ISSN 1977-0642 |
||
Amtsblatt der Europäischen Union |
L 295 |
|
Ausgabe in deutscher Sprache |
Rechtsvorschriften |
61. Jahrgang |
|
|
|
(1) Text von Bedeutung für den EWR. |
DE |
Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben. Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte. |
I Gesetzgebungsakte
VERORDNUNGEN
21.11.2018 |
DE |
Amtsblatt der Europäischen Union |
L 295/1 |
VERORDNUNG (EU) 2018/1724 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 2. Oktober 2018
über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012
(Text von Bedeutung für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 21 Absatz 2 und Artikel 114 Absatz 1,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
gemäß dem ordentlichen Gesetzgebungsverfahren (2),
in Erwägung nachstehender Gründe:
(1) |
Der Binnenmarkt zählt zu den greifbarsten Errungenschaften der Union. Er ermöglicht Personen, Waren, Dienstleistungen und Kapital, frei zu zirkulieren, und eröffnet Bürgern und Unternehmen somit neue Möglichkeiten. Die vorliegende Verordnung ist ein zentrales Element der Binnenmarktstrategie, die mit der Mitteilung der Kommission vom 28. Oktober 2015 mit dem Titel „Den Binnenmarkt weiter ausbauen: mehr Chancen für die Menschen und die Unternehmen“ geschaffen wurde. Durch diese Strategie soll das volle Potenzial des Binnenmarktes ausgeschöpft werden, indem Bürgern und Unternehmen die Freizügigkeit und der Handel innerhalb der Union, die Niederlassung in einem anderen Mitgliedstaat und die grenzüberschreitende Ausweitung ihrer Geschäftstätigkeit erleichtert wird. |
(2) |
In der Mitteilung der Kommission vom 6. Mai 2015 mit dem Titel „Strategie für einen digitalen Binnenmarkt für Europa“ wird anerkannt, wie sehr das Internet und digitale Technologien unser Leben und die Art und Weise, wie Bürger und Unternehmen sich informieren, Wissen erwerben, Waren kaufen und Dienstleistungen nutzen, am Markt teilnehmen und arbeiten, verändern und dadurch die Möglichkeit zu Innovation, Wachstum und die Schaffung von Arbeitsplätzen erleichtern. In dieser Mitteilung und entsprechend in mehreren vom Europäischen Parlament verabschiedeten Entschließungen wurde eingeräumt, dass der Bedarf der Bürger und Unternehmen in ihrem eigenen Land sowie grenzüberschreitend besser gedeckt werden könnte, wenn bestehende europäische Portale, Websites, Netze, Dienste und Systeme erweitert und mit verschiedenen nationalen Lösungen verknüpft würden und dadurch eine einheitliche europäische Anlaufstelle — ein einheitliches digitales Zugangstor (im Folgenden „Zugangstor“)– geschaffen würde. In der Mitteilung der Kommission vom 19. April 2016 mit dem Titel „EU-eGovernment-Aktionsplan 2016–2020: Beschleunigung der Digitalisierung der öffentlichen Verwaltung“ ist das Zugangstor als eine der Maßnahmen für 2017 angeführt. Im Bericht der Kommission vom 24. Januar 2017 mit dem Titel „Stärkung der Bürgerrechte in einer Union des demokratischen Wandels — Bericht über die Unionsbürgerschaft 2017“ wird das Zugangstor als Priorität für die Rechte der Unionsbürger angesehen. |
(3) |
Das Europäische Parlament und der Rat haben wiederholt ein umfassenderes und nutzerfreundlicheres Informationspaket sowie Hilfe für die Bürger und Unternehmen eingefordert, die auf dem Binnenmarkt tätig sind, und sich für die Stärkung und Straffung der Binnenmarktinstrumente ausgesprochen, um die Bedürfnisse der Bürger und Unternehmen bei grenzüberschreitenden Tätigkeiten besser zu erfüllen. |
(4) |
Mit der vorliegenden Verordnung wird diesen Forderungen nachgekommen, indem den Bürgern und Unternehmen einfacher Zugang zu den Informationen, den Verfahren und den Hilfs- und Problemlösungsdiensten online verschafft wird, die sie benötigen, um ihre Rechte am Binnenmarkt wahrzunehmen. Das Zugangstor könnte dabei behilflich sein, einen Beitrag zu transparenteren Vorschriften und Regelungen in verschiedenen Wirtschafts- und Lebensbereichen, wie Reisen, Ruhestand, Bildung, Beschäftigung, Gesundheit, Verbraucherschutz und Familienrechte, zu leisten. Außerdem könnte es dazu beitragen, das Vertrauen der Verbraucher zu stärken, Wissenslücken in den Bereichen Verbraucherschutz und Binnenmarktvorschriften zu überwinden und die Konformitätskosten für Unternehmen zu senken. Im Wege dieser Verordnung wird ein nutzerfreundliches, interaktives Zugangstor eingerichtet, das die Nutzer auf der Grundlage ihrer Bedürfnisse zu den am besten geeigneten Diensten führen sollte. In diesem Zusammenhang ist die Mitwirkung der Kommission, der Mitgliedstaaten und der zuständigen Behörden vonnöten, damit diese Ziele erreicht werden. |
(5) |
Durch das Zugangstor sollten die Interaktionen zwischen Bürgern und Unternehmen auf der einen Seite und den zuständigen Behörden auf der anderen Seite erleichtert werden, indem ein Zugang zu Online-Lösungen geschaffen, die alltäglichen Tätigkeiten der Bürger und Unternehmen vereinfacht und die auf dem Binnenmarkt bestehenden Hindernisse minimiert werden. Die Tatsache, dass ein Zugangsportal besteht, das online Zugang zu genauen und aktuellen Informationen, Verfahren sowie Hilfs- und Problemlösungsdiensten verschafft, könnte dazu beitragen, die Bekanntheit der verschiedenen bestehenden Online-Dienste bei den Nutzern zu steigern und für diese somit eine Zeit- und Kostenersparnis mit sich bringen. |
(6) |
Diese Verordnung verfolgt drei Ziele, nämlich jeden zusätzlichen Verwaltungsaufwand für Bürger und Unternehmen, die unter Einhaltung aller nationalen Vorschriften und Verfahren ihre Binnenmarktrechte ausüben oder ausüben wollen (einschließlich der Freizügigkeit der Bürger), zu verringern, Diskriminierung zu verhindern und um das Funktionieren des Binnenmarktes mit Blick auf die Bereitstellung von Informationen, Verfahren sowie Hilfs- und Problemlösungsdiensten sicherzustellen., Da diese Verordnung die Freizügigkeit der Bürger betrifft, was nicht als nebensächlich betrachtet werden kann, sollte sie auf Artikel 21 Absatz 2 und Artikel 114 Absatz 1 AEUV gestützt werden. |
(7) |
Damit die Bürger und Unternehmen in der Union ihr Recht auf Freizügigkeit im Binnenmarkt ausüben können, sollte die Union spezifische, nichtdiskriminierende Maßnahmen ergreifen, um Bürgern und Unternehmen den Zugang zu hinreichend umfassenden und verlässlichen Informationen über ihre im Unionsrecht festgeschriebenen Rechte und zu Informationen über die anwendbaren nationalen Vorschriften und Verfahren zu erleichtern, die sie einhalten müssen, wenn sie in einen anderen Mitgliedstaat als ihren eigenen ziehen, dort leben oder studieren oder dort ein Unternehmen gründen oder eine Geschäftstätigkeit ausüben. Unter hinreichend umfassender Informationen sollte verstanden werden, dass all diejenigen Informationen zur Verfügung stehen, die die Nutzer benötigen, um Rechte und Verpflichtungen zu kennen sowie zu wissen, welche Vorschriften bezüglich der Tätigkeiten gelten, die sie als grenzüberschreitende Nutzer unternehmen wollen. Die Informationen sollten klar, eindeutig und verständlich formuliert, funktional und auf die Zielgruppe zugeschnitten sein. Informationen über Verfahren sollten alle vorhersehbaren Verfahrensschritte, die für den Benutzer relevant sind, abdecken. Für Bürger und Unternehmen, die sich einem komplexen Regulierungsumfeld gegenübersehen, — wie z. B. in den Bereichen elektronischer Geschäftsverkehr und kollaborative Wirtschaft —, ist es wichtig, dass sie einfach herausfinden können, welche Vorschriften für sie gelten und wie diese Vorschriften auf ihre Tätigkeit Anwendung finden. Unter leichtem und benutzerfreundlichem Zugang zu Informationen wird verstanden, dass die Nutzer in die Lage versetzt werden, Informationen problemlos zu finden, leicht zu erkennen, welche Informationen für ihre besondere Situation relevant sind, und die relevanten Informationen leicht zu verstehen. Die auf nationaler Ebene zur Verfügung zu stellenden Informationen sollten sich nicht nur auf nationale Vorschriften zur Umsetzung des Unionsrechts, sondern auch auf andere nationale Vorschriften beziehen, die gleichermaßen für nicht- grenzüberschreitende und grenzüberschreitende Nutzer gelten. |
(8) |
Die Bestimmungen in dieser Verordnung über die Bereitstellung von Informationen sollten nicht für die nationalen Justizsysteme gelten, da die für grenzüberschreitende Nutzer in diesem Bereich relevanten Informationen bereits im Europäischen Justizportal verfügbar sind. In einigen von dieser Verordnung erfassten Fällen sollte ein Gericht als eine zuständige Behörde angesehen werden, beispielsweise wenn es Unternehmens-Register verwaltet. Darüber hinaus sollte der Grundsatz der Nichtdiskriminierung auch für Online-Verfahren gelten, die Zugang zu Gerichtsverfahren geben. |
(9) |
Es liegt auf der Hand, dass Bürger und Unternehmen aus anderen Mitgliedstaaten aufgrund ihrer Unkenntnis der nationalen Vorschriften und Verwaltungssysteme, der Sprachbarriere und der geografischen Entfernung zu den zuständigen Behörden in einem anderen als ihrem Mitgliedstaat im Nachteil sind. Am wirksamsten lassen sich Hindernisse für den Binnenmarkt dadurch überwinden, dass grenzüberschreitenden und nicht- grenzüberschreitenden Nutzern Zugang zu Online-Informationen in einer Sprache gewährt wird, die für sie verständlich ist, um sie in die Lage zu versetzen die Verfahren zur Einhaltung der nationalen Vorschriften vollständig online abwickeln zu können, und ihnen Unterstützung zu bieten, wenn Vorschriften und Verfahren nicht ausreichend klar sind oder wenn sie bei der Ausübung ihrer Rechte auf Hindernisse stoßen. |
(10) |
Mit einer Reihe von Rechtsakten der Union sollten Lösungen angeboten werden, indem einzige Anlaufstellen pro Wirtschaftszweig -einschließlich der in der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates (3) vorgesehenen einheitlichen Ansprechpartner — geschaffen wurden, die Online-Informationen, Hilfsdienste und Zugang zu einschlägigen Verfahren für die Erbringung von Dienstleistungen anbieten, sowie Produktinfostellen, die mit der Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates (4) geschaffen wurden, und Produktinformationsstellen für das Bauwesen, die mit der Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates (5) eingerichtet wurden, die Zugang zu produktspezifischen technischen Vorschriften bieten, und nationale Beratungszentren für berufliche Qualifikationen zur Unterstützung von Fachkräften, die grenzüberschreitend tätig werden, die mit der Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates (6) geschaffen wurden. Außerdem wurden Netze eingerichtet wie z. B. das Netzwerk der europäischen Verbraucherzentren, um das Wissen über Verbraucherrechte in der Union zu fördern und bei der Bearbeitung von Beschwerden im Zusammenhang mit Käufen zu helfen, die in anderen Mitgliedstaaten im Netzwerk auf Reisen oder im Internet getätigt wurden. Überdies zielt das in der Empfehlung der Kommission 2013/461/EU genannte SOLVIT (7) darauf ab, schnelle, wirksame und informelle Lösungen für Einzelpersonen und Unternehmen zu finden, wenn ihnen ihre Rechte im Rahmen des Binnenmarkts von Behörden verwehrt werden. Schließlich wurden mehrere Informationsportale wie „Ihr Europa“ für den Binnenmarkt und das E-Justice-Portal für den Justizbereich eingerichtet, um Nutzer über die Unions- und nationale Vorschriften zu informieren. |
(11) |
Da sich diese Rechtsakte der Union auf einzelne Wirtschaftszweige beziehen, sind die Bereitstellung von Online-Informationen und Hilfs- und Problemlösungsdiensten sowie die Online-Verfahren für Bürger und Unternehmen nach wie vor sehr fragmentiert. Es bestehen Diskrepanzen bei der Verfügbarkeit von Online-Informationen und -Verfahren, die Dienste weisen Qualitätsmängel auf, und es fehlt an Bewusstsein für diese Informationen und Hilfs- und Problemlösungsdienste. Außerdem ist es für grenzüberschreitende Nutzer schwierig, die Dienste zu finden und Zugang zu ihnen zu erhalten. |
(12) |
Durch die vorliegende Verordnung sollte ein einheitliches digitales Zugangsportal geschaffen werden, das Bürger und Unternehmen in die Lage versetzen soll, Informationen über die Vorschriften und Anforderungen einzuholen, die sie aufgrund des nationalen und/oder des Unionsrechts einhalten müssen. Das Zugangstor sollte Bürgern und Unternehmen den Kontakt mit den Hilfs- und Problemlösungsdiensten erleichtern, die auf Unions- oder nationaler Ebene bestehen, und diesen Kontakt wirksamer gestalten. Das Zugangstor sollte auch den Zugang zu Online-Verfahren und deren Abschluss vereinfachen. Diese Verordnung sollte keine Auswirkungen auf die bestehenden Rechte und Pflichten nach Unionsrecht oder nationalem Recht in diesen Politikbereichen haben. In Bezug auf die in Anhang II dieser Verordnung aufgeführten Verfahren und die Verfahren nach den Richtlinien 2005/36/EG und 2006/123/EG und nach den Richtlinien 2014/24/EU (8) und 2014/25/EU (9) des Europäischen Parlaments und des Rates sollte diese Verordnung bezüglich des Austausches von Nachweisen zwischen den zuständigen Behörden in den jeweiligen Mitgliedstaaten die Beachtung des Grundsatzes der einmaligen Erfassung unterstützen und das Grundrecht auf den Schutz personenbezogener Daten uneingeschränkt achten. |
(13) |
Das Zugangstor und sein Inhalt sollten nutzerzentriert und nutzerfreundlich sein. Mit dem Zugangstor sollte darauf abgezielt werden, Überschneidungen zu vermeiden und Verbindungen zwischen bestehenden Diensten zur Verfügung zu stellen. Es sollte Bürgern und Unternehmen die Interaktion mit öffentlichen Stellen auf nationaler und Unionsebene ermöglichen, indem ihnen Gelegenheit gegeben wird, Rückmeldung bezüglich der über das Zugangstor angebotenen Dienste zu geben und dazu Stellung zu nehmen, wie gut der Binnenmarkt ihrer Erfahrung nach funktioniert. Das Instrument für Rückmeldungen sollte den Nutzer, in einer Weise, die es ihm erlaubt anonym zu bleiben, in die Lage versetzen, auf festgestellte Probleme, Mängel und festgestellten Bedarf hinzuweisen, damit die Qualität der Dienste kontinuierlich verbessert werden kann. |
(14) |
Ob das Zugangstor Erfolg hat, wird von den gemeinsamen Anstrengungen der Kommission und der Mitgliedstaaten abhängen. Zu dem Zugangstor sollten Nutzer über eine gemeinsame, in das bestehende Portal „Ihr Europa“ integrierte Nutzerschnittstelle gelangen, die von der Kommission zu verwalten ist. Auf der gemeinsamen Nutzerschnittstelle sollten Informationen, Verfahren und Hilfs- oder Problemlösungsdienste verlinkt sein, die auf den Portalen der zuständigen Behörden der Mitgliedstaaten und der Kommission bereitstehen. Um die Nutzung des Zugangstors zu erleichtern, sollte die gemeinsame Nutzerschnittstelle in allen Amtssprachen der Organe der Union (im Folgenden „Amtssprachen der Union“) verfügbar sein. Auf dem bestehenden Portal „Ihr Europa“ und seiner Eingangsseite, das bzw. die an die Anforderungen des Zugangstors angepasst ist, sollte in Bezug auf die zur Verfügung gestellten Informationen dieser mehrsprachige Ansatz gewahrt werden. Der Betrieb des Zugangstors sollte durch technische Instrumente unterstützt werden, die von der Kommission in enger Zusammenarbeit mit den Mitgliedstaaten entwickelt werden. |
(15) |
In der Charta für elektronische einheitliche Ansprechpartner im Sinne der Richtlinie 2006/123/EG, die vom Rat 2013 angenommen wurde, haben sich die Mitgliedstaaten freiwillig verpflichtet, bei der Bereitstellung von Informationen über die einheitlichen Ansprechpartner einen nutzerzentrierten Ansatz zu verfolgen, um Bereiche abzudecken, die für Unternehmen von besonderer Bedeutung sind, einschließlich Mehrwertsteuer, Einkommensteuer, soziale Sicherheit und Arbeitsrecht. Auf Grundlage der Charta und in Anbetracht der Erfahrungen mit dem Portal „Ihr Europa“ sollten die Informationen auch eine Beschreibung der Hilfs- und Problemlösungsdienste umfassen. Bürger und Unternehmen sollten die Möglichkeit haben sich an diese Dienste wenden, falls sie Probleme haben, die Informationen zu verstehen, sie auf ihre Situation anzuwenden oder ein Verfahren abzuschließen. |
(16) |
In dieser Verordnung sollten die Informationsbereiche aufgeführt werden, die für Bürger und Unternehmen bei der Ausübung ihrer Rechte und der Erfüllung ihrer Pflichten im Binnenmarkt relevant sind. Für diese Bereiche sollten hinreichend umfassende Informationen auf nationaler Ebene — einschließlich der regionalen und lokalen Ebene — und auf Unionsebene zur Verfügung gestellt werden, mit denen die geltenden Vorschriften und Pflichten sowie die Verfahren erläutert werden, die Bürger und Unternehmen befolgen müssen, um diesen Vorschriften und Pflichten nachzukommen. Um die Qualität der angebotenen Dienste sicherzustellen, sollten die über das Zugangstor zur Verfügung gestellten Informationen klar, genau und aktuell sein, auf komplizierte Fachsprache sollte möglichst weitgehend verzichtet werden, und die Verwendung von Akronymen sollte sich auf die vereinfachten und leicht verständlichen Bezeichnungen beschränken, zu deren Verständnis kein Vorwissen über die Rechtsfrage oder den Rechtsbereich erforderlich ist. Diese Informationen sollten in einer Form zur Verfügung gestellt werden, dass die Nutzer die für ihre Situation geltenden grundlegenden Vorschriften und Anforderungen in diesen Bereichen problemlos verstehen können. Die Nutzer sollten zudem darüber informiert werden, dass in bestimmten Mitgliedstaaten keine nationalen Vorschriften über die in Anhang I aufgeführten Informationsbereiche bestehen, was insbesondere dann gilt, wenn in anderen Mitgliedstaaten in diesen Bereichen nationale Rechtsvorschriften gelten. Entsprechende Informationen über das Fehlen nationaler Vorschriften könnten in das Portal „Ihr Europa“ aufgenommen werden. |
(17) |
Nach Möglichkeit sollten Informationen, die die Kommission bereits im Rahmen des bestehenden Unionsrechts oder freiwilliger Vereinbarungen, — wie zum Beispiel für das EURES-Portal eingeholte Informationen, das mit der Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates (10) eingerichtet wurde, das Europäische Justizportal, das mit der Entscheidung 2001/470/EG des Rates (11) eingerichtet wurde, oder die Datenbank der reglementierten Berufe, die mit der Richtlinie 2005/36/EG eingerichtet wurde —, von den Mitgliedstaaten eingeholt hat, dazu verwendet werden, einen Teil der Informationen zu decken, die den Bürgern und Unternehmen auf Ebene der Union und auf nationaler Ebene gemäß der vorliegenden Verordnung zugänglich zu machen sind. Die Mitgliedstaaten sollten nicht verpflichtet sein, auf ihren nationalen Websites Informationen aufzuführen, die bereits in den einschlägigen, von der Kommission verwalteten Datenbanken zu finden sind. Müssen Mitgliedstaaten bereits aufgrund anderer Rechtsakte der Union Online-Informationen bereitstellen, wie der Richtlinie 2014/67/EU des Europäischen Parlaments und des Rates (12), so sollte es ausreichen, wenn diese Mitgliedstaaten Links zu den bestehenden Online-Informationen bereitstellen. Wenn bestimmte Politikbereiche durch das Unionsrecht bereits vollständig harmonisiert wurden — beispielsweise die Verbraucherrechte —, sollten die auf Unionsebene bereitgestellten Informationen in der Regel ausreichen, um es den Nutzern zu ermöglichen, die für sie relevanten Rechte oder Pflichten zu verstehen In solchen Fällen sollten die Mitgliedstaaten lediglich zusätzliche Informationen über ihre nationalen Verwaltungsverfahren und Hilfsdienste odersonstige nationale Verwaltungsregelungen bereitstellen müssen, wenn das für den Nutzer relevant ist. Beispielsweise sollten Informationen über Verbraucherrechte nicht das Vertragsrecht berühren, vielmehr sollten die Nutzer über ihre im Unionsrecht und im einzelstaatlichen Recht verankerten Rechte im Zusammenhang mit dem Geschäftsverkehr unterrichtet werden. |
(18) |
Durch die vorliegende Verordnung sollte die Binnenmarktdimension von Online-Verfahren gestärkt und dadurch auch zur Digitalisierung des Binnenmarkts beigetragen werden, indem der allgemeine Grundsatz der Nichtdiskriminierung unter anderem beim Zugang von Bürgern und Unternehmen zu Online-Verfahren gewahrt wird, die bereits auf nationaler Ebene auf der Grundlage des Unions- oder des nationalen Rechts bestehen und bei Verfahren, die gemäß der vorliegenden Verordnung vollständig online verfügbar gemacht werden müssen. Wenn ein Nutzer in einer Situation, die ausschließlich auf einen einzigen Mitgliedstaat begrenzt ist, in diesem Mitgliedstaat in einem in der vorliegenden Verordnung erfassten Bereich Online-Zugang zu einem Verfahren hat und dieses online abwickeln kann, sollte auch ein grenzüberschreitender Nutzer — ohne diskriminierende Hindernisse — auch Online-Zugang zu dem Verfahren haben und dieses online abwickeln können, und zwar entweder mit Hilfe derselben technischen Lösung oder einer alternativen, technisch getrennten Lösung, die zum selben Ergebnis führt. Solche Hindernisse könnten in Form von nationale Lösungen bestehen, wie etwa, wenn in Feldern eine inländische Telefonnummer, eine inländische Telefonvorwahl oder eine inländische Postleitzahl eingegeben werden muss, Gebühren nur über Systeme gezahlt werden können, die grenzüberschreitende Zahlungen nicht zulassen, ausreichende Erklärungen nicht in einer Sprache vorliegen, die von grenzüberschreitenden Nutzern verstanden wird, elektronische Nachweise von Behörden in anderen Mitgliedstaaten nicht eingereicht werden können und in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel nicht akzeptiert werden. Die Mitgliedstaaten sollten Lösungen für diese Hindernisse zu Verfügung stellen. |
(19) |
Wenn Nutzer Online-Verfahren grenzüberschreitend abwickeln, sollten sie alle relevanten Erläuterungen in einer Amtssprache der Union abrufen können, die allgemein von der größtmöglichen Zahl an grenzüberschreitenden Nutzern verstanden wird. Das bedeutet nicht, dass die Mitgliedstaaten verpflichtet sind ihre Verwaltungsformulare in Verbindung mit dem Verfahren oder das Ergebnis des Verfahrens in diese Sprache übersetzen zu müssen. Den Mitgliedstaaten wird jedoch nahegelegt, technische Lösungen zu verwenden, die es den Nutzern in so vielen Fällen wie möglich erlauben, die Verfahren unter Achtung der Vorschriften des Mitgliedstaats über die Verwendung von Sprachen so weit wie möglich in dieser Sprache abzuwickeln. |
(20) |
Die nationalen Online-Verfahren, die für grenzüberschreitende Nutzer für die Wahrnehmung ihrer Binnenmarktrechte relevant sind, hängt davon ab, ob diese ihren Wohn- oder Geschäftssitz in dem betreffenden Mitgliedstaat haben oder ob sie von ihrem Wohn- oder Geschäftssitz in einem anderen Mitgliedstaat aus Zugang zu den Verfahren dieses Mitgliedstaats haben wollen. Durch die vorliegende Verordnung sollten die Mitgliedstaaten nicht daran gehindert werden, zu verlangen, dass grenzüberschreitende Nutzer, die ihren Wohn- oder Geschäftssitz in ihrem Hoheitsgebiet haben, über eine nationale Identifizierungsnummer verfügen müssen, um Zugang zu den nationalen Online-Verfahren zu erhalten, sofern das nicht mit einem unzumutbaren zusätzlichen Aufwand oder unzumutbaren zusätzlichen Kosten für diese Nutzer verbunden ist. Für grenzüberschreitende Nutzer, die ihren Wohn- oder Geschäftssitz nicht in dem betreffenden Mitgliedstaat haben, müssen nationale Online-Verfahren, die für die Wahrnehmung ihrer Binnenmarktrechte nicht relevant sind, beispielsweise die Registrierung zur Inanspruchnahme lokaler Dienstleistungen wie Abfallbeseitigung und Parkausweise, nicht in vollem Umfang online zugänglich gemacht werden. |
(21) |
Die vorliegende Verordnung sollte auf der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (13) aufbauen, in der die Bedingungen festgelegt sind, zu denen die Mitgliedstaaten bestimmte elektronische Identifizierungsmittel für natürliche und juristische Personen anerkennen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen. Die Verordnung (EU) Nr. 910/2014 legt fest, unter welchen Voraussetzungen es Nutzern erlaubt ist, ihre elektronischen Identifizierungs- und Authentifizierungsmittel für den Online-Zugang zu öffentlichen Diensten in grenzüberschreitenden Situationen zu nutzen. Organe, Einrichtungen und sonstige Stellen der Union werden dazu angehalten, elektronische Identifizierungs- und Authentifizierungsmittel für die Verfahren zu nutzen, für die sie verantwortlich sind. |
(22) |
Gemäß einer Reihe wirtschaftszweigspezifischer Unionsrechtsakte wie der Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU, müssen Verfahren vollständig online verfügbar sein. In der vorliegenden Verordnung sollte zudem hinsichtlich einiger anderer Verfahren, die für die meisten Bürger und Unternehmen für die grenzüberschreitende Wahrnehmung ihrer Rechte und Erfüllung ihrer Pflichten von zentraler Bedeutung sind, die Anforderung gestellt werden, dass sie vollständig online verfügbar sind. |
(23) |
Damit Bürger und Unternehmen ohne unnötigen zusätzlichen Verwaltungsaufwand die Vorteile des Binnenmarkts unmittelbar nutzen können, sollte in der vorliegenden Verordnung gefordert werden, dass die Nutzerschnittstelle bei bestimmten in Anhang II dieser Verordnung aufgeführten Schlüsselverfahren für grenzüberschreitende Nutzer vollständig digitalisiert wird. Diese Verordnung sollte zudem festgelegen, anhand welcher Kriterien bestimmt werden kann, ob diese Verfahren als vollständig online verfügbar gelten können. Die Verpflichtung, solch ein Verfahren vollständig online verfügbar zu machen, sollte nur gelten, wenn das Verfahren in dem jeweiligen Mitgliedstaat eingeführt wurde. Diese Verordnung sollte weder auf die Ersteintragung einer Geschäftstätigkeit noch auf die Verfahren zur Gründung von Gesellschaften oder von Unternehmen als juristische Personen noch auf spätere Anmeldungen oder Einreichungen dieser Gesellschaften oder Unternehmen Anwendung finden, da solche Verfahren eines umfassenden Ansatzes bedürfen, durch den digitale Lösungen im gesamten Lebenszyklus von Unternehmen gefördert werden sollen. Wenn sich Unternehmen in einem anderen Mitgliedstaat niederlassen, müssen sie sich und ihre Angestellten bei einem Sozialversicherungs- und einem Versicherungssystem registrieren und Beitragszahlungen zu beiden Systemen leisten. Möglicherweise müssen sie ihre Geschäftstätigkeiten anmelden und Genehmigungen für Änderungen ihrer Geschäftstätigkeiten einholen oder diese registrieren lassen. Diese Verfahren gelten für Unternehmen in vielen Wirtschaftszweigen, weswegen die Forderung angemessen ist, diese Verfahren online zur Verfügung zu stellen. |
(24) |
In dieser Verordnung sollte klargestellt werden, was es bedeutet, ein Verfahren vollständig online verfügbar zu machen. Ein Verfahren sollte dann als vollständig online verfügbar gelten, wenn der Nutzer sämtliche Schritte der Interaktion mit der zuständigen Behörde („Frontoffice“), vom Zugang bis zum Abschluss, elektronisch, aus der Ferne und über einen Online-Dienst vornehmen kann. Dieser Online-Dienst sollte den Nutzer durch eine Liste aller zu erfüllenden Anforderungen und aller zu übermittelnden Nachweise führen, ihn in die Lage versetzen, die erforderlichen Angaben zu machen und den Nachweis der Einhaltung aller gestellten Anforderungen zu erbringen, und eine automatische Empfangsbestätigung an den Nutzer übermitteln, sofern das Ergebnis des Verfahrens nicht unmittelbar übermittelt wird. Den zuständigen Behörden steht es dennoch frei, den Nutzer direkt zu kontaktieren, wenn für die Abwicklung des Verfahrens weiterer Klärungsbedarf besteht. Die zuständige Behörde sollte dem Nutzer das Ergebnis des Verfahrens gemäß dieser Verordnung nach Möglichkeit ebenfalls auf elektronischem Weg übermitteln, wenn das nach geltendem Unionsrecht und einzelstaatlichem Recht möglich ist. |
(25) |
Diese Verordnung sollte nicht den Inhalt der in Anhang II aufgeführten Verfahren, die auf nationaler, regionaler oder lokaler Ebene aufgestellt werden, beeinträchtigen, und es werden mit ihr keine materiellen oder verfahrensrechtlichen Vorschriften in den Bereichen festgelegt, die unter Anhang II fallen, einschließlich von Steuerangelegenheiten. Zweck dieser Verordnung ist es, die technischen Anforderungen festzulegen, um dafür zu sorgen, dass solche Verfahren, sofern sie in den betreffenden Mitgliedstaaten eingerichtet wurden, umfassend online zur Verfügung gestellt werden. |
(26) |
Diese Verordnung sollte nicht die Zuständigkeiten nationaler Behörden während eines Verfahrens berühren, einschließlich der Überprüfung der Richtigkeit und Gültigkeit von übermittelten Informationen und Nachweisen und der Überprüfung der Echtheit, wo die Nachweise anders als mittels technischer Systeme übermittelt wurden, die auf dem Grundsatz der einmaligen Erfassung beruhen. Diese Verordnung sollte auch nicht die Verfahrensabläufe innerhalb und zwischen den zuständigen Behörden („Backoffice“) beeinträchtigen, unabhängig davon, ob diese Abläufe digitalisiert sind oder nicht. Wenn es im Rahmen einiger der Verfahren zur Registrierung von Änderungen der Geschäftstätigkeiten notwendig ist, sollten die Mitgliedstaaten auch weiterhin die Einbindung von Notaren oder Rechtsanwälten vorschreiben können, die möglicherweise Mittel zur Überprüfung, einschließlich von Videokonferenzen oder anderen Online-Mitteln, nutzen wollen, die eine audiovisuelle Verbindung in Echtzeit ermöglichen. Eine entsprechende Einbindung sollte jedoch eine vollständige online-Abwicklung von Verfahren zur Registrierung solcher Änderungen nicht verhindern. |
(27) |
In manchen Fällen wird von Nutzern möglicherweise verlangt, Nachweise zum Beweis von Sachverhalten zu erbringen, die nicht auf elektronischem Weg festgestellt werden können. Hierzu zählen beispielsweise ärztliche Bescheinigungen, der Nachweis darüber, dass eine Person am Leben ist, der Nachweis der Verkehrstauglichkeit von Kraftfahrzeugen oder die Bestätigung der Fahrgestellnummer. Sofern der Nachweis für solche Sachverhalte in elektronischer Form erbracht werden kann, sollte das keine Ausnahme von dem Grundsatz bilden, dass ein Verfahren vollständig online verfügbar gemacht werden sollte. In anderen Fällen ist es möglicherweise weiterhin notwendig, dass Nutzer eines Verfahrens angesichts des aktuellen Stands der technischen Entwicklung im Rahmen des Online-Verfahrens nach wie vor persönlich bei einer zuständigen Behörde vorstellig werden. Wenn sich solche Ausnahmen nicht aus dem Unionsrecht ergeben, sollten sie auf Fälle beschränkt sein, in denen das aus zwingenden Gründen des Allgemeininteresses in den Bereichen öffentliche Sicherheit, öffentliche Gesundheit oder Bekämpfung von missbräuchlichem Verhalten gerechtfertigt ist. Aus Gründen der Transparenz sollten die Mitgliedstaaten der Kommission und den anderen Mitgliedstaaten Informationen über solche Ausnahmen sowie die Gründe und Umstände zur Verfügung stellen, aus bzw. unter denen diese Ausnahmen Anwendung finden können. Die Mitgliedstaaten sollten nicht verpflichtet sein, über jeden Einzelfall Bericht zu erstatten, in dem ausnahmsweise physische Anwesenheit erforderlich war, sondern die nationalen Bestimmungen übermitteln, die in solchen Fällen gelten. Bewährte Verfahren auf nationaler Ebene und technische Entwicklungen, die eine weitere diesbezügliche Digitalisierung ermöglichen, sollten regelmäßig in einer Koordinierungsgruppe für das Zugangstor erörtert werden. |
(28) |
In grenzüberschreitenden Fällen könnte das Verfahren zur Eintragung einer Adressenänderung aus zwei getrennten Verfahren bestehen, und zwar einem im Herkunftsmitgliedstaat zur Abmeldung von der alten Anschrift und einem im Bestimmungsmitgliedstaat zur Anmeldung an der neuen Anschrift. Beide Verfahren sollten in den Anwendungsbereich dieser Verordnung fallen. |
(29) |
Da die Digitalisierung von Anforderungen, Verfahren und Formalitäten zur Anerkennung beruflicher Qualifikationen bereits in der Richtlinie 2005/36/EG geregelt ist, sollte diese Verordnung nur die Digitalisierung des Verfahrens zur Beantragung der akademischen Anerkennung von Diplomen, Prüfungszeugnissen oder anderen Nachweisen über abgeschlossene Ausbildungen in Bezug auf Personen einschließen, die ein Studium beginnen oder fortsetzen oder einen akademischen Titel verwenden möchten, abgesehen von den Formalitäten im Zusammenhang mit der Anerkennung von beruflichen Qualifikationen. |
(30) |
Die vorliegende Verordnung sollte nicht die Vorschriften zur Koordinierung der nationalen Systeme der sozialen Sicherheit gemäß Verordnung (EG) Nr. 883/2004 (14) und Verordnung (EG) Nr. 987/2009 (15) des Europäischen Parlaments und des Rates berühren, in denen die Rechte und Pflichten der Versicherten und der Sozialversicherungsträger sowie die im Bereich der Koordinierung der sozialen Sicherheit geltenden Verfahren festgelegt sind. |
(31) |
Auf Unions- und nationaler Ebene wurden mehrere Netze und Dienste eingerichtet, um Bürger und Unternehmen bei ihrer grenzüberschreitenden Geschäftstätigkeit zu unterstützen. Es ist wichtig, dass diese Dienste, einschließlich bestehender, auf Unionsebene eingerichteter Hilfs- oder Problemlösungsdienste, wie beispielsweise Europäische Verbraucherzentren, „Ihr Europa — Beratung“, SOLVIT, Helpdesk für Rechte des geistigen Eigentums, Europe Direct und Enterprise Europe Network, Teil des Zugangstors sind, damit gewährleistet ist, dass alle potenziellen Nutzer sie finden können. Die in Anhang III aufgeführten Dienste wurden im Wege verbindlicher Rechtsakte der Union eingerichtet, andere Dienste wiederum werden auf freiwilliger Basis betrieben. Die Dienste, die im Wege verbindlicher Rechtsakte der Union eingerichtet wurden, sollten verpflichtet sein, die in der vorliegenden Verordnung festgelegten Qualitätsanforderungen einzuhalten. Auf rein freiwilliger Basis betriebene Dienste sollten diese Qualitätsanforderungen erfüllen, wenn beabsichtig wird, sie über das Zugangstor zur Verfügung zu stellen. Der Umfang und die Art dieser Dienste, ihre Verwaltungsregelungen, bestehende Fristen und die freiwillige, vertragliche oder sonstige Basis ihrer Tätigkeit sollten durch diese Verordnung nicht berührt werden. Wenn zum Beispiel die von ihnen geleistete Hilfe informeller Art ist, sollte diese Verordnung nicht die Umwandlung dieser Hilfe in eine verbindliche Rechtsberatung bewirken. |
(32) |
Außerdem sollten die Mitgliedstaaten und die Kommission in der Lage sein, weitere nationale Hilfs- oder Problemlösungsdienste in das Zugangstor aufzunehmen, die von den zuständigen Behörden, von privaten oder halböffentlichen Einrichtungen oder von öffentlichen Stellen, z. B. Handelskammern oder nichtstaatlichen Hilfsdiensten für Bürger, gemäß den Bedingungen der vorliegenden Verordnung angeboten werden. Grundsätzlich sollten die zuständigen Behörden Verantwortung dafür tragen, die Anfragen von Bürgern und Unternehmen hinsichtlich geltender Regeln und Verfahren zu beantworten, die von Online-Diensten nicht vollumfänglich bearbeitet werden können. In sehr spezifischen Bereichen allerdings und wenn die von privaten oder halböffentlichen Einrichtungen angebotenen Dienste den Anforderungen der Nutzer gerecht werden, können die Mitgliedstaaten der Kommission vorschlagen, dass sie diese Dienste über das Zugangstor zur Verfügung stellt, sofern diese Dienste alle in den Bedingungen dieser Verordnung erfüllen und sich nicht mit den über das Zugangstor bereits verfügbaren Hilfs- oder Problemlösungsdiensten überlappen. |
(33) |
Um den Nutzern beim Auffinden des jeweils angemessenen Dienstes behilflich zu sein, sollte die vorliegende Verordnung eine Suchmaschine für Hilfsdienste vorsehen, die die Nutzer automatisch zum richtigen Dienst führt. |
(34) |
Der Erfolg des Zugangstors hängt wesentlich von der Einhaltung bestimmter Mindestanforderungen an die Qualität ab, mit der die Verlässlichkeit der Informationen oder Dienste gewährleistet wird, da die Glaubwürdigkeit des Portals als Ganzes anderenfalls erheblich beeinträchtigt würde. Mit Ziel der Einhaltung der Anforderungen soll vorrangig gewährleistet werden, dass die Informationen oder Dienste in einer klaren und nutzerfreundlichen Weise präsentiert werden. Es ist Sache der Mitgliedstaaten, zu bestimmen, wie die Informationen den Nutzern in den jeweiligen Phasen des Verfahrens präsentiert werden, um dieses Ziel zu erreichen. So ist es für die Nutzer beispielsweise zwar hilfreich, über die allgemein verfügbaren Rechtsbehelfe für den Fall eines negativen Ausgangs des Verfahrens informiert zu sein, bevor sie ein Verfahren einleiten, es ist jedoch viel nutzerfreundlicher, solche spezifischen Informationen über die Schritte, die in einem solchen Fall unternommen werden können, am Ende des Verfahrens zur Verfügung zu stellen. |
(35) |
Für grenzüberschreitende Nutzer kann der Zugang zu Informationen deutlich verbessert werden, wenn die Informationen in einer Amtssprache der Union, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, abgefasst sind. Bei dieser Sprache dürfte es sich in den meisten Fällen um die Fremdsprache handeln, die unionsweit von Nutzern am häufigsten erlernt wird, aber in einigen Fällen, und insbesondere dann, wenn die Informationen auf lokaler Ebene von kleinen Gemeinschaften in Grenznähe eines Mitgliedstaats zur Verfügung gestellt werden, kann es sich bei der geeignetsten Sprache um die Erstsprache der grenzüberschreitenden Nutzer im benachbarten Mitgliedstaat handeln. Die Übersetzung aus der Amtssprache oder den Amtssprachen des betreffenden Mitgliedstaats in eine weitere Amtssprache der Union sollte die Informationen der ausgangssprachlichen Fassung(en) inhaltlich korrekt wiedergeben. Die Übersetzung kann auf die Informationen beschränkt werden, die die Nutzer benötigen, um die für ihre Situation geltenden grundsätzlichen Vorschriften und Anforderungen zu verstehen. Die Mitgliedstaaten sollten zwar darin bestärkt werden, möglichst viele Informationen in eine Amtssprache der Union zu übersetzen, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, der Umfang dieser Verordnung zur übersetzenden Informationen hängt jedoch von den hierzu zur Verfügung stehenden finanziellen Mitteln ab, vor allem jenen des Unionshaushalts. Die Kommission sollte die entsprechenden Vorkehrungen treffen, um für eine effiziente Bereitstellung von Übersetzungen an die Mitgliedstaaten auf deren Ersuchen zu sorgen. Die Koordinierungsgruppe für das Zugangstor sollte erörtern, in welche Amtssprache bzw. Amtssprachen der Union diese Informationen übersetzt werden sollten, und Leitlinien hierzu zur Verfügung stellen. |
(36) |
Gemäß der Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates (16) müssen die Mitgliedstaaten sicherstellen, dass die Websites ihrer öffentlichen Stellen gemäß den Grundsätzen der Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit zugänglich sind und dass sie den in dieser Richtlinie festgelegten Anforderungen genügen. Die Kommission und die Mitgliedstaaten sollten die Einhaltung des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen, insbesondere der Artikel 9 und 21, gewährleisten, und um den Zugang zu Informationen durch Personen mit geistigen Behinderungen zu fördern, sollten Alternativen in leicht lesbarer Sprache möglichst weitgehend gemäß dem Grundsatz der Verhältnismäßigkeit zur Verfügung gestellt werden. Die Mitgliedstaaten haben sich durch die Ratifizierung und die Union durch den Abschluss (17) des Übereinkommens verpflichtet, angemessene Maßnahmen zu ergreifen, um für Menschen mit Behinderungen den gleichberechtigten Zugang zu neuen Informations- und Kommunikationstechnologien und -systemen zu gewährleisten, indem der Zugang zu Informationen durch Personen mit geistigen Behinderungen dadurch erleichtert wird, dass Alternativen in leicht lesbarer Sprache möglichst weit gehend und proportional zur Verfügung gestellt werden. |
(37) |
Obwohl die Richtlinie (EU) 2016/2102 nicht für Websites und mobile Anwendungen der Organe, Einrichtungen und sonstigen Stellen der Union gilt, sollte die Kommission sicherstellen, dass die gemeinsame Nutzerschnittstelle und in ihre Zuständigkeit fallende Webseiten, die über das Zugangstor verfügbar gemacht werden sollen, für Personen mit Behinderungen zugänglich sind, d. h. dass sie wahrnehmbar, bedienbar, verständlich und robust sein müssen. Wahrnehmbarkeit bedeutet, dass die Informationen und Komponenten der gemeinsamen Nutzerschnittstellen den Nutzern in einer Weise dargestellt werden müssen, dass sie sie wahrnehmen können; Bedienbarkeit bedeutet, dass die Nutzer die Komponenten der gemeinsamen Nutzerschnittstelle und die Navigation handhaben können müssen; Verständlichkeit bedeutet, dass die Informationen und die Handhabung der gemeinsamen Nutzerschnittstelle verständlich sein müssen, und Robustheit bedeutet, dass die Inhalte robust genug sein müssen, damit sie zuverlässig von einer Vielfalt von Benutzeragenten, einschließlich assistiver Technologien, interpretiert werden können. Die Kommission wird im Sinne der Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit dazu angehalten, den einschlägigen harmonisierten Normen zu entsprechen. |
(38) |
Zur Erleichterung der Zahlung von Gebühren die im Rahmen eines Online-Verfahrens oder für die Erbringung von Hilfs- oder Problemlösungsdiensten anfallen, sollten grenzüberschreitende Nutzer in der Lage sein, Überweisungen oder Lastschriften gemäß der Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates (18) oder andere allgemein verwendete grenzüberschreitende Zahlungsmittel, einschließlich Debit- oder Kreditkarten, zu nutzen. |
(39) |
Die Nutzer sollten erfahren, wie viel Zeit ein Verfahren voraussichtlich in Anspruch nehmen kann. In diesem Zusammenhang sollten die Nutzer über einzuhaltende Fristen oder Regelungen zur stillschweigenden Zustimmung oder anderen Rechtswirkungen bei Schweigen der Verwaltung informiert werden oder, falls solche nicht anwendbar sind, zumindest über die durchschnittliche, geschätzte oder voraussichtliche Zeit, die das betreffende Verfahren in der Regel erfordert. Solche Schätzungen oder Angaben sollten es den Nutzern lediglich ermöglichen, ihre Aktivitäten oder anschließenden administrativen Schritte zu planen und sollten keine Rechtswirkung entfalten. |
(40) |
Die vorliegende Verordnung sollte auch die Überprüfung der von den Nutzern elektronisch vorgelegten Nachweise ermöglichen, wenn die ausstellende zuständige Behörde diese Nachweise ohne elektronisches Siegel oder Zertifizierung ausgestellt hat oder das in der vorliegenden Verordnung eingeführte technische Instrument oder ein anderes System zum direkten Austausch oder zur Überprüfung von Nachweisen zwischen zuständigen Behörden verschiedener Mitgliedstaaten nicht verfügbar ist. Für solche Fälle sollte die Verordnung einen wirksamen Mechanismus für die Verwaltungszusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten vorsehen, der auf dem Binnenmarktinformationssystem (IMI) beruht, das im Wege der Verordnung (EU) Nr. 1024/2012 des Europäischen Parlaments und des Rates eingerichtet wurde (19). In solchen Fällen sollte die Entscheidung einer zuständigen Behörde zur Nutzung des IMI freiwillig erfolgen, aber sobald diese Behörde einen Antrag auf Informationen oder Zusammenarbeit über das IMI übermittelt hat, sollte die ersuchte zuständige Behörde zur Zusammenarbeit und Antwort verpflichtet sein. Der Antrag kann über das IMI entweder an eine zuständige Behörde, die den Nachweis erstellt, oder an die zentrale Behörde, die die Mitgliedstaaten gemäß ihren eigenen Verwaltungsbestimmungen festlegen, gesendet werden. Um unnötige Doppelerfassungen zu vermeiden, und weil die Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates (20) einen Teil der Nachweise betrifft, die für die in dieser Verordnung geregelten Verfahren relevant sind, können die Bestimmungen für die Zusammenarbeit im Rahmen des IMI gemäß der Verordnung (EU) 2016/1191 auch für die Zwecke anderer Nachweise angewandt werden, die in Verfahren benötigt werden, die unter diese Verordnung fallen. Um die Einrichtungen und sonstigen Stellen der Union zu IMI-Akteuren zu machen, sollte die Verordnung (EU) Nr. 1024/2012 geändert werden. |
(41) |
Online-Dienste zuständiger Behörden sind von wesentlicher Bedeutung, um die Qualität und die Sicherheit der Dienste für Bürger sowie Unternehmen zu verbessern. Behörden in Mitgliedstaaten arbeiten zunehmend darauf hin, Daten wiederzuverwenden und dadurch darauf zu verzichten, Bürger sowie Unternehmen mehr als einmal um Vorlage derselben Information zu ersuchen. Die Wiederverwendung von Daten sollte auch für grenzüberschreitende Nutzer vereinfacht werden, um ihnen zusätzlichen Aufwand zu ersparen. |
(42) |
Um den rechtmäßigen grenzüberschreitenden Austausch von Nachweisen und Informationen durch die unionsweite Anwendung des Grundsatzes der einmaligen Erfassung zu ermöglichen, sollten bei der Anwendung dieser Verordnung und des Grundsatzes der einmaligen Erfassung alle anwendbaren Datenschutzvorschriften, einschließlich des Grundsatzes der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit, der Notwendigkeit, der Verhältnismäßigkeit und der Zweckbindung eingehalten werden. Ihre Umsetzung sollte auch vollumfänglich die Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes einhalten. und den Grundrechten von Einzelpersonen, einschließlich der Grundrechte, die sich auf Fairness und Transparenz beziehen, Rechnung tragen. |
(43) |
Die Mitgliedstaaten sollten sicherstellen, dass die Nutzer von Verfahren klare Informationen darüber erhalten, wie die sie betreffenden personenbezogenen Daten gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (21) und den Artikeln 15 und 16 der Verordnung (EU) 2018/1725 (22) verarbeitet werden. |
(44) |
Um die Nutzung von Online-Verfahren weiter zu vereinfachen, sollte die vorliegende Verordnung gemäß dem Grundsatz der einmaligen Erfassung die Grundlage für die Schaffung und Verwendung eines vollständig funktionsfähigen, sicheren technischen Systems für den automatisierten grenzüberschreitenden Austausch von Nachweisen zwischen den am Verfahren beteiligten Akteuren schaffen, sofern dieser von Bürgern und Unternehmen ausdrücklich gewünscht wird. Umfasst der Austausch von Nachweisen personenbezogene Daten, so sollte der Antrag als ausdrücklich gelten, wenn er einen aus freien Stücken erteilten, spezifischen, faktengestützten und unzweideutigen Hinweis — entweder durch eine Erklärung oder durch eine bestätigende Handlung — auf den Wunsch der Person enthält, dass die einschlägigen personenbezogenen Daten ausgetauscht werden sollen. Ist der Nutzer nicht die von den Daten betroffene Person, so darf das Online-Verfahren seine Rechte gemäß der Verordnung (EU) 2016/679 nicht beeinträchtigen. Die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung sollte dazu führen, dass Bürger und Unternehmen Behörden dieselben Daten nicht mehr als einmal vorlegen müssen und dass diese Daten auf Wunsch des Nutzers auch für die Zwecke der grenzüberschreitenden Abwicklung von Online-Verfahren, an denen grenzüberschreitende Nutzer beteiligt sind, verwendet werden können. Die Verpflichtung, das technische System für den automatisierten Austausch von Nachweisen zwischen den verschiedenen Mitgliedstaaten zu nutzen, sollte für die zuständige ausstellende Behörden nur gelten, wenn die Behörden in ihrem Mitgliedstaat rechtmäßig Nachweise in einem elektronischen Format ausstellen, das einen automatisierten Austausch ermöglicht. |
(45) |
Jeder grenzüberschreitende Austausch von Nachweisen sollte auf eine geeignete Rechtsgrundlage gestützt sein, wie in den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU oder 2014/25/EU, oder — für die in Anhang II aufgeführten Verfahren — in anderen geltenden Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt. |
(46) |
Es ist angemessen, dass diese Verordnung als allgemeine Regel festlegt, dass der grenzüberschreitende automatisierte Austausch von Nachweisen auf ausdrücklichen Wunsch des Nutzers stattfindet. Diese Anforderung sollte allerdings nicht gelten, wenn die einschlägigen Rechtsvorschriften der Union oder der Mitgliedstaaten den automatisierten grenzüberschreitenden Datenaustausch ohne ausdrücklichen Wunsch des Nutzers ermöglichen. |
(47) |
Die Nutzung des durch diese Verordnung eingeführten technischen Systems sollte weiterhin freiwillig sein, und dem Nutzer sollte es weiterhin freistehen, Nachweise auf anderem Wege als dem vorgesehenen technischen System vorzulegen. Der Nutzer sollte die Möglichkeit haben, die Nachweise vorab einzusehen, und das Recht, sich in Fällen, in denen er nach Voreinsichtnahme in die auszutauschenden Nachweise feststellt, dass die Informationen nicht zutreffend, nicht aktuell oder für das jeweilige Verfahren überflüssig sind, zu entscheiden, nicht mit dem Austausch von Nachweisen fortzufahren. Die Daten, die vorab eingesehen werden, sollten nicht länger als für den technisch notwendigen Zeitraum gespeichert werden. |
(48) |
Das sichere technische System, das für den Austausch von Nachweisen gemäß der vorliegenden Verordnung eingerichtet werden sollte, sollte den anfordernden zuständigen Behörden die Gewissheit verschaffen, dass die Nachweise von der richtigen ausstellenden Behörde eingereicht wurden. Bevor die zuständige Behörde Informationen annimmt, die ein Nutzer im Rahmen eines Verfahrens bereitgestellt hat, sollte sie — wenn Anlass zu Zweifeln bestehen — die Möglichkeit haben, diese Informationen zu überprüfen und ihre Richtigkeit festzustellen. |
(49) |
Es gibt eine Reihe von Bausteinen, die grundlegende Kapazitäten bieten, die zur Einrichtung des technischen Systems genutzt werden können, beispielsweise die Bausteine der mit der Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates (23) eingeführten Fazilität „Connecting Europe“ (CEF), und die Bausteine zur elektronischen Zustellung (eDelivery) und zur elektronischen Identifizierung (eID), die Teile dieser Fazilität sind. Diese Bausteine bestehen aus technische Spezifikationen, Beispiel-Software und unterstützende Dienste und sollen die Interoperabilität zwischen den bestehenden Systemen der Informations- und Kommunikationstechnologie (IKT) in den verschiedenen Mitgliedstaaten sicherstellen, sodass Bürger, Unternehmen und Behörden überall in der Union Nutzen aus nahtlosen digitalen öffentlichen Diensten ziehen können. |
(50) |
Das auf Grundlage dieser Verordnung eingeführte technische System sollte neben anderen Systemen bestehen, die Mechanismen für die Zusammenarbeit zwischen Behörden zur Verfügung stellen, etwa das Binnenmarktinformationssystem, ohne andere Systeme, darunter auch das in der Verordnung (EG) Nr. 987/2009 genannte System, die Einheitliche Europäische Eigenerklärung gemäß der Richtlinie 2014/24/EU, der elektronische Austausch von Information der sozialen Sicherheit gemäß der Verordnung (EG) Nr. 987/2009, der Europäische Berufsausweis gemäß der Richtlinie 2005/36/EG, die Verknüpfung nationaler Register und die Vernetzung von Zentral-, Handels- und Gesellschaftsregistern gemäß der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates (24) und die Vernetzung von Insolvenzregistern gemäß der Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates (25), zu beeinträchtigen. |
(51) |
Um einheitliche Bedingungen für die Umsetzung eines technischen Systems zum automatisierten Austausch von Nachweisen zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, aufgrund deren sie insbesondere die technischen und operativen Spezifikationen eines Systems zur Verarbeitung von Anträgen von Nutzern auf den Austausch von Nachweisen und die Übertragung solcher Nachweise sowie Vorschriften, die zur Gewährleistung der Integrität und Vertraulichkeit der Übertragung erforderlich sind, festlegt. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (26) ausgeübt werden. |
(52) |
Im Hinblick auf die Gewährleistung eines hohen Sicherheitsniveaus für die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung durch das technische System sollte die Kommission beim Erlass von Durchführungsrechtsakten zur Festlegung der Spezifikationen für ein solches technisches System den von europäischen und internationalen Normungsorganisationen und -gremien, insbesondere dem Europäischen Komitee für Normung (CEN), dem Europäischen Institut für Telekommunikationsnormen (ETSI), der Internationalen Organisation für Normung (ISO) und der Internationalen Fernmeldeunion (ITU), festgelegten Normen und technischen Spezifikationen sowie den Sicherheitsstandards gemäß Artikel 32 der Verordnung (EU) 2016/679 und Artikel 22 der Verordnung (EU) 2018/1725 umfassend Rechnung tragen. |
(53) |
Die Kommission sollte den Europäischen Datenschutzbeauftragten konsultieren, wenn das erforderlich ist, um die Entwicklung, die Verfügbarkeit, die Wartung, die Überwachung, die Kontrolle und das Sicherheitsmanagement der Teile des technischen Systems, für die Kommission zuständig ist, sicherzustellen. |
(54) |
Die zuständigen Behörden und die Kommission sollten sicherstellen, dass die Informationen, Verfahren und Dienste für die sie verantwortlich sind den Sicherheitskriterien entsprechen. Die gemäß dieser Verordnung bestellten nationalen Koordinatoren und die Kommission sollten die Einhaltung der Qualitäts- und Sicherheitskriterien auf nationaler Ebene und auf Unionsebene in regelmäßigen Abständen überprüfen und auftretende Probleme angehen. Die nationalen Koordinatoren sollten die Kommission darüber hinaus bei der Überwachung des Funktionierens des technischen Systems, das den grenzüberschreitenden Austausch von Nachweisen ermöglicht, unterstützen. Die vorliegende Verordnung sollte der Kommission verschiedene Mittel an die Hand geben, um einer möglichen Verschlechterung der Qualität der über das Zugangstor angebotenen Dienste entgegenzuwirken; je nachdem, wie schwerwiegend und dauerhaft eine solche Verschlechterung ist, würde auch die Koordinierungsgruppe gegebenenfalls für das Zugangstor mit einbezogen werden. Die Kommission trägt dennoch die Gesamtverantwortung dafür, zu überwachen, dass die Bestimmungen der vorliegenden Verordnung eingehalten werden. |
(55) |
In der vorliegenden Verordnung sollten die Hauptfunktionen der technischen Instrumente spezifiziert werden, die die Funktionsweise des Zugangstors unterstützen, insbesondere die gemeinsame Nutzerschnittstelle, die Link-Ablage und die gemeinsame Suchmaschine für Hilfsdienste. Die gemeinsame Nutzerschnittstelle sollte sicherstellen, dass Nutzer auf Websites auf nationaler Ebene und auf Unionsebene problemlos Informationen, Verfahren und Hilfs- und Problemlösungsdienste finden können. Die Mitgliedstaaten und die Kommission sollten sich bemühen, Links zu einer einzigen Quelle der für das Zugangstor erforderlichen Informationen bereitzustellen, um Verwirrung unter den Nutzern aufgrund von unterschiedlichen oder sich ganz oder teilweise überschneidenden Quellen derselben Informationen zu vermeiden. Das sollte nicht die Möglichkeit ausschließen, eine Verknüpfung per Link mit den entsprechenden Informationen, die von lokalen oder regionalen zuständigen Behörden in Bezug auf verschiedene geografische Gebiete bereitzustellen. Es sollte auch nicht die Doppelerfassung von Informationen verhindern, wenn diese unvermeidbar oder gewünscht ist, zum Beispiel wenn Unionsrechte, -pflichten und -vorschriften auf nationalen Internetseiten zur Verbesserung der Benutzerfreundlichkeit wiederholt oder beschrieben werden. Um menschliches Eingreifen in die Aktualisierung der Links, die von der gemeinsamen Nutzerschnittstelle genutzt werden, so gering wie möglich zu halten, sollte eine direkte Verbindung zwischen den einschlägigen technischen Systemen der Mitgliedstaaten und der Linkablage eingerichtet werden, soweit das technisch möglich ist. Die gemeinsamen IKT-Unterstützungsinstrumente könnten das gemeinsame Datenmodell CPSV (Core Public Services Vocabulary, Grundwortschatz für öffentliche Dienste) verwenden, um die Interoperabilität mit den Katalogen und der Semantik des nationalen Dienstes zu erleichtern. Die Mitgliedstaaten sollten darin bestärkt werden, das CPSV zu nutzen, es steht ihnen aber frei, zu Lösungen auf nationaler Ebene zu greifen. Die in der Linkablage erfassten Informationen sollten in einem offenen, gängigem und maschinenlesbaren Datenformat öffentlich zugänglich gemacht werden, beispielsweise durch Anwendungsprogrammierschnittstellen (API), um ihre Wiederverwendung zu ermöglichen. |
(56) |
Mit dem Suchwerkzeug der gemeinsamen Nutzerschnittstelle sollten die Nutzer die Informationen finden können, die sie benötigen, sei es auf Internetseiten auf Unionsebene oder auf nationaler Ebene. Sie wird Nutzer auch insofern zu nützlichen Informationen führen, als sie das Verlinken bestehender und einander ergänzender Websites oder Webseiten, ihre bestmögliche Straffung und Bündelung und das Setzen von Links zwischen Webseiten und Websites auf Unionsebene und auf nationaler Ebene für den Zugang zu Online-Diensten und Online-Informationen unterstützt. |
(57) |
In dieser Verordnung sollten auch konkrete Qualitätsanforderungen an die gemeinsame Nutzerschnittstelle festgelegt werden. Die Kommission sollte dafür sorgen, dass die gemeinsame Nutzerschnittstelle diesen Anforderungen genügt und die Nutzerschnittstelle sollte insbesondere online über verschiedene Kanäle verfügbar sowie zugänglich und leicht zu bedienen sein. |
(58) |
Um einheitliche Bedingungen für die Umsetzung der technischen Lösungen zur Unterstützung des Zugangstors zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, aufgrund derer sie gegebenenfalls die geltenden Normen und Anforderungen an die Interoperabilität zur Erleichterung der Auffindbarkeit von Informationen zu Vorschriften und Pflichten, zu Verfahren und zu Hilfs- und Problemlösungsdiensten unter der Verantwortung der Mitgliedstaaten und der Kommission im Einzelnen festlegt. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden. |
(59) |
In der vorliegenden Verordnung sollten auch die Zuständigkeiten für die Entwicklung, Verfügbarkeit, Wartung und Sicherheit der IKT-Anwendungen zur Unterstützung des Zugangstors klar zwischen der Kommission und den Mitgliedstaaten aufgeteilt werden. Im Rahmen der Wartungsaufgaben sollten die Kommission und die Mitgliedstaaten regelmäßig prüfen, ob diese IKT-Anwendungen reibungslos funktionieren. |
(60) |
Um das Potenzial der verschiedenen Informationsbereiche voll auszuschöpfen, müssen die Verfahren und Hilfs- und Problemlösungsdienste, die über das Zugangstor verfügbar gemacht werden sollen, sowie das Wissen der Zielgruppen um deren Existenz und Funktionsweise drastisch verbessert werden. Durch die Verfügbarkeit der Dienste über das Zugangstor dürfte es für die Nutzer deutlich einfacher werden, die von ihnen benötigten Informationen, Verfahren und Hilfs- und Problemlösungsdienste zu finden, die sie auch dann benötigen, wenn sie mit ihnen nicht vertraut sind. Außerdem bedarf es einer koordinierten Werbung, um zu gewährleisten, dass Bürger und Unternehmen überall in der Union von dem Zugangstor und den damit verbundenen Vorteilen erfahren. Derartige Öffentlichkeitsarbeit sollte die Optimierung der Suchmaschinen und andere Online-Sensibilisierungsmaßnahmen umfassen, da sie am kostenwirksamsten sind und das Potenzial haben, die größtmögliche Zielgruppe zu erreichen. Um größtmögliche Effizienz zu erzielen, sollten diese Werbeaktionen im Rahmen der Koordinierungsgruppe für das Zugangstor vorgenommen werden und die Mitgliedstaaten ihre Werbung derart anpassen, dass in allen einschlägigen Zusammenhängen auf eine gemeinsame Marke Bezug genommen wird und die Möglichkeit für eine Markenpartnerschaft zwischen dem Zugangstor und den nationalen Initiativen besteht. |
(61) |
Alle Organe, Einrichtungen und sonstigen Stellen der Union sollten dazu angehalten werden, das Zugangstor zu fördern, indem sie auf allen einschlägigen Websites, für die sie jeweils verantwortlich sind, sein Logo und Links zum Zugangstor anführen. |
(62) |
Der Name, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, lautet „Your Europe“. Die gemeinsame Nutzerschnittstelle sollte insbesondere auf einschlägigen Internetseiten der Union und der Mitgliedstaaten prominent platziert und leicht zu finden sein. Das Logo des Zugangstors sollte auf den einschlägigen Websites der Union und der Mitgliedstaaten abgebildet werden. |
(63) |
Um angemessene Informationen zu erhalten, anhand derer die Leistungsfähigkeit des Zugangstors gemessen und verbessert werden kann, sollten die zuständigen Behörden und die Kommission mit der vorliegenden Verordnung zur Erhebung und Analyse von Daten zur Nutzung der verschiedenen über das Zugangstor verfügbaren Informationsbereiche, Verfahren und Dienste verpflichtet werden. Die Erhebung statistischer Nutzerdaten, etwa Daten über die Anzahl der Besuche bestimmter Internetseiten, die Anzahl der Nutzer in einem Mitgliedstaat im Vergleich mit der Anzahl der Nutzern aus anderen Mitgliedstaaten, eingegebene Suchbegriffe, am häufigsten besuchte Internetseiten, Referral-Websites oder die Anzahl, den Ursprung und den Gegenstand von Hilfeersuchen, sollte die Funktionsweise des Zugangstors verbessern, indem sie die Ermittlung der Zielgruppe, die Entwicklung von Öffentlichkeitsarbeit und die Verbesserung der Qualität der angebotenen Dienste unterstützt. Bei der Erhebung solcher Daten sollte dem jährlichen von der Kommission durchgeführten eGovernment-Benchmarking Rechnung getragen werden, um Doppelarbeit zu vermeiden. |
(64) |
Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden., damit sie einheitliche Regeln für die Methode zur Erhebung und die Methode zum Austausch statistischer Nutzerdaten festlegen kann. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden. |
(65) |
Die Qualität des Zugangstors hängt von der Qualität der über das Zugangstor angebotenen Dienste der Union und der Mitgliedstaaten ab. Daher sollte die Qualität der über das Zugangstor verfügbaren Informationen, Verfahren, Hilfs- und Problemlösungsdienste auch regelmäßig überprüft werden, anhand eines Instruments für Rückmeldungen der Nutzer, durch das die Nutzer um eine Beurteilung bzw. Rückmeldung bezüglich der Abdeckung und Qualität der von ihnen in Anspruch genommenen Informationen, Verfahren, oder Hilfs- und Problemlösungsdienste ersucht werden. Diese Rückmeldungen sollten in einem gemeinsamen Instrument zusammengetragen, zu dem die Kommission, die zuständigen Behörden und die nationalen Koordinatoren Zugang haben sollten. Der Kommission sollten Durchführungsbefugnisse übertragen werden, damit sie einheitliche Bedingungen für die Durchführung der vorliegenden Verordnung in Bezug auf die gemeinsamen Funktionen der Instrumente für Rückmeldungen der Nutzer und die genauen Vereinbarungen zur Erhebung und gemeinsamen Nutzung der Nutzerrückmeldungen gewährleisten kann. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden. Die Kommission sollte online anonymisierte Gesamtübersichte über die Probleme, wesentliche Nutzerstatistiken und die wichtigsten Rückmeldungen der Nutzer veröffentlichen, die gemäß dieser Verordnung eingeholt wurden. |
(66) |
Außerdem sollte das Zugangstor ein Rückmeldeinstrument beinhalten, das Nutzer in die Lage versetzt, etwaige Probleme und Schwierigkeiten, auf die sie bei der Wahrnehmung ihrer Binnenmarktrechte gestoßen sind, freiwillig und anonym zu melden. Dieses Instrument ist lediglich als Ergänzung zu den Mechanismen zur Bearbeitung von Beschwerden zu verstehen, da Nutzer keine personalisierte Antwort erhalten können. Die eingegangenen Rückmeldungen sollten mit aggregierten Informationen der Hilfs- und Problemlösungsdienste über die von ihnen bearbeiteten Fälle kombiniert werden, um einen Überblick darüber zu erstellen, wie der Binnenmarkt von den Nutzern wahrgenommen wird, und um Problembereiche zu ermitteln, in denen sich durch mögliche künftige Maßnahmen das Funktionieren des Binnenmarkts verbessern ließe. Dieser Überblick sollte mit bestehenden Berichterstattungsinstrumenten, wie zum Beispiel dem Binnenmarktanzeiger, verlinkt werden. |
(67) |
Das Recht der Mitgliedstaaten, darüber zu entscheiden, wer die Rolle des nationalen Koordinators übernehmen sollte, sollte von dieser Verordnung unberührt sein. Die Mitgliedstaaten sollten in der Lage sein, die Funktionen und Zuständigkeiten ihrer nationalen Koordinatoren im Zusammenhang mit dem Zugangstor an ihre internen Verwaltungsstrukturen anzupassen. Die Mitgliedstaaten sollten in der Lage sein, zusätzliche nationale Koordinatoren zu ernennen, die die Aufgaben im Rahmen dieser Verordnung allein oder gemeinsam mit anderen, mit Verantwortung für einen Verwaltungsbereich oder eine geografische Region oder nach Maßgabe anderer Kriterien wahrnehmen. Die Mitgliedstaaten sollten die Kommission über den Namen des von ihnen für die Kontakte mit der Kommission ernannten nationalen Koordinators informieren. |
(68) |
Die Koordinierungsgruppe des Zugangstors soll aus nationalen Koordinatoren unter dem Vorsitz der Kommission eingerichtet werden, um die Anwendung der vorliegenden Verordnung zu erleichtern, indem insbesondere — wie in der vorliegenden Verordnung gefordert — bewährte Verfahren ausgetauscht und gemeinsam auf die einheitlichere Darstellung der Informationen hingearbeitet wird. Die Arbeit dieser Koordinierungsgruppe des Zugangstors sollte den Zielsetzungen im jährlichen Arbeitsprogramm, das ihr die Kommission zur Prüfung vorlegen sollte, Rechnung tragen. Das jährliche Arbeitsprogramm sollte in Form von Leitfäden oder Empfehlungen, die für die Mitgliedstaaten nicht verbindlich sind, erstellt werden. Auf Ersuchen des Europäischen Parlaments kann die Kommission beschließen, das Parlament einzuladen, Experten zu den Sitzungen der Koordinierungsgruppe zu entsenden. |
(69) |
In der vorliegenden Verordnung sollte geklärt werden, welche Teile des Zugangstors aus dem Unionshaushalt finanziert werden sollen und welche Teile in den Zuständigkeitsbereich der Mitgliedstaaten fallen. Die Kommission sollte die Mitgliedstaaten dabei unterstützen, festzustellen, welche IKT-Bausteine wiederverwendbar sind und welche Finanzmittel auf Unionsebene im Rahmen von Fonds und Programmen zur Verfügung stehen, die zur Deckung der Kosten für die auf nationaler Ebene zur Einhaltung dieser Verordnung erforderlichen Anpassungen und Entwicklungen im IKT-Bereich beitragen können. Die für die Durchführung dieser Verordnung erforderliche Mittelausstattung sollte mit dem geltenden mehrjährigen Finanzrahmen vereinbar sein. |
(70) |
Die Mitgliedstaaten werden darin bestärkt, auf zwischenstaatlicher Ebene ein höheres Maß an Koordinierung, Austausch und Zusammenarbeit zu erreichen, um ihre strategischen, operativen sowie forschungs- und entwicklungsbezogenen Kapazitäten im Bereich der Cybersicherheit zu erhöhen, insbesondere indem sie die in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (NIS) (27) genannte Sicherheit von Netz- und Informationssystemen umsetzen, und um die Sicherheit und Widerstandskraft ihrer öffentlichen Verwaltung und Dienste zu stärken. Die Mitgliedstaaten werden darin bestärkt, die Sicherheit der Transaktionen zu erhöhen und ein ausreichendes Maß an Vertrauen in elektronische Mittel sicherzustellen, indem sie den eIDAS-Rahmen gemäß Verordnung (EU) Nr. 910/2014 und insbesondere angemessene Sicherheitsniveaus umsetzen. Die Mitgliedstaaten können gemäß dem Unionsrecht Maßnahmen zum Schutz der Cybersicherheit und zur Verhütung von Identitätsbetrug oder anderen Formen von Betrug ergreifen. |
(71) |
Wenn die in der vorliegenden Verordnung vorgesehene Anwendung die Verarbeitung personenbezogener Daten umfasst, sollte sie in Übereinstimmung mit den Rechtsvorschriften der Union über den Schutz personenbezogener Daten insbesondere Verordnung (EU) 2016/679 und Verordnung (EU) 2018/1725 erfolgen. Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (28) sollte auch im Rahmen dieser Verordnung Anwendung finden. Wie in der Verordnung (EU) 2016/679 vorgesehen, können die Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschränkungen, hinsichtlich der Verarbeitung von Gesundheitsdaten aufrechterhalten oder einführen, und sie können spezifischere Vorschriften über die Verarbeitung personenbezogener Daten von Beschäftigten im Beschäftigungskontext vorsehen. |
(72) |
Diese Verordnung sollte die Straffung der Verwaltungsregelungen für die vom Zugangstor abgedeckten Dienste fördern und erleichtern. Zu diesem Zweck sollte die Kommission die bestehenden Verwaltungsregelungen in enger Zusammenarbeit mit den Mitgliedstaaten überprüfen und gegebenenfalls anpassen, um Überschneidungen und Ineffizienz zu vermeiden. |
(73) |
Das Ziel dieser Verordnung besteht darin, sicherzustellen, dass Nutzer, die in anderen Mitgliedstaaten tätig sind, Online-Zugang zu umfassenden, verlässlichen, barrierefreien und verständlichen Informationen der Union und der Mitgliedstaaten über Rechte, Pflichten und Vorschriften, zu Online-Verfahren, die vollständig grenzüberschreitend abgeschlossen werden können, sowie zu Hilfs- oder Problemlösungsdiensten haben. Da dieses Ziel von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann und sich aufgrund ihres Umfangs und ihrer Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsgrundsatz tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht die vorliegende Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus. |
(74) |
Damit die Mitgliedstaaten und die Kommission die erforderlichen Instrumente zur Durchführung der vorliegenden Verordnung entwickeln und umsetzen können, sollten bestimmte Vorschriften erst zwei Jahre nach Inkrafttreten der vorliegenden Verordnung Anwendung finden. Den städtischen Behörden sollte bis zu vier Jahre Zeit nach Inkrafttreten dieser Verordnung gegeben werden, um Informationen über Vorschriften, Verfahren und Hilfs- und Problemlösungsdienste in ihrem Zuständigkeitsbereich zur Verfügung zu stellen. Die Bestimmungen dieser Verordnung über die Verfahren, die vollständig online bereitzustellen sind, sowie über den grenzüberschreitenden Zugang zu Online-Verfahren und das technische System für den grenzüberschreitenden automatisierten Austausch von Nachweisen gemäß dem Grundsatz der einmaligen Erfassung sollten spätestens fünf Jahre nach Inkrafttreten dieser Verordnung umgesetzt werden. |
(75) |
Die vorliegende Verordnung steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, und sollte unter Wahrung dieser Rechte und Grundsätze durchgeführt werden. |
(76) |
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (29) angehört und hat am 1. August 2017 eine Stellungnahme abgegeben (30) — |
HABEN FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand
(1) Mit dieser Verordnung werden Vorschriften festgelegt für
a) |
die Einrichtung und den Betrieb eines einheitlichen digitalen Zugangstors, um Bürgern und Unternehmen einfachen Zugang zu hochwertigen Informationen, effizienten Verfahren und wirksamen Hilfs- und Problemlösungsdiensten im Zusammenhang mit Unions- und nationalen Vorschriften für Bürger und Unternehmen, die ihre Rechte aus dem Unionsrecht im Bereich Binnenmarkt im Sinne von Artikel 26 Absatz 2 AEUV ausüben oder ausüben wollen, zu verschaffen; |
b) |
die Inanspruchnahme von Verfahren durch grenzüberschreitende Nutzer und die Umsetzung des Grundsatzes der einmaligen Erfassung bei den in Anhang II dieser Verordnung aufgeführten Verfahren und den in den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU vorgesehenen Verfahren; |
c) |
die Berichterstattung über Hindernisse auf dem Binnenmarkt, beruhend auf der Einholung von Rückmeldungen der Nutzer und der Erhebung von Statistiken bei den Diensten, die von dem Zugangstor abgedeckt werden. |
(2) Widerspricht diese Verordnung einer Bestimmung eines anderen Rechtsaktes der Union, der bestimmte Aspekte des Gegenstands dieser Verordnung regelt, so hat die Bestimmung des anderen Rechtsaktes der Union Vorrang.
(3) Diese Verordnung berührt nicht den Inhalt der Verfahren, die auf der Ebene der Union oder auf nationaler Ebene in irgendeinem der unter diese Verordnung fallenden Bereiche festgelegt sind, oder die Rechte, die im Rahmen dieser Verfahren gewährt werden. Ferner berührt diese Verordnung keine Maßnahmen, die gemäß dem Unionsrecht zur Gewährleistung der Cybersicherheit und zur Verhinderung von missbräuchlichem Verhalten ergriffen werden.
Artikel 2
Einrichtung des einheitlichen digitalen Zugangstors
(1) Die Kommission und die Mitgliedstaaten richten gemäß dieser Verordnung ein einheitliches digitales Zugangstor (im Folgenden „Zugangstor“) ein. Das Zugangstor besteht aus einer von der Kommission verwalteten gemeinsamen Nutzerschnittstelle (im Folgenden „gemeinsame Nutzerschnittstelle“), die in das Portal „Ihr Europa“ integriert wird und Zugang zu einschlägigen Unions- und nationalen Websites bietet.
(2) Das Zugangstor ermöglicht den Zugang zu:
a) |
Informationen über Rechte, Pflichten und Vorschriften nach dem Unionsrecht und nach nationalem Recht, die für Bürger und Unternehmen gelten, die ihre Rechte aus dem Unionsrecht im Bereich Binnenmarkt in den in Anhang I angegebenen Bereichen ausüben oder ausüben wollen; |
b) |
Informationen über Online- und Offline-Verfahren und Links zu Online-Verfahren, einschließlich der Verfahren im Sinne des Anhangs II, auf der Ebene der Union oder auf nationaler Ebene, um die Bürger in die Lage zu versetzen, die Rechte im Zusammenhang mit dem Binnenmarkt in den in Anhang I angegebenen Bereichen, wahrzunehmen und die entsprechenden Pflichten und Vorschriften einzuhalten; |
c) |
Informationen über und Links zu den in Anhang III aufgeführten oder in Artikel 7 genannten Hilfs- und Problemlösungsdiensten, und an die Bürger und Unternehmen sich bei Fragen oder Problemen im Zusammenhang mit ihren Rechten, Pflichten, Vorschriften oder den in Buchstabe a oder b des vorliegenden Absatzes genannten Verfahren wenden können. |
(3) Die gemeinsame Nutzerschnittstelle ist in allen Amtssprachen der Union zugänglich.
