ISSN 1977-0642
Amtsblatt
der Europäischen Union
L 37
Ausgabe in deutscher Sprache
Rechtsvorschriften
63. Jahrgang
10. Februar 2020
|
ISSN 1977-0642 |
||
|
Amtsblatt der Europäischen Union |
L 37 |
|
|
|
||
|
Ausgabe in deutscher Sprache |
Rechtsvorschriften |
63. Jahrgang |
|
Inhalt |
|
II Rechtsakte ohne Gesetzescharakter |
Seite |
|
|
|
VERORDNUNGEN |
|
|
|
* |
||
|
|
* |
||
|
|
* |
Durchführungsverordnung (EU) 2020/180 der Kommission vom 7. Februar 2020 zur Zulassung einer Zubereitung aus Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP als Zusatzstoff in Futtermitteln für alle Tierarten ( 1 ) |
|
|
|
|
BESCHLÜSSE |
|
|
|
* |
Durchführungsbeschluss (EU) 2020/181 der Kommission vom 7. Februar 2020 betreffend bestimmte vorläufige Maßnahmen zum Schutz vor der Afrikanischen Schweinepest in Griechenland (Bekannt gegeben unter Aktenzeichen C(2020) 799) ( 1 ) |
|
|
|
|
GESCHÄFTS- UND VERFAHRENSORDNUNGEN |
|
|
|
* |
||
|
|
* |
|
|
|
Berichtigungen |
|
|
|
* |
|
|
|
|
|
(1) Text von Bedeutung für den EWR. |
|
DE |
Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben. Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte. |
II Rechtsakte ohne Gesetzescharakter
VERORDNUNGEN
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/1 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2020/178 DER KOMMISSION
vom 31. Januar 2020
zur Darstellung von Informationen für aus Drittländern ankommende Reisende und für Kunden von Postdiensten sowie von bestimmten Unternehmern betreffend die Verbote, denen das Einführen von Pflanzen, Pflanzenerzeugnissen und anderen Gegenständen in das Gebiet der Union nach der Verordnung (EU) 2016/2031 des Europäischen Parlaments und des Rates unterliegt
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2016/2031 des Europäischen Parlaments und des Rates vom 26. Oktober 2016 über Maßnahmen zum Schutz vor Pflanzenschädlingen, zur Änderung der Verordnungen (EU) Nr. 228/2013, (EU) Nr. 652/2014 und (EU) Nr. 1143/2014 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 69/464/EWG, 74/647/EWG, 93/85/EWG, 98/57/EG, 2000/29/EG, 2006/91/EG und 2007/33/EG des Rates (1), insbesondere auf Artikel 45 Absatz 1 Unterabsatz 4,
in Erwägung nachstehender Gründe:
|
(1) |
Die Verordnung (EU) 2016/2031 verpflichtet Mitgliedstaaten, Seehäfen, Flughäfen und international tätige Transportunternehmen zur Bereitstellung von Informationen für Reisende über Verbote und Anforderungen in Bezug auf das Einführen von Pflanzen, Pflanzenerzeugnissen und anderen Gegenständen in das Gebiet der Union. |
|
(2) |
Auch Postdienstunternehmer und im Fernabsatz tätige Unternehmer haben ihren Kunden diese Informationen zur Verfügung zu stellen. |
|
(3) |
Die Informationen sollten so dargestellt werden, dass sie leicht und unmittelbar verständlich sind. Daher sollten die folgenden verbotenen Gegenstände, die Reisende mit sich führen können, visuell dargestellt werden: zum Anpflanzen bestimmte Pflanzen, Schnittblumen, Früchte und Gemüse. |
|
(4) |
Aus Gründen der Klarheit sollte auch auf die wichtigsten Bestimmungen und Anforderungen für das Einführen von Pflanzen, Pflanzenerzeugnissen und anderen Gegenständen in das Gebiet der Union hingewiesen werden. Dieser Hinweis sollte Informationen enthalten über die Früchte, die gemäß Artikel 73 der Verordnung (EU) 2016/2031 von der Anforderung eines Pflanzengesundheitszeugnisses ausgenommen sind, über diejenigen Drittländer, aus denen ohne Pflanzengesundheitszeugnis eingeführt werden darf, und über diejenigen Gebiete der Union, aus denen nur mit einem Pflanzengesundheitszeugnis eingeführt werden darf. |
|
(5) |
Diese Informationen sollten an allen Orten des Eingangs in die Union oder in Verkehrsmitteln zur Verfügung gestellt werden, die sich auf dem Weg in die Union befinden. Es sollte den Mitgliedstaaten auch freigestellt werden, weitere Orte auszuwählen, etwa Orte der Abreise aus der Union in Drittländer, damit Reisende, die später aus diesen Ländern in die Union zurückkehren, diese Informationen rechtzeitig erhalten. |
|
(6) |
Diese Verordnung sollte am dritten Tag nach dem Tag ihrer Veröffentlichung in Kraft treten, damit sichergestellt ist, dass Reisende sowie die Kunden von Postdienstunternehmern und im Fernabsatz tätigen Unternehmern so früh wie möglich über die Anwendbarkeit der neuen Rechtsvorschriften informiert werden. |
|
(7) |
Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ständigen Ausschusses für Pflanzen, Tiere, Lebensmittel und Futtermittel — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Darstellung von Informationen für aus Drittländern ankommende Reisende und für Kunden von Postdiensten und von bestimmten Unternehmern
(1) Die Mitgliedstaaten, Seehäfen, Flughäfen und international tätigen Transportunternehmen sorgen dafür, dass an allen Orten des Eingangs in die Union bzw. in allen Verkehrsmitteln, die sich auf dem Weg in die Union befinden, Plakate angeschlagen werden, denen aus Drittländern ankommende Reisende die im Anhang festgelegten Informationen entnehmen können.
Die Mitgliedstaaten, Seehäfen, Flughäfen und international tätigen Transportunternehmen können die in Unterabsatz 1 genannten Plakate auch an Orten der Abreise aus der Union anschlagen lassen.
(2) Postdienstunternehmer und im Fernabsatz tätige Unternehmer stellen ihren Kunden die im Anhang beschriebenen Informationen zumindest im Internet zur Verfügung.
(3) Die im Anhang beschriebenen Informationen müssen sowohl an den Orten der Plakatierung als auch im Internet gut sichtbar sein.
