26.1.2021   

DE

Amtsblatt der Europäischen Union

L 26/116


BESCHLUSS DES LENKUNGSAUSSCHUSSES DER EXEKUTIVAGENTUR FÜR KLEINE UND MITTLERE UNTERNEHMEN

über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Agentur

DER LENKUNGSAUSSCHUSS —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union und insbesondere Artikel 249 Absatz 1,

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1) („die Verordnung“), insbesondere Artikel 25,

gestützt auf den Durchführungsbeschluss 2013/771/EU der Kommission vom 17. Dezember 2013 zur Einrichtung der Exekutivagentur für kleine und mittlere Unternehmen und zur Aufhebung der Beschlüsse 2004/20/EG und 2007/372/EG (2),

nach Konsultation des Europäischen Datenschutzbeauftragten (EDSB),

in Erwägung nachstehender Gründe:

(1)

Die Exekutivagentur für kleine und mittlere Unternehmen (EASME) („die Agentur“) wurde durch den Durchführungsbeschluss 2013/771/EU eingerichtet, um Aufgaben im Zusammenhang mit der Durchführung von Unionsprogrammen im Bereich Energie, Umwelt, Klimaschutz, Wettbewerbsfähigkeit und KMU, Forschung und Innovation sowie IKT (3) wahrzunehmen.

(2)

Im Rahmen ihrer administrativen und operativen Tätigkeit kann die Agentur Verwaltungsuntersuchungen, Vorverfahren in Disziplinarsachen, Disziplinarverfahren und Dienstenthebungsverfahren gemäß dem Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union, so wie diese in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates („Statut“) (4) niedergelegt sind, sowie gemäß den Durchführungsbestimmungen für die Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren durchführen. Bei Bedarf kann die Agentur vorläufige Maßnahmen im Zusammenhang mit Fällen von möglichem Betrug und Unregelmäßigkeiten ergreifen und entsprechende Fälle dem OLAF melden.

(3)

Die Beschäftigten der Agentur sind verpflichtet, potenziell rechtswidrige Handlungen, einschließlich Betrug oder Korruption, zum Nachteil der Interessen der Union, zu melden. Die Beschäftigten sind auch verpflichtet, Verhaltensweisen zu melden, die mit der Ausübung beruflicher Pflichten im Zusammenhang stehen und eine schwerwiegende Verletzung der Pflichten von Beamten der Union darstellen könnten. Dies ist in den internen Vorschriften oder Grundsätzen zur Meldung von Missständen („Whistleblowing“) geregelt.

(4)

Die Agentur hat Grundsätze für die Prävention von Mobbing und sexueller Belästigung im Arbeitsumfeld sowie ein wirksames Vorgehen bei erwiesenen oder mutmaßlichen Fällen gemäß Durchführungsmaßnahmen entsprechend dem Statut aufgestellt; demnach ist ein informelles Verfahren vorgesehen, bei dem sich mutmaßliche Opfer von Mobbing bzw. sexueller Belästigung an die Vertrauenspersonen der Agentur wenden können.

(5)

Die Agentur kann zudem interne (IT-)Sicherheitsuntersuchungen sowie Untersuchungen wegen möglicher Verstöße gegen Sicherheitsvorschriften für den Schutz von Verschlusssachen der Europäischen Union („EU-VS“) durchführen.

(6)

Die Agentur unterliegt hinsichtlich ihrer Tätigkeiten sowohl internen als auch externen Audits, die unter anderem von dem Internen Auditdienst der Europäischen Kommission und vom Europäischen Rechnungshof durchgeführt werden.

(7)

Die Agentur kann Ersuchen der Europäischen Staatsanwaltschaft (EUStA) sowie Anträge auf Zugang zu den medizinischen Akten der Bediensteten der Agentur bearbeiten und Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung durchführen.

(8)

Im Zusammenhang mit solchen Verwaltungsuntersuchungen, Audits, Ermittlungen oder Ersuchen arbeitet die Agentur mit anderen Organen, Einrichtungen und sonstigen Stellen der Union zusammen.

(9)

Die Agentur kann mit nationalen Behörden von Drittländern und internationalen Organisationen auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten.

(10)

Die Agentur kann auch mit Behörden der EU-Mitgliedstaaten auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten.

(11)

Die Agentur kann Gegenstand von Beschwerden, Verfahren oder Untersuchungen durch Hinweisgeber oder den Europäischen Bürgerbeauftragten sein.