Artikel 3
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:
1. |
„Nutzer“ einen Bürger der Union, eine natürliche Person, die in einem Mitgliedstaat ansässig ist oder eine juristische Person mit Sitz in einem Mitgliedstaat, der bzw. die über das Zugangstor auf die in Artikel 2 Absatz 2 genannten Informationen, Verfahren oder Hilfs- oder Problemlösungsdienste zugreift; |
2. |
„grenzüberschreitender“ Nutzer einen Nutzer, der sich in einer Situation befindet, die nicht in jeder Hinsicht auf einen einzigen Mitgliedstaat begrenzt ist; |
3. |
„Verfahren“ eine Abfolge von Maßnahmen, die die Nutzer ergreifen müssen, um den Anforderungen zu entsprechen oder einen Beschluss einer zuständigen Behörde zu erwirken, um ihre Rechte nach Artikel 2 Absatz 2 Buchstabe a ausüben zu können; |
4. |
„zuständige Behörde“ jede Stelle oder Behörde eines Mitgliedstaats auf nationaler, regionaler oder lokaler Ebene mit bestimmten Zuständigkeiten für die unter diese Verordnung fallenden Informationen, Verfahren, Hilfs- und Problemlösungsdienste; |
5. |
„Nachweis“ alle Unterlagen oder Daten, einschließlich Text- oder Ton-, Bild- oder audiovisuellen Aufzeichnungen, unabhängig vom verwendeten Medium, die von einer zuständigen Behörde verlangt werden, um Sachverhalte oder die Einhaltung der in Artikel 2 Absatz 2 Buchstabe b genannten Verfahrensvorschriften nachzuweisen. |
KAPITEL II
ZUGANGSTOR-DIENSTE
Artikel 4
Zugang zu Informationen
(1) Die Mitgliedstaaten stellen sicher, dass die Nutzer auf ihren nationalen Internetseiten über einen einfachen Online-Zugang zu folgenden Informationen verfügen:
a) |
Informationen über die in Artikel 2 Absatz 2 Buchstabe a genannten Rechte, Pflichten und Vorschriften, die aus dem nationalen Recht abgeleitet sind; |
b) |
Informationen über die in Artikel 2 Absatz 2 Buchstabe b genannten, auf nationaler Ebene eingerichteten Verfahren; |
c) |
Informationen über die in Artikel 2 Absatz 2 Buchstabe c genannten, auf nationaler Ebene bereitgestellten Hilfs- und Problemlösungsdienste. |
(2) Die Kommission stellt sicher, dass die Nutzer durch das Portal „Ihr Europa“ einen einfachen Online-Zugang zu folgenden Informationen verfügen:
a) |
Informationen über die in Artikel 2 Absatz 2 Buchstabe a genannten Rechte, Pflichten und Vorschriften, die aus dem Unionsrecht abgeleitet sind; |
b) |
Informationen über die in Artikel 2 Absatz 2 Buchstabe b genannten, auf Unionsebene eingerichteten Verfahren; |
c) |
Informationen über die in Artikel 2 Absatz 2 Buchstabe c genannten, auf Unionsebene bereitgestellten Hilfs- und Problemlösungsdienste. |
Artikel 5
Zugang zu Informationen, die nicht in Anhang I enthalten sind
(1) Die Mitgliedstaaten und die Kommission können Links zu Informationen bereitstellen, die nicht in Anhang I aufgeführt sind und die von den zuständigen Behörden, der Kommission oder den Einrichtungen und sonstigen Stellen der Union angeboten werden, sofern diese Informationen in den Wirkungsbereich des Portals gemäß Artikel 1 Absatz 1 Buchstabe a fallen und den Qualitätsanforderungen des Artikels 9 entsprechen.
(2) Die Links zu den Informationen gemäß Absatz 1 des vorliegenden Artikels werden gemäß Artikel 19 Absätze 2 und 3 bereitgestellt.
(3) Bevor die Kommission die Links aktiviert prüft sie, ob die Bedingungen des Absatzes 1 erfüllt sind, und konsultiert die Koordinierungsgruppe für das Zugangstor.
Artikel 6
Verfahren, die vollständig online bereitzustellen sind
(1) Jeder Mitgliedstaat stellt sicher, dass die Nutzer vollständigen Online-Zugang zu allen in Anhang II aufgeführten Verfahren haben und diese vollständig online abwickeln können, sofern das jeweilige Verfahren in dem betreffenden Mitgliedstaat eingerichtet worden ist.
(2) Die in Absatz 1 genannten Verfahren gelten als vollständig online abzuwickeln, wenn
a) |
die Identifizierung der Nutzer, die Bereitstellung von Informationen und die Vorlage von Nachweisen, die Signierung und die endgültige Einreichung elektronisch aus der Ferne, sie über einen Dienstkanal erfolgen können, der die Nutzer in die Lage versetzt, die Anforderungen im Zusammenhang mit dem Verfahren in nutzerfreundlicher und strukturierter Weise zu erfüllen; |
b) |
die Nutzer eine automatische Empfangsbestätigung erhalten, es sei denn, das Ergebnis des Verfahrens wird sofort übermittelt, |
c) |
das Ergebnis des Verfahrens elektronisch oder — soweit zur Einhaltung geltender Vorschriften des Rechts der Union oder des nationalen Rechts erforderlich — physisch übermittelt wird, und |
d) |
die Nutzer eine elektronische Benachrichtigung über den Abschluss des Verfahrens erhalten. |
(3) Wenn der angestrebte Zweck in begründeten Ausnahmefällen aus übergeordneten Gründen des öffentlichen Interesses in den Bereichen öffentliche Sicherheit, öffentliche Gesundheit oder Bekämpfung missbräuchlichen Verhaltens, nicht vollständig online erreicht werden kann, können die Mitgliedstaaten verlangen, dass der Nutzer für einzelne Verfahrensschritte persönlich bei der zuständigen Behörde vorstellig wird. In solchen Ausnahmefällen beschränken die Mitgliedstaaten diese physische Anwesenheit auf das unbedingt notwendige objektiv gerechtfertigte Maß und stellen sicher, dass andere Verfahrensschritte vollständig online abgewickelt werden können. Die Mitgliedstaaten stellen auch sicher, dass diese Anforderungen der physischen Anwesenheit nicht zu einer Diskriminierung grenzüberschreitender Nutzer führen.
(4) Die Mitgliedstaaten übermitteln und erläutern in einer gemeinsamen, der Kommission und den anderen Mitgliedstaaten zugänglichen Ablage die Gründe, aus denen, und die Umstände unter denen die physische Anwesenheit für die in Absatz 3 genannten Verfahrensschritte erforderlich sein könnte sowie die Gründe, aus denen, und die Umstände unter denen eine physische Übermittlung gemäß Absatz 2 Buchstabe c erforderlich ist.
(5) Dieser Artikel hindert die Mitgliedstaaten nicht daran, Nutzern die zusätzliche Möglichkeit zu bieten, auf die in Artikel 2 Absatz 2 Buchstabe b genannten Verfahren anders als online zuzugreifen und diese anders als online abzuwickeln, oder Nutzer direkt zu kontaktieren.
Artikel 7
Zugang zu Hilfs- und Problemlösungsdiensten
(1) Die Mitgliedstaaten und die Kommission stellen sicher, dass die Nutzer, einschließlich der grenzüberschreitenden Nutzer, online über verschiedene Kanäle leicht auf die in Artikel 2 Absatz 2 Buchstabe c genannten Hilfs- und Problemlösungsdienste zugreifen können.
(2) Die in Artikel 28 genannten nationalen Koordinatoren und die Kommission können gemäß Artikel 19 Absätze 2 und 3 Links zu Hilfs- und Problemlösungsdiensten bereitstellen, die von zuständigen Behörden, der Kommission oder von Einrichtungen und sonstigen Stellen der Union angeboten werden -und nicht in Anhang III aufgeführt sind, wenn diese Dienste den Qualitätsanforderungen der Artikel 11 und 16 entsprechen.
(3) Falls zur Erfüllung des Nutzerbedarfs erforderlich, kann der nationale Koordinator der Kommission vorschlagen, dass Links zu Hilfs- oder Problemlösungsdiensten, die von privaten oder halböffentlichen Einrichtungen bereitgestellt werden, in das Zugangstor einbezogen werden, sofern diese Dienste folgenden Anforderungen entsprechen:
a) |
sie bieten Informationen oder Hilfestellung in den Bereichen und für die Zwecke, die Gegenstand der vorliegenden Verordnung sind, und ergänzen die bereits in das Zugangstor einbezogenen Dienste; |
b) |
sie werden kostenlos oder zu einem für Kleinstunternehmen, gemeinnützige Organisationen und Bürger erschwinglichen Preis angeboten; und |
c) |
sie entsprechen den Anforderungen der Artikel 8, 11 und 16. |
(4) Hat der nationale Koordinator die Einbeziehung eines Links gemäß Absatz 3 des vorliegenden Artikels vorgeschlagen und einen solchen Link gemäß Artikel 19 Absatz 3 bereitgestellt, so prüft die Kommission, ob die Bedingungen des Absatzes 3 des vorliegenden Artikels von dem zu verlinkenden Dienst erfüllt werden, und wenn das zutrifft, aktiviert sie den Link.
Stellt die Kommission fest, dass die in Absatz 3 genannten Bedingungen von dem zu verlinkenden Dienst nicht erfüllt werden, unterrichtet sie den nationalen Koordinator über die Gründe für die Nichtaktivierung des Links.
Artikel 8
Qualitätsanforderungen an die Webzugänglichkeit
Die Kommission macht diejenigen ihrer Websites und Webseiten, über die sie Zugang zu den Informationen nach Artikel 4 Absatz 2 und zu den Hilfs- und Problemlösungsdiensten nach Artikel 7 gewährt, besser zugänglich, indem sie diese wahrnehmbar, bedienbar, verständlich und robust gestaltet.
KAPITEL III
QUALITÄTSANFORDERUNGEN
ABSCHNITT 1
Qualitätsanforderungen im Zusammenhang mit Informationen über Rechte, Pflichten und Vorschriften, über Verfahren und über Hilfs- und Problemlösungsdienste
Artikel 9
Qualität von Informationen über Rechte, Pflichten und Vorschriften
(1) Sind die Mitgliedstaaten und die Kommission gemäß Artikel 4 für die Gewährleistung des Zugangs zu Informationen nach Artikel 2 Absatz 2 Buchstabe a zuständig, so stellen sie sicher, dass diese Informationen folgenden Anforderungen genügen:
a) |
Sie müssen nutzerfreundlich sein, damit die Nutzer die Informationen leicht finden und verstehen können und in der Lage sind zu erkennen, welche Informationen für ihre jeweilige Situation relevant sind; |
b) |
Sie müssen genau und umfassend genug sein, um die Informationen abzudecken, die die Nutzer haben müssen, um ihre Rechte unter vollständiger Einhaltung der geltenden Vorschriften und Pflichten auszuüben; |
c) |
gegebenenfalls enthalten sie Verweise auf bzw. Links zu Rechtsvorschriften, technischen Spezifikationen und Leitfäden; |
d) |
sie enthalten die Bezeichnung der zuständigen Behörde oder Stelle, die für den Inhalt der Informationen verantwortlich ist; |
e) |
sie enthalten die Kontaktangaben von allen relevanten Hilfs- oder Problemlösungsdiensten, wie z. B. eine Telefonnummer, eine E-Mail-Adresse, ein Online-Kontaktformular oder andere häufig verwendete elektronische Kommunikationsmittel, das für die Art des angebotenen Dienstes und die Zielgruppe dieses Dienstes am besten geeignet ist; |
f) |
sie enthalten das Datum der letzten Aktualisierung der Informationen, falls vorhanden, oder wenn die Informationen nicht aktualisiert wurden, das Veröffentlichungsdatum der Informationen; |
g) |
sie sind gut strukturiert und so dargestellt, dass die Nutzer die benötigten Informationen schnell finden können; |
h) |
sie sind auf dem neuesten Stand; und |
i) |
sie sind in klarer und verständlicher Sprache abgefasst, die dem Bedarf der potenziellen Nutzer angepasst ist. |
(2) Die Mitgliedstaaten stellen die in Absatz 1 des vorliegenden Artikels genannten Informationen gemäß Artikel 12 in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.
Artikel 10
Qualität der Informationen über Verfahren
(1) Zur Erfüllung der Anforderungen des Artikels 4 stellen die Mitgliedstaaten und die Kommission sicher, dass Nutzer, gegebenenfalls bevor sie sich vor der Einleitung des Verfahrens ausweisen müssen, Zugang zu einer hinreichend umfassenden, klaren und nutzerfreundlichen Erklärung folgender Elemente der in Artikel 2 Absatz 2 Buchstabe b genannten Verfahren haben:
a) |
der relevanten Schritte des Verfahrens, die der Nutzer zu unternehmen hat, einschließlich etwaiger Ausnahmen gemäß Artikel 6 Absatz 3 von der Pflicht der Mitgliedstaaten, das Verfahren vollständig online bereitzustellen; |
b) |
der Bezeichnung der zuständigen Behörde, die für das Verfahren zuständig ist, einschließlich ihrer Kontaktdaten; |
c) |
der für das Verfahren zulässigen Mittel zur Authentifizierung, Identifizierung und Unterzeichnung; |
d) |
der Art und des Formats der vorzulegenden Nachweise; |
e) |
der Rechtsbehelfe, die im Falle von Streitigkeiten mit den zuständigen Behörden im Allgemeinen zur Verfügung stehen; |
f) |
der anfallenden Gebühren und der Online-Zahlungsmethoden; |
g) |
etwaiger Fristen, die vom Nutzer oder von der zuständigen Behörde einzuhalten sind, und wenn es keine Fristen gibt, der durchschnittlichen, geschätzten oder voraussichtlichen Zeit, die die zuständige Behörde zur Abwicklung des Verfahrens benötigt; |
h) |
etwaiger Vorschriften über oder Rechtsfolgen für die Nutzer, die sich aus einer nicht erfolgten Antwort der zuständigen Behörde ergeben, einschließlich Reglungen zur Genehmigungsfiktion oder andere Verschweigensregelungen; |
i) |
jeder zusätzlichen Sprache, in der das Verfahren abgewickelt werden kann. |
(2) Liegen keine Regelungen zur Genehmigungsfiktion oder sonstige Verschweigensregelungen oder ähnliche Regelungen vor, so unterrichten die zuständigen Behörden die Nutzer gegebenenfalls über etwaige Verzögerungen und Fristverlängerungen oder die sich daraus ergebenden Folgen.
(3) Wenn die in Absatz 1 genannte Erklärung den nicht grenzüberschreitenden Nutzern bereits zur Verfügung steht, so kann sie für die Zwecke dieser Verordnung verwendet bzw. wiederverwendet werden, sofern sie gegebenenfalls auch die Situation der grenzüberschreitenden Nutzer berücksichtigt.
(4) Die Mitgliedstaaten stellen die in Absatz 1 des vorliegenden Artikels genannten Erklärungen gemäß Artikel 12 in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.
Artikel 11
Qualität der Informationen über Hilfs- und Problemlösungsdienste
(1) Zur Erfüllung der Anforderungen des Artikels 4 stellen die Mitgliedstaaten und die Kommission sicher, dass die Nutzer, bevor sie einen Antrag auf Erbringung eines Dienstes nach Artikel 2 Absatz 2 Buchstabe c stellen, Zugang zu einer klaren und nutzerfreundlichen Erklärung folgender Elemente haben:
a) |
Art, Zweck und erwarteter Ergebnisse des angebotenen Dienstes; |
b) |
Kontaktangaben der für den Dienst zuständigen Stellen, wie z. B. eine Telefonnummer, eine E-Mail-Adresse, ein Online-Formular oder ein anderes häufig verwendetes elektronisches Kommunikationsmittel, das für die Art des angebotenen Dienstes und die Zielgruppe dieses Dienstes am besten geeignet ist; |
c) |
gegebenenfalls anfallende Gebühren und die Online-Zahlungsmethoden; |
d) |
etwaige geltende Fristen, die einzuhalten sind, und wenn es keine Fristen gibt, die durchschnittlichen oder die für die Erbringung des Dienstes voraussichtlich erforderliche Zeit; |
e) |
jede zusätzliche Sprache, in der die Anfrage gestellt werden kann und die für anschließende Kontakte verwendet werden kann. |
(2) Die Mitgliedstaaten stellen die in Absatz 1 des vorliegenden Artikels genannten Erklärungen gemäß Artikel 12 in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.
Artikel 12
Übersetzung der Informationen
(1) Stellt ein Mitgliedstaat die in den Artikeln 9, 10 und 11 sowie die in Artikel 13 Absatz 2 Buchstabe a genannten Informationen, Erklärungen und Anweisungen nicht in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, so beantragt der Mitgliedstaat bei der Kommission Übersetzungen in diese Sprache im Rahmen der verfügbaren Haushaltsmittel der Union gemäß Artikel 32 Absatz 1 Buchstabe c.
(2) Die Mitgliedstaaten stellen sicher, dass die gemäß Absatz 1 des vorliegenden Artikels zur Übersetzung eingereichten Texte mindestens die grundlegenden Informationen in allen in Anhang I genannten Bereichen abdecken sowie, falls ausreichende Haushaltsmittel der Union verfügbar sind, alle weiteren Informationen, Erläuterungen und Anweisungen gemäß den Artikeln 9, 10 und 11 sowie Artikel 13 Absatz 2 Buchstabe a, unter Berücksichtigung der dringendsten Bedürfnisse der grenzüberschreitenden Nutzer. Die Mitgliedstaaten stellen die Links zu diesen übersetzten Informationen in der in Artikel 19 genannten Linkablage bereit.
(3) Die in Absatz 1 genannte Sprache ist die Amtssprache der Union, die von den Nutzern in der gesamten Union am häufigsten als Fremdsprache erlernt wird. Wenn die zu übersetzenden Informationen, Erläuterungen oder Anweisungen voraussichtlich von überwiegendem Interesse für grenzüberschreitende Nutzer aus einem anderen Mitgliedstaat sind, kann die in Absatz 1 genannte Sprache ausnahmsweise die Amtssprache der Union sein, die von diesen grenzüberschreitenden Nutzern als Erstsprache genutzt wird.
(4) Beantragt ein Mitgliedstaat eine Übersetzung in eine Amtssprache der Union, die nicht die von den Nutzern in der gesamten Union am häufigsten erlernte Fremdsprache ist, so begründet er seinen Antrag. Stellt die Kommission fest, dass die in Absatz 3 genannten Bedingungen für die Wahl einer solchen anderen Sprache nicht erfüllt sind, kann sie den Antrag ablehnen und setzt den Mitgliedstaat unter Angabe der Gründe in Kenntnis.
ABSCHNITT 2
Anforderungen an Online-Verfahren
Artikel 13
Grenzüberschreitender Zugang zu Online-Verfahren
(1) Die Mitgliedstaaten stellen sicher, dass ein auf nationaler Ebene festgelegtes Verfahren nach Artikel 2 Absatz 2 Buchstabe b, auf das nicht grenzüberschreitende Nutzer online zugreifen und das sie online abwickeln können, auch grenzüberschreitenden Nutzern auf nichtdiskriminierende Art mit Hilfe derselben oder einer alternativen technischen Lösung online zugänglich ist und von diesen online abgewickelt werden kann.
(2) Die Mitgliedstaaten stellen sicher, dass für die in Absatz 1 dieses Artikels genannten Verfahren mindestens die folgenden Anforderungen erfüllt werden:
a) |
Die Nutzer können auf die Anweisungen zur Abwicklung des Verfahrens in einer Amtssprache der Union zugreifen, die gemäß Artikel 12 von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird. |
b) |
Grenzüberschreitenden Nutzern ist es möglich, die geforderten Informationen einzureichen, auch wenn die Struktur dieser Informationen von ähnlichen Informationen in dem betreffenden Mitgliedstaat abweicht. |
c) |
Den grenzüberschreitenden Nutzern ist es möglich, sich in allen Fällen, in denen das auch für nicht grenzüberschreitende Nutzer möglich ist, gemäß der Verordnung (EU) Nr. 910/2014 elektronisch auszuweisen und zu authentifizieren, Unterlagen zu unterzeichnen oder mit einem Siegel zu versehen. |
d) |
Den grenzüberschreitenden Nutzern ist es möglich, in allen Fällen, in denen das auch für nicht grenzüberschreitende Nutzer möglich ist, die Nachweise für die Erfüllung der geltenden Anforderungen in elektronischem Format zu erbringen und das Ergebnis der Verfahren in elektronischem Format zu erhalten. |
e) |
Wenn zur Abwicklung eines Verfahrens eine Zahlung erforderlich ist, können die Nutzer alle Gebühren online über weithin verfügbare grenzüberschreitende Zahlungsdienste ohne Diskriminierung aufgrund des Niederlassungsorts des Zahlungsdienstleisters, des Ausstellungsorts des Zahlungsinstruments oder des Standorts des Zahlungskontos in der Union bezahlen. |
(3) Erfordert das Verfahren keine elektronische Identifizierung oder Authentifizierung im Sinne von Absatz 2 Buchstabe c und dürfen die zuständigen Behörden gemäß den geltenden nationalen Rechtsvorschriften oder Verwaltungsgepflogenheiten digitalisierte Kopien nicht- elektronischer Identitätsnachweise, etwa von Personalausweisen oder Pässen, bei nicht grenzüberschreitenden Nutzern zulassen, so lassen diese Behörden solche digitalisierten Kopien auch bei grenzüberschreitenden Nutzern zu.
Artikel 14
Technisches System für den grenzüberschreitenden automatisierten Austausch von Nachweisen und Anwendung des Grundsatzes der einmaligen Erfassung („Once Only Principle“)
(1) Zum Zwecke des Austauschs von Nachweisen für die in Anhang II dieser Verordnung aufgeführten Online-Verfahren sowie für die Verfahren nach den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU richtet die Kommission in Zusammenarbeit mit den Mitgliedstaaten ein technisches System für den automatisierten Austausch von Nachweisen zwischen zuständigen Behörden in verschiedenen Mitgliedstaaten (im Folgenden „technisches System“) ein.
(2) Wenn die zuständigen Behörden in ihrem eigenen Mitgliedstaat rechtmäßig Nachweise, die für die in Absatz 1 genannten Online-Verfahren von Belang sind, in einem elektronischen Format ausstellen, das einen automatisierten Austausch ermöglicht,, stellen sie diese Nachweise auch den anfordernden zuständigen Behörden aus anderen Mitgliedstaaten in einem elektronischen Format zur Verfügung, das einen automatisierten Austausch ermöglicht.
(3) Das technische System muss insbesondere
a) |
auf ausdrückliches Ersuchen des Nutzers die Verarbeitung von Anträgen auf Ausstellung von Nachweisen ermöglichen, |
b) |
die Verarbeitung von Anträgen auf Ausstellung von Nachweisen ermöglichen, die zugänglich gemacht oder ausgetauscht werden sollen, |
c) |
die Übermittlung von Nachweisen zwischen den zuständigen Behörden zulassen, |
d) |
die Verarbeitung der Nachweise durch die anfordernde zuständige Behörde zulassen, |
e) |
die Vertraulichkeit und Integrität der Nachweise sicherstellen, |
f) |
dem Nutzer die Möglichkeit bieten, die von der anfordernden zuständigen Behörde zu verwendenden Nachweise vorab einzusehen und zu entscheiden, ob er mit dem Austausch von Nachweisen fortfährt oder nicht, |
g) |
ein angemessenes Maß an Interoperabilität mit anderen einschlägigen Systemen sicherstellen, |
h) |
ein hohes Maß an Sicherheit für die Übermittlung und Verarbeitung von Nachweisen sicherstellen, |
i) |
sicherstellen, dass Nachweise nicht über das für den Austausch von Nachweisen technisch notwendige Maß hinaus und auch dann nur solange verarbeitet werden, wie es der Zweck erfordert. |
(4) Die Verwendung des technischen Systems ist für den Nutzer nicht verbindlich und ist nur auf sein ausdrückliches Ersuchen gestattet, sofern in den Rechtsvorschriften der Union oder der einzelnen Mitgliedstaaten nicht anders vorgesehen. Dem Nutzer wird gestattet, die Nachweise auf andere Weise als über das technische System und unmittelbar an die anfordernde zuständige Behörde zu übermitteln.
(5) Die Möglichkeit, den Nachweis gemäß Absatz 3 Buchstabe f des vorliegenden Artikels vorab einzusehen, ist nicht erforderlich bei Verfahren, bei denen der automatisierte grenzüberschreitende Datenaustausch ohne eine solche Vorschau gemäß den gelten Rechtsvorschriften der Union oder der Mitgliedstaaten erlaubt ist. Diese Möglichkeit einer Vorschau von Nachweisen berührt nicht die Pflicht, die Informationen gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 mitzuteilen/zu übermitteln.
(6) Die Mitgliedstaaten binden das voll funktionsfähige technische System in die in Absatz 1 genannten Verfahren ein.
(7) Die für die Online-Verfahren nach Absatz 1 zuständigen Behörden fordern — auf das freiwillig, für den konkreten Fall, nach Aufklärung und unmissverständlich bekundete ausdrückliche Ersuchen des betroffenen Nutzers — über das technische System Nachweise unmittelbar bei den zuständigen Behörden an, die in anderen Mitgliedstaaten Nachweise ausstellen. Die in Absatz 2 genannten ausstellenden zuständigen Behörden stellen diese Nachweise gemäß Absatz 3 Buchstabe e über dasselbe System bereit.
(8) Die der anfordernden zuständigen Behörde bereitgestellten Nachweise müssen auf das beschränkt sein, was angefordert wurde, und dürfen von dieser Behörde nur für die Zwecke des Verfahrens benutzt werden, für das die Nachweise ausgetauscht wurden. Die über das technische System ausgetauschten Nachweise gelten für die Zwecke der anfordernden zuständigen Behörde als echt.
(9) Die Kommission erlässt bis zum 12. Juni 2021 Durchführungsrechtsakte, um die technischen und operativen Spezifikationen des — für die Durchführung dieses Artikels erforderlichen — technischen Systems festzulegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.
(10) Die Absätze 1 bis 8 gelten nicht für auf Unionsebene festgelegte Verfahren, die unterschiedliche Mechanismen für den Austausch von Nachweisen vorsehen, es sei denn das für die Umsetzung dieses Artikels erforderliche technische System ist gemäß den Vorschriften der Rechtsakte der Union, mit denen diese Verfahren festgelegt wurden, in sie eingebunden.
(11) Die Kommission und jeder Mitgliedstaat sind für die Entwicklung, die Verfügbarkeit, die Wartung, die Kontrolle, die Überwachung und das Sicherheitsmanagement ihrer jeweiligen Teile des technischen Systems verantwortlich.
Artikel 15
Überprüfung von Nachweisen zwischen den Mitgliedstaaten
Wenn das technische System oder andere für den Austausch oder die Überprüfung von Nachweisen zwischen den Mitgliedstaaten geeignete Systeme nicht verfügbar oder nicht anwendbar sind oder wenn der Nutzer nicht um die Verwendung des technischen Systems ersucht, arbeiten die zuständigen Behörden bei Bedarf über das Binnenmarkt-Informationssystem (IMI) zusammen, wenn das erforderlich ist, um die Echtheit der Nachweise zu überprüfen, die einer von ihnen für die Zwecke eines Online-Verfahrens vom Nutzer in elektronischem Format vorgelegt wurden.
ABSCHNITT 3
Qualitätsanforderungen an Hilfs- und Problemlösungsdienste
Artikel 16
Qualitätsanforderungen an Hilfs- und Problemlösungsdienste
Die zuständigen Behörden und die Kommission stellen im Rahmen ihrer jeweiligen Zuständigkeiten sicher, dass die in Anhang III aufgeführten Hilfe- und Problemlösungsdienste und diejenigen Dienste, die gemäß Artikel 7 Absätze 2, 3 und 4 in das Zugangstor einbezogen wurden, folgenden Qualitätsanforderungen entsprechen:
a) |
Sie werden innerhalb einer angemessenen Frist unter Berücksichtigung der Komplexität des Ersuchens erbracht. |
b) |
Im Falle einer Fristverlängerung werden die Nutzer vorab über die Gründe hierfür und über die neue Frist informiert. |
c) |
Ist zur Erbringung eines Dienstes eine Zahlung erforderlich, ist es Nutzern möglich, alle Gebühren ohne Diskriminierung aufgrund des Niederlassungsorts des Zahlungsdienstleisters, des Ausstellungsorts des Zahlungsinstruments oder des Standorts des Zahlungskontos in der Union online über weithin verfügbare grenzüberschreitende Zahlungsdienste zu bezahlen. |
ABSCHNITT 4
Qualitätsüberwachung
Artikel 17
Qualitätsüberwachung
(1) Die in Artikel 28 genannten nationalen Koordinatoren und die Kommission überwachen im Rahmen ihrer jeweiligen Zuständigkeiten regelmäßig die Einhaltung der Qualitätsanforderungen der Artikel 8 bis 13 und 16 durch die über das Zugangstor bereitgestellten Informationen, Verfahren und Hilfs- und Problemlösungsdienste. Die Überwachung wird anhand der nach den Artikeln 24 und 25 gesammelten Daten durchgeführt.
(2) Im Falle einer Verschlechterung der Qualität der in Absatz 1 genannten, von den zuständigen Behörden bereitgestellten Informationen, Verfahren und Hilfs- und Problemlösungsdienste ergreift die Kommission unter Berücksichtigung der Schwere und des Fortbestehens der Verschlechterung mindestens eine der folgenden Maßnahmen:
a) |
Sie unterrichtet den entsprechenden nationalen Koordinator und ersucht ihn um Abhilfemaßnahmen. |
b) |
Sie stellt in der Koordinierungsgruppe für das Zugangstor empfohlene Maßnahmen zur Verbesserung der Einhaltung der Qualitätsanforderungen zur Diskussion. |
c) |
Sie sendet ein Schreiben mit Empfehlungen an den betreffenden Mitgliedstaat. |
d) |
Sie nimmt die Information, das Verfahren oder den Hilfs- oder Problemlösungsdienst vorübergehend aus dem Zugangstor. |
(3) Erfüllt ein Hilfs- oder Problemlösungsdienst, zu dem gemäß Artikel 7 Absatz 3 Links zur Verfügung gestellt werden, durchweg nicht die Anforderungen der Artikel 11 und 16 oder entspricht er nicht mehr dem Bedarf der Nutzer, der aus den gemäß den Artikeln 24 und 25 erhobenen Daten hervorgeht, kann die Kommission nach Rücksprache mit dem zuständigen nationalen Koordinator und erforderlichenfalls der Koordinierungsgruppe für das Zugangstor diesen Dienst von dem Zugangstor trennen.
KAPITEL IV
TECHNISCHE LÖSUNGEN
Artikel 18
Gemeinsame Nutzerschnittstelle
(1) Die Kommission stellt in enger Zusammenarbeit mit den Mitgliedstaaten eine in das Portal „Ihr Europa“ integrierte gemeinsame Nutzerschnittstelle zur Verfügung, um das reibungslose Funktionieren des Zugangstors zu gewährleisten.
(2) Die gemeinsame Nutzerschnittstelle ermöglicht den Zugang zu den Informationen, Verfahren und Hilfs- oder Problemlösungsdiensten mithilfe von Links zu den entsprechenden Websites oder Webseiten auf Unions- oder nationaler Ebene, die in der in Artikel 19 genannten Linkablage enthalten sind.
(3) Die Mitgliedstaaten und die Kommission, die entsprechend ihren jeweiligen Rollen und Zuständigkeiten gemäß Artikel 4 tätig werden, stellen sicher, dass die Informationen über Vorschriften und Pflichten, über Verfahren und über Hilfs- und Problemlösungsdienste so organisiert und gekennzeichnet sind, dass sie über die gemeinsame Nutzerschnittstelle besser auffindbar sind.
(4) Die Kommission stellt sicher, dass die gemeinsame Nutzerschnittstelle die nachstehenden Qualitätsanforderungen erfüllt:
a) |
Sie ist leicht zu nutzen. |
b) |
Sie ist online über verschiedene elektronische Geräte zugänglich. |
c) |
Sie ist für verschiedene Internetbrowser entwickelt und optimiert. |
d) |
Sie erfüllt folgende Anforderungen für einen barrierefreien Internetzugang: Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit. |
(5) Die Kommission kann Durchführungsrechtsakte erlassen, in denen die Anforderungen an die Interoperabilität zur Verbesserung der Auffindbarkeit von Informationen über Vorschriften und Pflichten, über Verfahren und über Hilfs- und Problemlösungsdienste mit Hilfe der gemeinsamen Nutzerschnittstelle festgelegt sind. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 19
Linkablage
(1) Die Kommission richtet in enger Zusammenarbeit mit den Mitgliedstaaten eine elektronische Linkablage zu den in Artikel 2 Absatz 2 genannten Informationen, Verfahren und Hilfs- und Problemlösungsdiensten ein, die die Verbindung zwischen solchen Diensten und der gemeinsamen Nutzerschnittstelle ermöglichen, und unterhält diese Ablage.
(2) Die Kommission stattet die Linkablage mit Links zu den Informationen, Verfahren und Hilfs- und Problemlösungsdiensten aus, die auf den auf Unionsebene verwalteten Internetseiten zur Verfügung stehen, und stellt sicher, dass diese Links korrekt und aktuell sind.
(3) Die nationalen Koordinatoren statten die Linkablage mit Links zu den Informationen, Verfahren und Hilfs- und Problemlösungsdiensten aus, die auf den von den zuständigen Behörden oder privaten oder halböffentlichen Einrichtungen gemäß Artikel 7 Absatz 3 verwalteten Internetseiten zur Verfügung stehen, und stellen sicher, dass diese Links korrekt und aktuell sind.
(4) Soweit technisch möglich, kann die Ausstattung mit Links gemäß Absatz 3 zwischen den einschlägigen Systemen der Mitgliedstaaten und der Linkablage automatisiert erfolgen.
(5) Die Kommission stellt die in der Linkablage enthaltenen Informationen in einem offenen und maschinenlesbaren Format öffentlich zur Verfügung.
(6) Die Kommission und die nationalen Koordinatoren stellen sicher, dass es bei den über das Zugangstor angebotenen Links zu Informationen, Verfahren und Hilfs- oder Problemlösungsdiensten nicht zu unnötigen teilweisen oder vollständigen Überschneidungen und Überlagerungen kommt, die Nutzer wahrscheinlich verwirren würden.
(7) Wenn die Bereitstellung von Informationen gemäß Artikel 4 in anderen Bestimmungen des Unionsrechts festgelegt ist, können die Kommission und die nationalen Koordinatoren Links zu diesen Informationen zur Verfügung stellen, um den Anforderungen des genannten Artikels zu entsprechen.
Artikel 20
Gemeinsame Suchmaschine für Hilfsdienste
(1) Um den Zugang zu den in Anhang III aufgeführten oder in Artikel 7 Absätze 2 und 3 genannten Hilfs- und Problemlösungsdiensten zu erleichtern, stellen die zuständigen Behörden und die Kommission sicher, dass die Nutzer über eine über das Zugangstor verfügbare gemeinsame Suchmaschine für Hilfs- und Problemlösungsdienste (im Folgenden „gemeinsame Suchmaschine für Hilfsdienste“) auf sie zugreifen können.
(2) Die Kommission entwickelt und verwaltet die gemeinsame Suchmaschine für Hilfsdienste und beschließt die Struktur und das Format, in dem die Beschreibungen und Kontaktangaben der Hilfs- und Problemlösungsdienste bereitgestellt werden müssen, um das reibungslose Funktionieren der gemeinsamen Suchmaschine für Hilfsdienste sicherzustellen.
(3) Die nationalen Koordinatoren stellen die in Absatz 2 genannten Beschreibungen und Kontaktangaben der Kommission zur Verfügung.
Artikel 21
Zuständigkeiten für die IKT-Anwendungen zur Unterstützung des Zugangstors
(1) Die Kommission ist verantwortlich für die Entwicklung, Verfügbarkeit, Überwachung, Aktualisierung, Wartung, Sicherheit und Bereitstellung folgender IKT-Anwendungen und Internetseiten:
a) |
das in Artikel 2 Absatz 1 genannte Portal „Ihr Europa“, |
b) |
die in Artikel 18 Absatz 1 genannte gemeinsame Nutzerschnittstelle, einschließlich der Suchmaschine oder aller anderen IKT-Instrumente, die die Durchsuchbarkeit von Online-Informationen und -Diensten ermöglichen, |
c) |
die in Artikel 19 Absatz 1 genannte Linkablage, |
d) |
die in Artikel 20 Absatz 1 genannte gemeinsame Suchmaschine für Hilfsdienste, |
e) |
die in Artikel 25 Absatz 1 und Artikel 26 Absatz 1 Buchstabe a genannten Instrumente für Rückmeldungen der Nutzer. |
Die Kommission arbeitet in enger Zusammenarbeit mit den Mitgliedstaaten an der Entwicklung der IKT-Anwendungen.
(2) Die Mitgliedstaaten sind verantwortlich für die Entwicklung, Verfügbarkeit, Überwachung, Aktualisierung, Wartung und Sicherheit der IKT-Anwendungen im Zusammenhang mit den von ihnen verwalteten und mit der gemeinsamen Nutzerschnittstelle verbundenen nationalen Websites und Webseiten.
KAPITEL V
ÖFFENTLICHKEITSARBEIT
Artikel 22
Name, Logo und Qualitätssiegel
(1) Der Name, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, lautet „Your Europe“.
Das Logo, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, wird von der Kommission in enger Zusammenarbeit mit der Koordinierungsgruppe für das Zugangstor festgelegt, und zwar spätestens bis zum 12. Juni 2019.
Das Logo des Zugangstors und ein Link zu dem Zugangstor werden auf den mit dem Zugangstor verbundenen einschlägigen Websites auf nationaler und auf Unionsebene sichtbar und verfügbar gemacht.
(2) Als Nachweis der Erfüllung der Qualitätsanforderungen der Artikel 9, 10 und 11 dienen der Name und das Logo des Zugangstors auch als Qualitätssiegel. Das Logo des Zugangstors wird jedoch ausschließlich als Qualitätssiegel von Webseiten und Websites, die in der in Artikel 19 genannten Linkablage enthalten sind, verwendet.
Artikel 23
Öffentlichkeitsarbeit
(1) Die Mitgliedstaaten und die Kommission fördern die Bekanntheit des Zugangstors und seine Nutzung bei Bürgern und Unternehmen und gewährleisten, dass das Zugangstor und seine Informationen, Verfahren und Hilfsdienste für die Öffentlichkeit sichtbar sind und über Suchmaschinen, die für die Öffentlichkeit zugänglich sind, leicht gefunden werden können.
(2) Die Mitgliedstaaten und die Kommission koordinieren ihre Öffentlichkeitsarbeit nach Absatz 1 und nehmen bei derartigen Maßnahmen gegebenenfalls mit Angabe anderer Markennamen Bezug auf das Zugangstor und verwenden sein Logo.
(3) Die Mitgliedstaaten und die Kommission stellen sicher, dass das Zugangstor über die verbundenen Websites, für die sie verantwortlich sind, leicht zu finden ist und dass eindeutige Links zur gemeinsamen Nutzerschnittstelle auf allen einschlägigen Websites auf nationaler und Unionsebene verfügbar sind.
(4) Die nationalen Koordinatoren machen das Zugangstor bei den zuständigen nationalen Behörden bekannt.
KAPITEL VI
EINHOLUNG VON RÜCKMELDUNGEN DER NUTZER UND ERHEBUNG VON STATISTIKEN
Artikel 24
Nutzerstatistiken
(1) Die zuständigen Behörden und die Kommission stellen sicher, dass Statistiken über die Aufrufe des Zugangstors und der mit dem Zugangstor verknüpften Internetseiten durch Nutzer — unter Wahrung von deren Anonymität- erhoben werden, um die Funktionsweise des Zugangstors zu verbessern.
(2) Die zuständigen Behörden, die Anbieter von Hilfs- und Problemlösungsdiensten nach Artikel 7 Absatz 3 und die Kommission erheben in aggregierter Form die Anzahl, den Ursprung und den Gegenstand von Anfragen nach Hilfs- und Problemlösungsdiensten sowie deren Antwortzeiten und tauschen sie aus.
(3) Die Statistiken, die gemäß den Absätzen 1 und 2 über Informationen, Verfahren und Hilfs- und Problemlösungsdienste, die mit dem Zugangstor verknüpft sind, erhoben werden, enthalten folgende Datenkategorien:
a) |
Daten zur Anzahl, Herkunft und Art der Nutzer des Zugangstors, |
b) |
Daten zu Nutzerpräferenzen und Nutzerpfaden, |
c) |
Daten zur Benutzerfreundlichkeit, Auffindbarkeit und Qualität der Informationen, Verfahren und Hilfs- und Problemlösungsdienste. |
Diese Daten werden der Öffentlichkeit in einem offenen und weithin verwendeten maschinenlesbaren Format zur Verfügung gestellt.
(4) Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der Erhebungs- und Austauschmethode für Nutzerstatistiken nach den Absätzen 1, 2 und 3 des vorliegenden Artikels. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 25
Rückmeldungen der Nutzer zu den Diensten des Zugangstors
(1) Um Informationen über ihre Zufriedenheit mit den im Zugangstor bereitgestellten Diensten und Informationen unmittelbar von den Nutzern einzuholen, stellt die Kommission den Nutzern über das Zugangstor ein benutzerfreundliches Instrument für Rückmeldungen zur Verfügung, das es ihnen ermöglicht, unmittelbar nach der Nutzung eines der in Artikel 2 Absatz 2 genannten Dienste anonym zur Qualität und Verfügbarkeit der über das Zugangstor erbrachten Dienste und der darin bereitgestellten Informationen sowie zur gemeinsamen Nutzerschnittstelle Stellung zu nehmen.
(2) Die zuständigen Behörden und die Kommission gewährleisten den Nutzern den Zugang zu dem in Absatz 1 genannten Instrument auf allen Internetseiten, die Teil des Zugangstors sind.
(3) Die Kommission, die zuständigen Behörden und die nationalen Koordinatoren haben unmittelbaren Zugang zu den Rückmeldungen, die über das in Absatz 1 genannte Instrument eingeholt werden, um auf alle angesprochenen Probleme einzugehen.
(4) Die zuständigen Behörden sind nicht verpflichtet, den Nutzern auf ihren Internetseiten, die Teil des Zugangstors sind, Zugang zu dem in Absatz 1 genannten Instrument für Nutzer-Rückmeldungen zu geben, wenn bereits ein anderes Instrument für Nutzer -Rückmeldungen mit ähnlichen Funktionen, wie das in Absatz 1 genannte Instrument für Rückmeldungen, auf ihren Internetseiten zur Überwachung der Qualität der Dienste zur Verfügung steht. Die zuständigen Behörden sammeln die über ihr eigenes Instrument eingeholten Rückmeldungen der Nutzer und stellen diese der Kommission und den nationalen Koordinatoren der anderen Mitgliedstaaten zur Verfügung.
(5) Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der Vorschriften für die Einholung und den Austausch der Nutzer- Rückmeldungen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.
Artikel 26
Bericht über die Funktionsweise des Binnenmarkts
(1) Die Kommission
a) |
stellt für Nutzer des Zugangstors ein benutzerfreundliches Instrument bereit, damit sie jegliche Hindernisse, auf die sie bei der Ausübung ihrer Binnenmarktrechte gestoßen sind, anonym melden und dazu Rückmeldung geben können, |
b) |
holt bei den Hilfs- und Problemlösungsdiensten, die Teil des Zugangstors sind, aggregierte Informationen über den Gegenstand von Anfragen und Antworten ein. |
(2) Die Kommission, die zuständigen Behörden und die nationalen Koordinatoren haben unmittelbaren Zugang zu den gemäß Absatz 1 Buchstabe a eingeholten Rückmeldungen.
(3) Die Mitgliedstaaten und die Kommission analysieren und untersuchen die von den Nutzern gemäß diesem Artikel angesprochenen Probleme und gehen wo immer möglich mit geeigneten Mitteln auf sie ein.
Artikel 27
Online-Gesamtübersichten
Die Kommission veröffentlicht online anonymisierte Gesamtübersichten über die Probleme, die sich aus den nach Artikel 26 Absatz 1 eingeholten Informationen, den in Artikel 24 genannten wesentlichen Nutzerstatistiken und den in Artikel 25 genannten wichtigsten Rückmeldungen der Nutzer ergeben.
KAPITEL VII
VERWALTUNG DES ZUGANGSTORS
Artikel 28
Nationale Koordinatoren
(1) Jeder Mitgliedstaat ernennt einen nationalen Koordinator. Neben ihren Pflichten gemäß den Artikeln 7, 17, 19, 20, 23 und 25 üben die nationalen Koordinatoren folgende Funktionen aus:
a) |
Sie dienen als Kontaktstelle für ihre jeweiligen Verwaltungen für alle Fragen im Zusammenhang mit dem Zugangstor. |
b) |
Sie fördern die einheitliche Anwendung der Artikel 9 bis 16 durch ihre jeweiligen zuständigen Behörden. |
c) |
Sie stellen sicher, dass die in Artikel 17 Absatz 2 Buchstabe c genannten Empfehlungen korrekt umgesetzt werden. |
(2) Jeder Mitgliedstaat kann entsprechend seiner internen Verwaltungsstruktur einen oder mehrere Koordinatoren zur Erfüllung der in Absatz 1 aufgeführten Aufgaben ernennen. Ein nationaler Koordinator je Mitgliedstaat ist für die Kontakte mit der Kommission in allen Fragen im Zusammenhang mit dem Zugangstor verantwortlich.
(3) Jeder Mitgliedstaat teilt den anderen Mitgliedstaaten und der Kommission den Namen und die Kontaktangaben seines nationalen Koordinators mit.
Artikel 29
Koordinierungsgruppe
Es wird eine Koordinierungsgruppe (im Folgenden „Koordinierungsgruppe für das Zugangstor“) eingerichtet. Sie besteht aus einem nationalen Koordinator aus jedem Mitgliedstaat unter Vorsitz eines Vertreters der Kommission. Sie gibt sich eine Geschäftsordnung. Die Sekretariatsgeschäfte werden von der Kommission geführt.
Artikel 30
Aufgaben der Koordinierungsgruppe für das Zugangstor
(1) Die Koordinierungsgruppe für das Zugangstor unterstützt die Ausführung dieser Verordnung. Insbesondere
a) |
erleichtert sie den Austausch über bewährte Verfahren und ihre regelmäßige Aktualisierung, |
b) |
fördert sie die Akzeptanz von vollständig online abzuwickelnden Verfahren zusätzlich zu den in Anhang II der vorliegenden Verordnung aufgeführten Verfahren und von Online-Systemen für die Authentifizierung, die Identifizierung und für Signaturen, insbesondere gemäß der Verordnung (EU) Nr. 910/2014, |
c) |
erörtert sie Verbesserungen der benutzerfreundlichen Darstellung von Informationen in den in Anhang I aufgeführten Bereichen, vor allem auf der Grundlage der gemäß den Artikeln 24 und 25 erhobenen Daten, |
d) |
unterstützt sie die Kommission bei der Entwicklung gemeinsamer IKT-Lösungen für das Zugangstor, |
e) |
erörtert sie den Entwurf des jährlichen Arbeitsprogramms, |
f) |
unterstützt sie die Kommission bei der Überwachung der Durchführung des jährlichen Arbeitsprogramms, |
g) |
erörtert sie zusätzliche Informationen, die gemäß Artikel 5 zur Verfügung gestellt werden, um andere Mitgliedstaaten darin zu bestärken, den Nutzern bei Bedarf ähnliche Informationen zur Verfügung zu stellen, |
h) |
unterstützt sie die Kommission gemäß Artikel 17 bei der Überwachung der Erfüllung der Anforderungen der Artikel 8 bis 16, |
i) |
informiert sie über die Umsetzung von Artikel 6 Absatz 1, |
j) |
erörtert sie Maßnahmen und empfiehlt den zuständigen Behörden und der Kommission, um unnötige Überschneidungen bei den über das Zugangstor verfügbaren Diensten zu vermeiden oder zu beseitigen, |
k) |
gibt sie Stellungnahmen zu Verfahren oder Maßnahmen ab, um wirkungsvoll auf Probleme mit der Qualität der Dienste, die von Nutzern zur Sprache gebracht wurden, einzugehen oder Vorschläge zu deren Verbesserung zu machen, |
l) |
erörtert sie die Umsetzung der Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes im Rahmen dieser Verordnung, |
m) |
erörtert sie Probleme im Zusammenhang mit der Einholung der Rückmeldungen der Nutzer und der Erhebung von Statistiken gemäß den Artikeln 24 und 25, damit die von der Union und auf nationaler Ebene angebotenen Dienste stetig verbessert werden, |
n) |
erörtert sie Fragen im Zusammenhang mit den Qualitätsanforderungen der über das Zugangstor angebotenen Dienste, |
o) |
tauscht sie sich über bewährte Verfahren aus und unterstützt die Kommission bei der Organisation, Struktur und Darstellung der in Artikel 2 Absatz 2 genannten Dienste, damit für das reibungslose Funktionieren der gemeinsamen Nutzerschnittstelle gesorgt ist, |
p) |
erleichtert sie die Entwicklung und Umsetzung der koordinierten Öffentlichkeitsarbeit, |
q) |
arbeitet sie mit den Verwaltungsstellen oder Netzwerken von Informations-, Hilfs- oder Problemlösungsdiensten zusammen, |
r) |
stellt sie Leitfäden zu der zusätzlichen Amtssprache bzw. den zusätzlichen Amtssprachen der Union für den Gebrauch durch die zuständigen Behörden gemäß Artikel 9 Absatz 2, Artikel 10 Absatz 4, Artikel 11 Absatz 2 und Artikel 13 Absatz 2 Buchstabe a zur Verfügung. |
(2) Die Kommission kann die Koordinierungsgruppe für das Zugangstor zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung konsultieren.
Artikel 31
Jährliches Arbeitsprogramm
(1) Die Kommission verabschiedet das jährliche Arbeitsprogramm, in dem insbesondere Folgendes festgelegt ist:
a) |
Maßnahmen zur Verbesserung der Darstellung von bestimmten Informationen in den in Anhang I aufgeführten Bereichen und Maßnahmen zur Erleichterung der raschen Erfüllung der Anforderung, Informationen bereitzustellen, durch die zuständigen Behörden auf allen Ebenen, auch auf Kommunalebene, |
b) |
Maßnahmen zur Erleichterung der Einhaltung der Artikel 6 und 13, |
c) |
Maßnahmen zur Sicherstellung der konsequenten Erfüllung der Anforderungen der Artikel 9 bis 12, |
d) |
Tätigkeiten im Zusammenhang mit der Öffentlichkeitsarbeit für das Zugangstor gemäß Artikel 23. |
(2) Bei der Erstellung des Entwurfs des jährlichen Arbeitsprogramms berücksichtigt die Kommission die gemäß den Artikeln 24 und 25 erstellten Nutzerstatistiken und eingeholten Rückmeldungen der Nutzer sowie etwaige Vorschläge der Mitgliedstaaten. Vor der Verabschiedung legt die Kommission den Entwurf des jährlichen Arbeitsprogramms der Koordinierungsgruppe für das Zugangstor zur Erörterung vor.
KAPITEL VIII
SCHLUSSBESTIMMUNGEN
Artikel 32
Kosten
(1) Der Gesamthaushalt der Europäischen Union deckt folgende Kosten ab:
a) |
Entwicklung und Wartung der IKT-Instrumente zur Unterstützung der Ausführung dieser Verordnung auf Unionsebene, |
b) |
Öffentlichkeitsarbeit für das Zugangstor auf Unionsebene, |
c) |
Übersetzung der Informationen, Erklärungen und Anweisungen gemäß Artikel 12 unter Einhaltung einer jährlichen Höchstmenge je Mitgliedstaat, unbeschadet einer möglichen Neuzuweisung, soweit erforderlich, um die vollständige Verwendung der verfügbaren Haushaltsmittel zu ermöglichen. |
(2) Die Kosten im Zusammenhang mit nationalen Internetportalen, Informationsplattformen, Hilfsdiensten und Verfahren auf Ebene der Mitgliedstaaten werden aus den jeweiligen Haushalten der Mitgliedstaaten finanziert, sofern in Rechtsvorschriften der Union nicht anders vorgesehen.
Artikel 33
Schutz personenbezogener Daten
Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden im Rahmen dieser Verordnung erfolgt gemäß der Verordnung (EU) 2016/679. Die Verarbeitung personenbezogener Daten durch die Kommission im Rahmen der vorliegenden Verordnung erfolgt gemäß der Verordnung (EU) 2018/1725.
Artikel 34
Zusammenarbeit mit anderen Informations- und Hilfsnetzen
(1) Nach Rücksprache mit den Mitgliedstaaten entscheidet die Kommission, welche bestehenden informellen Verwaltungsregelungen für die in Anhang III aufgeführten Hilfs- oder Problemlösungsdienste oder für die in Anhang I angegebenen Informationsbereiche in die Zuständigkeit der Koordinierungsgruppe für das Zugangstor fallen.
(2) Sind die Informations- und Hilfsdienste oder -netze durch einen verbindlichen Rechtsakt der Union für einen der in Anhang I aufgeführten Informationsbereiche geschaffen worden, so koordiniert die Kommission die Arbeit der Koordinierungsgruppe für das Zugangstor und der Verwaltungsgremien solcher Dienste oder Netze zum Zweck der Erzielung von Synergieeffekten und zur Vermeidung von Überschneidungen.
Artikel 35
Binnenmarkt-Informationssystem
(1) Für die Zwecke und nach Maßgabe von Artikel 6 Absatz 4 und Artikel 15 wird das mit der Verordnung (EU) Nr. 1024/2012 geschaffene Binnenmarkt-Informationssystem (IMI) genutzt.
(2) Die Kommission kann beschließen, das IMI als die in Artikel 19 Absatz 1 genannte elektronische Linkablage zu nutzen.
Artikel 36
Berichterstattung und Überprüfung
Spätestens am 12. Dezember 2022 und danach alle zwei Jahre überprüft die Kommission die Anwendung dieser Verordnung und legt dem Europäischen Parlament und dem Rat einen Bewertungsbericht über die Funktionsweise des Zugangstors und die Funktionsweise des Binnenmarktes auf der Grundlage der nach den Artikeln 24, 25 und 26 erhobenen Statistiken und eingeholten Rückmeldungen vor. In der Überprüfung wird insbesondere der Geltungsbereich von Artikel 14 überprüft, unter Berücksichtigung der technologischen, marktbezogenen und rechtlichen Entwicklungen im Zusammenhang mit dem Austausch von Nachweisen zwischen den zuständigen Behörden.
Artikel 37
Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Wird auf diesen Absatz Bezug genommen, gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
Artikel 38
Änderung der Verordnung (EU) Nr. 1024/2012
Die Verordnung (EU) Nr. 1024/2012 wird wie folgt geändert:
1. |
Artikel 1 erhält folgende Fassung: „Artikel 1 Gegenstand In dieser Verordnung sind Vorschriften für die Nutzung eines Binnenmarkt-Informationssystems (‚Internal Market Information System‘, im Folgenden ‚IMI‘) für die Zwecke der Verwaltungszusammenarbeit zwischen den IMI-Akteuren, einschließlich der Verarbeitung personenbezogener Daten, festgelegt.“ |
2. |
Artikel 3 Absatz 1 erhält folgende Fassung: „(1) Das IMI dient dem Austausch von Informationen, auch personenbezogener Daten, zwischen den IMI-Akteuren und der Verarbeitung dieser Informationen zu einem der folgenden Zwecke:
|
3. |
Artikel 5 Absatz 2 wird wie folgt geändert:
|
4. |
In Artikel 8 Absatz 1 wird folgender Buchstabe angefügt:
|
5. |
Artikel 9 Absatz 4 erhält folgende Fassung: „(4) Die Mitgliedstaaten, die Kommission und die Einrichtungen und sonstigen Stellen der Union treffen geeignete Vorkehrungen, um sicherzustellen, dass IMI-Nutzer ausschließlich nach dem Grundsatz ‚Kenntnis nur, wenn nötig‘ und nur für diejenigen Binnenmarktbereiche, für die ihnen gemäß Absatz 3 Zugangsrechte gewährt wurden, auf die im Rahmen des IMI verarbeiteten personenbezogenen Daten zugreifen dürfen.“ |
6. |
Artikel 21 wird wie folgt geändert:
|
7. |
Artikel 29 Absatz 1 wird gestrichen. |
8. |
Im Anhang werden folgende Nummern hinzugefügt:
|
Artikel 39
Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Artikel 2, Artikel 4, Artikel 7 bis12, Artikel 16 Artikel 17, Artikel 18 Absätze 1 bis 4, Artikel 19, Artikel 20, Artikel 24 Absätze 1, 2 und 3, Artikel 25 Absätze 1 bis 4, Artikel 26 und Artikel 27 gelten ab dem 12. Dezember 2020.
Artikel 6, Artikel 13, Artikel 14 Absätze 1 bis 8 und 10 und Artikel 15 gelten ab dem 12. Dezember 2023.
Ungeachtet des Datums der Anwendung der Artikel 2, 9, 10 und 11 stellen die Kommunalbehörden die in diesen Artikeln genannten Informationen, Erklärungen und Anweisungen spätestens bis zum 12. Dezember 2022 zur Verfügung.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Straßburg am 2. Oktober 2018.
Im Namen des Europäischen Parlaments
Der Präsident
A. TAJANI
Im Namen des Rates
Die Präsidentin
J. BOGNER-STRAUSS
(1) ABl. C 81 vom 2.3.2018, S. 88.
(2) Standpunkt des Europäischen Parlaments vom 13. September 2018 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 27. September 2018.
(3) Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).
(4) Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 zur Festlegung von Verfahren im Zusammenhang mit der Anwendung bestimmter nationaler technischer Vorschriften für Produkte, die in einem anderen Mitgliedstaat rechtmäßig in den Verkehr gebracht worden sind, und zur Aufhebung der Entscheidung Nr. 3052/95/EG (ABl. L 218 vom 13.8.2008, S. 21).
(5) Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates vom 9. März 2011 zur Festlegung harmonisierter Bedingungen für die Vermarktung von Bauprodukten und zur Aufhebung der Richtlinie 89/106/EWG des Rates (ABl. L 88 vom 4.4.2011, S. 5).
(6) Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (ABl. L 255 vom 30.9.2005, S. 22).
(7) Empfehlung 2013/461/EU der Kommission vom 17. September 2013 zu den Grundsätzen für SOLVIT (ABl. L 249 vom 19.9.2013, S. 10).
(8) Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65).
(9) Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste und zur Aufhebung der Richtlinie 2004/17/EG (ABl. L 94 vom 28.3.2014, S. 243).
(10) Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates vom 13. April 2016 über ein Europäisches Netz der Arbeitsvermittlungen (EURES), den Zugang von Arbeitnehmern zu mobilitätsfördernden Diensten und die weitere Integration der Arbeitsmärkte und zur Änderung der Verordnungen (EU) Nr. 492/2011 und (EU) Nr. 1296/2013 (ABl. L 107 vom 22.4.2016, S. 1).
(11) Entscheidung 2001/470/EG des Rates vom 28. Mai 2001 über die Einrichtung eines Europäischen Justiziellen Netzes für Zivil- und Handelssachen (ABl. L 174 vom 27.6.2001, S. 25).
(12) Richtlinie 2014/67/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 zur Durchsetzung der Richtlinie 96/71/EG über die Entsendung von Arbeitnehmern im Rahmen der Erbringung von Dienstleistungen und zur Änderung der Verordnung (EU) Nr. 1024/2012 über die Verwaltungszusammenarbeit mit Hilfe des Binnenmarkt-Informationssystems („IMI-Verordnung“) (ABl. L 159 vom 28.5.2014, S. 11).
(13) Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).
(14) Verordnung (EG) Nr. 883/2004 des Europäischen Parlaments und des Rates vom 29. April 2004 zur Koordinierung der Systeme der sozialen Sicherheit (ABl. L 166 vom 30.4.2004, S. 1).
(15) Verordnung (EG) Nr. 987/2009 des Europäischen Parlaments und des Rates vom 16. September 2009 zur Festlegung der Modalitäten für die Durchführung der Verordnung (EG) Nr. 883/2004 über die Koordinierung der Systeme der sozialen Sicherheit (ABl. L 284 vom 30.10.2009, S. 1).
(16) Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates vom 26. Oktober 2016 über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (ABl. L 327 vom 2.12.2016, S. 1).
(17) Beschluss 2010/48/EG des Rates vom 26. November 2009 über den Abschluss des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen durch die Europäische Gemeinschaft (ABl. L 23 vom 27.1.2010, S. 35).
(18) Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates vom 14. März 2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 (ABl. L 94 vom 30.3.2012, S. 22).
(19) Verordnung(EU) Nr. 1024/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 über die Verwaltungszusammenarbeit mit Hilfe des Binnenmarkt-Informationssystems und zur Aufhebung der Entscheidung 2008/49/EG der Kommission (IMI-Verordnung) (ABl. L 316 vom 14.11.2012, S. 1).
(20) Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates vom 6. Juli 2016 zur Förderung der Freizügigkeit von Bürgern durch die Vereinfachung der Anforderungen an die Vorlage bestimmter öffentlicher Urkunden innerhalb der Europäischen Union und zur Änderung der Verordnung (EU) Nr. 1024/2012, ABl. L 200 vom 26.7.2016, S. 1.
(21) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(22) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (siehe Seite 39 dieses Amtsblatts).
(23) Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 zur Schaffung der Fazilität „Connecting Europe“, zur Änderung der Verordnung (EU) Nr. 913/2010 und zur Aufhebung der Verordnungen (EG) Nr. 680/2007 und (EG) Nr. 67/2010 (ABl. L 348 vom 20.12.2013, S. 129).
(24) Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts (ABl. L 169 vom 30.6.2017, S. 46).
(25) Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Insolvenzverfahren (ABl. L 141 vom 5.6.2015, S. 19).
(26) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
(27) Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).
(28) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
(29) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
ANHANG I
Liste der in Artikel 2 Absatz 2 Buchstabe a genannten Informationsbereiche, die für Bürger und Unternehmen relevant sind, die ihre Binnenmarktrechte ausüben
Informationsbereiche im Zusammenhang mit Bürgern
Bereich |
INFORMATIONEN ZU RECHTEN, PFLICHTEN UND VORSCHRIFTEN AUS DEM UNIONSRECHT UND DEM NATIONALEN RECHT |
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
Informationsbereiche im Zusammenhang mit Unternehmen
Bereich |
INFORMATIONEN ZU RECHTEN, PFLICHTEN UND VORSCHRIFTEN |
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
ANHANG II
Verfahren nach Artikel 6 Absatz 1
Lebensereignisse |
Verfahren |
Erwartete Ergebnisse, gegebenenfalls vorbehaltlich einer Bewertung des Antrags durch die zuständige Behörde gemäß nationalen Rechtsvorschriften |
Geburt |
Beantragung des Nachweises über die Eintragung in das Geburtenregister |
Nachweis über die Eintragung in das Geburtenregister oder Geburtsurkunde |
Wohnsitz |
Beantragung eines Wohnsitznachweises |
Bestätigung der Meldung an der aktuellen Adresse |
Studium |
Beantragung einer Studienfinanzierung für ein Hochschulstudium, z. B. Studienbeihilfen oder -darlehen, bei einer öffentlichen Stelle oder Einrichtung |
Entscheidung über den Antrag auf Studienfinanzierung oder Empfangsbestätigung |
Einreichung eines ersten Antrags auf Zulassung zu einer öffentlichen Hochschuleinrichtung |
Bestätigung des Eingangs des Antrags |
|
Beantragung der Anerkennung von akademischen Diplomen, Prüfungszeugnissen oder sonstigen Nachweisen über Studien oder Kurse |
Entscheidung über den Antrag auf Anerkennung |
|
Arbeit |
Antrag auf Bestimmung des anwendbaren Rechts gemäß Titel II der Verordnung (EG) Nr. 883/2004 (1) |
Beschluss über das anwendbare Recht |
Mitteilung einer Änderung der persönlichen oder beruflichen Situation des Empfängers von Sozialversicherungsleistungen, die für solche Leistungen relevant ist |
Bestätigung des Eingangs der Mitteilung solcher Änderungen |
|
Antrag auf Ausstellung einer Europäischen Krankenversicherungskarte (EHIC) |
Europäische Krankenversicherungskarte (EHIC) |
|
Einreichung einer Einkommensteuererklärung |
Bestätigung des Eingangs der Erklärung |
|
Umzug |
Meldung einer Adressänderung |
Bestätigung der Abmeldung von der früheren Adresse und der Anmeldung an der neuen Adresse |
Zulassung eines aus einem Mitgliedstaat stammenden oder bereits in einem EU-Mitgliedstaat zugelassenen Kraftfahrzeugs in Standardverfahren (2) |
Nachweis über die Zulassung eines Kraftfahrzeugs |
|
Beantragung von Plaketten für die Nutzung der nationalen Straßenverkehrsinfrastruktur: von einer öffentlichen Stelle oder Einrichtung ausgestellte zeitabhängige Gebühren (Vignette), entfernungsabhängige Gebühren (Maut), |
Erhalt des Mautaufklebers oder der Vignette oder anderer Zahlungsbeleg |
|
Beantragung von Emissionsplaketten, die von einer öffentlichen Stelle oder Einrichtung ausgestellt werden |
Erhalt der Emissionsplakette oder anderer Zahlungsbeleg |
|
Ruhestand |
Beantragung von Ruhestands- und Vorruhestandsleistungen aus obligatorischen Systemen |
Bestätigung des Eingangs des Antrags oder Beschluss über den Antrag auf Ruhestands- oder Vorruhestandsleistungen |
Ersuchen um Informationen über die Daten im Zusammenhang mit Ruhestandsleistungen aus obligatorischen Systemen |
Erklärung über die persönlichen Ruhestandsdaten |
|
Gründung, Führung und Schließung eines Unternehmens |
Meldung einer Geschäftstätigkeit, Zulassung zur Ausübung einer Geschäftstätigkeit, Änderung einer Geschäftstätigkeit und Einstellung einer Geschäftstätigkeit ausgenommen Insolvenz- oder Liquidationsverfahren, ausgenommen der erstmaligen Eintragung einer Geschäftstätigkeit in das Unternehmens-Register, und ausgenommen Eintragungen im Rahmen des Verfahren zur Gründung von — oder späteren Anmeldungen oder Einreichungen von Meldungen von — Gesellschaften oder Unternehmen im Sinne von Artikel 54 Absatz 2 AEUV |
Bestätigung des Eingangs der Meldung oder Änderung einer Geschäftstätigkeit oder des Antrags auf Genehmigung der Geschäftstätigkeit |
Registrierung eines Arbeitgebers (einer natürlichen Person) bei obligatorischen Versorgungs- und Versicherungssystemen |
Bestätigung der Registrierung oder Sozialversicherungs-Kennnummer |
|
Registrierung von Beschäftigten bei obligatorischen Versorgungs- und Versicherungssystemen |
Bestätigung der Registrierung oder Sozialversicherungs-Kennnummer |
|
Einreichung einer Körperschaftsteuererklärung |
Bestätigung des Eingangs der Erklärung |
|
Meldung an die Sozialversicherungssysteme bei Beendigung des Vertrags mit einem Beschäftigten, ausgenommen bei Verfahren zur kollektiven Beendigung von Arbeitnehmerverträgen |
Bestätigung des Eingangs der Meldung |
|
Zahlung von Sozialbeiträgen für Beschäftigte |
Empfangs- oder andere Art der Bestätigung der Zahlung der Sozialbeiträge für Beschäftigte |
(1) Verordnung (EG) Nr. 883/2004 des Europäischen Parlaments und des Rates vom 29. April 2004 zur Koordinierung der Systeme der sozialen Sicherheit (ABl. L 166 vom 30.4.2004, S. 1).
(2) Das gilt für folgende Fahrzeuge: a) Kraftfahrzeuge oder Anhänger nach Artikel 3 der Richtlinie 2007/46/EG des Europäischen Parlaments und des Rates (ABl. L 263 vom 9.10.2007, S. 1) und b) zwei- oder dreirädrige Kraftfahrzeuge mit oder ohne Doppelrad, die für die Teilnahme am Straßenverkehr bestimmt sind, nach Artikel 1 der Verordnung (EU) Nr. 168/2013 des Europäischen Parlaments und des Rates (ABl. L 60 vom 2.3.2013, S. 52).
ANHANG III
Liste der in Artikel 2 Absatz 2 Buchstabe c genannten Hilfs- und Problemlösungsdienste
1. |
Einheitliche Ansprechpartner (1) |
2. |
Produktinfostellen (2) |
3. |
Produktinformationsstellen für das Bauwesen (3) |
4. |
Nationale Beratungszentren für Berufsqualifikationen (4) |
5. |
Nationale Kontaktstellen für die grenzüberschreitende Gesundheitsversorgung (5) |
6. |
Europäisches Netz der Arbeitsvermittlungen (EURES) (6) |
7. |
Online-Streitbeilegung (7) |
(1) Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).
(2) Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 zur Festlegung von Verfahren im Zusammenhang mit der Anwendung bestimmter nationaler technischer Vorschriften für Produkte, die in einem anderen Mitgliedstaat rechtmäßig in den Verkehr gebracht worden sind, und zur Aufhebung der Entscheidung Nr. 3052/95/EG (ABl. L 218 vom 13.8.2008, S. 21).
(3) Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates vom 9. März 2011 zur Festlegung harmonisierter Bedingungen für die Vermarktung von Bauprodukten und zur Aufhebung der Richtlinie 89/106/EWG des Rates (ABl. L 88 vom 4.4.2011, S. 5).
(4) Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (ABl. L 255 vom 30.9.2005, S. 22).
(5) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
(6) Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates vom 13. April 2016 über ein Europäisches Netz der Arbeitsvermittlungen (EURES), den Zugang von Arbeitnehmern zu mobilitätsfördernden Diensten und die weitere Integration der Arbeitsmärkte und zur Änderung der Verordnungen (EU) Nr. 492/2011 und (EU) Nr. 1296/2013 (ABl. L 107 vom 22.4.2016, S. 1).
(7) Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Verordnung über Online-Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 1).
