen, warum die Beschränkungen gerechtfertigt sind. |
|
(21) |
Nach dem Grundsatz der Rechenschaftspflicht muss die EASA Aufzeichnungen über die von ihr vorgenommenen Beschränkungen führen. |
|
(22) |
Bei der Verarbeitung personenbezogener Daten, die sie im Rahmen ihrer Aufgaben mit anderen Organisationen austauscht, erfolgt eine wechselseitige Konsultation zwischen der EASA und diesen Organisationen über etwaige Gründe für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der Beschränkungen, es sei denn, dies würde die Tätigkeiten der EASA gefährden. |
|
(23) |
Gemäß Artikel 25 Absatz 6 der Verordnung ist der Verantwortliche verpflichtet, die betroffenen Personen über die wesentlichen Gründe für die Beschränkung und über ihr Recht auf Beschwerde beim EDSB zu unterrichten. |
|
(24) |
Die EASA kann die Unterrichtung der betroffenen Person über die Gründe für die Beschränkung gemäß Artikel 25 Absatz 8 der Verordnung zurückstellen, unterlassen oder ablehnen, wenn die Unterrichtung die Wirkung der vorgenommenen Beschränkung zunichtemachen würde. Die EASA sollte im Einzelfall prüfen, ob die Unterrichtung über die Beschränkung deren Wirkung zunichtemachen würde. |
|
(25) |
Die EASA sollte die Beschränkung aufheben, sobald die sie rechtfertigenden Voraussetzungen nicht länger gegeben sind, und das Vorliegen dieser Voraussetzungen regelmäßig überprüfen. |
|
(26) |
Zur Gewährleistung des größtmöglichen Schutzes der Rechte und Freiheiten der betroffenen Personen und gemäß Artikel 44 Absatz 1 der Verordnung sollte der Datenschutzbeauftragte rechtzeitig über alle Beschränkungen, die möglicherweise vorgenommen werden, konsultiert werden, und überprüfen, dass die Beschränkungen mit diesem Beschluss in Einklang stehen. |
|
(27) |
Artikel 16 Absatz 5 und Artikel 17 Absatz 4 der Verordnung sehen Ausnahmen vom Recht der betroffenen Personen auf Unterrichtung und Auskunft vor. Soweit diese Ausnahmen Anwendung finden, ist es für die EASA nicht erforderlich, eine auf diesem Beschluss beruhende Beschränkung vorzunehmen — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Gegenstand und Anwendungsbereich
(1) Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die EASA die Anwendung der Artikel 4, 14 bis 22, 35 und 36 gemäß Artikel 25 der Verordnung beschränken darf.
(2) Die EASA wird als Verantwortliche durch ihren Exekutivdirektor vertreten.
Artikel 2
Beschränkungen
(1) Die EASA kann die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, wie folgt beschränken:
|
(a) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Verordnung, wenn die EASA Verwaltungsuntersuchungen, Vordisziplinar-, Disziplinar- und Dienstenthebungsverfahren gemäß Artikel 86 und Anhang IX des Statuts und der Entscheidung Nr. 2011/216/E des EASA Exekutivdirektors vom 16. Dezember 2011 zur Festlegung allgemeiner Durchführungsbestimmungen für die Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren durchführt sowie wenn die EASA Verdachtsfälle an OLAF meldet; |
|
(b) |
gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn sichergestellt wird, dass die EASA-Bediensteten Tatsachen vertraulich melden können, wenn sie der Ansicht sind, dass es zu schwerwiegenden Unregelmäßigkeiten kommt, wie in dem Beschluss 15-2018 des Verwaltungsrats der EASA vom 14. Dezember 2018 festgelegt; |
|
(c) |
gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn sichergestellt wird, dass sich die EASA-Bediensteten im Rahmen von Mobbing oder sexueller Belästigung bei Vertrauenspersonen melden können, wie in der Entscheidung Nr. 2008/180/A des EASA Exekutivdirektors vom 5. August 2009 festgelegt; |
|