(12)

Die Agentur kann an Rechtssachen vor dem Gerichtshof der Europäischen Union beteiligt sein; dies ist der Fall, wenn sie dort Klage erhebt, eine von ihr getroffene Entscheidung, die vor dem Gerichtshof angefochten wird, verteidigt oder in Rechtssachen, die ihre Aufgaben betreffen, als Streithelfer dem Rechtsstreit beitritt. In diesem Zusammenhang kann es vorkommen, dass die Agentur die Vertraulichkeit personenbezogener Daten in den von den Parteien oder Streithelfern erlangten Dokumenten wahren muss.

(13)

Im Rahmen ihrer Tätigkeit verarbeitet die Agentur verschiedene Kategorien personenbezogener Daten, darunter Daten zur Identifizierung natürlicher Personen, Kontaktdaten, Daten über berufliche Zuständigkeiten und Aufgaben, Angaben zu Verhalten und Leistungen auf privater und beruflicher Ebene und Finanzdaten sowie in einigen spezifischen Fällen auch sensible Daten (z. B. Gesundheitsdaten). Personenbezogene Daten umfassen faktische „harte“ Daten sowie „weiche“ Bewertungsdaten.

Unter „harten Daten“ versteht man objektive, faktische Daten wie Daten zur Identifizierung, Kontaktdaten, berufliche Daten, Verwaltungsdaten, Metadaten im Zusammenhang mit der elektronischen Kommunikation und Verkehrsdaten.

„Weiche Daten“ sind subjektive Daten und umfassen insbesondere die Beschreibung und Bewertung von Situationen und Umständen, Stellungnahmen, Beobachtungen im Zusammenhang mit betroffenen Personen, Verhaltens- und Leistungsdaten von betroffenen Personen und die Begründung einzelner Entscheidungen, die mit dem Gegenstand des Verfahrens oder der Tätigkeit der Agentur gemäß dem geltenden Rechtsrahmen zusammenhängen oder in diesem Zusammenhang vorgelegt wurden.

Bewertungen, Beobachtungen und Stellungnahmen gelten als personenbezogene Daten im Sinne von Artikel 3 Absatz 1 der Verordnung.

(14)

Aufgrund der Verordnung ist die Agentur daher verpflichtet, die betroffenen Personen über diese Verarbeitungstätigkeiten zu informieren und deren Rechte als betroffene Personen zu wahren.

(15)

Die Agentur verpflichtet sich, die Grundrechte der betroffenen Personen in größtmöglichem Umfang zu wahren, insbesondere das Recht auf Unterrichtung, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen oder Vertraulichkeit der Kommunikation, wie in der Verordnung festgelegt. Die Agentur kann jedoch auch verpflichtet sein, die Rechte und Pflichten der betroffenen Person einzuschränken, um ihre eigenen Tätigkeiten sowie die Grundrechte und -freiheiten anderer zu schützen.

(16)

Daher hat die Agentur gemäß Artikel 25 Absätze 1 und 5 der Verordnung die Möglichkeit, unter bestimmten Bedingungen die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, zu beschränken, und zwar auf der Grundlage von internen Vorschriften, die auf der höchsten Verwaltungsebene der Agentur erlassen und im Amtsblatt der Europäischen Union veröffentlicht werden, sofern sie sich nicht auf Rechtsakte stützen, die auf der Grundlage der Verträge erlassen wurden.

(17)

Verschiedene in der Verordnung verankerte Rechte der betroffenen Personen können beschränkt werden, unter anderem ihre Rechte auf Unterrichtung, auf Auskunft über personenbezogene Daten, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Benachrichtigung über Verletzungen des Schutzes ihrer personenbezogenen Daten sowie auf Vertraulichkeit der Kommunikation.

(18)

Die Agentur ist unter Umständen gehalten, diese Rechte mit den Zielen von Verwaltungsuntersuchungen, Audits, Ermittlungen und Gerichtsverfahren in Einklang zu bringen. Die Agentur kann auch gehalten sein, die Rechte einer betroffenen Person gegen die Grundrechte und Grundfreiheiten anderer betroffener Personen abzuwägen.

(19)

So kann es für die Agentur z. B. in der Vorphase einer Verwaltungsuntersuchung oder während der eigentlichen Verwaltungsuntersuchung, vor einer etwaigen Verfahrenseinstellung oder im Vorverfahren von Disziplinarsachen erforderlich sein, die Informationen zu beschränken, die der betroffenen Person über die Verarbeitung ihrer personenbezogenen Daten mitgeteilt werden. Unter bestimmten Umständen kann die Mitteilung solcher Informationen die Fähigkeit der Agentur, die Untersuchung wirksam durchzuführen, erheblich beeinträchtigen; beispielsweise wenn die Gefahr besteht, dass die betreffende Person Beweise vernichten oder potenzielle Zeugen beeinflussen könnte, bevor diese vernommen werden. Es kann auch erforderlich sein, dass die Agentur die Rechte und Freiheiten von Zeugen oder anderen beteiligten Personen schützen muss.