21.11.2018 |
DE |
Amtsblatt der Europäischen Union |
L 295/39 |
VERORDNUNG (EU) 2018/1725 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 23. Oktober 2018
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG
(Text von Bedeutung für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
gemäß dem ordentlichen Gesetzgebungsverfahren (2),
in Erwägung nachstehender Gründe:
(1) |
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dieses Recht ist zudem in Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorgesehen. |
(2) |
In der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (3) sind auf dem Rechtsweg durchsetzbare Rechte für natürliche Personen vorgesehen, es werden die Verpflichtungen der in den Organen und Einrichtungen der Gemeinschaft für die Datenverarbeitung Verantwortlichen festgelegt und es wird der Europäische Datenschutzbeauftragte als unabhängige Aufsichtsbehörde eingerichtet, die für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zuständig ist. Die Verordnung gilt jedoch nicht für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten der Organe und Einrichtungen der Union, die nicht in den Anwendungsbereich des Unionsrechts fallen. |
(3) |
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) und die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (5) wurden am 27. April 2016 angenommen. Während die Verordnung allgemeine Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union enthält, sind in der Richtlinie besondere Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geregelt. |
(4) |
Die Verordnung (EU) 2016/679 sieht die Anpassung der Verordnung (EG) Nr. 45/2001 vor, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten und zu ermöglichen, dass sie parallel mit der Verordnung (EU) 2016/679 angewandt werden kann. |
(5) |
Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union sollten die Datenschutzbestimmungen für die Organe, Einrichtungen und sonstigen Stellen der Union so weit wie möglich an die in den Mitgliedstaaten für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen werden. Soweit die Bestimmungen der vorliegenden Verordnung auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679, sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden „Gerichtshof“) einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte. |
(6) |
Personen, deren personenbezogene Daten in irgendeinem Kontext von den Organen oder Einrichtungen der Union verarbeitet werden, z. B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind, sollten geschützt werden. Die vorliegende Verordnung sollte nicht für die Verarbeitung der personenbezogenen Daten Verstorbener gelten. Die vorliegende Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person. |
(7) |
Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. |
(8) |
Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch alle Organe, Einrichtungen und sonstigen Stellen der Union gelten. Sie sollte für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen. |
(9) |
In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, auf der der Vertrag von Lissabon angenommen wurde, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen. Ein gesondertes Kapitel der vorliegenden Verordnung mit allgemeinen Bestimmungen sollte daher für die Verarbeitung von operativen personenbezogenen Daten gelten, etwa für personenbezogene Daten, die zum Zweck strafrechtlicher Ermittlungen von Einrichtungen oder sonstigen Stellen der Union, die Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ausführen, verarbeitet werden. |
(10) |
Die Richtlinie (EU) 2016/680 enthält harmonisierte Vorschriften zum Schutz und zum freien Verkehr personenbezogener Daten, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeitet werden. Um sicherzustellen, dass natürliche Personen auf der Grundlage von auf dem Rechtsweg durchsetzbaren Rechten in der gesamten Union das gleiche Maß an Schutz genießen, und um zu verhindern, dass der Austausch personenbezogener Daten zwischen Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, und den zuständigen Behörden durch Unterschiede behindert wird, sollten die Vorschriften für den Schutz und den freien Verkehr operativer personenbezogener Daten, die von diesen Einrichtungen oder sonstigen Stellen der Union verarbeitet werden, im Einklang mit der Richtlinie (EU) 2016/680 stehen. |
(11) |
Die allgemeinen Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollten unbeschadet der besonderen Vorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union, deren Tätigkeit durch den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV geregelt ist, gelten. Derartige besondere Vorschriften sollten als lex specialis in Bezug auf die Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten betrachtet werden (lex specialis derogat legi generali). Um die Zersplitterung des Rechtsrahmens zu verringern, sollten die besonderen Datenschutzvorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, mit den Grundsätzen, die dem Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten zugrunde liegen, sowie mit den Vorschriften der vorliegenden Verordnung über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen im Einklang stehen. |
(12) |
Das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollte für Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten, und zwar unabhängig davon, ob Datenverarbeitung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten ihre Haupt- oder ihre Nebenaufgabe ist. Es sollte jedoch nicht für Europol und die Europäische Staatsanwaltschaft gelten, bevor die Rechtsakte zur Gründung von Europol und der Europäischen Staatsanwaltschaft dahingehend geändert werden, dass das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten in seiner angepassten Fassung auch für sie gilt. |
(13) |
Die Kommission sollte die vorliegende Verordnung und insbesondere ihr Kapitel über die Verarbeitung operativer personenbezogener Daten überprüfen. Die Kommission sollte zudem die anderen auf der Grundlage der Verträge erlassenen Rechtsakte überprüfen, die für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten. Nach dieser Überprüfung sollte die Kommission sachdienliche Gesetzgebungsvorschläge, gegebenenfalls auch zu notwendigen Anpassungen des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten, im Hinblick auf dessen Anwendung auf Europol und die Europäische Staatsanwaltschaft machen können, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sichergestellt wird. Diese Änderungen sollten Vorschriften über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen berücksichtigen. |
(14) |
Die vorliegende Verordnung sollte auch für die Verarbeitung von verwaltungstechnischen personenbezogenen Daten, wie etwa Personaldaten, durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten. |
(15) |
Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die Europäische Union (EUV) fallen, gelten. Die vorliegende Verordnung sollte nicht für die Verarbeitung personenbezogener Daten durch Missionen gemäß Artikel 42 Absatz 1 sowie Artikel 43 und 44 EUV zur Umsetzung der gemeinsamen Sicherheits- und Verteidigungspolitik gelten. Gegebenenfalls sollten entsprechende Vorschläge zur weiteren Regulierung der Verarbeitung personenbezogener Daten im Bereich der gemeinsamen Sicherheits- und Verteidigungspolitik vorgelegt werden. |
(16) |
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung derartiger anonymer Daten, auch für statistische oder für Forschungszwecke. |
(17) |
Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen. |
(18) |
Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen, Cookie-Kennungen oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet, die von ihren Geräten, Software-Anwendungen und -Tools oder Protokollen geliefert werden. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. |
(19) |
Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben werden soll, erfolgen. Darüber hinaus sollte die betroffene Person das Recht haben, ihre Einwilligung jederzeit zu widerrufen, wobei die Verarbeitungsvorgänge, die aufgrund der Einwilligung vor dem Widerruf erfolgt sind, weiterhin als rechtmäßig gelten sollen. Um sicherzustellen, dass die Einwilligung freiwillig erfolgt, sollte in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, diese keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen Personen sollten die Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen. |
(20) |
Jede Verarbeitung personenbezogener Daten sollte rechtmäßige und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können, und dass die Daten während der Übermittlung nicht unbefugt offengelegt werden. |
(21) |
Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Organe und Einrichtungen der Union bei der Übermittlung personenbezogener Daten innerhalb desselben Organs oder derselben Einrichtung der Union, wenn der Empfänger nicht zum Verantwortlichen gehört, bzw. bei der Übermittlung an andere Organe und Einrichtungen der Union prüfen, ob diese personenbezogenen Daten für die rechtmäßige Erfüllung der Aufgaben im Zuständigkeitsbereich des Empfängers erforderlich sind. Insbesondere sollte der Verantwortliche im Falle eines Antrags des Empfängers auf Übermittlung personenbezogener Daten das Vorliegen einschlägiger Gründe für die rechtmäßige Verarbeitung personenbezogener Daten sowie die Zuständigkeit des Empfängers überprüfen. Der Verantwortliche sollte auch die Notwendigkeit der Übermittlung dieser Daten vorläufig bewerten. Bestehen Zweifel an der Notwendigkeit, sollte der Verantwortliche weitere Auskünfte vom Empfänger einholen. Der Empfänger sollte sicherstellen, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann. |
(22) |
Die Verarbeitung personenbezogener Daten sollte nur dann rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung ihrer öffentlichen Gewalt durch die Organe und Einrichtungen der Union oder für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, oder wenn eine andere zulässige Rechtsgrundlage gemäß der vorliegenden Verordnung besteht, wie etwa die Einwilligung der betroffenen Person, die Tatsache, dass die Verarbeitung von personenbezogenen Daten für die Umsetzung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder auf Antrag der betroffenen Person für Maßnahmen vor Abschluss eines Vertrags erforderlich ist. Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und die Arbeitsweise dieser Organe und Einrichtungen erforderlich ist. Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein. |
(23) |
Das Unionsrecht, auf das in dieser Verordnung Bezug genommen wird, sollte klar und präzise sein und seine Anwendung sollte für diejenigen, die ihm unterliegen, im Einklang mit den Anforderungen der Charta und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorhersehbar sein. |
(24) |
Die internen Vorschriften, auf die in dieser Verordnung Bezug genommen wird, sollten klar und präzise formulierte Rechtsakte mit allgemeiner Geltung und mit Rechtswirkung gegenüber den betroffenen Personen sein. Sie sollten auf der höchsten Verwaltungsebene der Organe und Einrichtungen der Union im Rahmen ihrer Zuständigkeiten und in Bezug auf Angelegenheiten, die ihre Tätigkeit betreffen, erlassen werden. Sie sollten im Amtsblatt der Europäischen Union veröffentlicht werden. Die Anwendung dieser Vorschriften sollte für die ihnen unterliegenden Personen vorhersehbar sein und mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. Interne Vorschriften können auch in Form von Beschlüssen erlassen werden, insbesondere wenn dies durch Organe der Union geschieht. |
(25) |
Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine weitere Verarbeitung als vereinbar und rechtmäßig erachtet wird. Die weitere Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollten als vereinbare und rechtmäßige Verarbeitungsvorgänge gelten. Die im Unionsrecht vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine weitere Verarbeitung dienen. Um festzustellen, ob ein Zweck der weiteren Verarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten weiteren Verarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte weitere Verarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten weiteren Verarbeitungsvorgang geeignete Schutzmaßnahmen angewendet werden. |
(26) |
Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollte mit Hilfe von Schutzmaßnahmen sichergestellt werden, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Nach der Richtlinie 93/13/EWG des Rates (6) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person zumindest wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. |
(27) |
Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein derartiger besonderer Schutz sollte insbesondere die Erstellung von Persönlichkeitsprofilen und die Erhebung von personenbezogenen Daten von Kindern bei Diensten, die Kindern auf Websites der Organe und Einrichtungen der Union direkt angeboten werden, betreffen, wie beispielsweise interpersonelle Kommunikationsdienste oder Online-Ticketverkauf, sofern die Verarbeitung personenbezogener Daten mit Einwilligung erfolgt. |
(28) |
Wünschen in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, die Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union, sollten sie nachweisen, dass die Übermittlung der Daten an diese Empfänger für die Wahrnehmung ihrer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihnen übertragen wurde. Andernfalls sollten diese Empfänger nachweisen, dass die Übermittlung für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche sollte prüfen, ob die begründete Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten. In diesen Fällen sollte der Verantwortliche die unterschiedlichen Interessen gegeneinander abwägen, um einzuschätzen, ob die gewünschte Übermittlung von Daten verhältnismäßig ist. Dieser im öffentlichen Interesse liegende bestimmte Zweck kann etwa in Bezug zur Transparenz der Organe und Einrichtungen der Union stehen. Erfolgt die Übermittlung auf eigene Veranlassung der Organe und Einrichtungen der Union, so sollten diese unter Beachtung des Grundsatzes der Transparenz und der Grundsätze guter Verwaltungspraxis nachweisen, dass die Übermittlung erforderlich ist. Die in der vorliegenden Verordnung festgelegten Anforderungen für die Übermittlung von Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, sollten als Ergänzung zu den Voraussetzungen für die rechtmäßige Verarbeitung verstanden werden. |
(29) |
Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten nur verarbeitet werden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen erfüllt sind. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Zusätzlich zu den speziellen Anforderungen an die Verarbeitung sensibler Daten sollten die allgemeinen Grundsätze und anderen Bestimmungen der vorliegenden Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen. |
(30) |
Besondere Kategorien personenbezogener Daten, die einen verbesserten Schutz benötigen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Die vorliegende Verordnung sollte daher die Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere in Fällen, in denen die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Unionsrecht sollten angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden. |
(31) |
Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und gesonderten Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates (7) ausgelegt werden und alle Elemente im Zusammenhang mit Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, sich auf diesen Gesundheitszustand auswirkende Faktoren, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die Ausgaben für die Gesundheitsversorgung und ihre Finanzierung und schließlich die Ursachen der Mortalität umfassen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass derartige personenbezogene Daten zu anderen Zwecken verarbeitet werden. |
(32) |
Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — beispielsweise durch ein Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen. |
(33) |
Bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollten geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der vorliegenden Verordnung vorgesehen sein. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Schutzmaßnahmen bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Organe und Einrichtungen der Union sollten im Unionsrecht, gegebenenfalls auch in internen Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen. |
(34) |
Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Verfahren, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats, zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt. |
(35) |
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine Verarbeitung in fairer und transparenter Weise zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein. |
(36) |
Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig gegenüber einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten gegenüber diesem Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden. |
(37) |
Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, damit sie über die Rechtmäßigkeit der Verarbeitung informiert ist und diese überprüfen kann. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welchen Grundsätzen die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. |
(38) |
Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung ihrer Daten gegen die vorliegende Verordnung oder gegen das Unionsrecht, das für den Verantwortlichen gilt, verstößt. Eine betroffene Person sollte Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. in anderer Weise verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffene Person ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt hat oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen die vorliegende Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Risiken nicht in vollem Umfang absehen konnte und die personenbezogenen Daten — insbesondere die im Internet gespeicherten — später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. |
(39) |
Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren. |
(40) |
Verfahren zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden. |
(41) |
Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung ihm übertragener öffentlicher Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Bezieht sich ein bestimmter Satz personenbezogener Daten auf mehr als eine betroffene Person, so sollte das Recht auf Erhalt der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts nach der vorliegenden Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten von einem Verantwortlichen direkt an einen anderen Verantwortlichen übermittelt werden. |
(42) |
Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben. |
(43) |
Die betroffene Person sollte das Recht haben, keiner Entscheidung oder Maßnahme zur Bewertung von sie betreffenden personenbezogenen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat, wie etwa Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das Profiling, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der personenbezogenen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten in Bezug auf Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies eine rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat. Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht ausdrücklich zulässig ist. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Schutzmaßnahmen verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder einer Verarbeitung kommt, die eine solche Wirkung hat. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein. |
(44) |
In auf der Grundlage der Verträge erlassenen Rechtsakten oder in von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften können Beschränkungen hinsichtlich bestimmter Grundsätze und des Rechts auf Unterrichtung, Zugang zu und Berichtigung oder Löschung von personenbezogenen Daten, des Rechts auf Datenübertragbarkeit, Vertraulichkeit elektronischer Kommunikationsdaten sowie gegebenenfalls Mitteilung über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen sein, soweit dies in einer demokratischen Gesellschaft zur Aufrechterhaltung der öffentlichen Sicherheit und zur Verhütung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung notwendig und verhältnismäßig ist. Dies umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit, den Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, den Schutz der inneren Sicherheit der Organe und Einrichtungen der Union und sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, vor allem die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaats und das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses oder der Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherung, öffentliche Gesundheit und humanitäre Hilfe. |
(45) |
Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der vorliegenden Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen. |
(46) |
Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Beeinträchtigungen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Auffassungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft. |
(47) |
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. |
(48) |
Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen der vorliegenden Verordnung erfüllt werden. Um die Einhaltung der Vorschriften der vorliegenden Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden. |
(49) |
Die Verordnung (EU) 2016/679 sieht vor, dass die Verantwortlichen die Erfüllung der Anforderungen durch die Einhaltung genehmigter Zertifizierungsverfahren nachweisen können. In gleicher Weise sollten auch die Organe und Einrichtungen der Union die Einhaltung der Vorschriften der vorliegenden Verordnung dadurch nachweisen können, dass sie eine Zertifizierung gemäß Artikel 42 der Verordnung (EU) 2016/679 erlangen. |
(50) |
Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und der Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuweisung der Verantwortlichkeiten durch die vorliegende Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird. |
(51) |
Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, sollte auf Grundlage eines Vertrags oder — im Fall von Organen und Einrichtungen der Union, die als Auftragsverarbeiter handeln — aufgrund eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter sollten entscheiden können, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber vom Datenschutzbeauftragten angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. |
(52) |
Zum Nachweis der Einhaltung der vorliegenden Verordnung sollten die Verantwortlichen ein Verzeichnis der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten und Auftragsverarbeiter ein Verzeichnis der Kategorien der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten führen. Die Organe und Einrichtungen der Union sollten verpflichtet sein, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten und diesem auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Den Organen und Einrichtungen der Union sollte es möglich sein, ein zentrales Register einzurichten, in dem sie ihre Verarbeitungstätigkeiten verzeichnen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Aus Gründen der Transparenz sollte es ihnen zudem möglich sei, dieses Register öffentlich zugänglich zu machen. |
(53) |
Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen die vorliegende Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte. |
(54) |
Die Organe und Einrichtungen der Union sollten die Vertraulichkeit der elektronischen Kommunikation nach Artikel 7 der Charta sicherstellen. Insbesondere sollten die Organe und Einrichtungen der Union die Sicherheit ihrer elektronischen Kommunikationsnetze sicherstellen. Sie sollten die sich auf die Endeinrichtungen der Nutzer beziehenden Informationen bei deren Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (8) schützen. Sie sollten auch die in den Nutzerverzeichnissen gespeicherten personenbezogenen Daten schützen. |
(55) |
Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, den Europäischen Datenschutzbeauftragten von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen ohne unangemessene weitere Verzögerung bereitgestellt werden. Ist eine derartige Verzögerung gerechtfertigt, sollten weniger sensible oder weniger konkrete Informationen über die Verletzung so schnell wie möglich offengelegt werden, anstatt mit der Benachrichtigung zu warten, bis die Ursache behoben wurde. |
(56) |
Der Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person führt, damit diese die erforderlichen Vorkehrungen treffen kann. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit dem Europäischen Datenschutzbeauftragen und nach Maßgabe der von ihm oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen. |
(57) |
Gemäß der Verordnung (EG) Nr. 45/2001 ist der Verantwortliche generell verpflichtet, dem Datenschutzbeauftragten die Verarbeitung personenbezogener Daten zu melden. Der Datenschutzbeauftragte hat ein Register über die gemeldeten Verarbeitungsvorgänge zu führen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Zusätzlich zu dieser allgemeinen Pflicht sollten wirksame Verfahren und Mechanismen eingerichtet werden, um Verarbeitungsvorgänge zu überwachen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Derartige Verfahren sollten insbesondere auch dann eingerichtet werden, wenn Arten von Verarbeitungsvorgängen zur Anwendung kommen, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist. In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Schutzmaßnahmen und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden sollen. |
(58) |
Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Verfahren zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte der Europäische Datenschutzbeauftragte vor Beginn der Verarbeitung konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Der Europäische Datenschutzbeauftragte sollte das Ersuchen um Konsultation innerhalb einer bestimmten Frist beantworten. Allerdings kann der Europäische Datenschutzbeauftragte, auch wenn er nicht innerhalb dieser Frist reagiert hat, entsprechend seinen in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses sollte es möglich sein, dem Europäischen Datenschutzbeauftragten das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten Datenschutz-Folgenabschätzung zu unterbreiten; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen. |
(59) |
Der Europäische Datenschutzbeauftragte sollte über administrative Maßnahmen unterrichtet und zu von den Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften konsultiert werden, wenn sie die Verarbeitung personenbezogener Daten vorsehen, Bedingungen für Beschränkungen der Rechte betroffener Personen festlegen oder angemessene Schutzmaßnahmen für die Rechte betroffener Personen bieten, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, insbesondere im Hinblick auf die Eindämmung der Risiken für die betroffene Person. |
(60) |
Mit der Verordnung (EU) 2016/679 wurde der Europäische Datenschutzausschuss als unabhängige Einrichtung der Union mit eigener Rechtspersönlichkeit eingesetzt. Der Ausschuss soll zu einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in der gesamten Union beitragen, unter anderem indem er die Kommission berät. Gleichzeitig sollte der Europäische Datenschutzbeauftragte seine Aufsichts- und Beratungsaufgaben gegenüber allen Organen und Einrichtungen der Union weiterhin wahrnehmen — sowohl von sich aus als auch auf Antrag. Bei der Ausarbeitung von Vorschlägen oder Empfehlungen sollte sich die Kommission darum bemühen, den Europäischen Datenschutzbeauftragten anzuhören, damit in der gesamten Union einheitliche Datenschutzvorschriften gewährleistet sind. Eine Konsultation durch die Kommission nach Annahme eines Rechtsakts oder bei der Ausarbeitung delegierter Rechtsakte und Durchführungsrechtsakte im Sinne der Artikel 289, 290 und 291 AEUV und nach der Annahme von Empfehlungen und Vorschlägen für Übereinkünfte mit Drittländern und internationalen Organisationen nach Artikel 218 AEUV sollte verbindlich vorgeschrieben werden, wenn sich diese auf das Recht auf Schutz personenbezogener Daten auswirken. In diesen Fällen sollte die Kommission verpflichtet sein, den Europäischen Datenschutzbeauftragten zu konsultieren, es sei denn, die Verordnung (EU) 2016/679 sieht eine obligatorische Konsultation des Europäischen Datenschutzausschusses vor — beispielsweise zu Angemessenheitsbeschlüssen oder delegierten Rechtsakten in Bezug auf standardisierte Bildsymbole und die Anforderungen für Zertifizierungsverfahren. Ist der betreffende Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, so sollte es der Kommission zudem möglich sein, den Europäischen Datenschutzausschuss zu konsultieren. In diesen Fällen sollte der Europäische Datenschutzbeauftragte als Mitglied des Europäischen Datenschutzausschusses seine Arbeit mit Letztgenanntem im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Der Europäische Datenschutzbeauftragte und gegebenenfalls der Europäische Datenschutzausschuss sollten ihre schriftliche Empfehlung binnen acht Wochen vorlegen. Diese Frist sollte in dringenden Fällen oder soweit anderweitig angemessen, zum Beispiel, wenn die Kommission delegierte Rechtsakte und Durchführungsrechtsakte ausarbeitet, kürzer sein. |
(61) |
Gemäß Artikel 75 der Verordnung (EU) 2016/679 sollte das Sekretariat des Europäischen Datenschutzausschusses vom Europäischen Datenschutzbeauftragten gestellt werden. |
(62) |
In allen Organen und Einrichtungen der Union sollte ein Datenschutzbeauftragter für die Anwendung der Bestimmungen dieser Verordnung Sorge tragen und die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung ihrer Pflichten beraten. Dieser Beauftragte sollte über das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen, das sich insbesondere nach den vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten richten sollte. Diese Datenschutzbeauftragten sollten ihren Auftrag und ihre Aufgaben auf unabhängige Weise wahrnehmen können. |
(63) |
Das durch diese Verordnung unionsweit gewährleistete Schutzniveau für natürliche Personen sollte bei der Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen gewährleistet werden. Dieselben Garantien sollten auch dann gelten, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur unter strikter Einhaltung der vorliegenden Verordnung und unter Achtung der in der Charta verankerten Grundrechte und Grundfreiheiten zulässig. Eine Datenübermittlung könnte nur stattfinden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erfüllt werden. |
(64) |
Die Kommission kann nach Artikel 45 der Verordnung (EU) 2016/679 oder Artikel 36 der Richtlinie (EU) 2016/680 feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet. In derartigen Fällen dürfen personenbezogene Daten durch ein Organ oder eine Einrichtung der Union ohne weitere Genehmigung an dieses Drittland oder diese internationale Organisation übermittelt werden. |
(65) |
Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Maßnahmen für den Schutz der betroffenen Person vorsehen. Diese geeigneten Schutzmaßnahmen können darin bestehen, dass auf von der Kommission oder von dem Europäischen Datenschutzbeauftragten festgelegte Standarddatenschutzklauseln oder vom Europäischen Datenschutzbeauftragten genehmigte Vertragsklauseln zurückgegriffen wird. Ist der Auftragsverarbeiter kein Organ und keine Einrichtung der Union, so können auch die für internationale Datenübermittlungen nach der Verordnung (EU) 2016/679 geltenden verbindlichen internen Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsverfahren geeignete Schutzmaßnahmen darstellen. Diese Schutzmaßnahmen sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen, einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen beziehen. Datenübermittlungen dürfen auch von Organen und Einrichtungen der Union an Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen — wie beispielsweise einer gemeinsamen Absichtserklärung —, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung des Europäischen Datenschutzbeauftragten sollte erlangt werden, wenn die Schutzmaßnahmen in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind. |
(66) |
Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder dem Europäischen Datenschutzbeauftragten festgelegten Standard-Datenschutzklauseln zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch sie daran hindern, ihnen weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder dem Europäischen Datenschutzbeauftragten erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Datenschutzklauseln ergänzen, zusätzliche Schutzmaßnahmen zu bieten. |
(67) |
Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten durch die Organe und Einrichtungen der Union unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Union gestützt sind. Die Anwendung dieser Gesetze, Vorschriften und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch die vorliegende Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht anerkannt ist. |
(68) |
Datenübermittlungen sollten in bestimmten Situationen unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen, es sei denn, sie ist nach dem Unionsrecht zulässig; ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist. |
(69) |
Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen Datenaustausch zwischen Organen und Einrichtungen der Union und Wettbewerbs-, Steuer- oder Zollbehörden, Finanzaufsichtsbehörden und Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständig sind, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung bzw. Beseitigung des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen — einschließlich der körperlichen Unversehrtheit oder des Lebens — der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen vorgesehen werden. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden. |
(70) |
In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin in den Genuss ihrer Grundrechte kommen und die Schutzmaßnahmen für sie gelten. |
(71) |
Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen können und sich insbesondere nicht gegen die unrechtmäßige Nutzung oder Offenlegung dieser Informationen schützen können. Ebenso kann es vorkommen, dass nationale Aufsichtsbehörden und der Europäische Datenschutzbeauftragte Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb ihres Zuständigkeitsbereichs haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Daher sollte eine engere Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden gefördert werden, damit sie Informationen mit den entsprechenden Stellen in anderen Ländern austauschen können. |
(72) |
Die mit der Verordnung (EG) Nr. 45/2001 erfolgte Einrichtung des Amtes des Europäischen Datenschutzbeauftragten, der befugt ist, seine Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Mit der vorliegenden Verordnung sollte seine Rolle und Unabhängigkeit weiter gestärkt und präzisiert werden. Der Europäische Datenschutzbeauftragte sollte eine Person sein, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über die für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Erfahrung und Sachkunde verfügt, zum Beispiel, weil sie einer der nach Artikel 51 der Verordnung (EU) 2016/679 errichteten Aufsichtsbehörden angehört hat. |
(73) |
Damit in der gesamten Union eine einheitliche Überwachung und Durchsetzung der Datenschutzvorschriften gewährleistet ist, sollte der Europäische Datenschutzbeauftragte dieselben Aufgaben und wirksamen Befugnisse wie die nationalen Aufsichtsbehörden haben, darunter — insbesondere im Fall von Beschwerden natürlicher Personen — Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse sowie Genehmigungs- und Beratungsbefugnisse, die Befugnis, Verstöße gegen diese Verordnung dem Gerichtshof zur Kenntnis zu bringen, und die Befugnis, Gerichtsverfahren im Einklang mit dem Primärrecht anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Um überflüssige Kosten und übermäßige Unannehmlichkeiten mit gegebenenfalls nachteiligen Auswirkungen für die betroffenen Personen zu vermeiden, sollte jede Maßnahme des Europäischen Datenschutzbeauftragten im Hinblick auf die Einhaltung dieser Verordnung geeignet, erforderlich und angemessen sein, wobei die Umstände des jeweiligen Einzelfalls und das Recht jeder Person, gehört zu werden, bevor die betreffende individuelle Maßnahme getroffen wird, zu berücksichtigen sind. Jede rechtsverbindliche Maßnahme des Europäischen Datenschutzbeauftragten sollte schriftlich erlassen werden, und sie sollte klar und eindeutig sein; das Datum, an dem die Maßnahme erlassen wurde, sollte angegeben werden und die Maßnahme sollte vom Europäischen Datenschutzbeauftragten unterzeichnet sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. |
(74) |
Damit die Unabhängigkeit des Gerichtshofs bei der Ausübung seiner gerichtlichen Aufgaben einschließlich seiner Beschlussfassung unangetastet bleibt, sollte die Aufsichtskompetenz des Europäischen Datenschutzbeauftragten nicht die Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit erfassen. Für diese Verarbeitungsvorgänge sollte der Gerichtshof gemäß Artikel 8 Absatz 3 der Charta eine unabhängige Aufsicht einrichten, beispielsweise durch ein internes Verfahren. |
(75) |
Die Entscheidungen des Europäischen Datenschutzbeauftragten über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann der Europäische Datenschutzbeauftragte Berichte über besondere Themen veröffentlichen. |
(76) |
Der Europäische Datenschutzbeauftragte sollte die Bestimmungen der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (9) einhalten. |
(77) |
Die nationalen Aufsichtsbehörden überwachen die Anwendung der Verordnung (EU) 2016/679 und tragen zu ihrer einheitlichen Anwendung in der gesamten Union bei, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Um die einheitliche Anwendung der in den Mitgliedstaaten anwendbaren Datenschutzvorschriften und der für die Organe und Einrichtungen der Union anwendbaren Datenschutzvorschriften zu verbessern, sollte der Europäische Datenschutzbeauftragte mit den nationalen Aufsichtsbehörden wirksam zusammenarbeiten. |
(78) |
In bestimmten Fällen ist im Unionsrecht ein Modell für eine koordinierte Aufsicht vorgesehen, bei dem die Aufsicht auf den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden aufgeteilt ist. Der Europäische Datenschutzbeauftragte fungiert auch als Aufsichtsbehörde von Europol und für diese Zwecke wurde ein spezielles Modell für die Zusammenarbeit mit den nationalen Aufsichtsbehörden im Wege eines Beirats für die Zusammenarbeit, dem auch eine Beratungsfunktion zukommt, geschaffen. Zur besseren wirksamen Aufsicht und Durchsetzung des materiellen Datenschutzrechts sollte in der Union ein einheitliches, kohärentes Modell für eine koordinierte Aufsicht eingeführt werden. Die Kommission sollte daher erforderlichenfalls Gesetzgebungsvorschläge im Hinblick auf die Änderung von Unionsrechtsakten, die ein Modell für eine koordinierte Aufsicht vorsehen, unterbreiten, um diese an das in dieser Verordnung festgelegte Modell für eine koordinierte Aufsicht anzupassen. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht in allen Bereichen zu gewährleisten. |
(79) |
Jede betroffene Person sollte das Recht haben, bei dem Europäischen Datenschutzbeauftragten eine Beschwerde einzureichen und im Einklang mit den Verträgen einen wirksamen gerichtlichen Rechtsbehelf vor dem Gerichtshof einzulegen, wenn sich die betroffene Person in ihren Rechten nach dieser Verordnung verletzt sieht oder wenn der Europäische Datenschutzbeauftragte auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Der Europäische Datenschutzbeauftragte sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollte eine weitere Abstimmung mit einer nationalen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Der Europäische Datenschutzbeauftragte sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. |
(80) |
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, sollte — vorbehaltlich der in den Verträgen vorgesehenen Voraussetzungen — Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben. |
(81) |
Um die Aufsichtsfunktion des Europäischen Datenschutzbeauftragten und die wirksame Durchsetzung der vorliegenden Verordnung zu erleichtern, sollte der Europäische Datenschutzbeauftragte als letztes Mittel die Befugnis haben, Geldbußen zu verhängen. Mit diesen Geldbußen sollten keine Einzelpersonen, sondern vielmehr die Organe oder Einrichtungen der Union für Verstöße gegen diese Verordnung sanktioniert werden, um künftigen Verstößen gegen die vorliegende Verordnung vorzubeugen und eine Kultur des Schutzes personenbezogener Daten innerhalb der Organe und Einrichtungen der Union zu fördern. In der vorliegenden Verordnung sollten die mit Geldbußen zu ahndenden Verstöße sowie die Obergrenzen der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden. Der Europäische Datenschutzbeauftragte sollte die Höhe der Geldbuße in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und der Art, Schwere und Dauer des Verstoßes, seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festsetzen. Wenn er eine Geldbuße gegen ein Organ oder eine Einrichtung der Union verhängt, sollte der Europäische Datenschutzbeauftragte die Verhältnismäßigkeit der Höhe der Geldbuße prüfen. Das Verwaltungsverfahren für das Verhängen von Geldbußen gegen die Organe und Einrichtungen der Union sollte im Einklang mit den allgemeinen Grundsätzen des Unionsrechts in der Auslegung des Gerichtshofs erfolgen. |
(82) |
Betroffene Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, nach Unionsrecht oder nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Diese Einrichtungen, Organisationen oder Vereinigungen sollten ferner das Recht haben, einen gerichtlichen Rechtsbehelf im Namen der betroffenen Person einzulegen oder das Recht auf Schadenersatz im Namen der betroffenen Person in Anspruch zu nehmen. |
(83) |
Verstoßen Beamte oder sonstige Bedienstete der Union gegen die Verpflichtungen gemäß der vorliegenden Verordnung, so sollte dies für sie disziplinarische oder anderweitige Maßnahmen nach sich ziehen, die im Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (10) (im Folgenden „Statut“) festgelegt sind. |
(84) |
Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der vorliegenden Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (11) ausgeübt werden. Das Prüfverfahren sollte für die Festlegung von Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern, für die Annahme einer Liste der Verarbeitungsvorgänge, die eine vorherige Konsultation des Europäischen Datenschutzbeauftragten durch den Verantwortlichen für eine Verarbeitung personenbezogener Daten zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erfordert, und für die Festlegung von Standardvertragsklauseln, die geeignete Schutzmaßnahmen für internationale Datenübermittlungen vorsehen, angewendet werden. |
(85) |
Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates (12) enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken. |
(86) |
Die Verordnung Nr. 45/2001/EG und der Beschluss 1247/2002/EG des Europäischen Parlaments, des Rates und der Kommission (13) sollten aufgehoben werden. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss sollten als Bezugnahmen auf die vorliegende Verordnung gelten. |
(87) |
Um die uneingeschränkte Unabhängigkeit der Mitglieder der unabhängigen Aufsichtsbehörde zu gewährleisten, sollte die Amtszeit des derzeitigen Europäischen Datenschutzbeauftragten und des derzeitigen stellvertretenden Datenschutzbeauftragten von der vorliegenden Verordnung unberührt bleiben. Der derzeitige stellvertretende Datenschutzbeauftragte sollte sein Amt bis zum Ende seiner Amtszeit ausüben, es sei denn, eine der in der vorliegenden Verordnung vorgesehenen Bedingungen für ein vorzeitiges Ende der Amtszeit des Europäischen Datenschutzbeauftragten tritt ein. Die entsprechenden Bestimmungen der vorliegenden Verordnung sollten für den stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit gelten. |
(88) |
Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 EUV nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus. |
(89) |
Der Europäische Datenschutzbeauftragte wurde nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat seine Stellungnahme am 15. März 2017 (14) abgegeben — |
HABEN FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Ziele
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union sowie Vorschriften zum freien Verkehr personenbezogener Daten untereinander oder mit sonstigen Empfängern, die in der Union niedergelassen sind.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der Europäische Datenschutzbeauftragte überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Union.
Artikel 2
Anwendungsbereich
(1) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union.
(2) Nur Artikel 3 und Kapitel IX dieser Verordnung gelten für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen.
(3) Diese Verordnung gilt solange nicht für die Verarbeitung operativer personenbezogener Daten durch Europol und die Europäische Staatsanwaltschaft, bis die Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates (15) und die Verordnung (EU) 2017/1939 (16) des Rates im Einklang mit Artikel 98 der vorliegenden Verordnung angepasst sind.
(4) Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten durch Missionen gemäß Artikel 42 Absatz 1 sowie Artikel 43 und 44 EUV.
(5) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Artikel 3
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:
1. |
„personenbezogene Daten“ alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; |
2. |
„operative personenbezogene Daten“ alle personenbezogene Daten, die von Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, verarbeitet werden, um die in den Rechtsakten zur Gründung dieser Einrichtungen oder sonstigen Stellen festgelegten Ziele und Aufgaben zu erfüllen; |
3. |
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; |
4. |
„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; |
5. |
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; |
6. |
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; |
7. |
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; |
8. |
„Verantwortlicher“ das Organ oder die Einrichtung der Union oder die Generaldirektion oder sonstige Organisationseinheit, das beziehungsweise die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt; sind die Zwecke und Mittel dieser Verarbeitung durch einen besonderen Rechtsakt der Union bestimmt, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien für seine Benennung nach dem Unionsrecht vorgesehen werden; |
9. |
„Verantwortliche, die nicht Organe oder Einrichtungen der Union sind“ Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 sowie Verantwortliche im Sinne des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680; |
10. |
„Organe und Einrichtungen der Union“ die Organe, Einrichtungen und sonstigen Stellen der Union, die durch den EUV, den AEUV oder den Euratom-Vertrag oder auf deren Grundlage geschaffen wurden, |
11. |
„zuständige Behörde“ eine staatliche Stelle in einem Mitgliedstaat, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist; |
12. |
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; |
13. |
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; |
14. |
„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; |
15. |
„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; |
16. |
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; |
17. |
„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; |
18. |
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; |
19. |
„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; |
20. |
„Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (17); |
21. |
„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde; |
22. |
„nationale Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 der Verordnung (EU) 2016/679 oder gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle; |
23. |
„Nutzer“ jede natürliche Person, die ein Netz oder eine Endeinrichtung nutzt, das beziehungsweise die unter der Kontrolle eines Organs oder einer Einrichtung der Union betrieben wird; |
24. |
„Verzeichnis“ ein öffentlich zugängliches Nutzerverzeichnis oder ein internes Nutzerverzeichnis in gedruckter oder elektronischer Form, das innerhalb eines Organs oder einer Einrichtung der Union zugänglich ist oder das von Organen und Einrichtungen der Union gemeinsam genutzt wird; |
25. |
„elektronisches Kommunikationsnetz“ ein Übertragungssystem, das auf einer permanenten Infrastruktur oder einer zentralen Verwaltungskapazität beruhen kann, sowie gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen — einschließlich der nicht aktiven Netzbestandteile —, die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelte, einschließlich des Internets) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen; |
26. |
„Endeinrichtung“ eine Endeinrichtung im Sinne des Artikels 1 Nummer 1 der Richtlinie 2008/63/EG (18) der Kommission. |
KAPITEL II
ALLGEMEINE GRUNDSÄTZE
Artikel 4
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) |
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), |
b) |
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 13 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“), |
c) |
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“), |
d) |
sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“), |
e) |
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 13 verarbeitet werden („Speicherbegrenzung“), |
f) |
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). |
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 5
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn und soweit mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) |
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Organ oder der Einrichtung der Union übertragen wurde, |
b) |
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt, |
c) |
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen, |
d) |
die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben, |
e) |
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. |
(2) Die Rechtsgrundlage für eine Verarbeitung gemäß Absatz 1 Buchstaben a und b wird im Unionsrecht festgelegt.
Artikel 6
Verarbeitung zu einem anderen kompatiblen Zweck
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf Unionsrecht, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 25 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, kompatibel ist — unter anderem
a) |
jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, |
b) |
den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, |
c) |
die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 10 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 11 verarbeitet werden, |
d) |
die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, |
e) |
das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. |
Artikel 7
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Artikel 8
Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
(1) Gilt Artikel 5 Absatz 1 Buchstabe d bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das 13. Lebensjahr vollendet hat. Hat das Kind noch nicht das 13. Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.
(3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
Artikel 9
Übermittlungen personenbezogener Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind
(1) Unbeschadet der Artikel 4 bis 6 und 10 werden personenbezogene Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, nur übermittelt, wenn
a) |
der Empfänger nachweist, dass die Daten für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Empfänger übertragen wurde, oder |
b) |
wenn der Empfänger nachweist, dass die Übermittlung der Daten für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche in Fällen, in denen Gründe für die Annahme vorliegen, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten, nachweist, dass die Übermittlung der personenbezogenen Daten für diesen Zweck verhältnismäßig ist, nachdem er die unterschiedlichen widerstreitenden Interessen nachweislich gegeneinander abgewogen hat. |
(2) Veranlasst der Verantwortliche die Übermittlung nach diesem Artikel, so weist er anhand der Kriterien nach Absatz 1 Buchstabe a oder b nach, dass die Übermittlung personenbezogener Daten erforderlich und angemessen in Bezug auf den Übermittlungszweck ist.
(3) Die Organe und Einrichtungen der Union müssen das Recht auf Schutz personenbezogener Daten mit dem Recht auf Zugang zu Dokumenten nach dem Unionsrecht in Einklang bringen.
Artikel 10
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person sind untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) |
die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, |
b) |
die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, |
c) |
die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, |
d) |
die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Gewinnerzielungsabsicht, die in ein Organ oder eine Einrichtung der Union integriert ist, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder dieser Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, |
e) |
die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, |
f) |
die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen des Gerichtshofs im Rahmen seiner justiziellen Tätigkeit erforderlich, |
g) |
die Verarbeitung ist auf der Grundlage des Unionsrechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz achtet und angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, |
h) |
die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich, |
i) |
die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder |
j) |
die Verarbeitung ist auf der Grundlage des Unionsrechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich. |
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder von einer anderen Person, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
Artikel 11
Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 5 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.
Artikel 12
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, ausschließlich zum Zweck der Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.
(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 17 bis 22 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
Artikel 13
Garantien in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.
KAPITEL III
RECHTE DER BETROFFENEN PERSON
ABSCHNITT 1
Transparenz und Modalitäten
Artikel 14
Transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 15 und 16 und alle Mitteilungen gemäß den Artikeln 17 bis 24 und Artikel 35, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an ein Kind richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) Der Verantwortliche ermöglicht der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 17 bis 24. In den in Artikel 12 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte nach den Artikeln 17 bis 24 tätig zu werden, wenn er nachweist, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 17 bis 24 getroffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen nach Möglichkeit in elektronischer Form zu übermitteln, sofern die betroffene Person nichts anderes angibt.
(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten und einen gerichtlichen Rechtsbehelf einzulegen.
(5) Informationen gemäß den Artikeln 15 und 16 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 17 bis 24 und Artikel 35 werden unentgeltlich zur Verfügung gestellt. Bei offensichtlich unbegründeten oder — insbesondere im Fall von häufiger Wiederholung -exzessiven Anträgen einer betroffenen Person kann sich der Verantwortliche weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offensichtlich unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 17 bis 23 stellt, so kann er unbeschadet des Artikels 12 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 15 und 16 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so müssen sie maschinenlesbar sein.
(8) Erlässt die Kommission nach Artikel 12 Absatz 8 der Verordnung (EU) 2016/679 delegierte Rechtsakte, in denen sie die durch Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung standardisierter Bildsymbole festlegt, so stellen die Organe und Einrichtungen der Union gegebenenfalls die Informationen gemäß den Artikeln 15 und 16 der vorliegenden Verordnung in Kombination mit diesen standardisierten Bildsymbolen bereit.
ABSCHNITT 2
Informationspflicht und Recht auf Auskunft über personenbezogene Daten
Artikel 15
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten sämtliche folgenden Informationen mit:
a) |
den Namen und die Kontaktdaten des Verantwortlichen, |
b) |
die Kontaktdaten des Datenschutzbeauftragten, |
c) |
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, |
d) |
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, |
e) |
gegebenenfalls die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder — im Falle von Übermittlungen nach Artikel 48 — einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind. |
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten die folgenden weiteren Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) |
die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, |
b) |
das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung in Bezug auf die betroffene Person, oder gegebenenfalls eines Widerspruchrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit, |
c) |
wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, |
d) |
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten, |
e) |
ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte, |
f) |
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. |
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Absatz 2 zur Verfügung.
(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.
Artikel 16
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
(1) Wurden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person folgende Informationen mit:
a) |
den Namen und die Kontaktdaten des Verantwortlichen, |
b) |
die Kontaktdaten des Datenschutzbeauftragten, |
c) |
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, |
d) |
die Kategorien personenbezogener Daten, die verarbeitet werden, |
e) |
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, |
f) |
gegebenenfalls die Absicht des Verantwortlichen, die personenbezogene Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 48 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind. |
(2) Zusätzlich zu den Informationen nach Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden weiteren Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a) |
die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, |
b) |
das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung in Bezug auf die betroffene Person, oder gegebenenfalls eines Widerspruchrechts gegen die sowie des Rechts auf Datenübertragbarkeit, |
c) |
wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird, |
d) |
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten, |
e) |
aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen, |
f) |
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. |
(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2:
a) |
unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, |
b) |
falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie oder |
c) |
falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten. |
(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
a) |
die betroffene Person bereits über die Informationen verfügt, |
b) |
die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder soweit die Verpflichtung gemäß Absatz 1 voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, |
c) |
die Erlangung oder Offenlegung durch Unionsrecht, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder |
d) |
die personenbezogenen Daten gemäß dem Unionsrecht dem Berufsgeheimnis, einschließlich einer gesetzlichen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen. |
(6) In den in Absatz 5 Buchstabe b genannten Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person, etwa indem der die Informationen öffentlich zugänglich macht.
Artikel 17
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über die personenbezogenen Daten und auf folgende Informationen:
a) |
die Verarbeitungszwecke, |
b) |
die Kategorien personenbezogener Daten, die verarbeitet werden, |
c) |
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen, |
d) |
falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, |
e) |
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; n, |
f) |
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten |
g) |
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten, |
h) |
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. |
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Schutzmaßnahmen gemäß Artikel 48 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
ABSCHNITT 3
Berichtigung und Löschung
Artikel 18
Recht auf Berichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
Artikel 19
Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) |
die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, |
b) |
die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung nach Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung, |
c) |
die betroffene Person legt gemäß Artikel 23 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, |
d) |
die personenbezogenen Daten wurden unrechtmäßig verarbeitet, |
e) |
die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt, |
f) |
die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. |
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technik und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um die Verantwortlichen oder die Verantwortlichen, die nicht Organe und Einrichtungen der Union sind, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) |
zur Ausübung des Rechts auf freie Meinungsäußerung und Information, |
b) |
zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, |
c) |
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 10 Absatz 2 Buchstaben h und i sowie Absatz 3, |
d) |
für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder |
e) |
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. |
Artikel 20
Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, bei dem Verantwortlichen eine Einschränkung der Verarbeitung zu erwirken, wenn eine der folgenden Voraussetzungen gegeben ist:
a) |
die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit einschließlich der Vollständigkeit der personenbezogenen Daten zu überprüfen, |
b) |
die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten, |
c) |
der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, |
d) |
die betroffene Person hat Widerspruch gegen die Verarbeitung nach Artikel 23 Absatz 1 eingelegt und es ist noch nicht geklärt, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. |
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
(4) In automatisierten Dateisystemen erfolgt die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel. Die Tatsache, dass personenbezogene Daten eingeschränkt sind, wird in dem System auf eine Weise angegeben, die deutlich macht, dass die personenbezogenen Daten nicht genutzt werden dürfen.
Artikel 21
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 18, Artikel 19 Absatz 1 und Artikel 20 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Artikel 22
Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
a) |
die Verarbeitung auf einer Einwilligung gemäß Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 5 Absatz 1 Buchstabe c beruht und |
b) |
die Verarbeitung mittels automatisierter Verfahren erfolgt. |
(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit nach Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen, oder Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, übermittelt werden, soweit dies technisch machbar ist.
(3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 19 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
(4) Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
ABSCHNITT 4
Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Artikel 23
Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 5 Absatz 1 Buchstabe a erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Recht nach Absatz 1 hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
(3) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person unbeschadet der Artikel 36 und 37 ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
(4) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Artikel 24
Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) |
für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, |
b) |
aufgrund von Unionsrecht zulässig ist, das auch angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthält, oder |
c) |
mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. |
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 des vorliegenden Artikels dürfen nicht auf besonderen Kategorien personenbezogener Daten gemäß Artikel 10 Absatz 1 beruhen, sofern nicht Artikel 10 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
ABSCHNITT 5
Beschränkungen
Artikel 25
Beschränkungen
(1) Die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, kann durch auf der Grundlage der Verträge erlassene Rechtsakte beziehungsweise in Angelegenheiten, die die Tätigkeit der Organe und Einrichtungen der Union betreffen, durch von diesen festgelegte interne Vorschriften beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) |
die nationale Sicherheit, die öffentliche Sicherheit oder die Landesverteidigung der Mitgliedstaaten, |
b) |
die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, |
c) |
sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit, |
d) |
die innere Sicherheit der Organe und Einrichtungen der Union einschließlich ihrer elektronischen Kommunikationsnetze, |
e) |
der Schutz der Unabhängigkeit der Justiz und der Schutz von Gerichtsverfahren, |
f) |
die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe, |
g) |
Kontroll-, Überwachungs-, und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a bis c genannten Fällen verbunden sind, |
h) |
der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen, |
i) |
die Durchsetzung zivilrechtlicher Ansprüche. |
(2) Jeder Rechtsakt bzw. jede interne Vorschrift gemäß Absatz 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten in Bezug auf:
a) |
die Zwecke der Verarbeitung oder die Verarbeitungskategorien; |
b) |
die Kategorien personenbezogener Daten; |
c) |
den Umfang der vorgenommenen Beschränkungen; |
d) |
die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung; |
e) |
die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen; |
f) |
die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien und |
g) |
die Risiken für die Rechte und Freiheiten der betroffenen Personen. |
(3) In Bezug auf die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken kann Unionsrecht, einschließlich interner Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, vorbehaltlich der in Artikel 13 genannten Bedingungen und Garantien insoweit Ausnahmeregelungen von den in den Artikeln 17, 18, 20 und 23 genannten Rechten vorsehen, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmeregelungen für die Erfüllung dieser Zwecke notwendig sind.
(4) In Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivierungszwecke kann Unionsrecht, einschließlich interner Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, vorbehaltlich der in Artikel 13 genannten Bedingungen und Garantien insoweit Ausnahmeregelungen von den in den Artikeln 17, 18, 20, 21, 22 und 23 genannten Rechten vorsehen, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmeregelungen für die Erfüllung dieser Zwecke notwendig sind.
(5) Die in den Absätzen 1, 3 und 4 genannten internen Vorschriften müssen klar und präzise formulierte Rechtsakte mit allgemeiner Geltung und mit Rechtswirkung gegenüber den betroffenen Personen sein, auf der höchsten Verwaltungsebene der Organe und Einrichtungen der Union erlassen und im Amtsblatt der Europäischen Union veröffentlicht werden.
(6) Findet eine Beschränkung gemäß Absatz 1 Anwendung, ist die betroffene Person gemäß dem Unionsrecht über die wesentlichen Gründe für diese Beschränkung und über ihr Beschwerderecht beim Europäischen Datenschutzbeauftragten zu unterrichten.
(7) Wird eine Beschränkung gemäß Absatz 1 angewandt, um der betroffenen Person die Auskunft zu verweigern, so teilt der Europäische Datenschutzbeauftragte bei der Prüfung der Beschwerde der betroffenen Person nur mit, ob die Daten ordnungsgemäß verarbeitet wurden und, falls dies nicht der Fall ist, ob notwendige Korrekturen vorgenommen wurden.
(8) Die Unterrichtung nach den Absätzen 6 und 7 des vorliegenden Artikels sowie in Artikel 45 Absatz 2 kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Absatz 1 des vorliegenden Artikels angewendeten Beschränkung zunichtemachen würde.
KAPITEL IV
VERANTWORTLICHER UND AUFTRAGSVERARBEITER
ABSCHNITT 1
Allgemeine Pflichten
Artikel 26
Verantwortung des Verantwortlichen
(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
(3) Die Einhaltung genehmigter Zertifizierungsverfahren gemäß Artikel 42 der Verordnung (EU) 2016/679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.
Artikel 27
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, zum Beispiel Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze, wie etwa Datenminimierung, wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 der Verordnung (EU) 2016/679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.
Artikel 28
Gemeinsam Verantwortliche
(1) Legen zwei oder mehr Verantwortliche oder ein oder mehrere Verantwortliche zusammen mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung für die Einhaltung ihrer Datenschutzpflichten hat, insbesondere was die Wahrnehmung der Rechte der betroffenen Person und ihre jeweiligen Informationspflichten nach den Artikeln 15 und 16 angeht, sofern und soweit die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die gemeinsam Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für betroffene Personen angegeben werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Artikel 29
Auftragsverarbeiter
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Falle einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) |
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation — sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet, |
b) |
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, |
c) |
alle gemäß Artikel 33 erforderlichen Maßnahmen ergreift, |
d) |
die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält, |
e) |
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen, |
f) |
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 33 bis 41 genannten Pflichten unterstützt, |
g) |
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht, |
h) |
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. |
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin in vollem Umfang für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
(5) Wenn es sich bei einem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt, kann die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 Absatz 5 der Verordnung (EU) 2016/679 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 der Verordnung (EU) 2016/679 herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
(6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer Zertifizierung sind, die einem Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, gemäß Artikel 42 der Verordnung (EU) 2016/679 erteilt wurde.
(7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 96 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
(8) Der Europäische Datenschutzbeauftragte kann Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 genannten Angelegenheiten festlegen.
(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
(10) Unbeschadet der Artikel 65 und 66 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
Artikel 30
Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Artikel 31
Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) |
den Namen und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten und gegebenenfalls des Auftragsverarbeiters und des gemeinsam mit ihm Verantwortlichen, |
b) |
die Zwecke der Verarbeitung, |
c) |
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, |
d) |
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Mitgliedstaaten, Drittländern oder internationalen Organisationen, |
e) |
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien, |
f) |
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, |
g) |
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33. |
(2) Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
a) |
den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie des Datenschutzbeauftragten, |
b) |
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden, |
c) |
gegebenenfalls Übermittlungen von personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien, |
d) |
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33. |
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Die Organe und Einrichtungen der Union stellen das Verzeichnis auf Anfrage dem Europäischen Datenschutzbeauftragten zur Verfügung.
(5) Die Organe und Einrichtungen der Union führen ihre Verzeichnisse der Verarbeitungen in einem zentralen Register, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Sie machen das Register öffentlich zugänglich.
Artikel 32
Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten
Die Organe und Einrichtungen der Union arbeiten auf Anfrage mit dem Europäischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zusammen.
ABSCHNITT 2
Sicherheit personenbezogener Daten
Artikel 33
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) |
die Pseudonymisierung und Verschlüsselung personenbezogener Daten, |
b) |
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, |
c) |
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, |
d) |
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. |
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht zur Verarbeitung verpflichtet.
(4) Die Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 der Verordnung (EU) 2016/679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in Absatz 1 genannten Anforderungen nachzuweisen.
Artikel 34
Meldung von Verletzungen des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese dem Europäischen Datenschutzbeauftragten, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung beim Europäischen Datenschutzbeauftragten nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:
a) |
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze, |
b) |
den Namen und die Kontaktdaten des Datenschutzbeauftragten, |
c) |
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, |
d) |
eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. |
(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
(5) Der Verantwortliche unterrichtet den Datenschutzbeauftragten über die Verletzung des Schutzes personenbezogener Daten.
(6) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss dem Europäischen Datenschutzbeauftragten die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
Artikel 35
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 des vorliegenden Artikels genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 34 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) |
der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung, |
b) |
der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht, |
c) |
dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. |
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Europäische Datenschutzbeauftragte unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder er kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
ABSCHNITT 3
Vertraulichkeit der elektronischen Kommunikation
Artikel 36
Vertraulichkeit der elektronischen Kommunikation
Die Organe und Einrichtungen der Union gewährleisten die Vertraulichkeit der elektronischen Kommunikation, insbesondere durch Sicherung ihrer elektronischen Kommunikationsnetze.
Artikel 37
Schutz von Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden
Die Organe und Einrichtungen der Union schützen die Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden, beim Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen im Einklang mit Artikel 5 Absatz 3 der Richtlinie 2002/58/EG.
Artikel 38
Nutzerverzeichnisse
(1) Personenbezogene Daten in Nutzerverzeichnissen und der Zugang zu solchen Verzeichnissen sind auf das für die besonderen Zwecke des Nutzerverzeichnisses unbedingt erforderliche Maß zu beschränken.
(2) Die Organe und Einrichtungen der Union treffen die erforderlichen Maßnahmen, um zu verhindern, dass die in diesen Verzeichnissen enthaltenen personenbezogenen Daten, unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke des Direktmarketings verwendet werden.
ABSCHNITT 4
Datenschutz-Folgenabschätzung und vorherige Konsultation
Artikel 39
Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.
(3) Eine Datenschutz-Folgenabschätzung nach Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a) |
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen, |
b) |
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 10 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 11 oder |
c) |
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. |
(4) Der Europäische Datenschutzbeauftragte erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.
(5) Der Europäische Datenschutzbeauftragte kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.
(6) Vor Festlegung der in den Absätzen 4 und 5 des vorliegenden Artikels genannten Listen fordert der Europäische Datenschutzbeauftragte den durch Artikel 68 der Verordnung (EU) 2016/679 eingerichteten Europäischen Datenschutzausschuss auf, diese Listen gemäß Artikel 70 Absatz 1 Buchstabe e der genannten Verordnung zu prüfen, wenn sie sich auf Verarbeitungsvorgänge eines Verantwortlichen beziehen, der gemeinsam mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, tätig ist.
(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) |
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, |
b) |
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke, |
c) |
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und |
d) |
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. |
(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 der Verordnung (EU) 2016/679 durch die zuständigen Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
(10) Falls die Verarbeitung gemäß Artikel 5 Absatz 1 Buchstabe a oder b auf einem auf der Grundlage der Verträge erlassenen Rechtsakt beruht, in dem der konkrete Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge geregelt sind, und bereits im Rahmen der allgemeinen Folgenabschätzung vor Erlass dieses Rechtsakts eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 6 des vorliegenden Artikels nicht, sofern in dem genannten Rechtsakt nichts anderes bestimmt ist.
(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
Artikel 40
Vorherige Konsultation
(1) Der Verantwortliche konsultiert vor der Verarbeitung den Europäischen Datenschutzbeauftragten, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 39 hervorgeht, dass die Verarbeitung ohne Garantien, Sicherheitsvorkehrungen und Verfahren zur Risikominderung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte, und das Risiko nach Auffassung des Verantwortlichen nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel gemindert werden kann. Der Verantwortliche holt den Rat des Datenschutzbeauftragten zur Notwendigkeit einer vorherigen Konsultation ein.
(2) Falls der Europäische Datenschutzbeauftragte der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet der Europäische Datenschutzbeauftragte dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann seine in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der beabsichtigten Verarbeitung um sechs Wochen verlängert werden. Der Europäische Datenschutzbeauftragte unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Ersuchens um Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis der Europäische Datenschutzbeauftragte die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
(3) Der Verantwortliche stellt dem Europäischen Datenschutzbeauftragten bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
a) |
gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, |
b) |
die Zwecke und die Mittel der beabsichtigten Verarbeitung, |
c) |
die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien, |
d) |
die Kontaktdaten des Datenschutzbeauftragten, |
e) |
die Datenschutz-Folgenabschätzung gemäß Artikel 39 und |
f) |
alle sonstigen vom Europäischen Datenschutzbeauftragten angeforderten Informationen. |
(4) Die Kommission kann im Wege eines Durchführungsrechtsakts eine Liste der Fälle festlegen, in denen die Verantwortlichen den Europäischen Datenschutzbeauftragten zu einer Verarbeitung zur Erfüllung einer vom Verantwortlichen im öffentlichen Interesse wahrgenommenen Aufgabe, unter anderem zur Verarbeitung personenbezogener Daten zu Zwecken des Sozialschutzes und der öffentlichen Gesundheit, konsultieren und seine vorherige Genehmigung einholen müssen.
ABSCHNITT 5
Unterrichtung und legislative Konsultation
Artikel 41
Unterrichtung und Konsultation
(1) Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Union allein oder gemeinsam mit anderen beteiligt ist.
(2) Die Organe und Einrichtungen der Union konsultieren den Europäischen Datenschutzbeauftragten bei der Ausarbeitung der internen Vorschriften gemäß Artikel 25.
Artikel 42
Legislative Konsultation
(1) Nach der Annahme von Vorschlägen für einen Gesetzgebungsakt, für Empfehlungen oder Vorschläge an den Rat nach Artikel 218 AEUV sowie bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten, die Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten haben, konsultiert die Kommission den Europäischen Datenschutzbeauftragten.
(2) Ist ein Rechtsakt gemäß Absatz 1 für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. In diesen Fällen koordinieren der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss ihre Arbeit im Hinblick auf eine gemeinsame Stellungnahme.
(3) Der nach den Absätzen 1 und 2 eingeholte Rat wird innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation nach den Absätzen 1 und 2 schriftlich erteilt. In dringenden Fällen oder wenn dies sonst geboten ist, kann die Kommission die Frist verkürzen.
(4) Dieser Artikel gilt nicht, wenn die Kommission nach der Verordnung (EU) 2016/679 verpflichtet ist, den Europäischen Datenschutzausschuss zu konsultieren.
ABSCHNITT 6
Datenschutzbeauftragter
Artikel 43
Benennung eines Datenschutzbeauftragten
(1) Jedes Organ und jede Einrichtung der Union benennt einen Datenschutzbeauftragten.
(2) Die Organe und Einrichtungen der Union können für mehrere Organe oder Einrichtungen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen.
(3) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 45 genannten Aufgaben.
(4) Der Datenschutzbeauftragte muss Bediensteter des Organs oder der Einrichtung der Union sein. Die Organe und Einrichtungen der Union können, wenn von der Möglichkeit nach Absatz 2 nicht Gebrauch gemacht wird, unter Berücksichtigung ihrer Größe einen Datenschutzbeauftragten benennen, der seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllt.
(5) Die Organe und Einrichtungen der Union veröffentlichen die Kontaktdaten des Datenschutzbeauftragten und teilen sie dem Europäischen Datenschutzbeauftragten mit.
Artikel 44
Stellung des Datenschutzbeauftragten
(1) Die Organe und Einrichtungen der Union stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
(2) Die Organe und Einrichtungen der Union unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 45, indem sie die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
(3) Die Organe und Einrichtungen der Union stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung dieser Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
(5) Der Datenschutzbeauftragte und sein Personal sind nach Unionsrecht bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(7) Der Verantwortliche und der Auftragsverarbeiter, der betreffende Personalausschuss sowie jede natürliche Person können den Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung dieser Verordnung zu Rate ziehen, ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er dem zuständigen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht und einen mutmaßlichen Verstoß gegen diese Verordnung dargelegt hat.
(8) Der Datenschutzbeauftragte wird für eine Amtszeit von drei bis fünf Jahren benannt und kann wiederernannt werden. Der Datenschutzbeauftragte kann von dem Organ oder der Einrichtung der Union, das beziehungsweise die ihn benannt hat, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt und nur mit Zustimmung des Europäischen Datenschutzbeauftragten seines Amtes enthoben werden.
(9) Nach seiner Benennung wird der Datenschutzbeauftragte durch das Organ oder die Einrichtung der Union, das beziehungsweise die ihn benannt hat, beim Europäischen Datenschutzbeauftragten eingetragen.
Artikel 45
Aufgaben des Datenschutzbeauftragten
(1) Dem Datenschutzbeauftragten obliegen folgende Aufgaben:
a) |
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzbestimmungen der Union, |
b) |
Gewährleistung der internen Anwendung dieser Verordnung auf unabhängige Weise; Überwachung der Einhaltung dieser Verordnung, anderer geltender Vorschriften des Unionsrechts, die Datenschutzbestimmungen enthalten, sowie von Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen, |
c) |
Sicherstellung der Unterrichtung betroffener Personen über ihre Rechte und Pflichten nach dieser Verordnung, |
d) |
Beratung — auf Anfrage — im Zusammenhang mit der Notwendigkeit einer Meldung oder Benachrichtigung nach den Artikeln 34 und 35 im Falle einer Verletzung des Schutzes personenbezogener Daten, |
e) |
Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 39 und Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer Datenschutz-Folgenabschätzung bestehen, |
f) |
Beratung — auf Anfrage — im Zusammenhang mit der Notwendigkeit einer vorherigen Konsultation des Europäischen Datenschutzbeauftragten nach Artikel 40; Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer vorherigen Konsultation bestehen, |
g) |
Beantwortung von Anfragen des Europäischen Datenschutzbeauftragten; Zusammenarbeit und Abstimmung im Rahmen seiner Zuständigkeiten mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder von sich aus; |
h) |
Sicherstellung, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen nicht beeinträchtigt werden. |
(2) Der Datenschutzbeauftragte kann an den Verantwortlichen und an den Auftragsverarbeiter Empfehlungen für die praktische Verbesserung des Datenschutzes richten und diese in Fragen der Anwendung der Datenschutzbestimmungen beraten. Darüber hinaus kann er von sich aus oder auf Ersuchen des Verantwortlichen oder des Auftragsverarbeiters, des zuständigen Personalausschusses oder jeder natürlichen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gelangen, prüfen und der Person, die ihn mit der Prüfung beauftragte, oder dem Verantwortlichen oder dem Auftragsverarbeiter Bericht erstatten.
(3) Jedes Organ und die Einrichtung der Union erlässt weitere den Datenschutzbeauftragten betreffende Durchführungsvorschriften. Diese Durchführungsvorschriften betreffen insbesondere die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten.
KAPITEL V
ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN
Artikel 46
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlungen personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Artikel 47
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet, und wenn die personenbezogenen Daten ausschließlich übermittelt werden, um die Erfüllung von Aufgaben zu ermöglichen, die in die Zuständigkeit des Verantwortlichen fallen.
(2) Die Organe und Einrichtungen der Union unterrichten die Kommission und den Europäischen Datenschutzbeauftragten über die Fälle, in denen ein Drittland, ein Gebiet oder ein oder mehrere Sektoren in einem Drittland oder eine betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne des Absatzes 1 gewährleistet.
(3) Die Kommission stellt gemäß Artikel 45 Absätze 3 oder 5 der Verordnung (EU) 2016/679 oder gemäß Artikel 36 Absatz 3 oder Absatz 5 der Richtlinie (EU) 2016/680 fest, ob ein Drittland, ein Gebiet oder ein oder mehrere Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau gewährleistet oder nicht, und die Organe und Einrichtungen der Union treffen die erforderlichen Maßnahmen, um den Beschlüssen der Kommission nachzukommen.
Artikel 48
Datenübermittlung vorbehaltlich geeigneter Garantien
(1) Falls kein Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung des Europäischen Datenschutzbeauftragten erforderlich wäre, bestehen in:
a) |
einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen, |
b) |
Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 96 Absatz 2 erlassen werden, |
c) |
vom Europäischen Datenschutzbeauftragten angenommenen Standardschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 96 Absatz 2 genehmigt wurden, |
d) |
wenn es sich bei dem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt, verbindliche interne Datenschutzvorschriften, Verhaltensregeln oder Zertifizierungsmechanismen gemäß Artikel 46 Absatz 2 Buchstaben b, e und f der Verordnung (EU) 2016/679. |
(3) Vorbehaltlich der Genehmigung durch den Europäischen Datenschutzbeauftragten können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in:
a) |
Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder |
b) |
Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen. |
(4) Vom Europäischen Datenschutzbeauftragten auf der Grundlage von Artikels 9 Absatz 7 der Verordnung (EG) Nr. 45/2001 erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls vom Europäischen Datenschutzbeauftragten geändert, ersetzt oder aufgehoben werden.
(5) Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen dieser Artikel angewandt wurde.
Artikel 49
Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.
Artikel 50
Ausnahmen für bestimmte Fälle
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vorliegt noch geeignete Garantien nach Artikel 48 der vorliegenden Verordnung bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) |
die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, |
b) |
die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich, |
c) |
die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich, |
d) |
die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich, |
e) |
die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, |
f) |
die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, oder |
g) |
die Übermittlung erfolgt aus einem Register, das gemäß Unionsrecht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Unionsrecht festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. |
(2) Absatz 1 Buchstaben a, b und c gilt nicht für Tätigkeiten, die Organe und Einrichtungen der Union in Ausübung ihrer hoheitlichen Befugnisse durchführen.
(3) Das öffentliche Interesse im Sinne des Absatzes 1 Buchstabe d muss im Unionsrecht anerkannt sein.
(4) Datenübermittlungen gemäß Absatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen, es sei denn, dies ist nach Unionsrecht zulässig. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.
(5) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogen Daten an Drittländer oder internationale Organisationen vorgesehen werden.
(6) Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen dieser Artikel angewandt wurde.
Artikel 51
Internationale Zusammenarbeit zum Schutz personenbezogener Daten
In Bezug auf Drittländer und internationale Organisationen trifft der Europäische Datenschutzbeauftragte in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss geeignete Maßnahmen zur
a) |
Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird, |
b) |
gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen, |
c) |
Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen, |
d) |
Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern. |
KAPITEL VI
EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER
Artikel 52
Europäischer Datenschutzbeauftragter
(1) Es wird das Amt des Europäischen Datenschutzbeauftragten geschaffen.
(2) Im Hinblick auf die Verarbeitung personenbezogener Daten hat der Europäische Datenschutzbeauftragte sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Datenschutz, von den Organen und Einrichtungen der Union geachtet werden.
(3) Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung und Durchsetzung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Union zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Union sowie für die Beratung der Organe und Einrichtungen der Union und der betroffenen Personen in allen Fragen der Verarbeitung personenbezogener Daten. Zu diesem Zweck erfüllt der Europäische Datenschutzbeauftragte die Aufgaben nach Artikel 57 und übt die Befugnisse nach Artikel 58 aus.
(4) Für Dokumente, die sich im Besitz des Europäischen Datenschutzbeauftragten befinden, gilt die Verordnung (EG) Nr. 1049/2001. Der Europäische Datenschutzbeauftragte erlässt detaillierte Vorschriften für die Anwendung der Verordnung (EG) Nr. 1049/2001 in Bezug auf diese Dokumente.
Artikel 53
Ernennung des Europäischen Datenschutzbeauftragten
(1) Das Europäische Parlament und der Rat ernennen den Europäischen Datenschutzbeauftragten im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren, auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Bewerbung aufgestellten Liste. Aufgrund dieser Aufforderung zur Bewerbung können alle Interessenten in der gesamten Union ihre Bewerbung einreichen. Die von der Kommission aufgestellte Liste der Bewerber ist öffentlich und umfasst mindestens drei Bewerber. Der zuständige Ausschuss des Europäischen Parlaments kann auf der Grundlage der von der Kommission aufgestellten Liste beschließen, eine Anhörung abzuhalten, um eine Präferenz kundtun zu können.
(2) Die in Absatz 1 genannte Liste der Bewerber muss sich aus Personen zusammensetzen, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über das für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Fachwissen auf dem Gebiet des Datenschutzes und die diesbezügliche Erfahrung und Sachkunde verfügen.
(3) Die Amtszeit des Europäischen Datenschutzbeauftragten kann einmal verlängert werden.
(4) Die Aufgaben des Europäischen Datenschutzbeauftragten enden,
a) |
wenn das Amt des Europäischen Datenschutzbeauftragten neu besetzt wird, |
b) |
wenn der Europäische Datenschutzbeauftragte sein Amt niederlegt, |
c) |
wenn der Europäische Datenschutzbeauftragte seines Amtes enthoben oder verpflichtend in den Ruhestand versetzt wird. |
(5) Der Europäischen Datenschutzbeauftragten kann auf Antrag des Europäischen Parlaments, des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.
(6) Im Falle einer regulären Neubestellung oder eines freiwilligen Rücktritts bleibt der Europäische Datenschutzbeauftragte dennoch bis zur Neubesetzung im Amt.
(7) Die Artikel 11 bis 14 sowie Artikel 17 des Protokolls über die Vorrechte und Befreiungen der Europäischen Union finden auch auf den Europäischen Datenschutzbeauftragten Anwendung.
Artikel 54
Regelungen und allgemeine Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und finanzielle Mittel
(1) Der Europäische Datenschutzbeauftragte ist hinsichtlich seiner Dienstbezüge, seiner Zulagen, seines Ruhegehalts und sonstiger anstelle von Dienstbezügen gewährten Vergütungen einem Richter am Gerichtshof gleichgestellt.
(2) Die Haushaltsbehörde gewährleistet, dass der Europäische Datenschutzbeauftragte mit dem für die Erfüllung seiner Aufgaben erforderlichen Personal und den erforderlichen finanziellen Mitteln ausgestattet wird.
(3) Der Haushalt des Europäischen Datenschutzbeauftragten wird in einer eigenen Haushaltslinie im Abschnitt zu den Verwaltungsausgaben des Gesamthaushaltplans der Union ausgewiesen.
(4) Der Europäische Datenschutzbeauftragte wird von einer Geschäftsstelle unterstützt. Die Beamten und sonstigen Bediensteten dieser Geschäftsstelle werden vom Europäischen Datenschutzbeauftragten eingestellt und ihr Vorgesetzter ist der Europäische Datenschutzbeauftragte. Sie unterstehen ausschließlich seiner Leitung. Ihre Zahl wird jährlich im Rahmen des Haushaltsverfahrens festgelegt. Auf Mitarbeiter des Europäischen Datenschutzbeauftragten, die an der Ausführung von Aufgaben beteiligt sind, die gemäß dem Unionsrecht dem Datenschutzausschuss übertragen wurden, findet Artikel 75 Absatz 2 der Verordnung (EU) 2016/679 Anwendung.
(5) Die Beamten und sonstigen Bediensteten der Geschäftsstelle des Europäischen Datenschutzbeauftragten unterliegen den Vorschriften und Regelungen für die Beamten und sonstigen Bediensteten der Union.
(6) Der Europäische Datenschutzbeauftragte hat seinen Sitz in Brüssel.
Artikel 55
Unabhängigkeit
(1) Der Europäische Datenschutzbeauftragte handelt bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse gemäß dieser Verordnung völlig unabhängig.
(2) Der Europäische Datenschutzbeauftragte unterliegt bei der Erfüllung seiner Aufgaben und der Ausübung seiner Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersucht weder um Weisungen noch nimmt er Weisungen entgegen.
(3) Der Europäische Datenschutzbeauftragte sieht von allen mit den Aufgaben seines Amtes nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere mit seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.
(4) Nach Ablauf seiner Amtszeit ist der Europäische Datenschutzbeauftragte verpflichtet, im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend zu handeln.
Artikel 56
Verschwiegenheitspflicht
Der Europäische Datenschutzbeauftragte und sein Personal sind während ihrer Amtszeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.
Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss der Europäische Datenschutzbeauftragte
a) |
die Anwendung dieser Verordnung durch die Organe und Einrichtungen der Union überwachen und durchsetzen, mit Ausnahme der Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit, |
b) |
die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder, |
c) |
die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren, |
d) |
auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte nach dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den nationalen Aufsichtsbehörden zusammenarbeiten, |
e) |
sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 67 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder eine Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, |
f) |
Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde, |
g) |
von sich aus oder auf Anfrage alle Organe und Einrichtungen der Union bei legislativen und administrativen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beraten, |
h) |
maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie, |
i) |
Standardvertragsklauseln im Sinne des Artikels 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festlegen, |
j) |
eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 39 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist, |
k) |
an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen, |
l) |
nach Artikel 75 der Verordnung (EU) 2016/679 die Geschäftsstelle für den Europäischen Datenschutzausschuss bereitstellen, |
m) |
Beratung in Bezug auf die in Artikel 40 Absatz 2 genannten Verarbeitungsvorgänge leisten, |
n) |
Vertragsklauseln und Bestimmungen im Sinne des Artikels 48 Absatz 3 genehmigen, |
o) |
interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen führen, |
p) |
jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen; und |
q) |
sich eine Geschäftsordnung geben. |
(2) Der Europäische Datenschutzbeauftragte erleichtert das Einreichen von in Absatz 1 Buchstabe e genannten Beschwerden mittels eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
(3) Die Erfüllung der Aufgaben des Europäischen Datenschutzbeauftragten ist für die betroffene Person unentgeltlich.
(4) Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann sich der Europäische Datenschutzbeauftragte weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt der Europäische Datenschutzbeauftragte die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
Artikel 58
Befugnisse
(1) Der Europäische Datenschutzbeauftragte verfügt über folgende Untersuchungsbefugnisse
a) |
den Verantwortlichen und den Auftragsverarbeiter anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung seiner Aufgaben erforderlich sind, |
b) |
Untersuchungen in Form von Datenschutzprüfungen durchzuführen, |
c) |
den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, |
d) |
von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung seiner Aufgaben notwendig sind, zu erhalten, |
e) |
gemäß dem Unionsrecht Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. |
(2) Der Europäische Datenschutzbeauftragte verfügt über folgende Abhilfebefugnisse
a) |
einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass die beabsichtigten Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, |
b) |
einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat, |
c) |
den betroffenen Verantwortlichen oder Auftragsverarbeiter und erforderlichenfalls das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit zu befassen, |
d) |
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, |
e) |
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, |
f) |
den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen, |
g) |
eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, |
h) |
die Berichtigung oder Löschung von personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 18, 19 und 20 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 19 Absatz 2 und Artikel 21 offengelegt wurden, über solche Maßnahmen anzuordnen, |
i) |
bei Nichtbefolgung einer der unter den Buchstaben d bis h und j dieses Absatzes genannten Maßnahmen durch ein Organ oder eine Einrichtung der Union je nach den Umständen des Einzelfalls eine Geldbuße gemäß Artikel 66 zu verhängen, |
j) |
die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Mitgliedstaat, einem Drittland oder an eine internationale Organisation anzuordnen. |
(3) Der Europäische Datenschutzbeauftragte verfügt über folgende Genehmigungsbefugnisse und beratenden Befugnisse
a) |
betroffene Personen bei der Ausübung ihrer Rechte zu beraten, |
b) |
gemäß dem Verfahren der vorherigen Konsultation nach Artikel 40 und gemäß Artikel 41 Absatz 2 den Verantwortlichen zu beraten, |
c) |
zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an die Organe und Einrichtungen der Union sowie an die Öffentlichkeit zu richten, |
d) |
Standarddatenschutzklauseln nach Artikel 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festzulegen, |
e) |
Vertragsklauseln gemäß Artikel 48 Absatz 3 Buchstabe a zu genehmigen, |
f) |
Verwaltungsvereinbarungen gemäß Artikel 48 Absatz 3 Buchstabe b zu genehmigen, |
g) |
Verarbeitungsvorgänge auf der Grundlage von gemäß Artikel 40 Absatz 4 erlassenen Durchführungsrechtsakten zu genehmigen. |
(4) Der Europäische Datenschutzbeauftragte ist befugt, unter den in den Verträgen vorgesehenen Voraussetzungen den Gerichtshof anzurufen und beim Gerichtshof anhängigen Verfahren beizutreten.
(5) Die Ausübung der dem Europäischen Datenschutzbeauftragten mit diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien nach Unionsrecht, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren.
Artikel 59
Pflicht der Verantwortlichen oder Auftragsverarbeiter zur Stellungnahme zu mutmaßlichen Verstößen
Wenn der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 58 Absatz 2 Buchstaben a, b und c ausübt, teilt der betroffene Verantwortliche oder Auftragsverarbeiter dem Europäischen Datenschutzbeauftragten innerhalb einer angemessenen Frist, die vom Europäischen Datenschutzbeauftragten unter Berücksichtigung der Umstände des Einzelfalls festzulegen ist, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.
Artikel 60
Tätigkeitsbericht
(1) Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament, dem Rat und der Kommission einen Jahresbericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.
(2) Der Europäische Datenschutzbeauftragte übermittelt den in Absatz 1 genannten Bericht den übrigen Organen und Einrichtungen der Union, die im Hinblick auf eine etwaige Prüfung des Berichts durch das Europäische Parlament Stellungnahmen abgeben können.
KAPITEL VII
ZUSAMMENARBEIT UND KOHÄRENZ
Artikel 61
Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden
Der Europäische Datenschutzbeauftragte arbeitet mit den nationalen Aufsichtsbehörden und mit der gemäß Artikel 25 des Beschlusses 2009/917/JI des Rates (19) eingesetzten gemeinsamen Aufsichtsbehörde zusammen, soweit dies für die Wahrnehmung ihrer jeweiligen Aufgaben erforderlich ist, insbesondere indem sie einander sachdienliche Informationen bereitstellen, einander ersuchen, ihre Befugnisse auszuüben, und ihre jeweiligen Ersuchen beantworten.
Artikel 62
Koordinierte Aufsicht durch den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden
(1) Wenn in einem Rechtsakt der Union auf diesen Artikel verwiesen wird, arbeiten der Europäische Datenschutzbeauftragte und die nationalen Aufsichtsbehörden im Rahmen ihrer jeweiligen Kompetenzen und ihrer Zuständigkeiten aktiv zusammen, um eine wirksame Aufsicht über IT-Großsysteme und über Organe, Einrichtungen und sonstige Stellen der Union zu gewährleisten.
(2) Im Rahmen ihrer jeweiligen Kompetenzen und ihrer Zuständigkeiten tauschen sie erforderlichenfalls sachdienliche Informationen aus, helfen sich erforderlichenfalls gegenseitig bei Prüfungen und Kontrollen, prüfen erforderlichenfalls Schwierigkeiten bei der Auslegung oder Anwendung dieser Verordnung und anderer anwendbarer Rechtsakte der Union, befassen sich erforderlichenfalls mit Problemen mit der unabhängigen Aufsicht oder der Ausübung der Rechte betroffener Personen, entwerfen erforderlichenfalls harmonisierte Vorschläge für die Lösung von Problemen und fördern erforderlichenfalls die Sensibilisierung für die Datenschutzrechte.
(3) Für die Zwecke des Absatzes 2 kommen der Europäische Datenschutzbeauftragte und die nationalen Aufsichtsbehörden mindestens zweimal jährlich im Rahmen des Europäischen Datenschutzausschusses zusammen. Der Europäische Datenschutzausschuss kann für diese Zwecke erforderlichenfalls weitere Arbeitsmethoden entwickeln.
(4) Der Europäische Datenschutzausschuss unterbreitet dem Europäischen Parlament, dem Rat und der Kommission alle zwei Jahre einen gemeinsamen Tätigkeitsbericht über die koordinierte Aufsicht.
KAPITEL VIII
RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 63
Recht auf Beschwerde beim Europäischen Datenschutzbeauftragten
(1) Unbeschadet gerichtlicher, verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat jede betroffene Person das Recht auf Beschwerde beim Europäischen Datenschutzbeauftragten, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Der Europäische Datenschutzbeauftragte unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Prüfung der Beschwerde, einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 64.
(3) Befasst sich der Europäische Datenschutzbeauftragte nicht mit der Beschwerde oder unterrichtet er die betroffene Person nicht innerhalb von drei Monaten über den Fortgang oder das Ergebnis der Prüfung der Beschwerde, so gilt dies als negative Entscheidung des Europäischen Datenschutzbeauftragten.
Artikel 64
Recht auf einen wirksamen gerichtlichen Rechtsbehelf
(1) Der Gerichtshof ist für alle Streitigkeiten im Zusammenhang mit den Bestimmungen dieser Verordnung, einschließlich Schadenersatzansprüchen, zuständig.
(2) Gegen Entscheidungen des Europäischen Datenschutzbeauftragten, einschließlich Entscheidungen gemäß Artikel 63 Absatz 3, kann beim Gerichtshof Klage erhoben werden.
(3) Der Gerichtshof hat die Befugnis zur unbeschränkten Ermessensnachprüfung bezüglich der Geldbußen gemäß Artikel 66. Er kann diese Geldbußen innerhalb der Grenzen des Artikels 66 aufheben, verringern oder erhöhen.
Artikel 65
Recht auf Schadenersatz
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat unter den in den Verträgen vorgesehenen Voraussetzungen Anspruch auf Schadenersatz gegen das Organ oder die Einrichtung der Union auf Ersatz des erlittenen Schadens.
Artikel 66
Geldbußen
(1) Der Europäische Datenschutzbeauftragte kann je nach den Umständen des Einzelfalls Geldbußen gegen Organe und Einrichtungen der Union verhängen, wenn ein Organ oder eine Einrichtung der Union einer Anordnung des Europäischen Datenschutzbeauftragten nach Artikel 58 Absatz 2 Buchstaben d bis h und j nicht nachkommt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) |
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des ihnen entstandenen Schadens, |
b) |
Maßnahmen des Organs oder der Einrichtung der Union zur Minderung des den betroffenen Personen entstandenen Schadens, |
c) |
Grad der Verantwortung des Organs oder der Einrichtung der Union unter Berücksichtigung der von ihnen gemäß den Artikeln 27 und 33 getroffenen technischen und organisatorischen Maßnahmen, |
d) |
etwaige ähnliche frühere Verstöße des Organs oder der Einrichtung der Union, |
e) |
Umfang der Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Folgen zu mindern, |
f) |
Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind, |
g) |
Art und Weise, wie der Verstoß dem Europäischen Datenschutzbeauftragten bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang das Organ oder die Einrichtung der Union den Verstoß mitgeteilt hat, |
h) |
Einhaltung von nach Artikel 58 bereits früher gegen das Organ oder die Einrichtung der Union in Bezug auf denselben Gegenstand angeordneten Maßnahmen. Das zur Verhängung dieser Geldbußen führende Verfahren wird innerhalb eines den Umständen des Falles angemessenen zeitlichen Rahmens unter Berücksichtigung der in Artikel 69 genannten Maßnahmen und Verfahren durchgeführt. |
(2) Bei Verstößen gegen Pflichten des Organs oder der Einrichtung der Union nach den Artikeln 8, 12, 27 bis 35, 39, 40, 43, 44 und 45 werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 25 000 EUR pro Verstoß und bis zu insgesamt 250 000 EUR pro Jahr verhängt.
(3) Bei Verstößen des Organs oder der Einrichtung der Union gegen die folgenden Bestimmungen werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 50 000 EUR pro Verstoß und bis zu insgesamt 500 000 EUR pro Jahr verhängt:
a) |
wesentliche Grundsätze für die Verarbeitung, einschließlich Voraussetzungen für die Einwilligung, nach den Artikeln 4, 5, 7 und 10, |
b) |
Rechte der betroffenen Personen nach den Artikeln 14 bis 24, |
c) |
Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation nach den Artikeln 46 bis 50. |
(4) Verstößt ein Organ oder eine Einrichtung der Union bei gleichen oder miteinander verbundenen oder kontinuierlichen Verarbeitungsvorgängen gegen mehrere Bestimmungen dieser Verordnung oder mehrmals gegen dieselbe Bestimmung dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
(5) Bevor der Europäische Datenschutzbeauftragte Entscheidungen nach diesem Artikel trifft, gibt er dem Organ oder der Einrichtung der Union, gegen das beziehungsweise die sich das von ihm geführte Verfahren richtet, Gelegenheit, sich zu den von ihm erhobenen Einwänden zu äußern. Der Europäische Datenschutzbeauftragte stützt seine Entscheidungen nur auf die Einwände, zu denen sich die Parteien äußern konnten. Die Beschwerdeführer werden eng in das Verfahren einbezogen.
(6) Die Verteidigungsrechte der betroffenen Parteien werden während des Verfahrens in vollem Umfang gewahrt. Sie haben vorbehaltlich des berechtigten Interesses von natürlichen Personen oder Unternehmen am Schutz ihrer personenbezogenen Daten oder Geschäftsgeheimnisse das Recht, die Akte des Europäischen Datenschutzbeauftragten einzusehen.
(7) Das Aufkommen aus den nach diesem Artikel verhängten Geldbußen zählt zu den Einnahmen des Gesamthaushalts der Union.