(d) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, d, f, g und h bei der Durchführung von Untersuchungen wegen möglicher Verstöße gegen Sicherheitsvorschriften für den Schutz von Verschlusssachen der Europäischen Union (im Folgenden: EUVS); die Rechtsgrundlage dafür ist die Entscheidung Nr. 2020/010/ED des EASA Exekutivdirektors vom 17. Februar 2020 zu den Sicherheitsvorschriften von EASA zum Schutz von Verschlusssachen der Europäischen Union; |
|
(e) |
gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung, wenn die EASA interne Audits bezüglich der Tätigkeiten oder Abteilungen der EASA durchführt; |
|
(f) |
gemäß Artikel 25 Absatz 1 Buchstaben c, d, g und h der Verordnung, wenn die EASA anderen Organen, Einrichtungen und sonstigen Stellen der Europäischen Union Unterstützung leistet oder Unterstützung von ihnen erhält oder mit ihnen im Rahmen von Tätigkeiten gemäß den Buchstaben a bis d dieses Absatzes zusammenarbeitet sowie gemäß Dienstgütevereinbarungen, Absichtserklärungen und Kooperationsvereinbarungen; |
|
(g) |
gemäß Artikel 25 Absatz 1 Buchstabe c, g und h der Verordnung, wenn die EASA auf deren Ersuchen oder aus eigener Initiative nationalen Behörden von Drittländern und internationalen Organisationen Unterstützung leistet oder Unterstützung von ihnen erhält oder mit ihnen zusammenarbeitet; |
|
(h) |
gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung, wenn die EASA auf deren Ersuchen oder aus eigener Initiative nationalen Behörden von Mitgliedstaaten der Union Unterstützung leistet oder Unterstützung von ihnen erhält und mit ihnen zusammenarbeitet; |
|
(i) |
gemäß Artikel 25 Absatz 1 Buchstabe e der Verordnung, wenn die EASA personenbezogene Daten verarbeitet, die in Dokumenten enthalten sind, die von den Parteien oder Streithelfern erlangt wurden, die an einem Verfahren vor dem Gerichtshof der Europäischen Union beteiligt sind; |
|
(j) |
gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung bei der Verarbeitung personenbezogener Daten im Rahmen der Durchführung von Inspektionen, anderen Überwachungstätigkeiten und Untersuchungen gemäß Artikel 75 Absatz 2 Buchstabe e der Verordnung (EU) 2018/1139; |
|
(k) |
gemäß Artikel 25 Absatz 1 Buchstaben b, c, d, f, g und h der Verordnung bei der Verarbeitung personenbezogener Daten im Rahmen der Durchführung von internen oder externen IT-Sicherheitsuntersuchungen (z. B. CERT-EU) gemäß Artikel 75 Absatz 2 Buchstabe d der Verordnung (EU) 2018/1139. |
(2) Gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Verordnung kann der DSB die Anwendung der Artikel 14 bis 22, 35 und 36 sowie Artikel 4 davon beschränken, soweit die Bestimmungen den Rechten und Pflichten der Artikel 14 bis 20 entsprechen, die bei der Bearbeitung interner und externer Beschwerden sowie bei der Durchführung interner Audits und Untersuchungen gemäß Artikel 45 Absatz 2 der Verordnung vorgesehen sind.
(3) Jede Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.
(4) Bevor Beschränkungen vorgenommen werden, ist deren Notwendigkeit und Verhältnismäßigkeit im Einzelfall zu prüfen. Beschränkungen sind auf das zur Erreichung ihres Zwecks unbedingt erforderliche Maß zu begrenzen.
(5) Zu Rechenschaftszwecken erstellt die EASA Aufzeichnungen über die Gründe für die vorgenommenen Beschränkungen, die angewandten Rechtsgrundlagen gemäß Absatz 1 sowie das Ergebnis der Notwendigkeits- und Verhältnismäßigkeitsprüfung. Diese Aufzeichnungen sind Teil eines Registers, das dem EDSB auf Anfrage zur Verfügung gestellt wird. Die EASA erstellt regelmäßig Berichte über die Anwendung von Artikel 25 der Verordnung.