Artikel 2
Inkrafttreten
Diese Verordnung tritt am dritten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 31. Januar 2020
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
ANHANG
Plakat gemäß Artikel 1
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/4 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2020/179 DER KOMMISSION
vom 3. Februar 2020
zur Genehmigung einer Änderung der Spezifikation für die geografische Angabe einer eingetragenen Spirituose (Berliner Kümmel)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2019/787 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Begriffsbestimmung, Bezeichnung, Aufmachung und Kennzeichnung von Spirituosen, die Verwendung der Bezeichnungen von Spirituosen bei der Aufmachung und Kennzeichnung von anderen Lebensmitteln, den Schutz geografischer Angaben für Spirituosen und die Verwendung von Ethylalkohol und Destillaten landwirtschaftlichen Ursprungs in alkoholischen Getränken sowie zur Aufhebung der Verordnung (EG) Nr. 110/2008 (1), insbesondere auf Artikel 30 Absatz 2,
in Erwägung nachstehender Gründe:
|
(1) |
Gemäß Artikel 21 in Verbindung mit Artikel 17 Absatz 5 der Verordnung (EG) Nr. 110/2008 des Europäischen Parlaments und des Rates (2) hat die Kommission den Antrag Deutschlands vom 28. September 2017 auf Genehmigung einer Änderung der technischen Unterlage für die gemäß der Verordnung (EG) Nr. 110/2008 geschützte geografische Angabe „Berliner Kümmel“ geprüft. |
|
(2) |
Die Verordnung (EU) 2019/787, die die Verordnung (EG) Nr. 110/2008 ersetzt, ist am 25. Mai 2019 in Kraft getreten. Gemäß Artikel 49 Absatz 1 derselben Verordnung wird Kapitel III der Verordnung (EG) Nr. 110/2008 hinsichtlich geografischer Angaben mit Wirkung vom 8. Juni 2019 aufgehoben. Gemäß Artikel 22 Absatz 2 der Verordnung (EU) 2019/787 gelten die technischen Unterlagen, die vor dem 8. Juni 2019 gemäß der Verordnung (EG) Nr. 110/2008 als Teil eines Antrags eingereicht wurden, als Produktspezifikationen. |
|
(3) |
Nachdem die Kommission zu dem Schluss kam, dass der Antrag mit der Verordnung (EG) Nr. 110/2008 im Einklang steht, hat sie den Antrag auf Änderung gemäß Artikel 17 Absatz 6 der genannten Verordnung nach Artikel 50 Absatz 4 Unterabsatz 1 der Verordnung (EU) 2019/787 im Amtsblatt der Europäischen Union (3) veröffentlicht. |
|
(4) |
Da bei der Kommission kein Einspruch gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2019/787 eingegangen ist, sollte die Änderung der Spezifikation gemäß Artikel 30 Absatz 2 der genannten Verordnung, der sinngemäß für die Änderungen der Spezifikation gilt, genehmigt werden — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Die im Amtsblatt der Europäischen Union veröffentlichte Änderung der Spezifikation für den Namen „Berliner Kümmel“ wird genehmigt.
Artikel 2
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 3. Februar 2020
Für die Kommission,
im Namen der Präsidentin,
Janusz WOJCIECHOWSKI
Mitglied der Kommission
(1) ABl. L 130 vom 17.5.2019, S. 1.
(2) Verordnung (EG) Nr. 110/2008 des Europäischen Parlaments und des Rates vom 15. Januar 2008 zur Begriffsbestimmung, Bezeichnung, Aufmachung und Etikettierung von Spirituosen sowie zum Schutz geografischer Angaben für Spirituosen und zur Aufhebung der Verordnung (EWG) Nr. 1576/89 des Rates (ABl. L 39 vom 13.2.2008, S. 16).
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/5 |
DURCHFÜHRUNGSVERORDNUNG (EU) 2020/180 DER KOMMISSION
vom 7. Februar 2020
zur Zulassung einer Zubereitung aus Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP als Zusatzstoff in Futtermitteln für alle Tierarten
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EG) Nr. 1831/2003 des Europäischen Parlaments und des Rates vom 22. September 2003 über Zusatzstoffe zur Verwendung in der Tierernährung (1), insbesondere auf Artikel 9 Absatz 2,
in Erwägung nachstehender Gründe:
|
(1) |
In der Verordnung (EG) Nr. 1831/2003 ist vorgeschrieben, dass Zusatzstoffe zur Verwendung in der Tierernährung zugelassen werden müssen, und es werden die Voraussetzungen und Verfahren für die Erteilung einer solchen Zulassung geregelt. |
|
(2) |
Gemäß Artikel 7 der Verordnung (EG) Nr. 1831/2003 wurde ein Antrag auf Zulassung einer Zubereitung aus Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP als Zusatzstoff in Futtermitteln für alle Tierarten gestellt. Dem Antrag waren die gemäß Artikel 7 Absatz 3 der Verordnung vorgeschriebenen Angaben und Unterlagen beigefügt. |
|
(3) |
Der Antrag betrifft die Zulassung einer Zubereitung aus Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP zur Verwendung in Sojabohnen, die in die Kategorie „technologische Zusatzstoffe“ einzuordnen ist. |
|
(4) |
Die Europäische Behörde für Lebensmittelsicherheit (im Folgenden die „Behörde“) zog in ihren Gutachten vom 8. September 2015 (2) bzw. vom 18. September 2018 (3) den Schluss, dass die Zubereitung aus Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP keine nachteiligen Auswirkungen auf die Tiergesundheit oder auf die Umwelt hat. Sie kam jedoch auch zu dem Schluss, dass der Zusatzstoff als haut- und augenreizend sowie als Haut- und Inhalationsallergen zu betrachten ist. Daher ist die Kommission der Auffassung, dass geeignete Schutzmaßnahmen ergriffen werden sollten, um schädliche Auswirkungen auf die menschliche Gesundheit, insbesondere in Bezug auf die Anwender des Zusatzstoffs, zu vermeiden. Die Behörde gelangte ferner zu dem Schluss, dass der Zusatzstoff die Konzentration von Oligosacchariden der Raffinose-Serie und des Trypsin-Inhibitors in Sojabohnen wirksam verringern kann. Besondere Vorgaben für die Überwachung nach dem Inverkehrbringen hält die Behörde nicht für erforderlich. Sie hat außerdem den Bericht über die Methode zur Analyse des Futtermittelzusatzstoffs in Futtermitteln geprüft, den das mit der Verordnung (EG) Nr. 1831/2003 eingerichtete Referenzlabor vorgelegt hat. |
|
(5) |
Die Bewertung der Zubereitung aus Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP hat ergeben, dass die Bedingungen für die Zulassung gemäß Artikel 5 der Verordnung (EG) Nr. 1831/2003 erfüllt sind. Daher sollte die Verwendung dieser Zubereitung gemäß den Angaben im Anhang der vorliegenden Verordnung zugelassen werden. |
|
(6) |
Die in der vorliegenden Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ständigen Ausschusses für Pflanzen, Tiere, Lebensmittel und Futtermittel — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
Artikel 1
Die im Anhang genannte Zubereitung, die in die Zusatzstoffkategorie „technologische Zusatzstoffe“ und die Funktionsgruppe „sonstige technologische Zusatzstoffe“ einzuordnen ist, wird unter den im Anhang aufgeführten Bedingungen als Zusatzstoff in der Tierernährung zugelassen.
Artikel 2
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 7. Februar 2020
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
(1) ABl. L 268 vom 18.10.2003, S. 29.
(2) EFSA Journal 2015;13(9):4230.
(3) EFSA Journal 2018;16(5):5275.