Artikel 67
Vertretung betroffener Personen
Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die nach Unionsrecht oder dem Recht eines Mitgliedstaats ordnungsgemäß gegründet wurde, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten betroffener Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzureichen, in ihrem Namen die in den Artikeln 63 und 64 genannten Rechte wahrzunehmen und in ihrem Namen das Recht auf Schadensersatz gemäß Artikel 65 in Anspruch zu nehmen.
Artikel 68
Beschwerden des Personals der Union
Beschäftigte eines Organs oder einer Einrichtung der Union können beim Europäischen Datenschutzbeauftragten Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, auch ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er Beschwerde beim Europäischen Datenschutzbeauftragten eingereicht und einen solchen mutmaßlichen Verstoß dargelegt hat.
Artikel 69
Sanktionen
Verletzt ein Beamter und sonstiger Bediensteter der Union vorsätzlich oder fahrlässig die in dieser Verordnung festgelegten Pflichten, so können nach den Vorschriften und Verfahren des Statuts Disziplinarstrafen und andere Maßnahmen gegen den Beamten oder sonstigen Bediensteten verhängt werden.
KAPITEL IX
VERARBEITUNG OPERATIVER PERSONENBEZOGENER DATEN DURCH EINRICHTUNGEN UND SONSTIGE STELLEN DER UNION BEI DER AUSÜBUNG VON TÄTIGKEITEN, DIE IN DEN ANWENDUNGSBEREICH DES DRITTEN TEILS TITEL V KAPITEL 4 ODER 5 AEUV FALLEN
Artikel 70
Anwendungsbereich des Kapitels
Dieses Kapitel gilt nur für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, unbeschadet spezifischer Datenschutzvorschriften, die für eine solche Einrichtung oder sonstige Stelle der Union gelten.
Artikel 71
Grundsätze für die Verarbeitung operativer personenbezogener Daten
(1) Operative personenbezogene Daten müssen
a) |
auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden („Rechtmäßigkeit und Verarbeitung nach Treu und Glauben“); |
b) |
für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden („Zweckbindung“), |
c) |
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); |
d) |
sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit operative personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“), |
e) |
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die operativen personenbezogenen Daten verarbeitet werden, erforderlich ist („Speicherbegrenzung“), |
f) |
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der operativen personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). |
(2) Eine Verarbeitung durch denselben oder einen anderen Verantwortlichen für einen anderen der im Rechtsakt zur Gründung der Einrichtung oder sonstigen Stelle der Union genannten Zwecke als den, für den die operativen personenbezogenen Daten erhoben werden, ist erlaubt, sofern
a) |
der Verantwortliche nach dem Unionsrecht befugt ist, solche operativen personenbezogenen Daten für diesen Zweck zu verarbeiten, und |
b) |
die Verarbeitung für diesen anderen Zweck nach dem Unionsrecht erforderlich und verhältnismäßig ist. |
(3) Die Verarbeitung durch denselben oder einen anderen Verantwortlichen kann die Archivierung im öffentlichen Interesse und die wissenschaftliche, statistische oder historische Verwendung für die im Rechtsakt zur Gründung der Einrichtung oder sonstigen Stelle der Union genannten Zwecke umfassen, sofern geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorhanden sind.
(4) Der Verantwortliche ist für die Einhaltung der Absätze 1, 2 und 3 verantwortlich und muss deren Einhaltung nachweisen können.
Artikel 72
Rechtmäßigkeit der Verarbeitung operativer personenbezogener Daten
(1) Die Verarbeitung operativer personenbezogener Daten ist nur rechtmäßig, wenn und soweit die Verarbeitung für die Erfüllung einer Aufgabe durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, erforderlich ist und wenn sie sich auf Unionsrecht stützt.
(2) In spezifischen Rechtsakten der Union zur Regelung der Verarbeitung innerhalb des Anwendungsbereichs dieses Kapitels sind zumindest die Ziele der Verarbeitung, die zu verarbeitenden operativen personenbezogenen Daten, die Zwecke der Verarbeitung und die Fristen für die Speicherung der operativen personenbezogenen Daten oder für die regelmäßige Überprüfung, ob die operativen personenbezogenen Daten weiter gespeichert werden müssen, anzugeben.
Artikel 73
Unterscheidung verschiedener Kategorien betroffener Personen
Der Verantwortliche unterscheidet gegebenenfalls und so weit wie möglich zwischen den operativen personenbezogenen Daten verschiedener Kategorien betroffener Personen, wie etwa den in den Rechtsakten zur Gründung der Einrichtungen und sonstigen Stellen der Union aufgeführten Kategorien.
Artikel 74
Unterscheidung zwischen operativen personenbezogenen Daten und Überprüfung der Qualität der operativen personenbezogenen Daten
(1) Der Verantwortliche unterscheidet so weit wie möglich zwischen faktenbasierten operativen personenbezogenen Daten und auf persönlichen Einschätzungen beruhenden operativen personenbezogenen Daten.
(2) Der Verantwortliche ergreift alle angemessenen Maßnahmen, um zu gewährleisten, dass operative personenbezogene Daten, die unrichtig, unvollständig oder nicht mehr aktuell sind, nicht übermittelt oder bereitgestellt werden. Zu diesem Zweck überprüft der Verantwortliche gegebenenfalls und soweit durchführbar, die Qualität der operativen personenbezogenen Daten vor ihrer Übermittlung oder Bereitstellung, beispielsweise durch Konsultation der zuständigen Behörde, von der die Daten stammen. Bei jeder Übermittlung operativer personenbezogener Daten werden nach Möglichkeit die erforderlichen Informationen beigefügt, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der operativen personenbezogenen Daten sowie deren Aktualitätsgrad zu beurteilen.
(3) Wird festgestellt, dass unrichtige operative personenbezogene Daten übermittelt worden sind oder die operativen personenbezogenen Daten unrechtmäßig übermittelt worden sind, so ist dies dem Empfänger unverzüglich mitzuteilen. In diesem Fall ist gemäß Artikel 82 eine Berichtigung oder Löschung oder die Einschränkung der Verarbeitung der betreffenden operativen personenbezogenen Daten vorzunehmen.
Artikel 75
Besondere Verarbeitungsbedingungen
(1) Sofern in dem auf den übermittelnden Verantwortlichen anwendbaren Unionsrecht besondere Verarbeitungsbedingungen vorgesehen sind, weist der Verantwortliche den Empfänger der operativen personenbezogenen Daten darauf hin, dass diese Bedingungen gelten und einzuhalten sind.
(2) Der Verantwortliche beachtet die von einer übermittelnden zuständigen Behörde gemäß Artikel 9 Absätze 3 und 4 der Richtlinie (EU) 2016/680 vorgesehenen besonderen Verarbeitungsbedingungen.
Artikel 76
Verarbeitung besonderer Kategorien operativer personenbezogener Daten
(1) Die Verarbeitung operativer personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person sowie operativer personenbezogener Daten, die die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer natürlichen Person betreffen, ist nur dann erlaubt, wenn sie für operative Zwecke unbedingt erforderlich ist sowie innerhalb des Mandats der betreffenden Einrichtung oder sonstigen Stelle der Union und vorbehaltlich geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person erfolgt. Eine Diskriminierung natürlicher Personen anhand solcher personenbezogenen Daten ist verboten.
(2) Der Datenschutzbeauftragte ist unverzüglich von der Anwendung dieses Artikels zu unterrichten.
Artikel 77
Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling
(1) Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung — einschließlich Profiling —, die eine nachteilige Rechtsfolge für die betroffene Person hat oder sie erheblich beeinträchtigt, ist verboten, es sei denn, sie ist nach dem Unionsrecht, dem der Verantwortliche unterliegt und das geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bietet, zumindest das Recht auf persönliches Eingreifen seitens des Verantwortlichen, erlaubt.
(2) Entscheidungen nach Absatz 1 dieses Artikels dürfen nicht auf den besonderen Kategorien personenbezogener Daten nach Artikel 76 beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechte, Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
(3) Profiling, das zur Folge hat, dass natürliche Personen auf der Grundlage von besonderen Datenkategorien nach Artikel 76 diskriminiert werden, ist nach dem Unionsrecht verboten.
Artikel 78
Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft alle angemessenen Maßnahmen, um der betroffenen Person alle Informationen gemäß Artikel 79 sowie alle Mitteilungen gemäß den Artikeln 80 bis 84 und 92, die sich auf die Verarbeitung beziehen, in präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt in einer beliebigen geeigneten Form, wozu auch die elektronische Übermittlung zählt. Grundsätzlich übermittelt der Verantwortliche die Informationen in derselben Form, in der er den Antrag erhalten hat.
(2) Der Verantwortliche erleichtert die Ausübung der der betroffenen Person gemäß den Artikeln 79 bis 84 zustehenden Rechte.
(3) Der Verantwortliche setzt die betroffene Person unverzüglich, in jedem Fall aber spätestens innerhalb von drei Monaten nach Eingang des Antrags, schriftlich darüber in Kenntnis, wie mit ihrem Antrag verfahren wurde.
(4) Der Verantwortliche stellt die Informationen gemäß Artikel 79 sowie alle gemachten Mitteilungen und getroffenen Maßnahmen gemäß den Artikeln 80 bis 84 und 92 unentgeltlich zur Verfügung. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann sich der Verantwortliche weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
(5) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 80 oder 82 stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Artikel 79
Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen
(1) Der Verantwortliche stellt der betroffenen Person zumindest die folgenden Informationen zur Verfügung:
a) |
den Namen und die Kontaktdaten der Einrichtung oder sonstigen Stelle der Union, |
b) |
die Kontaktdaten des Datenschutzbeauftragten, |
c) |
die Zwecke, für die die operativen personenbezogenen Daten verarbeitet werden, |
d) |
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten sowie dessen Kontaktdaten, |
e) |
das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung operativer personenbezogener Daten und Einschränkung der Verarbeitung der operativen personenbezogenen Daten der betroffenen Person durch den Verantwortlichen. |
(2) Zusätzlich zu den in Absatz 1 genannten Informationen erteilt der Verantwortliche der betroffenen Person in besonderen durch das Unionsrecht vorgesehenen Fällen die folgenden zusätzlichen Informationen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:
a) |
die Rechtsgrundlage der Verarbeitung, |
b) |
die Dauer, für die die operativen personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, |
c) |
gegebenenfalls die Kategorien von Empfängern der operativen personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen; |
d) |
erforderlichenfalls weitere Informationen, insbesondere wenn die operativen personenbezogenen Daten ohne Wissen der betroffenen Person erhoben werden. |
(3) Der Verantwortliche kann zu nachstehenden Zwecken die Unterrichtung der betroffenen Person gemäß Absatz 2 soweit und solange aufschieben, einschränken oder unterlassen, wie diese Maßnahme in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
a) |
Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden, |
b) |
Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, |
c) |
Schutz der öffentlichen Sicherheit der Mitgliedstaaten, |
d) |
Schutz der nationalen Sicherheit der Mitgliedstaaten, |
e) |
Schutz der Rechte und Freiheiten anderer, wie Opfer oder Zeugen. |
Artikel 80
Auskunftsrecht der betroffenen Person
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende operative personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über operative personenbezogene Daten und zu folgenden Informationen zu erhalten:
a) |
die Zwecke der Verarbeitung und deren Rechtsgrundlage; |
b) |
die Kategorien der operativen personenbezogenen Daten, die verarbeitet werden; |
c) |
die Empfänger oder Kategorien von Empfängern, gegenüber denen die operativen personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; |
d) |
falls möglich, die geplante Dauer, für die die operativen personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; |
e) |
das Bestehen eines Rechts auf Berichtigung oder Löschung operativer personenbezogener Daten oder auf Einschränkung der Verarbeitung der operativen personenbezogenen Daten der betroffenen Person durch den Verantwortlichen; |
f) |
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten sowie dessen Kontaktdaten; |
g) |
Mitteilung zu den operativen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten. |
Artikel 81
Einschränkung des Auskunftsrechts
(1) Der Verantwortliche kann zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit und solange wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
a) |
Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden, |
b) |
Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, |
c) |
Schutz der öffentlichen Sicherheit der Mitgliedstaaten, |
d) |
Schutz der nationalen Sicherheit der Mitgliedstaaten, |
e) |
Schutz der Rechte und Freiheiten anderer, wie Opfer und Zeugen. |
(2) In den in Absatz 1 genannten Fällen unterrichtet der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür. Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in Absatz 1 genannten Zwecke zuwiderliefe. Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, gegen die Entscheidung Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen oder einen gerichtlichen Rechtsbehelf beim Gerichtshof einzulegen. Der Verantwortliche dokumentiert die sachlichen oder rechtlichen Gründe für die Entscheidung. Diese Angaben werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.
Artikel 82
Recht auf Berichtigung oder Löschung operativer personenbezogener Daten und Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger operativer personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger operativer personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
(2) Der Verantwortliche löscht operative personenbezogene Daten unverzüglich, und die betroffene Person hat das Recht, von dem Verantwortlichen die unverzügliche Löschung sie betreffender operativer personenbezogener Daten zu verlangen, wenn die Verarbeitung gegen die Artikel 71, Artikel 72 Absatz 1 oder Artikel 76 verstößt oder wenn die operativen personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen, der der Verantwortliche unterliegt.
(3) Anstatt Löschung kann der Verantwortliche die Verarbeitung einschränken, wenn
a) |
die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann oder |
b) |
die personenbezogenen Daten für Beweiszwecke weiter aufbewahrt werden müssen. |
Unterliegt die Verarbeitung einer Einschränkung gemäß Unterabsatz 1 Buchstabe a, unterrichtet der Verantwortliche die betroffene Person, bevor er die Einschränkung aufhebt.
In ihrer Verarbeitung eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
(4) Der Verantwortliche unterrichtet die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung operativer personenbezogener Daten oder der Einschränkung der Verarbeitung, und über die Gründe für die Verweigerung. Der Verantwortliche kann zu nachstehenden Zwecken die Zurverfügungstellung der Informationen teilweise oder vollständig einschränken, soweit diese Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
a) |
Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden, |
b) |
Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden, |
c) |
Schutz der öffentlichen Sicherheit der Mitgliedstaaten, |
d) |
Schutz der nationalen Sicherheit der Mitgliedstaaten, |
e) |
Schutz der Rechte und Freiheiten anderer, wie Opfer und Zeugen. |
Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, gegen die Entscheidung Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen oder einen gerichtlichen Rechtsbehelf beim Gerichtshof einzulegen.
(5) Der Verantwortliche teilt die Berichtigung von unrichtigen operativen personenbezogenen Daten der zuständigen Behörde mit, von der die unrichtigen operativen personenbezogenen Daten stammen.
(6) Der Verantwortliche setzt in Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1, 2 oder 3 die Empfänger in Kenntnis und weist sie darauf hin, dass sie die ihrer Verantwortung unterliegenden operativen personenbezogenen Daten berichtigen, löschen oder deren Verarbeitung einschränken müssen.
Artikel 83
Auskunftsrecht in strafrechtlichen Ermittlungen und Strafverfahren
Stammen die operativen personenbezogenen Daten von einer zuständigen Behörde, überprüfen die Einrichtungen und sonstigen Stellen der Union vor einer Entscheidung über das Auskunftsrecht einer betroffenen Person bei der betreffenden zuständigen Behörde, ob diese personenbezogenen Daten in einer gerichtlichen Entscheidung, einem Dokument oder einer Verfahrensakte enthalten sind und in strafrechtlichen Ermittlungen und in Strafverfahren in dem Mitgliedstaat dieser zuständigen Behörde verarbeitet wurden. Ist dies der Fall, wird eine Entscheidung über das Auskunftsrecht in Abstimmung und enger Zusammenarbeit mit der betreffenden zuständigen Behörde getroffen.
Artikel 84
Ausübung von Rechten durch die betroffene Person und Prüfung durch den Europäischen Datenschutzbeauftragten
(1) In den in Artikel 79 Absatz 3, Artikel 81 und Artikel 82 Absatz 4 genannten Fällen können die Rechte der betroffenen Person auch über den Europäischen Datenschutzbeauftragten ausgeübt werden.
(2) Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, ihre Rechte gemäß Absatz 1 über den Europäischen Datenschutzbeauftragten auszuüben.
(3) Wird das in Absatz 1 genannte Recht ausgeübt, unterrichtet der Europäische Datenschutzbeauftragte die betroffene Person zumindest darüber, dass alle erforderlichen Prüfungen oder eine Überprüfung durch den Europäischen Datenschutzbeauftragten erfolgt sind. Der Europäische Datenschutzbeauftragte hat zudem die betroffene Person über ihr Recht auf einen gerichtlichen Rechtsbehelf beim Gerichtshof zu unterrichten.
Artikel 85
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung und des Rechtsakts zu seiner Gründung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur operative personenbezogene Daten verarbeitet werden, die dem Verarbeitungszweck angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Diese Verpflichtung gilt für die Menge der erhobenen operativen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass operative personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen einer Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Artikel 86
Gemeinsam Verantwortliche
(1) Legen zwei oder mehr Verantwortliche oder ein oder mehrere Verantwortliche zusammen mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form ihre jeweiligen Zuständigkeiten bei der Einhaltung ihrer Datenschutzpflichten fest, insbesondere was die Ausübung der Rechte der betroffenen Person und ihre jeweiligen Informationspflichten nach Artikel 79 angeht, sofern und soweit die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die gemeinsam Verantwortlichen unterliegen, festgelegt sind. In der Regelung kann eine Anlaufstelle für betroffene Personen angegeben werden.
(2) Die Vereinbarung nach Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber der betroffenen Person gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Artikel 87
Auftragsverarbeiter
(1) Soll eine Verarbeitung im Namen eines Verantwortlichen vorgenommen werden, so arbeitet dieser nur mit Auftragsverarbeitern zusammen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung und des Rechtsakts zur Gründung des Auftragsverarbeiters erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Falle einer allgemeinen schriftlichen Genehmigung unterrichtet der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, oder eines anderen Rechtsinstruments nach Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der operativen personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) |
nur auf Weisung des Verantwortlichen handelt, |
b) |
gewährleistet, dass sich die zur Verarbeitung der operativen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; |
c) |
den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten, |
d) |
alle operativen personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen — nach Wahl des Verantwortlichen — löscht bzw. dem Verantwortlichen zurückgibt und bestehende Kopien vernichtet, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der operativen personenbezogenen Daten besteht; |
e) |
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt, |
f) |
die in Absatz 2 und dem vorliegenden Absatz aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält. |
(4) Der Vertrag oder das andere Rechtsinstrument im Sinne von Absatz 3 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
(5) Ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung oder den Rechtsakt zur Gründung des Verantwortlichen die Zwecke und die Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
Artikel 88
Protokollierung
(1) Der Verantwortliche protokolliert die folgenden Verarbeitungsvorgänge in automatisierten Verarbeitungssystemen: Erhebung, Veränderung, Zugriff, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung von operativen personenbezogenen Daten. Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge, die Identifizierung der Person, die die operativen personenbezogenen Daten abgefragt oder offengelegt hat, und so weit wie möglich die Identität des Empfängers solcher operativen personenbezogenen Daten festzustellen.
(2) Die Protokolle werden ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung, der Sicherstellung der Integrität und Sicherheit der operativen personenbezogenen Daten sowie für Strafverfahren verwendet. Die Protokolle müssen nach drei Jahren gelöscht werden, sofern sie nicht für eine laufende Kontrolle benötigt werden.
(3) Der Verantwortliche stellt die Protokolle seinem Datenschutzbeauftragten und dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung.
Artikel 89
Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz operativer personenbezogener Daten durch.
(2) Die Folgenabschätzung gemäß Absatz 1 trägt den Rechten und den berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung und enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz operativer personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Datenschutzvorschriften eingehalten werden.
Artikel 90
Vorherige Konsultation des Europäischen Datenschutzbeauftragten
(1) Der Verantwortliche konsultiert vor der Verarbeitung in neu anzulegenden Dateisystemen den Europäischen Datenschutzbeauftragten, wenn
a) |
aus einer Datenschutz-Folgenabschätzung gemäß Artikel 89 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder |
b) |
die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. |
(2) Der Europäische Datenschutzbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur vorherigen Konsultation nach Absatz 1 unterliegen.
(3) Der Verantwortliche legt dem Europäischen Datenschutzbeauftragten die in Artikel 89 genannte Datenschutz-Folgenabschätzung vor und übermittelt ihm auf Anfrage alle sonstigen Informationen, die er benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der operativen personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
(4) Falls der Europäische Datenschutzbeauftragte der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung oder dem Rechtsakt zur Gründung der betreffenden Einrichtung oder sonstigen Stelle der Union stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet er dem Verantwortlichen innerhalb eines Zeitraums von bis zu sechs Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um einen weiteren Monat verlängert werden. Der Europäische Datenschutzbeauftragte unterrichtet den Verantwortlichen über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung.
Artikel 91
Sicherheit der Verarbeitung operativer personenbezogener Daten
(1) Der Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien operativer personenbezogener Daten.
(2) Der Verantwortliche und der Auftragsverarbeiter ergreifen im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen, die Folgendes bezwecken:
a) |
Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte („Zugangskontrolle“); |
b) |
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern („Datenträgerkontrolle“); |
c) |
Verhinderung der unbefugten Eingabe operativer personenbezogener Daten sowie der unbefugten Kenntnisnahme, Änderung oder Löschung gespeicherter operativer personenbezogener Daten („Speicherkontrolle“); |
d) |
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte („Benutzerkontrolle“); |
e) |
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden operativen personenbezogenen Daten Zugang haben („Zugangskontrolle“); |
f) |
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen operative personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können („Übertragungskontrolle“); |
g) |
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche operativen personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind („Eingabekontrolle“); |
h) |
Verhinderung, dass bei der Übertragung operativer personenbezogener Daten oder beim Transport von Datenträgern die operativen personenbezogenen Daten unbefugt gelesen, kopiert, geändert oder gelöscht werden können („Transportkontrolle“); |
i) |
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können („Wiederherstellung“); |
j) |
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden („Zuverlässigkeit“) und gespeicherte personenbezogene operative Daten nicht durch Fehlfunktionen des Systems beschädigt werden können („Datenintegrität“). |
Artikel 92
Meldung einer Verletzung des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten
(1) Der Verantwortliche meldet eine Verletzung des Schutzes personenbezogener Daten unverzüglich, und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dem Europäischen Datenschutzbeauftragten, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung an den Europäischen Datenbeauftragten nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
(2) Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:
a) |
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien operativer personenbezogener Daten und der ungefähren Zahl der betroffenen operativen personenbezogenen Datensätze, |
b) |
Name und die Kontaktdaten des Datenschutzbeauftragten, |
c) |
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, |
d) |
eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. |
(3) Wenn und soweit die in Absatz 2 genannten Informationen nicht zur gleichen Zeit bereitgestellt werden können, können diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden.
(4) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten nach Absatz 1 einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Anhand dieser Dokumentation muss der Europäische Datenschutzbeauftragte die Einhaltung dieses Artikels überprüfen können.
(5) Sind von der Verletzung des Schutzes personenbezogener Daten operative personenbezogene Daten betroffen, die von oder an zuständige Behörden übermittelt wurden, teilt der Verantwortliche die in Absatz 2 genannten Informationen den zuständigen Behörden unverzüglich mit.
Artikel 93
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 dieses Artikels genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 92 Absatz 2 Buchstaben b, c und d genannten Informationen und Empfehlungen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) |
der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, und diese Vorkehrungen wurden auf die von der Verletzung betroffenen operativen personenbezogenen Daten angewandt, insbesondere solche, durch die die operativen personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den operativen personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; |
b) |
der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; |
c) |
dies wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. |
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Europäische Datenschutzbeauftragte unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen oder er kann feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
(5) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 dieses Artikels kann unter den in Artikel 79 Absatz 3 genannten Voraussetzungen und aus den dort genannten Gründen aufgeschoben, eingeschränkt oder unterlassen werden.
Artikel 94
Übermittlung operativer personenbezogener Daten an Drittländer und internationale Organisationen
(1) Vorbehaltlich der in den Rechtsakten zur Gründung der Einrichtung oder sonstigen Stelle der Union festgelegten Einschränkungen und Bedingungen darf der Verantwortliche operative personenbezogene Daten an eine Behörde eines Drittlandes oder an eine internationale Organisation nur übermitteln, soweit dies für die Erfüllung der Aufgaben des Verantwortlichen erforderlich ist und wenn die in diesem Artikel festgelegten Bedingungen eingehalten werden, nämlich:
a) |
die Kommission hat einen Angemessenheitsbeschluss gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 angenommen, dem zufolge das betreffende Drittland oder ein Gebiet oder ein verarbeitender Sektor in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Datenschutzniveau bietet; |
b) |
falls die Kommission keinen Angemessenheitsbeschluss gemäß Buchstabe a angenommen hat: eine internationale Übereinkunft gemäß Artikel 218 AEUV wurde zwischen der Union und dem betreffenden Drittland oder der betreffenden internationalen Organisation geschlossen, die angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von natürlichen Personen bietet; |
c) |
falls die Kommission keinen Angemessenheitsbeschluss gemäß Buchstabe b angenommen hat oder keine internationale Übereinkunft gemäß Buchstabe b geschlossen wurde: vor dem Beginn der Anwendung des entsprechenden Rechtsakts zur Gründung der betreffenden Einrichtung oder sonstigen Stelle der Union wurde ein Kooperationsabkommen zwischen dieser Einrichtung oder sonstigen Stelle der Union und dem betreffenden Drittland geschlossen, das den Austausch operativer personenbezogener Daten erlaubt. |
(2) In den Rechtsakten zur Gründung der Einrichtungen oder sonstigen Stellen der Union können spezifischere Bestimmungen über die Bedingungen für die internationale Übermittlung operativer personenbezogener Daten beibehalten oder eingeführt werden, insbesondere über die Datenübermittlung auf der Grundlage geeigneter Garantien und über Ausnahmen für bestimmte Fälle.
(3) Der Verantwortliche veröffentlicht auf seiner Website ein Verzeichnis der in Absatz 1 Buchstabe a genannten Angemessenheitsbeschlüsse, Übereinkünfte, Verwaltungsvereinbarungen und sonstigen Rechtsinstrumente, die sich auf die Übermittlung operativer personenbezogener Daten gemäß Absatz 1 beziehen und hält dieses Verzeichnis auf dem neuesten Stand.
(4) Der Verantwortliche führt detaillierte Aufzeichnungen über alle Übermittlungen gemäß diesem Artikel.
Artikel 95
Geheimhaltung von gerichtlichen Ermittlungen und Strafverfahren
In den Rechtsakten zur Gründung der Einrichtungen und sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, kann der Europäische Datenschutzbeauftragte bei der Ausübung seiner Kontrollbefugnisse verpflichtet werden, die Geheimhaltung von gerichtlichen Ermittlungen und Strafverfahren im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten weitest gehend zu berücksichtigen.
KAPITEL X
DURCHFÜHRUNGSRECHTSAKTE
Artikel 96
Ausschussverfahren
(1) Die Kommission wird von dem mit Artikel 93 der Verordnung (EU) 2016/679 eingesetzten Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
KAPITEL XI
ÜBERPRÜFUNG
Artikel 97
Überprüfungsklausel
Spätestens bis zum 30. April 2022 und danach alle fünf Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Anwendung dieser Verordnung vor, dem erforderlichenfalls geeignete Gesetzgebungsvorschläge beizufügen sind.
Artikel 98
Überprüfung von Rechtsakten der Union
(1) Bis zum 30. April 2022 überprüft die Kommission auf der Grundlage der Verträge erlassene Rechtsakte, die die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, regeln,
a) |
um zu prüfen, ob sie mit der Richtlinie (EU) 2016/680 und dem Kapitel IX dieser Verordnung in Einklang stehen, |
b) |
um etwaige Abweichungen zu ermitteln, die den Austausch operativer personenbezogener Daten zwischen Einrichtungen und sonstigen Stellen der Union bei der Ausübung von Tätigkeiten in diesen Bereichen und den zuständigen Behörden behindern und |
c) |
um etwaige Abweichungen zu ermitteln, die eine rechtliche Fragmentierung des Datenschutzrechts der Union bewirken können. |
(2) Auf der Grundlage der Überprüfung kann die Kommission, um einen einheitlichen und kohärenten Schutz natürlicher Personen bei der Verarbeitung sicherzustellen, geeignete Gesetzgebungsvorschläge insbesondere im Hinblick auf die Anwendung des Kapitels IX dieser Verordnung auf Europol und die Europäische Staatsanwaltschaft und einschließlich, falls erforderlich, zu Anpassungen des Kapitels IX dieser Verordnung vorlegen.
KAPITEL XII
SCHLUSSBESTIMMUNGEN
Artikel 99
Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG
Die Verordnung (EG) Nr. 45/2001 und der Beschluss Nr. 1247/2002/EG werden mit Wirkung vom 11. Dezember 2018 aufgehoben. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss gelten als Bezugnahmen auf die vorliegende Verordnung.
Artikel 100
Übergangsmaßnahmen
(1) Der Beschluss 2014/886/EU des Europäischen Parlaments und des Rates (20) und die laufende Amtszeit des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten bleiben von dieser Verordnung unberührt.
(2) Der stellvertretende Datenschutzbeauftragte ist hinsichtlich seiner Dienstbezüge, seiner Zulagen, seines Ruhegehalts und sonstiger Vergütungen, die anstelle von Dienstbezügen gewährt werden, dem Kanzler des Gerichtshofs gleichgestellt.
(3) Artikel 53 Absätze 4, 5 und 7 sowie die Artikel 55 und 56 gelten für den derzeitigen stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit.
(4) Der stellvertretende Datenschutzbeauftragte unterstützt den Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben und vertritt ihn im Falle seiner Abwesenheit oder Verhinderung bis zum Ende der Amtszeit des derzeitigen stellvertretenden Datenschutzbeauftragten.
Artikel 101
Inkrafttreten und Anwendung
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Diese Verordnung findet jedoch auf die Verarbeitung personenbezogener Daten durch Eurojust ab dem 12. Dezember 2019 Anwendung.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Straßburg am 23. Oktober 2018.
Im Namen des Europäischen Parlaments
Der Präsident
A. TAJANI
Im Namen des Rates
Die Präsidentin
K. EDTSTADLER
(1) ABl. C 288 vom 31.8.2017, S. 107.
(2) Standpunkt des Europäischen Parlaments vom 13. September 2018 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 11. Oktober 2018.
(3) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
(4) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(5) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
(6) Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29).
(7) Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70).
(8) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
(9) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
(10) ABl. L 56 vom 4.3.1968, S. 1.
(11) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
(12) Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).
(13) Beschluss Nr. 1247/2002/EG vom 1. Juli 2002 des Europäischen Parlaments, des Rates und der Kommission über die Regelungen und allgemeinen Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten (ABl. L 183 vom 12.7.2002, S. 1).
(14) ABl. C 164 vom 24.5.2017, S. 2.
(15) Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53).
(16) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).
(17) Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).
(18) Richtlinie 2008/63/EG der Kommission vom 20. Juni 2008 über den Wettbewerb auf dem Markt für Telekommunikationsendeinrichtungen (ABl. L 162 vom 21.6.2008, S. 20).
(19) Beschluss 2009/917/JI des Rates vom 30. November 2009 über den Einsatz der Informationstechnologie im Zollbereich (ABl. L 323 vom 10.12.2009, S. 20).
(20) Beschluss 2014/886/EU des Europäischen Parlaments und des Rates vom 4. Dezember 2014 zur Ernennung des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten (ABl. L 351 vom 9.12.2014, S. 9).
21.11.2018 |
DE |
Amtsblatt der Europäischen Union |
L 295/99 |
VERORDNUNG (EU) 2018/1726 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 14. November 2018
über die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Änderung der Verordnung (EG) Nr. 1987/2006 und des Beschlusses 2007/533/JI des Rates sowie zur Aufhebung der Verordnung (EU) Nr. 1077/2011
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 74, Artikel 77 Absatz 2 Buchstaben a und b, Artikel 78 Absatz 2 Buchstabe e, Artikel 79 Absatz 2 Buchstabe c, Artikel 82 Absatz 1 Buchstabe d, Artikel 85 Absatz 1, Artikel 87 Absatz 2 Buchstabe a und Artikel 88 Absatz 2,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
gemäß dem ordentlichen Gesetzgebungsverfahren (1),
in Erwägung nachstehender Gründe:
(1) |
Das Schengener Informationssystem (im Folgenden „SIS II“) wurde mit der Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates (2) und dem Beschluss 2007/533/JI des Rates (3) eingerichtet. Die Verordnung (EG) Nr. 1987/2006 und der Beschluss 2007/533/JI sehen vor, dass die Kommission während einer Übergangszeit für das Betriebsmanagement des zentralen Systems des SIS II (im Folgenden „zentrales SIS II“) zuständig sein soll. Nach dieser Übergangszeit geht die Zuständigkeit für das Betriebsmanagement des zentralen SIS II und für bestimmte Aspekte der Kommunikationsinfrastruktur auf eine Verwaltungsbehörde über. |
(2) |
Das Visa-Informationssystem (im Folgenden „VIS“) wurde mit der Entscheidung 2004/512/EG des Rates (4) eingeführt. Die Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates (5) sieht vor, dass die Kommission während einer Übergangszeit für das Betriebsmanagement des VIS zuständig sein soll. Nach dieser Übergangszeit geht die Zuständigkeit für das Betriebsmanagement des zentralen VIS und der nationalen Schnittstellen und für bestimmte Aspekte der Kommunikationsinfrastruktur auf eine Verwaltungsbehörde über. |
(3) |
Eurodac wurde mit der Verordnung (EG) Nr. 2725/2000 des Rates (6) eingerichtet. Mit der Verordnung (EG) Nr. 407/2002 des Rates (7) wurden erforderliche Durchführungsbestimmungen eingeführt. Diese Rechtsakte wurden durch die Verordnung (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates (8) aufgehoben und mit Wirkung vom 20. Juli 2015 durch jene Verordnung ersetzt. |
(4) |
Die Europäische Agentur für das Betriebsmanagement von IT (Informationstechnologie)-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts, die allgemein als eu-LISA bezeichnet wird, wurde mit der Verordnung (EU) Nr. 1077/2011 des Europäischen Parlaments und des Rates (9) eingeführt, um das Betriebsmanagement der Systeme SIS, VIS und Eurodac und von bestimmten Aspekten der Kommunikationsinfrastruktur sowie — vorbehaltlich der Annahme gesonderter Rechtsakte der Union — gegebenenfalls das anderer IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts zu gewährleisten. Die Verordnung (EU) Nr. 1077/2011 wurde mit der Verordnung (EU) Nr. 603/2013 geändert, um den an Eurodac vorgenommenen Veränderungen Rechnung zu tragen. |
(5) |
Da die Verwaltungsbehörde rechtlich, verwaltungstechnisch und finanziell autonom sein musste, wurde sie als Regulierungsagentur (im Folgenden „Agentur“) mit eigener Rechtspersönlichkeit geschaffen. Wie vereinbart erhielt die Agentur ihren Sitz in Tallinn, Estland. Da jedoch die Aufgaben im Zusammenhang mit der technischen Entwicklung und der Vorbereitung des Betriebsmanagements der Systeme SIS II und VIS bereits in Straßburg, Frankreich, durchgeführt wurden und ein Back-up-Standort für diese Systeme in Sankt Johann im Pongau, Österreich, eingerichtet worden war, was auch den Standorten der Systeme SIS II und VIS gemäß den einschlägigen Rechtsakten der Union entsprach, sollte es dabei belassen werden. An diesen beiden Standorten sollten auch weiterhin die Aufgaben im Zusammenhang mit dem Betriebsmanagement des Eurodac-Systems wahrgenommen werden bzw. der Back-up-Standort für Eurodac eingerichtet sein. An diesen beiden Standorten sollten auch die technische Entwicklung und das Betriebsmanagement anderer IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts wahrgenommen bzw. ein Back-up-Standort eingerichtet werden, der den Betrieb eines IT-Großsystems bei dessen Ausfall sicherstellen kann. Um die mögliche Nutzung des Back-up-Standorts zu maximieren, könnte dieser Standort auch für den gleichzeitigen Betrieb von Systemen genutzt werden, vorausgesetzt, dass seine Fähigkeit gewahrt bleibt, ihren Betrieb auch bei Ausfall eines oder mehrerer der Systeme sicherzustellen. Aufgrund der hohen Anforderungen an Sicherheit, Verfügbarkeit und Funktion der Systeme sollte der Verwaltungsrat der Agentur (im Folgenden „Verwaltungsrat“), wenn die Hosting-Kapazitäten an den bestehenden technischen Standorten nicht mehr ausreichen, je nach Bedarf die Einrichtung eines zweiten gesonderten technischen Standorts für das Hosting der Systeme entweder in Straßburg oder in Sankt Johann im Pongau oder an beiden Standorten vorschlagen können, sofern dies auf der Grundlage einer unabhängigen Folgenabschätzung und Kosten-Nutzen-Analyse gerechtfertigt ist. Bevor der Verwaltungsrat das Europäische Parlament und den Rat (im Folgenden „Haushaltsbehörde“) über seine Absicht, Immobilienvorhaben durchzuführen, unterrichtet, sollte er die Kommission konsultieren und ihrem Standpunkt Rechnung tragen. |
(6) |
Seit der Aufnahme ihrer Tätigkeit am 1. Dezember 2012 hat die Agentur die der Verwaltungsbehörde in Bezug auf das VIS durch die Verordnung (EG) Nr. 767/2008 und den Beschluss 2008/633/JI des Rates (10) übertragenen Aufgaben übernommen. Ferner hat die Agentur im April 2013 die der Verwaltungsbehörde in Bezug auf das SIS II durch die Verordnung (EG) Nr. 1987/2006 und den Beschluss 2007/533/JI übertragenen Aufgaben übernommen, nachdem SIS II in Betrieb genommen worden war, sowie im Juni 2013 die der Kommission in Bezug auf Eurodac durch die Verordnungen (EG) Nr. 2725/2000 und (EG) Nr. 407/2002 übertragenen Aufgaben. |
(7) |
Die erste Bewertung der Arbeit der Agentur auf Grundlage einer unabhängigen, externen Bewertung wurde im Zeitraum 2015/2016 durchgeführt und ergab, dass die Agentur das Betriebsmanagement von IT-Großsystemen wirksam sicherstellt und andere Aufgaben in ihrem Verantwortungsbereich erfüllt; allerdings führte die Bewertung auch zu dem Ergebnis, dass eine Reihe von Änderungen an der Verordnung (EU) Nr. 1077/2011 notwendig ist, etwa die Übertragung der Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur, die noch bei der Kommission liegen, auf die Agentur. Aufbauend auf diese externe Evaluierung hat die Kommission politische, rechtliche und faktische Entwicklungen berücksichtigt und insbesondere in ihrem Bericht vom 29. Juni 2017 über die Funktionsweise der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) (im Folgenden „Bewertungsbericht“) vorgeschlagen, den Auftrag der Agentur auf die Aufgaben auszudehnen, die sich aus der Annahme von Gesetzgebungsvorschlägen, mit denen der Agentur neue Systeme anvertraut werden sollen, durch die Mitgesetzgeber ergeben, und — vorbehaltlich der gegebenenfalls erforderlichen Annahme der entsprechenden Rechtsakte der Union — auf die Aufgaben, auf die in der Mitteilung der Kommission vom 6. April 2016 mit dem Titel „Solidere und intelligentere Informationssysteme für das Grenzmanagement und mehr Sicherheit“, im Abschlussbericht der hochrangigen Expertengruppe für Informationssysteme und Interoperabilität vom 11. Mai 2017 und in der Mitteilung der Kommission vom 16. Mai 2017 mit dem Titel „Auf dem Weg zu einer wirksamen und echten Sicherheitsunion — Siebter Fortschrittsbericht“ Bezug genommen wird. Insbesondere sollte die Agentur mit der Entwicklung von Lösungen in Bezug auf Interoperabilität betraut werden, die in der Mitteilung vom 6. April 2016 als die Fähigkeit von Informationssystemen, Daten auszutauschen und die gemeinsame Nutzung von Informationen zu ermöglichen, definiert wird. Die Maßnahmen auf dem Gebiet der Interoperabilität sollten, soweit einschlägig, den Vorgaben der Mitteilung der Kommission vom 23. März 2017 mit dem Titel „Europäischer Interoperabilitätsrahmen — Umsetzungsstrategie“ folgen. Anhang 2 dieser Mitteilung enthält die allgemeinen Leitlinien, Empfehlungen und bewährten Verfahren zur Herstellung der Interoperabilität oder zumindest eines geeigneten Umfelds für mehr Interoperabilität bei der Konzeption, Umsetzung und Verwaltung europäischer öffentlicher Dienstleistungen. |
(8) |
Der Bewertungsbericht ergab ferner, dass der Auftrag der Agentur ausgeweitet werden sollte, um ihr zu ermöglichen, die Mitgliedstaaten bei der Verbindung ihrer nationalen Systeme mit den Zentralsystemen der von ihr verwalteten IT-Großsysteme (im Folgenden „Systeme“) zu beraten, ihnen auf Anforderung Ad-hoc-Hilfe und Unterstützung zu gewähren sowie den Kommissionsdienststellen Hilfe und Unterstützung in technischen Fragen im Zusammenhang mit neuen Systemen zukommen zu lassen. |
(9) |
Die Agentur sollte mit der Konzeption, der Entwicklung und dem Betriebsmanagement des Einreise-/Ausreisesystems (EES) betraut werden, das mit der Verordnung (EU) 2017/2226 des Europäischen Parlaments und des Rates (11) geschaffen wurde. |
(10) |
Der Agentur sollte auch das Betriebsmanagement des DubliNet, eines gesonderten gesicherten elektronischen Übermittlungskanals nach Artikel 18 der Verordnung (EG) Nr. 1560/2003 der Kommission (12), übertragen werden, den die in den Mitgliedstaaten für Asylfragen zuständigen Behörden für den Austausch von Informationen über Personen, die internationalen Schutz beantragen, nutzen sollten. |
(11) |
Zudem sollte die Agentur mit der Konzeption, der Entwicklung und dem Betriebsmanagement des Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) betraut werden, das mit der Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates (13) geschaffen wurde. |
(12) |
Zentrale Aufgabe der Agentur sollte weiterhin das Betriebsmanagement der von SIS II, VIS, Eurodac, EES, DubliNet, ETIAS sowie, im Falle eines entsprechenden Beschlusses, anderer IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts sein. Die Agentur sollte ferner für technische Maßnahmen zuständig sein, die für die Ausführung der ihr übertragenen nicht-normativen Aufgaben erforderlich sind. Diese Zuständigkeiten sollten die normativen Aufgaben nicht berühren, die der Kommission allein oder der Kommission mit Unterstützung eines Ausschusses nach den jeweiligen Rechtsakten der Union über die Systeme vorbehalten sind. |
(13) |
Die Agentur sollte in der Lage sein, technische Lösungen umzusetzen, um den Verfügbarkeitsanforderungen zu entsprechen, die in den Rechtsakten der Union zur Regelung der Systeme festgelegt sind, wobei die spezifischen Bestimmungen dieser Rechtsakte über die technische Architektur der jeweiligen Systeme uneingeschränkt eingehalten werden müssen. Wenn diese technischen Lösungen die Duplizierung eines Systems oder von Bestandteilen eines Systems erfordern, sollte eine unabhängige Folgenabschätzung und Kosten-Nutzen-Analyse durchgeführt werden, und der Verwaltungsrat sollte nach Anhörung der Kommission einen Beschluss fassen. Die Folgenabschätzung sollte auch eine Prüfung des Bedarfs an Hosting-Kapazität der bestehenden technischen Standorte im Zusammenhang mit der Entwicklung solcher technischer Lösungen sowie der möglichen Risiken der derzeitigen Betriebsinfrastruktur umfassen. |
(14) |
Es ist nicht länger gerechtfertigt, dass die Kommission bestimmte Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur der Systeme behält und diese Aufgaben sollten daher im Interesse einer besseren Kohärenz des Managements der Kommunikationsinfrastruktur der Agentur übertragen werden. In Bezug auf die Systeme, die EuroDomain verwenden — eine von TESTA-ng (Transeuropäische Telematikdienste für Behörden — neue Generation) bereitgestellte Infrastruktur zur verschlüsselten Kommunikation, die als Teil des ISA-Programms eingerichtet wurde, das mit dem Beschluss Nr. 922/2009/EG des Europäischen Parlaments und des Rates (14) errichtet wurde und durch das ISA2-Programm fortgeführt wurde, das mit dem Beschluss (EU) 2015/2240 des Europäischen Parlaments und des Rates (15) errichtet wurde —, sollten jedoch die Aufgaben im Zusammenhang mit der Ausführung des Haushaltsplans, der Anschaffung und Erneuerung und vertraglichen Fragen bei der Kommission verbleiben. |
(15) |
Im Einklang mit der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (16) sollte die Agentur Aufgaben im Zusammenhang mit der Bereitstellung, Einrichtung, Pflege und Überwachung der Kommunikationsinfrastruktur an externe privatrechtliche Stellen oder Einrichtungen übertragen können. Die Agentur sollte über ausreichende finanzielle und personelle Ressourcen verfügen, damit die Übertragung ihrer Aufgaben und Pflichten an externe privatrechtliche Stellen oder Einrichtungen möglichst gering gehalten werden kann. |
(16) |
Die Agentur sollte weiterhin Schulungen zur technischen Nutzung von SIS II, VIS und Eurodac sowie anderen Systemen, deren Betriebsmanagement ihr künftig gegebenenfalls übertragen wird, veranstalten. |
(17) |
Um zur faktenbasierten Gestaltung der Migrations- und Sicherheitspolitik der Union und zur Überwachung des ordnungsgemäßen Funktionierens der Systeme beizutragen, sollte die Agentur Statistiken erstellen und veröffentlichen sowie statistische Berichte erstellen und sie den jeweiligen Akteuren im Einklang mit den Unionsrechtsakten zur Regelung der Systeme zur Verfügung stellen, z. B. zur Überwachung der Durchführung der Verordnung (EU) Nr. 1053/2013 des Rates (17) sowie für die Zwecke einer Risikoanalyse und einer Schwachstellenbeurteilung im Einklang mit der Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates (18). |
(18) |
Es sollte möglich sein, der Agentur auch die Zuständigkeit für die Konzeption, die Entwicklung und das Betriebsmanagement weiterer IT-Großsysteme gemäß Artikel 67 bis 89 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zu übertragen. Mögliche Beispiele solcher Systeme könnten das zentralisierte System für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen zur Ergänzung und Unterstützung des Europäischen Strafregisterinformationssystems (ECRIS-TNC-System) vorliegen oder das EDV-System für die grenzüberschreitende Kommunikation in Zivil- und Strafsachen (e-CODEX) sein. Die Agentur sollte jedoch mit solchen Systemen nur mittels nachfolgender gesonderter Rechtsakte der Union betraut werden, denen eine Folgenabschätzung vorausgegangen ist. |
(19) |
Der Auftrag der Agentur im Forschungsbereich sollte ausgeweitet werden, um ihre Fähigkeit zur vorausschauenden Anregung wichtiger und notwendiger technischer Veränderungen an den Systemen zu verbessern. Die Agentur sollte für das Betriebsmanagement der Systeme relevante Forschungstätigkeiten nicht nur überwachen können sondern auch einen Beitrag zur Durchführung von einschlägigen Teilen des Rahmenprogramms der Europäischen Union für Forschung und Innovation leisten können, sofern die Kommission der Agentur die entsprechenden Befugnisse überträgt. Sie sollte ihre Beobachtungen mindestens einmal jährlich dem Europäischen Parlament, dem Rat und, wenn es um die Verarbeitung personenbezogener Daten geht, dem Europäischen Datenschutzbeauftragten übermitteln. |
(20) |
Die Kommission sollte der Agentur die Zuständigkeit für die Durchführung von Pilotprojekten experimenteller Art, mit denen Durchführbarkeit und Nutzen einer Maßnahme bewertet werden, übertragen können, für die gemäß der Verordnung (EU, Euratom) 2018/1046 kein Basisrechtsakt erforderlich ist. Ferner sollte die Kommission die Agentur nach Unterrichtung des Europäischen Parlaments mit Aufgaben der Haushaltsausführung für Machbarkeitsprüfungen betrauen können, die aus dem Instrument für die finanzielle Unterstützung für Außengrenzen und Visa nach der Verordnung (EU) Nr. 515/2014 des Europäischen Parlaments und des Rates (19) im Einklang mit der Verordnung (EU, Euratom) 2018/1046 finanziert werden. Es sollte für die Agentur auch möglich sein, Testmaßnahmen zu planen und durchzuführen, die eindeutig unter die vorliegende Verordnung und die Rechtsakte der Union fallen, welche die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme regeln, wie beispielsweise die Erprobung von Virtualisierungskonzepten. Bei der Durchführung von Pilotprojekten sollte die Agentur der Strategie der Europäischen Union für das Informationsmanagement besondere Beachtung schenken. |
(21) |
Die Agentur sollte die Mitgliedstaaten auch auf deren Ersuchen im Hinblick auf die Anbindung der nationalen Systeme an die in den Rechtsakten der Union zur Regelung der Systeme vorgesehenen zentralen Systeme beraten. |
(22) |
Die Agentur sollte die Mitgliedstaaten auf deren Ersuchen — nach dem in dieser Verordnung festgelegten Verfahren — ad-hoc unterstützen, wenn besondere Herausforderungen oder Bedürfnisse in Bezug auf Sicherheit oder Migration dies erfordern. Ein Mitgliedstaat sollte insbesondere dann operative und technische Verstärkung anfordern und darauf zurückgreifen können, wenn dieser Mitgliedstaat infolge eines starken Migrationszustroms an bestimmten Abschnitten seiner Außengrenzen einem besonderen und unverhältnismäßigen Zuwanderungsdruck ausgesetzt ist. Diese Verstärkung sollte in Brennpunkten durch die Teams zur Unterstützung der Migrationsverwaltung zur Verfügung gestellt werden, denen Experten aus den einschlägigen Agenturen der Union angehören. Wenn in diesem Zusammenhang die Unterstützung der Agentur in Bezug auf die Systeme erforderlich ist, sollte der betreffende Mitgliedstaat einen Unterstützungsantrag an die Kommission richten, die ihn — nachdem sie zu der Einschätzung gelangt ist, dass diese Unterstützung tatsächlich gerechtfertigt ist — unverzüglich an die Agentur weiterleiten sollte. Die Agentur sollte den Verwaltungsrat über solche Anträge unterrichten. Die Kommission sollte auch überwachen, ob die Agentur auf den Antrag auf Ad-hoc-Unterstützung zeitnah reagiert. Im jährlichen Tätigkeitsbericht der Agentur sollte detailliert darauf eingegangen werden, welche Maßnahmen die Agentur zur Ad-hoc-Unterstützung der Mitgliedstaaten ergriffen hat und welche Kosten in diesem Zusammenhang angefallen sind. |
(23) |
Die Agentur sollte auf Anforderung auch die Kommissionsdienststellen in technischen Fragen im Zusammenhang mit bestehenden oder neuen Systemen und insbesondere bei der Ausarbeitung neuer Vorschläge über IT-Großsysteme, mit denen die Agentur betraut werden soll, unterstützen. |
(24) |
Es sollte möglich sein, dass eine Gruppe von Mitgliedstaaten die Agentur mit der Entwicklung, dem Management oder dem Hosting einer gemeinsamen IT-Komponente betraut, um sie bei der Umsetzung technischer Aspekte der Verpflichtungen zu unterstützen, die sich aus den Rechtsvorschriften der Union zu dezentralen IT-Systemen im Raum der Freiheit, der Sicherheit und des Rechts ergeben. Dies sollte unbeschadet der Verpflichtungen dieser Mitgliedstaaten aus den geltenden Rechtsakten der Union, insbesondere in Bezug auf die Architektur dieser Systeme, gelten. Dies sollte an die vorherige Zustimmung durch die Kommission und einen positiven Beschluss des Verwaltungsrats geknüpft sein, in einer Übertragungsvereinbarung zwischen den betreffenden Mitgliedstaaten und der Agentur festgehalten und vollständig von den betreffenden Mitgliedstaaten finanziert werden. Die Agentur sollte das Europäische Parlament und den Rat über die gebilligte Übertragungsvereinbarung und etwaige Änderungen dieser Vereinbarung unterrichten. Andere Mitgliedstaaten sollten sich an solchen gemeinsamen IT-Lösungen beteiligen können, sofern diese Möglichkeit in der Übertragungsvereinbarung vorgesehen ist und die notwendigen Änderungen an der Vereinbarung vorgenommen werden. Diese Aufgabe sollte sich nicht nachteilig auf das Betriebsmanagement der Systeme durch die Agentur auswirken. |
(25) |
Die Übertragung des Betriebsmanagements von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts auf die Agentur sollte sich nicht auf die für diese Systeme geltenden besonderen Vorschriften auswirken. Vor allem die besonderen Vorschriften über Zweckgebundenheit, Zugriffsrechte, Sicherheitsmaßnahmen und weitere Datenschutzanforderungen für jedes dieser Systeme sind in vollem Umfang anwendbar. |
(26) |
Um die Arbeitsabläufe bei der Agentur wirksam überwachen zu können, sollten die Mitgliedstaaten und die Kommission im Verwaltungsrat vertreten sein. Der Verwaltungsrat sollte mit den erforderlichen Befugnissen unter anderem für die Annahme des Jahresarbeitsprogramms, für die Wahrnehmung seiner Aufgaben in Bezug auf den Haushalt der Agentur, für den Erlass der für die Agentur geltenden Finanzregelung und für die Festlegung der Verfahren ausgestattet werden, mit denen der Exekutivdirektor Beschlüsse im Zusammenhang mit den operativen Aufgaben der Agentur fasst. Der Verwaltungsrat sollte diese Aufgaben effizient und in transparenter Weise erfüllen. Im Anschluss an die Durchführung eines angemessenen Auswahlverfahrens durch die Kommission und an eine Anhörung der vorgeschlagenen Bewerber im zuständigen Ausschuss oder in den zuständigen Ausschüssen des Europäischen Parlaments sollte der Verwaltungsrat außerdem einen Exekutivdirektor ernennen. |
(27) |
Da die Zahl der IT-Großsysteme, mit denen die Agentur betraut ist, bis 2020 erheblich steigen wird, und da der Agentur viele neue Aufgaben übertragen werden, wird ihr bis 2020 auch entsprechend mehr Personal zugewiesen. Daher sollte die Stelle eines stellvertretenden Exekutivdirektors der Agentur geschaffen werden, wobei berücksichtigt werden muss, dass die Aufgaben im Zusammenhang mit der Entwicklung und dem Betriebsmanagement der Systeme verstärkte und gezielte Aufsicht erfordern und dass der Hauptsitz und die technischen Standorte der Agentur auf drei Mitgliedstaaten verteilt sind. Der stellvertretende Exekutivdirektor sollte vom Verwaltungsrat ernannt werden. |
(28) |
Bei der Leitung und dem Betrieb der Agentur sollten die Grundsätze des am 19. Juli 2012 vom Europäischen Parlament, vom Rat und von der Kommission angenommenen gemeinsamen Konzepts für die dezentralen Agenturen der Union berücksichtigt werden. |
(29) |
Im Hinblick auf das SIS II sollten die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (im Folgenden „Europol“) und die Europäische Stelle für justizielle Zusammenarbeit (im Folgenden „Eurojust“), die beide gemäß des Beschlusses 2007/533/JI eine Zugangsberechtigung für das SIS II haben und dort direkt Daten abfragen können, bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung dieses Beschlusses stehen. Die Europäische Agentur für die Grenz- und Küstenwache, die gemäß der Verordnung (EU) 2016/1624 eine Zugangsberechtigung für das SIS II hat und Daten abfragen kann, sollte bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung jener Verordnung stehen. Europol, Eurojust und die Europäische Agentur für die Grenz- und Küstenwache sollten jeweils einen Vertreter in die gemäß dieser Verordnung eingerichtete SIS II-Beratergruppe entsenden können. |
(30) |
In Bezug auf das VIS sollte Europol bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung des Beschlusses 2008/633/JI stehen. Europol sollte einen Vertreter in die gemäß der vorliegenden Verordnung eingerichtete VIS-Beratergruppe entsenden können. |
(31) |
In Bezug auf Eurodac sollte Europol bei Sitzungen des Verwaltungsrates Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung der Verordnung (EU) Nr. 603/2013 stehen. Europol sollte einen Vertreter in die aufgrund der vorliegenden Verordnung geschaffene Eurodac-Beratergruppe entsenden können. |
(32) |
In Bezug auf das EES sollte Europol bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung der Verordnung (EU) 2017/2226 stehen. |
(33) |
In Bezug auf ETIAS sollte Europol bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung der Verordnung (EU) 2018/1240 stehen. Die Europäische Agentur für die Grenz- und Küstenwache sollte bei Sitzungen des Verwaltungsrats ebenfalls Beobachterstatus haben, wenn auf der Tagesordnung ETIAS betreffende Angelegenheiten im Zusammenhang mit der Anwendung jener Verordnung stehen. Europol und die Europäische Agentur für die Grenz- und Küstenwache sollten jeweils einen Vertreter in die aufgrund der vorliegenden Verordnung geschaffene EES-ETIAS-Beratergruppe entsenden können. |
(34) |
Die Mitgliedstaaten sollten über Stimmrechte im Verwaltungsrat in Bezug auf IT-Großsysteme verfügen, sofern sie nach dem Unionsrecht durch einen Rechtsakt der Union betreffend die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen Systems gebunden sind. Auch Dänemark sollte über Stimmrechte in Bezug auf ein IT-Großsystem verfügen, wenn es nach Artikel 4 des dem Vertrag über die Europäische Union (EUV) und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beschließt, den Rechtsakt der Union betreffend die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen Systems in sein nationales Recht umzusetzen. |
(35) |
Die Mitgliedstaaten sollten ein Mitglied in die Beratergruppe für ein IT-Großsystem entsenden, sofern sie nach dem Unionsrecht durch einen Rechtsakt der Union in Bezug auf die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen Systems gebunden sind. Auch Dänemark sollte ein Mitglied in die Beratergruppe für ein IT-Großsystem entsenden, wenn es nach Artikel 4 des Protokolls Nr. 22 beschließt, den Rechtsakt der Union betreffend die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen IT-Großsystems in sein nationales Recht umzusetzen. Die Beratergruppen sollten erforderlichenfalls untereinander zusammenarbeiten. |
(36) |
Um die vollständige Selbstständigkeit und Unabhängigkeit der Agentur sicherzustellen und sie in die Lage zu versetzen, die Ziele und Aufgaben, die ihr mit dieser Verordnung übertragen wurden, angemessen zu verwirklichen bzw. wahrzunehmen, sollte sie mit einem angemessenen und eigenständigen Haushalt ausgestattet werden, dessen Einnahmen aus dem Gesamthaushaltsplan der Union stammen. Die Finanzierung der Agentur sollte einer Einigung zwischen dem Europäischen Parlament und dem Rat gemäß Nummer 31 der Interinstitutionellen Vereinbarung vom 2. Dezember 2013 zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission über die Haushaltsdisziplin, die Zusammenarbeit im Haushaltsbereich und die wirtschaftliche Haushaltsführung (20) unterliegen. Es sollten die Haushalts- und Entlastungsverfahren der Union gelten. Die Rechnungsprüfung und die Prüfung der Rechtmäßigkeit und Ordnungsmäßigkeit der zugrunde liegenden Vorgänge sollten durch den Rechnungshof erfolgen. |
(37) |
Zur Wahrnehmung ihres Auftrags und soweit es für die Erfüllung ihrer Aufgaben erforderlich ist, sollte die Agentur mit den Organen, Einrichtungen und sonstigen Stellen der Union, insbesondere mit denjenigen, die im Raum der Freiheit, der Sicherheit und des Rechts tätig sind, in den in dieser Verordnung und in den Rechtsakten der Union, die für die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme gelten, geregelten Belangen im Rahmen von Arbeitsvereinbarungen im Einklang mit Recht und Politik der Union und im Rahmen ihrer jeweiligen Zuständigkeiten kooperieren können. Wenn dies durch einen Rechtsakt der Union vorgesehen ist, sollte es der Agentur ferner gestattet sein, mit internationalen Organisationen und anderen einschlägigen Stellen zusammenzuarbeiten, und sie sollte in der Lage sein, Arbeitsvereinbarungen zu diesem Zweck zu schließen. Diese Arbeitsvereinbarungen sollten der vorherigen Zustimmung der Kommission unterliegen und vom Verwaltungsrat genehmigt werden. Ferner sollte die Agentur gegebenenfalls die durch die Verordnung (EG) Nr. 526/2013 des Europäischen Parlaments und des Rates (21) errichtete Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) in Bezug auf die Netz- und Informationssicherheit konsultieren und deren Empfehlungen nachkommen. |
(38) |
Die Agentur sollte bei der Entwicklung und beim Betriebsmanagement der Systeme europäischen und internationalen Standards folgen und höchsten fachlichen Anforderungen, insbesondere der Strategie der Europäischen Union für das Informationsmanagement, Rechnung tragen. |
(39) |
Die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (22) sollte bei der Verarbeitung personenbezogener Daten durch die Agentur Anwendung finden, unbeschadet der in den Rechtsakten der Union, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme regeln, festgelegten Datenschutzbestimmungen, die der Verordnung (EU) 2018/1725 entsprechen sollten. Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen die Verordnung (EU) 2018/1725 oder die für die Systeme geltenden Rechtsakte der Union verstoßende Verarbeitung sollte die Agentur die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies einen physischen, materiellen oder immateriellen Schaden herbeiführen könnte. Der Europäische Datenschutzbeauftragte sollte die Möglichkeit haben, von der Agentur Zugang zu allen für seine Untersuchungen erforderlichen Informationen zu erhalten. Die Kommission hat gemäß der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (23) den Europäischen Datenschutzbeauftragten konsultiert, der am 10. Oktober 2017 eine Stellungnahme abgegeben hat. |
(40) |
Im Interesse einer transparenten Arbeitsweise der Agentur sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (24) auf die Agentur Anwendung finden. Die Agentur sollte bei ihren Tätigkeiten so viel Transparenz wie möglich walten lassen, ohne dadurch die Verwirklichung der Ziele ihrer Tätigkeiten zu gefährden. Sie sollte Informationen über sämtliche Tätigkeiten veröffentlichen. Sie sollte in gleicher Weise gewährleisten, dass die Öffentlichkeit und alle interessierten Parteien zügig Informationen über ihre Arbeit erhalten. |
(41) |
Die Tätigkeiten der Agentur sollten im Einklang mit Artikel 228 AEUV der Prüfung durch den Europäischen Bürgerbeauftragten unterliegen. |
(42) |
Die Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates (25) sollte auf die Agentur Anwendung finden, und die Agentur sollte der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) (26) beitreten. |
(43) |
Die Verordnung (EU) 2017/1939 (27) des Rates über die Errichtung einer Europäischen Staatsanwaltschaft sollte auf die Agentur Anwendung finden. |
(44) |
Um offene und transparente Beschäftigungsbedingungen zu gewährleisten und eine Gleichbehandlung des Personals sicherzustellen, sollten für das Personal, den Exekutivdirektor und den stellvertretenden Exekutivdirektor der Agentur das Statut der Beamten der Europäischen Union (im Folgenden „Beamtenstatut“) und die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden „Beschäftigungsbedingungen“), festgelegt in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (28) des Rates (im Folgenden zusammen „Statut“), einschließlich der Regeln für die berufliche Schweigepflicht oder eine andere vergleichbare Geheimhaltungspflicht gelten. |
(45) |
Da die Agentur eine von der Union geschaffene Einrichtung im Sinne der Verordnung (EU, Euratom) 2018/1046 ist, sollte sie ihre Finanzregelungen dementsprechend festlegen. |
(46) |
Für die Agentur sollte die Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission (29) gelten. |
(47) |
Die durch die vorliegende Verordnung errichtete Agentur tritt an die Stelle der auf der Grundlage der Verordnung (EU) Nr. 1077/2011 errichteten Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts und wird deren Nachfolgerin. Sie sollte daher die Rechtsnachfolgerin für alle Verträge, Verbindlichkeiten und Vermögenswerte der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts in der durch die Verordnung (EU) Nr. 1077/2011 errichteten Form sein. Die vorliegende Verordnung sollte die rechtliche Wirksamkeit der von der Agentur auf der Grundlage der Verordnung (EU) Nr. 1077/2011 geschlossenen Vereinbarungen, Arbeitsvereinbarungen und Absichtserklärungen unbeschadet etwaiger Änderungen, die aufgrund der vorliegenden Verordnung erforderlich sind, unberührt lassen. |
(48) |
Um zu gewährleisten, dass die Agentur die Aufgaben der durch die Verordnung (EU) Nr. 1077/2011 errichteten Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts weiterhin nach bestem Vermögen erfüllen kann, sollten vor allem in Bezug auf den Verwaltungsrat, die Beratergruppen, den Exekutivdirektor und die vom Verwaltungsrat erlassenen internen Vorschriften und Maßnahmen Übergangsregelungen getroffen werden. |
(49) |
Die vorliegende Verordnung soll die Bestimmungen der Verordnung (EU) Nr. 1077/2011 ändern und ausweiten. Da die durch die vorliegende Verordnung vorzunehmenden Änderungen sowohl bezüglich der Zahl als auch hinsichtlich des Inhalts erheblich sind, sollte die Verordnung (EU) Nr. 1077/2011 aus Gründen der Klarheit für die Mitgliedstaaten, die durch die vorliegende Verordnung gebunden sind, vollständig ersetzt werden. Die durch die vorliegende Verordnung errichtete Agentur sollte die Aufgaben der durch die Verordnung (EU) Nr. 1077/2011 errichteten Agentur übernehmen und wahrnehmen und jene Verordnung sollte daher aufgehoben werden. |
(50) |
Da die Ziele dieser Verordnung, nämlich die Errichtung einer Agentur auf Unionsebene, die für das Betriebsmanagement und gegebenenfalls die Entwicklung von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts zuständig ist, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs und der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht die vorliegende Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus. |
(51) |
Nach den Artikeln 1 und 2 des Protokolls Nr. 22 beteiligt sich Dänemark nicht an der Annahme dieser Verordnung und ist weder durch die vorliegende Verordnung gebunden noch zur ihrer Anwendung verpflichtet. Da die vorliegende Verordnung, soweit sie das SIS II und das VIS sowie das EES und ETIAS betrifft, den Schengen-Besitzstand ergänzt, beschließt Dänemark gemäß Artikel 4 des genannten Protokolls innerhalb von sechs Monaten, nachdem der Rat die vorliegende Verordnung angenommen hat, ob es sie in nationales Recht umsetzt. Auf der Grundlage des Artikels 3 des Abkommens zwischen der Europäischen Gemeinschaft und dem Königreich Dänemark über die Kriterien und Verfahren zur Bestimmung des Staates, der für die Prüfung eines in Dänemark oder in einem anderen Mitgliedstaat der Europäischen Union gestellten Asylantrags zuständig ist, sowie über „Eurodac“ für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens (30) hat Dänemark der Kommission mitzuteilen, ob es den Inhalt dieser Verordnung umsetzen wird, soweit sie Eurodac und DubliNet betrifft. |
(52) |
Soweit sich ihre Bestimmungen auf das durch den Beschluss 2007/533/JI eingerichtete SIS II beziehen, beteiligt sich das Vereinigte Königreich an der vorliegenden Verordnung im Einklang mit Artikel 5 Absatz 1 des Protokolls Nr. 19 über den in den Rahmen der Europäischen Union einbezogenen Schengen-Besitzstand sowie im Einklang mit Artikel 8 Absatz 2 des Beschlusses 2000/365/EG des Rates (31). Soweit sich ihre Bestimmungen auf das durch die Verordnung (EG) Nr. 1987/2006 eingerichtete SIS II und das VIS sowie auf das EES und ETIAS beziehen, stellt die vorliegende Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich das Vereinigte Königreich gemäß dem Beschluss 2000/365/EG nicht beteiligt; das Vereinigte Königreich hat den Präsidenten des Rates mit Schreiben vom 19. Juli 2018 um die Ermächtigung ersucht, sich gemäß Artikel 4 des Protokolls Nr. 19 an der vorliegenden Verordnung zu beteiligen. Gemäß Artikel 1 des Beschlusses (EU) 2018/1600 des Rates (32) wurde das Vereinigte Königreich ermächtigt, sich an der vorliegenden Verordnung zu beteiligen. Soweit sich ihre Bestimmungen auf Eurodac und DubliNet beziehen, hat das Vereinigte Königreich außerdem mit Schreiben vom 23. Oktober 2017 an den Präsidenten des Rates seinen Wunsch bekundet, sich gemäß Artikel 3 des Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts, das dem EUV und dem AEUV beigefügt ist, an der Annahme und Anwendung der vorliegenden Verordnung zu beteiligen. Das Vereinigte Königreich beteiligt sich daher an der Annahme der vorliegenden Verordnung und ist durch die vorliegende Verordnung gebunden und zu Ihrer Anwendung verpflichtet. |
(53) |
Soweit sich ihre Bestimmungen auf das durch den Beschluss 2007/533/JI eingerichtete SIS II beziehen, könnte Irland sich grundsätzlich an der vorliegenden Verordnung im Einklang mit Artikel 5 Absatz 1 des Protokolls Nr. 19 sowie im Einklang mit Artikel 6 Absatz 2 des Beschlusses 2002/192/EG des Rates (33) beteiligen. Soweit sich ihre Bestimmungen auf das durch die Verordnung (EG) Nr. 1987/2006 eingerichtete SIS II und auf das VIS sowie auf das EES und ETIAS beziehen, stellt die vorliegende Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich Irland gemäß dem Beschluss 2002/192/EG des Rates nicht beteiligt. Irland hat nicht darum ersucht, sich gemäß Artikel 4 des Protokolls Nr. 19 an der Annahme der vorliegenden Verordnung zu beteiligen und ist weder durch die vorliegende Verordnung gebunden noch zu ihrer Anwendung verpflichtet, soweit die Maßnahmen nach der vorliegenden Verordnung Bestimmungen des Schengen-Besitzstand weiterentwickeln, da sie sich auf das SIS II beziehen, das der Verordnung (EG) Nr. 1987/2006 unterliegt, sowie auf das VIS, das EES und ETIAS. Soweit sich ihre Bestimmungen auf Eurodac und DubliNet beziehen, beteiligt sich Irland nach den Artikeln 1 und 2 und Artikel 4a Absatz 1 des Protokolls Nr. 21 nicht an der Annahme der vorliegenden Verordnung, und ist weder durch die vorliegende Verordnung gebunden noch zu ihrer Anwendung verpflichtet. Da es unter diesen Umständen nicht möglich ist sicherzustellen, dass die vorliegende Verordnung in allen ihren Teilen in Irland gilt, wie Artikel 228 AEUV verlangt, beteiligt Irland sich nicht an der Annahme der vorliegenden Verordnung und ist weder durch die vorliegende Verordnung gebunden noch zu Ihrer Anwendung verpflichtet, unbeschadet seiner Rechte und Pflichten nach den Protokollen Nr. 19 und Nr. 21. |
(54) |
Soweit sie sich auf das SIS II und das VIS, das EES und ETIAS bezieht, stellt die vorliegende Verordnung für Island und Norwegen eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (34) dar, die zu dem in Artikel 1 Buchstaben A, B und G des Beschlusses 1999/437/EG des Rates (35) genannten Bereich gehören. Soweit sich ihre Bestimmungen auf Eurodac und DubliNet beziehen, stellt die vorliegende Verordnung eine neue Maßnahme im Sinne des Übereinkommens zwischen der Europäischen Gemeinschaft und der Republik Island und dem Königreich Norwegen über die Kriterien und Regelungen zur Bestimmung des zuständigen Staates für die Prüfung eines in einem Mitgliedstaat oder in Island oder Norwegen gestellten Asylantrags (36) dar. Vorbehaltlich des Beschlusses der Republik Island und des Königreichs Norwegen, die vorliegende Verordnung in nationales Recht umzusetzen, sollten dem Verwaltungsrat der Agentur daher Delegationen der Republik Island und des Königreichs Norwegen angehören. Die näheren Bestimmungen, die eine Teilnahme der Republik Island und des Königreichs Norwegen an den Tätigkeiten der Agentur ermöglichen, sollten in einer zusätzlichen Vereinbarung zwischen der Union und diesen Staaten festgelegt werden. |
(55) |
Soweit sie sich auf das SIS II und das VIS, das EES und ETIAS bezieht, stellt die vorliegende Verordnung für die Schweiz eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (37) dar, die zu dem in Artikel 1 Buchstaben A, B und G des Beschlusses 1999/437/EG in Verbindung mit Artikel 3 des Beschlusses 2008/146/EG (38) des Rates genannten Bereich gehören. Soweit sich ihre Bestimmungen auf Eurodac und DubliNet beziehen, stellt die vorliegende Verordnung eine neue Maßnahme im Sinne des Abkommens zwischen der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Kriterien und Verfahren zur Bestimmung des zuständigen Staates für die Prüfung eines in einem Mitgliedstaat oder in der Schweiz gestellten Asylantrags (39) dar. Vorbehaltlich des Beschlusses der Schweizerischen Eidgenossenschaft, die vorliegende Verordnung in nationales Recht umzusetzen, sollte dem Verwaltungsrat der Agentur daher eine Delegation der Schweizerischen Eidgenossenschaft angehören. Die näheren Bestimmungen, die eine Teilnahme der Schweizerischen Eidgenossenschaft an den Tätigkeiten der Agentur erlauben, sollten in einer zusätzlichen Vereinbarung zwischen der Union und Delegation der Schweizerischen Eidgenossenschaft festgelegt werden. |
(56) |
Soweit sie das SIS II und das VIS, das EES und ETIAS betrifft, stellt die vorliegende Verordnung für Liechtenstein eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (40) dar, die zu dem in Artikel 1 Buchstaben A, B und G des Beschlusses 1999/437/EG in Verbindung mit Artikel 3 des Beschlusses 2011/350/EU des Rates (41) genannten Bereich gehören. Soweit sich ihre Bestimmungen auf Eurodac und DubliNet beziehen, stellt die vorliegende Verordnung eine neue Maßnahme im Sinne des Protokolls zwischen der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Kriterien und Verfahren zur Bestimmung des zuständigen Staates für die Prüfung eines in einem Mitgliedstaat oder in der Schweiz gestellten Asylantrags (42) dar. Vorbehaltlich des Beschlusses des Fürstentums Liechtenstein, die vorliegende Verordnung in nationales Recht umzusetzen, sollte dem Verwaltungsrat der Agentur daher eine Delegation des Fürstentums Liechtenstein angehören. Die näheren Bestimmungen, die eine Teilnahme des Fürstentums Liechtenstein an den Tätigkeiten der Agentur erlauben, sollten in einer zusätzlichen Vereinbarung zwischen der Union und dem Fürstentum Liechtenstein festgelegt werden — |
HABEN FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
GEGENSTAND UND ZIELE
Artikel 1
Gegenstand
(1) Hiermit wird eine Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (im Folgenden „Agentur“) errichtet.
(2) Die durch die vorliegende Verordnung errichtete Agentur tritt an die Stelle der mit der Verordnung (EU) Nr. 1077/2011 errichteten Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts und wird deren Nachfolgerin.
(3) Die Agentur ist für das Betriebsmanagement des Schengener Informationssystems (SIS II), des Visa-Informationssystems (VIS) und von Eurodac zuständig.
(4) Die Agentur ist für die Konzeption, die Entwicklung und das Betriebsmanagement des Einreise-/Ausreisesystems (EES), von DubliNet und des Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) zuständig.
(5) Der Agentur kann die Zuständigkeit für die Konzeption, die Entwicklung und das Betriebsmanagement anderer als der in den Absätzen 3 und 4 dieses Artikels genannten IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts, einschließlich bestehender Systeme, übertragen werden, jedoch nur, wenn dies in entsprechenden, auf die Artikel 67 bis 89 AEUV gestützten Rechtsakten der Union zur Regelung dieser Systeme vorgesehen ist; dabei ist gegebenenfalls den in Artikel 14 dieser Verordnung genannten Entwicklungen in der Forschung und den Ergebnissen der in Artikel 15 dieser Verordnung genannten Pilotprojekte und Konzeptnachweise Rechnung zu tragen.
(6) Das Betriebsmanagement besteht aus allen Aufgaben, die erforderlich sind, um IT-Großsysteme im Einklang mit den spezifischen Bestimmungen für jedes IT-Großsystem in Betrieb zu halten, einschließlich der Zuständigkeit für die von ihnen verwendete Kommunikationsinfrastruktur. Diese IT-Großsysteme dürfen untereinander weder Daten austauschen noch den Austausch von Informationen oder Kenntnissen ermöglichen, wenn dies nicht in einem besonderen Rechtsakt der Union vorgesehen ist.