(20)

Unter Umständen muss die Agentur die Anonymität von Zeugen oder Hinweisgebern wahren, die darum gebeten haben, nicht identifiziert zu werden. In solchen Fällen kann die Agentur beschließen, die Auskunft über die Identität, Aussagen und sonstige personenbezogene Daten solcher Personen oder der verdächtigten Person zu beschränken, um deren Rechte und Freiheiten zu schützen.

(21)

Unter Umständen muss die Agentur vertrauliche Informationen schützen, die einen Mitarbeiter betreffen, der sich im Zusammenhang mit einem Verfahren wegen Mobbing oder sexueller Belästigung an Vertrauenspersonen der Agentur gewandt hat. In solchen Fällen kann es für die Agentur erforderlich sein, die Auskunft über die Identität, Aussagen und sonstige personenbezogene Daten des mutmaßlichen Opfers, des mutmaßlichen Täters und anderer Beteiligter zu beschränken, um die Rechte und Freiheiten aller Beteiligten zu schützen.

(22)

Im Zusammenhang mit Auswahl- und Einstellungsverfahren, Personalbeurteilungen und Vergabeverfahren kann das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung nur zu bestimmten Zeitpunkten und unter den Bedingungen ausgeübt werden, die in den entsprechenden Verfahren vorgesehen sind, um die Rechte anderer betroffener Personen zu schützen und die Grundsätze der Gleichbehandlung und des Beratungsgeheimnisses zu wahren.

(23)

Die Agentur kann auch den Zugang von Einzelpersonen zu ihren medizinischen Daten, beispielsweise psychologischer oder psychiatrischer Art, beschränken, da derartige Daten möglicherweise sensibel sind; und der medizinische Dienst der Kommission möchte betroffenen Personen unter Umständen nur indirekt Auskunft über ihren Arzt erteilen. Die betroffene Person kann das Recht auf Berichtigung von Beurteilungen oder Gutachten des medizinischen Dienstes der Kommission ausüben, indem sie entsprechende Anmerkungen oder einen Bericht eines Arztes ihrer Wahl vorlegt.

(24)

Die Agentur, vertreten durch ihren Direktor, ist der Verantwortliche; dies gilt auch, wenn Befugnisse des Verantwortlichen innerhalb der Agentur an zuständige „delegierte Verantwortliche“ delegiert werden, um den operativen Verantwortlichkeiten für bestimmte Tätigkeiten der Verarbeitung personenbezogener Daten Rechnung zu tragen.

(25)

Die personenbezogenen Daten werden sicher in einer elektronischen Umgebung im Sinne des Beschlusses (EU, Euratom) 2017/46 der Kommission (5) oder auf Papier gespeichert, wobei verhindert wird, dass Personen, die keine Kenntnis von diesen Daten haben müssen, unrechtmäßiger Zugang zu den Daten gewährt wird oder diese Daten unrechtmäßig übermittelt werden. Die verarbeiteten personenbezogenen Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und angemessen ist, und zwar für den in den Datenschutzhinweisen und -aufzeichnungen der Agentur angegebenen Zeitraum.

(26)

Die Agentur nimmt nur dann Beschränkungen vor, wenn sie den Wesensgehalt der Grundrechte und Grundfreiheiten achten, unbedingt notwendig sind und eine in einer demokratischen Gesellschaft verhältnismäßige Maßnahme darstellen. Die Agentur gibt die Gründe zur Rechtfertigung dieser Beschränkungen an und unterrichtet die betroffenen Personen über diese Gründe und ihr Recht, gemäß Artikel 25 Absatz 6 der Verordnung eine Beschwerde beim EDSB einzureichen.

(27)

Nach dem Grundsatz der Rechenschaftspflicht führt die Agentur Aufzeichnungen über die von ihr vorgenommenen Beschränkungen.

(28)

Bei der Verarbeitung personenbezogener Daten, die die Agentur im Rahmen ihrer Aufgaben mit anderen Organisationen austauscht, erfolgt eine wechselseitige Konsultation zwischen der Agentur und diesen Organisationen über etwaige Gründe für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der Beschränkungen, es sei denn, dies würde die Tätigkeiten der Agentur gefährden.