ANHANG
|
Kennnummer des Zusatzstoffs |
Zusatzstoff |
Zusammensetzung, chemische Bezeichnung, Beschreibung, Analysemethode |
Tierart oder Tierkategorie |
Höchstalter |
Mindestgehalt |
Höchstgehalt |
Sonstige Rückstellungen |
Geltungsdauer der Zulassung |
||||||
|
KBE Zusatzstoff/kg Sojabohnen |
||||||||||||||
|
Kategorie: technologische Zusatzstoffe. Funktionsgruppe: Sonstige technologische Zusatzstoffe (Verringerung der für die Ernährung nachteiligen Faktoren bei Sojabohnen) |
||||||||||||||
|
1o01 |
Bacillus subtilis KCCM 10673P Aspergillus oryzae KCTC 10258BP |
Zusammensetzung des Zusatzstoffs Zubereitung von Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP mit einem Gehalt von mindestens 1,2 × 108 KBE/g Zusatzstoff bzw. 2,0 × 108 KBE/g Zusatzstoff. |
Alle Tierarten |
— |
Bacillus subtilis 1,2 × 106 Aspergillus oryzae 2,0 × 106 |
— |
|
1. März 2030 |
||||||
|
Charakterisierung des Wirkstoffs Lebensfähige Zellen von Bacillus subtilis KCCM 10673P und Aspergillus oryzae KCTC 10258BP. |
||||||||||||||
|
Analysemethode (1) Für die Auszählung von Bacillus subtilis KCCM 10673P im Futtermittelzusatzstoff, in Vormischungen und Futtermitteln: Ausstrichverfahren unter Verwendung von Trypton-Soja-Agar (EN 15784) Für die Bestimmung von Bacillus subtilis KCCM 10673P im Futtermittelzusatzstoff, in Vormischungen und Futtermitteln: Pulsfeld-Gel-Elektrophorese (PFGE). Für die Bestimmung von Aspergillus oryzae KCTC 10258BP im Futtermittelzusatzstoff: PCR-Verfahren (Polymerase-Kettenreaktion) |
||||||||||||||
(1) Nähere Informationen zu den Analysemethoden siehe Website des Referenzlabors unter: https://ec.europa.eu/jrc/en/eurl/feed-additives/evaluation-reports
BESCHLÜSSE
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/8 |
DURCHFÜHRUNGSBESCHLUSS (EU) 2020/181 DER KOMMISSION
vom 7. Februar 2020
betreffend bestimmte vorläufige Maßnahmen zum Schutz vor der Afrikanischen Schweinepest in Griechenland
(Bekannt gegeben unter Aktenzeichen C(2020) 799)
(Nur der griechische Text ist verbindlich)
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Richtlinie 89/662/EWG des Rates vom 11. Dezember 1989 zur Regelung der veterinärrechtlichen Kontrollen im innergemeinschaftlichen Handel im Hinblick auf den gemeinsamen Binnenmarkt (1), insbesondere auf Artikel 9 Absatz 3,
gestützt auf die Richtlinie 90/425/EWG des Rates vom 26. Juni 1990 zur Regelung der veterinärrechtlichen Kontrollen im Handel mit lebenden Tieren und Erzeugnissen innerhalb der Union im Hinblick auf den Binnenmarkt (2), insbesondere auf Artikel 10 Absatz 3,
in Erwägung nachstehender Gründe:
|
(1) |
Die Afrikanische Schweinepest ist eine ansteckende Viruserkrankung, die Haus- und Wildschweinpopulationen befällt; sie kann die Rentabilität der Schweinehaltung stark beeinträchtigen und damit zu Störungen im Handel innerhalb der Union sowie bei der Ausfuhr in Drittländer führen. |
|
(2) |
Bei einem Ausbruch der Afrikanischen Schweinepest besteht die Gefahr, dass der Erreger auf andere Schweinehaltungsbetriebe und auf Wildschweine übergreift. In der Folge kann er über den Handel mit lebenden Schweinen oder aus ihnen gewonnenen Erzeugnissen aus einem Mitgliedstaat in andere Mitgliedstaaten und in Drittländer eingeschleppt werden. |
|
(3) |
Mit der Richtlinie 2002/60/EG des Rates (3) wurden die Mindestvorschriften der Union für die Bekämpfung der Afrikanischen Schweinepest festgelegt. Artikel 9 der Richtlinie 2002/60/EG sieht bei Ausbrüchen dieser Seuche die Abgrenzung von Schutz- und Überwachungszonen vor, in denen die Maßnahmen der Artikel 10 und 11 der genannten Richtlinie anzuwenden sind. |
|
(4) |
Griechenland hat die Kommission über den derzeitigen Stand hinsichtlich der Afrikanischen Schweinepest in seinem Hoheitsgebiet unterrichtet sowie gemäß Artikel 9 der Richtlinie 2002/60/EG Schutz- und Überwachungszonen abgegrenzt, in denen die Maßnahmen der Artikel 10 und 11 der genannten Richtlinie angewendet werden. |
|
(5) |
Um jede unnötige Störung des Handels innerhalb der Union und die Errichtung ungerechtfertigter Handelsschranken durch Drittländer zu vermeiden, müssen die Schutz- und Überwachungszonen in Bezug auf die Afrikanische Schweinepest in Griechenland in Zusammenarbeit mit diesem Mitgliedstaat auf Unionsebene abgegrenzt werden. |
|
(6) |
Daher sollten bis zur nächsten Sitzung des Ständigen Ausschusses für Pflanzen, Tiere, Lebensmittel und Futtermittel die als Schutz- bzw. Überwachungszonen ausgewiesenen Gebiete in Griechenland im Anhang dieses Beschlusses aufgeführt und die Dauer dieser Regionalisierung festgelegt werden. |
|
(7) |
Dieser Beschluss ist auf der nächsten Sitzung des Ständigen Ausschusses für Pflanzen, Tiere, Lebensmittel und Futtermittel zu überprüfen — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Griechenland stellt sicher, dass die gemäß Artikel 9 der Richtlinie 2002/60/EG abgegrenzten Schutz- und Überwachungszonen mindestens die Gebiete umfassen, die im Anhang des vorliegenden Beschlusses als Schutz- und Überwachungszonen aufgeführt sind.
Artikel 2
Dieser Beschluss gilt bis zum 6. April 2020.
Artikel 3
Dieser Beschluss ist an die Hellenische Republik gerichtet.
Brüssel, den 7. Februar 2020
Für die Kommission
Stella KYRIAKIDES
Mitglied der Kommission
(1) ABl. L 395 vom 30.12.1989, S. 13.
(2) ABl. L 224 vom 18.8.1990, S. 29.
(3) Richtlinie 2002/60/EG des Rates vom 27. Juni 2002 zur Festlegung von besonderen Vorschriften für die Bekämpfung der Afrikanischen Schweinepest sowie zur Änderung der Richtlinie 92/119/EWG hinsichtlich der Teschener Krankheit und der Afrikanischen Schweinepest (ABl. L 192 vom 20.7.2002, S. 27).