(7) Die Agentur ist ferner für die folgenden Aufgaben zuständig:
a) |
Sicherstellung der Datenqualität im Einklang mit Artikel 12, |
b) |
Entwicklung der für die Ermöglichung der Interoperabilität erforderlichen Maßnahmen im Einklang mit Artikel 13, |
b) |
Durchführung von Forschungstätigkeiten im Einklang mit Artikel 14, |
d) |
Durchführung von Pilotprojekten, Konzeptnachweisen und Tests im Einklang mit Artikel 15 und |
e) |
Unterstützung der Mitgliedstaaten und der Kommission im Einklang mit Artikel 16. |
Artikel 2
Ziele
Unbeschadet der jeweiligen Zuständigkeiten der Kommission und der Mitgliedstaaten nach den Rechtsakten der Union, die IT-Großsysteme regeln, sorgt die Agentur für
a) |
die Entwicklung von IT-Großsystemen unter Verwendung einer geeigneten Projektmanagementstruktur für die effiziente Entwicklung solcher Systeme; |
b) |
den wirksamen, sicheren und kontinuierlichen Betrieb von IT-Großsystemen; |
c) |
die effiziente und in finanzieller Hinsicht rechenschaftspflichtige Verwaltung von IT-Großsystemen, |
d) |
eine angemessen hohe Dienstqualität für die Nutzer von IT-Großsystemen, |
e) |
die Kontinuität und ununterbrochene Verfügbarkeit der Dienste, |
f) |
ein hohes Datenschutzniveau im Einklang mit dem Datenschutzrecht der Union einschließlich der spezifischen Bestimmungen für jedes IT-Großsystem, |
g) |
ein angemessenes Niveau an Datensicherheit und physischer Sicherheit im Einklang mit den geltenden Vorschriften, einschließlich der spezifischen Bestimmungen für jedes IT-Großsystem. |
KAPITEL II
AUFGABEN DER AGENTUR
Artikel 3
Aufgaben im Zusammenhang mit dem SIS II
In Bezug auf das SIS II nimmt die Agentur die folgenden Aufgaben wahr:
a) |
die Aufgaben, die der Verwaltungsbehörde mit der Verordnung (EG) Nr. 1987/2006 und dem Beschluss 2007/533/JI übertragen wurden; und |
b) |
Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des SIS II, insbesondere für SIRENE-Personal (SIRENE — Supplementary Information Request at the National Entries — Antrag auf Zusatzinformationen bei den nationalen Eingangsstellen), und mit Schulungen von Experten zu den technischen Aspekten des SIS II im Rahmen der Schengen-Evaluierung. |
Artikel 4
Aufgaben im Zusammenhang mit dem VIS
In Bezug auf das VIS nimmt die Agentur die folgenden Aufgaben wahr:
a) |
die Aufgaben, die der Verwaltungsbehörde mit der Verordnung (EG) Nr. 767/2008 und dem Beschluss 2008/633/JI übertragen wurden; und |
b) |
Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des VIS und mit Schulungen von Experten zu den technischen Aspekten des VIS im Rahmen der Schengen-Evaluierung. |
Artikel 5
Aufgaben im Zusammenhang mit Eurodac
In Bezug auf Eurodac nimmt die Agentur die folgenden Aufgaben wahr:
a) |
die Aufgaben, die ihr durch die Verordnung (EU) Nr. 603/2013 übertragen wurden, und |
b) |
Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung von Eurodac. |
Artikel 6
Aufgaben im Zusammenhang mit dem EES
In Bezug auf das EES nimmt die Agentur die folgenden Aufgaben wahr:
a) |
die Aufgaben, die ihr durch die Verordnung (EU) 2017/2226 übertragen wurden; und |
b) |
Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung des EES und mit Schulungen von Experten zu den technischen Aspekten des EES im Rahmen der Schengen-Evaluierung. |
Artikel 7
Aufgaben im Zusammenhang mit dem ETIAS
In Bezug auf ETIAS nimmt die Agentur die folgenden Aufgaben wahr:
a) |
die Aufgaben, die ihr mit der Verordnung (EU) 2018/1240 übertragen wurden; und |
b) |
Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung von ETIAS und mit Schulungen von Experten zu den technischen Aspekten von ETIAS im Rahmen der Schengen-Evaluierung. |
Artikel 8
Aufgaben im Zusammenhang mit DubliNet
In Bezug auf DubliNet nimmt die Agentur die folgenden Aufgaben wahr:
a) |
das Betriebsmanagement von DubliNet, einem gesonderten gesicherten elektronischen Übermittlungskanal zwischen den Behörden der Mitgliedstaaten, der gemäß Artikel 18 der Verordnung (EG) Nr. 1560/2003 für die Zwecke der Artikel 31, 32 und 34 der Verordnung (EU) Nr. 604/2013 des Europäischen Parlaments und des Rates (43) eingerichtet wurde; und |
b) |
Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung von DubliNet. |
Artikel 9
Aufgaben im Zusammenhang mit der Konzeption, der Entwicklung und dem Betriebsmanagement anderer IT-Großsysteme
Wenn die Agentur mit der Konzeption, der Entwicklung oder dem Betriebsmanagement anderer IT-Großsysteme im Sinne des Artikels 1 Absatz 5 betraut wird, nimmt sie die Aufgaben wahr, die ihr nach dem Rechtsakt der Union, das das betreffende System regelt, übertragen wurden, sowie gegebenenfalls Aufgaben im Zusammenhang mit Schulungen zur technischen Nutzung dieser Systeme.
Artikel 10
Technische Lösungen mit spezifischen Anforderungen vor der Umsetzung
Ist die Agentur aufgrund der Rechtsakte der Union zur Regelung der Systeme verpflichtet, diese Systeme täglich rund um die Uhr und unbeschadet dieser Rechtsakte der Union in Betrieb zu halten, so setzt sie technische Lösungen um, um diese Anforderungen zu erfüllen. Erfordern diese technischen Lösungen eine Duplizierung eines Systems oder von Bestandteilen eines Systems, so werden sie erst umgesetzt, nachdem eine von der Agentur in Auftrag zu gebende unabhängige Folgenabschätzung und Kosten-Nutzen-Analyse durchgeführt wurde und nachdem die Kommission angehört wurde und der Verwaltungsrat einen positiven Beschluss gefasst hat. Im Rahmen dieser Folgenabschätzung wird auch der bestehende und künftige Bedarf an Hosting-Kapazität der bestehenden technischen Standorte im Zusammenhang mit der Entwicklung solcher technischer Lösungen sowie der möglichen Risiken der derzeitigen Betriebsinfrastruktur untersucht.
Artikel 11
Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur
(1) Die Agentur erfüllt alle Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur der Systeme, die ihr mit den Rechtsakten der Union, die die Systeme regeln, übertragen wurden, mit Ausnahme der Systeme, die für ihre Kommunikationsinfrastruktur die EuroDomain nutzen. Bei den Systemen, die die EuroDomain in dieser Weise nutzen, ist die Kommission für Haushaltsvollzug, Anschaffung und Erneuerung sowie vertragliche Fragen zuständig. Im Einklang mit den Rechtsakten der Union zur Regelung der Systeme, die die EuroDomain nutzen, teilen sich die Agentur und die Kommission die Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur, einschließlich des Betriebsmanagements und der Sicherheit. Um sicherzustellen, dass ihre jeweiligen Zuständigkeiten untereinander kohärent ausgeübt werden, vereinbaren die Agentur und die Kommission betriebliche Arbeitsvereinbarungen, die in einer Absichtserklärung niedergelegt werden.
(2) Die Kommunikationsinfrastruktur wird in geeigneter Weise so verwaltet und kontrolliert, dass sie vor Bedrohungen geschützt ist und dass ihre Sicherheit und die Sicherheit der Systeme einschließlich der über die Kommunikationsinfrastruktur ausgetauschten Daten gewährleistet sind.
(3) Die Agentur beschließt geeignete Maßnahmen, darunter auch Sicherheitspläne, unter anderem um das unbefugte Lesen, Kopieren, Ändern oder Löschen personenbezogener Daten während der Übermittlung personenbezogener Daten oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken. Alle systembezogenen betrieblichen Informationen, die in der Kommunikationsinfrastruktur zirkulieren, werden verschlüsselt.
(4) Aufgaben im Zusammenhang mit der Bereitstellung, Einrichtung, Pflege und Überwachung der Kommunikationsinfrastruktur können im Einklang mit der Verordnung (EU, Euratom) 2018/1046 externen privatrechtlichen Stellen oder Einrichtungen übertragen werden. Diese Aufgaben werden unter der Verantwortung der Agentur und unter ihrer strengen Kontrolle wahrgenommen.
Bei der Wahrnehmung der Aufgaben gemäß Unterabsatz 1 sind alle externen privatrechtlichen Stellen oder Einrichtungen, einschließlich der Netzbetreiber, durch die in Absatz 3 genannten Sicherheitsmaßnahmen gebunden und haben unter keinen Umständen Zugang zu operativen Daten, die in den Systemen gespeichert sind oder über die Kommunikationsinfrastruktur übertragen werden, oder zu dem SIRENE-Informationsaustausch, der sich auf das SIS II bezieht.
(5) Die Verwaltung der Kryptografieschlüssel verbleibt in der Zuständigkeit der Agentur und wird nicht externen privatrechtlichen Stellen übertragen. Dies lässt die bestehenden Verträge über die Kommunikationsinfrastrukturen von SIS II, VIS und Eurodac unberührt.
Artikel 12
Datenqualität
Vorbehaltlich spezifischer Bestimmungen in den Rechtsakten der Union für die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme und unbeschadet der Verantwortung der Mitgliedstaaten für die in die Systeme eingegebenen Daten, arbeitet die Agentur — unter umfassender Beteiligung ihrer Beratergruppen — zusammen mit der Kommission darauf hin, dass für alle derartigen Systeme Mechanismen für die automatische Datenqualitätskontrolle und gemeinsame Datenqualitätsindikatoren eingeführt werden und dass für Berichte und Statistiken ein zentraler Speicher eingerichtet wird, der nur anonymisierte Daten enthält.
Artikel 13
Interoperabilität
Wenn die Interoperabilität von IT-Großsystemen in einem entsprechenden Rechtsakt der Union festgelegt wurde, entwickelt die Agentur auch die erforderlichen Maßnahmen, um diese Interoperabilität der Systeme zu ermöglichen.
Artikel 14
Verfolgung der Entwicklungen in der Forschung
(1) Die Agentur verfolgt die Entwicklungen in der Forschung, die für das Betriebsmanagement des SIS II, des VIS, von Eurodac, des EES, von ETIAS, von DubliNet und anderen IT-Großsystemen im Sinne des Artikels 1 Absatz 5 von Belang sind.
(2) Die Agentur kann einen Beitrag zur Durchführung der Teile des Rahmenprogramms der Europäischen Union für Forschung und Innovation leisten, die IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts betreffen. Zu diesem Zweck nimmt die Agentur in den Bereichen, in denen die Kommission ihr die entsprechenden Befugnisse übertragen hat, die folgenden Aufgaben wahr:
a) |
Verwaltung einiger Etappen der Programmdurchführung und einiger Phasen spezifischer Projekte auf der Grundlage der einschlägigen, von der Kommission verabschiedeten Arbeitsprogramme; |
b) |
Annahme der Instrumente für den Haushaltsvollzug und für Einnahmen und Ausgaben sowie Durchführung aller für die Programmverwaltung erforderlichen Maßnahmen; und |
c) |
Unterstützung bei der Programmdurchführung. |
(3) Unbeschadet der Berichterstattungspflichten im Zusammenhang mit der Durchführung von Teilen des Rahmenprogramms der Europäischen Union für Forschung und Innovation gemäß Absatz 2 unterrichtet die Agentur das Europäische Parlament, den Rat, die Kommission und — soweit die Verarbeitung personenbezogener Daten betroffen ist — den Europäischen Datenschutzbeauftragten regelmäßig, jedoch mindestens einmal jährlich, über die in diesem Artikel genannten Entwicklungen.
Artikel 15
Pilotprojekte, Konzeptnachweise und Tests
(1) Auf ausdrückliches Ersuchen und nach genauen Vorgaben der Kommission, nachdem diese das Europäische Parlament und den Rat mindestens drei Monate vor diesem Ersuchen unterrichtet und nachdem der Verwaltungsrat einen entsprechenden positiven Beschluss gefasst hat, kann die Agentur im Wege einer Übertragungsvereinbarung im Einklang mit Artikel 19 Absatz 1 Buchstabe u dieser Verordnung mit der Ausführung von Pilotprojekten nach Artikel 58 Absatz 2 Buchstabe a der Verordnung (EU, Euratom) 2018/1046 für die Entwicklung oder das Betriebsmanagement von IT-Großsystemen gemäß Artikel 67 bis 89 AEUV und im Einklang mit Artikel 62 Absatz 1 Buchstabe c der Verordnung (EU, Euratom) 2018/1046 betraut werden.
Die Agentur unterrichtet das Europäische Parlament, den Rat und — soweit es um die Verarbeitung personenbezogener Daten geht — den Europäischen Datenschutzbeauftragten regelmäßig über die Entwicklung der von der Agentur nach Unterabsatz 1 durchgeführten Pilotprojekte.
(2) Finanzmittel für Pilotprojekte nach Artikel 58 Absatz 2 Buchstabe a der Verordnung (EU, Euratom) 2018/1046, um die die Kommission gemäß Absatz 1 ersucht hat, dürfen nur für höchstens zwei aufeinanderfolgende Haushaltsjahre in den Haushaltsplan eingesetzt werden.
(3) Auf Ersuchen der Kommission oder des Rates kann die Agentur nach Unterrichtung des Europäischen Parlaments und nachdem der Verwaltungsrat einen entsprechenden positiven Beschluss gefasst hat, im Einklang mit Artikel 62 Absatz 1 Buchstabe c der Verordnung (EU, Euratom) 2018/1046 im Wege einer Übertragungsvereinbarung mit Haushaltsvollzugsaufgaben für Konzeptnachweise betraut werden, die im Rahmen des durch die Verordnung (EU) Nr. 515/2014 eingesetzten Instruments für die finanzielle Unterstützung für Außengrenzen und Visa finanziert werden.
(4) Die Agentur kann, nachdem der Verwaltungsrat einen positiven Beschluss gefasst hat, Tests in den Bereichen planen und durchführen, die unter die vorliegende Verordnung und andere Rechtsakte der Union fallen, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme regeln.
Artikel 16
Unterstützung der Mitgliedstaaten und der Kommission
(1) Die Mitgliedstaaten können die Agentur ersuchen, sie im Hinblick auf die Anbindung ihrer nationalen Systeme an die zentralen Systeme der von der Agentur verwalteten IT-Großsysteme zu beraten.
(2) Die Mitgliedstaaten können Ersuchen um Ad-hoc-Unterstützung an die Kommission richten, die sie vorbehaltlich ihrer positiven Einschätzung, dass außergewöhnliche Bedürfnisse in Bezug auf die Sicherheit oder die Migration diese Unterstützung erfordern, unverzüglich an die Agentur weiterleitet. Die Agentur unterrichtet ihrerseits den Verwaltungsrat über diese Ersuchen. Die Mitgliedstaaten werden unterrichtet, wenn die Beurteilung der Kommission negativ ist.
Die Kommission überwacht, ob die Agentur zeitnah auf das Ersuchen des Mitgliedstaats reagiert hat. Im jährlichen Tätigkeitsbericht der Agentur wird detailliert dargelegt, welche Maßnahmen die Agentur zur Ad-hoc-Unterstützung der Mitgliedstaaten ergriffen hat und welche Kosten in diesem Zusammenhang angefallen sind.
(3) Die Agentur kann auch ersucht werden, die Kommission in technischen Fragen im Zusammenhang mit bestehenden oder neuen Systemen zu beraten oder zu unterstützen, unter anderem mit Studien und Tests. Die Agentur unterrichtet den Verwaltungsrat über diese Ersuchen.
(4) Eine Gruppe von mindestens fünf Mitgliedstaaten kann die Agentur damit betrauen, eine gemeinsame IT-Komponente zu entwickeln, zu verwalten und/oder zu hosten, die ihnen bei der Umsetzung technischer Aspekte von Verpflichtungen aus Unionsrecht über dezentrale Systeme im Raum der Freiheit, der Sicherheit und des Rechts hilft. Diese gemeinsamen IT-Lösungen lassen die Verpflichtungen der ersuchenden Mitgliedstaaten aus dem geltenden Unionsrecht, insbesondere in Bezug auf die Architektur dieser Systeme, unberührt.
Insbesondere können die ersuchenden Mitgliedstaaten die Agentur damit betrauen, eine gemeinsame Komponente oder einen gemeinsamen Router für vorab übermittelte Fluggastdaten und Fluggastdatensätze als technisches Unterstützungstool zur Erleichterung der Konnektivität mit den Fluggesellschaften einzurichten, um die Mitgliedstaaten bei der Umsetzung der Richtlinie 2004/82/EG des Rates (44) und der Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates (45) zu unterstützen. In einem solchen Fall erfasst die Agentur die Daten von Fluggesellschaften zentral und überträgt diese Daten über die gemeinsame Komponente oder den gemeinsamen Router an die Mitgliedstaaten. Die ersuchenden Mitgliedstaaten ergreifen die notwendigen Maßnahmen, um sicherzustellen, dass Fluggesellschaften die Daten über die Agentur übertragen.
Die Agentur wird erst mit der Aufgabe betraut, eine gemeinsame IT-Komponente zu entwickeln, zu verwalten oder zu hosten, nachdem die Kommission dies gebilligt und der Verwaltungsrat einen positiven Beschluss gefasst hat.
Die ersuchenden Mitgliedstaaten betrauen die Agentur mit den Aufgaben gemäß den Unterabsätzen 1 und 2 im Wege einer Übertragungsvereinbarung, die die Bedingungen für die Übertragung der Aufgaben umfasst und in der die Berechnung aller relevanten Kosten und die Art der Rechnungstellung dargelegt sind. Alle einschlägigen Kosten werden von den teilnehmenden Mitgliedstaaten getragen. Die Übertragungsvereinbarung muss den Rechtsakten der Union für die betreffenden Systeme entsprechen. Die Agentur unterrichtet das Europäische Parlament und den Rat über die gebilligte Übertragungsvereinbarung und etwaige Änderungen dieser Vereinbarung.
Andere Mitgliedstaaten können die Teilnahme an einer gemeinsamen IT-Lösung beantragen, sofern diese Möglichkeit in der Übertragungsvereinbarung vorgesehen ist, wobei insbesondere die finanziellen Auswirkungen dieser Teilnahme darzulegen sind. Die Übertragungsvereinbarung wird entsprechend geändert, nachdem die Kommission dies gebilligt und der Verwaltungsrat einen positiven Beschluss gefasst hat.
KAPITEL III
STRUKTUR UND ORGANISATION
Artikel 17
Rechtsstellung und Standorte
(1) Die Agentur ist eine Einrichtung der Union mit eigener Rechtspersönlichkeit.
(2) Die Agentur besitzt in jedem Mitgliedstaat die weitestgehende Rechts- und Geschäftsfähigkeit, die juristischen Personen nach nationalem Recht zuerkannt wird. Sie kann insbesondere bewegliches und unbewegliches Vermögen erwerben und veräußern und ist vor Gericht parteifähig.
(3) Sitz der Agentur ist Tallinn, Estland.
Die Aufgaben im Zusammenhang mit Entwicklung und Betriebsmanagement nach Artikel 1 Absätze 4 und 5 sowie den Artikeln 3, 4, 5, 6, 7, 8, 9 und 11 werden am technischen Standort in Straßburg (Frankreich) erfüllt.
Ein Back-up-Standort, der beim Ausfall eines IT-Großsystems dessen Betrieb sicherstellen kann, wird in Sankt Johann im Pongau (Österreich) eingerichtet.
(4) Beide technische Standorte können für den gleichzeitigen Betrieb der Systeme genutzt werden, sofern der Back-up-Standort weiterhin in der Lage ist, ihren Betrieb auch beim Ausfall eines oder mehrerer Systeme zu gewährleisten.
(5) Sollte es sich aufgrund der besonderen Merkmale der Systeme als erforderlich erweisen, dass die Agentur entweder in Straßburg oder in Sankt Johann im Pongau oder gegebenenfalls an beiden Standorten einen zweiten gesonderten technischen Standort für das Hosting der Systeme einrichtet, wird dieses Erfordernis auf der Grundlage einer unabhängigen Folgenabschätzung und einer Kosten-Nutzen-Analyse gerechtfertigt. Bevor der Verwaltungsrat die Haushaltsbehörde über seine Absicht, Immobilienvorhaben gemäß Artikel 45 Absatz 9 zu verwirklichen, unterrichtet, konsultiert er die Kommission und trägt deren Standpunkten Rechnung.
Artikel 18
Struktur
(1) Die Verwaltungs- und Leitungsstruktur der Agentur besteht aus
a) |
einem Verwaltungsrat; |
b) |
einem Exekutivdirektor; |
c) |
Beratergruppen. |
(2) Die Struktur der Agentur umfasst
a) |
einen Datenschutzbeauftragten; |
b) |
einen Sicherheitsbeauftragten; |
c) |
einen Rechnungsführer. |
Artikel 19
Aufgaben des Verwaltungsrats
(1) Der Verwaltungsrat hat die Aufgabe,
a) |
die allgemeinen Leitlinien für die Tätigkeit der Agentur zu erlassen; |
b) |
den jährlichen Haushaltsplan der Agentur mit Zweidrittelmehrheit der stimmberechtigten Mitglieder festzustellen und weitere Aufgaben nach Kapitel V in Bezug auf den Haushalt der Agentur wahrzunehmen; |
c) |
im Einklang mit Artikel 25 bzw. Artikel 26 den Exekutivdirektor und den stellvertretenden Exekutivdirektor zu ernennen und erforderlichenfalls ihre jeweilige Amtszeit zu verlängern oder sie ihres Amtes zu entheben; |
d) |
die Disziplinargewalt über den Exekutivdirektor auszuüben und seine Amtsführung, einschließlich der Durchführung der Beschlüsse des Verwaltungsrats, zu überwachen sowie — nach Absprache mit dem Exekutivdirektor — die Disziplinargewalt über den stellvertretenden Exekutivdirektor auszuüben; |
e) |
unter Berücksichtigung der Tätigkeitserfordernisse der Agentur und unter Beachtung der Grundsätze einer wirtschaftlichen Haushaltsführung alle Beschlüsse über die Schaffung und, falls notwendig, Änderung der Organisationsstruktur der Agentur zu fassen; |
f) |
die Personalpolitik der Agentur zu beschließen; |
g) |
die Geschäftsordnung der Agentur festzulegen; |
h) |
eine Betrugsbekämpfungsstrategie zu verabschieden, die unter Berücksichtigung der Kosten und des Nutzens der durchzuführenden Maßnahmen in einem angemessenen Verhältnis zum Betrugsrisiko steht; |
i) |
Vorschriften zur Verhinderung und Bewältigung von Interessenkonflikten bei seinen Mitgliedern zu erlassen und diese auf der Website der Agentur zu veröffentlichen; |
j) |
ausführliche interne Vorschriften und Verfahren zum Schutz von Hinweisgebern, einschließlich geeigneter Kommunikationskanäle für die Meldung von Fehlverhalten, einzuführen; |
k) |
im Einklang mit Artikel 41 und Artikel 43 den Abschluss von Arbeitsvereinbarungen zu genehmigen; |
l) |
auf Vorschlag des Exekutivdirektors das Sitzabkommen über den Sitz der Agentur und die Abkommen über die technischen Standorte und Back-up-Standorte, die gemäß Artikel 17 Absatz 3 errichtet wurden, zu genehmigen, die vom Exekutivdirektor und den Aufnahmemitgliedstaaten zu unterzeichnen sind; |
m) |
im Einklang mit Absatz 2 in Bezug auf das Personal der Agentur die Befugnisse auszuüben, die im Beamtenstatut der Anstellungsbehörde und in den Beschäftigungsbedingungen der zum Abschluss von Dienstverträgen ermächtigten Behörde übertragen werden (im Folgenden „Befugnisse der Anstellungsbehörde“); |
n) |
im Einklang mit Artikel 110 des Beamtenstatuts im Einvernehmen mit der Kommission die notwendigen Durchführungsbestimmungen zum Statut zu erlassen; |
o) |
die notwendigen Vorschriften für die Abordnung nationaler Sachverständiger zur Agentur zu erlassen; |
p) |
einen Entwurf des Voranschlags der Einnahmen und Ausgaben der Agentur einschließlich des Entwurfs des Stellenplans anzunehmen und bis zum 31. Januar jedes Jahres der Kommission zu übermitteln; |
q) |
den Entwurf des einheitlichen Programmplanungsdokuments, das die mehrjährige Programmplanung der Agentur, ihr Arbeitsprogramm für das folgende Jahr und einen Vorentwurf des Voranschlags der Einnahmen und Ausgaben der Agentur einschließlich des Entwurfs des Stellenplans enthält, anzunehmen und bis zum 31. Januar jedes Jahres — sowie jede aktualisierte Fassung dieses Dokuments — dem Europäischen Parlament, dem Rat und der Kommission vorzulegen; |
r) |
vor dem 30. November jedes Jahres im Einklang mit dem jährlichen Haushaltsverfahren das einheitliche Programmplanungsdokument unter Berücksichtigung der Stellungnahme der Kommission mit Zweidrittelmehrheit seiner stimmberechtigten Mitglieder zu verabschieden und dafür zu sorgen, dass die endgültige Fassung des einheitlichen Programmplanungsdokuments dem Europäischen Parlament, dem Rat und der Kommission übermittelt und veröffentlicht wird; |
s) |
bis Ende August jedes Jahres einen Zwischenbericht über die Fortschritte bei der Durchführung der für das laufende Jahr geplanten Tätigkeiten zu verabschieden und dem Europäischen Parlament, dem Rat und der Kommission vorzulegen; |
t) |
den konsolidierten jährlichen Tätigkeitsbericht der Agentur für das Vorjahr, in dem insbesondere die erzielten Ergebnisse mit den Zielvorgaben des jährlichen Arbeitsprogramms verglichen werden, zu bewerten und anzunehmen und den Bericht und seine Bewertung bis zum 1. Juli jedes Jahres dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof zu übermitteln und zu gewährleisten, dass der jährliche Tätigkeitsbericht veröffentlicht wird; |
u) |
seine Aufgaben in Bezug auf den Haushalt der Agentur einschließlich der Durchführung von Pilotprojekten und Konzeptnachweisen nach Artikel 15 wahrzunehmen; |
v) |
im Einklang mit Artikel 49 die für die Agentur geltende Finanzregelung zu erlassen; |
w) |
einen Rechnungsführer, bei dem es sich um den Rechnungsführer der Kommission handeln kann, zu ernennen, der dem Statut unterliegt und der in der Wahrnehmung seiner Aufgaben völlig unabhängig ist; |
x) |
für geeignete Folgemaßnahmen zu den Feststellungen und Empfehlungen zu sorgen, die sich aus den verschiedenen internen oder externen Prüfungsberichten und Evaluierungen sowie aus den Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und der Europäischen Staatsanwaltschaft (EUStA) ergeben; |
y) |
die in Artikel 34 Absatz 4 genannten Vorgaben für die Öffentlichkeitsarbeit und Informationsverbreitung anzunehmen und regelmäßig zu aktualisieren; |
z) |
unter Berücksichtigung etwaiger Empfehlungen der den Beratergruppen angehörenden Sicherheitsexperten die notwendigen Sicherheitsmaßnahmen einschließlich eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und Wiederherstellung des Betriebs anzunehmen; |
aa) |
die Sicherheitsvorschriften für den Schutz von Verschlusssachen und von nicht als Verschlusssache eingestuften sensiblen Informationen zu erlassen, nachdem die Kommission sie genehmigt hat; |
bb) |
einen Sicherheitsbeauftragten zu ernennen; |
cc) |
im Einklang mit der Verordnung (EU) 2018/1725 einen Datenschutzbeauftragten zu ernennen; |
dd) |
Durchführungsvorschriften zur Verordnung (EG) Nr. 1049/2001 zu erlassen; |
ee) |
die Berichte über den Stand der Entwicklung des EES nach Artikel 72 Absatz 2 der Verordnung (EU) 2017/2226 und die Berichte über den Stand der Entwicklung von ETIAS nach Artikel 92 Absatz 2 der Verordnung (EU) 2018/1240 anzunehmen; |
ff) |
die Berichte über die technische Funktionsweise des SIS II nach Artikel 50 Absatz 4 der Verordnung (EG) Nr. 1987/2006 und Artikel 66 Absatz 4 des Beschlusses 2007/533/JI, des VIS nach Artikel 50 Absatz 3 der Verordnung (EG) Nr. 767/2008 und Artikel 17 Absatz 3 des Beschlusses 2008/633/JI, des EES nach Artikel 72 Absatz 4 der Verordnung (EU) 2017/2226 sowie von ETIAS nach Artikel 92 Absatz 4 der Verordnung (EU) 2018/1240 anzunehmen; |
gg) |
den Jahresbericht über den Betrieb des Zentralsystems von Eurodac nach Artikel 40 Absatz 1 der Verordnung (EU) Nr. 603/2013 anzunehmen; |
hh) |
förmliche Stellungnahmen zu den Prüfberichten des Europäischen Datenschutzbeauftragten nach Artikel 45 Absatz 2 der Verordnung (EG) Nr. 1987/2006, Artikel 42 Absatz 2 der Verordnung (EG) Nr. 767/2008 und Artikel 31 Absatz 2 der Verordnung (EU) Nr. 603/2013, Artikel 56 Absatz 2 der Verordnung (EU) 2017/2226 und Artikel 67 der Verordnung (EU) 2018/1240 anzunehmen und für geeignete Folgemaßnahmen zu diesen Überprüfungen zu sorgen; |
ii) |
Statistiken zum SIS II nach Artikel 50 Absatz 3 der Verordnung (EG) Nr. 1987/2006 und Artikel 66 Absatz 3 des Beschlusses 2007/533/JI zu veröffentlichen; |
jj) |
Statistiken über die Arbeit des Zentralsystems von Eurodac nach Artikel 8 Absatz 2 der Verordnung (EU) Nr. 603/2013 zu erstellen und zu veröffentlichen; |
kk) |
Statistiken zum EES nach Artikel 63 der Verordnung (EU) 2017/2226 zu veröffentlichen; |
ll) |
Statistiken zu ETIAS nach Artikel 84 der Verordnung (EU) 2018/1240 zu veröffentlichen; |
mm) |
die jährliche Veröffentlichung folgender Auflistungen sicherzustellen: der Liste der zuständigen Behörden, die nach Artikel 31 Absatz 8 der Verordnung (EG) Nr. 1987/2006 und Artikel 46 Absatz 8 des Beschlusses 2007/533/JI berechtigt sind, die im SIS II gespeicherten Daten unmittelbar abzufragen, zusammen mit einer Liste der Stellen der nationalen Systeme des SIS II (N.SIS-II-Stellen) und der SIRENE-Büros nach Artikel 7 Absatz 3 der Verordnung (EG) Nr. 1987/2006 und Artikel 7 Absatz 3 des Beschlusses 2007/533/JI und der Liste der zuständigen Behörden nach Artikel 65 Absatz 2 der Verordnung (EU) 2017/2226 sowie der Liste der zuständigen Behörden nach Artikel 87 Absatz 2 der Verordnung (EU) 2018/1240. |
nn) |
dafür zu sorgen, dass jährlich eine Liste der Dienststellen nach Artikel 27 Absatz 2 der Verordnung (EU) Nr. 603/2013 veröffentlicht wird; |
oo) |
dafür zu sorgen, dass alle Beschlüsse und Maßnahmen der Agentur, die sich auf IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts auswirken, den Grundsatz der Unabhängigkeit der Justiz wahren; |
pp) |
weitere Aufgaben wahrzunehmen, die ihr im Einklang mit dieser Verordnung übertragen werden. |
Unbeschadet der in Unterabsatz 1 Buchstabe mm genannten Bestimmungen der Rechtsakte der Union über die Veröffentlichung der Listen der einschlägigen Behörden sorgt der Verwaltungsrat für die Veröffentlichung und fortlaufende Aktualisierung dieser Listen auf der Website der Agentur, wenn eine solche Verpflichtung nicht bereits in diesen Rechtsakten vorgesehen ist.
(2) Der Verwaltungsrat erlässt nach Artikel 110 des Beamtenstatuts auf der Grundlage des Artikels 2 Absatz 1 des Beamtenstatuts und des Artikels 6 der Beschäftigungsbedingungen einen Beschluss, mit dem die einschlägigen Befugnisse der Anstellungsbehörde dem Exekutivdirektor übertragen und die Voraussetzungen festgelegt werden, unter denen diese Befugnisübertragung ausgesetzt werden kann. Der Exekutivdirektor kann diese Befugnisse weiterübertragen.
Wenn außergewöhnliche Umstände dies erfordern, kann der Verwaltungsrat durch Beschluss die Übertragung der Befugnisse der Anstellungsbehörde auf den Exekutivdirektor sowie die von diesem vorgenommene Weiterübertragung von Befugnissen vorübergehend aussetzen und die Befugnisse selbst ausüben oder sie einem seiner Mitglieder oder einem anderen Bediensteten als dem Exekutivdirektor übertragen.
(3) Der Verwaltungsrat kann den Exekutivdirektor in Fragen beraten, die eng mit der Entwicklung oder dem Betriebsmanagement von IT-Großsystemen zusammenhängen, sowie bei Tätigkeiten im Zusammenhang mit Forschung, Pilotprojekten, Konzeptnachweisen und Tests.
Artikel 20
Zusammensetzung des Verwaltungsrats
(1) Der Verwaltungsrat setzt sich aus einem Vertreter jedes Mitgliedstaats und zwei Vertretern der Kommission zusammen. Jeder Vertreter ist im Einklang mit Artikel 23 stimmberechtigt.
(2) Jedes Mitglied des Verwaltungsrates hat einen Stellvertreter. Der Stellvertreter vertritt das Mitglied in dessen Abwesenheit oder wenn das Mitglied zum Vorsitzenden oder stellvertretenden Vorsitzenden des Verwaltungsrats gewählt wird und in der Sitzung des Verwaltungsrats den Vorsitz führt. Die Mitglieder des Verwaltungsrats und ihre Stellvertreter werden aufgrund des hohen Niveaus ihrer Erfahrung und ihres Fachwissens in Bezug auf IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts sowie ihrer Kenntnisse auf dem Gebiet des Datenschutzes unter Berücksichtigung ihrer einschlägigen Kompetenzen in den Bereichen Management, Verwaltung und Haushalt ernannt. Alle im Verwaltungsrat vertretenen Parteien bemühen sich um eine Begrenzung der Fluktuation ihrer Vertreter, um die Kontinuität der Arbeit des Verwaltungsrats zu gewährleisten. Alle Parteien streben eine ausgewogene Vertretung von Männern und Frauen im Verwaltungsrat an.
(3) Die Amtszeit der Mitglieder und ihrer Stellvertreter beträgt vier Jahre und kann verlängert werden. Bei Ablauf ihrer Amtszeit oder bei Ausscheiden bleiben die Mitglieder so lange im Amt, bis sie wiederernannt oder ersetzt worden sind.
(4) Länder, die bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert sind, beteiligen sich an der Arbeit der Agentur. Sie entsenden jeweils einen Vertreter und einen Stellvertreter in den Verwaltungsrat.
Artikel 21
Vorsitzender des Verwaltungsrates
(1) Der Verwaltungsrat wählt einen Vorsitzenden und einen stellvertretenden Vorsitzenden aus der Mitte der Mitglieder des Verwaltungsrats, die von Mitgliedstaaten ernannt wurden, die nach Unionsrecht in vollem Umfang durch die Rechtsakte der Union gebunden sind, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung aller von der Agentur verwalteten IT-Großsysteme regeln. Der Vorsitzende und der stellvertretende Vorsitzende werden mit Zweidrittelmehrheit der stimmberechtigten Mitglieder des Verwaltungsrats gewählt.
Der stellvertretende Vorsitzende tritt im Falle der Verhinderung des Vorsitzenden automatisch an dessen Stelle.
(2) Die Amtszeit des Vorsitzenden und des stellvertretenden Vorsitzenden beträgt vier Jahre. Ihre Amtszeit kann einmal verlängert werden. Endet ihre Mitgliedschaft im Verwaltungsrat während ihrer Amtszeit, so endet auch diese automatisch am selben Tag.
Artikel 22
Sitzungen des Verwaltungsrats
(1) Der Vorsitzende beruft die Sitzungen des Verwaltungsrats ein.
(2) Der Exekutivdirektor nimmt an den Beratungen teil ohne stimmberechtigt zu sein.
(3) Der Verwaltungsrat hält jährlich mindestens zwei ordentliche Sitzungen ab. Zusätzlich tritt er auf Veranlassung seines Vorsitzenden, auf Antrag der Kommission oder des Exekutivdirektors oder auf Antrag von mindestens einem Drittel der stimmberechtigten Mitglieder des Verwaltungsrats zusammen.
(4) Europol und Eurojust können an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine das SIS II betreffende Angelegenheit im Zusammenhang mit der Anwendung des Beschlusses 2007/533/JI auf der Tagesordnung steht. Die Europäische Agentur für die Grenz- und Küstenwache kann an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine das SIS II betreffende Angelegenheit im Zusammenhang mit der Anwendung der Verordnung (EU) 2016/1624 auf der Tagesordnung steht.
Europol kann an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine das VIS betreffende Angelegenheit im Zusammenhang mit der Anwendung des Beschlusses 2008/633/JI oder eine Eurodac betreffende Angelegenheit im Zusammenhang mit der Anwendung der Verordnung (EU) Nr. 603/2013 auf der Tagesordnung steht.
Europol kann an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine das EES betreffende Angelegenheit im Zusammenhang mit der Anwendung der Verordnung (EU) 2017/2226 oder eine ETIAS betreffende Angelegenheit im Zusammenhang mit der Anwendung der Verordnung (EU) 2018/1240 auf der Tagesordnung steht. Die Europäische Agentur für die Grenz- und Küstenwache kann auch an den Sitzungen des Verwaltungsrats als Beobachter teilnehmen, wenn eine ETIAS betreffende Angelegenheit im Zusammenhang mit der Anwendung der Verordnung (EU) 2018/1240 auf der Tagesordnung steht.
Der Verwaltungsrat kann weitere Personen, deren Stellungnahme von Interesse sein könnte, als Beobachter zur Teilnahme an seinen Sitzungen einladen.
(5) Die Mitglieder des Verwaltungsrats und ihre Stellvertreter können sich nach Maßgabe der Geschäftsordnung des Verwaltungsrats von Beratern oder Experten unterstützen lassen, insbesondere jenen, die Mitglieder der Beratergruppen sind.
(6) Die Sekretariatsgeschäfte des Verwaltungsrats werden von der Agentur wahrgenommen.
Artikel 23
Vorschriften für die Abstimmung im Verwaltungsrat
(1) Unbeschadet des Absatzes 5 dieses Artikels sowie des Artikels 19 Absatz 1 Buchstaben b und r, des Artikels 21 Absatz 1 und des Artikels 25 Absatz 8 fasst der Verwaltungsrat seine Beschlüsse mit der Mehrheit seiner stimmberechtigten Mitglieder.
(2) Unbeschadet der Absätze 3 und 4 hat jedes Mitglied des Verwaltungsrats eine Stimme. Bei Abwesenheit eines stimmberechtigten Mitglieds ist sein Stellvertreter berechtigt, das Stimmrecht des Mitglieds auszuüben.
(3) Jedes Mitglied, das von einem Mitgliedstaat ernannt wurde, der nach Unionsrecht durch einen Rechtsakt der Union gebunden ist, der die Entwicklung, die Errichtung, den Betrieb und die Nutzung eines von der Agentur verwalteten IT-Großsystems regelt, kann über eine dieses IT-Großsystem betreffende Angelegenheit abstimmen.
Dänemark kann über eine ein IT-Großsystem betreffende Angelegenheit abstimmen, sofern es nach Artikel 4 des Protokolls Nr. 22 beschließt, den Rechtsakt der Union, der die Entwicklung, die Errichtung, den Betrieb und die Nutzung des betreffenden IT-Großsystems regelt, in nationales Recht umzusetzen.
(4) Artikel 42 gilt hinsichtlich der Stimmrechte der Vertreter der Länder, die mit der Union Abkommen über ihre Assoziierung bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen geschlossen haben.
(5) Sind sich die Mitglieder nicht darüber einig, ob eine Abstimmung ein bestimmtes IT-Großsystem betrifft, wird der Beschluss, mit dem festgestellt wird, dass das betreffende IT-Großsystem nicht betroffen ist, mit Zweidrittelmehrheit der Mitglieder des Verwaltungsrats, die über das Stimmrecht verfügen, gefasst.
(6) Der Vorsitzende bzw. der in Vertretung des Vorsitzenden handelnde stellvertretende Vorsitzende nimmt nicht an den Abstimmungen teil. Das Stimmrecht des Vorsitzenden bzw. — in Vertretung des Vorsitzenden — des stellvertretenden Vorsitzenden wird von dessen Stellvertreter ausgeübt.
(7) Der Exekutivdirektor nimmt nicht an den Abstimmungen teil.
(8) In der Geschäftsordnung des Verwaltungsrats werden detailliertere Regelungen für die Abstimmung festgelegt, insbesondere die Voraussetzungen, unter denen ein Mitglied im Namen eines anderen Mitglieds handeln kann, und gegebenenfalls Bestimmungen über die Beschlussfähigkeit.
Artikel 24
Zuständigkeiten des Exekutivdirektors
(1) Der Exekutivdirektor leitet die Agentur. Der Exekutivdirektor unterstützt den Verwaltungsrat und ist ihm gegenüber rechenschaftspflichtig. Der Exekutivdirektor erstattet dem Europäischen Parlament über die Erfüllung seiner Aufgaben Bericht, wenn er dazu aufgefordert wird. Der Rat kann den Exekutivdirektor auffordern, über die Erfüllung seiner Aufgaben Bericht zu erstatten.
(2) Der Exekutivdirektor ist der gesetzliche Vertreter der Agentur.
(3) Der Exekutivdirektor ist für die Erfüllung der der Agentur mit dieser Verordnung übertragenen Aufgaben zuständig. Der Exekutivdirektor ist insbesondere dafür zuständig,
a) |
die laufenden Geschäfte der Agentur zu führen; |
b) |
den Betrieb der Agentur im Einklang mit dieser Verordnung zu gewährleisten; |
c) |
die vom Verwaltungsrat angenommenen Verfahren, Beschlüsse, Strategien, Programme und Maßnahmen innerhalb der in dieser Verordnung und den dazu erlassenen Durchführungsvorschriften sowie dem sonstigen anwendbaren Unionsrecht festgelegten Grenzen vorzubereiten und durchzuführen; |
d) |
das einheitliche Programmplanungsdokument auszuarbeiten und nach Anhörung der Kommission und der Beratergruppen dem Verwaltungsrat vorzulegen; |
e) |
das einheitliche Programmplanungsdokument umzusetzen und dem Verwaltungsrat über seine Umsetzung Bericht zu erstatten; |
f) |
den Zwischenbericht über die Fortschritte bei der Durchführung der für das laufende Jahr geplanten Tätigkeiten auszuarbeiten und ihn nach Anhörung der Beratergruppen bis Ende August jedes Jahres dem Verwaltungsrat zur Annahme vorzulegen; |
g) |
den konsolidierten jährlichen Bericht über die Tätigkeit der Agentur auszuarbeiten und nach Anhörung der Beratergruppen dem Verwaltungsrat zur Bewertung und Annahme vorzulegen; |
h) |
auf der Grundlage der Schlussfolgerungen in internen oder externen Prüfberichten und Evaluierungen sowie der Untersuchungen des OLAF und der EUStA einen Aktionsplan auszuarbeiten und der Kommission zweimal jährlich und dem Verwaltungsrat regelmäßig über die erzielten Fortschritte Bericht zu erstatten; |
i) |
unbeschadet der Untersuchungsbefugnisse der EUStA und des OLAF die finanziellen Interessen der Union durch vorbeugende Maßnahmen gegen Betrug, Korruption und sonstige rechtswidrige Handlungen, durch wirksame Kontrollen sowie, falls Unregelmäßigkeiten festgestellt werden, durch Einziehung rechtsgrundlos gezahlter Beträge und gegebenenfalls durch Verhängung wirksamer, verhältnismäßiger und abschreckender verwaltungsrechtlicher Sanktionen, einschließlich finanzieller Sanktionen, zu schützen; |
j) |
eine Betrugsbekämpfungsstrategie für die Agentur auszuarbeiten und dem Verwaltungsrat zur Genehmigung vorzulegen sowie die ordnungs- und fristgemäße Umsetzung dieser Strategie zu überwachen; |
k) |
den Entwurf der für die Agentur geltenden Finanzregelung auszuarbeiten und nach Anhörung der Kommission dem Verwaltungsrat zur Annahme vorzulegen; |
l) |
den Entwurf des nach Tätigkeitsbereichen aufgestellten Haushaltsplans für das folgende Jahr auszuarbeiten; |
m) |
den Entwurf des Voranschlags der Einnahmen und Ausgaben der Agentur auszuarbeiten; |
n) |
den Haushaltsplan der Agentur auszuführen; |
o) |
ein leistungsfähiges System einzurichten und anzuwenden, das eine regelmäßige Kontrolle und Evaluierung
|
p) |
unbeschadet des Artikels 17 des Beamtenstatuts Geheimhaltungsvorschriften festzulegen, um Artikel 17 der Verordnung (EG) Nr. 1987/2006, Artikel 17 des Beschlusses 2007/533/JI, Artikel 26 Absatz 9 der Verordnung (EG) Nr. 767/2008, Artikel 4 Absatz 4 der Verordnung (EU) Nr. 603/2013, Artikel 37 Absatz 4 der Verordnung (EU) 2017/2226 und Artikel 74 Absatz 2 der Verordnung (EU) 2018/1240 nachzukommen; |
q) |
mit den Aufnahmemitgliedstaaten ein Sitzabkommen über den Sitz der Agentur und Abkommen über die technischen Standorte und die Back-up-Standorte auszuhandeln und nach Genehmigung durch den Verwaltungsrat zu unterzeichnen; |
r) |
die praktischen Regelungen für die Anwendung der Verordnung (EG) Nr. 1049/2001 auszuarbeiten und dem Verwaltungsrat zur Annahme vorzulegen; |
s) |
die notwendigen Sicherheitsmaßnahmen einschließlich eines Sicherheitsplans sowie eines Notfallplans für die Aufrechterhaltung und Wiederherstellung des Betriebs auszuarbeiten und nach Anhörung der einschlägigen Beratergruppe dem Verwaltungsrat zur Annahme vorzulegen; |
t) |
die Berichte über die technische Funktionsweise jedes IT-Großsystems nach Artikel 19 Absatz 1 Buchstabe ff. und den Jahresbericht über den Betrieb des Zentralsystems von Eurodac nach Artikel 19 Absatz 1 Buchstabe gg auf der Grundlage der Kontroll- und Evaluierungsergebnisse auszuarbeiten und nach Anhörung der einschlägigen Beratergruppe dem Verwaltungsrat zur Annahme vorzulegen; |
u) |
die Berichte über den Stand der Entwicklung des EES nach Artikel 72 Absatz 2 der Verordnung (EU) 2017/2226 und über den Stand der Entwicklung von ETIAS nach Artikel 92 Absatz 2 der Verordnung (EU) 2018/1240 auszuarbeiten und dem Verwaltungsrat zur Annahme vorzulegen; |
v) |
die jährlich zu veröffentlichende Liste der zuständigen Behörden, die berechtigt sind, die im SIS II gespeicherten Daten unmittelbar abzufragen, einschließlich der Liste der N.SIS-II-Stellen und der SIRENE-Büros, und die Liste der zuständigen Behörden, die berechtigt sind, die im EES und im ETIAS gespeicherten Daten unmittelbar abzufragen, nach Artikel 19 Absatz 1 Buchstabe mm sowie die Liste der Dienststellen nach Artikel 19 Absatz 1 Buchstabe nn auszuarbeiten und dem Verwaltungsrat zur Annahme vorzulegen. |
(4) Der Exekutivdirekter nimmt weitere Aufgaben im Einklang mit dieser Verordnung wahr.
(5) Der Exekutivdirektor beschließt, ob es notwendig ist, einen oder mehrere Bedienstete in einen oder mehrere Mitgliedstaaten zu entsenden, damit die Agentur ihre Aufgaben effizient und wirksam wahrnehmen kann und eine Außenstelle zu diesem Zweck einzurichten. Bevor der Exekutivdirektor dies beschließt, holt er die Zustimmung der Kommission, des Verwaltungsrats und des betreffenden Mitgliedstaats oder der betreffenden Mitgliedstaaten ein. In dem Beschluss des Exekutivdirektors wird der Umfang der in der Außenstelle auszuübenden Tätigkeiten so festgelegt, dass unnötige Kosten und eine Überschneidung der Verwaltungsfunktionen mit denen der Agentur vermieden werden. Die an den technischen Standorten ausgeübten Tätigkeiten werden nicht in einer Außenstelle ausgeübt.
Artikel 25
Ernennung des Exekutivdirektors
(1) Der Exekutivdirektor wird vom Verwaltungsrat auf der Grundlage einer Liste mit mindestens drei Bewerbern ernannt, die von der Kommission nach einem offenen, transparenten Auswahlverfahren vorgeschlagen werden. Im Rahmen des Auswahlverfahrens wird eine Aufforderung zur Interessenbekundung im Amtsblatt der Europäischen Union und in anderen geeigneten Medien veröffentlicht. Der Verwaltungsrat ernennt den Exekutivdirektor auf der Grundlage seiner Leistungen, seiner nachgewiesenen Erfahrung in Bezug auf IT-Großsysteme, seiner Kompetenzen auf den Gebieten Verwaltung, Finanzen und Management und seiner Kenntnisse auf dem Gebiet des Datenschutzes.
(2) Vor der Ernennung werden die von der Kommission vorgeschlagenen Bewerber aufgefordert, vor dem zuständigen Ausschuss bzw. den zuständigen Ausschüssen des Europäischen Parlaments eine Erklärung abzugeben und Fragen der Ausschussmitglieder zu beantworten. Im Anschluss an die Anhörung der Erklärung und der Antworten nimmt das Europäische Parlament eine Stellungnahme an, in der es seinen Standpunkt darlegt, und kann angeben, welchen Bewerber es bevorzugt.
(3) Der Verwaltungsrat ernennt den Exekutivdirektor und trägt dabei diesen Standpunkten Rechnung.
(4) Wenn der Verwaltungsrat beschließt, einen anderen als den vom Europäischen Parlament bevorzugten Bewerber zu ernennen, unterrichtet er das Europäische Parlament und den Rat schriftlich darüber, inwiefern er der Stellungnahme des Europäischen Parlaments Rechnung getragen hat.
(5) Die Amtszeit des Exekutivdirektors beträgt fünf Jahre. Am Ende dieses Zeitraums nimmt die Kommission eine Bewertung vor, bei der sie ihrer Beurteilung der Leistung des Exekutivdirektors und den künftigen Aufgaben und Herausforderungen für die Agentur Rechnung trägt.
(6) Der Verwaltungsrat kann die Amtszeit des Exekutivdirektors auf Vorschlag der Kommission, die der Bewertung nach Absatz 5 Rechnung trägt, einmal um höchstens fünf Jahre verlängern.
(7) Der Verwaltungsrat unterrichtet das Europäische Parlament, falls er beabsichtigt, die Amtszeit des Exekutivdirektors zu verlängern. Innerhalb der Frist von einem Monat vor einer solchen Verlängerung wird der Exekutivdirektor aufgefordert, vor dem zuständigen Ausschuss bzw. den zuständigen Ausschüssen des Europäischen Parlaments eine Erklärung abzugeben und Fragen der Ausschussmitglieder zu beantworten.
(8) Ein Exekutivdirektor, dessen Amtszeit verlängert wurde, darf am Ende des Gesamtzeitraums nicht an einem weiteren Auswahlverfahren für dieselbe Stelle teilnehmen.
(9) Der Exekutivdirektor kann seines Amtes nur aufgrund eines Beschlusses des Verwaltungsrats auf Vorschlag einer Mehrheit seiner stimmberechtigten Mitglieder oder der Kommission enthoben werden.
(10) Über die Ernennung, die Verlängerung der Amtszeit und die Amtsenthebung des Exekutivdirektors beschließt der Verwaltungsrat mit Zweidrittelmehrheit seiner stimmberechtigten Mitglieder.
(11) Beim Abschluss des Arbeitsvertrags mit dem Exekutivdirektor wird die Agentur durch den Vorsitzenden des Verwaltungsrats vertreten. Der Exekutivdirektor wird nach Artikel 2 Buchstabe a der Beschäftigungsbedingungen als Bediensteter auf Zeit bei der Agentur eingestellt.
Artikel 26
Stellvertretender Exekutivdirektor
(1) Der Exekutivdirektor wird von einem stellvertretenden Exekutivdirektor unterstützt. Der stellvertretende Exekutivdirektor vertritt den Exekutivdirektor außerdem in dessen Abwesenheit. Der Exekutivdirektor legt die Aufgaben des stellvertretenden Exekutivdirektors fest.
(2) Der Verwaltungsrat ernennt den stellvertretenden Exekutivdirektor auf Vorschlag des Exekutivdirektors. Der stellvertretende Exekutivdirektor wird aufgrund seiner Leistungen und angemessener Verwaltungs- und Führungskompetenzen, einschließlich einschlägiger Berufserfahrung, ernannt. Der Exekutivdirektor schlägt mindestens drei Bewerber für die Stelle des stellvertretenden Exekutivdirektors vor. Der Verwaltungsrat beschließt mit der Zweidrittelmehrheit seiner stimmberechtigten Mitglieder. Der Verwaltungsrat ist befugt, den stellvertretenden Exekutivdirektor durch einen mit der Zweidrittelmehrheit seiner stimmberechtigten Mitglieder gefassten Beschluss seines Amtes zu entheben.
(3) Die Amtszeit des stellvertretenden Exekutivdirektors beträgt fünf Jahre. Der Verwaltungsrat kann die Amtszeit einmal um höchstens fünf Jahre verlängern. Der Verwaltungsrat fasst einen solchen Beschluss mit der Zweidrittelmehrheit seiner stimmberechtigten Mitglieder.
Artikel 27
Beratergruppen
(1) Die folgenden Beratergruppen stehen dem Verwaltungsrat mit Fachkenntnissen in Bezug auf IT-Großsysteme und insbesondere bei der Vorbereitung des Jahresarbeitsprogramms und des jährlichen Tätigkeitsberichts zur Seite:
a) |
die SIS-II-Beratergruppe; |
b) |
die VIS-Beratergruppe; |
c) |
die Eurodac-Beratergruppe; |
d) |
die EES-ETIAS-Beratergruppe; |
e) |
jede sonstige Beratergruppe für ein IT-Großsystem, wenn dies im einschlägigen Rechtsakt der Union vorgesehen ist, der die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses IT-Großsystems regelt. |
(2) Jeder Mitgliedstaat, der nach Unionsrecht durch einen Rechtsakt der Union gebunden ist, der die Entwicklung, die Errichtung, den Betrieb und die Nutzung eines bestimmten IT-Großsystems regelt, und die Kommission entsenden für einen Zeitraum von vier Jahren, der verlängert werden kann, je ein Mitglied in die Beratergruppe für dieses IT-Großsystem.
Dänemark entsendet ebenfalls ein Mitglied in die Beratergruppe für ein IT-Großsystem, sofern es nach Artikel 4 des Protokolls Nr. 22 beschließt, den Rechtsakt der Union, der die Entwicklung, die Errichtung, den Betrieb und die Nutzung des betreffenden IT-Großsystems regelt, in nationales Recht umzusetzen.
Jedes Land, das bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert ist und sich an einem bestimmten IT-Großsystem beteiligt, entsendet ein Mitglied in die Beratergruppe für dieses IT-Großsystem.
(3) Europol, Eurojust und die Europäische Agentur für die Grenz- und Küstenwache können je einen Vertreter in die SIS-II-Beratergruppe entsenden. Europol kann auch einen Vertreter in die VIS, die Eurodac- und die EES-ETIAS-Beratergruppen entsenden. Die Europäische Agentur für die Grenz- und Küstenwache kann auch einen Vertreter in die EES-ETIAS-Beratergruppe entsenden.
(4) Die Mitglieder des Verwaltungsrats und ihre Stellvertreter dürfen nicht Mitglied einer Beratergruppe sein. Der Exekutivdirektor oder ein Vertreter des Exekutivdirektors ist berechtigt, an allen Sitzungen der Beratergruppen als Beobachter teilzunehmen.
(5) Die Beratergruppen arbeiten soweit erforderlich untereinander zusammen. Die Verfahren für die Arbeit und die Mitwirkung der Beratergruppen werden in der Geschäftsordnung der Agentur festgelegt.
(6) Bei der Ausarbeitung einer Stellungnahme bemühen sich die Mitglieder jeder Beratergruppe nach Kräften, zu einem Konsens zu kommen. Wird ein Konsens nicht erreicht, so gilt der mit Gründen versehene Standpunkt der Mehrheit der Mitglieder als Stellungnahme der Beratergruppe. Abweichende mit Gründen versehene Standpunkte werden ebenfalls zu Protokoll genommen. Artikel 23 Absätze 3 und 5 gilt entsprechend. Die Mitglieder, die die Länder vertreten, die bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert sind, dürfen zu Angelegenheiten, bei denen sie nicht stimmberechtigt sind, Stellungnahmen abgeben.
(7) Jeder Mitgliedstaat und jedes Land, das bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert ist, unterstützt die Beratergruppen bei ihrer Arbeit.
(8) Für den Vorsitz in den Beratergruppen gilt Artikel 21 sinngemäß.
KAPITEL IV
ALLGEMEINE BESTIMMUNGEN
Artikel 28
Personal
(1) Für das Personal der Agentur, einschließlich des Exekutivdirektors, gelten das Statut sowie die von den Organen der Union im gegenseitigen Einvernehmen erlassenen Vorschriften zur Durchführung des Statuts.
(2) Für die Zwecke der Anwendung des Statuts gilt die Agentur als Agentur im Sinne des Artikels 1a Absatz 2 des Beamtenstatuts.
(3) Das Personal der Agentur besteht aus Beamten, Bediensteten auf Zeit und Vertragsbediensteten. Der Verwaltungsrat erteilt jährlich seine Zustimmung, wenn die Verträge, die der Exekutivdirektor zu verlängern beabsichtigt, infolge der Verlängerung nach den Beschäftigungsbedingungen in unbefristete Verträge umgewandelt würden.
(4) Die Agentur betraut Zeitarbeitskräfte nicht mit Finanzaufgaben, die als sensibel angesehen werden.
(5) Die Kommission und die Mitgliedstaaten können Beamte oder nationale Sachverständige befristet zur Agentur abordnen. Der Verwaltungsrat beschließt Vorschriften für die Abordnung nationaler Sachverständiger zur Agentur.
(6) Unbeschadet des Artikels 17 des Beamtenstatuts wendet die Agentur geeignete Vorschriften über die berufliche Schweigepflicht oder gleichwertige Geheimhaltungspflichten an.
(7) Der Verwaltungsrat im Einvernehmen mit der Kommission die notwendigen Durchführungsbestimmungen nach Artikel 110 des Beamtenstatuts.
Artikel 29
Öffentliches Interesse
Die Mitglieder des Verwaltungsrats, der Exekutivdirektor, der stellvertretende Exekutivdirektor und die Mitglieder der Beratergruppen verpflichten sich, im öffentlichen Interesse zu handeln. Zu diesem Zweck geben sie jährlich eine schriftliche öffentliche Verpflichtungserklärung ab, die auf der Website der Agentur veröffentlicht wird.
Die Liste der Mitglieder des Verwaltungsrats und der Mitglieder der Beratergruppen wird auf der Website der Agentur veröffentlicht.
Artikel 30
Sitzabkommen und Abkommen über die technischen Standorte
(1) Die notwendigen Regelungen für die Unterbringung der Agentur in den Aufnahmemitgliedstaaten und die Leistungen, die von diesen Mitgliedstaaten zu erbringen sind, zusammen mit den besonderen Vorschriften, die in den Aufnahmemitgliedstaaten für die Mitglieder des Verwaltungsrats, den Exekutivdirektor, die sonstigen Mitarbeiter der Agentur und ihre Familienangehörigen gelten, werden in einem Sitzabkommen über den Sitz der Agentur und in Abkommen über die technischen Standorte festgelegt. Solche Abkommen werden nach Genehmigung durch den Verwaltungsrat zwischen der Agentur und den Aufnahmemitgliedstaaten geschlossen.
(2) Die Aufnahmemitgliedstaaten der Agentur gewährleisten die erforderlichen Voraussetzungen für das reibungslose Funktionieren der Agentur, einschließlich — unter anderem — eines mehrsprachigen und europäisch ausgerichteten schulischen Angebots und geeigneter Verkehrsverbindungen.
Artikel 31
Vorrechte und Befreiungen
Für die Agentur gilt das Protokoll über die Vorrechte und Befreiungen der Europäischen Union.
Artikel 32
Haftung
(1) Für die vertragliche Haftung der Agentur ist das Recht maßgebend, das auf den betreffenden Vertrag anzuwenden ist.
(2) Für Entscheidungen aufgrund einer Schiedsklausel in einem von der Agentur geschlossenen Vertrag ist der Gerichtshof der Europäischen Union zuständig.
(3) Im Bereich der außervertraglichen Haftung ersetzt die Agentur einen durch ihre Dienststellen oder Bediensteten bei der Erfüllung ihrer Aufgaben verursachten Schaden nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind.
(4) Für Streitigkeiten über den Schadensersatz nach Absatz 3 ist der Gerichtshof der Europäischen Union zuständig.
(5) Für die persönliche Haftung der Bediensteten der Agentur gegenüber der Agentur sind die für sie geltenden Bestimmungen des Beamtenstatuts beziehungsweise der Beschäftigungsbedingungen maßgebend.
Artikel 33
Sprachenregelung
(1) Für die Agentur gilt die Verordnung Nr. 1 des Rates (46).
(2) Unbeschadet der nach Artikel 342 AEUV gefassten Beschlüsse werden das einheitliche Programmplanungsdokument nach Artikel 19 Absatz 1 Buchstabe r und der jährliche Tätigkeitsbericht nach Artikel 19 Absatz 1 Buchstabe t in allen Amtssprachen der Organe der Union erstellt.
(3) Unbeschadet der Verpflichtungen nach den Absätzen 1 und 2 kann der Verwaltungsrat einen Beschluss über Arbeitssprachen erlassen.
(4) Die für die Tätigkeit der Agentur erforderlichen Übersetzungsleistungen werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht.
Artikel 34
Transparenz und Kommunikation
(1) Für die Dokumente, die sich im Besitz der Agentur befinden, gilt die Verordnung (EG) Nr. 1049/2001.
(2) Der Verwaltungsrat erlässt auf Vorschlag des Exekutivdirektors unverzüglich Vorschriften für die Anwendung der Verordnung (EG) Nr. 1049/2001.
(3) Gegen Beschlüsse der Agentur nach Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann unter den Voraussetzungen der Artikel 228 und 263 AEUV Beschwerde beim Bürgerbeauftragten beziehungsweise Klage beim Gerichtshof der Europäischen Union erhoben werden.
(4) Die Agentur, deren Kommunikation im Einklang mit den Rechtsakten der Union erfolgt, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung von IT-Großsystemen regeln, kann innerhalb ihres Zuständigkeitsbereichs von sich aus Öffentlichkeitsarbeit leisten. Die Agentur stellt insbesondere sicher, dass die Öffentlichkeit und interessierte Kreise zusätzlich zu den Veröffentlichungen nach Artikel 19 Absatz 1 Buchstaben r, t, ii, jj, kk und ll sowie nach Artikel 47 Absatz 9 rasch objektive, präzise, zuverlässige, umfassende und leicht verständliche Informationen über ihre Arbeit erhalten. Die Zuweisung von Mitteln für die Öffentlichkeitsarbeit darf der wirksamen Erfüllung der in den Artikeln 3 bis 16 genannten Aufgaben der Agentur nicht abträglich sein. Die Öffentlichkeitsarbeit muss mit den einschlägigen Vorgaben des Verwaltungsrats für die Öffentlichkeitsarbeit und Informationsverbreitung im Einklang stehen.
(5) Jede natürliche oder juristische Person kann sich in jeder Amtssprache der Union schriftlich an die Agentur wenden. Die betreffende Person hat Anspruch auf eine Antwort in derselben Sprache.
Artikel 35
Datenschutz
(1) Die Verarbeitung personenbezogener Daten durch die Agentur unterliegt der Verordnung (EU) 2018/1725.
(2) Der Verwaltungsrat trifft Maßnahmen für die Anwendung der Verordnung (EU) 2018/1725 durch die Agentur, einschließlich Maßnahmen hinsichtlich des Datenschutzbeauftragten. Diese Maßnahmen werden nach Anhörung des Europäischen Datenschutzbeauftragten getroffen.
Artikel 36
Zwecke der Verarbeitung personenbezogener Daten
(1) Die Agentur darf personenbezogene Daten nur für die folgenden Zwecke verarbeiten:
a) |
wenn dies zur Wahrnehmung ihrer Aufgaben im Zusammenhang mit dem Betriebsmanagement von IT-Großsystemen, mit denen sie durch Unionsrecht betraut wurde, erforderlich ist; |
b) |
wenn dies für ihre Verwaltungsaufgaben erforderlich ist. |
(2) Wenn die Agentur personenbezogene Daten für den in Absatz 1 Buchstabe a dieses Artikels genannten Zweck verarbeitet, gilt — unbeschadet der spezifischen Datenschutz- und Datensicherheitsbestimmungen der Rechtsakte der Union, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme regeln — die Verordnung (EU) 2018/1725.
Artikel 37
Sicherheitsvorschriften für den Schutz von Verschlusssachen und nicht als Verschlusssache eingestuften sensiblen Informationen
(1) Die Agentur erlässt eigene Sicherheitsvorschriften auf der Grundlage der Grundsätze und Vorschriften der in den Beschlüssen (EU, Euratom) 2015/443 (47) und (EU, Euratom) 2015/444 (48) der Kommission festgelegten Sicherheitsvorschriften der Kommission zum Schutz von EU-Verschlusssachen und nicht als Verschlusssache eingestuften vertraulichen Informationen, zu denen unter anderem Bestimmungen über den Austausch mit Drittstaaten, die Verarbeitung und die Speicherung solcher Informationen gehören. Jede Verwaltungsvereinbarung über den Austausch von Verschlusssachen mit den zuständigen Behörden eines Drittstaats oder, falls keine solche Vereinbarung vorliegt, jede Ad-hoc-Weitergabe von EU-Verschlusssachen in Ausnahmefällen an solche Behörden bedarf der vorherigen Genehmigung durch die Kommission.
(2) Der Verwaltungsrat erlässt die Sicherheitsvorschriften nach Absatz 1 dieses Artikels, nachdem die Kommission sie genehmigt hat. Die Agentur kann alle notwendigen Maßnahmen treffen, um den Austausch von Informationen, die für ihre Aufgaben von Belang sind, mit der Kommission und den Mitgliedstaaten sowie gegebenenfalls den einschlägigen Agenturen der Union zu erleichtern. Die Agentur entwickelt und betreibt ein Informationssystem, über das Verschlusssachen im Einklang mit dem Beschluss (EU, Euratom) 2015/444 mit der Kommission, den Mitgliedstaaten und den einschlägigen Agenturen der Union ausgetauscht werden können. Der Verwaltungsrat beschließt nach Artikel 2 und Artikel 19 Absatz 1 Buchstabe z dieser Verordnung über die interne Struktur der Agentur, die für die Einhaltung angemessener Sicherheitsgrundsätze erforderlich ist.
Artikel 38
Sicherheit der Agentur
(1) Die Agentur ist für die Sicherheit und die Aufrechterhaltung der Ordnung in beziehungsweise auf den von ihr genutzten Gebäuden, Anlagen und Grundstücken zuständig. Die Agentur wendet die Sicherheitsgrundsätze und die einschlägigen Bestimmungen der Rechtsakten der Union an, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung von IT-Großsystemen regeln.
(2) Die Aufnahmemitgliedstaaten treffen alle wirksamen und geeigneten Maßnahmen, um die Ordnung und die Sicherheit in der unmittelbaren Umgebung der von der Agentur genutzten Gebäude, Anlagen und Grundstücke aufrechtzuerhalten, bieten der Agentur im Einklang mit dem Sitzabkommen über den Sitz der Agentur und den Abkommen über die technischen Standorte und die Back-up-Standorte angemessenen Schutz und garantieren gleichzeitig den freien Zugang der von der Agentur ermächtigten Personen zu diesen Gebäuden, Anlagen und Grundstücken.
Artikel 39
Evaluierung
(1) Bis zum 12. Dezember 2023 und danach alle fünf Jahre bewertet die Kommission im Einklang mit ihren Leitlinien und nach Rücksprache mit dem Verwaltungsrat die Leistung der Agentur im Verhältnis zu ihren Zielen, ihrem Auftrag, ihren Standorten und ihren Aufgaben. Bei dieser Evaluierung wird auch geprüft, wie die vorliegende Verordnung umgesetzt wird sowie wie und wieweit die Agentur wirksam zum Betriebsmanagement von IT-Großsystemen und zur Schaffung einer koordinierten, kosteneffizienten und kohärenten IT-Umgebung auf Unionsebene im Raum der Freiheit, der Sicherheit und des Rechts beiträgt. Im Rahmen dieser Evaluierung wird insbesondere geprüft, ob der Auftrag der Agentur möglicherweise geändert werden muss und welche finanziellen Auswirkungen eine solche Änderung hätte. Der Verwaltungsrat kann der Kommission Empfehlungen bezüglich der Änderung der vorliegenden Verordnung vorlegen.
(2) Ist die Kommission der Auffassung, dass Ziele, Auftrag und Aufgaben der Agentur deren Fortbestehen nicht länger rechtfertigen, kann sie eine entsprechende Änderung oder die Aufhebung dieser Verordnung vorschlagen.
(3) Die Kommission erstattet dem Europäischen Parlament, dem Rat und dem Verwaltungsrat über das Ergebnis der Evaluierung nach Absatz 1 Bericht. Die Ergebnisse der Evaluierung werden veröffentlicht.
Artikel 40
Behördliche Untersuchungen
Die Tätigkeit der Agentur ist Gegenstand von Untersuchungen des Europäischen Bürgerbeauftragten nach Artikel 228 AEUV.
Artikel 41
Zusammenarbeit mit den Organen, Einrichtungen und sonstigen Stellen der Union
(1) Unter anderem im Interesse der Koordinierung und finanzieller Einsparungen, zur Vermeidung von Doppelarbeit sowie zur Förderung von Synergien und Komplementarität in Bezug auf ihre jeweiligen Tätigkeiten arbeitet die Agentur in den unter die vorliegende Verordnung fallenden Angelegenheiten mit der Kommission, den anderen Organen der Union und mit anderen Einrichtungen und sonstigen Stellen der Union zusammen, und zwar insbesondere mit denjenigen, die im Raum der Freiheit, der Sicherheit und des Rechts tätig sind, vor allem mit der Agentur der Europäischen Union für Grundrechte.
(2) Die Agentur arbeitet mit der Kommission im Rahmen einer Arbeitsvereinbarung zusammen, in der operative Arbeitsmethoden festgelegt sind.
(3) Die Agentur konsultiert gegebenenfalls die Agentur der Europäischen Union für Netz- und Informationssicherheit in Bezug auf die Netz- und Informationssicherheit und befolgt ihre Empfehlungen.
(4) Die Zusammenarbeit mit den Einrichtungen und sonstigen Stellen der Union erfolgt im Rahmen von Arbeitsvereinbarungen. Der Verwaltungsrat genehmigt solche Arbeitsvereinbarungen und trägt der Stellungnahme der Kommission Rechnung. Wenn die Agentur nicht gemäß der Stellungnahme der Kommission verfährt, gibt sie ihre Gründe hierfür an. In diesen Arbeitsvereinbarungen kann die gemeinsame Nutzung von Diensten durch Agenturen gegebenenfalls vorgesehen werden, wenn dies entweder wegen der Nähe der Standorte oder wegen des Politikbereichs innerhalb der Grenzen des jeweiligen Auftrags und unbeschadet ihrer Kernaufgaben angezeigt ist. Diese Arbeitsvereinbarungen können einen Kostendeckungsmechanismus festlegen.
(5) Die Organe, Einrichtungen und sonstigen Stellen der Union nutzen die von der Agentur erhaltenen Informationen ausschließlich innerhalb der Grenzen ihrer Zuständigkeiten und unter Achtung der Grundrechte, einschließlich der Datenschutzvorschriften. Die Weiterleitung oder sonstige Mitteilung der von der Agentur verarbeiteten personenbezogenen Daten an Organe, Einrichtungen oder sonstige Stellen der Union unterliegt besonderen Arbeitsvereinbarungen über den Austausch personenbezogener Daten und bedarf der vorherigen Genehmigung des Europäischen Datenschutzbeauftragten. Jede Übermittlung personenbezogener Daten durch die Agentur muss mit Artikeln 35 und 36 im Einklang stehen. In diesen Arbeitsregelungen wird hinsichtlich des Umgangs mit Verschlusssachen festgelegt, dass das Organ, die Einrichtung oder die sonstige Stelle der Union Sicherheitsvorschriften und -standards einhält, die den von der Agentur angewandten Vorschriften und Standards gleichwertig sind.
Artikel 42
Beteiligung von Ländern, die bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert sind
(1) An der Agentur können sich Länder beteiligen, die mit der Union Abkommen über ihre Assoziierung bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen geschlossen haben.
(2) Nach den einschlägigen Bestimmungen der in Absatz 1 genannten Abkommen werden Regelungen getroffen, in denen insbesondere Art und Umfang der Beteiligung von Ländern im Sinne von Absatz 1 an der Arbeit der Agentur sowie detaillierte Vorschriften für diese Beteiligung festgelegt werden, einschließlich Bestimmungen zu Finanzbeiträgen, Personal und Stimmrechten.
Artikel 43
Zusammenarbeit mit internationalen Organisationen und anderen einschlägigen Stellen
(1) Sofern in einem Rechtsakt der Union festgelegt und für die Erfüllung ihrer Aufgaben erforderlich, kann die Agentur zu völkerrechtlichen internationalen Organisationen und nachgeordneten Einrichtungen dieser Organisationen oder sonstigen einschlägigen Stellen, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurden, durch den Abschluss von Arbeitsvereinbarungen Beziehungen aufbauen und unterhalten.
(2) Im Einklang mit Absatz 1 können Arbeitsvereinbarungen geschlossen werden, in denen insbesondere der Geltungsbereich, die Art, der Zweck und das Ausmaß dieser Zusammenarbeit festgelegt sind. Solche Arbeitsvereinbarungen können nur mit Genehmigung des Verwaltungsrats geschlossen werden und bedürfen der vorherigen Zustimmung der Kommission.
KAPITEL V
AUFSTELLUNG UND GLIEDERUNG DES HAUSHALTSPLANS
ABSCHNITT 1
Einheitliches Programmplanungsdokument
Artikel 44
Einheitliches Programmplanungsdokument
(1) Alljährlich arbeitet der Exekutivdirektor im Einklang mit Artikel 32 der Delegierten Verordnung (EU) Nr. 1271/2013 und der einschlägigen Bestimmung der gemäß Artikel 49 der vorliegenden Verordnung erlassenen Finanzregelung der Agentur unter Berücksichtigung der Leitlinien der Kommission einen Entwurf des einheitlichen Programmplanungsdokuments für das folgende Jahr aus.
Das einheitliche Programmplanungsdokument umfasst ein Mehrjahresprogramm, ein Jahresarbeitsprogramm sowie den Haushaltsplan der Agentur und Angaben zu den Mitteln nach Maßgabe der gemäß Artikel 49 erlassenen Finanzregelung der Agentur.
(2) Der Verwaltungsrat nimmt den Entwurf des einheitlichen Programmplanungsdokuments nach Anhörung der Beratergruppen an und übermittelt ihn bis zum 31. Januar jedes Jahres — und danach jede aktualisierte Fassung dieses Dokuments — dem Europäischen Parlament, dem Rat und der Kommission.
(3) Vor dem 30. November jedes Jahres verabschiedet der Verwaltungsrat mit Zweidrittelmehrheit seiner stimmberechtigten Mitglieder im Einklang mit dem jährlichen Haushaltsverfahren das einheitliche Programmplanungsdokument und berücksichtigt dabei die Stellungnahme der Kommission. Der Verwaltungsrat sorgt dafür, dass die endgültige Fassung dieses einheitlichen Programmplanungsdokuments dem Europäischen Parlament, dem Rat und der Kommission übermittelt und veröffentlicht wird.
(4) Das einheitliche Programmplanungsdokument wird endgültig, wenn der Gesamthaushaltsplan der Union endgültig festgestellt ist, und muss, falls notwendig, entsprechend angepasst werden. Das verabschiedete einheitliche Programmplanungsdokument wird dann dem Europäischen Parlament, dem Rat und der Kommission übermittelt und veröffentlicht.
(5) Das Jahresarbeitsprogramm für das folgende Jahr umfasst die detaillierten Ziele und die erwarteten Ergebnisse sowie die Leistungsindikatoren. Nach den Grundsätzen der tätigkeitsbezogenen Aufstellung des Haushaltsplans und des maßnahmenbezogenen Managements enthält es außerdem eine Beschreibung der zu finanzierenden Maßnahmen und eine Aufstellung der den einzelnen Maßnahmen zugewiesenen finanziellen und personellen Ressourcen. Das Jahresarbeitsprogramm muss mit dem in Absatz 6 genannten Mehrjahresarbeitsprogramm im Einklang stehen. Im Jahresarbeitsprogramm ist klar anzugeben, welche Aufgaben im Vergleich zum vorigen Haushaltsjahr hinzugefügt, geändert oder gestrichen wurden. Der Verwaltungsrat ändert das verabschiedete Jahresarbeitsprogramm, wenn der Agentur eine neue Aufgabe übertragen wird. Wesentliche Änderungen am Jahresarbeitsprogramm werden nach dem Verfahren für die Verabschiedung des ursprünglichen Jahresarbeitsprogramms beschlossen. Der Verwaltungsrat kann die Befugnis zur Vornahme nicht wesentlicher Änderungen am Jahresarbeitsprogramm dem Exekutivdirektor übertragen.
(6) Im Mehrjahresprogramm wird die strategische Gesamtprogrammplanung einschließlich der Ziele, der erwarteten Ergebnisse und der Leistungsindikatoren festgelegt. Es umfasst auch die Ressourcenplanung, insbesondere die Mehrjahreshaushalts- und -personalplanung. Die Ressourcenplanung wird jährlich aktualisiert. Die strategische Programmplanung wird bei Bedarf aktualisiert, insbesondere zur Berücksichtigung der Ergebnisse der in Artikel 39 genannten Evaluierung.
Artikel 45
Aufstellung des Haushaltsplans
(1) Alljährlich arbeitet der Exekutivdirektor unter Berücksichtigung der von der Agentur ausgeübten Tätigkeiten einen Entwurf des Voranschlags der Einnahmen und Ausgaben der Agentur für das folgende Haushaltsjahr einschließlich eines Entwurfs des Stellenplans aus und übermittelt ihn dem Verwaltungsrat.
(2) Auf der Grundlage des vom Exekutivdirektor ausgearbeiteten Entwurfs des Voranschlags nimmt der Verwaltungsrat einen Entwurf des Voranschlags der Einnahmen und Ausgaben der Agentur für das folgende Haushaltsjahr einschließlich des Entwurfs des Stellenplans an. Der Verwaltungsrat übermittelt ihn bis zum 31. Januar jedes Jahres der Kommission und den Ländern, die bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert sind, als Teil des einheitlichen Programmplanungsdokuments.
(3) Die Kommission übermittelt den Entwurf des Voranschlags zusammen mit dem Vorentwurf des Gesamthaushaltsplans der Union der Haushaltsbehörde.
(4) Auf der Grundlage des Entwurfs des Voranschlags setzt die Kommission die von ihr als erforderlich angesehenen Mittelansätze für den Stellenplan und den Betrag des Zuschusses aus dem Gesamthaushaltsplan in den Entwurf des Gesamthaushaltsplans der Union ein, den sie nach den Artikeln 313 und 314 AEUV der Haushaltsbehörde vorlegt.
(5) Die Haushaltsbehörde bewilligt die Mittel für den Beitrag zur Agentur.
(6) Die Haushaltsbehörde stellt den Stellenplan der Agentur fest.