(29)

Diese internen Vorschriften gelten somit für alle Tätigkeiten zur Verarbeitung personenbezogener Daten, die von der Agentur für folgende Zwecke durchgeführt werden: Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufige Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten, Ermittlungen der Europäischen Staatsanwaltschaft (EUStA), Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“), (formelle und informelle) Verfahren in Bezug auf Fälle von Mobbing, Bearbeitung von internen und externen Beschwerden, Anträge auf Auskunft über oder Berichtigung der eigenen medizinischen Akten, vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung durchgeführte Untersuchungen, (IT-)Sicherheitsuntersuchungen, die intern oder mit externer Beteiligung (z. B. von CERT-EU) durchgeführt werden, Audits, Verfahren vor dem Gerichtshof der Europäischen Union oder nationalen Behörden, Auswahl- und Einstellungsverfahren, Personalbeurteilung und öffentliche Auftragsvergabe, wie vorstehend aufgeführt.

(30)

Diese internen Vorschriften gelten für Verarbeitungstätigkeiten, die vor der Einleitung der vorstehend genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen vorgenommen werden. Dies sollte auch die von der Agentur für andere Institutionen der Union, nationale Behörden und internationale Organisationen außerhalb ihrer administrativen Untersuchungen geleistete Unterstützung und Zusammenarbeit umfassen.

(31)

Die Agentur kann die Unterrichtung der betroffenen Person über die Gründe für die Beschränkung gemäß Artikel 25 Absatz 8 der Verordnung zurückstellen, unterlassen oder ablehnen, wenn die Unterrichtung die Wirkung der vorgenommenen Beschränkung zunichtemachen würde. Die Agentur prüft im Einzelfall, ob die Mitteilung der Beschränkung ihre Wirkung zunichtemachen würde.

(32)

Die Agentur hebt die Beschränkung auf, sobald die Voraussetzungen für die Beschränkung nicht mehr gegeben sind, und überprüft diese Voraussetzungen regelmäßig.

(33)

Zur Gewährleistung des größtmöglichen Schutzes der Rechte und Freiheiten der betroffenen Personen und im Einklang mit Artikel 44 Absatz 1 der Verordnung wird der Datenschutzbeauftragte der Agentur rechtzeitig vor der Anwendung oder Überprüfung einer Beschränkung konsultiert, damit dieser die Einhaltung dieses Beschlusses überprüfen kann.

(34)

Artikel 16 Absatz 5 und Artikel 17 Absatz 4 der Verordnung sehen Ausnahmen vom Recht der betroffenen Personen auf Unterrichtung und Auskunft vor. Soweit diese Ausnahmen Anwendung finden, ist es für die Agentur nicht erforderlich, eine auf diesem Beschluss beruhende Beschränkung vorzunehmen —

HAT FOLGENDEN BESCHLUSS ERLASSEN:

Artikel 1

Gegenstand und Anwendungsbereich

(1)   Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die Exekutivagentur für kleine und mittlere Unternehmen (EASME) und jeder ihrer Rechtsnachfolger („die Agentur“) die Anwendung der Artikel 4, 14 bis 22, 35 und 36 gemäß Artikel 25 der Verordnung beschränken darf.

(2)   Die Agentur wird als Verantwortlicher durch den Direktor der Agentur vertreten, der die Funktion des Verantwortlichen delegieren kann.

Artikel 2

Geltende Beschränkungen

(1)   Die Agentur kann die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, beschränken.

(2)   Dieser Beschluss gilt für die Verarbeitung personenbezogener Daten durch die Agentur im Rahmen ihrer administrativen und operativen Tätigkeit:

a)

gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Verordnung, wenn die Agentur interne Untersuchungen — auch aufgrund externer Beschwerden —, Verwaltungsuntersuchungen, Vorverfahren in Disziplinarsachen, Disziplinarverfahren oder Dienstenthebungsverfahren gemäß Artikel 86 und Anhang IX des Statuts und seiner Durchführungsbestimmungen, Sicherheitsuntersuchungen oder Untersuchungen des OLAF durchführt;

b)

gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn die Agentur sicherstellt, dass Mitarbeiter der Agentur Sachverhalte vertraulich melden können, von denen sie annehmen, dass es sich um schwerwiegende Unregelmäßigkeiten handelt, so wie dies in den internen Vorschriften oder Grundsätzen zur Meldung von Missständen („Whistleblowing“) festgelegt ist;

c)

gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn die Agentur sicherstellt, dass sich Mitarbeiter der Agentur im Zusammenhang mit einem Verfahren wegen Mobbing oder sexueller Belästigung im Sinne der internen Vorschriften an Vertrauenspersonen wenden können;

d)

gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung, wenn interne oder externe Audits bezüglich der Tätigkeiten oder der Funktionsweise der Agentur durchgeführt werden;

e)