ANHANG
|
Griechenland |
Gemäß Artikel 1 ausgewiesene Gebiete |
Gültig bis |
||||||||||||||
|
Schutzzone |
Municipality of Visaltias (Serres Regional Unit) |
6. April 2020 |
||||||||||||||
|
Überwachungszone |
In Thessaloniki Regional Unit:
In Serres Regional Unit:
|
6. April 2020 |
GESCHÄFTS- UND VERFAHRENSORDNUNGEN
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/11 |
BESCHLUSS DES VERWALTUNGSRATS DER AGENTUR DER EUROPÄISCHEN UNION FÜR CYBERSICHERHEIT
vom 21. November 2019
über interne Vorschriften zur Einschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der ENISA
DER VERWALTUNGSRAT DER ENISA —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere auf Artikel 25,
gestützt auf die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (2), insbesondere auf Artikel 15 Absatz 1,
gestützt auf die Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) vom 17. Oktober 2019 und die vom EDSB herausgegebenen Leitlinien zu Artikel 25 der Verordnung (EU) 2018/1725 und den internen Vorschriften,
in Erwägung nachstehender Gründe:
|
(1) |
Nach Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 müssen Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 dieser Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, auf von der ENISA zu erlassenden internen Vorschriften beruhen, wenn sie nicht auf Rechtsakten basieren, die auf der Grundlage der Verträge erlassen wurden. |
|
(2) |
Diese internen Vorschriften (einschließlich ihrer Bestimmungen über die Beurteilung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung) finden keine Anwendung, wenn ein aufgrund der Verträge erlassener Rechtsakt die Beschränkung von Rechten betroffener Personen vorsieht. |
|
(3) |
Bei der Wahrnehmung ihrer Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725, prüft die ENISA, ob eine der in dieser Verordnung vorgesehenen Ausnahmen gegeben ist. |
|
(4) |
Im Rahmen ihrer Verwaltungstätigkeit kann die ENISA Verwaltungsuntersuchungen und Disziplinarverfahren durchführen, erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten ergreifen, gemeldete Missstände („Whistleblowing“) bearbeiten, (formelle und informelle) Verfahren in Bezug auf Mobbing und sexuelle Belästigung durchführen, interne und externe Beschwerden bearbeiten und interne Prüfungen und Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vornehmen sowie Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 und interne (IT-)Sicherheitsüberprüfungen durchführen. Die ENISA verarbeitet mehrere Kategorien personenbezogener Daten, einschließlich harter Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weicher Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang damit vorgebracht werden). |
|
(5) |
Die ENISA, vertreten durch ihren Exekutivdirektor, ist die für die Verarbeitung Verantwortliche; dies gilt auch, wenn Befugnisse des Verantwortlichen innerhalb der ENISA weiter delegiert werden, um den operativen Verantwortlichkeiten für bestimmte Vorgänge der Verarbeitung personenbezogener Daten Rechnung zu tragen. |
|
(6) |
Die personenbezogenen Daten werden sicher in einem elektronischen Umfeld oder in Papierform aufbewahrt, um den unrechtmäßigen Zugang oder die Übermittlung von Daten an Personen, die keine Kenntnis davon haben müssen, zu verhindern. Die verarbeiteten personenbezogenen Daten werden in dem Zeitraum, der in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen der ENISA angegeben ist, nur so lange aufbewahrt, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und angemessen ist. |
|
(7) |
Die internen Vorschriften gelten für sämtliche Verarbeitungsvorgänge, die von der ENISA zu folgenden Zwecken ausgeführt werden: zur Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, ersten Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten, Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“) sowie (formellen und informellen) Verfahren in Bezug auf Mobbing und sexuelle Belästigung, zur Bearbeitung interner und externer Beschwerden, zur Durchführung interner Prüfungen, zur Bewertung von Cybersicherheitsvorfällen gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881, für Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725, sowie für intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen. |
|
(8) |
Sie gelten für Verarbeitungsvorgänge, die vor der Einleitung der vorstehend genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen vorgenommen werden. Dies beinhaltet auch die von der ENISA für nationale Behörden und internationale Organisationen außerhalb ihrer administrativen Untersuchungen geleistete Unterstützung und Zusammenarbeit. |
|
(9) |
In Fällen, in denen diese internen Vorschriften Anwendung finden, muss die ENISA die Gründe dafür darlegen, warum die Beschränkungen in einer demokratischen Gesellschaft unbedingt erforderlich und verhältnismäßig sind, und den Wesensgehalt der Grundrechte und Grundfreiheiten achten. |
|
(10) |
In diesem Rahmen achtet die ENISA in den vorgenannten Verfahren im größtmöglichen Umfang die Grundrechte der betroffenen Personen, insbesondere deren Rechte in Bezug auf Unterrichtung, Auskunft und Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen sowie auf Vertraulichkeit der Kommunikation, wie sie in der Verordnung (EU) 2018/1725 verankert sind. |
|
(11) |
Die ENISA kann jedoch verpflichtet sein, die Unterrichtung betroffener Personen und Rechte anderer betroffener Personen zu beschränken, um insbesondere ihre eigenen Untersuchungen, die Untersuchungen und Verfahren anderer Behörden sowie die Rechte und Freiheiten anderer Personen im Zusammenhang mit ihren eigenen Untersuchungen oder anderen Verfahren zu schützen. |
|
(12) |
Die ENISA kann daher die Unterrichtung zum Zweck des Schutzes der Untersuchung sowie der Grundrechte und Grundfreiheiten anderer betroffener Personen beschränken. |
|
(13) |
Die ENISA muss regelmäßig überprüfen, dass die Voraussetzungen, welche die Beschränkung rechtfertigen, erfüllt sind, und die Beschränkung aufheben, soweit diese nicht länger gegeben sind. |
|
(14) |
Der Verantwortliche muss den Datenschutzbeauftragten zum Zeitpunkt einer Zurückstellung und während der Überprüfungen unterrichten. |
|
(15) |
Wegen der Wichtigkeit der internen Vorschriften für den Schutz der Rechte der betroffenen Personen sollte dieser Beschluss so bald wie möglich nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Gegenstand und Anwendungsbereich
(1) Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die ENISA im Rahmen ihrer unter Absatz 2 aufgeführten Verfahren gemäß Artikel 25 der Verordnung (EU) 2018/1725 befugt ist, die Anwendung der in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 der Verordnung verankerten Rechte zu beschränken.
(2) Im Rahmen der Verwaltungstätigkeit der ENISA findet dieser Beschluss Anwendung, soweit die ENISA personenbezogene Daten verarbeitet, um Verwaltungsuntersuchungen, Disziplinarverfahren oder erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten durchzuführen, die Meldung von Missständen („Whistleblowing“) zu bearbeiten, (formelle wie auch informelle) Verfahren in Bezug auf Mobbing und sexuelle Belästigung durchzuführen, interne und externe Beschwerden zu bearbeiten, interne Prüfungen durchzuführen, Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vorzunehmen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchzuführen sowie (IT-)Sicherheitsuntersuchungen intern oder unter externer Mitwirkung (z. B. CERT-EU) durchzuführen.
(3) Die entsprechenden Kategorien personenbezogener Daten umfassen harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang damit vorgebracht werden).
(4) Bei der Wahrnehmung ihrer Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 prüft die ENISA, ob eine der in dieser Verordnung vorgesehenen Ausnahmen gegeben ist.
(5) Unter den in diesem Beschluss genannten Voraussetzungen können die folgenden Rechte beschränkt werden: die Rechte auf Unterrichtung der betroffenen Personen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen oder Vertraulichkeit der Kommunikation.
Artikel 2
Verantwortlicher und Schutzmaßnahmen
(1) Verletzungen des Schutzes personenbezogener Daten, Datenverluste oder die unbefugte Weitergabe werden durch die folgenden Schutzmaßnahmen verhindert:
|
a) |
Dokumente in Papierform werden in gesicherten Schränken aufbewahrt und ausschließlich befugtem Personal zugänglich gemacht. |
|
b) |
Alle elektronischen Daten werden in einer sicheren IT-Anwendung gemäß den Sicherheitsstandards der ENISA sowie in speziellen elektronischen Ordnern gespeichert, die ausschließlich befugtem Personal zugänglich sind. Angemessene Zugangsrechte werden auf individueller Basis erteilt. |
|
c) |
Der Schutz der Datenbank erfolgt durch ein System mit einmaliger Anmeldung mittels Kennwort und automatischer Verbindung mit Benutzerkennung und Kennwort. Es ist streng untersagt, Benutzer auszutauschen. Elektronische Aufzeichnungen werden sicher aufbewahrt, um die Vertraulichkeit und den Schutz der darin enthaltenen Daten zu garantieren. |
|
d) |
Alle Personen, die Zugang zu den Daten haben, sind zur Geheimhaltung verpflichtet. |
(2) Die für die Verarbeitungsvorgänge Verantwortliche ist die ENISA, vertreten durch ihren Exekutivdirektor, der die Funktion des Verantwortlichen delegieren kann. Der stellvertretende Verantwortliche wird den betroffenen Personen in den Datenschutzhinweisen oder -aufzeichnungen mitgeteilt, die auf der Website und/oder dem Intranet der ENISA veröffentlicht werden.