(7) Der Verwaltungsrat stellt den Haushaltsplan der Agentur fest. Dieser wird endgültig, wenn der Gesamthaushaltsplan der Union endgültig festgestellt ist. Der Haushaltsplan der Agentur wird gegebenenfalls entsprechend angepasst.
(8) Änderungen am Haushaltsplan der Agentur einschließlich des Stellenplans werden nach demselben Verfahren wie für die Verabschiedung des ursprünglichen Haushaltsplans vorgenommen.
(9) Unbeschadet von Artikel 17 Absatz 5 unterrichtet der Verwaltungsrat die Haushaltsbehörde so früh wie möglich über alle von ihm geplanten Vorhaben, die erhebliche finanzielle Auswirkungen auf die Finanzierung des Haushaltsplans der Agentur haben könnten, was insbesondere für Immobilienvorhaben wie die Anmietung oder den Erwerb von Gebäuden gilt. Der Verwaltungsrat setzt die Kommission hiervon in Kenntnis. Beabsichtigt einer der beiden Teile der Haushaltsbehörde, eine Stellungnahme abzugeben, so teilt er dies dem Verwaltungsrat innerhalb von zwei Wochen nach Erhalt der Informationen über das Vorhaben mit. Bei Ausbleiben einer Antwort kann die Agentur mit der geplanten Maßnahme fortfahren. Für Immobilienvorhaben, die voraussichtlich erhebliche Auswirkungen auf den Haushalt der Agentur haben, gilt die Delegierte Verordnung (EU) Nr. 1271/2013.
ABSCHNITT 2
Darstellung, Ausführung und Kontrolle des Haushaltsplans
Artikel 46
Gliederung des Haushaltsplans
(1) Für jedes Haushaltsjahr — das dem Kalenderjahr entspricht — wird ein Voranschlag aller Einnahmen und Ausgaben der Agentur erstellt und im Haushaltsplan der Agentur ausgewiesen.
(2) Der Haushalt der Agentur muss in Bezug auf Einnahmen und Ausgaben ausgeglichen sein.
(3) Unbeschadet anderer Einkünfte setzen sich die Einnahmen der Agentur zusammen aus
a) |
einem Beitrag der Union aus dem Gesamthaushaltsplan der Union (Einzelplan Kommission); |
b) |
einem Beitrag der Länder, die bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert sind und sich an der Arbeit der Agentur nach Maßgabe der jeweiligen Assoziierungsabkommen und der in Artikel 42 genannten Regelungen beteiligen, in denen ihr Finanzbeitrag festgelegt ist; |
c) |
Unionsmitteln in Form von Übertragungsvereinbarungen im Einklang mit der gemäß Artikel 49 erlassenen Finanzregelung der Agentur und den einschlägigen Instrumenten zur Unterstützung der Politik der Union; |
d) |
Beiträgen der Mitgliedstaaten für die Dienstleistungen, die ihnen im Einklang mit der in Artikel 16 genannten Übertragungsvereinbarung erbracht werden; |
e) |
dem Kostenausgleich, den Einrichtungen und sonstige Stellen der Union für Leistungen zahlen, die ihnen im Rahmen der Arbeitsvereinbarungen nach Artikel 41 erbracht wurden; und |
f) |
freiwilligen Finanzbeiträgen der Mitgliedstaaten. |
(4) Zu den Ausgaben der Agentur gehören die Bezüge des Personals, die Verwaltungs- und Infrastrukturausgaben sowie die operativen Ausgaben.
Artikel 47
Ausführung und Kontrolle des Haushaltsplans
(1) Der Exekutivdirektor führt den Haushaltsplan der Agentur aus.
(2) Jedes Jahr übermittelt der Exekutivdirektor der Haushaltsbehörde alle Informationen, die für die Ergebnisse von Evaluierungsverfahren von Belang sind.
(3) Bis zum 1. März des Haushaltsjahrs N+1 übermittelt der Rechnungsführer der Agentur dem Rechnungsführer der Kommission und dem Rechnungshof den vorläufigen Rechnungsabschluss für das Haushaltsjahr N. Der Rechnungsführer der Kommission konsolidiert die vorläufigen Rechnungsabschlüsse der Organe und dezentralen Einrichtungen im Einklang mit Artikel 245 der Verordnung (EU, Euratom) 2018/1046.
(4) Bis zum 31. März des Jahres N+1 übermittelt der Exekutivdirektor dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof einen Bericht über die Haushaltsführung und das Finanzmanagement für das Jahr N.
(5) Bis zum 31. März des Jahres N+1 übermittelt der Rechnungsführer der Kommission dem Rechnungshof den mit dem Rechnungsabschluss der Kommission konsolidierten vorläufigen Rechnungsabschluss der Agentur für das Jahr N.
(6) Nach Eingang der Bemerkungen des Rechnungshofs zum vorläufigen Rechnungsabschluss der Agentur nach Artikel 246 der Verordnung (EU, Euratom) 2018/1046 erstellt der Exekutivdirektor in eigener Verantwortung den endgültigen Rechnungsabschluss der Agentur und legt ihn dem Verwaltungsrat zur Stellungnahme vor.
(7) Der Verwaltungsrat gibt eine Stellungnahme zum endgültigen Rechnungsabschluss der Agentur für das Jahr N ab.
(8) Bis zum 1. Juli des Jahres N+1 übermittelt der Exekutivdirektor den endgültigen Rechnungsabschluss zusammen mit der Stellungnahme des Verwaltungsrats dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof sowie den Ländern, die bei der Umsetzung, Anwendung und Weiterentwicklung des Schengen-Besitzstands und bei Dublin- und Eurodac-bezogenen Maßnahmen assoziiert sind.
(9) Bis zum 15. November des Jahres N+1 wird der endgültige Rechnungsabschluss für das Jahr N im Amtsblatt der Europäischen Union veröffentlicht.
(10) Bis zum 30. September des Jahres N+1 übermittelt der Exekutivdirektor dem Rechnungshof eine Antwort auf dessen Bemerkungen. Der Exekutivdirektor übermittelt diese Antwort auch dem Verwaltungsrat.
(11) Im Einklang mit Artikel 261 Absatz 3 der Verordnung (EU, Euratom) 2018/1046 übermittelt der Exekutivdirektor dem Europäischen Parlament auf dessen Anfrage alle für ein reibungsloses Entlastungsverfahren für das Jahr N notwendigen Informationen.
(12) Vor dem 15. Mai des Jahres N+2 erteilt das Europäische Parlament dem Exekutivdirektor auf Empfehlung des Rates, der mit qualifizierter Mehrheit beschließt, Entlastung für die Ausführung des Haushaltsplans für das Jahr N.
Artikel 48
Vermeidung von Interessenkonflikten
Die Agentur erlässt interne Vorschriften, nach denen die Mitglieder ihres Verwaltungsrats und ihrer Beratungsgruppen und ihre Bediensteten während ihres Beschäftigungsverhältnisses oder ihrer Amtszeit Situationen, die zu einem Interessenkonflikt führen könnten, vermeiden und solche Situationen melden müssen. Diese internen Vorschriften werden auf der Website der Agentur veröffentlicht.
Artikel 49
Finanzregelung
Die für die Agentur geltende Finanzregelung wird vom Verwaltungsrat nach Anhörung der Kommission erlassen. Sie darf von der Delegierten Verordnung (EU) Nr. 1271/2013 nur abweichen, wenn dies wegen der besonderen Arbeitsweise der Agentur erforderlich ist und die Kommission vorher ihre Zustimmung erteilt hat.
Artikel 50
Betrugsbekämpfung
(1) Für die Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen gelten die Verordnung (EU, Euratom) Nr. 883/2013 und die Verordnung (EU) 2017/1939.
(2) Die Agentur tritt der Interinstitutionellen Vereinbarung vom 25. Mai 1999 über die internen Untersuchungen des OLAF bei und erlässt nach dem Muster im Anhang der Vereinbarung unverzüglich geeignete Bestimmungen, die für alle Bediensteten der Agentur gelten.
(3) Der Rechnungshof ist befugt, bei allen Finanzhilfeempfängern, Auftragnehmern und Unterauftragnehmern, die von der Agentur Unionsmittel erhalten haben, anhand von Unterlagen und vor Ort Rechnungsprüfungen vorzunehmen.
(4) Das OLAF kann nach den Bestimmungen und Verfahren der Verordnung (EU, Euratom) Nr. 883/2013 und der Verordnung (Euratom, EG) Nr. 2185/96 des Rates (49) Untersuchungen einschließlich Kontrollen und Überprüfungen vor Ort vornehmen, um festzustellen, ob im Zusammenhang mit von der Agentur finanzierten Finanzhilfen oder Verträgen Betrug, Korruption oder eine sonstige rechtswidrige Handlung zum Nachteil der finanziellen Interessen der Union vorliegt.
(5) Unbeschadet der Absätze 1, 2, 3 und 4 müssen Verträge, Finanzhilfevereinbarungen und Finanzhilfebeschlüsse der Agentur Bestimmungen enthalten, die den Rechnungshof, das OLAF und die EUStA ausdrücklich ermächtigen, Rechnungsprüfungen und Untersuchungen im Rahmen ihrer jeweiligen Zuständigkeiten vorzunehmen.
KAPITEL VI
ÄNDERUNG ANDERER RECHTSAKTE DER UNION
Artikel 51
Änderung der Verordnung (EG) Nr. 1987/2006
In der Verordnung (EG) Nr. 1987/2006 erhält Artikel 15 Absätze 2 und 3 folgende Fassung:
„(2) Die Verwaltungsbehörde ist für alle Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur zuständig, insbesondere für
a) |
Aufsicht; |
b) |
Sicherheit; |
c) |
Koordinierung der Beziehungen zwischen den Mitgliedstaaten und dem Betreiber; |
d) |
Aufgaben im Zusammenhang mit dem Haushaltsvollzug; |
e) |
Anschaffung und Erneuerung; |
f) |
vertragliche Fragen.“ |
Artikel 52
Änderung des Beschlusses 2007/533/JI
Im Beschluss 2007/533/JI erhält Artikel 15 Absätze 2 und 3 folgende Fassung:
„(2) Die Verwaltungsbehörde ist ferner für alle Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur zuständig, insbesondere für
a) |
Aufsicht; |
b) |
Sicherheit; |
c) |
Koordinierung der Beziehungen zwischen den Mitgliedstaaten und dem Betreiber; |
d) |
Aufgaben im Zusammenhang mit dem Haushaltsvollzug; |
e) |
Anschaffung und Erneuerung; |
f) |
vertragliche Fragen.“ |
KAPITEL VII
ÜBERGANGSBESTIMMUNGEN
Artikel 53
Rechtsnachfolge
(1) Die Agentur in der durch die vorliegende Verordnung errichteten Form ist die Rechtsnachfolgerin für alle Verträge, Verbindlichkeiten und Vermögenswerte der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts in der durch die Verordnung (EU) Nr. 1077/2011 errichteten Form.
(2) Die vorliegende Verordnung lässt die rechtliche Wirksamkeit der von der Agentur auf der Grundlage der Verordnung (EU) Nr. 1077/2011 geschlossenen Vereinbarungen, Arbeitsvereinbarungen und Absichtserklärungen unbeschadet etwaiger Änderungen, die aufgrund der vorliegenden Verordnung erforderlich sind, unberührt.
Artikel 54
Übergangsregelungen für den Verwaltungsrat und die Beratergruppen
(1) Die Mitglieder und der Vorsitzende und der stellvertretende Vorsitzende des Verwaltungsrats, die auf der Grundlage der Artikel 13 bzw. 14 der Verordnung (EU) Nr. 1077/2011 ernannt wurden, üben ihre Funktion während der verbleibenden Dauer ihrer Amtszeit weiterhin aus.
(2) Die Mitglieder, die Vorsitzenden und die stellvertretenden Vorsitzenden der Beratergruppen, die auf der Grundlage des Artikels 19 der Verordnung (EU) Nr. 1077/2011 ernannt wurden, üben ihre Funktion während der verbleibenden Dauer ihrer Amtszeit weiterhin aus.
Artikel 55
Aufrechterhaltung der vom Verwaltungsrat erlassenen internen Vorschriften
Die vom Verwaltungsrat auf der Grundlage der Verordnung (EU) Nr. 1077/2011 erlassen internen Vorschriften und Maßnahmen bleiben nach dem 11. Dezember 2018 unbeschadet etwaiger Änderungen, die aufgrund der vorliegenden Verordnung erforderlich sind, in Kraft.
Artikel 56
Übergangsregelungen für den Exekutivdirektor
Dem auf der Grundlage des Artikels 18 der Verordnung (EU) Nr. 1077/2011 ernannten Exekutivdirektor der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts werden für seine noch verbleibende Amtszeit die Zuständigkeiten des Exekutivdirektors der Agentur nach Artikel 24 der vorliegenden Verordnung übertragen. Die sonstigen Bedingungen seines Vertrags bleiben unverändert. Wenn vor dem 11. Dezember 2018 eine Verlängerung der Amtszeit des Exekutivdirektors gemäß Artikel 18 Absatz 4 der Verordnung (EU) Nr. 1077/2011 beschlossen wird, verlängert sich die Amtszeit automatisch bis zum 31. Oktober 2022.
KAPITEL VIII
SCHLUSSBESTIMMUNGEN
Artikel 57
Ersetzung und Aufhebung
Die Verordnung (EU) Nr. 1077/2011 wird hiermit für die durch die vorliegende Verordnung gebundenen Mitgliedstaaten ersetzt.
Daher wird die Verordnung (EU) Nr. 1077/2011 aufgehoben.
Für die durch die vorliegende Verordnung gebundenen Mitgliedstaaten gelten Bezugnahmen auf die aufgehobene Verordnung als Bezugnahmen auf die vorliegende Verordnung und sind nach Maßgabe der Entsprechungstabelle im Anhang der vorliegenden Verordnung zu lesen.
Artikel 58
Inkrafttreten und Geltung
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung gilt ab dem 11. Dezember 2018. Artikel 19 Absatz 1 Buchstabe x, Artikel 24 Absatz 3 Buchstaben h und i und Artikel 50 Absatz 5 dieser Verordnung, soweit sie sich auf die EUStA beziehen, und Artikel 50 Absatz 1 dieser Verordnung, insoweit er sich auf die Verordnung (EU) 2017/1939 bezieht, gelten ab dem im Beschluss der Kommission gemäß Artikel 120 Absatz 2 Unterabsatz 2 der Verordnung (EU) 2017/1939 festgelegten Zeitpunkt.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.
Geschehen zu Straßburg am 14. November 2018.
Im Namen des Europäischen
Der Präsident
A. TAJANI
Parlaments Im Namen des Rates
Die Präsidentin
K. EDTSTADLER
(1) Standpunkt des Europäischen Parlaments vom 5. Juli 2018 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 9. November 2018.
(2) Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates vom 20. Dezember 2006 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) (ABl. L 381 vom 28.12.2006, S. 4).
(3) Beschluss 2007/533/JI des Rates vom 12. Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) (ABl. L 205 vom 7.8.2007, S. 63).
(4) Entscheidung 2004/512/EG des Rates vom 8. Juni 2004 zur Einrichtung des Visa-Informationssystems (VIS) (ABl. L 213 vom 15.6.2004, S. 5).
(5) Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über das Visa-Informationssystem (VIS) und den Datenaustausch zwischen den Mitgliedstaaten über Visa für einen kurzfristigen Aufenthalt (VIS-Verordnung) (ABl. L 218 vom 13.8.2008, S. 60).
(6) Verordnung (EG) Nr. 2725/2000 des Rates vom 11. Dezember 2000 über die Einrichtung von „Eurodac“ für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens (ABl. L 316 vom 15.12.2000, S. 1).
(7) Verordnung (EG) Nr. 407/2002 des Rates vom 28. Februar 2002 zur Festlegung von Durchführungsbestimmungen zur Verordnung (EG) Nr. 2725/2000 über die Einrichtung von „Eurodac“ für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens (ABl. L 62 vom 5.3.2002, S. 1).
(8) Verordnung (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über die Einrichtung von Eurodac für den Abgleich von Fingerabdruckdaten zum Zwecke der effektiven Anwendung der Verordnung (EU) Nr. 604/2013 zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten sowie zur Änderung der Verordnung (EU) Nr. 1077/2011 zur Errichtung einer Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (ABl. L 180 vom 29.6.2013, S. 1).
(9) Verordnung (EU) Nr. 1077/2011 des Europäischen Parlaments und des Rates vom 25. Oktober 2011 zur Errichtung einer Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (ABl. L 286 vom 1.11.2011, S. 1).
(10) Beschluss 2008/633/JI des Rates vom 23. Juni 2008 über den Zugang der benannten Behörden der Mitgliedstaaten und von Europol zum Visa-Informationssystem (VIS) für Datenabfragen zum Zwecke der Verhütung, Aufdeckung und Ermittlung terroristischer und sonstiger schwerwiegender Straftaten (ABl. L 218 vom 13.8.2008, S. 129).
(11) Verordnung (EU) 2017/2226 des Europäischen Parlaments und des Rates vom 30. November 2017 über ein Einreise-/Ausreisesystem (EES) zur Erfassung der Ein- und Ausreisedaten sowie der Einreiseverweigerungsdaten von Drittstaatsangehörigen an den Außengrenzen der Mitgliedstaaten der Europäischen Union und zur Festlegung der Bedingungen für den Zugang zum EES zu Gefahrenabwehr- und Strafverfolgungszwecken und zur Änderung des Übereinkommens zur Durchführung des Übereinkommens von Schengen sowie der Verordnungen (EG) Nr. 767/2008 und (EU) Nr. 1077/2011 (ABl. L 327 vom 9.12.2017, S. 20).
(12) Verordnung (EG) Nr. 1560/2003 der Kommission vom 2. September 2003 mit Durchführungsbestimmungen zur Verordnung (EG) Nr. 343/2003 des Rates zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen in einem Mitgliedstaat gestellten Asylantrags zuständig ist (ABl. L 222 vom 5.9.2003, S. 3).
(13) Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates vom 12. September 2018 über ein Europäisches Reiseinformations- und -genehmigungssystem (ETIAS) und zur Änderung der Verordnungen (EU) Nr. 1077/2011, (EU) Nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 und (EU) 2017/2226 (ABl. L 236 vom 19.9.2018, S. 1).
(14) Beschluss Nr. 922/2009/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über Interoperabilitätslösungen für europäische öffentliche Verwaltungen (ISA) (ABl. L 280 vom 3.10.2009, S. 20).
(15) Beschluss (EU) 2015/2240 des Europäischen Parlaments und des Rates vom 25. November 2015 zur Einrichtung eines Programms über Interoperabilitätslösungen und gemeinsame Rahmen für europäische öffentliche Verwaltungen, Unternehmen und Bürger (Programm ISA2) als Mittel zur Modernisierung des öffentlichen Sektors (ABl. L 318 vom 4.12.2015, S. 1).
(16) Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).
(17) Verordnung (EU) Nr. 1053/2013 des Rates vom 7. Oktober 2013 zur Einführung eines Evaluierungs- und Überwachungsmechanismus für die Überprüfung der Anwendung des Schengen-Besitzstands und zur Aufhebung des Beschlusses des Exekutivausschusses vom 16. September 1998 bezüglich der Errichtung des Ständigen Ausschusses Schengener Durchführungsübereinkommen (ABl. L 295 vom 6.11.2013, S. 27).
(18) Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates vom 14. September 2016 über die Europäische Grenz- und Küstenwache und zur Änderung der Verordnung (EU) 2016/399 des Europäischen Parlaments und des Rates und zur Aufhebung der Verordnung (EG) Nr. 863/2007 des Europäischen Parlaments und des Rates, der Verordnung (EG) Nr. 2007/2004 des Rates und der Entscheidung 2005/267/EG des Rates (ABl. L 251 vom 16.9.2016, S. 1).
(19) Verordnung (EU) Nr. 515/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 zur Schaffung eines Instruments für die finanzielle Unterstützung für Außengrenzen und Visa im Rahmen des Fonds für die innere Sicherheit und zur Aufhebung der Entscheidung Nr. 574/2007/EG (ABl. L 150 vom 20.5.2014, S. 143).
(20) ABl. C 373 vom 20.12.2013, S. 1.
(21) Verordnung (EU) Nr. 526/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) und zur Aufhebung der Verordnung (EG) Nr. 460/2004 (ABl. L 165 vom 18.6.2013, S. 41).
(22) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (siehe Seite 39 dieses Amtsblatts).
(23) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
(24) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
(25) Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 (ABl. L 248 vom 18.9.2013, S. 1).
(26) ABl. L 136 vom 31.5.1999, S. 15.
(27) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).
(28) Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (ABl. L 56 vom 4.3.1968, S. 1).
(29) Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission vom 30. September 2013 über die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 208 der Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (ABl. L 328 vom 7.12.2013, S. 42).
(30) ABl. L 66 vom 8.3.2006, S. 38.
(31) Beschluss 2000/365/EG des Rates vom 29. Mai 2000 zum Antrag des Vereinigten Königreichs Großbritannien und Nordirland, einzelne Bestimmungen des Schengen-Besitzstands auf sie anzuwenden (ABl. L 131 vom 1.6.2000 S. 43).
(32) Beschluss (EU) 2018/1600 des Rates vom 28. September 2018 zum Antrag des Vereinigten Königreichs Großbritannien und Nordirland auf Anwendung einzelner Bestimmungen des Schengen-Besitzstands in Bezug auf die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) (ABl. L 267 vom 25.10.2018, S. 3).
(33) Beschluss 2002/192/EG des Rates vom 28. Februar 2002 zum Antrag Irlands auf Anwendung einzelner Bestimmungen des Schengen-Besitzstands auf Irland (ABl. L 64 vom 7.3.2002, S. 20).
(34) ABl. L 176 vom 10.7.1999, S. 36.
(35) Beschluss 1999/437/EG des Rates vom 17. Mai 1999 zum Erlass bestimmter Durchführungsvorschriften zu dem Übereinkommen zwischen dem Rat der Europäischen Union und der Republik Island und dem Königreich Norwegen über die Assoziierung dieser beiden Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (ABl. L 176 vom 10.7.1999, S. 31).
(36) ABl. L 93 vom 3.4.2001, S. 40.
(37) ABl. L 53 vom 27.2.2008, S. 52.
(38) Beschluss 2008/146/EG des Rates vom 28. Januar 2008 über den Abschluss — im Namen der Europäischen Gemeinschaft — des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (ABl. L 53 vom 27.2.2008, S. 1).
(39) ABl. L 53 vom 27.2.2008, S. 5.
(40) ABl. L 160 vom 18.6.2011, S. 21.
(41) Beschluss 2011/350/EU des Rates vom 7. März 2011 über den Abschluss — im Namen der Europäischen Union — des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zum Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands in Bezug auf die Abschaffung der Kontrollen an den Binnengrenzen und den freien Personenverkehr (ABl. L 160 vom 18.6.2011, S. 19).
(42) ABl. L 160 vom 18.6.2011, S. 39.
(43) Verordnung (EU) Nr. 604/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist (ABl. L 180 vom 29.6.2013, S. 31).
(44) Richtlinie 2004/82/EG des Rates vom 29. April 2004 über die Verpflichtung von Beförderungsunternehmen, Angaben über die beförderten Personen zu übermitteln (ABl. L 261 vom 6.8.2004, S. 24).
(45) Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (ABl. L 119 vom 4.5.2016, S. 132).
(46) Verordnung Nr. 1 des Rates vom 15. April 1958 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft (ABI. 17 vom 6.10.1958, S. 385/58).
(47) Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über Sicherheit in der Kommission (ABl. L 72 vom 17.3.2015, S. 41).
(48) Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 72 vom 17.3.2015, S. 53).
(49) Verordnung (Euratom, EG) Nr. 2185/96 des Rates vom 11. November 1996 betreffend die Kontrollen und Überprüfungen vor Ort durch die Kommission zum Schutz der finanziellen Interessen der Europäischen Gemeinschaften vor Betrug und anderen Unregelmäßigkeiten (ABl. L 292 vom 15.11.1996, S. 2).
ANHANG
ENTSPRECHUNGSTABELLE
Verordnung (EU) Nr. 1077/2011 |
Vorliegende Verordnung |
|
|
Artikel 1 Absatz 1 |
Artikel 1 Absatz 1 |
— |
Artikel 1 Absatz 2 |
Artikel 1 Absatz 2 |
Artikel 1 Absätze 3 und 4 |
Artikel 1 Absatz 3 |
Artikel 1 Absatz 5 |
Artikel 1 Absatz 4 |
Artikel 1 Absatz 6 |
Artikel 2 |
Artikel 2 |
Artikel 3 |
Artikel 3 |
Artikel 4 |
Artikel 4 |
Artikel 5 |
Artikel 5 |
Artikel 5a |
Artikel 6 |
— |
Artikel 7 |
— |
Artikel 8 |
Artikel 6 |
Artikel 9 |
— |
Artikel 10 |
Artikel 7 Absätze 1 und 2 |
Artikel 11 Absatz 1 |
Artikel 7 Absatz 3 |
Artikel 11 Absatz 2 |
Artikel 7 Absatz 4 |
Artikel 11 Absatz 3 |
Artikel 7 Absatz 5 |
Artikel 11 Absatz 4 |
Artikel 7 Absatz 6 |
Artikel 11 Absatz 5 |
— |
Artikel 12 |
— |
Artikel 13 |
Artikel 8 Absatz 1 |
Artikel 14 Absatz 1 |
— |
Artikel 14 Absatz 2 |
Artikel 8 Absatz 2 |
Artikel 14 Absatz 3 |
Artikel 9 Absätze 1 und 2 |
Artikel 15 Absätze 1 und 2 |
— |
Artikel 15 Absatz 3 |
— |
Artikel 15 Absatz 4 |
— |
Artikel 16 |
Artikel 10 Absätze 1 und 2 |
Artikel 17 Absätze 1 und 2 |
Artikel 10 Absatz 3 |
Artikel 24 Absatz 2 |
Artikel 10 Absatz 4 |
Artikel 17 Absatz 3 |
— |
Artikel 17 Absatz 4 |
— |
Artikel 17 Absatz 5 |
Artikel 11 |
Artikel 18 |
Artikel 12 Absatz 1 |
Artikel 19 Absatz 1 |
— |
Artikel 19 Absatz 1 Buchstabe a |
— |
Artikel 19 Absatz 1 Buchstabe b |
Artikel 12 Absatz 1 Buchstabe a |
Artikel 19 Absatz 1 Buchstabe c |
Artikel 12 Absatz 1 Buchstabe b |
Artikel 19 Absatz 1 Buchstabe d |
Artikel 12 Absatz 1 Buchstabe c |
Artikel 19 Absatz 1 Buchstabe e |
— |
Artikel 19 Absatz 1 Buchstabe f |
Artikel 12 Absatz 1 Buchstabe d |
Artikel 19 Absatz 1 Buchstabe g |
— |
Artikel 19 Absatz 1 Buchstabe h |
— |
Artikel 19 Absatz 1 Buchstabe i |
— |
Artikel 19 Absatz 1 Buchstabe j |
— |
Artikel 19 Absatz 1 Buchstabe k |
Artikel 12 Absatz 1 Buchstabe e |
Artikel 19 Absatz 1Buchstabe l |
— |
Artikel 19 Absatz 1 Buchstabe m |
Artikel 12 Absatz 1 Buchstabe f |
Artikel 19 Absatz 1 Buchstabe n |
Artikel 12 Absatz 1 Buchstabe g |
Artikel 19 Absatz 1 Buchstabe o |
— |
Artikel 19 Absatz 1 Buchstabe p |
Artikel 12 Absatz 1 Buchstabe h |
Artikel 19 Absatz 1 Buchstabe q |
Artikel 12 Absatz 1 Buchstabe i |
Artikel 19 Absatz 1 Buchstabe q |
Artikel 12 Absatz 1 Buchstabe j |
Artikel 19 Absatz 1 Buchstabe r |
— |
Artikel 19 Absatz 1 Buchstabe s |
Artikel 12 Absatz 1 Buchstabe k |
Artikel 19 Absatz 1 Buchstabe t |
Artikel 12 Absatz 1 Buchstabe l |
Artikel 19 Absatz 1 Buchstabe u |
Artikel 12 Absatz 1 Buchstabe m |
Artikel 19 Absatz 1 Buchstabe v |
Artikel 12 Absatz 1 Buchstabe n |
Artikel 19 Absatz 1 Buchstabe w |
Artikel 12 Absatz 1 Buchstabe o |
Artikel 19 Absatz 1 Buchstabe x |
— |
Artikel 19 Absatz 1 Buchstabe y |
Artikel 12 Absatz 1 Buchstabe p |
Artikel 19 Absatz 1 Buchstabe z |
Artikel 12 Absatz 1 Buchstabe q |
Artikel 19 Absatz 1 Buchstabe bb |
Artikel 12 Absatz 1 Buchstabe r |
Artikel 19 Absatz 1 Buchstabe cc |
Artikel 12 Absatz 1 Buchstabe s |
Artikel 19 Absatz 1 Buchstabe dd |
Artikel 12 Absatz 1 Buchstabe t |
Artikel 19 Absatz 1 Buchstabe ff. |
Artikel 12 Absatz 1 Buchstabe u |
Artikel 19 Absatz 1 Buchstabe gg |
Artikel 12 Absatz 1 Buchstabe v |
Artikel 19 Absatz 1 Buchstabe hh |
Artikel 12 Absatz 1 Buchstabe w |
Artikel 19 Absatz 1 Buchstabe ii |
Artikel 12 Absatz 1 Buchstabe x |
Artikel 19 Absatz 1 Buchstabe jj |
— |
Artikel 19 Absatz 1 Buchstabe ll |
Artikel 12 Absatz 1 Buchstabe y |
Artikel 19 Absatz 1 Buchstabe mm |
Artikel 12 Absatz 1 Buchstabe z |
Artikel 19 Absatz 1 Buchstabe nn |
— |
Artikel 19 Absatz 1 Buchstabe oo |
Artikel 12 Absatz 1 Buchstabe aa |
Artikel 19 Absatz 1 Buchstabe pp |
Artikel 12 Absatz 1 Buchstabe sa |
Artikel 19 Absatz 1 Buchstabe ee |
Artikel 12 Absatz 1 Buchstabe xa |
Artikel 19 Absatz 1 Buchstabe kk |
Artikel 12 Absatz 1 Buchstabe za |
Artikel 19 Absatz 1 Buchstabe mm |
— |
Artikel 19 Absatz 1 Unterabsatz 2 |
— |
Artikel 19 Absatz 2 |
Artikel 12 Absatz 2 |
Artikel 19 Absatz 3 |
Artikel 13 Absatz 1 |
Artikel 20 Absatz 1 |
Artikel 13 Absätze 2 und 3 |
Artikel 20 Absatz 2 |
Artikel 13 Absatz 4 |
Artikel 20 Absatz 3 |
Artikel 13 Absatz 5 |
Artikel 20 Absatz 4 |
Artikel 14 Absätze 1 und 3 |
Artikel 21 Absatz 1 |
Artikel 14 Absatz 2 |
Artikel 21 Absatz 2 |
Artikel 15 Absatz 1 |
Artikel 22 Absätze 1 und 3 |
Artikel 15 Absatz 2 |
Artikel 22 Absatz 2 |
Artikel 15 Absatz 3 |
Artikel 22 Absatz 5 |
Artikel 15 Absätze 4 und 5 |
Artikel 22 Absatz 4 |
Artikel 15 Absatz 6 |
Artikel 22 Absatz 6 |
Artikel 16 Absätze 1 bis 5 |
Artikel 23 Absätze 1 bis 5 |
— |
Artikel 23 Absatz 6 |
Artikel 16 Absatz 6 |
Artikel 23 Absatz 7 |
Artikel 16 Absatz 7 |
Artikel 23 Absatz 8 |
Artikel 17 Absätze 1 und 4 |
Artikel 24 Absatz 1 |
Artikel 17 Absatz 2 |
— |
Artikel 17 Absatz 3 |
— |
Artikel 17 Absätze 5 und 6 |
Artikel 24 Absatz 3 |
Artikel 17 Absatz 5 Buchstabe a |
Artikel 24 Absatz 3 Buchstabe a |
Artikel 17 Absatz 5 Buchstabe b |
Artikel 24 Absatz 3 Buchstabe b |
Artikel 17 Absatz 5 Buchstabe c |
Artikel 24 Absatz 3 Buchstabe c |
Artikel 17 Absatz 5 Buchstabe d |
Artikel 24 Absatz 3 Buchstabe o |
Artikel 17 Absatz 5 Buchstabe e |
Artikel 22 Absatz 2 |
Artikel 17 Absatz 5 Buchstabe f |
Artikel 19 Absatz 2 |
Artikel 17 Absatz 5 Buchstabe g |
Artikel 24 Absatz 3 Buchstabe p |
Artikel 17 Absatz 5 Buchstabe h |
Artikel 24 Absatz 3 Buchstabe q |
Artikel 17 Absatz 6 Buchstabe a |
Artikel 24 Absatz 3 Buchstaben d und g |
Artikel 17 Absatz 6 Buchstabe b |
Artikel 24 Absatz 3 Buchstabe k |
Artikel 17 Absatz 6 Buchstabe c |
Artikel 24 Absatz 3 Buchstabe d |
Artikel 17 Absatz 6 Buchstabe d |
Artikel 24 Absatz 3 Buchstabe l |
Artikel 17 Absatz 6 Buchstabe e |
— |
Artikel 17 Absatz 6 Buchstabe f |
— |
Artikel 17 Absatz 6 Buchstabe g |
Artikel 24 Absatz 3 Buchstabe r |
Artikel 17 Absatz 6 Buchstabe h |
Artikel 24 Absatz 3 Buchstabe s |
Artikel 17 Absatz 6 Buchstabe i) |
Artikel 24 Absatz 3 Buchstabe t |
Artikel 17 Absatz 6 Buchstabe j |
Artikel 24 Absatz 3 Buchstabe v |
Artikel 17 Absatz 6 Buchstabe k |
Artikel 24 Absatz 3 Buchstabe u |
Artikel 17 Absatz 7 |
Artikel 24 Absatz 4 |
— |
Artikel 24 Absatz 5 |
Artikel 18 |
Artikel 25 |
Artikel 18 Absatz 1 |
Artikel 25 Absätze 1 und 10 |
Artikel 18 Absatz 2 |
Artikel 25 Absätze 2, 3 und 4 |
Artikel 18 Absatz 3 |
Artikel 25 Absatz 5 |
Artikel 18 Absatz 4 |
Artikel 25 Absatz 6 |
Artikel 18 Absatz 5 |
Artikel 25 Absatz 7 |
Artikel 18 Absatz 6 |
Artikel 24 Absatz 1 |
— |
Artikel 25 Absatz 8 |
Artikel 18 Absatz 7 |
Artikel 25 Absätze 9 und 10 |
— |
Artikel 25 Absatz 11 |
— |
Artikel 26 |
Artikel 19 |
Artikel 27 |
Artikel 20 |
Artikel 28 |
Artikel 20 Absätze 1 und 2 |
Artikel 28 Absätze 1 und 2 |
Artikel 20 Absatz 3 |
— |
Artikel 20 Absatz 4 |
Artikel 28 Absatz 3 |
Artikel 20 Absatz 5 |
Artikel 28 Absatz 4 |
Artikel 20 Absatz 6 |
Artikel 28 Absatz 5 |
Artikel 20 Absatz 7 |
Artikel 28 Absatz 6 |
Artikel 20 Absatz 8 |
Artikel 28 Absatz 7 |
Artikel 21 |
Artikel 29 |
Artikel 22 |
Artikel 30 |
Artikel 23 |
Artikel 31 |
Artikel 24 |
Artikel 32 |
Artikel 25 Absätze 1 und 2 |
Artikel 33 Absätze 1 und 2 |
— |
Artikel 33 Absatz 3 |
Artikel 25 Absatz 3 |
Artikel 33 Absatz 4 |
Artikels 26 und 27 |
Artikel 34 |
Artikel 28 Absatz 1 |
Artikel 35 Absatz 1 und Artikel 36 Absatz 2 |
Artikel 28 Absatz 2 |
Artikel 35 Absatz 2 |
— |
Artikel 36 Absatz 1 |
Artikel 29 Absätze 1 und 2 |
Artikel 37 Absatz 1 |
Artikel 29 Absatz 3 |
Artikel 37 Absatz 2 |
Artikel 30 |
Artikel 38 |
Artikel 31 Absatz 1 |
Artikel 39 Absatz 1 |
Artikel 31 Absatz 2 |
Artikel 39 Absätze 1 und 3 |
— |
Artikel 39 Absatz 2 |
— |
Artikel 40 |
— |
Artikel 41 |
— |
Artikel 43 |
— |
Artikel 44 |
Artikel 32 Absatz 1 |
Artikel 46 Absatz 3 |
Artikel 32 Absatz 2 |
Artikel 46 Absatz 4 |
Artikel 32 Absatz 3 |
Artikel 46 Absatz 2 |
Artikel 32 Absatz 4 |
Artikel 45 Absatz 2 |
Artikel 32 Absatz 5 |
Artikel 45 Absatz 2 |
Artikel 32 Absatz 6 |
Artikel 44 Absatz 2 |
Artikel 32 Absatz 7 |
Artikel 45 Absatz 3 |
Artikel 32 Absatz 8 |
Artikel 45 Absatz 4 |
Artikel 32 Absatz 9 |
Artikel 45 Absätze 5 und 6 |
Artikel 32 Absatz 10 |
Artikel 45 Absatz 7 |
Artikel 32 Absatz 11 |
Artikel 45 Absatz 8 |
Artikel 32 Absatz 12 |
Artikel 45 Absatz 9 |
Artikel 33 Absätze 1 bis 4 |
Artikel 47 Absätze 1 bis 4 |
— |
Artikel 47 Absatz 5 |
Artikel 33 Absatz 5 |
Artikel 47 Absatz 6 |
Artikel 33 Absatz 6 |
Artikel 47 Absatz 7 |
Artikel 33 Absatz 7 |
Artikel 47 Absatz 8 |
Artikel 33 Absatz 8 |
Artikel 47 Absatz 9 |
Artikel 33 Absatz 9 |
Artikel 47 Absatz 10 |
Artikel 33 Absatz 10 |
Artikel 47 Absatz 11 |
Artikel 33 Absatz 11 |
Artikel 47 Absatz 12 |
— |
Artikel 48 |
Artikel 34 |
Artikel 49 |
Artikel 35 Absätze 1 und 2 |
Artikel 50 Absätze 1 und 2 |
— |
Artikel 50 Absatz 3 |
Artikel 35 Absatz 3 |
Artikel 50 Absätze 4 und 5 |
Artikel 36 |
— |
Artikel 37 |
Artikel 42 |
— |
Artikel 51 |
— |
Artikel 52 |
— |
Artikel 53 |
— |
Artikel 54 |
— |
Artikel 55 |
— |
Artikel 56 |
— |
Artikel 57 |
Artikel 38 |
Artikel 58 |
— |
ANHANG |
21.11.2018 |
DE |
Amtsblatt der Europäischen Union |
L 295/138 |
VERORDNUNG (EU) 2018/1727 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 14. November 2018
betreffend die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) und zur Ersetzung und Aufhebung des Beschlusses 2002/187/JI des Rates
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 85,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
gemäß dem ordentlichen Gesetzgebungsverfahren (1),
in Erwägung nachstehender Gründe:
(1) |
Eurojust wurde mit dem Beschluss 2002/187/JI des Rates (2) als Einrichtung der Union mit Rechtspersönlichkeit geschaffen, um die Koordinierung und Zusammenarbeit zwischen den zuständigen Justizbehörden der Mitgliedstaaten zu fördern und zu verbessern, insbesondere im Bereich der schweren organisierten Kriminalität. Eurojusts Rechtsrahmen wurde mit den Beschlüssen 2003/659/JI (3) und 2002/187/JI (4) des Rates geändert. |
(2) |
Nach Artikel 85 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) werden die Tätigkeiten und die Funktionsweise von Eurojust durch eine im ordentlichen Gesetzgebungsverfahren angenommene Verordnung geregelt. Demselben Artikel zufolge sind außerdem Vorkehrungen für eine Beteiligung des Europäischen Parlaments und der nationalen Parlamente an der Bewertung der Tätigkeit von Eurojust zu treffen. |
(3) |
Gemäß Artikel 85 AEUV hat Eurojust den Auftrag, die Koordinierung und Zusammenarbeit zwischen den nationalen Behörden zu unterstützen und zu verstärken, die für die Ermittlung und Verfolgung von schwerer Kriminalität zuständig sind, wenn zwei oder mehr Mitgliedstaaten betroffen sind oder eine Verfolgung auf gemeinsamer Grundlage erforderlich ist; Eurojust stützt sich dabei auf die von den Behörden der Mitgliedstaaten und von der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) durchgeführten Operationen und gelieferten Informationen. |
(4) |
Diese Verordnung zielt darauf ab, die Bestimmungen des Beschlusses 2002/187/JI zu ändern und auszuweiten. Da die vorzunehmenden Änderungen sowohl ihrem Umfang als auch ihrer Art nach erheblich sind, sollte der Beschluss 2002/187/JI aus Gründen der Klarheit für die durch diese Verordnung gebundenen Mitgliedstaaten vollständig ersetzt werden. |
(5) |
Da die Europäische Staatsanwaltschaft (EUStA) im Wege einer Verstärkten Zusammenarbeit errichtet wurde, ist die Verordnung (EU) 2017/1939 des Rates (5) nur in denjenigen Mitgliedstaaten in allen ihren Teilen verbindlich und unmittelbar anwendbar, die sich an der Verstärkten Zusammenarbeit beteiligen. Für die Mitgliedstaaten, die nicht an der EUStA teilnehmen, bleibt daher weiterhin Eurojust in vollem Umfang für die in Anhang I der vorliegenden Verordnung aufgeführten Formen der schweren Kriminalität zuständig. |
(6) |
Artikel 4 Absatz 3 des Vertrags über die Europäische Union (EUV) verweist auf den Grundsatz der loyalen Zusammenarbeit, nach dem sich die Union und die Mitgliedstaaten gegenseitig bei der Erfüllung der Aufgaben, die sich aus dem EUV und dem AEUV ergeben, zu achten und zu unterstützen haben. |
(7) |
Eurojust sollte sich wenn erforderlich mit Fragen, die für die EUStA von Bedeutung sind, beschäftigen, um dadurch die Zusammenarbeit zwischen Eurojust und der EUStA zu erleichtern. |
(8) |
Da die EUStA im Wege der Verstärkten Zusammenarbeit errichtet wird, muss die Aufteilung der Zuständigkeiten zwischen der EUStA und Eurojust in Bezug auf Straftaten zum Nachteil der finanziellen Interessen der Union klar festgelegt werden. Ab dem Zeitpunkt zu dem die EUStA ihre Aufgaben in Bezug auf Straftaten übernimmt, sollte Eurojust in der Lage sein, seine Zuständigkeit in Fällen auszuüben, in denen die EUStA zuständig ist, wenn diese Straftaten sowohl Mitgliedstaaten, die an der Verstärkten Zusammenarbeit zur Errichtung der EUStA teilnehmen, als auch nicht an einer solchen Verstärkten Zusammenarbeit teilnehmende Mitgliedstaaten betreffen. In solchen Fällen sollte Eurojust auf Ersuchen der nicht teilnehmenden Mitgliedstaaten oder auf Ersuchen der EUStA handeln. Eurojust sollte in jedem Fall zuständig bleiben für Straftaten zum Nachteil der finanziellen Interessen der Union, wenn die EUStA nicht zuständig ist oder wenn, obwohl die EUStA zuständig ist, sie ihre Zuständigkeit nicht ausübt. Die Mitgliedstaaten, die an der Verstärkten Zusammenarbeit zur Errichtung der EUStA nicht teilnehmen, können weiterhin um Unterstützung durch Eurojust allen Fällen bezüglich Straftaten zum Nachteil der finanziellen Interessen der Union ersuchen. Die EUStA und Eurojust sollten eine enge operative Zusammenarbeit in ihren jeweiligen Aufgabenbereichen entwickeln. |
(9) |
Damit Eurojust seinen Auftrag erfüllen und sein volles Potenzial zur Bekämpfung der grenzüberschreitenden schweren Kriminalität entfalten kann, sollten seine operativen Aufgaben gestärkt werden, indem die verwaltungstechnische Arbeitsbelastung der nationalen Mitglieder gesenkt wird; zudem sollte die europäische Dimension von Eurojust durch eine Beteiligung der Kommission im Verwaltungsrat und eine stärkere Einbeziehung des Europäischen Parlaments und der nationalen Parlamente bei der Bewertung der Tätigkeiten von Eurojust gestärkt werden. |
(10) |
Daher sollten in dieser Verordnung die entsprechenden Einzelheiten für die Beteiligung der Parlamente, die Modernisierung der Struktur und die Vereinfachung des derzeitigen Rechtsrahmens von Eurojust festgelegt werden und Elemente, die sich als effizient bei der Erfüllung der Aufgaben von Eurojust erwiesen haben, beibehalten werden. |
(11) |
Es sollte eindeutig festgelegt werden, für welche Formen der schweren Kriminalität, von der zwei oder mehr Mitgliedstaaten betroffen sind, Eurojust zuständig ist. Außerdem sollte definiert werden, in welchen Fällen, in denen nicht zwei oder mehr Mitgliedstaaten betroffen sind, eine Strafverfolgung auf gemeinsamer Grundlage erforderlich ist. Zu diesen Fällen können Ermittlungen und Strafverfolgungen gehören, die nur einen Mitgliedstaat und einen Drittstaat betreffen, wenn mit diesem Drittstaat ein Abkommen geschlossen wurde oder wenn eine Beteiligung von Eurojust konkret erforderlich ist. Es kann sich bei solchen Strafverfolgungen auch um Fälle handeln, bei denen es um einen Mitgliedstaat geht und die Auswirkungen auf Unionsebene haben. |
(12) |
Seine operativen Aufgaben in Bezug auf konkrete Kriminalfälle sollte Eurojust auf Ersuchen der zuständigen Behörden oder aus eigener Initiative entweder durch ein oder mehrere nationale Mitglieder oder durch das Kollegium wahrnehmen. Wird Eurojust aus eigener Initiative tätig, kann es bei der Koordinierung von Fällen, wie etwa durch die Unterstützung der nationalen Behörden bei deren Ermittlungen und Strafverfolgungsmaßnahmen, eine proaktivere Rolle spielen. Dazu kann unter anderem gehören, dass Eurojust Mitgliedstaaten einbezieht, die ursprünglich nicht an dem Fall beteiligt waren, und dass Eurojust aufgrund von Informationen, die ihm von Europol, dem Europäischen Amt für Betrugsbekämpfung (OLAF), der EUStA oder nationalen Behörden übermittelt wurden, Verbindungen zwischen Fällen feststellt. Dies ermöglicht Eurojust außerdem das Erstellen von Leitlinien, Strategiepapieren und Analysen im Zuge der Fallbearbeitung als Teil seiner strategischen Arbeit. |
(13) |
Eurojust sollte auf Ersuchen einer zuständigen Behörde eines Mitgliedstaats oder der Kommission auch unterstützend bei Ermittlungen mitwirken können, an denen allein dieser Mitgliedstaat beteiligt ist, die aber Auswirkungen auf Unionsebene haben. Zu solchen Ermittlungen gehören beispielsweise Fälle, an denen ein Mitglied eines Organs oder einer Einrichtung der Europäischen Union beteiligt ist. Diese Ermittlungen umfassen auch Fälle, an denen eine erhebliche Anzahl von Mitgliedstaaten beteiligt ist und die möglicherweise ein koordiniertes Vorgehen auf europäischer Ebene erfordern. |
(14) |
Die schriftlichen Stellungnahmen von Eurojust sind für die Mitgliedstaaten nicht verbindlich, sollten aber gemäß der vorliegenden Verordnung beantwortet werden. |
(15) |
Um zu gewährleisten, dass Eurojust grenzüberschreitende Untersuchungen in geeigneter Weise unterstützen und koordinieren kann, ist es erforderlich, dass alle nationalen Mitglieder über die notwendigen operativen Befugnisse in Bezug auf ihren Mitgliedstaat und im Einklang mit dem Recht dieses Mitgliedstaats verfügen, damit sie untereinander und mit den nationalen Behörden kohärenter und effektiver zusammenarbeiten können. Den nationalen Mitgliedern sollten die Befugnisse gewährt werden, die erforderlich sind, damit Eurojust seinen Auftrag erfüllen kann. Zu diesen Befugnissen sollten der Zugang zu relevanten Informationen in nationalen öffentlichen Registern, die direkte Kontaktaufnahme und der direkte Informationsaustausch mit den zuständigen Behörden sowie die Beteiligung an gemeinsamen Ermittlungsgruppen gehören. Die nationalen Mitglieder können nach Maßgabe ihres nationalen Rechts die Befugnisse behalten, die sich aus ihrer Eigenschaft als nationale Behörden ableiten. Mit Zustimmung der zuständigen nationalen Behörde oder bei Dringlichkeit können auch die nationalen Mitglieder Ermittlungsmaßnahmen und kontrollierte Lieferungen anordnen sowie Rechtshilfeersuchen oder Entscheidungen betreffend die gegenseitige Anerkennung ausstellen oder erledigen. Da diese Befugnisse nach Maßgabe des nationalen Rechts ausgeübt werden müssen, sollten die Gerichte der Mitgliedstaaten zuständig sein, um diese Maßnahmen im Einklang mit den Erfordernissen und Verfahren des nationalen Rechts zu überprüfen. |
(16) |
Eurojust sollte eine Verwaltungs- und Managementstruktur erhalten, die es ihm erlaubt, seine Aufgaben effektiver wahrzunehmen, die die für Agenturen der Union geltenden Grundsätze erfüllt, und die die Grundrechte und Grundfreiheiten in vollem Umfang achtet, wobei jedoch Eurojusts besondere Eigenheiten beibehalten und seine Unabhängigkeit bei der Wahrnehmung seiner operativen Aufgaben gewahrt bleiben sollte. Zu diesem Zweck sollten die Aufgaben der nationalen Mitglieder, des Kollegiums und des Verwaltungsdirektors klar formuliert werden und es sollte ein Verwaltungsrat eingerichtet werden. |
(17) |
Es sollten Bestimmungen festgelegt werden, mit denen klar zwischen den operativen und den Managementaufgaben des Kollegiums unterschieden wird, um den Verwaltungsaufwand der nationalen Mitglieder so weit wie möglich zu verringern, sodass sie sich auf Eurojusts operative Arbeit konzentrieren können. Die Managementaufgaben des Kollegiums sollten insbesondere die Annahme der Arbeitsprogramme von Eurojust, des Haushalts, des jährlichen Tätigkeitsberichts und der Arbeitsvereinbarungen mit den Partnern umfassen. Das Kollegium sollte gegenüber dem Verwaltungsdirektor die Befugnis der Anstellungsbehörde ausüben. Das Kollegium sollte auch die Geschäftsordnung von Eurojust annehmen. Da diese Geschäftsordnung sich auf die justiziellen Tätigkeiten der Mitgliedstaaten auswirken kann, sollten dem Rat Durchführungsbefugnisse hinsichtlich der Billigung dieser Geschäftsordnung übertragen werden. |
(18) |
Zur Verbesserung der Strukturen von Eurojust und zur Verschlankung der Verfahren sollte ein Verwaltungsrat eingerichtet werden, der das Kollegium bei seinen Managementaufgaben unterstützt und einen verschlankten Entscheidungsprozess für nicht operative und strategische Fragen erlaubt. |
(19) |
Die Kommission sollte im Kollegium, wenn das Kollegium in Wahrnehmung seiner Managementaufgaben tätig wird, vertreten sein. Der Vertreter der Kommission im Kollegium sollte auch ihr Vertreter im Verwaltungsrat sein, um die Beaufsichtigung im nicht operativen Bereich von Eurojust zu gewährleisten und ihm strategische Leitung zur Verfügung stellen. |
(20) |
Um die effiziente Verwaltung der laufenden Geschäfte von Eurojust sicherzustellen, sollte der Verwaltungsdirektor der rechtliche Vertreter und Leiter von Eurojust sein und dem Kollegium Rechenschaft ablegen. Der Verwaltungsdirektor sollte die Entscheidungen des Kollegiums und des Verwaltungsrates vorbereiten und durchführen. Der Verwaltungsdirektor sollte aufgrund erworbener Verdienste und nachgewiesener Verwaltungs- und Leitungsfähigkeiten sowie einschlägiger Befähigung und Erfahrung ernannt werden. |
(21) |
Ein Präsident und zwei Vizepräsidenten von Eurojust sollten vom Kollegium aus dem Kreis der nationalen Mitglieder für eine Amtszeit von vier Jahren gewählt werden. Bei Wahl eines nationalen Mitglieds zum Präsidenten sollte der betreffende Mitgliedstaat eine andere entsprechend qualifizierte Person zu dem nationalen Verbindungsbüro entsenden und eine Entschädigung aus dem Haushalt von Eurojust beantragen können. |
(22) |
Entsprechend qualifizierte Personen sind Personen, die über die notwendigen Qualifikationen und die notwendige Erfahrung verfügen, um die Aufgaben wahrzunehmen, die zur Gewährleistung des effizienten Funktionierens des nationalen Verbindungsbüros erforderlich sind. Sie können den Status eines Stellvertreters oder eines Assistenten des zum Präsidenten gewählten nationalen Mitglieds oder alternativ dazu eine eher verwaltungstechnische oder technische Funktion innehaben. Jeder Mitgliedstaat sollte diesbezüglich über seine eigenen Anforderungen entscheiden können. |
(23) |
Das Quorum und die Abstimmungsverfahren sollten in der Geschäftsordnung von Eurojust geregelt werden. Liegt wegen der Abwesenheit des nationalen Mitglieds und seines Stellvertreters ein außergewöhnlicher Fall vor, sollte der Assistent des betroffenen nationalen Mitglieds berechtigt sein, im Kollegium abzustimmen, wenn der Assistent den Status eines richterlichen Beamten hat, d. h. eines Staatsanwalts, Richters oder Vertreters einer Justizbehörde. |
(24) |
Da sich der Entschädigungsmechanismus auf den Haushalt auswirkt, sollten dem Rat in dieser Verordnung Durchführungsbefugnisse zur Festlegung dieses Mechanismus übertragen werden. |
(25) |
Es ist erforderlich, innerhalb von Eurojust einen Koordinierungsdauerdienstmechanismus (KoDD) einzurichten, um Eurojust effizienter zu machen und in die Lage zu versetzen, ständig verfügbar zu sein und um in dringenden Fällen einzugreifen. Jeder Mitgliedstaat sollte gewährleisten, dass seine Vertreter im Koordinierungsdauerdienstmechanismus täglich rund um die Uhr einsatzbereit sind. |
(26) |
In den Mitgliedstaaten sollten nationale Eurojust-Koordinierungssysteme eingerichtet werden, die zuständig sind für die Koordinierung der Arbeit der nationalen Eurojust-Anlaufstellen, der nationalen Anlaufstelle für Terrorismusfragen, einer etwaigen nationalen Anlaufstelle für Angelegenheiten mit Bezug zur Zuständigkeit der EUStA, der nationalen Anlaufstelle für das Europäische Justizielle Netz und bis zu dreier weiterer Kontaktstellen sowie der Vertreter des Netzes gemeinsamer Ermittlungsgruppen und Vertreter der Netze, die mit den Beschlüssen 2002/494/JI (6), 2007/845/JI (7) und 2008/852/JI (8) des Rates eingerichtet wurden. Die Mitgliedstaaten können entscheiden, dass eine oder mehrere dieser Aufgaben von derselben nationalen Anlaufstelle wahrgenommen werden müssen. |
(27) |
Zur Förderung und Verstärkung der Koordinierung und der Zusammenarbeit der nationalen Ermittlungs- und Strafverfolgungsbehörden ist es von entscheidender Bedeutung, dass Eurojust von den zuständigen nationalen Behörden, die für die Wahrnehmung seiner Aufgaben erforderlichen Informationen erhält. Dazu sollten die zuständigen nationalen Behörden ihrem nationalen Mitglied unverzüglich die Einsetzung und die Ergebnisse gemeinsamer Ermittlungsgruppen übermitteln. Darüber hinaus sollten die zuständigen nationalen Behörden unverzüglich ihren nationalen Mitgliedern Fälle mitteilen, die in die Zuständigkeit von Eurojust fallen, von denen mindestens drei Mitgliedstaaten direkt betroffen sind und für die mindestens zwei Mitgliedstaaten Ersuchen oder Entscheidungen hinsichtlich einer justiziellen Zusammenarbeit übermittelt wurden. Unter bestimmten Umständen unterrichten sie ihre nationalen Mitglieder auch über Kompetenzkonflikte, kontrollierte Lieferungen und wiederholte Schwierigkeiten bei der justiziellen Zusammenarbeit. |
(28) |
Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (9) legt harmonisierte Vorschriften zum Schutz und zum freien Verkehr personenbezogener Daten, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeitet werden, fest. Um sicherzustellen, dass natürliche Personen auf der Grundlage unionsweit durchsetzbarer Rechte in der gesamten Union das gleiche Maß an Schutz genießen, und um zu verhindern, dass der Austausch personenbezogener Daten zwischen Eurojust und den zuständigen Behörden in den Mitgliedstaaten durch Unterschiede behindert wird, sollten die Vorschriften für den Schutz und den freien Verkehr operativer personenbezogener Daten, die von Eurojust verarbeitet werden, im Einklang mit der Richtlinie (EU) 2016/680 stehen. |
(29) |
Die allgemeinen Vorschriften des gesonderten Kapitels der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (10) über die Verarbeitung operativer personenbezogener Daten sollten unbeschadet der besonderen Datenschutzvorschriften dieser Verordnung gelten. Derartige besondere Vorschriften sollten als lex specialis in Bezug auf die Vorschriften jenes Kapitels der Verordnung (EU) 2018/1725 betrachtet werden (lex specialis derogat legi generali). Um die Zersplitterung des Rechtsrahmens zu verringern, sollten besondere Datenschutzvorschriften in dieser Verordnung mit den Grundsätzen, die jenem Kapitel der Verordnung (EU) 2018/1725 zugrunde liegen, sowie mit den Vorschriften jener Verordnung über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen im Einklang stehen. |
(30) |
Zum Schutz der Rechte und der Grundfreiheiten der betroffenen Personen ist es erforderlich, in dieser Verordnung eine klare Verteilung der Verantwortlichkeiten beim Datenschutz festzulegen. Die Mitgliedstaaten sollten für die Richtigkeit von Daten, die von ihnen an Eurojust übermittelt und von Eurojust unverändert verarbeitet werden, verantwortlich sein sowie dafür, diese Daten auf dem neusten Stand zu halten und die Rechtmäßigkeit der Übermittlung dieser Daten an Eurojust sicherzustellen. Eurojust sollte für die Richtigkeit von Daten, die ihm von anderen Datenlieferanten übermittelt wurden oder aus den eigenen Analysen oder Datenerhebungen von Eurojust hervorgegangenen sind, verantwortlich sein sowie dafür, solche Daten stets auf dem neuesten Stand zu halten. Eurojust sollte sicherstellen, dass alle Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet und nur für einen bestimmten Zweck erhoben und verarbeitet werden. Eurojust sollte auch dafür sorgen, dass die Daten angemessen, erheblich und in Bezug auf den Zweck der Verarbeitung verhältnismäßig sind, dass sie nicht länger als für den Zweck der Verarbeitung erforderlich gespeichert werden und dass sie auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten und die Vertraulichkeit der Datenverarbeitung gewährleistet. |
(31) |
Angemessenen Garantien für die Speicherung operativer personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke oder für statistische Zwecke sollten in die Geschäftsordnung von Eurojust aufgenommen werden. |
(32) |
Eine betroffene Person sollte ihr Recht auf Zugang gemäß der Verordnung (EU) 2018/1725 zu sie betreffenden operativen personenbezogenen Daten, die von Eurojust verarbeitet werden, ausüben können. Die betroffene Person kann dies in angemessenen Abständen kostenlos bei Eurojust oder der nationalen Kontrollbehörde eines Mitgliedstaats der Wahl der betroffenen Person beantragen. |
(33) |
Die Bestimmungen dieser Verordnung über den Datenschutz lassen die geltenden Vorschriften über die Zulässigkeit personenbezogener Daten als Beweismittel in Ermittlungs- und Gerichtsverfahren in Strafsachen unberührt. |
(34) |
Die Verarbeitung jeglicher personenbezogener Daten durch Eurojust innerhalb des Rahmens seiner Zuständigkeit für die Erfüllung seiner Aufgaben sollte als Verarbeitung operativer personenbezogener Daten gelten. |
(35) |
Da Eurojust auch verwaltungstechnische personenbezogene Daten verarbeitet, die keinen Bezug zu strafrechtlichen Ermittlungen aufweisen, sollte die Verarbeitung solcher Daten den allgemeinen Vorschriften der Verordnung (EU) 2018/1725 unterliegen. |
(36) |
Werden operative personenbezogene Daten von dem Mitgliedstaat an Eurojust übermittelt oder geliefert, sollten die zuständige Behörde, das nationale Mitglied oder die nationale Anlaufstelle für Eurojust das Recht haben, eine Berichtigung oder Löschung dieser operativen personenbezogenen Daten zu verlangen. |
(37) |
Zum Nachweis der Einhaltung dieser Verordnung sollte Eurojust oder der befugte Auftragsverarbeiter Aufzeichnungen über alle Kategorien von Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Eurojust und jeder befugte Auftragsverarbeiter sollten verpflichtet sein, mit dem Europäischen Datenschutzbeauftragten (im Folgenden „EDSB“) zusammenzuarbeiten und diesem auf Anfrage dieses Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieses Verzeichnisses kontrolliert werden können. Eurojust oder sein befugter Auftragsverarbeiter, sollte bei der Verarbeitung personenbezogener Daten in nicht automatisierten Verarbeitungssystemen über wirksame Methoden zum Nachweis der Rechtmäßigkeit der Verarbeitung, zur Ermöglichung der Eigenüberwachung und zur Sicherstellung der Integrität und Sicherheit der Daten, wie etwa Protokolle oder andere Formen von Verzeichnissen, verfügen. |
(38) |
Der Verwaltungsrat von Eurojust sollte einen Datenschutzbeauftragten, der Mitglied des vorhandenen Personals sein sollte, benennen. Die Person, die als Datenschutzbeauftragter von Eurojust benannt wird, sollte eine besondere Schulung auf dem Gebiet der Datenschutzvorschriften und der Datenschutzpraxis erhalten haben, um einschlägiges Fachwissen in diesem Bereich zu erwerben. Der Grad des erforderlichen Fachwissens sollte sich nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von Eurojust verarbeiteten personenbezogenen Daten richten. |
(39) |
Der EDSB sollte für die Überwachung bzw. die Sicherstellung der vollständigen Anwendung der Datenschutzvorschriften der vorliegenden Verordnung hinsichtlich der Verarbeitung operativer personenbezogener Daten durch Eurojust verantwortlich sein. Der EDSB sollte die Befugnisse erhalten, die es ihm ermöglichen diese Pflicht wirksam zu erfüllen. Der EDSB sollte berechtigt sein, Eurojust zu vorgelegten Ersuchen zu konsultieren, Eurojust zu beauftragen, aufgetretene Bedenken im Hinblick auf die Verarbeitung operativer personenbezogener Daten auszuräumen, Vorschläge für die Verbesserung des Schutzes betroffener Personen zu unterbreiten und Eurojust anzuweisen, bestimmte Vorgänge in Bezug auf die Verarbeitung operativer personenbezogener Daten durchzuführen. Daher müssen dem EDSB die Mittel zur Verfügung stehen, dafür zu sorgen, dass den Anweisungen nachgekommen wird und dass sie ausgeführt werden. Er sollte daher auch dazu befugt sein, Eurojust zu verwarnen. Eine Verwarnung ist eine mündliche oder schriftliche Erinnerung an die Pflicht von Eurojust, Anweisungen des EDSB auszuführen oder den Vorschlägen des EDSB zu entsprechen sowie eine Erinnerung an die Mittel, die bei jeder Nichtbefolgung oder Weigerung seitens Eurojust angewandt werden sollen. |
(40) |
Die Aufgaben und Befugnisse des EDSB einschließlich der Befugnis, Eurojust anzuweisen, die Berichtigung, Beschränkung der Verarbeitung oder Löschung operativer personenbezogener Daten, die unter Verletzung der in dieser Verordnung enthaltenen Datenschutzvorschriften verarbeitet wurden, vorzunehmen, sollten sich nicht auf die in innerstaatlichen Verfahrensakten enthaltenen personenbezogenen Daten erstrecken. |
(41) |
Zwecks Erleichterung der Zusammenarbeit zwischen dem EDSB und den nationalen Kontrollbehörden, jedoch unbeschadet der Unabhängigkeit des EDSB oder seiner Verantwortung für die Überwachung von Eurojust im Hinblick auf den Datenschutz, sollten der EDSB und die nationalen Kontrollbehörden regelmäßig im Rahmen des Europäischen Datenschutzausschusses gemäß den Vorschriften für die koordinierte Aufsicht nach der Verordnung (EU) 2018/1725 zusammenkommen. |
(42) |
Als erster Empfänger auf dem Gebiet der Union, von Daten, die von Drittstaaten oder internationalen Organisationen zur Verfügung gestellt oder bei ihnen abgerufen wurden, sollte Eurojust für die Richtigkeit dieser Daten verantwortlich sein. Eurojust sollte Maßnahmen ergreifen, um möglichst weitgehend die Richtigkeit der Daten bei Eingang der Daten oder bei Bereitstellung von Daten für andere Behörden zu überprüfen. |
(43) |
Eurojust sollte den für die Organe, Einrichtungen und sonstigen Stellen der Union geltenden allgemeinen Bestimmungen über die vertragliche und außervertragliche Haftung unterliegen. |
(44) |
Soweit es für die Erfüllung seiner Aufgaben erforderlich ist, sollte Eurojust relevante personenbezogene Daten mit anderen Organen, Einrichtungen oder sonstigen Stellen der Union austauschen können und kooperative Beziehungen aufrechterhalten. |
(45) |
Zur Gewährleistung der Zweckbindung muss sichergestellt werden, dass personenbezogene Daten nur dann von Eurojust an Drittstaaten und internationale Organisationen übermittelt werden dürfen, wenn dies zur Verhütung oder Bekämpfung von Straftaten, die in den Aufgabenbereich von Eurojust fallen, erforderlich ist. Hierzu ist es notwendig sicherzustellen, dass bei der Übermittlung personenbezogener Daten der Empfänger zusagt, dass die Daten von dem Empfänger ausschließlich für den Zweck, für den sie ursprünglich übermittelt wurden, verwendet oder an eine zuständige Behörde eines Drittstaats weitergeleitet werden. Eine Weiterübermittlung der Daten sollte im Einklang mit dieser Verordnung erfolgen. |
(46) |
Alle Mitgliedstaaten sind Mitglied der Internationalen Kriminalpolizeilichen Organisation (Interpol). Interpol erhält, speichert und übermittelt für die Erfüllung ihres Auftrags personenbezogene Daten, um die zuständigen Behörden bei der Verhütung und Bekämpfung von internationaler Kriminalität zu unterstützen. Daher sollte die Zusammenarbeit zwischen der Union und Interpol gestärkt werden, indem ein effizienter Austausch personenbezogener Daten gefördert und zugleich die Achtung der Grundrechte und Grundfreiheiten hinsichtlich der automatischen Verarbeitung personenbezogener Daten gewährleistet wird. Wenn operative personenbezogene Daten von Eurojust an Interpol und die Staaten, die Mitglieder zu Interpol abgestellt haben, übermittelt werden, sollte diese Verordnung, insbesondere die Bestimmungen über grenzüberschreitende Datenübermittlungen, zur Anwendung kommen. Diese Verordnung sollte die spezifischen Vorschriften unberührt lassen, die im Gemeinsamen Standpunkt 2005/69/JI des Rates (11) und im Beschluss 2007/533/JI des Rates (12) festgelegt sind. |
(47) |
Übermittelt Eurojust einer Drittstaatsbehörde oder einer internationalen Organisation aufgrund einer gemäß Artikel 218 AEUV geschlossenen internationalen Übereinkunft operative personenbezogene Daten, sollten angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und Grundfreiheiten der Personen vorgesehen werden, um zu gewährleisten, dass den geltenden Datenschutzbestimmungen Genüge getan wird. |
(48) |
Eurojust sollte dafür sorgen, dass Daten nur dann an einen Drittstaat oder eine internationale Organisation übermittelt werden, wenn dies für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder für die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, notwendig ist und es sich bei dem Verantwortlichen in dem Drittstaat oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Verordnung handelt. Eine Übermittlung sollte nur durch Eurojust vorgenommen werden, das als Verantwortlicher agiert. Derartige Übermittlungen können erfolgen, wenn die Kommission beschlossen hat, dass der betreffende Drittstaat oder die betreffende internationale Organisation ein angemessenes Schutzniveau gewährleistet, oder wenn geeignete Garantien bestehen oder wenn Ausnahmen für bestimmte Fälle gelten. |
(49) |
Eurojust sollte personenbezogene Daten an Behörden in Drittstaaten oder an internationale Organisationen nur übermitteln können, wenn dies auf der Grundlage eines Kommissionsbeschlusses geschieht, in dem festgestellt wird, dass der betreffende Staat beziehungsweise die betreffende Organisation ein angemessenes Datenschutzniveau (im Folgenden „Angemessenheitsbeschluss“) gewährleistet, oder, wenn kein Angemessenheitsbeschluss vorliegt, auf der Grundlage einer von der Union gemäß Artikel 218 AEUV geschlossenen internationalen Übereinkunft oder auf der Grundlage eines vor dem Geltungsbeginn dieser Verordnung zwischen Eurojust und dem betreffenden Drittstaat geschlossenen Abkommens, das den Austausch personenbezogener Daten erlaubt. |
(50) |
Stellt das Kollegium fest, dass die Zusammenarbeit mit einem Drittstaat oder einer internationalen Organisation operativ notwendig ist, sollte es vorschlagen können, dass der Rat die Kommission darauf hinweist, dass ein Angemessenheitsbeschluss oder eine Empfehlung zur Aufnahme von Verhandlungen über eine internationale Übereinkunft gemäß Artikel 218 AEUV erforderlich ist. |
(51) |
Datenübermittlungen, die nicht auf der Grundlage eines Angemessenheitsbeschlusses erfolgen, sollten nur dann zulässig sein, wenn in einem rechtsverbindlichen Instrument geeignete Garantien festgelegt sind, die den Schutz personenbezogener Daten gewährleisten, oder wenn Eurojust alle Umstände beurteilt hat, die bei der Datenübermittlung eine Rolle spielen, und auf der Grundlage dieser Beurteilung zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen. Solche rechtsverbindlichen Instrumente könnten beispielsweise rechtsverbindliche bilaterale Abkommen sein, die von den Mitgliedstaaten geschlossen und in ihre Rechtsordnung übernommen wurden und von ihren betroffenen Personen durchgesetzt werden können und die sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen, einschließlich ihres Rechts auf wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe, beachtet werden. Eurojust sollte Kooperationsvereinbarungen zwischen Eurojust und Drittstaaten berücksichtigen können, die den Austausch personenbezogener Daten ermöglichen, wenn es alle Umstände im Zusammenhang mit der Datenübermittlung beurteilt. Eurojust sollte außerdem berücksichtigen können, dass die Übermittlung personenbezogener Daten Geheimhaltungspflichten und dem Grundsatz der Spezialität unterliegt, damit gewährleistet wird, dass die Daten nicht zu anderen Zwecken als zu den Zwecken, zu denen sie übermittelt wurden, verarbeitet werden. Darüber hinaus sollte Eurojust berücksichtigen, dass die personenbezogenen Daten nicht verwendet werden, um die Todesstrafe oder eine Form der grausamen und unmenschlichen Behandlung zu beantragen, zu verhängen oder zu vollstrecken. Diese Bedingungen könnten zwar als geeignete Garantien angesehen werden, die die Datenübermittlung zulassen, jedoch sollte Eurojust zusätzliche Garantien verlangen können. |
(52) |
Sind weder ein Angemessenheitsbeschluss noch geeignete Garantien vorhanden, sollte eine Übermittlung oder eine Kategorie von Übermittlungen nur in bestimmten Fällen erfolgen können, in denen dies zur Wahrung wesentlicher Interessen der betroffenen oder einer anderen Person, zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats, in einem Einzelfall zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, oder in einem Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Diese Ausnahmen sollten restriktiv ausgelegt werden, häufige, umfassende und strukturelle Übermittlungen personenbezogener Daten sowie Datenübermittlungen in großem Umfang ausschließen und daher auf unbedingt notwendige Daten beschränkt sein. Derartige Übermittlungen sollten dokumentiert werden, und die entsprechende Dokumentation sollte dem EDSB auf Anfrage zur Verfügung gestellt werden, damit dieser die Rechtmäßigkeit der Übermittlung überprüfen kann. |
(53) |
In Ausnahmefällen sollte Eurojust zum Erreichen seiner Ziele die Fristen für die Speicherung operativer personenbezogener Daten verlängern können, sofern dabei der Grundsatz der Zweckbindung eingehalten wird, der für die Verarbeitung personenbezogener Daten im Rahmen seiner sämtlichen Tätigkeiten gilt. Solche Entscheidungen sollten erst nach reiflicher Abwägung der Interessen aller Beteiligten — auch der betroffenen Personen — getroffen werden. Jede Fristverlängerung für die Verarbeitung personenbezogener Daten in Fällen, in denen die Verjährungsfrist für die Strafverfolgung in allen betroffenen Mitgliedstaaten abgelaufen ist, sollte nur beschlossen werden, wenn die konkrete Notwendigkeit zur Amtshilfe im Rahmen dieser Verordnung besteht. |
(54) |
Eurojust sollte besonders enge Beziehungen zu dem Europäischen Justiziellen Netz unterhalten, die sich auf Konzertierung und Komplementarität gründen. Diese Verordnung sollte zu einer Verdeutlichung der jeweiligen Aufgaben von Eurojust und des Europäischen Justiziellen Netzes und ihrer Beziehungen zueinander beitragen, wobei gleichzeitig der besondere Charakter des Europäischen Justiziellen Netzes gewahrt werden sollte. |
(55) |
Soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, sollte Eurojust Kooperationsbeziehungen zu anderen Organen, Einrichtungen und sonstigen Stellen der Union, zur EUStA, zu den zuständigen Behörden von Drittstaaten sowie zu internationalen Organisationen unterhalten. |
(56) |
Um die operative Zusammenarbeit zwischen Eurojust und Europol zu verstärken und insbesondere Verknüpfungen zwischen den in den beiden Agenturen jeweils bereits vorhandenen Daten herstellen zu können, sollte Eurojust es Europol ermöglichen, auf Daten im Besitz von Eurojust nach einem Treffer-/kein-Treffer-Verfahren zuzugreifen. Eurojust und Europol sollten dafür sorgen, dass die erforderlichen Vorkehrungen getroffen werden, um ihre operative Zusammenarbeit möglichst optimal zu gestalten, wobei ihren jeweiligen Aufgabenbereichen und etwaigen von den Mitgliedstaaten auferlegten Beschränkungen Rechnung zu tragen ist. Durch diese Arbeitsvereinbarungen sollte Zugang zu allen an Europol übermittelten Informationen und die Möglichkeit, diese Informationen zu durchsuchen, zum Zwecke eines Abgleichs im Einklang mit spezifischen Garantien und Datenschutzgarantien gemäß dieser Verordnung sichergestellt werden. Jeder Zugang zu Daten im Besitz von Eurojust durch Europol sollte durch technische Mittel auf die Informationen beschränkt werden, die in den jeweiligen Aufgabenbereich dieser Agenturen der Union fallen. |
(57) |
Eurojust und Europol sollten einander über alle Tätigkeiten unterrichten, die die Finanzierung gemeinsamer Ermittlungsgruppen erfordern. |
(58) |
Soweit es für die Erfüllung seiner Aufgaben erforderlich ist, sollte Eurojust personenbezogene Daten mit Organen, Einrichtungen und sonstigen Stellen der Unionunter vollständiger Achtung des Schutzes der Privatsphäre sowie anderer Grundrechte und Grundfreiheiten austauschen können. |
(59) |
Eurojust sollte seine Zusammenarbeit mit den zuständigen Behörden von Drittstaaten und internationalen Organisationen nach einer in Konsultation mit der Kommission ausgearbeiteten Strategie intensivieren. Zu diesem Zweck sollte vorgesehen werden, dass Eurojust Verbindungsrichter/-staatsanwälte in Drittstaaten entsenden kann, die ähnliche Aufgaben erfüllen wie diejenigen, die den von den Mitgliedstaaten aufgrund der Gemeinsamen Maßnahme 96/277/JI des Rates (13) entsandten Verbindungsrichtern/-staatsanwälten übertragen wurden. |
(60) |
Es sollte vorgesehen werden, dass Eurojust die Erledigung von Ersuchen von Drittstaaten um justizielle Zusammenarbeit koordiniert, wenn diese Ersuchen in mindestens zwei Mitgliedstaaten im Rahmen derselben Ermittlung zu erledigen sind. Eurojust sollte eine solche Koordinierung nur mit Zustimmung der betroffenen Mitgliedstaaten durchführen. |
(61) |
Um die volle Selbstständigkeit und Unabhängigkeit von Eurojust zu gewährleisten, sollte Eurojust mit einem eigenständigen Haushalt ausgestattet werden, der ausreicht, damit es seine Arbeit ordnungsgemäß leisten kann, und dessen Einnahmen im Wesentlichen aus einem Beitrag aus dem Unionshaushalt bestehen; nicht aus diesem Haushalt finanziert werden die Gehälter und Bezüge der nationalen Mitglieder, Stellvertreter und Assistenten, die von ihren jeweiligen Mitgliedstaaten getragen werden. Der Beitrag der Union und andere Zuschüsse aus dem Gesamthaushaltsplan der Europäischen Union sollten dem Haushaltsverfahren der Union unterliegen. Die Rechnungsprüfung sollte durch den Rechnungshof erfolgen und vom Ausschuss für Haushaltskontrolle des Europäischen Parlaments gebilligt werden. |
(62) |
Für mehr Transparenz und demokratische Kontrolle von Eurojust ist es erforderlich, einen Mechanismus gemäß Artikel 85 Absatz 1 AEUV für die gemeinsame Bewertung der Tätigkeiten von Eurojust durch das Europäische Parlament und die nationalen Parlamente vorzusehen. Die Bewertung sollte in einer interparlamentarischen Ausschusssitzung in den Räumlichkeiten des Europäischen Parlaments in Brüssel unter Beteiligung der Mitglieder der zuständigen Ausschüsse des Europäischen Parlaments und der nationalen Parlamente erfolgen. Die interparlamentarische Ausschusssitzung sollte unter vollständiger Achtung der Unabhängigkeit von Eurojust in Bezug auf Maßnahmen, die in spezifischen operativen Fällen ergriffen werden müssen, sowie der Diskretions- und Vertraulichkeitspflichten stattfinden. |
(63) |
Es ist angebracht, die Anwendung dieser Verordnung regelmäßig zu evaluieren. |
(64) |
Die Arbeitsweise von Eurojust sollte gemäß Artikel 15 Absatz 3 AEUV transparent sein. Das Kollegium müsste genaue Bestimmungen darüber erlassen, wie das Recht der Öffentlichkeit auf Zugang zu Dokumenten gewährleistet wird. Mit dieser Verordnung soll keinesfalls das Recht auf Zugang der Öffentlichkeit zu Dokumenten eingeschränkt werden, soweit es in der Union und in den Mitgliedstaaten, insbesondere gemäß Artikel 42 der Charta der Grundrechte der Europäischen Union (im Folgenden „die Charta“) garantiert wird. Die allgemeinen Transparenzvorschriften für Agenturen der Union sollten auch für Eurojust in einer Weise gelten, dass die Verschwiegenheitspflicht seiner operativen Arbeit in keiner Weise gefährdet wird. Der Europäische Bürgerbeauftragte sollte bei seinen Verwaltungsuntersuchungen die Vertraulichkeitsverpflichtung von Eurojust wahren. |
(65) |
Eurojust sollte zur Stärkung der Transparenz gegenüber den Unionsbürgern und der Rechenschaftspflicht von Eurojust auf seiner Website eine Liste der Mitglieder seines Verwaltungsrates und gegebenenfalls Zusammenfassungen der Ergebnisse der Sitzungen des Verwaltungsrates veröffentlichen; dabei sind die Datenschutzvorschriften einzuhalten. |
(66) |
Die Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (14) sollte auf Eurojust Anwendung finden. |
(67) |
Die Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates (15) sollte auf Eurojust Anwendung finden. |
(68) |
Die notwendigen Bestimmungen über die Unterbringung von Eurojust in dem Mitgliedstaat, in dem Eurojust seinen Sitz hat, also in den Niederlanden, und die speziellen Vorschriften für das Personal von Eurojust und seine Familienangehörigen sollten in einem Sitzabkommen festgelegt werden. Der Aufnahmemitgliedstaat sollte die bestmöglichen Voraussetzungen für die Funktionsfähigkeit Eurojusts gewährleisten, einschließlich mehrsprachiger, europäisch ausgerichteter Schulen und geeigneter Verkehrsanbindungen, damit Eurojust hoch qualifizierte Mitarbeiter auf möglichst breiter geografischer Grundlage einstellen kann. |
(69) |
Die mit dieser Verordnung errichtete Agentur Eurojust sollte Rechtsnachfolgerin der mit dem Beschluss 2002/187/JI des Rates eingerichteten Stelle Eurojust in Bezug auf alle von der Stelle geschlossenen Verträge (einschließlich Arbeitsverträge), ihre Verbindlichkeiten und ihr Vermögen werden. Internationale Übereinkünfte, die von Eurojust in der gemäß dem genannten Beschluss errichteten Form abgeschlossen wurden, sollten ihre Geltung behalten. |
(70) |
Da das Ziel dieser Verordnung, nämlich die Einrichtung einer Stelle, die für die Unterstützung und Stärkung der Koordinierung und Zusammenarbeit der nationalen Justizbehörden in Bezug auf schwere Kriminalität zuständig ist, wenn zwei oder mehr Mitgliedstaaten betroffen sind oder wenn eine Verfolgung auf gemeinsamer Grundlage erforderlich ist, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern wegen des Umfangs und der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Erreichung dieses Ziels erforderliche Maß hinaus. |
(71) |
Nach den Artikeln 1 und 2 und Artikel 4a Absatz 1 des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts und unbeschadet des Artikels 4 dieses Protokolls beteiligen sich diese Mitgliedstaaten nicht an der Annahme dieser Verordnung und sind weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet. |
(72) |
Nach den Artikeln 1 und 2 des dem EUV und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet. |
(73) |
Der EDSB wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (16) angehört und hat am 5. März 2014 eine Stellungnahme abgegeben. |
(74) |
Diese Verordnung steht in vollständigem Einklang mit den Grundrechten und Garantien sowie den Grundsätzen, die insbesondere mit der Charta anerkannt wurden. |
HABEN FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
ERRICHTUNG, ZIELE UND AUFGABEN VON EUROJUST
Artikel 1
Die Errichtung der Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen
(1) Hiermit wird die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) errichtet.