(6) Bei der Verarbeitung personenbezogener Daten, die sie im Rahmen ihrer Aufgaben von anderen Organisationen erhält, konsultiert die EASA diese Organisationen über mögliche Gründe für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der betreffenden Beschränkungen, es sei denn, dies würde die Tätigkeiten der EASA gefährden.
Artikel 3
Risiken für die Rechte und Freiheiten der betroffenen Personen
(1) Die Bewertungen der sich aus der Vornahme von Beschränkungen ergebenden Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die Angaben zur Geltungsdauer dieser Beschränkungen sind im Verzeichnis der Verarbeitungstätigkeiten einzutragen, das von der EASA gemäß Artikel 31 der Verordnung geführt wird. Außerdem sind sie in den einschlägigen Datenschutz-Folgenabschätzungen gemäß Artikel 39 der Verordnung zu vermerken.
(2) Bei jeder Prüfung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung berücksichtigt die EASA die möglichen Risiken für die Rechte und Freiheiten der betroffenen Person.
Artikel 4
Garantien und Aufbewahrungsfrist
(1) Die EASA implementiert Schutzvorkehrungen, die verhindern, dass personenbezogene Daten, die Beschränkungen unterliegen oder unterliegenden könnten, Missbrauch, unrechtmäßigem Zugriff oder unrechtmäßiger Übermittlung ausgesetzt sind. Diese Schutzvorkehrungen umfassen technische und organisatorische Maßnahmen und werden erforderlichenfalls in den internen Beschlüssen, Verfahren und Durchführungsbestimmungen der EASA im Einzelnen angegeben. Die Schutzvorkehrungen müssen Folgendes umfassen und sicherstellen:
|
(a) |
eine klare Definition der Rollen, Zuständigkeiten und Verfahrensschritte; |
|
(b) |
gegebenenfalls eine sichere elektronische Umgebung, die den unrechtmäßigen und zufälligen Zugriff auf oder die Übermittlung elektronischer Daten an unbefugte Personen verhindert; |
|
(c) |
gegebenenfalls die sichere Aufbewahrung und Verarbeitung von papierbasierten Dokumenten; |
|
(d) |
die Überwachung der Beschränkungen und die regelmäßige Überprüfung ihrer Anwendung. |
Die in Buchstabe d genannten Überprüfungen sind mindestens alle sechs Monate durchzuführen.
(2) Beschränkungen sind aufzuheben, sobald die Umstände, die sie rechtfertigen, nicht mehr gegeben sind.
(3) Die personenbezogenen Daten werden in Übereinstimmung mit den geltenden EASA-Datenspeicherungsregeln gespeichert, die in den gemäß Artikel 31 der Verordnung geführten Datenschutzaufzeichnungen zu definieren sind. Nach Ablauf der Aufbewahrungsfrist werden die personenbezogenen Daten gemäß Artikel 13 der Verordnung gelöscht, anonymisiert oder in Archive übertragen.
Artikel 5
Mitwirkung des/der Datenschutzbeauftragten
(1) Jede Beschränkung der Rechte betroffener Personen, die gemäß diesem Beschluss vorgenommen wird, ist unverzüglich dem/der DSB mitzuteilen. Der/die Datenschutzbeauftragte erhält vollen und uneingeschränkten Zugang zu allen Aufzeichnungen und Dokumenten, die den zugrunde liegenden sachlichen oder rechtlichen Zusammenhang betreffen.
(2) Der/die DSB kann die Überprüfung einer vorgenommenen Beschränkung verlangen. Die EASA informiert ihre(n) DSB schriftlich über das Ergebnis der Überprüfung.
(3) Die EASA dokumentiert die Mitwirkung des/der DSB bei der Vornahme von Beschränkungen sowie die dem/der DSB mitgeteilten Informationen.