(3) Die Aufbewahrungsfrist für die in Artikel 1 Absatz 3 genannten personenbezogenen Daten ist nicht länger als für die Datenverarbeitungszwecke erforderlich und angemessen. Sie darf keinesfalls länger sein als die Aufbewahrungsfrist, die in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen angegeben ist, auf die in Artikel 5 Absatz 1 Bezug genommen wird.
(4) Zieht die ENISA die Anwendung einer Beschränkung in Betracht, sind die Risiken für die Rechte und Freiheiten der betroffenen Person abzuwägen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko, dass die Wirksamkeit der von der ENISA durchgeführten Untersuchungen oder Verfahren zunichte gemacht wird, z. B. durch Vernichtung von Beweismaterial. Die Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Person erstrecken sich insbesondere auf Risiken im Zusammenhang mit der Reputation, dem Verteidigungsrecht und dem Anspruch auf rechtliches Gehör.
Artikel 3
Beschränkungen
(1) Beschränkungen werden von der ENISA nur zu folgenden Zwecken angewandt:
|
a) |
zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit; |
|
b) |
zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere der Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit; |
|
c) |
zur inneren Sicherheit der Organe und Einrichtungen der Union, einschließlich ihrer elektronischen Kommunikationsnetze; |
|
d) |
zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe; |
|
e) |
zum Schutz der Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a und b genannten Zwecke verbunden sind; |
|
f) |
zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen. |
(2) Die von der ENISA gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 (Rechtsakt zur Cybersicherheit) vorgenommene Bewertung von Cybersicherheitsvorfällen fällt unter Absatz 1 Buchstabe b dieses Artikels.
(3) Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die ENISA für personenbezogene Daten, die mit Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden, unter folgenden Umständen Beschränkungen anwenden:
|
a) |
wenn die Ausübung dieser Rechte und Pflichten von Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union aufgrund anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder gemäß Kapitel IX der genannten Verordnung oder gemäß den Gründungsakten anderer Organe, Einrichtungen und sonstiger Stellen der Union beschränkt werden könnte; |
|
b) |
wenn die Ausübung dieser Rechte und Pflichten von zuständigen Behörden der Mitgliedstaaten aufgrund der in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (3) genannten Rechtsakte oder im Rahmen nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (4) beschränkt werden könnte; |
|
c) |
wenn die Ausübung dieser Rechte und Pflichten die Zusammenarbeit der ENISA mit Drittländern oder internationalen Organisationen bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnte. |
Vor der Anwendung von Beschränkungen unter den in Unterabsatz 1 Buchstaben a und b genannten Umständen konsultiert die Agentur die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union bzw. die zuständigen Behörden der Mitgliedstaaten, es sei denn, für die Agentur ist klar, dass die Anwendung einer Beschränkung durch einen der in diesen Buchstaben genannten Rechtsakte vorgesehen ist.
(4) Etwaige Beschränkungen müssen notwendig und verhältnismäßig sein, die Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigen und den Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft wahren.
(5) Wird eine Beschränkung in Betracht gezogen, ist deren Notwendigkeit und Verhältnismäßigkeit auf Grundlage der vorliegenden Vorschriften zu prüfen. Zu Rechenschaftszwecken wird dies von Fall zu Fall mittels einer internen Beurteilungsmitteilung dokumentiert.
(6) Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gegeben sind; Dies gilt insbesondere, wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirkung der verhängten Beschränkung nicht mehr zunichtemachen oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigen würde.
Artikel 4
Überprüfung durch den Datenschutzbeauftragten
(1) Gemäß diesem Beschluss unterrichtet die ENISA ihren Datenschutzbeauftragten (DSB) unverzüglich, wenn der Verantwortliche gemäß diesem Beschluss Rechte betroffener Personen beschränkt oder eine solche Beschränkung ausweitet. Der Verantwortliche gewährt dem DSB Zugang zu den Aufzeichnungen, die die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthalten, und dokumentiert das Datum, an dem der DSB unterrichtet wird, in den Aufzeichnungen. Der DSB wird von der ENISA in alle relevanten Verfahren einbezogen, und die Einbeziehung des DSB wird dokumentiert.
(2) Der DSB kann den Verantwortlichen schriftlich auffordern, die Verhängung der Beschränkungen zu überprüfen. Der Verantwortliche informiert den DSB schriftlich über das Ergebnis der erbetenen Überprüfung.
(3) Der Verantwortliche informiert den DSB über die Aufhebung der Beschränkung.
Artikel 5
Unterrichtung der betroffenen Person
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Auskunft im Rahmen der folgenden Verarbeitungsvorgänge beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing und sexuelle Belästigung; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
interne Prüfungen; |
|
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
h) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen; |
|
i) |
von der ENISA gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vorgenommene Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 3 Absatz 2 dieses Beschlusses. |
Die ENISA nimmt in die auf ihrer Website veröffentlichten und/oder im Intranet verbreiteten Datenschutzhinweise, Datenschutzerklärungen oder Aufzeichnungen im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, in denen betroffene Personen über ihre Rechte im Rahmen eines gegebenen Verfahrens informiert werden, Informationen über die mögliche Beschränkung dieser Rechte auf. Darin ist darüber zu informieren, welche Rechte aus welchen Gründen und für welche Dauer eingeschränkt werden können.
(2) Unbeschadet der Bestimmungen in Absatz 3 dieses Artikels informiert die ENISA (sofern dies verhältnismäßig ist) alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, unverzüglich einzeln schriftlich über gegenwärtige oder künftige Beschränkungen ihrer Rechte.
(3) Wenn die ENISA die in Absatz 2 dieses Artikels vorgesehene Unterrichtung der betroffenen Personen ganz oder teilweise beschränkt, sind die Beweggründe für die Beschränkung, die Rechtsgrundlage gemäß Artikel 3 dieses Beschlusses sowie die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung in einem Vermerk festzuhalten.
Der Vermerk sowie gegebenenfalls die Unterlagen, die die tatsächlichen und rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.
(4) Eine Beschränkung nach Absatz 3 dieses Artikels gilt, solange die Gründe dafür weiterhin vorliegen.
Wenn die Gründe für die Beschränkung nicht mehr vorliegen, unterrichtet die ENISA die betroffene Person über die Hauptgründe für die Beschränkung. Gleichzeitig informiert die Agentur die betroffene Person über ihr Recht, jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.
Die Agentur überprüft die verhängte Beschränkung alle sechs Monate nach deren Einführung sowie bei Abschluss der jeweiligen Prüfungen, Verfahren oder Untersuchungen. Danach überprüft der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung einer Beschränkung.
Artikel 6
Auskunftsrecht der betroffenen Person
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Auskunftsrecht, sofern dies notwendig und verhältnismäßig ist, im Rahmen der folgenden Verarbeitungsvorgänge beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing und sexuelle Belästigung; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
interne Prüfungen; |
|
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
h) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen; |
|
i) |
von der ENISA gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vorgenommene Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 3 Absatz 2 dieses Beschlusses. |
Verlangen von der Datenverarbeitung betroffene Personen gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre personenbezogenen Daten, die im Zusammenhang mit einem oder mehreren spezifischen Fällen verarbeitet wurden, oder über einen spezifischen Datenverarbeitungsvorgang, beschränkt die ENISA ihre Antragsprüfung auf diese personenbezogenen Daten.