gemäß Artikel 25 Absatz 1 Buchstaben d und h der Verordnung, wenn die Agentur intern oder mit externer Beteiligung (z. B. von CERT-EU) Sicherheitsanalysen, unter anderem zur Cybersicherheit und zum Missbrauch von IT-Systemen, durchführt, die innere Sicherheit durch Videoüberwachung, Zugangskontrolle und Ermittlungen gewährleistet, die Kommunikations- und Informationssysteme sichert und technische Maßnahmen zur Gefahrenabwehr durchführt;

f)

gemäß Artikel 25 Absatz 1 Buchstaben g und h, wenn der Datenschutzbeauftragte (DSB) der Agentur Angelegenheiten untersucht, die in direktem Zusammenhang mit seinen Aufgaben stehen;

g)

gemäß Artikel 25 Absatz 1 Buchstaben b, g und h der Verordnung im Rahmen von Ermittlungen der Europäischen Staatsanwaltschaft (EUStA);

h)

gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn Einzelpersonen um Auskunft über ihre medizinischen Daten oder deren Berichtigung ersuchen, auch wenn diese beim medizinischen Dienst der Kommission aufbewahrt werden;

i)

gemäß Artikel 25 Absatz 1 Buchstaben c, d, g und h der Verordnung, wenn die Agentur anderen Organen, Einrichtungen und sonstigen Stellen der Europäischen Union Unterstützung leistet oder Unterstützung von ihnen erhält oder mit ihnen im Rahmen von Tätigkeiten gemäß den Buchstaben a bis h dieses Absatzes zusammenarbeitet sowie gemäß einschlägiger Dienstgütevereinbarungen, Absichtserklärungen und Kooperationsvereinbarungen ihres jeweiligen Gründungsrechtsakts;

j)

gemäß Artikel 25 Absatz 1 Buchstabe c, g und h der Verordnung, wenn die Agentur auf deren Ersuchen oder aus eigener Initiative nationalen Behörden von Drittländern und internationalen Organisationen Unterstützung leistet oder Unterstützung von ihnen erhält oder mit ihnen zusammenarbeitet;

k)

gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung, wenn die Agentur auf deren Ersuchen oder aus eigener Initiative nationalen Behörden von Mitgliedstaaten der Union Unterstützung leistet oder Unterstützung von ihnen erhält und mit ihnen zusammenarbeitet;

l)

gemäß Artikel 25 Absatz 1 Buchstabe e der Verordnung, wenn die Agentur personenbezogene Daten verarbeitet, die in Dokumenten enthalten sind, die von den Parteien oder Streithelfern erlangt wurden, die an einem Verfahren vor dem Gerichtshof der Europäischen Union beteiligt sind.

Für die Zwecke dieses Beschlusses umfassen die vorstehend genannten Tätigkeiten auch Vorbereitungs- und Folgemaßnahmen, die unmittelbar mit der jeweiligen Tätigkeit zusammenhängen.

(3)   Die Agentur kann im Einzelfall die Rechte der betroffenen Personen im Sinne dieses Beschlusses auch unter den folgenden Umständen beschränken:

a)

wenn die Kommissionsdienststellen oder andere Organe, Einrichtungen und sonstige Stellen der Union dazu berechtigt sind, die Ausübung der aufgeführten Rechte zu beschränken, und wenn der Zweck einer solchen Beschränkung durch die Kommissionsdienststelle, das Organ, die Einrichtung oder die sonstige Stelle der Union gefährdet wäre, falls die Agentur keine vergleichbare Beschränkung in Bezug auf dieselben personenbezogenen Daten vornehmen würde;

b)

wenn die zuständigen Behörden der Mitgliedstaaten dazu berechtigt sind, die Ausübung der aufgeführten Rechte zu beschränken, und wenn der Zweck einer solchen Beschränkung durch die Behörde eines Mitgliedstaats gefährdet wäre, falls die Agentur keine vergleichbare Beschränkung in Bezug auf dieselben personenbezogenen Daten vornehmen würde;

c)

wenn die Ausübung dieser Rechte und Pflichten die Zusammenarbeit der Agentur mit Drittländern oder internationalen Organisationen bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnte, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person diese Notwendigkeit der Zusammenarbeit nicht überwiegen.

d)

Bevor die Agentur Beschränkungen gemäß diesem Absatz vornimmt, konsultiert sie erforderlichenfalls die betreffenden Kommissionsdienststellen, anderen Organe, Einrichtungen und sonstigen Stellen, die betreffende internationale Organisation oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, es ist offenkundig, dass die Beschränkung in einem der vorstehend genannten Rechtsakte vorgesehen ist oder dass eine solche Konsultation die Tätigkeiten der Agentur gefährden würde.

(4)   Die Kategorien der personenbezogenen Daten, die im Zusammenhang mit den oben genannten Tätigkeiten verarbeitet werden, können faktische „harte“ Daten und „weiche“ Bewertungsdaten umfassen.