(2) Die durch diese Verordnung errichtete Agentur Eurojust tritt an die Stelle der durch Beschluss 2002/187/JI errichtete Stelle Eurojust und ist deren Rechtsnachfolgerin.
(3) Eurojust besitzt Rechtspersönlichkeit.
Artikel 2
Aufgaben
(1) Eurojust unterstützt und verstärkt die Koordinierung und Zusammenarbeit zwischen den nationalen Behörden, die für die Ermittlung und Verfolgung von schwerer Kriminalität, die gemäß Artikel 3 Absätze 1 und 3 in den Zuständigkeitsbereich von Eurojust fällt, zuständig sind, von der zwei oder mehr Mitgliedstaaten betroffen sind oder die eine Verfolgung auf gemeinsamer Grundlage erfordert; Eurojust stützt sich dabei auf die von den Behörden der Mitgliedstaaten, von Europol, der EUStA und von OLAF durchgeführten Operationen und gelieferten Informationen.
(2) Bei der Wahrnehmung seiner Aufgaben
a) |
berücksichtigt Eurojust jedes von einer zuständigen Behörde eines Mitgliedstaats ausgehende Ersuchen, jede Information, die von Organe, Einrichtungen und sonstigen Stellen der Union, die nach den im Rahmen der Verträge erlassenen Bestimmungen zuständig sind, übermittelt wird und jede Information, die von Eurojust selbst eingeholt wurde; |
b) |
erleichtert Eurojust die Erledigung von Ersuchen und Entscheidungen betreffend die justizielle Zusammenarbeit, auch wenn die Ersuchen und Entscheidungen auf Rechtsinstrumenten basieren, die dem Grundsatz der gegenseitigen Anerkennung Wirkung verleihen; |
(3) Eurojust führt seine Aufgaben auf Ersuchen der zuständigen Behörden der Mitgliedstaaten, aus eigener Initiative oder auf Ersuchen der EUStA im Rahmen der Zuständigkeit der EUStA aus.
Artikel 3
Zuständigkeit von Eurojust
(1) Eurojust ist für die in Anhang 1 aufgezählten schweren Straftaten zuständig. Ab dem Zeitpunkt, zu dem die EUStA ihre Ermittlungs- und Strafverfolgungsaufgaben gemäß Artikel 120 Absatz 2 der Verordnung 2017/1939 übernommen hat, übt Eurojust jedoch seine Zuständigkeit nicht in Bezug auf Straftaten aus, für die die EUStA ihre Zuständigkeit ausübt, es sei denn, es handelt sich um solche Fälle, an denen auch Mitgliedstaaten beteiligt sind, die an der Verstärkten Zusammenarbeit zur Errichtung der EUStA nicht teilnehmen, und diese Mitgliedstaaten oder die EUStA stellen einen entsprechenden Antrag.
(2) Eurojust übt seine Zuständigkeit für Straftaten zum Nachteil der finanziellen Interessen der Union in Fällen aus, an denen zwar Mitgliedstaaten beteiligt sind, die an der Verstärkten Zusammenarbeit zur Errichtung der EUStA teilnehmen, in Bezug auf die die EUStA aber über keine Zuständigkeit verfügt oder entscheidet, ihre Zuständigkeit nicht auszuüben.
Eurojust, die EUStA und die betreffenden Mitgliedstaaten sind zur Rücksprache und zur Zusammenarbeit untereinander angehalten, um die Ausübung der Befugnisse gemäß diesem Absatz durch Eurojust zu erleichtern. Die praktischen Einzelheiten der Ausübung seiner Befugnisse gemäß dem vorliegenden Absatz werden durch eine Arbeitsvereinbarung gemäß Artikel 47 Absatz 3 geregelt.
(3) Bei anderen als den in Anhang I genannten Arten von Straftaten kann Eurojust ferner im Einklang mit seinen Aufgaben die Ermittlungen und Strafverfolgungsmaßnahmen auf Ersuchen einer zuständigen Behörde eines Mitgliedstaats unterstützen.
(4) Eurojust ist für Straftaten zuständig, die mit den in Anhang I aufgeführten Straftaten im Zusammenhang stehen. Als im Zusammenhang stehende Straftaten gelten folgende Kategorien:
a) |
Straftaten, die begangen werden, um die Mittel zur Begehung der in Anhang I aufgeführten schweren Straftaten zu beschaffen; |
b) |
Straftaten, die begangen werden, um die in Anhang I aufgeführten schweren Straftaten zu erleichtern oder zu begehen; |
c) |
Straftaten, die begangen werden, um dafür zu sorgen, dass diejenigen, die die in Anhang I aufgeführten schweren Straftaten begehen, straflos bleiben. |
(5) Auf Ersuchen der zuständigen Behörde eines Mitgliedstaats kann Eurojust auch Ermittlungen und Strafverfolgungsmaßnahmen unterstützen, die allein diesen Mitgliedstaat und einen Drittstaat betreffen, sofern mit diesem Land ein Abkommen oder eine Vereinbarung über eine Zusammenarbeit nach Artikel 52 geschlossen worden ist oder sofern im Einzelfall ein wesentliches Interesse an der Unterstützung besteht.
(6) Auf Ersuchen entweder der zuständigen Behörde eines Mitgliedstaats oder der Kommission kann Eurojust Ermittlungen und Strafverfolgungsmaßnahmen unterstützen, die allein diesen Mitgliedstaat berühren, aber Auswirkungen auf der Ebene der Union haben. Bevor Eurojust auf Ersuchen der Kommission tätig wird, sollte Eurojust die zuständige Behörde des betroffenen Mitgliedstaats konsultieren. Diese zuständige Behörde kann innerhalb einer von Eurojust gesetzten Frist Einspruch dagegen erheben, dass Eurojust das Ersuchen erledigt Sie hat ihren Standpunkt in jedem Einzelfall zu begründen.
Artikel 4
Operative Aufgaben von Eurojust
(1) Eurojust
a) |
unterrichtet die zuständigen Behörden der Mitgliedstaaten über Ermittlungen und Strafverfolgungsmaßnahmen, von denen Eurojust Kenntnis erlangt hat, dass sie Auswirkungen auf Ebene der Union haben oder andere als die unmittelbar betroffenen Mitgliedstaaten berühren könnten; |
b) |
unterstützt die zuständigen Behörden der Mitgliedstaaten bei der Gewährleistung einer optimalen Koordinierung der Ermittlungen und Strafverfolgungsmaßnahmen; |
c) |
unterstützt die Verbesserung der Zusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten, insbesondere auf der Grundlage der von Europol vorgenommenen Analysen; |
d) |
arbeitet mit dem Europäischen Justiziellen Netz für Strafsachen zusammen und stimmt sich mit diesem ab; hierzu gehören auch die Inanspruchnahme von dessen Dokumentationsdatenbank und Beiträge zur Verbesserung dieser Datenbank; |
e) |
arbeitet in seinem Zuständigkeitsbereich eng mit der EUStA zusammen; |
f) |
leistet operative, technische und finanzielle Unterstützung bei grenzübergreifenden Maßnahmen und Untersuchungen der Mitgliedstaaten einschließlich gemeinsamer Ermittlungsgruppen. |
g) |
unterstützt die von Europol und anderen Organen, Einrichtungen und sonstigen Stellen der Union entwickelten spezialisierten Zentren der Union und nimmt an ihnen teil, soweit dies sachgerecht ist; |
h) |
arbeitet mit den Organen, Einrichtungen und sonstigen Stellen der Union sowie mit den Netzwerken zusammen, die im Raum der Freiheit, der Sicherheit und des Rechts eingerichtet wurden, der im Rahmen von Titel V AEUV geregelt wird; |
i) |
unterstützt die Maßnahmen der Mitgliedstaaten zur Bekämpfung der in Anhang I aufgeführten Formen schwerer Kriminalität. |
(2) Bei der Wahrnehmung seiner Aufgaben kann Eurojust die zuständigen Behörden der betroffenen Mitgliedstaaten mit entsprechender Begründung ersuchen,
a) |
zu bestimmten Tatbeständen Ermittlungen zu führen oder Strafverfolgungsmaßnahmen einzuleiten; |
b) |
sich damit einverstanden zu erklären, dass eine andere zuständige Behörde gegebenenfalls besser in der Lage ist, zu bestimmten Tatbeständen Ermittlungen zu führen oder die Strafverfolgung aufzunehmen; |
c) |
eine Koordinierung zwischen den zuständigen Behörden der betroffenen Mitgliedstaaten vorzunehmen; |
d) |
ein gemeinsames Ermittlungsteam nach Maßgabe der einschlägigen Kooperationsübereinkünfte einzusetzen; |
e) |
alle Informationen zur Verfügung zu stellen, die erforderlich sind, damit Eurojust seine Aufgaben wahrnehmen kann; |
f) |
besondere Ermittlungsmaßnahmen zu ergreifen; |
g) |
alle sonstigen im Hinblick auf die Ermittlung oder Strafverfolgung gerechtfertigten Maßnahmen zu ergreifen. |
(3) Eurojust kann ferner
a) |
Europol Stellungnahmen vorlegen, die auf Analysen von Europol basieren; |
b) |
logistische Unterstützung leisten, unter anderem bei der Übersetzung, dem Dolmetschen und der Organisation von Koordinierungssitzungen. |
(4) Können sich zwei oder mehrere Mitgliedstaaten nicht darauf einigen, welcher von ihnen nach Eingang eines Ersuchens gemäß Absatz 2 Buchstaben a oder b ein Ermittlungs- oder Strafverfolgungsverfahren einleiten soll, gibt Eurojust eine schriftliche Stellungnahme zu dem Fall ab. Eurojust leitet die Stellungnahme unverzüglich den betreffenden Mitgliedstaaten zu.
(5) Auf Ersuchen einer zuständigen Behörde oder aus eigener Initiative gibt Eurojust eine schriftliche Stellungnahme zu wiederkehrenden Weigerungen oder Schwierigkeiten im Zusammenhang mit der Erledigung von Ersuchen und Entscheidungen betreffend die justizielle Zusammenarbeit ab, auch wenn die Ersuchen und Entscheidungen auf Rechtsinstrumenten basieren, die dem Grundsatz der gegenseitigen Anerkennung Wirkung verleihen, sofern diese Fälle nicht in gegenseitigem Einvernehmen zwischen den betroffenen zuständigen nationalen Behörden oder mit Hilfe der betreffenden nationalen Mitglieder geregelt werden können. Eurojust übermittelt den betreffenden Mitgliedstaaten unverzüglich die Stellungnahme.
(6) Die zuständigen Behörden des betroffenen Mitgliedstaats antworten unverzüglich auf die Ersuchen von Eurojust gemäß Absatz 2 und auf die schriftlichen Stellungnahmen gemäß Absatz 4 oder 5. Die zuständigen Behörden des Mitgliedstaats können es ablehnen, solchen Ersuchen stattzugeben oder den schriftlichen Stellungnahmen zu folgen, wenn dies wesentliche nationale Sicherheitsinteressen beeinträchtigen oder den Erfolg einer laufenden Ermittlung oder die Sicherheit einer Person gefährden würde.
Artikel 5
Wahrnehmung der operativen und sonstigen Aufgaben
(1) Bei allen in Artikel 4 Absatz 1 oder 2 genannten Maßnahmen handelt Eurojust durch ein oder mehrere betroffene nationale Mitglieder. Unbeschadet des Absatzes 2 des vorliegenden Artikels konzentriert sich das Kollegium auf operative Fragen und auf jede sonstige Frage, die unmittelbar mit operativen Angelegenheiten verknüpft ist. Mit Verwaltungsangelegenheiten wird das Kollegium nur dann befasst, wenn dies zur Erfüllung seiner operativen Aufgaben erforderlich ist.
(2) Eurojust handelt als Kollegium
a) |
bei allen in Artikel 4 Absatz 1 oder 2 genannten Maßnahmen,
|
b) |
bei allen in Artikel 4 Absätze 3, 4 oder 5 genannten Maßnahmen; |
c) |
wenn es um eine die Erreichung seiner operativen Ziele betreffende allgemeine Frage geht; |
d) |
wenn der jährliche Haushaltsplan von Eurojust angenommen wird, wobei die Entscheidung durch eine Zweidrittelmehrheit seiner Mitglieder erfolgt; |
e) |
wenn das in Artikel 15 genannte Programm oder der Jahresbericht über die Tätigkeit von Eurojust angenommen werden, wobei die Entscheidung durch eine Zweidrittelmehrheit seiner Mitglieder erfolgt; |
f) |
bei der Wahl oder Entlassung des Präsidenten und der Vizepräsidenten gemäß Artikel 11; |
g) |
bei der Ernennung des Verwaltungsdirektors oder gegebenenfalls bei der Verlängerung von dessen Amtszeit oder bei seiner Amtsenthebung gemäß Artikel 17; |
h) |
beim Abschließen von Arbeitsvereinbarungen gemäß Artikel 47 Absatz 3 und Artikel 52; |
i) |
beim Erlass von Bestimmungen zur Vermeidung und Beilegung von Interessenkonflikten in Bezug auf seine Mitglieder, auch im Zusammenhang mit ihrer Interessenerklärung; |
j) |
bei der Annahme von Strategieberichten, Grundsatzpapieren, Leitlinien für die nationalen Behörden und Stellungnahmen im Zusammenhang mit der operativen Arbeit von Eurojust, sofern diese Dokumente strategischer Art sind; |
k) |
bei der Ernennung von Verbindungsrichtern/-staatsanwälten gemäß Artikel 53; |
l) |
beim Erlass aller Beschlüsse, die nach dieser Verordnung nicht ausdrücklich dem Verwaltungsrat zugewiesen sind oder für die nicht nach Artikel 18 der Verwaltungsdirektor zuständig ist; |
m) |
wenn andere Bestimmungen dieser Verordnung dies vorsehen. |
(3) Bei der Erfüllung seiner Aufgaben gibt Eurojust an, ob die Aufgaben von einem oder mehreren nationalen Mitgliedern oder vom Kollegium wahrgenommen werden.
(4) Im Einklang mit seinem operativen Bedarf kann das Kollegium dem Verwaltungsdirektor und dem Verwaltungsrat weitere als die in den Artikeln 16 und 18 vorgesehenen Verwaltungsaufgaben übertragen.
In Ausnahmefällen kann das Kollegium entscheiden, die Übertragung der Befugnisse der Anstellungsbehörde auf den Verwaltungsdirektor sowie die von diesem weiter übertragenen Befugnisse vorübergehend auszusetzen und die Befugnisse selbst auszuüben oder sie einem seiner Mitglieder oder einem anderen Bediensteten als dem Verwaltungsdirektor zu übertragen.
(5) Das Kollegium nimmt die Geschäftsordnung von Eurojust mit einer Mehrheit von zwei Dritteln seiner Mitglieder an. Kommt eine Zweidrittelmehrheit nicht zustande, wird die Entscheidung mit einfacher Mehrheit getroffen. Die Geschäftsordnung von Eurojust wird vom Rat im Wege von Durchführungsrechtsakten gebilligt.
KAPITEL II
STRUKTUR UND ORGANISATION VON EUROJUST
ABSCHNITT I
Struktur
Artikel 6
Struktur von Eurojust
Eurojust umfasst
a) |
die nationalen Mitglieder; |
b) |
das Kollegium; |
c) |
der Verwaltungsrat; |
d) |
den Verwaltungsdirektor. |
ABSCHNITT II
Nationale Mitglieder
Artikel 7
Status der nationalen Mitglieder
(1) Eurojust verfügt über jeweils ein nationales Mitglied pro Mitgliedstaat, das von dem betreffenden Mitgliedstaat gemäß seiner Rechtsordnung entsandt wird. Dieses nationale Mitglied hat seinen regelmäßigen Arbeitsplatz am Sitz von Eurojust.
(2) Jedes nationale Mitglied wird von einem Stellvertreter und einem Assistenten unterstützt. Grundsätzlich haben der Stellvertreter und der Assistent ihren regelmäßigen Arbeitsplatz am Sitz von Eurojust. Jeder Mitgliedstaat kann beschließen, dass der Stellvertreter oder der Assistent oder beide ihren regelmäßigen Arbeitsplatz im Herkunftsmitgliedstaat haben. Wenn ein Mitgliedstaat sich hierzu entschließt, teilt er dies dem Kollegium mit. Sofern der operative Bedarf von Eurojust dies erfordert, kann das Kollegium den Mitgliedstaat darum ersuchen, den Stellvertreter oder Assistenten oder beide für einen bestimmten Zeitraum am Sitz von Eurojust arbeiten zu lassen. Der Mitgliedstaat kommt einem solchen Ersuchen des Kollegiums unverzüglich nach.
(3) Das nationale Mitglied kann sich von weiteren Stellvertretern oder Assistenten unterstützen lassen, die erforderlichenfalls und mit Zustimmung des Kollegiums ihren regelmäßigen Arbeitsplatz bei Eurojust haben können. Der Mitgliedstaat teilt Eurojust und der Kommission die Ernennung von nationalen Mitgliedern, Stellvertretern und Assistenten mit.
(4) Nationale Mitglieder und ihre Stellvertreter haben den Status eines Staatsanwalts, Richters oder Vertreters einer Justizbehörde mit den gleichwertigen Befugnissen eines Staatsanwalts oder Richters nach Maßgabe ihres nationalen Rechts. Die Mitgliedstaaten statten sie zumindest mit den in dieser Verordnung genannten Befugnissen aus, damit sie ihre Aufgaben erfüllen können.
(5) Die Amtszeiten der nationalen Mitglieder und ihrer Stellvertreter betragen fünf Jahre und können einmal verlängert werden. In Fällen, in denen ein Stellvertreter nicht im Namen des nationalen Mitglieds handeln bzw. dieses vertreten kann, bleibt das nationale Mitglied bei Ablauf seiner Amtszeit mit Zustimmung seines Mitgliedstaats so lange im Amt, bis es wieder ernannt oder ersetzt worden ist.
(6) Die Mitgliedstaaten ernennen die nationalen Mitglieder und Stellvertreter aufgrund einer nachweislichen einschlägigen, praktischen Erfahrung auf hohem Niveau im Bereich Strafjustiz.
(7) Der Stellvertreter kann im Namen des nationalen Mitglieds handeln bzw. dieses vertreten. Ein Assistent kann ebenfalls im Namen des nationalen Mitglieds handeln bzw. dieses vertreten, wenn er den in Absatz 4 genannten Status besitzt.
(8) Der Austausch operativer Informationen zwischen Eurojust und den Mitgliedstaaten findet über die nationalen Mitglieder statt.
(9) Unbeschadet des Artikels 12 gehen die Gehälter und Bezüge der nationalen Mitglieder, der Stellvertreter und der Assistenten zulasten ihrer Mitgliedstaaten.
(10) Werden die nationalen Mitglieder, die Stellvertreter und die Assistenten im Rahmen des Eurojust erteilten Auftrags tätig, gelten die mit dieser Tätigkeit verbundenen Ausgaben als operative Ausgaben.
Artikel 8
Befugnisse der nationalen Mitglieder
(1) Die nationalen Mitglieder sind befugt,
a) |
die Ausstellung oder die Erledigung von Rechtshilfeersuchen oder von Entscheidungen betreffend die gegenseitige Anerkennung zu erleichtern oder auf andere Weise zu unterstützen; |
b) |
jede zuständige nationale Behörde des Mitgliedstaats oder Einrichtung oder sonstige Stelle der Union, einschließlich der EUStA, unmittelbar zu kontaktieren und Informationen mit ihr auszutauschen; |
c) |
im Einklang mit den internationalen Verpflichtungen ihres Mitgliedstaats jede zuständige internationale Behörde unmittelbar zu kontaktieren und Informationen mit ihr auszutauschen; |
d) |
sich an gemeinsamen Ermittlungsgruppen einschließlich ihrer Einsetzung zu beteiligen. |
(2) Unbeschadet des Absatzes 1 können Mitgliedstaaten den nationalen Mitgliedern im Einklang mit ihrem nationalen Recht zusätzliche Befugnisse erteilen. Die Mitgliedstaaten teilen der Kommission und dem Kollegium diese Befugnisse mit.
(3) Mit Zustimmung der zuständigen nationalen Behörde können die nationalen Mitglieder im Einklang mit ihrem nationalen Recht
a) |
Rechtshilfeersuchen oder Entscheidungen betreffend die gegenseitige Anerkennung ausstellen oder erledigen, |
b) |
Ermittlungsmaßnahmen, die in der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates (17) vorgesehen sind, anordnen, darum ersuchen oder erledigen. |
(4) In dringenden Fällen, in denen es nicht möglich ist, die zuständige nationale Behörde rechtzeitig festzustellen oder zu kontaktieren, sind die nationalen Mitglieder befugt, die in Absatz 3 genannten Maßnahmen im Einklang mit ihrem nationalen Recht zu ergreifen, wobei sie so bald wie möglich die zuständige nationale Behörde informieren.
(5) Das nationale Mitglied kann der zuständigen nationalen Behörde einen Vorschlag zur Durchführung der in den Absätzen 3 und 4 genannten Maßnahmen zu unterbreiten, wenn die Ausübung der in den Absätzen 3 und 4 genannten Befugnisse durch ein nationales Mitglied gegen
a) |
verfassungsrechtliche Bestimmungen eines Mitgliedstaats, oder |
b) |
Grundlagen der nationalen Strafrechtsordnung dieses Mitgliedstaats, die die folgenden Bereiche betreffen:
verstoßen würde. |
(6) Die Mitgliedstaaten sorgen dafür, dass der von ihrem nationalen Mitglied vorgelegte Vorschlag in Fällen gemäß Absatz 5 von der zuständigen nationalen Behörde unverzüglich bearbeitet wird.
Artikel 9
Zugang zu nationalen Registern
Nationale Mitglieder haben gemäß ihrem nationalen Recht Zugang zu den folgenden Arten von Registern ihres Mitgliedstaats oder zumindest zu den darin enthaltenen Informationen:
a) |
Strafregister; |
b) |
Register festgenommener Personen; |
c) |
Ermittlungsregister; |
d) |
DNA-Register; |
e) |
sonstige Register öffentlicher Behörden ihres Mitgliedstaats, wenn die Informationen zur Erfüllung ihrer Aufgaben erforderlich sind. |
ABSCHNITT III
Kollegium
Artikel 10
Zusammensetzung des Kollegiums
(1) Das Kollegium setzt sich zusammen aus
a) |
allen nationalen Mitgliedern; und |
b) |
einem Vertreter der Kommission, wenn das Kollegium seine Managementaufgaben wahrnimmt. |
Der gemäß Unterabsatz 1 Buchstabe b ernannte Vertreter der Kommission sollte auch der Vertreter der Kommission im Verwaltungsrat gemäß Artikel 16 Absatz 4 sein.
(2) Der Verwaltungsdirektor nimmt an den Managementsitzungen des Kollegiums ohne Stimmrecht teil.
(3) Das Kollegium kann jede Person, deren Meinung von Interesse sein könnte, als Beobachter zu seinen Sitzungen einladen.
(4) Die Mitglieder des Kollegiums können sich vorbehaltlich der Bestimmungen der Geschäftsordnung von Eurojust von Beratern oder Sachverständigen unterstützen lassen.
Artikel 11
Präsident und Vizepräsident von Eurojust
(1) Das Kollegium wählt mit einer Mehrheit von zwei Dritteln seiner Mitglieder einen Präsidenten und zwei Vizepräsidenten aus dem Kreis der nationalen Mitglieder. Kommt die Zweidrittelmehrheit nach dem zweiten Wahlgang nicht zustande, erfolgt die Wahl der Vizepräsidenten durch eine einfache Mehrheit der Mitglieder des Kollegiums, wogegen eine Zweidrittelmehrheit weiterhin für die Wahl des Präsidenten erforderlich ist.
(2) Der Präsident nimmt seine Aufgaben im Namen des Kollegiums wahr. Der Präsident
a) |
vertritt Eurojust, |
b) |
beruft die Sitzungen des Kollegiums und des Verwaltungsrates ein und führt in ihnen den Vorsitz und unterrichtet das Kollegium über alle Angelegenheiten, die für das Kollegium von Interesse sind, |
c) |
leitet die Arbeit des Kollegiums und überwacht die tägliche Verwaltung von Eurojust durch den Verwaltungsdirektor, |
d) |
nimmt jede andere Aufgabe wahr, die in der Geschäftsordnung von Eurojust vorgesehen ist. |
(3) Die Vizepräsidenten nehmen die in Absatz 2 aufgeführten Aufgaben wahr, die ihnen vom Präsidenten übertragen werden. Sie vertreten den Präsidenten im Fall seiner Verhinderung. Der Präsident und die Vizepräsidenten werden bei der Wahrnehmung ihrer spezifischen Aufgaben vom Verwaltungspersonal von Eurojust unterstützt.
(4) Die Amtszeit des Präsidenten und der Vizepräsidenten beträgt vier Jahre. Eine einmalige Wiederwahl ist zulässig.
(5) Wird ein nationales Mitglied zum Präsidenten oder Vizepräsidenten von Eurojust gewählt, verlängert sich seine Amtszeit, damit gewährleistet ist, dass es seine Aufgabe als Präsident oder Vizepräsident wahrnehmen kann.
(6) Erfüllen der Präsident oder die Vizepräsidenten nicht länger die Voraussetzungen für die Ausübung ihres Amtes, können sie vom Kollegium auf Vorschlag eines Drittels seiner Mitglieder entlassen werden. Der Beschluss wird mit einer Mehrheit von zwei Dritteln der Mitglieder des Kollegiums — ausgenommen den betroffenen Präsidenten oder die jeweils betroffenen Vizepräsidenten — angenommen.
(7) Wird ein nationales Mitglied zum Präsidenten von Eurojust gewählt, kann für die Dauer der Amtsausübung der betreffende Mitgliedstaat eine andere entsprechend qualifizierte Person zur Verstärkung des nationalen Verbindungsbüros entsenden.
Beschließt ein Mitgliedstaat die Entsendung einer solchen Person, ist er berechtigt, eine Entschädigung nach Artikel 12 zu beantragen.
Artikel 12
Entschädigungsmechanismus für die Wahl zum Präsidenten oder Vizepräsidenten
(1) Bis zum 12. Dezember 2019 legt der Rat auf Vorschlag der Kommission im Wege von Durchführungsrechtsakten einen Entschädigungsmechanismus für die Zwecke des Artikels 11 Absatz 7 fest, der dem Mitgliedstaat, dessen nationales Mitglied zum Präsidenten gewählt wurde, bereitgestellt wird.
(2) Die Entschädigung steht jedem Mitgliedstaat zu, wenn
a) |
sein nationales Mitglied zum Präsidenten gewählt wurde, und |
b) |
er beim Kollegium eine Entschädigung beantragt und nachweist, dass sein nationales Verbindungsbüro aufgrund einer gestiegenen Arbeitsbelastung verstärkt werden muss. |
(3) Die geleistete Entschädigung entspricht 50 % des nationalen Entgelts für die entsandte Person. Entschädigungen für Lebenshaltungskosten und sonstige im Zusammenhang stehende Ausgaben werden ähnlich wie für Unionsbeamte oder andere ins Ausland entsandte Beschäftigte gewährt.
(4) Die Kosten für den Entschädigungsmechanismus gehen zulasten des Eurojust-Haushalts.
Artikel 13
Sitzungen des Kollegiums
(1) Die Sitzungen des Kollegiums werden vom Präsidenten einberufen.
(2) Das Kollegium hält mindestens eine Sitzung pro Monat ab. Darüber hinaus tritt es auf Veranlassung seines Präsidenten, auf Antrag der Kommission oder auf Antrag von mindestens einem Drittel seiner Mitglieder zusammen.
(3) Eurojust übermittelt der EUStA die Tagesordnungen der Sitzungen des Kollegiums, wenn Fragen erörtert werden, die für die Wahrnehmung der Aufgaben der EUStA von Bedeutung sind. Eurojust lädt die EUStA zur Teilnahme an solchen Sitzungen ohne Stimmrecht ein. Wird die EUStA zu einer Sitzung des Kollegiums eingeladen, stellt Eurojust ihr die sachdienlichen Dokumente, die der Tagesordnung zugrunde liegen, zur Verfügung.
Artikel 14
Abstimmungsregeln für das Kollegium
(1) Sofern nichts anderes vorgesehen ist und wenn kein Konsens erreicht werden kann, beschließt das Kollegium mit der Mehrheit seiner Mitglieder.
(2) Jedes Mitglied verfügt über eine Stimme. Bei Abwesenheit eines Mitglieds ist sein Stellvertreter berechtigt, dessen Stimmrecht gemäß der in Artikel 7 Absatz 7 festgelegten Bedingungen auszuüben. Bei Abwesenheit des Stellvertreters ist der Assistent ebenfalls berechtigt, dessen Stimmrecht gemäß der in Artikel 7 Absatz 7 festgelegten Bedingungen auszuüben.
Artikel 15
Jährliche und mehrjährige Programmplanung
(1) Bis zum 30. November jedes Jahres nimmt das Kollegium anhand eines vom Verwaltungsdirektor vorbereiteten Entwurfs unter Berücksichtigung der Stellungnahme der Kommission ein Programmplanungsdokument für das jährliche und das mehrjährige Arbeitsprogramm an. Das Kollegium übermittelt das Programmplanungsdokument dem Europäischen Parlament, dem Rat, der Kommission und der EUStA. Nach der endgültigen Annahme des Gesamthaushaltsplans der Union und erforderlichenfalls einer entsprechenden Anpassung des Programmplanungsdokuments wird es endgültig wirksam.
(2) Das jährliche Arbeitsprogramm umfasst genaue Ziele und erwartete Ergebnisse einschließlich Leistungsindikatoren. Es enthält ferner eine Beschreibung der zu finanzierenden Maßnahmen und Angaben zu den jeder Maßnahme zugewiesenen Finanzmitteln und Humanressourcen, im Einklang mit den Grundsätzen der tätigkeitsbezogenen Aufstellung des Haushaltsplans und des maßnahmenbezogenen Managements. Das jährliche Arbeitsprogramm steht mit dem mehrjährigen Arbeitsprogramm nach Absatz 4 in Einklang. Im jährlichen Arbeitsprogramm ist klar angegeben, welche Aufgaben im Vergleich zum vorangegangenen Haushaltsjahr hinzugefügt, verändert oder gestrichen wurden.
(3) Das Kollegium ändert das angenommene jährliche Arbeitsprogramm, wenn Eurojust eine neue Aufgabe übertragen wird. Substanzielle Änderungen des jährlichen Arbeitsprogramms werden nach demselben Verfahren wie das ursprüngliche jährliche Arbeitsprogramm angenommen. Das Kollegium kann die Befugnis zur Vornahme nicht wesentlicher Änderungen am jährlichen Arbeitsprogramm dem Verwaltungsdirektor übertragen.
(4) Im mehrjährigen Arbeitsprogramm wird die strategische Gesamtplanung, einschließlich Zielen, der Strategie für die Zusammenarbeit mit den Behörden von Drittstaaten und internationalen Organisationen gemäß Artikel 52, erwarteten Ergebnissen und Leistungsindikatoren, festgelegt. Es enthält ferner die Ressourcenplanung einschließlich des Mehrjahreshaushalts und des Personals. Die Ressourcenplanung wird jährlich aktualisiert. Die strategische Programmplanung wird erforderlichenfalls aktualisiert, insbesondere zur Berücksichtigung der Ergebnisse der in Artikel 69 genannten Bewertung.
ABSCHNITT IV
Verwaltungsrat
Artikel 16
Aufgaben des Verwaltungsrates
(1) Das Kollegium wird von einem Verwaltungsrat unterstützt. Der Verwaltungsrat ist für Verwaltungsbeschlüsse zuständig, mit denen gewährleistet wird, dass Eurojust ordnungsgemäß funktioniert. Er überwacht die erforderlichen Vorbereitungsarbeiten des Verwaltungsdirektors zu anderen Verwaltungsangelegenheiten im Hinblick auf deren Annahme durch das Kollegium. Er ist nicht in die in den Artikeln 4 und 5 genannten operativen Aufgaben von Eurojust eingebunden.
(2) Der Verwaltungsrat kann das Kollegium bei der Durchführung seiner Aufgaben konsultieren.
(3) Der Verwaltungsrat hat ferner folgende Aufgaben:
a) |
Er überarbeitet das in Artikel 15 genannte Programmplanungsdokument von Eurojust anhand des vom Verwaltungsdirektor erstellten Entwurfs und leitet sie dem Kollegium zur Annahme zu; |
b) |
er nimmt eine Betrugsbekämpfungsstrategie für Eurojust, die in einem angemessenen Verhältnis zu den Betrugsrisiken steht und das Kosten-Nutzen-Verhältnis der durchzuführenden Maßnahmen berücksichtigt, anhand eines vom Verwaltungsdirektor erstellten Entwurfs an; |
c) |
er erlässt gemäß Artikel 110 des Statuts der Beamten der Europäischen Union (im Folgenden „Beamtenstatut“) geeignete Durchführungsbestimmungen zur Umsetzung des Beamtenstatuts und der Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden „Beschäftigungsbedingungen für die sonstigen Bediensteten“) nach Maßgabe der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (18); |
d) |
er stellt angemessene Folgemaßnahmen zu den Feststellungen und Empfehlungen interner oder externer Auditberichte, Bewertungen und Ermittlungen, einschließlich derjenigen des EDSB und des OLAF, sicher; |
e) |
er erlässt alle Beschlüsse zur Einrichtung und gegebenenfalls zur Änderung der Verwaltungsstrukturen von Eurojust; |
f) |
unbeschadet der Zuständigkeiten des Verwaltungsdirektors gemäß Artikel 18 berät und unterstützt er den Verwaltungsdirektor bei der Umsetzung der Beschlüsse des Kollegiums im Hinblick auf eine verstärkte Aufsicht über die Verwaltung und Haushaltsführung; |
g) |
er führt alle zusätzlichen Verwaltungsaufgaben, die ihm vom Kollegium nach Artikel 5 Absatz 4 übertragen werden, durch; |
h) |
er verabschiedet die für Eurojust geltende Finanzregelung nach Artikel 64; |
i) |
er erlässt nach Artikel 110 des Beamtenstatuts einen Beschluss auf der Grundlage von Artikel 2 Absatz 1 des Beamtenstatuts und von Artikel 6 der Beschäftigungsbedingungen für die sonstigen Bediensteten, durch den dem Verwaltungsdirektor die entsprechenden Befugnisse der Anstellungsbehörde übertragen und die Bedingungen festgelegt werden, unter denen diese Befugnisübertragung ausgesetzt werden kann; der Verwaltungsdirektor kann diese Befugnisse weiter übertragen; |
j) |
er überarbeitet den Entwurf des jährlichen Haushaltsplans von Eurojust zur Annahme durch das Kollegium; |
k) |
er überarbeitet den Entwurf des Jahresberichts über die Tätigkeit von Eurojust und leitet ihn dem Kollegium zur Annahme zu; |
l) |
er ernennt einen Rechnungsführer und einen Datenschutzbeauftragten, die ihre Tätigkeiten funktionell unabhängig ausüben. |
(4) Der Verwaltungsrat setzt sich zusammen aus dem Präsidenten und den Vizepräsidenten von Eurojust, einem Vertreter der Kommission und zwei weiteren Mitgliedern des Kollegiums, die gemäß der Geschäftsordnung von Eurojust nach einem zweijährigen Rotationssystem benannt werden. Der Verwaltungsdirektor nimmt an den Sitzungen des Verwaltungsrates ohne Stimmrecht teil.
(5) Der Präsident von Eurojust führt den Vorsitz im Verwaltungsrat. Der Verwaltungsrat fasst seine Beschlüsse mit der Mehrheit seiner Mitglieder. Jedes Mitglied verfügt über eine Stimme. Bei Stimmengleichheit gibt die Stimme des Präsidenten von Eurojust den Ausschlag.
(6) Die Amtszeit der Mitglieder des Verwaltungsrates endet mit dem Ende ihrer Amtszeit als nationale Mitglieder, Präsident oder Vizepräsident.
(7) Der Verwaltungsrat tritt mindestens einmal im Monat zusammen. Außerdem tritt er auf Veranlassung seines Vorsitzenden oder auf Antrag der Kommission oder von mindestens zwei anderen Mitgliedern zusammen.
(8) Eurojust übermittelt der EUStA die Tagesordnung der Sitzungen des Verwaltungsrates und konsultiert die EUStA zu der Frage, ob eine Teilnahme an diesen Sitzungen erforderlich ist. Eurojust lädt die EUStA zur Teilnahme ohne Stimmrecht ein, wenn Fragen erörtert werden, die für ihre Arbeit relevant sind.
Wird die EUStA zu einer Sitzung des Verwaltungsrates eingeladen, stellt Eurojust ihr die sachdienlichen Dokumente, die der Tagesordnung zugrunde liegen, zur Verfügung.
ABSCHNITT V
Verwaltungsdirektor
Artikel 17
Status des Verwaltungsdirektors
(1) Der Verwaltungsdirektor wird als Zeitbediensteter von Eurojust gemäß Artikel 2 Buchstabe a der Beschäftigungsbedingungen für die sonstigen Bediensteten eingestellt.
(2) Der Verwaltungsdirektor wird vom Kollegium aus einer Liste von Bewerbern ernannt, die der Verwaltungsrat im Anschluss an ein offenes und transparentes Auswahlverfahren gemäß der Geschäftsordnung von Eurojust vorschlägt. Für den Abschluss des Arbeitsvertrags des Verwaltungsdirektors wird Eurojust durch den Präsidenten von Eurojust vertreten.
(3) Die Amtszeit des Verwaltungsdirektors beträgt vier Jahre. Vor Ende dieses Zeitraums nimmt der Verwaltungsrat eine Bewertung vor, bei der die Leistung des Verwaltungsdirektors berücksichtigt wird.
(4) Das Kollegium kann auf Vorschlag des Verwaltungsrates unter Berücksichtigung der Bewertung nach Absatz 3 die Amtszeit des Verwaltungsdirektors einmal um höchstens vier Jahre verlängern.
(5) Ein Verwaltungsdirektor, dessen Amtszeit verlängert wurde, darf am Ende des Gesamtzeitraums nicht an einem weiteren Auswahlverfahren für dieselbe Stelle teilnehmen.
(6) Der Verwaltungsdirektor legt dem Kollegium Rechenschaft ab.
(7) Der Verwaltungsdirektor kann seines Amtes nur aufgrund eines Beschlusses des Kollegiums auf Vorschlag des Verwaltungsrates enthoben werden.
Artikel 18
Zuständigkeiten des Verwaltungsdirektors
(1) Für Verwaltungszwecke wird Eurojust von seinem Verwaltungsdirektor verwaltet.
(2) Unbeschadet der Zuständigkeiten des Kollegiums und des Verwaltungsrates übt der Verwaltungsdirektor sein Amt unabhängig aus; er fordert keine Anweisungen von Regierungen oder sonstigen Stellen an und nimmt auch keine Anweisungen von diesen entgegen.
(3) Der Verwaltungsdirektor ist der rechtliche Vertreter von Eurojust.
(4) Der Verwaltungsdirektor ist zuständig für die Wahrnehmung der Verwaltungsaufgaben von Eurojust, insbesondere für
a) |
die Führung der laufenden Geschäfte von Eurojust und die Personalverwaltung; |
b) |
die Durchführung der vom Kollegium und vom Verwaltungsrat gefassten Beschlüsse; |
c) |
die Erstellung des in Artikel 15 genannten Programmplanungsdokument, das er dem Verwaltungsrat zur Überarbeitung vorlegt; |
d) |
die Umsetzung des in Artikel 15 genannten Programmplanungsdokument und die Berichterstattung darüber an den Verwaltungsrat und das Kollegium; |
e) |
die Erstellung des Jahresberichts über die Tätigkeit von Eurojust, den er dem Verwaltungsrat zur Überarbeitung und dem Kollegium zur Annahme vorlegt; |
f) |
die Vorbereitung eines Aktionsplans als Folgemaßnahme zu den Schlussfolgerungen interner oder externer Auditberichte, Bewertungen und Ermittlungen, zu denen auch diejenigen des EDSB und des OLAF zählen, sowie die Berichterstattung über die erzielten Fortschritte zwei Mal pro Jahr an das Kollegium, an den Verwaltungsrat, an die Kommission und an den EDSB; |
g) |
die Ausarbeitung einer Betrugsbekämpfungsstrategie für Eurojust, die er dem Verwaltungsrat zur Annahme vorlegt; |
h) |
die Ausarbeitung des Entwurfs der für Eurojust geltenden Finanzregelung; |
i) |
die Ausarbeitung des Entwurfs des Voranschlags der Einnahmen und Ausgaben von Eurojust sowie die Ausführung des Haushaltsplans; |
j) |
die Ausübung der Befugnisse, die der Anstellungsbehörde durch das Beamtenstatut und der zum Abschluss von Dienstverträgen mit sonstigen Bediensteten ermächtigten Behörde durch die Beschäftigungsbedingungen für die sonstigen Bediensteten übertragen wurden (im Folgenden „Befugnisse der Anstellungsbehörde“), gegenüber dem Personal von Eurojust; |
k) |
Gewährleistung, dass die erforderliche verwaltungstechnische Unterstützung zur Erleichterung der operativen Arbeit von Eurojust zur Verfügung gestellt wird; |
l) |
Gewährleistung, dass Unterstützung des Präsidenten und der Vizepräsidenten bei der Wahrnehmung ihrer Aufgaben zur Verfügung gestellt wird; |
m) |
die Erstellung eines jährlichen Haushaltsentwurfs für Eurojust, der vor der Annahme durch das Kollegium vom Verwaltungsrat überarbeitet wird. |
KAPITEL III
OPERATIVE FRAGEN
Artikel 19
Koordinierungsdauerdienstmechanismus
(1) Eurojust betreibt zur Erfüllung seiner Aufgaben in dringenden Fällen einen Koordinierungsdauerdienstmechanismus (im Folgenden „KoDD“), der imstande ist, jederzeit Ersuchen entgegenzunehmen und zu bearbeiten. Der KoDD ist täglich rund um die Uhr erreichbar.
(2) Der KoDD wird von einem Vertreter je Mitgliedstaat (Vertreter des KoDD) wahrgenommen, der das nationale Mitglied, sein Stellvertreter, ein zur Vertretung des nationalen Mitglieds befugter Assistent oder ein abgeordneter nationaler Sachverständiger sein kann. Der Vertreter des KoDD muss täglich rund um die Uhr einsatzbereit sein.
(3) Die Vertreter des KoDD reagieren effizient und unverzüglich mit Blick auf die Erledigung des Ersuchens in ihrem Mitgliedstaat.
Artikel 20
Nationales Eurojust-Koordinierungssystem
(1) Jeder Mitgliedstaat ernennt eine oder mehrere nationale Anlaufstellen für Eurojust.
(2) Alle gemäß Absatz 1 von den Mitgliedstaaten benannten nationalen Anlaufstellen verfügen über die für die Wahrnehmung ihrer Aufgaben erforderlichen Befähigungen und Erfahrungen.
(3) Jeder Mitgliedstaat richtet ein nationales Eurojust-Koordinierungssystem ein zur Gewährleistung der Koordinierung der Arbeit
a) |
der nationalen Eurojust-Anlaufstellen; |
b) |
einer etwaigen nationalen Eurojust-Anlaufstelle für Angelegenheiten mit Bezug zur Zuständigkeit der EUStA; |
c) |
der nationalen Eurojust-Anlaufstelle für Terrorismusfragen; |
d) |
der nationalen Anlaufstelle für das Europäische Justizielle Netz für Strafsachen und bis zu dreier weiterer Kontaktstellen des Europäischen Justiziellen Netzes; |
e) |
der nationalen Mitglieder oder Kontaktstellen des Netzes gemeinsamer Ermittlungsgruppen und der Netze, die mit den Beschlüssen 2002/494/JI, 2007/845/JI und 2008/852/JI eingerichtet wurden; |
f) |
gegebenenfalls einer anderen einschlägigen Justizbehörde. |
(4) Die in den Absätzen 1 und 3 genannten Stellen oder Personen behalten ihre Stellung und ihren Status nach nationalem Recht bei, ohne dass dies erheblichen Auswirkungen auf die Wahrnehmung ihrer Aufgaben im Rahmen dieser Verordnung haben sollte.
(5) Die nationalen Eurojust-Anlaufstellen sind für das Funktionieren ihres nationalen Eurojust-Koordinierungssystems zuständig. Werden mehrere Eurojust-Anlaufstellen ernannt, ist eine von ihnen für das Funktionieren ihres nationalen Eurojust-Koordinierungssystems zuständig.
(6) Die nationalen Mitglieder werden über alle Sitzungen ihres nationalen Eurojust-Koordinierungssystems, in denen mit der Fallbearbeitung zusammenhängende Fragen erörtert werden, unterrichtet. Die nationalen Mitglieder können erforderlichenfalls an solchen Sitzungen teilnehmen.
(7) Jedes nationale Eurojust-Koordinierungssystem erleichtert die Wahrnehmung der Aufgaben von Eurojust innerhalb des jeweiligen Mitgliedstaats insbesondere durch
a) |
die Gewährleistung, dass das Fallbearbeitungssystem gemäß Artikel 23 die Informationen im Zusammenhang mit dem betroffenen Mitgliedstaat auf effiziente und zuverlässige Art erhält; |
b) |
Unterstützung bei der Klärung der Frage, ob ein Ersuchen mit Hilfe von Eurojust oder des Europäischen Justiziellen Netzes zu bearbeiten ist; |
c) |
Unterstützung des nationalen Mitglieds bei der Ermittlung der zuständigen Behörden für die Erledigung von Ersuchen und Entscheidungen betreffend die justizielle Zusammenarbeit, auch wenn die Ersuchen und Entscheidungen auf Rechtsinstrumenten basieren, die dem Grundsatz der gegenseitigen Anerkennung Wirkung verleihen; |
d) |
Pflege eines engen Kontakts zur nationalen Europol-Stelle, anderen Kontaktstellen des Europäischen Justiziellen Netzes sowie sonstigen einschlägigen zuständigen nationalen Behörden. |
(8) Zur Erfüllung der in Absatz 7 genannten Ziele werden die in Absatz 1 und in Absatz 3 Buchstaben a, b und c genannten Personen gemäß diesem Artikel und den Artikeln 23, 24, 25 und 34 an das Fallbearbeitungssystem angebunden; die in Absatz 3 Buchstaben d und e genannten Personen oder Stellen können an das Fallbearbeitungssystem angebunden werden. Die Kosten für die Anbindung an das Fallbearbeitungssystem werden aus dem Gesamthaushaltsplan der Union finanziert.
(9) Die Einrichtung des nationalen Eurojust-Koordinierungssystems und die Ernennung der nationalen Anlaufstellen schließen direkte Kontakte zwischen dem nationalen Mitglied und den zuständigen Behörden seines Mitgliedstaats nicht aus.
Artikel 21
Informationsaustausch mit den Mitgliedstaaten und zwischen den nationalen Mitgliedern
(1) Die zuständigen Behörden der Mitgliedstaaten tauschen mit Eurojust alle Informationen aus, die zur Wahrnehmung der Aufgaben von Eurojust gemäß den Artikeln 2 und 4 und im Einklang mit den geltenden Datenschutzvorschriften erforderlich sind. Dazu gehören zumindest die Informationen gemäß den Absätzen 4, 5 und 6 dieses Artikels.
(2) Die Übermittlung von Informationen an Eurojust gilt nur dann als Ersuchen um Hilfe von Eurojust im betreffenden Fall, wenn dies von einer zuständigen Behörde ausdrücklich angegeben wird.
(3) Die nationalen Mitglieder tauschen untereinander oder mit den zuständigen Behörden ihres Mitgliedstaats ohne vorherige Zustimmung alle Informationen aus, die zur Wahrnehmung der Aufgaben von Eurojust erforderlich sind. Insbesondere informieren die zuständigen nationalen Behörden ihre nationalen Mitglieder so rasch wie möglich über einen sie betreffenden Fall.
(4) Die zuständigen nationalen Behörden informieren ihre nationalen Mitglieder über die Einsetzung gemeinsamer Ermittlungsteams sowie über die Ergebnisse ihrer Arbeit.
(5) Die zuständigen nationalen Behörden informieren ihre nationalen Mitglieder unverzüglich über jeden Fall, der mindestens drei Mitgliedstaaten berührt und für den Ersuchen oder Entscheidungen betreffend die justizielle Zusammenarbeit, auch wenn die Ersuchen und Entscheidungen auf Rechtsinstrumenten basieren, die dem Grundsatz der gegenseitigen Anerkennung Wirkung verleihen, an mindestens zwei Mitgliedstaaten gerichtet wurden, wenn eine oder mehrere der folgenden Voraussetzungen gegeben sind:
a) |
die betreffende Straftat ist im ersuchenden oder ausstellenden Mitgliedstaat mit einer Freiheitsstrafe oder freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens fünf oder sechs Jahren je nach Festlegung durch den betreffenden Mitgliedstaat bedroht ist und in der folgenden Liste enthalten ist:
|
b) |
bei denen es faktische Anzeichen dafür gibt, dass eine kriminelle Organisation beteiligt ist; |
c) |
bei dem es Anhaltspunkte dafür gibt, dass der Fall gravierende länderübergreifende Ausmaße annehmen oder Auswirkungen auf der Ebene der Union haben kann oder dass er andere Mitgliedstaaten als die, die unmittelbar einbezogen sind, betreffen kann. |
(6) Die zuständigen nationalen Behörden informieren ihre nationalen Mitglieder über
a) |
Fälle, in denen Kompetenzkonflikte aufgetreten sind oder wahrscheinlich auftreten werden; |
b) |
kontrollierte Lieferungen, die mindestens drei Länder, von denen mindestens zwei Mitgliedstaaten sind, betreffen; |
c) |
wiederholt auftretende Schwierigkeiten oder Weigerungen bezüglich der Erledigung von Ersuchen oder Entscheidungen betreffend die justizielle Zusammenarbeit, auch wenn die Ersuchen und Entscheidungen auf Rechtsinstrumenten basieren, die dem Grundsatz der gegenseitigen Anerkennung Wirkung verleihen. |
(7) Die zuständigen nationalen Behörden sind nicht verpflichtet, in einem bestimmten Fall Informationen bereitzustellen, wenn dies wesentliche nationale Sicherheitsinteressen beeinträchtigen oder die Sicherheit von Personen gefährden würde.
(8) Dieser Artikel lässt in bilateralen oder multilateralen Übereinkünften und Vereinbarungen zwischen Mitgliedstaaten und Drittstaaten festgelegte Bedingungen unberührt; hierzu zählen auch alle von Drittstaaten festgelegten Bedingungen zur Verwendung der von ihnen übermittelten Informationen.
(9) Dieser Artikel lässt andere Verpflichtungen hinsichtlich der Übermittlung von Informationen an Eurojust, einschließlich des Beschlusses 2005/671/JI des Rates (19), unberührt.
(10) Die in diesem Artikel genannten Informationen werden auf strukturierte Weise gemäß den Festlegungen von Eurojust übermittelt. Die zuständige nationale Behörde ist nicht verpflichtet, solche Informationen zu übermitteln, wenn die Informationen bereits gemäß anderen Bestimmungen dieser Verordnung an Eurojust übermittelt wurden.
Artikel 22
Informationsübermittlung von Eurojust an zuständige nationale Behörden
(1) Eurojust übermittelt den zuständigen nationalen Behörden unverzüglich Informationen über die Ergebnisse der Auswertung der Informationen, einschließlich über das Vorliegen von Verbindungen zu bereits im Fallbearbeitungssystem gespeicherten Fällen. Bei diesen Informationen kann es sich auch um personenbezogene Daten handeln.
(2) Wird Eurojust von einer zuständigen nationalen Behörde um Erteilung von Informationen innerhalb einer bestimmten Frist ersucht, übermittelt Eurojust die Informationen innerhalb dieser Frist.
Artikel 23
Fallbearbeitungssystem, Index und befristet geführte Arbeitsdateien
(1) Eurojust richtet ein Fallbearbeitungssystem ein, das aus befristet geführten Arbeitsdateien und einem Index mit den in Anhang II genannten personenbezogenen Daten und nicht personenbezogenen Daten besteht.
(2) Zweck des Fallbearbeitungssystems ist die
a) |
Hilfe bei der Durchführung und Koordinierung von Ermittlungen und Strafverfolgungsmaßnahmen, die Eurojust unterstützt, insbesondere durch den Abgleich von Informationen; |
b) |
Erleichterung des Zugangs zu Informationen über laufende Ermittlungen und Strafverfolgungsmaßnahmen; |
c) |
Erleichterung der Überwachung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch Eurojust und deren Übereinstimmung mit den geltenden Datenschutzvorschriften. |
(3) Das Fallbearbeitungssystem kann an die gesicherte Telekommunikationsverbindung angebunden werden, auf die in Artikel 9 des Beschlusses 2008/976/JI des Rates (20) Bezug genommen wird.
(4) Der Index enthält Verweise auf die befristet geführten Arbeitsdateien, die im Rahmen von Eurojust geführt werden, und darf keine anderen personenbezogenen Daten als die in den Absatz 1 Buchstaben a bis i, k und m sowie in Anhang II Nummer 2 genannten enthalten.
(5) Die nationalen Mitglieder können zur Erfüllung ihrer Aufgaben Informationen zu den von ihnen bearbeiteten Einzelfällen in einer befristet geführten Arbeitsdatei verarbeiten. Sie gewähren dem Datenschutzbeauftragten Zugang zu der befristet geführten Arbeitsdatei. Der Datenschutzbeauftragte wird von dem betreffenden nationalen Mitglied über das Anlegen jeder neuen befristet geführten Arbeitsdatei mit personenbezogenen Daten unterrichtet.
(6) Eurojust darf für die Verarbeitung operativer personenbezogener Daten keine anderen automatisierten Dateien als das Fallbearbeitungssystem anlegen. Das nationale Mitglied kann jedoch vorübergehend personenbezogene Daten speichern und analysieren um zu klären, ob diese Daten für die Aufgaben von Eurojust relevant sind und in das Fallbearbeitungssystem aufgenommen werden können. Diese Daten können für die Dauer von bis zu drei Monaten gespeichert werden.
Artikel 24
Funktionsweise der befristet geführten Arbeitsdateien und des Index
(1) Eine befristet geführte Arbeitsdatei wird von dem betreffenden nationalen Mitglied für jeden Fall angelegt, zu dem ihm Informationen übermittelt werden, sofern diese Übermittlung mit dieser Verordnung oder sonstigen anwendbaren Rechtsakten im Einklang steht. Jedes nationale Mitglied ist für die Verwaltung der befristet geführten Arbeitsdateien, die es angelegt hat, zuständig.
(2) Das nationale Mitglied, das eine befristet geführte Arbeitsdatei angelegt hat, entscheidet in jedem Einzelfall, ob der Zugriff auf die Arbeitsdatei beschränkt bleibt oder anderen nationalen Mitgliedern, ermächtigten Bediensteten von Eurojust oder einer anderen vom Verwaltungsdirektor entsprechend ermächtigten Person, die im Namen von Eurojust arbeitet, ganz oder teilweise gestattet wird.
(3) Das nationale Mitglied, das eine befristet geführte Arbeitsdatei angelegt hat, entscheidet, welche Informationen zu dieser befristet geführten Arbeitsdatei in den Index gemäß Artikel 23 Absatz 4 aufgenommen werden.
Artikel 25
Zugriff auf das Fallbearbeitungssystem auf nationaler Ebene
(1) Sofern sie an das Fallbearbeitungssystem angebunden sind, dürfen Personen nach Artikel 20 Absatz 3 nur Zugriff haben auf:
a) |
den Index, es sei denn, das nationale Mitglied, das entschieden hat, die Daten in den Index aufzunehmen, hat den Zugriff ausdrücklich verweigert; |
b) |
befristet geführte Arbeitsdateien, die vom nationalen Mitglied ihres Mitgliedstaats angelegt wurden; |
c) |
befristet geführte Arbeitsdateien, die von nationalen Mitgliedern anderer Mitgliedstaaten angelegt wurden und zu denen dem nationalen Mitglied ihres Mitgliedstaats der Zugriff gewährt wurde, außer wenn das nationale Mitglied, das die befristet geführte Arbeitsdatei angelegt hat, einen solchen Zugriff ausdrücklich verweigert hat. |
(2) Das nationale Mitglied entscheidet innerhalb der Grenzen nach Absatz 1 dieses Artikels, in welchem Umfang in seinem Mitgliedstaat Stellen/Personen nach Artikel 20 Absatz 3 der Zugriff auf die befristet geführten Arbeitsdateien gewährt wird, sofern sie an das Fallbearbeitungssystem angebunden sind.
(3) Jeder Mitgliedstaat entscheidet nach Anhörung seines nationalen Mitglieds darüber, in welchem Umfang in diesem Mitgliedstaat Stellen/Personen nach Artikel 20 Absatz 3 der Zugang zum Index gewährt wird, sofern sie an das Fallbearbeitungssystem angebunden sind. Die Mitgliedstaaten teilen Eurojust und der Kommission mit, was sie bezüglich der Durchführung dieses Absatzes beschlossen haben. Die Kommission setzt die anderen Mitgliedstaaten davon in Kenntnis.
(4) Personen, denen gemäß Absatz 2 der Zugriff gewährt wurde, haben mindestens insoweit Zugang zum Index, als dies für den Zugang zu den befristet geführten Arbeitsdateien, zu denen ihnen der Zugang gewährt wurde, erforderlich ist.
KAPITEL IV
INFORMATIONSVERARBEITUNG
Artikel 26
Verarbeitung personenbezogener Daten durch Eurojust
(1) Diese Verordnung sowie Artikel 3 und Kapitel IX der Verordnung (EU) 2018/1725 finden auf die Verarbeitung operativer personenbezogener Daten durch Eurojust Anwendung. Die Verordnung (EU) 2018/1725 findet mit Ausnahme ihres Kapitels IX auf die Verarbeitung verwaltungstechnischer personenbezogener Daten durch Eurojust Anwendung.
(2) Verweise auf „geltende Datenschutzvorschriften“ in dieser Verordnung sind als Bezugnahme auf die in dieser Verordnung und in der Verordnung (EU) 2018/1725 aufgeführten Datenschutzbestimmungen zu verstehen.
(3) Die in dieser Verordnung enthaltenen Datenschutzvorschriften über die Verarbeitung operativer personenbezogener Daten gelten als besondere Datenschutzvorschriften gegenüber den allgemeinen Vorschriften nach Artikel 3 und Kapitel IX der Verordnung (EU) 2018/1725.
(4) Eurojust setzt in den Datenschutzvorschriften seiner Geschäftsordnung die Fristen für die Speicherung verwaltungstechnischer personenbezogener Daten fest.
Artikel 27
Verarbeitung operativer personenbezogener Daten
(1) Soweit dies zur Wahrnehmung seiner Aufgaben erforderlich ist, kann Eurojust im Rahmen seiner Zuständigkeiten und zur Wahrnehmung seiner operativen Aufgaben in automatisierter Form oder in strukturierten manuell geführten Dateien gemäß dieser Verordnung nur die in Anhang II Nummer 1 aufgeführten operativen personenbezogenen Daten zu Personen verarbeiten, die Personen sind, gegen die nach Maßgabe des nationalen Rechts der betreffenden Mitgliedstaaten ein begründeter Verdacht besteht, dass sie eine Straftat, für die Eurojust zuständig ist, begangen haben oder in naher Zukunft begehen werden, oder die wegen einer solchen Straftat verurteilt worden sind.
(2) Eurojust darf nur die in Anhang 2 Nummer II aufgeführten operativen personenbezogenen Daten über Personen, die nach Maßgabe des nationalen Rechts der betroffenen Mitgliedstaaten als Opfer oder andere Parteien im Zusammenhang mit einer Straftat betrachtet werden, wie Personen, die im Rahmen von strafrechtlichen Ermittlungen oder Strafverfolgungsmaßnahmen wegen einer oder mehrerer Arten der in Artikel 3 genannten Straftaten als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit einer unter Absatz 1 genannten Person in Kontakt oder in Verbindung stehen, verarbeiten. Die Verarbeitung solcher operativen personenbezogenen Daten darf nur erfolgen, wenn dies für die Erfüllung der Aufgaben von Eurojust im Rahmen seiner Zuständigkeiten und zur Wahrnehmung seiner operativen Funktionen erforderlich ist.
(3) In Ausnahmefällen darf Eurojust für begrenzte Zeit, die nicht die Zeit überschreiten darf, die für den Abschluss des Falls, in Bezug auf den die Daten verarbeitet werden, benötigt wird, auch andere als die in Anhang II genannten operativen personenbezogenen Daten über Tatumstände verarbeiten, wenn solche Daten für laufende Ermittlungen, die von Eurojust koordiniert werden oder zu deren Koordinierung Eurojust beiträgt, unmittelbar von Belang sind und in diese einbezogen werden und sofern die Verarbeitung dieser Daten zu den in Absatz 1 genannten Zwecken notwendig ist. Werden solche operativen personenbezogenen Daten verarbeitet, wird der in Artikel 36 genannte Datenschutzbeauftragte unverzüglich unterrichtet und er wird über die konkreten Umstände, die die Notwendigkeit der Verarbeitung dieser operativen personenbezogenen Daten rechtfertigen, unterrichtet. Betreffen diese anderen Daten Zeugen oder Opfer im Sinne des Absatzes 2 dieses Artikels, wird der Beschluss über ihre Verarbeitung von den betreffenden nationalen Mitgliedern gemeinsam gefasst.
(4) Eurojust kann besondere Kategorien operativer personenbezogener Daten gemäß Artikel 76 der Verordnung (EU) 2018/1725 verarbeiten. Diese Daten dürfen nicht in dem Index gemäß Artikel 24 Absatz 4 dieser Verordnung verarbeitet werden. Betreffen diese anderen Daten Zeugen oder Opfer im Sinne des Absatzes 2 dieses Artikels, wird der Beschluss über ihre Verarbeitung von den betreffenden nationalen Mitgliedern gefasst.
Artikel 28
Verarbeitung unter der Aufsicht von Eurojust oder dem Auftragsverarbeiter
Der Auftragsverarbeiter und jede Eurojust oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu operativen personenbezogenen Daten hat, dürfen diese Daten nur auf Weisung von Eurojust verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet sind.
Artikel 29
Fristen für die Speicherung operativer personenbezogener Daten
(1) Von Eurojust verarbeitete operative personenbezogene Daten dürfen nur so lange bei Eurojust gespeichert werden, wie dies zur Wahrnehmung seiner Aufgaben erforderlich ist. Unbeschadet des Absatzes 3 dieses Artikels dürfen insbesondere die in Artikel 27 genannten operativen personenbezogenen Daten nicht über denjenigen der folgenden Zeitpunkte hinaus, der zuerst eintritt, gespeichert werden:
a) |
Ablauf der Verjährungsfrist für die Strafverfolgung in allen von den Ermittlungen und den Strafverfolgungsmaßnahmen betroffenen Mitgliedstaaten; |
b) |
Zeitpunkt, zu dem Eurojust darüber unterrichtet wird, dass die Person freigesprochen wurde und die gerichtliche Entscheidung rechtskräftig wurde, wobei der betreffende Mitgliedstaat Eurojust unverzüglich unterrichtet; |
c) |
drei Jahre nach Eintritt der Rechtskraft der gerichtlichen Entscheidung im letzten der Mitgliedstaaten, die von den Ermittlungen oder den Strafverfolgungsmaßnahmen betroffen sind; |
d) |
Zeitpunkt, zu dem Eurojust und die betroffenen Mitgliedstaaten gemeinsam festgestellt oder vereinbart haben, dass die Koordinierung der Ermittlungen und der Strafverfolgungsmaßnahmen durch Eurojust nicht mehr erforderlich ist, es sei denn, es besteht eine Verpflichtung gemäß Artikel 21 Absatz 5 oder 6; |
e) |
drei Jahre nach dem Zeitpunkt, zu dem operative personenbezogene Daten gemäß Artikel 21 Absatz 5 oder 6 übermittelt wurden. |
(2) Die Einhaltung der in Absatz 1 dieses Artikels genannten Speicherfristen wird durch eine geeignete automatisierte Verarbeitung, die durch Eurojust erfolgt, ständig überprüft, insbesondere ab dem Abschluss des Falls durch Eurojust. Drei Jahre nach Eingabe der Daten wird auch überprüft, ob deren weitere Speicherung erforderlich ist; die Ergebnisse dieser Überprüfung gelten für den Fall als Ganzes. Werden operative personenbezogene Daten im Sinne des Artikels 27 Absatz 4 für einen Zeitraum von mehr als fünf Jahren gespeichert, wird dies dem EDSB mitgeteilt.
(3) Läuft eine der in Absatz 1 genannten Speicherfristen ab, überprüft Eurojust, ob und wie lange die operativen personenbezogenen Daten zur Wahrnehmung seiner Aufgaben weiter gespeichert werden müssen, und kann beschließen, diese Daten ausnahmsweise bis zur nächsten Überprüfung zu speichern. Die Gründe für die weitere Speicherung werden angegeben und schriftlich festgehalten. Wird zum Zeitpunkt der Überprüfung keine Fortsetzung der Speicherung der operativen personenbezogenen Daten beschlossen, werden diese Daten automatisch gelöscht.
(4) Wurden im Einklang mit Absatz 3 operative personenbezogene Daten über die in Absatz 1 genannten Speicherfristen hinaus gespeichert, überprüft der EDSB auch alle drei Jahre, ob die weitere Speicherung dieser Daten erforderlich ist.
(5) Nach Ablauf der Speicherfrist für die letzte aus dieser Akte hervorgegangene automatisierte Angabe werden alle Aktenstücke der Akte vernichtet, mit Ausnahme etwaiger Originalaktenstücke, die Eurojust von nationalen Behörden erhalten hat und die anderen Anbieter zurückgegeben werden müssen.
(6) Hat Eurojust Ermittlungen oder Strafverfolgungsmaßnahmen koordiniert, unterrichten die betroffenen nationalen Mitglieder einander, wenn sie Informationen erhalten, dass der Fall eingestellt worden ist oder dass alle gerichtlichen Entscheidungen im Zusammenhang mit dem Fall rechtskräftig geworden sind.
(7) Absatz 5 findet keine Anwendung, wenn
a) |
die Interessen einer betroffenen Person beeinträchtigt würden, die schutzbedürftig ist; in solchen Fällen dürfen die operativen personenbezogenen Daten nur mit ausdrücklicher und schriftlicher Einwilligung der betroffenen Person verwendet werden; |
b) |
die Richtigkeit der operativen personenbezogenen Daten von der betroffenen Person bestritten wird; in solchen Fällen findet Absatz 5 solange keine Anwendung bis der Mitgliedstaat oder Eurojust gegebenenfalls Gelegenheit haben, die Richtigkeit dieser Daten zu überprüfen; |
c) |
die operativen personenbezogenen Daten für Beweiszwecke oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht weiter aufbewahrt werden müssen; |
d) |
die betroffene Person Einspruch gegen die Löschung der operativen personenbezogenen Daten erhebt und stattdessen eine Einschränkung der Nutzung der Daten fordert; oder |
e) |
die operativen personenbezogenen Daten weiterhin für im öffentlichen Interesse liegende Zwecke der Archivierung oder für statistische Zwecke benötigt werden. |
Artikel 30
Sicherheit von operativen personenbezogenen Daten
Eurojust und die Mitgliedstaaten treffen Vorkehrungen, damit auch bei Anwendung verschiedener Informationssysteme den Sicherheitsmaßnahmen gemäß Artikel 91 der Verordnung (EU) 2018/1725 Rechnung getragen wird.
Artikel 31
Auskunftsrecht der betroffenen Person
(1) Jede betroffene Person, die ihr Recht auf Zugang gemäß Artikel 80 der Verordnung (EU) 2018/1725 zu sie betreffenden operativen personenbezogenen Daten, die von Eurojust verarbeitet wurden, wahrnehmen will, kann dies bei Eurojust oder der nationalen Kontrollbehörde eines Mitgliedstaats nach Wahl der betroffenen Person beantragen. Die Behörde leitet den Antrag unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, an Eurojust weiter.
(2) Eurojust beantwortet den Antrag unverzüglich, spätestens aber innerhalb von drei Monaten nach seinem Eingang bei Eurojust.
(3) Die zuständigen Behörden der betreffenden Mitgliedstaaten werden von Eurojust konsultiert, wenn die Entscheidung über ein Ersuchen zu treffen ist. Die Entscheidung über den Zugang zu Daten wird durch Eurojust nur in enger Zusammenarbeit mit den durch die Übermittlung dieser Daten unmittelbar betroffenen Mitgliedstaaten getroffen. Lehnt ein Mitgliedstaat die von Eurojust vorgeschlagene Entscheidung ab, setzt er Eurojust unter Angabe von Gründen davon in Kenntnis. Eurojust hält sich an eine solche Ablehnung. Die betreffenden nationalen Mitglieder benachrichtigen sodann die zuständigen Behörden über den Inhalt der Entscheidung von Eurojust.
(4) Der Antrag wird von den betroffenen nationalen Mitgliedern bearbeitet, die im Namen von Eurojust entscheiden. Erzielen die betroffenen nationalen Mitglieder kein Einvernehmen, verweisen sie die Angelegenheit an das Kollegium, das mit Zweidrittelmehrheit über den Antrag befindet.
Artikel 32
Einschränkung des Auskunftsrechts
In den Fällen nach Artikel 81 der Verordnung (EU) 2018/1725 unterrichtet Eurojust die betroffene Person nach Konsultation der zuständigen Behörden der betreffenden Mitgliedstaaten gemäß Artikel 31 Absatz 3 dieser Verordnung.
Artikel 33
Recht auf Einschränkung der Verarbeitung
Unbeschadet der Ausnahmen gemäß Artikel 29 Absatz 7 dieser Verordnung, wenn die Verarbeitung von operativen personenbezogenen Daten gemäß Artikel 82 der Verordnung (EU) 2018/1725 eingeschränkt wurde, dürfen diese operativen personenbezogenen Daten nur zum Schutz der Rechte der betroffenen Person oder einer anderen natürlichen oder juristischen Person, die an einem Verfahren, an dem Eurojust beteiligt ist, oder zu den in Artikel 82 Absatz 3 der Verordnung (EU) 2018/1725 genannten Zwecken verarbeitet werden.
Artikel 34
Befugter Zugang zu operativen personenbezogenen Daten innerhalb von Eurojust
Nur die nationalen Mitglieder, ihre Stellvertreter, ihre Assistenten und befugte abgeordnete nationale Sachverständige, Personen nach Artikel 20 Absatz 3, sofern diese Personen an das Fallbearbeitungssystem angebunden sind, sowie befugte Mitarbeiter von Eurojust können zur Erfüllung der Aufgaben von Eurojust auf die von Eurojust innerhalb der Fristen der Artikel 23, 24 und 25 verarbeiteten operativen personenbezogenen Daten zugreifen.
Artikel 35
Verzeichnis der Kategorien von Verarbeitungstätigkeiten
(1) Eurojust führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält alle der folgenden Angaben:
a) |
Kontaktdaten von Eurojust sowie den Namen und die Kontaktdaten seines Datenschutzbeauftragten; |
b) |
die Zwecke der Verarbeitung, |
c) |
die Beschreibung der Kategorien betroffener Personen und der Kategorien operativer personenbezogener Daten; |
d) |
die Kategorien von Empfängern, gegenüber denen die operativen personenbezogenen Daten offen gelegt worden sind oder noch offen gelegt werden, einschließlich Empfängern in Drittstaaten oder internationalen Organisationen; |
e) |
gegebenenfalls die Übermittlungen von operativen personenbezogenen Daten an einen Drittstaat oder an eine internationale Organisation, einschließlich der Identifizierung des Drittstaats oder der internationalen Organisation; |
f) |
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; |
g) |
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 91 der Verordnung (EU) 2018/1725. |
(2) Das in Absatz 1 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(3) Eurojust stellt dem EDSB die Protokolle auf Anfrage zur Verfügung.
Artikel 36
Benennung des Datenschutzbeauftragten
(1) Der Verwaltungsrat benennt einen Datenschutzbeauftragten. Der Datenschutzbeauftragte ist ein eigens für diese Aufgabe bestelltes Mitglied des Personals. Bei der Wahrnehmung seiner Aufgaben handelt der Datenschutzbeauftragte unabhängig und darf keine Weisungen erhalten.
(2) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens ausgewählt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung seiner in dieser Verordnung, insbesondere in Artikel 38, genannten Aufgaben.
(3) Die Auswahl des Datenschutzbeauftragten darf nicht zu einem Interessenkonflikt zwischen seinem Amt als Datenschutzbeauftragten und gegebenenfalls seinen sonstigen dienstlichen Aufgaben, insbesondere in Verbindung mit der Anwendung dieser Verordnung, führen.
(4) Der Datenschutzbeauftragte wird für eine Amtszeit von vier Jahren ernannt; eine Wiederernennung für eine Amtszeit von insgesamt höchstens acht Jahren ist möglich. Der Datenschutzbeauftragte kann vom Verwaltungsrat nur mit Zustimmung des EDSB seines Amtes enthoben werden, wenn er die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.
(5) Eurojust veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt sie dem EDSB mit.
Artikel 37
Stellung des Datenschutzbeauftragten
(1) Eurojust stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
(2) Eurojust unterstützt den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben gemäß Artikel 38, indem es die hierfür erforderlichen Ressourcen und Mitarbeiter und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
(3) Eurojust stellt sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Weisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verwaltungsrat wegen der Wahrnehmung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte erstattet unmittelbar dem Kollegium über Themen im Zusammenhang mit operativen personenbezogenen Daten und dem Verwaltungsrat im Zusammenhang mit verwaltungstechnischen personenbezogenen Daten Bericht.
(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung und der Verordnung (EU) 2018/1725 im Zusammenhang stehenden Fragen zu Rate ziehen.
(5) Der Verwaltungsrat erlässt den Datenschutzbeauftragten betreffende Durchführungsbestimmungen. Diese Durchführungsbestimmungen betreffen insbesondere das Auswahlverfahren für die Stelle des Datenschutzbeauftragten, seine Abberufung sowie seine Aufgaben, Pflichten und Befugnisse und die Garantien für seine Unabhängigkeit.
(6) Der Datenschutzbeauftragte und sein Personal sind nach Artikel 72 zur Verschwiegenheit verpflichtet.