2. Beschränkt die ENISA das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Auskunft ganz oder teilweise, ergreift sie die folgenden Maßnahmen:
|
a) |
In ihrer Antwort auf den Antrag unterrichtet sie die betroffene Person über die verhängte Beschränkung und die Hauptgründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen. |
|
b) |
In einem internen Beurteilungsvermerk notiert sie die Gründe für die Beschränkung, einschließlich einer Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung und ihrer Dauer. |
Die Unterrichtung über Informationen im Sinne von Unterabsatz a kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der Beschränkung gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 zunichtemachen würde.
Die ENISA überprüft verhängte Beschränkungen alle sechs Monate nach deren Einführung sowie bei Abschluss der jeweiligen Untersuchung. Danach überprüft der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung von Beschränkungen.
(3) Der Vermerk sowie gegebenenfalls die Unterlagen, die die tatsächlichen und rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.
Artikel 7
Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung, sofern dies notwendig und verhältnismäßig ist, im Rahmen der folgenden Verarbeitungsvorgänge beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing und sexuelle Belästigung; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
interne Prüfungen; |
|
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
h) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen; |
|
i) |
von der ENISA gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vorgenommene Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 3 Absatz 2dieses Beschlusses. |
(2) Beschränkt die ENISA das in Artikel 18, Artikel 19 Absatz 1 und Artikel 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise, muss sie die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen ergreifen und Artikel 6 Absatz 3 dieses Beschlusses einhalten.
Artikel 8
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten, sofern dies notwendig und verhältnismäßig ist, im Rahmen der folgenden Verarbeitungsvorgänge beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“); |
|
d) |
Bearbeitung interner und externer Beschwerden; |
|
e) |
interne Prüfungen; |
|
f) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
g) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen; |
|
h) |
von der ENISA gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vorgenommene Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 3 Absatz 2 dieses Beschlusses. |
(2) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Vertraulichkeit der elektronischen Kommunikation, sofern dies notwendig und verhältnismäßig ist, im Rahmen der folgenden Verarbeitungsvorgänge beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände („Whistleblowing“); |
|
d) |
formelle Verfahren in Bezug auf Mobbing und sexuelle Belästigung; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen; |
|
g) |
von der ENISA gemäß Artikel 7 Absatz 4 der Verordnung (EU) 2019/881 vorgenommene Bewertungen von Cybersicherheitsvorfällen gemäß Artikel 3 Absatz 2. |
(3) Beschränkt die Agentur die in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannten Rechte auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation, finden die Bestimmungen in Artikel 5 Absatz 3 dieses Beschlusses Anwendung. Artikel 5 Absatz 4 dieses Beschlusses findet Anwendung.
Artikel 9
Inkrafttreten
Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Athen, den 21. November 2019
Für die ENISA
Jean Baptiste DEMAISON
Vorsitzender des Verwaltungsrats
(1) ABl. L 295 vom 21.11.2018, S. 39.
(2) ABl. L 151 vom 7.6.2019, S. 15.
(3) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 119 vom 4.5.2016, S. 1)
(4) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 119 vom 4.5.2016, S. 89).
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/18 |
BESCHLUSS DES VORSTANDS VON FUSION FOR ENERGY
vom 9. Dezember 2019
über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten von Fusion for Energy
DER VORSTAND —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere Artikel 25,
gestützt auf die Entscheidung 2007/198/Euratom des Rates vom 27. März 2007 über die Errichtung des europäischen gemeinsamen Unternehmens für den ITER und die Entwicklung der Fusionsenergie sowie die Gewährung von Vergünstigungen dafür (2) (im Folgenden: Fusion for Energy), insbesondere Artikel 6,
gestützt auf die der vorgenannten Entscheidung im Anhang beigefügte Satzung, insbesondere Artikel 10,
gestützt auf das Statut der Beamten und die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden: Statut), insbesondere Artikel 2 Absatz 3 und Artikel 30 von Anhang IX,
gestützt auf die Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 des Rates (3),
gestützt auf die Leitlinien des Europäischen Datenschutzbeauftragten (EDSB) vom 18. Dezember 2018 und dessen Stellungnahme vom 26. Juli 2019 im Rahmen der Konsultation gemäß Artikel 41 Absatz 2 der Verordnung (EU) 2018/1725,
nach Anhörung der Personalvertretung,
in Erwägung nachstehender Gründe:
|
(1) |
Fusion for Energy übt seine Tätigkeiten gemäß der Entscheidung 2007/198/Euratom aus. |
|
(2) |
Nach Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 müssen Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 dieser Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, auf von Fusion for Energy zu erlassenden internen Vorschriften beruhen, wenn sie nicht auf Rechtsakten basieren, die auf der Grundlage der Verträge erlassen wurden. |
|
(3) |
Diese internen Vorschriften (einschließlich ihrer Bestimmungen über die Beurteilung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung) finden keine Anwendung, wenn ein aufgrund der Verträge erlassener Rechtsakt die Beschränkung von Rechten betroffener Personen vorsieht. |
|
(4) |
Bei der Wahrnehmung seiner Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 prüft Fusion for Energy, ob eine der in dieser Verordnung vorgesehenen Ausnahmen gegeben ist. |
|
(5) |
Im Rahmen seiner Verwaltungstätigkeit kann Fusion for Energy Verwaltungsuntersuchungen und Disziplinarverfahren im Einklang mit den Vorschriften im Statut durchführen. Fusion for Energy kann insbesondere auch erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten ergreifen, gemeldete Missstände (Whistleblowing) bearbeiten, (formelle und informelle) Verfahren in Bezug auf Mobbing durchführen, interne und externe Beschwerden bearbeiten, medizinische Daten verarbeiten, interne Prüfungen durchführen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder unter externer Mitwirkung (z. B. CERT-EU) vorgenommene (IT-) Sicherheitsüberprüfungen durchführen. |
|
(6) |
Fusion for Energy verarbeitet mehrere Kategorien personenbezogener Daten, einschließlich harter Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weicher Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang damit vorgebracht werden). |
|
(7) |
Fusion for Energy, vertreten durch seinen Direktor, ist der für die Verarbeitung Verantwortliche; dies gilt auch, wenn Befugnisse des Verantwortlichen innerhalb von Fusion for Energy weiter delegiert werden, um den operativen Verantwortlichkeiten für bestimmte Vorgänge der Verarbeitung personenbezogener Daten Rechnung zu tragen. |
|
(8) |
Die personenbezogenen Daten werden sicher in einem elektronischen Umfeld oder in Papierform aufbewahrt, um den unrechtmäßigen Zugang zu den Daten oder die Übermittlung der Daten an Personen, die nicht auf deren Kenntnis angewiesen sind, zu verhindern. Die verarbeiteten personenbezogenen Daten werden nicht länger aufbewahrt, als es für die Zwecke, für die sie verarbeitet werden, notwendig und angemessen ist; der Aufbewahrungszeitraum ist in den Datenschutzhinweisen, Datenschutzerklärungen oder Verzeichnissen von Fusion for Energy angegeben. |