(5)   Jede Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.

Artikel 3

Aufzeichnung und Registrierung von Beschränkungen

(1)   Der Verantwortliche erstellt eine Aufzeichnung über die Beschränkung, in der beschrieben wird,

a)

welche Gründe für die Anwendung einer Beschränkung gemäß diesem Beschluss vorliegen;

b)

welche der in Artikel 2 aufgeführten Gründe zutreffen;

c)

wie die Ausübung dieses Rechts ein Risiko für die betroffene Person darstellen oder den Zweck der Aufgaben der Agentur gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde;

d)

zu welchem Ergebnis die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung unter Berücksichtigung der einschlägigen Elemente in Artikel 25 Absatz 2 der Verordnung gekommen ist.

(2)   Bevor Beschränkungen vorgenommen werden, wird deren Notwendigkeit und Verhältnismäßigkeit im Einzelfall geprüft. Der Verantwortliche berücksichtigt die potenziellen Risiken für die Rechte und Freiheiten der betroffenen Person. Beschränkungen werden auf das zur Erreichung ihres Zwecks unbedingt erforderliche Maß begrenzt.

(3)   Die Aufzeichnung der Beschränkung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

Artikel 4

Risiken für die Rechte und Freiheiten der betroffenen Personen

(1)   Die Bewertungen der sich aus der Vornahme von Beschränkungen ergebenden Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die Angaben zur Geltungsdauer dieser Beschränkungen werden im Verzeichnis der Verarbeitungstätigkeiten eingetragen, das vom Verantwortlichen gemäß Artikel 31 der Verordnung geführt wird. Außerdem werden sie gegebenenfalls in den einschlägigen Datenschutz-Folgenabschätzungen gemäß Artikel 39 der Verordnung vermerkt.

(2)   Wenn der Verantwortliche die Anwendung einer Beschränkung in Betracht zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Personen abgewogen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko negativer Auswirkungen auf Untersuchungen oder Verfahren, z. B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten der betroffenen Personen erstrecken sich u. a. in erster Linie auf Risiken im Zusammenhang mit der Reputation, dem Verteidigungsrecht und dem Anspruch auf rechtliches Gehör.

Artikel 5

Garantien und Aufbewahrungsfrist

(1)   Die Agentur trifft spezifische Schutzvorkehrungen, die verhindern, dass personenbezogene Daten, die Beschränkungen unterliegen oder unterliegen könnten, Missbrauch, unrechtmäßigem Zugriff oder unrechtmäßiger Übermittlung ausgesetzt sind. Diese Schutzvorkehrungen umfassen technische und organisatorische Maßnahmen und werden erforderlichenfalls in den internen Beschlüssen, Verfahren und Durchführungsbestimmungen der Agentur im Einzelnen angegeben. Die Schutzvorkehrungen umfassen Folgendes:

a)

eine klare Definition der Rollen, Zuständigkeiten und Verfahrensschritte;

b)

gegebenenfalls eine sichere elektronische Umgebung, die verhindert, dass elektronische Daten rechtswidrig und versehentlich unbefugten Personen zugänglich gemacht oder übermittelt werden;

c)

gegebenenfalls die sichere Aufbewahrung und Bearbeitung von Papierdokumenten;

d)

die Gewährleistung der Einhaltung von Geheimhaltungspflichten durch alle Personen, die Zugang zu den personenbezogenen Daten haben.

(2)   Die Aufbewahrungsfrist für personenbezogene Daten, die einer Beschränkung unterliegen, wird in dem entsprechenden Verzeichnis nach Artikel 31 der Verordnung unter Berücksichtigung des Zwecks der Verarbeitung festgelegt und schließt den für die administrative und gerichtliche Überprüfung erforderlichen Zeitraum ein. Nach Ablauf der Aufbewahrungsfrist werden die personenbezogenen Daten gemäß Artikel 13 der Verordnung gelöscht, anonymisiert oder in Archive übertragen.

Artikel 6

Dauer von Beschränkungen

(1)   Beschränkungen gemäß Artikel 2 bleiben in Kraft, solange die Gründe, die sie rechtfertigen, weiterhin gegeben sind.

(2)   Sind die Gründe für eine Beschränkung nicht mehr gegeben, hebt der Verantwortliche die Einschränkung auf, sofern die Ausübung des beschränkten Rechts das jeweils anwendbare Verfahren nicht mehr negativ beeinflussen oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigen würde.