Artikel 6
Unterrichtung betroffener Personen über Beschränkungen ihrer Rechte
(1) In die Datenschutzhinweise, die sie auf ihrer Website/im Intranet veröffentlicht, nimmt die EASA allgemeine Informationen auf, die die betroffenen Personen über die Möglichkeit einer Beschränkung ihrer Rechte gemäß Artikel 2 Absatz 1 unterrichten. Darin ist darüber zu informieren, welche Rechte beschränkt werden können, aus welchen Gründen die Beschränkungen vorgenommen werden können und für welche Dauer sie gelten können.
(2) Betroffene Personen sind von der EASA einzeln, schriftlich und unverzüglich über die gegenwärtigen oder künftigen Beschränkungen ihrer Rechte zu unterrichten. Die EASA unterrichtet die betroffenen Personen über die wesentlichen Gründe für die Beschränkung, über das Recht betroffener Personen, sich an den/die DSB zu wenden, um gegen die Beschränkung vorzugehen, sowie über ihr Recht, beim EDSB Beschwerde einzulegen.
(3) Solange die Unterrichtung über die Gründe für die Beschränkung und das Recht auf Einlegung der Beschwerde beim EDSB die Wirkung der Beschränkung zunichtemachen würde, kann sie von der EASA zurückgestellt, unterlassen oder abgelehnt werden. Die Beurteilung, ob dies gerechtfertigt wäre, erfolgt auf Einzelfallbasis. Sobald die Unterrichtung die Wirkung der Beschränkung nicht mehr zunichtemachen würde, ist die betroffene Person von der EASA zu unterrichten.
Artikel 7
Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes
(1) Ist die EASA gemäß Artikel 35 Absatz 1 der Verordnung zur Benachrichtigung über eine Datenschutzverletzung verpflichtet, ist es in Ausnahmefällen möglich, die Benachrichtigung ganz oder zum Teil zu beschränken. Die EASA muss die Gründe für die Beschränkung sowie die Rechtsgrundlage gemäß obigem Artikel 2 sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung dokumentieren. Der Vermerk ist dem EDSB zum Zeitpunkt der Meldung der Verletzung des Schutzes personenbezogener Daten mitzuteilen.
(2) Sind die Gründe für die Beschränkung nicht mehr gegeben, unterrichtet die EASA die betroffene Person über die Verletzung des Schutzes personenbezogener Daten, wobei die Hauptgründe für die Beschränkung anzugeben und auf das Recht der betroffenen Person, beim EDSB Beschwerde einzulegen, hinzuweisen ist.
Artikel 8
Vertraulichkeit der elektronischen Kommunikation
(1) In Ausnahmefällen ist es der EASA möglich, das Recht auf Vertraulichkeit der elektronischen Kommunikation im Sinne von Artikel 36 der Verordnung zu beschränken. Derartige Beschränkungen müssen der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (4) genügen.
(2) Beschränkt die EASA das Recht auf Vertraulichkeit der elektronischen Kommunikation, unterrichtet sie die betroffene Person in der Antwort auf deren Anfrage über die wesentlichen Gründe für diese Beschränkung sowie über das Recht der betroffenen Person, beim EDSB Beschwerde einzulegen.
(3) Solange die Unterrichtung über die Gründe für die Beschränkung und das Recht auf Einlegung der Beschwerde beim EDSB die Wirkung der Beschränkung zunichtemachen würde, kann sie von der EASA zurückgestellt, unterlassen oder abgelehnt werden. Die Beurteilung, ob dies gerechtfertigt wäre, erfolgt auf Einzelfallbasis.
Artikel 9
Inkrafttreten
Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Warschau, den 21. Oktober 2020
Piotr SAMSON
Vorsitzender des Verwaltungsrats
(1) ABl. L 295, 21.11.2018, S. 39.
(2) ABl. L 212 vom 22.8.2018, S. 1.
(3) Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Beamtenstatuts und der Beschäftigungsbedingungen für andere Bedienstete der Europäischen Gemeinschaften und zur Einführung von Sondermaßnahmen, die vorübergehend für Bedienstete der Kommission gelten (ABl. L 56 vom 4.3.1968, S. 1).
(4) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).