|
(9) |
Diese internen Vorschriften sollten auch für Verarbeitungsvorgänge gelten, die vor der Einleitung der in Erwägungsgrund 5 genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen vorgenommen werden. Dazu sollte auch die Unterstützung und Zusammenarbeit gehören, die Fusion for Energy außerhalb der eigenen administrativen Untersuchungen für nationale Behörden und internationale Organisationen leistet. Diese internen Vorschriften sollten auch für Tätigkeiten im Zusammenhang mit der Zusammenarbeit mit Organen und Einrichtungen der EU und der Übermittlung von Informationen über eine Verwaltungsuntersuchung oder ein Disziplinarverfahren an diese Organe und Einrichtungen gelten. Zu diesem Zweck sollte Fusion for Energy diese Organe, Einrichtungen und sonstigen Stellen, Behörden oder Organisationen zu den Gründen für die Beschränkungen sowie zur Notwendigkeit und Verhältnismäßigkeit der Beschränkungen konsultieren. |
|
(10) |
In Fällen, in denen diese internen Vorschriften Anwendung finden, muss Fusion for Energy die Gründe dafür darlegen, dass die Beschränkungen in einer demokratischen Gesellschaft unbedingt notwendig und verhältnismäßig sind und den Wesensgehalt der Grundrechte und Grundfreiheiten achten. |
|
(11) |
In diesem Rahmen achtet Fusion for Energy in den vorgenannten Verfahren im größtmöglichen Umfang die Grundrechte der betroffenen Personen, insbesondere deren Rechte in Bezug auf Unterrichtung, Auskunft und Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen sowie Vertraulichkeit der Kommunikation, so wie diese in der Verordnung (EU) 2018/1725 verankert sind. |
|
(12) |
Fusion for Energy kann jedoch verpflichtet sein, die Unterrichtung betroffener Personen und Rechte anderer betroffener Personen zu beschränken, um insbesondere seine eigenen Untersuchungen, die Untersuchungen und Verfahren anderer Behörden sowie die Rechte anderer Personen im Zusammenhang mit seinen eigenen Untersuchungen oder anderen Verfahren zu schützen. |
|
(13) |
Fusion for Energy kann daher die Unterrichtung zum Zweck des Schutzes der Untersuchung sowie der Grundrechte und Grundfreiheiten anderer betroffener Personen beschränken. Fusion for Energy kann insbesondere die Unterrichtung zurückstellen, um seine eigenen Verwaltungsuntersuchungen und Disziplinarverfahren, die Untersuchungen und Verfahren anderer Behörden sowie die Identität von Informanten und anderen Verfahrensbeteiligten wie zum Beispiel Whistleblowern und Zeugen, denen durch ihre Kooperation keine nachteiligen Folgen entstehen sollen, zu schützen. Gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 kann der Verantwortliche die Unterrichtung der betroffenen Person über die Gründe für die Anwendung einer Beschränkung zurückstellen oder ablehnen, wenn die Unterrichtung die Wirkung der angewandten Beschränkung zunichtemachen würde. |
|
(14) |
Fusion for Energy sollte regelmäßig überprüfen, dass die Voraussetzungen, welche die Beschränkung rechtfertigen, erfüllt sind, und die Beschränkung aufheben, wenn diese nicht länger gegeben sind. |
|
(15) |
Der Verantwortliche sollte den Datenschutzbeauftragten (im Folgenden: DSB) zu dem Zeitpunkt, zu dem die Auskunft zurückgestellt wird oder sonstige Beschränkungen der Rechte der betroffenen Person angewandt werden, sowie während der Überprüfungen unterrichten — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
Artikel 1
Gegenstand und Anwendungsbereich
(1) Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen Fusion for Energy im Rahmen seiner unter Absatz 2 aufgeführten Verfahren gemäß Artikel 25 der Verordnung (EU) 2018/1725 befugt ist, die Anwendung der in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 der Verordnung verankerten Rechte zu beschränken.
(2) Im Rahmen der Verwaltungstätigkeit von Fusion for Energy findet dieser Beschluss Anwendung, soweit Fusion for Energy personenbezogene Daten verarbeitet, um Verwaltungsuntersuchungen und Disziplinarverfahren durchzuführen wie auch um erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten zu ergreifen, die Meldung von Missständen (Whistleblowing) zu bearbeiten, (formelle sowie informelle) Verfahren in Bezug auf Mobbing durchzuführen, interne und externe Beschwerden zu bearbeiten, medizinische Daten zu verarbeiten, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie (IT-)Sicherheitsuntersuchungen intern oder unter externer Mitwirkung (z. B. von CERT-EU) durchzuführen.
Dieser Beschluss sollte auch auf die Unterstützung und Zusammenarbeit Anwendung finden, die Fusion for Energy außerhalb der eigenen administrativen Untersuchungen für nationale Behörden und internationale Organisationen leistet.
Des Weiteren gilt dieser Beschluss für Tätigkeiten im Zuge der Zusammenarbeit und der Übermittlung von Verwaltungsuntersuchungen oder Disziplinarverfahren betreffenden Informationen an Organe und Einrichtungen der EU, wenn der Empfänger die Informationen zur Prüfung der Gründe für die Einleitung formeller Untersuchungen oder Verfahren benötigt.
(3) Die entsprechenden Kategorien personenbezogener Daten umfassen harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang damit vorgebracht werden).
(4) Bei der Wahrnehmung seiner Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 prüft Fusion for Energy, ob eine der in dieser Verordnung vorgesehenen Ausnahmen gegeben ist.
(5) Vorbehaltlich der in diesem Beschluss festgelegten Voraussetzungen können die folgenden Rechte beschränkt werden: die Rechte auf Information der betroffenen Personen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen sowie Vertraulichkeit der Kommunikation.
Artikel 2
Angabe des Verantwortlichen und Garantien
(1) Zur Vermeidung von Verletzungen des Schutzes personenbezogener Daten, Datenverlusten oder unbefugtem Zugang zu personenbezogenen Daten bestehen die folgenden Garantien:
|
a) |
Dokumente in Papierform werden in gesicherten Schränken aufbewahrt und ausschließlich befugtem Personal zugänglich gemacht. |
|
b) |
Alle elektronischen Daten werden in einer sicheren IT-Anwendung gemäß den Sicherheitsstandards von Fusion for Energy sowie in speziellen elektronischen Ordnern gespeichert, die ausschließlich befugtem Personal zugänglich sind. Angemessene Zugangsrechte werden auf individueller Basis erteilt. |
|
c) |
Der Schutz der Datenbank erfolgt durch ein System mit einmaliger Anmeldung mit Kennwort und automatischer Verbindung mit Benutzerkennung und Kennwort (Single Sign-on-System). Benutzer auszutauschen ist streng verboten. Elektronische Aufzeichnungen werden sicher aufbewahrt, um die Vertraulichkeit und den Schutz der darin enthaltenen Daten zu garantieren. |
|
d) |
Alle Personen, die Zugang zu den Daten haben, sind zur Geheimhaltung verpflichtet. |
(2) Der für die Verarbeitungsvorgänge Verantwortliche ist Fusion for Energy, vertreten durch seinen Direktor, der die Funktion des Verantwortlichen delegieren kann. Die Person, an welche die Verantwortung für die Verarbeitung delegiert wird, wird den betroffenen Personen in den Datenschutzhinweisen oder -aufzeichnungen mitgeteilt, die auf der Website und/oder im Intranet von Fusion for Energy veröffentlicht werden.
(3) Die Aufbewahrungsfrist für die in Artikel 1 Absatz 3 genannten personenbezogenen Daten ist nicht länger als für die Datenverarbeitungszwecke notwendig und angemessen. Sie darf keinesfalls länger sein als die Aufbewahrungsfrist, die in den Datenschutzhinweisen, Datenschutzerklärungen oder Verzeichnissen angegeben ist, auf die in Artikel 5 Absatz 1 Bezug genommen wird.