(3)   Für den Fall, dass die betroffene Person erneut um Auskunft über die betreffenden personenbezogenen Daten ersucht hat, unterrichtet der Verantwortliche die betroffene Person über die wesentlichen Gründe für die Beschränkung. Gleichzeitig teilt die Agentur der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

(4)   Die Agentur überprüft die Anwendung der Beschränkungen gemäß Artikel 2 alle sechs Monate.

Artikel 7

Mitwirkung des Datenschutzbeauftragten

(1)   Der Verantwortliche der Agentur unterrichtet den DSB der Agentur unverzüglich und vor jeder Entscheidung, die Rechte einer betroffenen Person gemäß diesem Beschluss einzuschränken oder die Anwendung der Einschränkung zu verlängern. Der Verantwortliche gewährt dem DSB Zugang zu allen Aufzeichnungen und allen Dokumenten, die den zugrunde liegenden sachlichen oder rechtlichen Zusammenhang betreffen.

(2)   Der DSB kann den Verantwortlichen auffordern, die Anwendung einer Beschränkung zu überprüfen. Der DSB wird vom Verantwortlichen schriftlich über das Ergebnis der angeforderten Überprüfung unterrichtet.

(3)   Der Verantwortliche dokumentiert die Mitwirkung des DSB bei der Anwendung von Beschränkungen sowie die dem DSB mitgeteilten Informationen. Die Dokumente im Sinne dieses Artikels sind Teil der Aufzeichnung über die Einschränkung und werden dem EDSB auf Anfrage zur Verfügung gestellt.

Artikel 8

Unterrichtung betroffener Personen über Beschränkungen ihrer Rechte

(1)   Der Verantwortliche nimmt in die Datenschutzhinweise und -aufzeichnungen gemäß Artikel 31 der Verordnung, die auf seiner Website und im Intranet veröffentlicht werden, allgemeine Informationen über die möglichen Beschränkungen der Rechte betroffener Personen gemäß Artikel 2 Absatz 2 dieses Beschlusses auf. Darin wird darüber informiert, welche Rechte und Pflichten beschränkt werden können, aus welchen Gründen die Beschränkungen vorgenommen werden können und für welche Dauer sie gelten können.

(2)   Betroffene Personen werden vom Verantwortlichen einzeln, schriftlich und unverzüglich über die gegenwärtigen oder künftigen Beschränkungen ihrer Rechte unterrichtet. Der Verantwortliche unterrichtet die betroffenen Personen über die wesentlichen Gründe für die Beschränkung, über ihr Recht, sich an den DSB zu wenden, um gegen die Beschränkung vorzugehen, sowie über ihr Recht, beim EDSB Beschwerde einzulegen.

(3)   Solange die Unterrichtung über die Gründe für die Beschränkung und das Recht auf Einlegung der Beschwerde beim EDSB die Wirkung der Beschränkung zunichtemachen würde, kann sie vom Verantwortlichen zurückgestellt, unterlassen oder abgelehnt werden. Die Beurteilung, ob dies gerechtfertigt wäre, erfolgt auf Einzelfallbasis. Sobald die Unterrichtung die Wirkung der Beschränkung nicht mehr zunichtemachen würde, wird die betroffene Person vom Verantwortlichen unterrichtet.

Artikel 9

Auskunftsrecht der betroffenen Person

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Auskunftsrecht nach Artikel 17 der Verordnung vom Verantwortlichen eingeschränkt werden, wenn dies im Hinblick auf die Tätigkeiten im Rahmen dieses Beschlusses erforderlich und verhältnismäßig ist.

(2)   Beantragen betroffene Personen Auskunft über ihre personenbezogenen Daten, die im Rahmen einer spezifischen Verarbeitungstätigkeit nach Artikel 2 Absatz 2 dieses Beschlusses verarbeitet werden, beschränkt die Agentur ihre Antwort auf die für diese Tätigkeit verarbeiteten personenbezogenen Daten.

(3)   Das Recht der betroffenen Personen auf direkten Zugang zu Dokumenten psychologischer oder psychiatrischer Art kann eingeschränkt werden. Weder das indirekte Auskunftsrecht noch das Recht auf Berichtigung und Mitteilung einer Verletzung des Schutzes personenbezogener Daten wird durch diese internen Vorschriften eingeschränkt. Daher sollte einem vermittelnden Arzt auf Antrag der betroffenen Person Auskunft über alle damit zusammenhängenden Informationen erteilt und ein Ermessensspielraum dahin gehend eingeräumt werden, wie und welche Auskunft er der betroffenen Person erteilt.