(7) Der Verantwortliche und der Auftragsverarbeiter, der betreffende Personalausschuss sowie jede natürliche Person können den Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung dieser Verordnung und der Verordnung (EU) 2018/1725 zurate ziehen, ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er dem Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht und einen mutmaßlichen Verstoß gegen diese Verordnung oder die Verordnung (EU) 2018/1725 dargelegt hat.
(8) Nach seiner Benennung ist der Datenschutzbeauftragte durch Eurojust beim EDSB einzutragen.
Artikel 38
Aufgaben des Datenschutzbeauftragten
(1) In Bezug auf die Verarbeitung personenbezogener Daten nimmt der Datenschutzbeauftragte insbesondere folgende Aufgaben wahr:
a) |
Er stellt in unabhängiger Weise sicher, dass Eurojust die Datenschutzvorschriften dieser Verordnung und der Verordnung (EU) 2018/1725 sowie die einschlägigen Datenschutzvorschriften in der Geschäftsordnung von Eurojust einhält; dies umfasst auch die Überwachung der Einhaltung dieser Verordnung, der Verordnung (EU) 2018/1725, anderer Unions- oder nationaler Datenschutzvorschriften sowie der Strategien von Eurojust für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung des an den Verarbeitungsvorgängen beteiligten Personals und diesbezüglicher Überprüfungen; |
b) |
er unterrichtet und berät Eurojust und das Personal, das Verarbeitungen personenbezogener Daten durchführt, hinsichtlich ihrer Pflichten nach dieser Verordnung, der Verordnung (EU) 2018/1725 sowie nach sonstigen Unions- oder nationalen Datenschutzvorschriften; |
c) |
auf Anfrage leistet er Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und überwacht ihre Durchführung gemäß Artikel 89 der Verordnung (EU) 2018/1725; |
d) |
er stellt sicher, dass die Übermittlung und der Erhalt von personenbezogenen Daten nach Maßgabe der in der Geschäftsordnung von Eurojust festzulegenden Bestimmungen erfasst werden; |
e) |
er arbeitet mit dem für Verfahren, Schulung und Beratung im Bereich der Datenverarbeitung zuständigen Personal von Eurojust zusammen; |
f) |
er arbeitet mit dem EDSB zusammen; |
g) |
er stellt sicher, dass die betroffenen Personen über die ihnen nach dieser Verordnung und der Verordnung (EU) 2018/1725 zustehenden Rechte informiert werden; |
h) |
er fungiert als Anlaufstelle für den EDSB in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 90 der Verordnung (EU) 2018/1725, und leistet gegebenenfalls Beratung zu allen sonstigen Fragen; |
i) |
auf Anfrage leistet er Beratung im Zusammenhang mit der Notwendigkeit einer Meldung oder Benachrichtigung nach den Artikeln 92 bzw. 93 der Verordnung (EU) 2018/1725 im Falle einer Verletzung des Schutzes personenbezogener Daten; |
j) |
er erstellt einen Jahresbericht und übermittelt diesen dem Verwaltungsrat, dem Kollegium und dem EDSB. |
(2) Der Datenschutzbeauftragte nimmt in Bezug auf verwaltungstechnische personenbezogene Daten die in der Verordnung (EU) 2018/1725 aufgeführten Aufgaben wahr.
(3) Der Datenschutzbeauftragte und die Bediensteten von Eurojust, die den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben unterstützen, haben Zugang zu den von Eurojust verarbeiteten personenbezogenen Daten und zu seinen Räumlichkeiten, soweit dies zur Wahrnehmung ihrer Aufgaben erforderlich ist.
(4) Ist der Datenschutzbeauftragte der Auffassung, dass die Bestimmungen der Verordnung (EU) 2018/1725 über die Verarbeitung verwaltungstechnischer personenbezogener Daten oder dass die Bestimmungen der vorliegenden Verordnung oder von Artikel 3 und von Kapitel IX der Verordnung (EU) 2018/1725 über die Verarbeitung operativer personenbezogener Daten nicht eingehalten wurden, unterrichtet er den Exekutivausschuss und ersucht diesen, innerhalb einer bestimmten Frist Abhilfe zu schaffen. Sorgt der Verwaltungsrat nicht innerhalb der bestimmten Frist für Abhilfe, befasst der Datenschutzbeauftragte den EDSB.
Artikel 39
Meldung von Verletzungen des Schutzes personenbezogener Daten an die betreffenden Behörden
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet Eurojust unverzüglich diese den Behörden der betroffenen Mitgliedstaaten.
(2) Die Meldung gemäß Absatz 1 enthält zumindest Folgendes:
a) |
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze; |
b) |
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; |
c) |
eine Beschreibung der von Eurojust zur Behandlung der Verletzung des Schutzes personenbezogener Daten vorgeschlagenen oder ergriffenen Maßnahmen; und |
d) |
gegebenenfalls empfohlener Maßnahmen zur Abmilderung der nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten. |
Artikel 40
Kontrolle durch den EDSB
(1) Der EDSB ist zuständig für die Überwachung und Gewährleistung der Anwendung der Bestimmungen dieser Verordnung und der Verordnung (EU) 2018/1725 zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung operativer personenbezogener Daten durch Eurojust sowie für die Beratung von Eurojust und der betroffenen Personen in allen die Verarbeitung operativer personenbezogener Daten betreffenden Angelegenheiten. Zu diesem Zweck erfüllt der EDSB die in Absatz 2 dieses Artikels genannten Aufgaben, übt die in Absatz 3 dieses Artikels gewährten Befugnisse aus und arbeitet mit den nationalen Kontrollbehörden gemäß Artikel 42 zusammen.
(2) Der EDSB hat im Rahmen dieser Verordnung und der Verordnung (EU) 2018/1725 folgende Aufgaben:
a) |
Er hört und prüft Beschwerden und unterrichtet die betroffene Person innerhalb einer angemessenen Frist über die Ergebnisse seiner Prüfung; |
b) |
er führt von sich aus oder aufgrund einer Beschwerde Untersuchungen durch und unterrichtet die betroffenen Personen innerhalb einer angemessenen Frist über die Ergebnisse seiner Untersuchungen; |
c) |
er kontrolliert die Anwendung der Bestimmungen dieser Verordnung und der Verordnung (EU) 2018/1725, die den Schutz natürlicher Personen bei der Verarbeitung operativer personenbezogener Daten durch Eurojust betreffen; |
d) |
er berät Eurojust von sich aus oder im Rahmen einer Konsultation in allen Fragen, die die Verarbeitung operativer personenbezogener Daten betreffen, insbesondere bevor Eurojust interne Vorschriften für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung operativer personenbezogener Daten ausarbeitet. |
(3) Der EDSB kann im Rahmen dieser Verordnung und der Verordnung (EU) 2018/1725 und unter Berücksichtigung der Auswirkungen auf die Ermittlungen und Strafverfolgungsmaßnahmen in den Mitgliedstaaten
a) |
betroffene Personen bei der Ausübung ihrer Rechte beraten; |
b) |
bei einem behaupteten Verstoß gegen die Bestimmungen für die Verarbeitung operativer personenbezogener Daten Eurojust mit der Angelegenheit befassen und gegebenenfalls Vorschläge zur Behebung dieses Verstoßes und zur Verbesserung des Schutzes der betroffenen Personen machen; |
c) |
Eurojust konsultieren, wenn Anträge auf Ausübung bestimmter Rechte in Bezug auf operative personenbezogene Daten unter Verstoß gegen Artikel 31, 32 oder 33 dieser Verordnung oder die Artikel 77 bis 82 oder Artikel 84 der Verordnung (EU) 2018/1725 abgelehnt wurden; |
d) |
Eurojust verwarnen; |
e) |
Eurojust anweisen, die Berichtigung, Einschränkung oder Löschung aller operativen personenbezogenen Daten, die unter Verletzung der Bestimmungen für die Verarbeitung operativer personenbezogener Daten durch Eurojust verarbeitet wurden, und die Mitteilung solcher Maßnahmen an Dritte, gegenüber denen die Daten offen gelegt wurden, vorzunehmen, vorausgesetzt, die Aufgaben von Eurojust nach Artikel 2 werden dadurch nicht beeinträchtigt; |
f) |
unter den im AEUV festgelegten Bedingungen den Gerichtshof der Europäischen Union (im Folgenden „der Gerichtshof“) anrufen; |
g) |
beim Gerichtshof anhängigen Verfahren beitreten. |
(4) Der EDSB hat Zugang zu den von Eurojust verarbeiteten operativen personenbezogenen Daten und zu seinen Räumlichkeiten, soweit dies zur Wahrnehmung seiner Aufgaben erforderlich ist.
(5) Der EDSB erstellt einen jährlichen Bericht über seine Eurojust betreffenden Kontrolltätigkeiten. Dieser Bericht fließt in den Jahresbericht des EDSB gemäß Artikel 60 der Verordnung (EU) 2018/1725 ein. Die nationalen Kontrollbehörden werden ersucht, zu diesem Bericht Stellung zu nehmen, bevor er in den jährlichen Bericht des EDSB gemäß Artikel 60 der Verordnung (EU) 2018/1725 einfließt. Der EDSB trägt den Stellungnahmen der nationalen Kontrollbehörden umfassend Rechnung und erwähnt sie auf jeden Fall im Jahresbericht.
(6) Eurojust arbeitet mit dem EDSB bei der Wahrnehmung seiner Aufgaben auf seine Anfrage zusammen.
Artikel 41
Verschwiegenheitspflicht des EDSB
(1) Der EDSB und sein Personal sind während ihrer Amtszeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Amtspflichten bekannt geworden sind, Verschwiegenheit zu bewahren.
(2) Der EDSB übt seine Kontrollbefugnisse so aus, dass die Geheimhaltung von gerichtlichen Ermittlungen oder Strafverfahren im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten weitest gehend berücksichtigt wird.
Artikel 42
Zusammenarbeit zwischen dem EDSB und den nationalen Kontrollbehörden
(1) Bei speziellen Fragen, die eine Einbeziehung der Mitgliedstaaten erfordern, arbeitet der EDSB eng mit den nationalen Kontrollbehörden zusammen, vor allem, wenn der EDSB oder eine nationale Kontrollbehörde größere Diskrepanzen zwischen den Verfahrensweisen der Mitgliedstaaten oder möglicherweise unrechtmäßige Übermittlungen über die Informationskanäle von Eurojust feststellt, oder bei Fragen einer oder mehrerer nationaler Aufsichtsbehörden zur Umsetzung und Auslegung dieser Verordnung.
(2) In den in Absatz 1 genannten Fällen wird eine koordinierte Überwachung gemäß Artikel 62 der Verordnung (EU) 2018/1725 sichergestellt.
(3) Der EDSB unterrichtet die nationalen Kontrollbehörden regelmäßig umfassend über alle Fragen, die sie unmittelbar betreffen oder in sonstiger Hinsicht für sie relevant sind. Auf ein Ersuchen einer oder mehrerer nationaler Kontrollbehörden unterrichtet der EDSB sie über spezifische Fragen.
(4) In Fällen, die Daten aus einem oder mehreren Mitgliedstaaten betreffen, einschließlich der in Artikel 43 Absatz 3 genannten Fälle, konsultiert der EDSB die betroffenen nationalen Kontrollbehörden. Der EDSB trifft keinen Beschluss zur Einleitung weiterer Maßnahmen, bevor nicht diese nationalen Kontrollbehörden den EDSB von ihrem Standpunkt innerhalb einer vom EDSB gesetzten Frist in Kenntnis gesetzt haben. Diese Frist nicht kürzer als ein Monat oder länger als drei Monate sein. Der EDSB trägt dem Standpunkt der nationalen Kontrollbehörden weitestgehend Rechnung. Beabsichtigt der EDSB, deren Standpunkt nicht zu berücksichtigen, teilt er ihnen dies unter Angabe der Gründe mit und befasst den EDSB mit der Angelegenheit.
Liegt nach Auffassung des EDSB eine besondere Dringlichkeit vor, kann er umgehend tätig werden. In solchen Fällen informiert der EDSB die betroffenen nationalen Kontrollbehörden ohne Verzug und begründet die von ihm festgestellte Dringlichkeit und seine in diesem Zusammenhang eingeleiteten Maßnahmen.
(5) Die nationalen Kontrollbehörden halten den EDSB auf dem Laufenden über die von ihnen getroffenen Maßnahmen in Bezug auf die Übermittlung, den Abruf oder jede andere Mitteilung operativer personenbezogener Daten gemäß dieser Verordnung durch die Mitgliedstaaten.
Artikel 43
Recht auf Einlegung einer Beschwerde beim EDSB in Bezug auf operative personenbezogene Daten
(1) Jede betroffene Person hat das Recht, beim EDSB eine Beschwerde einzulegen, wenn sie der Ansicht ist, dass die Verarbeitung sie betreffender operativer personenbezogener Daten durch Eurojust nicht mit dieser Verordnung oder der Verordnung (EU) 2018/1725 in Einklang steht.
(2) Betrifft eine Beschwerde eine Entscheidung gemäß den Artikeln 31, 32 oder 33 dieser Verordnung oder den Artikeln 80, 81 oder 82 der Verordnung (EU) 2018/1725, konsultiert der EDSB die nationalen Kontrollbehörden oder die zuständige Justizbehörde des übermittelnden Mitgliedstaats oder des unmittelbar betroffenen Mitgliedstaats. Wenn der EDSB seine Entscheidung trifft, die bis zu der Verweigerung jeglicher Übermittlung von Informationen reichen kann, trägt er der Stellungnahme der nationalen Kontrollbehörde oder der zuständigen Justizbehörde Rechnung.
(3) Betrifft eine Beschwerde die Verarbeitung von Daten, die ein Mitgliedstaat an Eurojust übermittelt hat, vergewissern sich der EDSB und die nationale Kontrollbehörde des betreffenden Mitgliedstaats im Rahmen ihrer jeweiligen Zuständigkeiten, dass die erforderliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung ordnungsgemäß durchgeführt worden ist.
(4) Betrifft eine Beschwerde die Verarbeitung von Daten, die Eurojust von Organen, Einrichtungen oder sonstigen Stellen der Union, von Drittstaaten oder von internationalen Organisationen übermittelt wurden, oder die Verarbeitung von Daten, die Eurojust aus öffentlich zugänglichen Quellen eingeholt hat, vergewissert sich der EDSB, dass Eurojust die erforderliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung ordnungsgemäß durchgeführt hat.
(5) Der EDSB unterrichtet die betroffene Person über den Bearbeitungsstand und das Ergebnis der Beschwerde und der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 44.
Artikel 44
Recht auf gerichtliche Überprüfung der Entscheidungen des EDSB
Gegen die Entscheidungen des EDSB betreffend operative personenbezogene Daten kann Klage beim Gerichtshof erhoben werden.
Artikel 45
Datenschutzrechtliche Verantwortung
(1) Eurojust verarbeitet operative personenbezogene Daten so, dass festgestellt werden kann, welche Behörde die Daten übermittelt hat oder von wo die Daten abgefragt wurden.
(2) Die Verantwortung für die Richtigkeit operativer personenbezogener Daten liegt bei
a) |
Eurojust für operative personenbezogene Daten, die von einem Mitgliedstaat oder von einem Organ, einer Einrichtung oder sonstigen Stelle der Union übermittelt wurden, falls die übermittelten Daten im Verlaufe der Datenverarbeitung durch Eurojust verändert wurden, |
b) |
den Mitgliedstaaten bzw. den Organen, Einrichtungen oder sonstigen Stellen der Union, die die Daten an Eurojust übermittelt haben, falls die übermittelten Daten im Verlaufe der Datenverarbeitung durch Eurojust nicht verändert wurden, |
c) |
Eurojust, wenn die operativen personenbezogenen Daten von Drittstaaten oder von internationalen Organisationen übermittelt wurden oder wenn Eurojust die operativen personenbezogenen Daten aus öffentlich zugänglichen Quellen eingeholt hat. |
(3) Die Verantwortung für die Einhaltung der Verordnung (EU) 2018/1725 hinsichtlich verwaltungstechnischer personenbezogener Daten und die Einhaltung dieser Verordnung sowie des Artikels 3 und des Kapitels XI der Verordnung (EU) 2018/1725 hinsichtlich operativer personenbezogener Daten liegt bei Eurojust.
Die Verantwortung für die Rechtmäßigkeit der Übermittlung operativer personenbezogener Daten liegt
a) |
in Fällen, in denen ein Mitgliedstaat die betreffenden operativen personenbezogenen Daten an Eurojust übermittelt, bei diesem Mitgliedstaat, |
b) |
in Fällen, in denen Eurojust die betreffenden operativen personenbezogenen Daten an Mitgliedstaaten, an Organe, an Einrichtungen oder sonstige Stellen der Union, an Drittstaaten oder an internationale Organisationen übermittelt, bei Eurojust. |
(4) Vorbehaltlich anderer Bestimmungen dieser Verordnung ist Eurojust für alle von ihm verarbeiteten Daten verantwortlich.
Artikel 46
Haftung wegen unbefugter oder unrichtiger Datenverarbeitung
(1) Eurojust haftet im Einklang mit Artikel 340 des AEUV für den einer Person entstandenen Schaden, der sich aus der von ihr vorgenommenen unbefugten oder fehlerhaften Verarbeitung von Daten ergibt.
(2) Klagen gegen Eurojust im Rahmen der Haftung nach Absatz 1 dieses Artikels sind gemäß Artikel 268 des AEUV vor dem Gerichtshof zu erheben.
(3) Jeder Mitgliedstaat haftet nach seinem nationalen Recht für den einer Person entstandenen Schaden, der sich aus der von ihm vorgenommenen unbefugten oder fehlerhaften Verarbeitung von Daten ergibt, die Eurojust übermittelt wurden.
KAPITEL V
BEZIEHUNGEN ZU PARTNERN
ABSCHNITT I
Gemeinsame Bestimmungen
Artikel 47
Gemeinsame Bestimmungen
(1) Soweit dies zur Wahrnehmung seiner Aufgaben erforderlich ist, kann Eurojust im Einklang mit der Kooperationsstrategie gemäß Artikel 52 Kooperationsbeziehungen zu Organen, Einrichtungen und sonstigen Stellen der Union entsprechend ihrer jeweiligen Ziele und zu den zuständigen Behörden von Drittstaaten und internationalen Organisationen knüpfen und unterhalten.
(2) Soweit dies für die Wahrnehmung seiner Aufgaben erforderlich ist, kann Eurojust vorbehaltlich der in Artikel 21 Absatz 8 und Artikel 76 genannten Einschränkungen mit den in Absatz 1 dieses Artikels genannten Stellen unmittelbar sämtliche Informationen mit Ausnahme personenbezogener Daten austauschen.
(3) Eurojust kann zu den in den Absätzen 1 und 2 genannten Zwecken Arbeitsvereinbarungen mit den in Absatz 1 genannten Stellen schließen. Solche Arbeitsvereinbarungen dürfen nicht die Grundlage für den Austausch personenbezogener Daten bilden und sind für die Union oder ihre Mitgliedstaaten nicht bindend.
(4) Soweit dies für die Wahrnehmung seiner Aufgaben erforderlich ist, kann Eurojust vorbehaltlich der geltenden Datenschutzvorschriften von den in Absatz 1 genannten Stellen personenbezogene Daten entgegennehmen und diese verarbeiten.
(5) Personenbezogene Daten werden von Eurojust an Organe, Einrichtungen oder sonstige Stellen der Union, an Drittstaaten oder an internationale Organisationen nur dann übermittelt, wenn dies für die Wahrnehmung seiner Aufgaben erforderlich ist und im Einklang mit den Artikeln 55 und 56 steht. Wurden die zu übermittelnden Daten von einem Mitgliedstaat geliefert, holt Eurojust die Zustimmung der zuständigen Behörde dieses Mitgliedstaats ein, es sei denn der Mitgliedstaat hat für eine solche Weiterübermittlung seine vorherige allgemeine oder unter bestimmten Bedingungen stehende Zustimmung erteilt. Die Zustimmung kann jederzeit widerrufen werden.
(6) Eine Weiterübermittlung personenbezogener Daten, die Eurojust von Mitgliedstaaten, Organen, Einrichtungen oder sonstigen Stellen der Union, Drittstaaten oder internationalen Organisationen erhalten hat, ist unzulässig, wenn nicht alle der folgenden Bedingungen erfüllt sind:
a) |
Eurojust hat die vorherige Zustimmung des Mitgliedstaats, der die Daten übermittelt hat, erhalten; |
b) |
Eurojust hat nach Abwägung der Umstände des Einzelfalls der Weiterübermittlung ausdrücklich zugestimmt; |
c) |
die Weiterübermittlung erfolgt allein zu einem bestimmten Zweck, der nicht mit dem Zweck, zu dem die Daten übermittelt wurden, unvereinbar ist. |
ABSCHNITT II
Beziehungen zu Partnern innerhalb der Europäischen Union
Artikel 48
Zusammenarbeit mit dem Europäischen Justiziellen Netz und anderen Unionsnetzen, die an der justiziellen Zusammenarbeit in Strafsachen beteiligt sind
(1) Eurojust und das Europäische Justizielle Netz für Strafsachen unterhalten besonders enge Beziehungen miteinander, die sich auf Konzertierung und Komplementarität gründen, vor allem zwischen dem nationalen Mitglied, den Kontaktstellen des Europäischen Justiziellen Netzes im jeweiligen Mitgliedstaat des nationalen Mitglieds und den nationalen Anlaufstellen für Eurojust und das Europäische Justizielle Netz. Im Interesse einer wirksamen Zusammenarbeit werden folgende Maßnahmen ergriffen:
a) |
Die nationalen Mitglieder unterrichten die Kontaktstellen des Europäischen Justiziellen Netzes auf Einzelfallbasis über alle Fälle, die das Netz nach ihrem Dafürhalten besser zu erledigen imstande sein dürfte. |
b) |
Das Sekretariat des Europäischen Justiziellen Netzes gehört zum Eurojust-Personal. Es bildet eine gesonderte Organisationseinheit; es kann die administrativen Mittel von Eurojust in Anspruch nehmen, die es zur Wahrnehmung der Aufgaben des Europäischen Justiziellen Netzes braucht, auch zur Deckung der Kosten der Plenartagungen des Europäischen Justiziellen Netzes. |
c) |
Kontaktstellen des Europäischen Justiziellen Netzes können auf Einzelfallbasis zu den Sitzungen von Eurojust eingeladen werden. |
d) |
Eurojust und das Europäische Justizielle Netz können bei der Klärung der Frage, ob ein Ersuchen mit Hilfe von Eurojust oder des Europäischen Justiziellen Netzes zu bearbeiten ist, gemäß Artikel 20 Absatz 7 Buchstabe b das Eurojust-Koordinierungssystem nutzen. |
(2) Zum Eurojust-Personal gehören das Sekretariat des Netzes gemeinsamer Ermittlungsgruppen und das Sekretariat des Netzes, das mit dem Beschluss 2002/494/JI des Rates eingerichtet wurde. Diese Sekretariate bilden gesonderte Organisationseinheiten. Sie können die administrativen Mittel von Eurojust in Anspruch nehmen, die sie zur Wahrnehmung ihrer Aufgaben brauchen. Die Koordinierung der Sekretariate wird von Eurojust gewährleistet. Dieser Absatz gilt auch für das Sekretariat jedes einschlägigen Netzes, das an einer justiziellen Zusammenarbeit in Strafsachen beteiligt ist, für die Eurojust Unterstützung in Form eines Sekretariats bereitstellen muss. Eurojust kann — gegebenenfalls auch durch ein bei Eurojust angesiedeltes Sekretariat — einschlägige europäische Netze und Einrichtungen unterstützen, die an einer justiziellen Zusammenarbeit in Strafsachen beteiligt sind.
(3) Das gemäß dem Beschluss 2008/852/JI eingerichtete Netz kann beantragen, dass Eurojust ein Sekretariat für das Netz bereitstellt. Im Falle eines solchen Antrags gilt Absatz 2.
Artikel 49
Beziehungen zu Europol
(1) Eurojust ergreift alle geeigneten Maßnahmen um sicherzustellen, dass Europol im Rahmen des Aufgabenbereichs von Europol und nach einem Treffer/kein-Treffer-Verfahren indirekten Zugriff auf die an Eurojust übermittelten Informationen hat; dies gilt unbeschadet der Einschränkungen, die von dem Mitgliedstaat, der Einrichtung oder sonstigen Stelle der Union, dem Drittstaat oder der internationalen Organisation, der bzw. die die betreffenden Informationen zur Verfügung gestellt hat, angegebenen wurden. Im Fall eines Treffers leitet Eurojust das Verfahren ein, durch das die Information, die den Treffer ausgelöst hat, in Übereinstimmung mit der Entscheidung des Mitgliedstaats, der der Einrichtung oder sonstigen Stelle der Union, des Drittstaats oder der internationalen Organisation weitergegeben werden darf.
(2) Die in Absatz 1 genannten Suchabfragen dürfen nur vorgenommen werden, um zu ermitteln, ob zwischen den bei Europol vorliegenden Informationen und den bei Eurojust verarbeiteten Informationen Übereinstimmungen bestehen.
(3) Eurojust gestattet die in Absatz 1 genannten Suchabfragen erst, wenn ihm von Europol mitgeteilt wurde, welche Bediensteten von Europol als zur Vornahme derartiger Suchabfragen ermächtigt benannt worden sind.
(4) Falls Eurojust bzw. ein Mitgliedstaat im Laufe der Datenverarbeitungstätigkeiten von Eurojust zu einzelnen Ermittlungen feststellt, dass in den Aufgabenbereich von Europol fallende Koordinierungs-, Kooperations- oder Unterstützungsmaßnahmen erforderlich sind, setzt Eurojust Europol davon in Kenntnis und leitet das Verfahren zur Weitergabe der betreffenden Informationen entsprechend der Entscheidung des Mitgliedstaats, der die Informationen übermittelt hat, ein. In solchen Fällen spricht sich Eurojust mit Europol ab.
(5) Eurojust knüpft und unterhält eine enge Zusammenarbeit mit Europol, soweit diese Zusammenarbeit zur Wahrnehmung der Aufgaben der beiden Agenturen und der Verwirklichung ihrer Ziele von Belang ist; dabei ist darauf zu achten, dass es nicht zu überflüssiger Doppelarbeit kommt.
Zu diesem Zweck finden regelmäßige Treffen zwischen dem Exekutivdirektor von Europol und dem Präsidenten von Eurojust statt, bei denen sie Fragen von gemeinsamem Interesse erörtern.
(6) Europol hält sich an alle Einschränkungen in Bezug auf den Zugang oder die Verwendung — ob allgemeiner oder besonderer Art —, die von dem Mitgliedstaat, der Einrichtung oder sonstigen Stelle der Union, dem Drittstaat oder der internationalen Organisation, der bzw. die die betreffenden Informationen zur Verfügung gestellt hat, angegebenen wurden.
Artikel 50
Beziehungen zur EUStA
(1) Eurojust knüpft und unterhält eine enge Beziehung zur EUStA, die auf einer gegenseitigen Zusammenarbeit im Rahmen ihrer jeweiligen Aufgaben- und Zuständigkeitsbereiche und auf der Entwicklung von Verbindungen auf operativer, Verwaltungs- und Managementebene zwischen ihnen gemäß den Vorgaben dieses Artikels beruht. Zu diesem Zweck finden regelmäßige Treffen zwischen dem Präsidenten von Eurojust und dem Europäischen Generalstaatsanwalt statt, auf denen sie Fragen von gemeinsamem Interesse erörtern. Die Treffen finden auf Antrag des Präsidenten von Eurojust oder des Europäischen Generalstaatsanwalts statt.
(2) Eurojust bearbeitet Ersuchen um Unterstützung der EUStA unverzüglich und behandelt solche Ersuchen gegebenenfalls so, als wären sie von einer für die justizielle Zusammenarbeit zuständigen nationalen Behörde gestellt worden.
(3) Um die Zusammenarbeit gemäß Absatz 1 dieses Artikels zu fördern nutzt Eurojust erforderlichenfalls die gemäß Artikel 20 eingerichteten nationalen Eurojust-Koordinierungssysteme sowie die Beziehungen, die zu Drittstaaten, einschließlich ihrer Verbindungsrichter, geknüpft wurden.
(4) In operativen Fragen, die die Zuständigkeit der EUStA betreffen, unterrichtet Eurojust die EUStA und beteiligt sie gegebenenfalls an seiner Tätigkeit im Zusammenhang mit grenzübergreifenden Fällen, einschließlich durch
a) |
Weitergabe von Informationen zu seinen Fällen, einschließlich personenbezogener Daten, im Einklang mit den einschlägigen Bestimmungen dieser Verordnung, |
b) |
Ersuchen an die EUStA um Unterstützung. |
(5) Eurojust hat mittelbaren Zugriff auf Informationen im Fallbearbeitungssystem der EUStA nach einem Treffer-/kein-Treffer-Verfahren. Wird eine Übereinstimmung zwischen von der EUStA in das Fallbearbeitungssystem eingegebenen Daten und von Daten im Besitz von Eurojust festgestellt, wird diese Tatsache sowohl Eurojust als auch der EUStA sowie dem Mitgliedstaat, der die Daten an Eurojust übermittelt hat, mitgeteilt. Eurojust trifft geeignete Maßnahmen, um der EUStA den unmittelbaren Zugriff auf Informationen in seinem Fallbearbeitungssystem nach dem Treffer/Kein-Treffer-Verfahren zu ermöglichen.
(6) Die EUStA kann die Unterstützung und Ressourcen der Verwaltung von Eurojust in Anspruch nehmen. Zu diesem Zweck kann Eurojust für die EUStA Dienstleistungen von gemeinsamem Interesse erbringen. Die Einzelheiten werden in einer Vereinbarung festgelegt.
Artikel 51
Beziehungen zu anderen Organen, Einrichtungen und Stellen der Union
(1) Eurojust knüpft und unterhält Kooperationsbeziehungen zum Europäischen Netz für die Aus- und Fortbildung von Richtern und Staatsanwälten.
(2) OLAF unterstützt die Koordinierungsarbeit von Eurojust in Bezug auf den Schutz der finanziellen Interessen der Union im Einklang mit seinem Aufgabenbereich gemäß der Verordnung (EU, Euratom) Nr. 883/2013.
(3) Die Europäische Agentur für die Grenz- und Küstenwache unterstützt die Arbeit von Eurojust auch durch Übermittlung von einschlägigen Informationen, die sie im Einklang mit ihrem Aufgabenbereich und ihren Aufgaben gemäß Artikel 8 Absatz 1 Buchstabe m der Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates (21) verarbeitet hat. Die Verarbeitung jeglicher in diesem Zusammenhang stehender personenbezogener Daten durch die Europäische Agentur für die Grenz- und Küstenwache wird durch die Verordnung (EU) 2018/1725 geregelt.
(4) Für die Zwecke der Entgegennahme und Übermittlung von Informationen zwischen Eurojust und OLAF tragen die Mitgliedstaaten unbeschadet des Artikels 8 dieser Verordnung dafür Sorge, dass die nationalen Mitglieder von Eurojust als zuständige Behörden der Mitgliedstaaten ausschließlich für die Zwecke der Verordnung (EU, Euratom) Nr. 883/2013 angesehen werden. Der Informationsaustausch zwischen OLAF und den nationalen Mitgliedern erfolgt unbeschadet der Verpflichtungen, die Informationen anderen zuständigen Behörden aufgrund dieser Verordnungen zur Verfügung zu stellen.
ABSCHNITT III
Internationale Zusammenarbeit
Artikel 52
Beziehungen zu Drittstaatsbehörden und zu internationalen Organisationen
(1) Eurojust kann eine Zusammenarbeit mit Drittstaatsbehörden und internationalen Organisationen knüpfen und unterhalten.
Zu diesem Zweck erarbeitet Eurojust alle vier Jahre im Einvernehmen mit der Kommission eine Kooperationsstrategie, in der die Drittstaaten und internationalen Organisationen benannt werden, mit denen eine operative Notwendigkeit für Zusammenarbeit besteht.
(2) Eurojust kann mit den in Artikel 47 Absatz 1 genannten Stellen Arbeitsvereinbarungen schließen.
(3) Zur Erleichterung der Zusammenarbeit kann Eurojust im Einvernehmen mit den betreffenden zuständigen Behörden entsprechend dem operativen Bedarf von Eurojust Kontaktstellen in Drittstaaten benennen.
Artikel 53
Entsendung von Verbindungsrichtern und -staatsanwälten in Drittstaaten
(1) Zur Erleichterung der justiziellen Zusammenarbeit mit Drittstaaten in Fällen, in denen Eurojust gemäß dieser Verordnung Unterstützung leistet, kann das Kollegium abhängig vom Bestehen einer Arbeitsvereinbarung gemäß Artikel 47 Absatz 3 Verbindungsrichter oder -staatsanwälte zu den zuständigen Behörden in Drittstaaten entsenden.
(2) Die Aufgaben der Verbindungsrichter/-staatsanwälte umfassen alle Tätigkeiten zur Förderung und Beschleunigung jeglicher Form der justiziellen Zusammenarbeit in Strafsachen, insbesondere durch die Schaffung direkter Verbindungen zu den zuständigen Behörden des betroffenen Drittstaates. Der Verbindungsrichter/-staatsanwalt kann bei der Wahrnehmung seiner Aufgaben gemäß Artikel 56 operative personenbezogene Daten mit den zuständigen Behörden des betreffenden Drittstaates austauschen.
(3) Der Verbindungsrichter/-staatsanwalt gemäß Absatz 1 muss über Erfahrung in der Arbeit mit Eurojust und über angemessene Kenntnisse der justiziellen Zusammenarbeit und der Arbeitsweise von Eurojust verfügen. Die Entsendung eines Verbindungsrichters/-staatsanwalts im Namen von Eurojust erfolgt nach vorheriger Zustimmung des Verbindungsrichters/-staatsanwalts und seines Mitgliedstaats.
(4) Wird der von Eurojust entsandte Verbindungsrichter/-staatsanwalt unter den nationalen Mitgliedern, Stellvertretern oder Assistenten ausgewählt,
a) |
der betreffende Mitgliedstaat ersetzt ihn in seiner Funktion als nationales Mitglied, Stellvertreter oder Assistent, |
b) |
ist er nicht mehr berechtigt, die ihm gemäß Artikel 8 übertragenen Befugnisse auszuüben. |
(5) Unbeschadet des Artikels 110 des Beamtenstatuts legt das Kollegium die Bedingungen für die Entsendung von Verbindungsrichtern/-staatsanwälten, einschließlich der Höhe ihrer Bezüge, fest. Das Kollegium erlässt die diesbezüglichen Durchführungsbestimmungen im Benehmen mit der Kommission.
(6) Die Tätigkeiten der von Eurojust entsandten Verbindungsrichter/-staatsanwälte werden vom EDSB überwacht. Die Verbindungsrichter/-staatsanwälte erstatten dem Kollegium Bericht; das Kollegium unterrichtet das Europäische Parlament und den Rat in dem Jahresbericht und in geeigneter Weise über deren Tätigkeiten. Die Verbindungsrichter/-staatsanwälte unterrichten die nationalen Mitglieder und die zuständigen nationalen Behörden über alle ihren Mitgliedstaat betreffenden Fälle.
(7) Die zuständigen Behörden der Mitgliedstaaten und die Verbindungsrichter/-staatsanwälte nach Absatz 1 können unmittelbar miteinander Kontakt aufnehmen. In diesem Fall setzt der Verbindungsrichter/-staatsanwalt das betroffene nationale Mitglied davon in Kenntnis.
(8) Die Verbindungsrichter/-staatsanwälte nach Absatz 1 sind an das Fallbearbeitungssystem angebunden.
Artikel 54
An Drittstaaten gerichtete oder aus Drittstaaten eingehende Ersuchen um justizielle Zusammenarbeit
(1) Eurojust kann mit der Zustimmung der betroffenen Mitgliedstaaten die Erledigung der Ersuchen von Drittstaaten um justizielle Zusammenarbeit koordinieren, wenn solche Ersuchen in mindestens zwei Mitgliedstaaten im Rahmen derselben Ermittlung zu erledigen sind. Solche Ersuchen können auch von einer zuständigen nationalen Behörde an Eurojust übermittelt werden.
(2) In dringenden Fällen kann der KoDD im Einklang mit Artikel 19 die Ersuchen nach Absatz 1 des vorliegenden Artikels, wenn sie von einem Drittstaat gestellt wurden, der ein Kooperationsabkommen oder eine Arbeitsvereinbarung mit Eurojust geschlossen hat, entgegennehmen und weiterleiten.
(3) Werden von einem betroffenen Mitgliedstaat Ersuchen um justizielle Zusammenarbeit gestellt, die sich auf die gleichen Ermittlungen beziehen und die in einem Drittstaat erledigt werden müssen, unterstützt Eurojust unbeschadet des Artikels 3 Absatz 5 die justizielle Zusammenarbeit mit diesem Drittstaat.
ABSCHNITT IV
Übermittlung personenbezogener Daten
Artikel 55
Übermittlung operativer personenbezogener Daten an Organe, Einrichtungen und sonstige Stellen der Union
(1) Vorbehaltlich weiterer Einschränkungen nach dieser Verordnung, insbesondere nach Artikel 21 Absatz 8, Artikel 47 Absatz 5 und Artikel 76 übermittelt Eurojust nur dann operative personenbezogene Daten an andere Organe, Einrichtungen und sonstige Stellen der Union, wenn diese Daten für die rechtmäßige Wahrnehmung der Aufgaben in der Zuständigkeit der anderen Organe, Einrichtungen und sonstigen Stellen der Union erforderlich sind.
(2) Erfolgt die Übermittlung der operativen personenbezogenen Daten auf Ersuchen anderer Organe, Einrichtungen und sonstigen Stellen der Union, tragen sowohl der Verantwortliche als auch der Empfänger die Verantwortung für die Zulässigkeit dieser Übermittlung.
Eurojust ist verpflichtet, die Zuständigkeit der anderen Organe, Einrichtungen und sonstigen Stellen der Union zu prüfen und die Notwendigkeit der Übermittlung der operativen personenbezogenen Daten vorläufig zu bewerten. Bestehen Zweifel an der Notwendigkeit, holt Eurojust weitere Auskünfte vom Empfänger ein.
Die anderen Organe, Einrichtungen und sonstigen Stellen der Union stellen sicher, dass die Notwendigkeit der Übermittlung der operativen personenbezogenen Daten im Nachhinein überprüft werden kann.
(3) Die anderen Organe, Einrichtungen und sonstigen Stellen der Union verarbeiten die operativen personenbezogenen Daten nur für die Zwecke, für die sie übermittelt wurden.
Artikel 56
Allgemeine Grundsätze für die Übermittlung operativer personenbezogener Daten an Drittstaaten und internationale Organisationen
(1) Eurojust darf operative personenbezogene Daten unter Einhaltung der geltenden Datenschutzbestimmungen und der übrigen Bestimmungen dieser Verordnung an einen Drittstaat oder an eine internationale Organisation nur übermitteln, wenn die folgenden Bedingungen eingehalten werden:
a) |
Die Übermittlung ist für die Wahrnehmung der Aufgaben von Eurojust erforderlich. |
b) |
Die Behörde eines Drittstaates oder die internationale Organisation, an die die operativen personenbezogenen Daten übermittelt werden an, ist die für Strafverfolgung und Strafsachen zuständig. |
c) |
In Fällen, in denen gemäß diesem Artikel zu übermittelnde operative personenbezogene Daten von einem Mitgliedstaat an Eurojust übermittelt oder zur Verfügung gestellt wurden, muss Eurojust die vorherige Genehmigung für die Übermittlung von der jeweils zuständigen Behörde des Mitgliedstaats gemäß dessen nationalem Recht erhalten, sofern dieser Mitgliedstaat solche Übermittlungen nicht allgemein oder unter bestimmten Bedingungen genehmigt hat. |
d) |
Im Fall der Weiterübermittlung an einen anderen Drittstaat oder eine andere internationale Organisation durch einen Drittstaat oder eine internationale Organisation verpflichtet Eurojust den übermittelnden Drittstaat oder die übermittelnde internationale Organisation, für die Weiterübermittlung bei Eurojust die vorherige Genehmigung einzuholen. |
Eurojust erteilt eine Genehmigung gemäß Buchstabe d nur nach vorheriger Genehmigung durch den Mitgliedstaat, aus dem die Daten stammen, und nach gebührender Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung operativer personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittstaat oder der internationalen Organisation, an den bzw. die operative personenbezogene Daten weiterübermittelt werden.
(2) Vorbehaltlich der in Absatz 1 dieses Artikels genannten Bedingungen darf Eurojust operative personenbezogene Daten an einen Drittstaat oder an eine internationale Organisation nur übermitteln, wenn eine der folgenden Voraussetzungen erfüllt ist:
a) |
Die Kommission hat gemäß Artikel 57 beschlossen, dass der betreffende Drittstaat oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet oder, wenn kein solcher Angemessenheitsbeschluss vorliegt, geeignete Garantien im Sinne des Artikels 58 Absatz 1 erbracht werden oder bestehen oder, wenn weder ein Angemessenheitsbeschluss vorliegt noch derartige geeignete Garantien bestehen, eine Ausnahme für Sonderfälle gemäß Artikel 59 Absatz 1 anwendbar ist; oder |
b) |
Ein Kooperationsabkommen zum Austausch operativer personenbezogener Daten wurde vor dem 12. Dezember 2019 zwischen Eurojust und dem betreffenden Drittstaat oder der betreffenden internationalen Organisation nach Artikel 27bdes Beschlusses 2002/187/JI geschlossen; oder |
c) |
Eine internationale Übereinkunft wurde zwischen der Union und dem betreffenden Drittstaat oder der betreffenden internationalen Organisation gemäß Artikel 218 AEUV geschlossen, die angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bietet. |
(3) Die Arbeitsvereinbarungen nach Artikel 47 Absatz 3 können genutzt werden, um die Modalitäten für die Durchführung von in Absatz 2 dieses Artikels genannten Übereinkünften, Abkommen oder Angemessenheitsbeschlüssen festzulegen.
(4) Eurojust darf in dringenden Fällen operative personenbezogene Daten ohne vorherige Genehmigung durch einen Mitgliedstaat gemäß Absatz 1 Buchstabe c übermitteln. Eurojust tut dies nur, wenn die Übermittlung der operativen personenbezogenen Daten erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und wenn die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. Die Behörde, die für die Erteilung der vorherigen Genehmigung zuständig ist, wird unverzüglich unterrichtet.
(5) Mitgliedstaaten sowie Organe, Einrichtungen und sonstigen Stellen der Union übermitteln von Eurojust erhaltene operative personenbezogene Daten nicht an einen Drittstaat oder eine internationale Organisation weiter. Ausnahmsweise dürfen sie eine solche Übermittlung in Fällen durchführen, in denen Eurojust nach gebührender Berücksichtigung sämtlicher maßgeblicher Faktoren, einschließlich der Schwere der Straftat, des Zwecks der ursprünglichen Übermittlung operativer personenbezogener Daten und des Schutzniveaus für personenbezogene Daten in dem Drittstaat oder der internationalen Organisation, an den bzw. die operative personenbezogene Daten weiterübermittelt werden, eine solche Übermittlung genehmigt hat.
(6) Die Artikel 57, 58 und 59 sind anzuwenden um sicherzustellen, dass das durch diese Verordnung und das Unionsrecht gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Artikel 57
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Eurojust darf operative personenbezogene Daten an einen Drittstaat oder eine internationale Organisation übermitteln, wenn die Kommission gemäß Artikel 36 der Richtlinie (EU) 2016/680 beschlossen hat, dass der betreffende Drittstaat, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittstaat oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.
Artikel 58
Datenübermittlung vorbehaltlich geeigneter Garantien
(1) Liegt kein Angemessenheitsbeschluss vor, darf Eurojust operative personenbezogene Daten an einen Drittstaat oder eine internationale Organisation übermitteln, wenn
a) |
in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz operativer personenbezogener Daten vorgesehen sind oder |
b) |
Eurojust alle Umstände beurteilt hat, die bei der Übermittlung operativer personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz operativer personenbezogener Daten bestehen. |
(2) Eurojust unterrichtet den EDSB über Kategorien von Übermittlungen gemäß Absatz 1 Buchstabe b.
(3) Übermittlungen gemäß Absatz 1 Buchstabe b werden dokumentiert, und die Dokumentation wird auf dem EDSB auf Anforderung zur Verfügung gestellt. Die Dokumentation umfasst eine Angabe des Datums und des Zeitpunkts der Übermittlung sowie Informationen über die empfangende zuständige Behörde, über die Begründung der Übermittlung und über die übermittelten operativen personenbezogenen Daten.
Artikel 59
Ausnahmen für bestimmte Fälle
(1) Falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien nach Artikel 58 bestehen, darf Eurojust operative personenbezogene Daten an einen Drittstaat oder an eine internationale Organisation nur übermitteln, wenn die Übermittlung aus einem der folgenden Gründe erforderlich ist:
a) |
zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person; |
b) |
zur Wahrung berechtigter Interessen der betroffenen Person; |
c) |
zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats; oder |
d) |
in Einzelfällen zur Wahrnehmung der Aufgaben von Eurojust, sofern nicht Eurojust feststellt, dass die Grundrechte und Grundfreiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen. |
(2) Übermittlungen gemäß Absatz 1 werden dokumentiert, und die Dokumentation wird auf dem EDSB auf Anforderung zur Verfügung gestellt., Die Dokumentation umfasst eine Angabe des Datums und des Zeitpunkts der Übermittlung sowie Informationen über die empfangende zuständige Behörde, über die Begründung der Übermittlung und über die übermittelten operativen personenbezogenen Daten, werden dem EDSB auf Anforderung zur Verfügung gestellt.
KAPITEL VI
FINANZBESTIMMUNGEN
Artikel 60
Haushalt
(1) Sämtliche Einnahmen und Ausgaben von Eurojust werden für jedes Haushaltsjahr, das dem Kalenderjahr entspricht, veranschlagt und im Haushalt von Eurojust eingesetzt.
(2) Der Haushalt von Eurojust muss in Bezug auf Einnahmen und Ausgaben ausgeglichen sein.
(3) Unbeschadet anderer Finanzmittel umfassen die Einnahmen von Eurojust
a) |
einen Beitrag der Union aus dem Gesamthaushaltsplan der Union, |
b) |
etwaige freiwillige Finanzbeiträge der Mitgliedstaaten, |
c) |
Entgelten für Veröffentlichungen und von Eurojust erbrachte Dienstleistungen, |
d) |
Ad-hoc-Zuschüsse. |
(4) Die Ausgaben von Eurojust umfassen die Bezüge des Personals, die Verwaltungs- und Infrastrukturausgaben und die Betriebskosten, einschließlich der Mittel für gemeinsame Ermittlungsgruppen.
Artikel 61
Aufstellung des Haushaltsplans
(1) Der Verwaltungsdirektor erstellt jährlich einen Entwurf des Voranschlags der Einnahmen und Ausgaben von Eurojust für das folgende Haushaltsjahr, einschließlich eines Stellenplans, den er dem Verwaltungsrat übermittelt. Das Europäische Justizielle Netz und sonstige Unionsnetze nach Artikel 48, die an der justiziellen Zusammenarbeit in Strafsachen beteiligt sind, werden rechtzeitig über diejenigen Teile unterrichtet, die ihre Tätigkeit betreffen, bevor der Voranschlag an die Kommission übermittelt wird.
(2) Auf der Grundlage des Entwurfs des Voranschlags überarbeitet der Verwaltungsrat den vorläufigen Entwurf des Voranschlags der Einnahmen und Ausgaben von Eurojust für das folgende Haushaltsjahr, den er dem Kollegium zur Annahme vorlegt.
(3) Der Entwurf des Voranschlags der Einnahmen und Ausgaben von Eurojust wird der Kommission bis spätestens 31. Januar jedes Jahres übermittelt. Der endgültige Entwurf des Voranschlags, der auch einen Entwurf des Stellenplans umfasst, wird der Kommission bis zum 31. März desselben Jahres von Eurojust übermittelt.
(4) Die Kommission übermittelt den Voranschlag zusammen mit dem Entwurf des Gesamthaushaltsplans der Union dem Europäischen Parlament und dem Rat (Haushaltsbehörde).
(5) Auf der Grundlage des Voranschlags setzt die Kommission die von ihr für erforderlich erachteten Mittelansätze für den Stellenplan und den Betrag des Beitrags aus dem Gesamthaushaltsplan in den Entwurf des Gesamthaushaltsplans der Union ein, den sie gemäß Artikel 313 und 314 AEUV der Haushaltsbehörde vorlegt.
(6) Die Haushaltsbehörde bewilligt die Mittel für den Beitrag der Europäischen Union für Eurojust.
(7) Die Haushaltsbehörde genehmigt den Stellenplan von Eurojust. Der Haushaltsplan von Eurojust wird vom Kollegium festgestellt. Er wird endgültig, sobald der Gesamthaushaltsplan der Union endgültig festgestellt ist. Erforderlichenfalls wird der Haushaltsplan von Eurojust vom Kollegium entsprechend angepasst.
(8) Artikel 88 der Delegierten Verordnung (EU) Nr. 1271/2013 der Kommission (22) gilt für Immobilienprojekte, die erhebliche Auswirkungen auf den Haushaltsplan von Eurojust haben könnten.
Artikel 62
Ausführung des Haushaltsplans
Der Verwaltungsdirektor fungiert als Anweisungsbefugter von Eurojust und führt den Haushaltsplan von Eurojust eigenverantwortlich im Rahmen der im Haushaltsplan gesteckten Grenzen aus.
Artikel 63
Rechnungslegung und Entlastung
(1) Der Rechnungsführer von Eurojust übermittelt dem Rechnungsführer der Kommission und dem Rechnungshof die vorläufigen Rechnungsabschlüsse für das Haushaltsjahr („Jahr N“) bis zum 1. März des folgenden Haushaltsjahres („Jahr N + 1“).
(2) Eurojust übermittelt dem Europäischen Parlament, dem Rat und dem Rechnungshof bis zum 31. März des Jahres N + 1 den Bericht über die Haushaltsführung und das Finanzmanagement für das Jahr N zu.
(3) Der Rechnungsführer der Kommission übermittelt dem Rechnungshof die mit den Rechnungsabschlüssen der Kommission konsolidierten vorläufigen Rechnungsabschlüsse von Eurojust für das Jahr N bis zum 31. März des Jahres N + 1.
(4) Gemäß Artikel 246 Absatz 1 der Verordnung (EU, Euratom) 2018/2014 legt der Rechnungshof seine Bemerkungen zu den vorläufigen Rechnungsabschlüssen von Eurojust spätestens bis zum 1. Juni des Jahres N + 1 vor.
(5) Nach Eingang der Bemerkungen des Rechnungshofs zu den vorläufigen Rechnungsabschlüssen von Eurojust gemäß Artikel 246 der Verordnung (EU, Euratom) 2018/1046 stellt der Verwaltungsdirektor in eigener Verantwortung den endgültigen Jahresabschluss von Eurojust auf und legt ihn dem Verwaltungsrat zur Stellungnahme vor.
(6) Der Verwaltungsrat gibt eine Stellungnahme zum endgültigen Jahresabschluss von Eurojust ab.
(7) Der Verwaltungsdirektor übermittelt den endgültigen Jahresabschluss für das Jahr N zusammen mit der Stellungnahme des Verwaltungsrates bis zum 1. Juli des Jahres N + 1 dem Europäischen Parlament, dem Rat, der Kommission und dem Rechnungshof.
(8) Der endgültige Jahresabschluss für das Jahr N von Eurojust wird zum 15. November des Jahres N+1 im Amtsblatt der Europäischen Union veröffentlicht.
(9) Der Verwaltungsdirektor übermittelt dem Rechnungshof spätestens am 30. September des Jahres N + 1 eine Antwort auf seine Bemerkungen. Der Verwaltungsdirektor übermittelt diese Antwort auch dem Verwaltungsrat und der Kommission.
(10) Auf Anfrage des Europäischen Parlaments unterbreitet ihm der Verwaltungsdirektor gemäß Artikel 261 Absatz 3 der Verordnung (EU, Euratom) 2018/1046 alle Informationen, die für die ordnungsgemäße Abwicklung des Entlastungsverfahrens für das betreffende Haushaltsjahr erforderlich sind.
(11) Auf Empfehlung des Rates, der mit qualifizierter Mehrheit beschließt, erteilt das Europäische Parlament dem Verwaltungsdirektor vor dem 15. Mai des Jahres N+2 Entlastung für die Ausführung des Haushaltsplans für das Jahr N.
(12) Die Entlastung für den Haushaltsvollzug von Eurojust gewährt das Europäische Parlament auf eine Empfehlung des Rates nach einem Verfahren, das mit dem gemäß Artikel 319 AEUV und den Artikeln 206, 261 und 262 der Verordnung (EU, Euratom) 2018/1046 vergleichbar ist, und zwar auf der Grundlage des Prüfungsberichts des Europäischen Rechnungshofes.
Sollte das Europäische Parlament dem Verwaltungsdirektor die Entlastung bis zum 15 Mai des Jahres N + 2 verweigern, wird dieser aufgefordert, dem Kollegium seinen Standpunkt zu erläutern, das unter Würdigung der gegebenen Umstände die abschließende Entscheidung über das Amt des Verwaltungsdirektors trifft.
Artikel 64
Finanzregelung
(1) Der Verwaltungsrat erlässt nach Anhörung der Kommission die für Eurojust geltende Finanzregelung im Einklang mit der Delegierten Verordnung (EU) Nr. 1271/2013. Diese Finanzregelungen dürfen von der Delegierten Verordnung (EU) Nr. 1271/2013 nur abweichen, wenn die besondere Funktionsweise von Eurojust dies erfordert und die Kommission vorher ihre Zustimmung erteilt hat.
Hinsichtlich der finanziellen Unterstützung für die Tätigkeit gemeinsamer Ermittlungsgruppen legen Eurojust und Europol gemeinsam die Regeln und Voraussetzungen fest, nach denen Anträge auf derartige Unterstützung zu bearbeiten sind.
(2) Eurojust darf für die Erfüllung seiner Aufgaben gemäß Artikel 4 Absatz 1 Finanzhilfen gewähren. Finanzhilfen für Aufgaben gemäß Artikel 4 Absatz 1 Buchstabe f dürfen den Mitgliedstaaten gewährt werden, ohne dass es einer Aufforderung zur Einreichung von Vorschlägen bedarf.
KAPITEL VII
BESTIMMUNGEN BETREFFEND DAS PERSONAL
Artikel 65
Allgemeine Bestimmungen
(1) Für das Personal von Eurojust gelten das Beamtenstatut, die Beschäftigungsbedingungen für die sonstigen Bediensteten und die im gegenseitigen Einvernehmen der Organe der Union erlassenen Regelungen zur Durchführung dieses Beamtenstatuts und dieser Beschäftigungsbedingungen für die sonstigen Bediensteten.
(2) Das Personal von Eurojust besteht aus Personen, die gemäß den Verordnungen und Regelungen für die Beamten und sonstigen Bediensteten der Union eingedenk aller in Artikel 27 des Beamtenstatuts genannten Kriterien, einschließlich der geografischen Streuung, eingestellt werden.
Artikel 66
Abgeordnete nationale Sachverständige und andere Bedienstete
(1) Zusätzlich zu seinen eigenen Bediensteten kann Eurojust auf abgeordnete nationale Sachverständige oder andere Bedienstete zurückgreifen, die nicht von Eurojust selbst beschäftigt werden.
(2) Das Kollegium beschließt eine Regelung für zu Eurojust abgeordnete nationale Sachverständige und für den Einsatz weiterer Mitarbeiter, vor allem zur Vermeidung möglicher Interessenkonflikte.
(3) Eurojust ergreift unter anderem durch Schulung und Vorbeugestrategien geeignete Verwaltungsmaßnahmen, um Interessenkonflikte zu vermeiden, einschließlich Interessenkonflikte, die mit Fragen im Zusammenhang stehen, die die Zeit nach der Beschäftigung betreffen.
KAPITEL VIII
BEWERTUNG UND BERICHTERSTATTUNG
Artikel 67
Einbindung der Unionsorgane und der nationalen Parlamente
(1) Eurojust übermittelt seinen Jahresbericht an das Europäische Parlament, den Rat und die nationalen Parlamente, die Bemerkungen und Schlussfolgerungen dazu abgeben können.
(2) Nach seiner Wahl gibt der neu gewählte Präsident von Eurojust eine Erklärung vor dem zuständigen Ausschuss bzw. den zuständigen Ausschüssen des Europäischen Parlaments ab und beantwortet Fragen der Ausschussmitglieder. Mit speziellen operativen Fällen zusammenhängende konkrete Maßnahmen dürfen weder direkt noch indirekt erörtert werden.
(3) Der Präsident von Eurojust erscheint einmal jährlich zur gemeinsamen Bewertung der Tätigkeiten von Eurojust durch das Europäische Parlament und die nationalen Parlamente im Rahmen einer interparlamentarischen Ausschusssitzung, um die laufenden Tätigkeiten von Eurojust zu erörtern und dessen Jahresbericht und andere wichtige Dokumente von Eurojust vorzulegen.
Mit speziellen operativen Fällen zusammenhängende konkrete Maßnahmen dürfen weder direkt noch indirekt erörtert werden.
(4) Eurojust kommt nicht nur den in dieser Verordnung auferlegten Informations- und Konsultationspflichten nach, sondern übermittelt dem Europäischen Parlament und den nationalen Parlamenten in deren jeweiligen Amtssprachen darüber hinaus zu deren Information
a) |
die Ergebnisse von Studien und Strategieprojekten, die von Eurojust erstellt oder in Auftrag gegeben wurden; |
b) |
das in Artikel 15 genannte Programmplanungsdokument; |
c) |
die mit Dritten geschlossenen Arbeitsvereinbarungen. |
Artikel 68
Stellungnahmen zu Entwürfen von Rechtsakten
Die Kommission und die Mitgliedstaaten können in Ausübung ihrer Rechte nach Artikel 76 Buchstabe b AEUV Eurojust zu allen Entwürfen der in Artikel 76 AEUV genannten Rechtsakte um Stellungnahme ersuchen.
Artikel 69
Bewertung und Überarbeitung
(1) Bis zum 13. Dezember 2024 und ab dann alle fünf Jahre gibt die Kommission eine Bewertung der Durchführung und Wirkung dieser Verordnung und der Effektivität und Effizienz von Eurojust und seiner Arbeitsweise in Auftrag. Das Kollegium wird bei der Bewertung angehört. Die Bewertung kann sich besonders mit der etwaigen Notwendigkeit einer Änderung des Aufgabenbereichs von Eurojust sowie den finanziellen Implikationen einer solchen Änderung befassen.
(2) Die Kommission übermittelt den Bewertungsbericht zusammen mit ihren Schlussfolgerungen dem Europäischen Parlament, den nationalen Parlamenten, dem Rat und dem Kollegium. Die Ergebnisse der Bewertung werden veröffentlicht.
KAPITEL IX
ALLGEMEINE UND SCHLUSSBESTIMMUNGEN
Artikel 70
Vorrechte und Befreiungen
Das dem EUV und AEUV beigefügte Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union findet auf Eurojust und sein Personal Anwendung.
Artikel 71
Sprachenregelung
(1) Für Eurojust gilt die Verordnung Nr. 1 des Rates (23).
(2) Das Kollegium entscheidet über die interne Sprachenregelung von Eurojust mit einer Mehrheit von zwei Dritteln seiner Mitglieder.
(3) Die für die Arbeit von Eurojust erforderlichen Übersetzungsdienste werden vom mit der Verordnung (EG) Nr. 2965/94 des Rates (24) errichteten Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht, es sei denn, eine andere Lösung ist geboten, weil das Übersetzungszentrum nicht zur Verfügung steht.
Artikel 72
Verschwiegenheit
(1) Die nationalen Mitglieder und deren in Artikel 7 genannte Stellvertreter und Assistenten, das Eurojust-Personal, die nationalen Anlaufstellen, die abgeordneten nationalen Sachverständigen, die Verbindungsrichter/-staatsanwälte, der Datenschutzbeauftragte und die Mitglieder des Personals des EDSB unterliegen der Geheimhaltungspflicht in Bezug auf alle Informationen, von denen sie bei Wahrnehmung ihrer Aufgaben Kenntnis erhalten.
(2) Die Geheimhaltungspflicht gilt für alle Personen und alle Einrichtungen, die mit Eurojust zusammenarbeiten.
(3) Die Geheimhaltungspflicht besteht auch nach dem Ausscheiden aus dem Amt oder Dienstverhältnis und der Beendigung der Tätigkeit der Personen nach den Absätzen 1 und 2 weiter.
(4) Die Geheimhaltungspflicht gilt für alle Informationen, die Eurojust erhält oder austauscht, es sei denn, die betreffenden Informationen sind bereits rechtmäßig veröffentlicht oder der Öffentlichkeit zugänglich.
Artikel 73
Bedingungen für die Vertraulichkeit in nationalen Verfahren
(1) Werden über Eurojust Informationen empfangen oder ausgetauscht, kann die Behörde des Mitgliedstaats, der die Informationen übermittelt hat, unbeschadet des Artikels 21 Absatz 3 nach Maßgabe ihres nationalen Rechts Bedingungen für die Verwendung dieser Informationen durch die empfangende Behörde in nationalen Verfahren festlegen.
(2) Die Behörde des Mitgliedstaats, der die in Absatz 1 genannten Informationen empfängt, ist an diese Bedingungen gebunden.
Artikel 74
Transparenz
(1) Für die Dokumente Eurojusts gilt die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (25).
(2) Der Verwaltungsrat arbeitet binnen sechs Monaten nach seiner ersten Sitzung die ausführlichen Bestimmungen für die Anwendung der Verordnung (EG) Nr. 1049/2001 zur Annahme durch das Kollegium aus.
(3) Gegen Entscheidungen von Eurojust nach Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann nach Maßgabe der Artikel 228 und 263 AEUV Beschwerde beim Europäischen Bürgerbeauftragten eingelegt oder Klage beim Gerichtshof erhoben werden.
(4) Eurojust veröffentlicht auf seiner Website eine Liste der Mitglieder des Verwaltungsrates sowie Zusammenfassungen der Ergebnisse der Sitzungen des Verwaltungsrates. Die Veröffentlichung dieser Zusammenfassungen wird unter Berücksichtigung der Verpflichtung Eurojusts zu Verschwiegenheit und Geheimhaltung und der operativen Ausrichtung der Agentur vorübergehend oder dauerhaft ausgesetzt oder eingeschränkt, falls die Wahrnehmung der Aufgaben Eurojusts durch eine derartige Veröffentlichung gefährdet werden könnte.
Artikel 75
OLAF und der Rechnungshof
(1) Zur Erleichterung der Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen nach der Verordnung (EU, Euratom) Nr. 883/2013 tritt Eurojust innerhalb von sechs Monaten nach Inkrafttreten der vorliegenden Verordnung der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) (26) bei. Eurojust verabschiedet nach dem Muster in der Anlage zu der genannten Vereinbarung die entsprechenden Bestimmungen, die für alle nationalen Mitglieder, ihre Stellvertreter und Assistenten, abgeordnete nationale Sachverständige und Bedienstete von Eurojust gelten.
(2) Der Rechnungshof ist befugt, bei allen Empfängern, Auftragnehmern und Unterauftragnehmern, die EU-Mittel von Eurojust erhalten haben, Rechnungsprüfungen anhand von Unterlagen und vor Ort durchzuführen.
(3) OLAF kann gemäß den Bestimmungen und Verfahren der Verordnung (EU, Euratom) Nr. 883/2013 und der Verordnung (Euratom, EG) Nr. 2185/96 des Rates (27) Untersuchungen einschließlich Kontrollen und Überprüfungen vor Ort durchführen, um festzustellen, ob im Zusammenhang mit von Eurojust finanzierten Ausgaben Unregelmäßigkeiten zum Nachteil der finanziellen Interessen der Union vorliegen.
(4) Unbeschadet der Absätze 1, 2 und 3 enthalten Arbeitsvereinbarungen mit Drittstaaten oder internationalen Organisationen sowie die Verträge, Finanzhilfevereinbarungen und Finanzhilfeentscheidungen von Eurojust Bestimmungen, die den Rechnungshof und das OLAF ausdrücklich ermächtigen, solche Auditprüfungen und Untersuchungen im Rahmen ihrer jeweiligen Zuständigkeiten durchzuführen.
(5) Das Personal von Eurojust, der Verwaltungsdirektor und die Mitglieder des Kollegiums sowie des Verwaltungsrates melden dem OLAF und der EUStA unverzüglich jeden Verdacht irregulärer oder illegaler Tätigkeiten innerhalb ihres jeweiligen Aufgabenbereichs, von denen sie in Ausübung ihrer Tätigkeit Kenntnis erlangt haben, ohne dass sie fürchten müssen, dass deshalb ihre Position in Frage gestellt wird.
Artikel 76
Vorschriften für den Schutz von nicht als Verschlusssache eingestuften sensiblen Informationen und von Verschlusssachen
(1) Eurojust legt interne Vorschriften für den Umgang mit Informationen und ihre Vertraulichkeit sowie bezüglich des Schutzes von nicht als Verschlusssache eingestuften sensiblen Informationen fest, unter anderem auch bezüglich der Erstellung und Verarbeitung solcher Informationen bei Eurojust.
(2) Eurojust legt interne Vorschriften für den Schutz von Verschlusssachen der Europäischen Union fest, die mit dem Beschluss 2013/488/EU des Rates (28) im Einklang stehen, damit ein entsprechender Schutz dieser Informationen gewährleistet wird.
Artikel 77
Verwaltungsuntersuchungen
Die Verwaltungstätigkeit von Eurojust ist Gegenstand der Untersuchungen des Europäischen Bürgerbeauftragten gemäß Artikel 228 AEUV.
Artikel 78
Haftung mit Ausnahme der Haftung wegen unbefugter oder fehlerhafter Datenverarbeitung
(1) Die vertragliche Haftung von Eurojust bestimmt sich nach dem Recht, das auf den betreffenden Vertrag anzuwenden ist.
(2) Für Entscheidungen aufgrund einer Schiedsklausel in einem von Eurojust geschlossenen Vertrag ist der Gerichtshof zuständig.
(3) Im Bereich der außervertraglichen Haftung ersetzt Eurojust nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind, unabhängig von einer Haftung nach Artikel 76 jeden von Eurojust oder seinem Personal in Ausübung ihres Amtes verursachten Schaden.
(4) Absatz 3 gilt auch für Schäden, die von einem nationalen Mitglied, einem Stellvertreter oder einem Assistenten in Ausübung seines Amtes verursacht werden. Handelt diese Person jedoch auf Grundlage der Befugnisse, die ihr nach Artikel 8 übertragen wurden, erstattet ihr Mitgliedstaat Eurojust die Beträge, die Eurojust als Schadensersatz für solche Schäden gezahlt hat.
(5) Für Streitfälle über den Schadensersatz nach Absatz 3 ist der Gerichtshof zuständig.
(6) Die Gerichte der Mitgliedstaaten mit Zuständigkeit für Streitigkeiten, die die Haftung von Eurojust nach diesem Artikel betreffen, werden unter Bezugnahme auf die Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates (29) bestimmt.
(7) Die persönliche Haftung der Bediensteten von Eurojust gegenüber Eurojust bestimmt sich nach den geltenden Vorschriften des Beamtenstatuts und der Beschäftigungsbedingungen für die sonstigen Bediensteten.
Artikel 79
Abkommen über den Sitz und die Arbeitsbedingungen
(1) Eurojust hat seinen Sitz in Den Haag, Niederlande.
(2) Die notwendigen Bestimmungen über die Unterbringung von Eurojust in den Niederlanden und über die Einrichtungen, die von den Niederlanden zur Verfügung zu stellen sind, sowie die speziellen Vorschriften, die in den Niederlanden für den Verwaltungsdirektor, das Kollegium und das Personal von Eurojust und deren Familienangehörige gelten, werden in einem Abkommen über den Sitz festgelegt, das nach Billigung durch das Kollegium zwischen Eurojust und den Niederlanden geschlossen wird.
Artikel 80
Übergangsregelung
(1) Die durch diese Verordnung errichtete Agentur Eurojust ist der allgemeine Rechtsnachfolger für alle Verträge, Verbindlichkeiten und Vermögensgegenstände des durch Beschluss 2002/187/JI errichteten Stelle Eurojust.
(2) Die im Rahmen des Beschlusses 2002/187/JI von den einzelnen Mitgliedstaaten an die durch jenen Beschluss errichtete Stelle Eurojust entsandten nationalen Mitglieder von Eurojust fungieren als nationale Mitglieder von Eurojust im Sinne von Kapitel II Abschnitt II dieser Verordnung. Unabhängig davon, ob ihre Amtszeiten bereits verlängert wurden, können sie nach Inkrafttreten dieser Verordnung einmal gemäß Artikel 7 Absatz 5 dieser Verordnung verlängert werden.
(3) Der bei Inkrafttreten dieser Verordnung amtierende Präsident von der durch den Beschluss 2002/187/JI errichtete Stelle Eurojust und seine Vizepräsidenten fungieren bis zum Ablauf ihrer gemäß jenem Beschluss laufenden Amtszeiten weiter als Präsident bzw. Vizepräsidenten von Eurojust im Sinne von Artikel 11 der vorliegenden Verordnung. Unabhängig davon, ob sie bereits wiedergewählt wurden, können sie nach Inkrafttreten dieser Verordnung einmal gemäß Artikel 11 Absatz 4 dieser Verordnung wiedergewählt werden.
(4) Der zuletzt gemäß Artikel 29 des Beschlusses 2002/187/JI ernannte Verwaltungsdirektor fungiert bis zum Ablauf seiner aufgrund jenes Beschlusses festgelegten Amtszeit als Verwaltungsdirektor im Sinne von Artikel 17 der vorliegenden Verordnung. Die Amtszeit dieses Verwaltungsdirektors kann nach Inkrafttreten dieser Verordnung einmal verlängert werden.
(5) Diese Verordnung lässt die von Eurojust in der gemäß dem Beschluss 2002/187/JI errichteten Form abgeschlossenen Vereinbarungen unberührt. Insbesondere von Eurojust geschlossene internationale Übereinkommen, die vor 12. Dezember 2019 geschlossen wurden, bleiben gültig.
(6) Das Haushaltsentlastungsverfahren für die auf der Grundlage von Artikel 35 des Beschlusses 2002/187/JI festgestellten Haushalte erfolgt gemäß Artikel 36 dieses Beschlusses.
(7) Diese Verordnung berührt nicht Arbeitsverträge, die gemäß des Beschlusses 2002/187/JI vor dem Inkrafttreten dieser Verordnung geschlossen wurden. Der Datenschutzbeauftragte, der zuletzt nach Artikel 17 jenes Beschlusses bestellt wurde, übernimmt die Funktion des Datenschutzbeauftragten nach Artikel 36 dieser Verordnung.
Artikel 81
Ersetzung und Aufhebung
(1) Der Beschluss 2002/187/JI wird für die Mitgliedstaaten, die durch diese Verordnung gebunden sind, mit Wirkung vom 12. Dezember 2019 ersetzt.
Folglich wird der Beschluss 2002/187/JI mit Wirkung vom 12. Dezember 2019 aufgehoben.
(2) Für die durch diese Verordnung gebundenen Mitgliedstaaten gelten Verweise auf den den in Absatz 1 genannten Beschluss als Verweise auf diese Verordnung.
Artikel 82
Inkrafttreten und Geltungsbeginn
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Sie gilt ab dem 12. Dezember 2019.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.
Geschehen zu Straßburg am 14. November 2018.
Im Namen des Europäischen Parlaments
Der Präsident
A. TAJANI
Im Namen des Rates
Die Präsidentin
K. EDTSTADLER
(1) Standpunkt des Europäischen Parlaments vom 4. Oktober 2018 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 6. November 2018.
(2) Beschluss 2002/187/JI des Rates vom 28. Februar 2002 über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität (ABl. L 63 vom 6.3.2002, S. 1).
(3) Beschluss 2003/659/JI des Rates vom 18. Juni 2003 zur Änderung des Beschlusses 2002/187/JI über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität (ABl. L 245 vom 29.9.2003, S. 44).
(4) Beschluss 2009/426/JI des Rates vom 16. Dezember 2008 zur Stärkung von Eurojust und zur Änderung des Beschlusses 2002/187/JI über die Errichtung von Eurojust zur Verstärkung der Bekämpfung der schweren Kriminalität (ABl. L 138 vom 4.6.2009, S. 14).
(5) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).
(6) Beschluss 2002/494/JI des Rates vom 13. Juni 2002 zur Einrichtung eines Europäischen Netzes von Anlaufstellen betreffend Personen, die für Völkermord, Verbrechen gegen die Menschlichkeit und Kriegsverbrechen verantwortlich sind (ABl. L 167 vom 26.6.2002, S. 1).
(7) Beschluss 2007/845/JI des Rates vom 6. Dezember 2007 über die Zusammenarbeit zwischen den Vermögensabschöpfungsstellen der Mitgliedstaaten auf dem Gebiet des Aufspürens und der Ermittlung von Erträgen aus Straftaten oder anderen Vermögensgegenständen im Zusammenhang mit Straftaten (ABl. L 332 vom 18.12.2007, S. 103).
(8) Beschluss 2008/852/JI des Rates vom 24. Oktober 2008 über ein Kontaktstellennetz zur Korruptionsbekämpfung (ABl. L 301 vom 12.11.2008, S. 38).
(9) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
(10) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002 (siehe Seite 39 dieses Amtsblatts).
(11) Gemeinsamer Standpunkt 2005/69/JI des Rates vom 24. Januar 2005 zum Austausch bestimmter Daten mit Interpol (ABl. L 27 vom 29.1.2005, S. 61).
(12) Beschluss 2007/533/JI des Rates vom 12. Juni 2007 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der zweiten Generation (SIS II) (ABl. L 205 vom 7.8.2007, S. 63).
(13) Gemeinsame Maßnahme 96/277/JI vom 22. April 1996 betreffend den Rahmen für den Austausch von Verbindungsrichtern/-staatsanwälten zur Verbesserung der justiziellen Zusammenarbeit zwischen den Mitgliedstaaten der Europäischen Union (ABl. L 105 vom 27.4.1996, S. 1).
(14) Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.7.2018, S. 1).
(15) Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 des Rates (ABl. L 248 vom 18.9.2013, S. 1).
(16) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
(17) Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen (ABl. L 130 vom 1.5.2014, S. 1).
(18) ABl. L 56 vom 4.3.1968, S. 1.
(19) Beschluss 2005/671/JI des Rates vom 20. September 2005 über den Informationsaustausch und die Zusammenarbeit betreffend terroristische Straftaten (ABl. L 253 vom 29.9.2005, S. 22).
(20) Beschluss 2008/976/JI des Rates vom 16. Dezember 2008 über das Europäische Justizielle Netz (ABl. L 348 vom 24.12.2008, S. 130).
(21) Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates vom 14. September 2016 über die Europäische Grenz- und Küstenwache und zur Änderung der Verordnung (EU) 2016/399 des Europäischen Parlaments und des Rates und zur Aufhebung der Verordnung (EG) Nr. 863/2007 des Europäischen Parlaments und des Rates, der Verordnung (EG) Nr. 2007/2004 des Rates und der Entscheidung 2005/267/EG des Rates (ABl. L 251 vom 16.9.2016, S. 1).
(22) Verordnung (EU) Nr. 1271/2013 der Kommission vom 30. September 2013 über die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 208 der Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (ABl. L 328 vom 7.12.2013, S. 42).
(23) Verordnung Nr. 1 zur Regelung der Sprachenfrage für die Europäische Atomgemeinschaft (ABl. 17 vom 6.10.1958, S. 385).
(24) Verordnung (EG) Nr. 2965/94 des Rates vom 28. November 1994 zur Errichtung eines Übersetzungszentrums für die Einrichtungen der Europäischen Union (ABl. L 314 vom 7.12.1994, S. 1).
(25) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu den Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
(26) ABl. L 136 vom 31.5.1999, S. 15.
(27) Verordnung (Euratom, EG) Nr. 2185/96 des Rates vom 11. November 1996 betreffend die Kontrollen und Überprüfungen vor Ort durch die Kommission zum Schutz der finanziellen Interessen der Europäischen Gemeinschaften vor Betrug und anderen Unregelmäßigkeiten (ABl. L 292 vom 15.11.1996, S. 2).
(28) Beschluss 2013/488/EU des Rates vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274 vom 15.10.2013, S. 1).
(29) Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. L 351 vom 20.12.2012, S. 1).
ANHANG I
Liste der Formen schwerer Kriminalität, für die Eurojust gemäß Artikel 3 Absatz 1 zuständig ist:
— |
Terrorismus; |
— |
organisierte Kriminalität; |
— |
Drogenhandel; |
— |
Geldwäschehandlungen; |
— |
Kriminalität im Zusammenhang mit nuklearen und radioaktiven Substanzen; |
— |
Schleuserkriminalität; |
— |
Menschenhandel; |
— |
Kraftfahrzeugkriminalität; |
— |
vorsätzliche Tötung und schwere Körperverletzung; |
— |
illegaler Handel mit Organen und menschlichem Gewebe; |
— |
Entführung, Freiheitsberaubung und Geiselnahme; |
— |
Rassismus und Fremdenfeindlichkeit; |
— |
Raub und schwerer Diebstahl; |
— |
illegaler Handel mit Kulturgütern, einschließlich Antiquitäten und Kunstgegenständen; |
— |
Betrugsdelikte; |
— |
gegen die finanziellen Interessen der EU gerichtete Straftaten; |
— |
Insidergeschäfte und Finanzmarktmanipulation; |
— |
Erpressung und Schutzgelderpressung; |
— |
Nachahmung und Produktpiraterie; |
— |
Fälschung von amtlichen Dokumenten und Handel damit; |
— |
Geldfälschung, Fälschung von Zahlungsmitteln; |
— |
Computerkriminalität; |
— |
Bestechung; |
— |
illegaler Handel mit Waffen, Munition und Sprengstoffen; |
— |
illegaler Handel mit bedrohten Tierarten; |
— |
illegaler Handel mit bedrohten Pflanzenarten und -sorten; |
— |
Umweltkriminalität, einschließlich der Meeresverschmutzung durch Schiffe; |
— |
illegaler Handel mit Hormonen und anderen Wachstumsförderern; |
— |
sexueller Missbrauch und sexuelle Ausbeutung, einschließlich Darstellungen von Kindesmissbrauch und Kontaktaufnahme zu Kindern für sexuelle Zwecke; |
— |
Völkermord, Verbrechen gegen die Menschlichkeit und Kriegsverbrechen. |
ANHANG II
KATEGORIEN PERSONENBEZOGENER DATEN IM SINNE VON ARTIKEL 27
1. |
|
2. |
|