(4)   Beschränkt der Verantwortliche das in Artikel 17 der Verordnung genannte Recht auf Auskunft über personenbezogene Daten ganz oder teilweise, so unterrichtet er die betroffene Person in seiner Antwort auf den Antrag auf Auskunft schriftlich über die angewandte Beschränkung und die wesentlichen Gründe dafür sowie über die Möglichkeit, Beschwerde beim EDSB oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

(5)   Diese Unterrichtung über die Beschränkung des Auskunftsrechts kann gemäß Artikel 25 Absatz 8 der Verordnung zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der Beschränkung zunichtemachen würde.

(6)   Eine Beschränkung gemäß diesem Artikel wird in Übereinstimmung mit diesem Beschluss vorgenommen.

Artikel 10

Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung nach Artikel 18, Artikel 19 Absatz 1 und Artikel 20 Absatz 1 der Verordnung vom Verantwortlichen eingeschränkt werden, wenn dies im Hinblick auf die Tätigkeiten gemäß Artikel 2 Absatz 2 dieses Beschlusses erforderlich und angemessen ist.

(2)   In Bezug auf medizinische Daten können betroffene Personen das Recht auf Berichtigung der Beurteilung oder des Gutachtens des medizinischen Dienstes der Kommission ausüben, indem sie entsprechende Anmerkungen oder einen Bericht eines Arztes ihrer Wahl unmittelbar dem medizinischen Dienst der Kommission vorlegen.

(3)   Eine Beschränkung gemäß diesem Artikel wird in Übereinstimmung mit diesem Beschluss vorgenommen.

Artikel 11

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

(1)   Ist der Verantwortliche gemäß Artikel 35 Absatz 1 der Verordnung zur Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten verpflichtet, ist es ihm in Ausnahmefällen möglich, die Benachrichtigung ganz oder zum Teil zu beschränken. Der Verantwortliche muss die Gründe für die Beschränkung sowie die Rechtsgrundlage gemäß Artikel 2 sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung dokumentieren. Der Vermerk ist dem EDSB zum Zeitpunkt der Meldung der Verletzung des Schutzes personenbezogener Daten mitzuteilen.

(2)   Sind die Gründe für die Beschränkung nicht mehr gegeben, unterrichtet die Agentur die betroffene Person über die Verletzung des Schutzes personenbezogener Daten, wobei die wesentlichen Gründe für die Beschränkung anzugeben und auf das Recht der betroffenen Person, beim EDSB Beschwerde einzulegen, hinzuweisen ist.

Artikel 12

Vertraulichkeit der elektronischen Kommunikation

(1)   In Ausnahmefällen kann die Agentur das Recht auf Vertraulichkeit der elektronischen Kommunikation im Sinne von Artikel 36 der Verordnung beschränken. Derartige Beschränkungen müssen der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates genügen.

(2)   Ungeachtet des Artikels 8 Absatz 3 gilt: Beschränkt die Agentur das Recht auf Vertraulichkeit der elektronischen Kommunikation, unterrichtet sie die betroffene Person in der Antwort auf deren Anfrage über die wesentlichen Gründe für diese Beschränkung sowie über das Recht der betroffenen Person, beim EDSB Beschwerde einzulegen.

Artikel 13

Inkrafttreten

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Brüssel, den 9. November 2020

Für den Lenkungsausschuss der EASME

(elektronisch unterzeichnet)

Kristin SCHREIBER

Die Vorsitzende


(1)  ABl. L 295 vom 21.11. 2018, S. 39.

(2)  Durchführungsbeschluss 2013/771/EU der Kommission vom 17. Dezember 2013 zur Einrichtung der Exekutivagentur für kleine und mittlere Unternehmen und zur Aufhebung der Beschlüsse 2004/20/EG und 2007/372/EG (ABl. L 341 vom 18.12.2013, S. 73) sowie Jahresabschluss der EASME, geändert durch den Jahresabschluss der EASME vom 2. Oktober 2014.

(3)  Beschluss C(2013) 9414 der Kommission vom 23. Dezember 2013 zur Übertragung von Befugnissen auf die Exekutivagentur für kleine und mittlere Unternehmen zwecks Wahrnehmung von Aufgaben im Zusammenhang mit der Durchführung von Unionsprogrammen im Bereich Energie, Umwelt, Klimaschutz, Wettbewerbsfähigkeit und KMU, Forschung und Innovation sowie IKT, einschließlich insbesondere der Verwendung von Mitteln aus dem Gesamthaushaltsplan der Union, zuletzt geändert durch Beschluss C(2019)3353 der Kommission vom 30. April 2019 und dessen Anhang.

(4)  Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (ABl. L 56 vom 4.3.1968, S. 1).

(5)  Beschluss (EU, Euratom) 2017/46 der Kommission vom 10. Januar 2017 über die Sicherheit von Kommunikations- und Informationssystemen in der Europäischen Kommission (ABl. L 6 vom 11.1.2017, S. 40).