(4) Wenn Fusion for Energy die Anwendung einer Beschränkung in Betracht zieht, sind die Risiken für die Rechte und Freiheiten der betroffenen Person abzuwägen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko, dass die Wirksamkeit der von Fusion for Energy durchgeführten Untersuchungen oder Verfahren zunichtegemacht wird, z. B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten anderer betroffener Personen betreffen in erster Linie (jedoch nicht nur) Reputationsrisiken sowie Risiken für das Verteidigungsrecht und den Anspruch auf rechtliches Gehör.
Artikel 3
Beschränkungen
(1) Beschränkungen werden von Fusion for Energy nur zu folgenden Zwecken vorgenommen:
|
a) |
zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit; |
|
b) |
zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere der Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich bzw. im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit; |
|
c) |
zur inneren Sicherheit der Organe und Einrichtungen der Union, einschließlich ihrer elektronischen Kommunikationsnetze; |
|
d) |
zum Schutz der Unabhängigkeit der Justiz und zum Schutz von Gerichtsverfahren; |
|
e) |
zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe; |
|
f) |
zum Schutz der Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a und c genannten Zwecke verbunden sind; |
|
g) |
zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; |
|
h) |
zur Durchsetzung zivilrechtlicher Ansprüche. |
(2) Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann Fusion for Energy für personenbezogene Daten, die mit Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden, unter folgenden Umständen Beschränkungen anwenden:
|
a) |
wenn die Ausübung dieser Rechte und Pflichten von Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union aufgrund anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder gemäß Kapitel IX der genannten Verordnung oder gemäß den Gründungsakten anderer Organe, Einrichtungen und sonstiger Stellen der Union beschränkt werden könnte; |
|
b) |
wenn die Ausübung dieser Rechte und Pflichten von zuständigen Behörden der Mitgliedstaaten aufgrund der in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) genannten Rechtsakte oder im Rahmen nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (5) beschränkt werden könnte; |
|
c) |
wenn die Ausübung dieser Rechte und Pflichten die Zusammenarbeit von Fusion for Energy mit Drittländern oder internationalen Organisationen bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnte. |
Vor der Anwendung von Beschränkungen unter den in Unterabsatz 1 Buchstaben a und b genannten Umständen konsultiert Fusion for Energy die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, für Fusion for Energy ist klar, dass die Anwendung einer Beschränkung in einem der in diesen Buchstaben genannten Rechtsakte vorgesehen ist.
(3) Jede Beschränkung muss im Hinblick auf die Risiken für die Rechte und Freiheiten der betroffenen Personen notwendig und verhältnismäßig sein und den Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft achten.
(4) Wird eine Beschränkung in Betracht gezogen, ist deren Notwendigkeit und Verhältnismäßigkeit auf Grundlage der vorliegenden Vorschriften zu prüfen. Zu Rechenschaftszwecken wird dies von Fall zu Fall mittels einer internen Beurteilungsmitteilung dokumentiert.
(5) Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr vorliegen. Dies gilt insbesondere, wenn nicht mehr anzunehmen ist, dass die Ausübung des beschränkten Rechts die Wirkung der verhängten Beschränkung zunichtemachen oder die Rechte oder Freiheiten anderer betroffener Personen beeinträchtigen würde.
Artikel 4
Prüfung durch den Datenschutzbeauftragten
(1) Fusion for Energy (der Verantwortliche) unterrichtet den eigenen Datenschutzbeauftragten (im Folgenden: DSB) unverzüglich, wenn der Verantwortliche Rechte betroffener Personen gemäß diesem Beschluss beschränkt oder eine solche Beschränkung ausweitet. Der Verantwortliche gewährt dem DSB Zugang zu den Aufzeichnungen, die die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthalten, und dokumentiert das Datum, an dem der DSB unterrichtet wird, in den Aufzeichnungen.
(2) Der DSB kann den Verantwortlichen schriftlich auffordern, die vorgenommenen Beschränkungen zu überprüfen. Der Verantwortliche informiert den DSB schriftlich über das Ergebnis der erbetenen Überprüfung.
(3) Der Verantwortliche informiert den DSB über die Aufhebung der Beschränkung.
Artikel 5
Unterrichtung der betroffenen Person
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Unterrichtung im Rahmen der folgenden Verarbeitungsvorgänge beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände (Whistleblowing); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
interne Prüfungen (Audits); |
|
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
h) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen. |
Fusion for Energy nimmt in die auf seiner Website veröffentlichten und/oder im Intranet verbreiteten Datenschutzhinweise, Datenschutzerklärungen oder Verzeichnisse im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, in denen betroffene Personen über ihre Rechte im Rahmen eines gegebenen Verfahrens informiert werden, Informationen über die mögliche Beschränkung dieser Rechte auf. Darin ist darüber zu informieren, welche Rechte eingeschränkt werden können.
(2) Unbeschadet der Bestimmungen in Absatz 3 dieses Artikels informiert Fusion for Energy, sofern dies verhältnismäßig ist, auch alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, unverzüglich einzeln schriftlich über ihre Rechte bezüglich gegenwärtiger oder künftiger Beschränkungen.
(3) Wenn Fusion for Energy die in Absatz 2 vorgesehene Unterrichtung der betroffenen Personen ganz oder zum Teil beschränkt, sind die Gründe für die Beschränkung, die Rechtsgrundlage gemäß Artikel 3 dieses Beschlusses einschließlich der Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung in einem Vermerk festzuhalten.
Der Vermerk sowie gegebenenfalls die Unterlagen, die die tatsächlichen und rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Verlangen zur Verfügung gestellt.
(4) Eine nach Absatz 3 vorgenommene Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen.
Fusion for Energy unterrichtet die betroffene Person über die Hauptgründe für die Beschränkung. Gleichzeitig informiert Fusion for Energy die betroffene Person über ihr Recht, jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.
Die Beschränkung wird von Fusion for Energy nach ihrer Anordnung alle sechs Monate sowie bei Abschluss der jeweiligen Ermittlungen, Verfahren oder Untersuchungen überprüft. Danach überwacht der Verantwortliche alle sechs Monate die Notwendigkeit der Aufrechterhaltung einer Beschränkung.
Artikel 6
Recht der betroffenen Person auf Auskunft
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Auskunft, sofern dies notwendig und verhältnismäßig ist, im Zusammenhang mit den folgenden Verarbeitungsvorgängen beschränken:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände (Whistleblowing); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
Verarbeitung medizinischer Daten, wobei dies jedoch nur in bestimmten Fällen gerechtfertigt ist (6); |
|
g) |
interne Prüfungen (Audits); |
|
h) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
i) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen. |
Verlangen betroffene Personen gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre personenbezogenen Daten, die im Zusammenhang mit einem oder mehreren spezifischen Fällen verarbeitet wurden, oder über einen spezifischen Datenverarbeitungsvorgang, beschränkt Fusion for Energy seine Antragsprüfung auf diese personenbezogenen Daten.
(2) Beschränkt Fusion for Energy das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Auskunftsrecht ganz oder zum Teil, ergreift es die folgenden Maßnahmen:
|
a) |
In seiner Antwort auf den Antrag unterrichtet es die betroffene Person über die vorgenommene Beschränkung und die Hauptgründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen. |
|
b) |
In einem internen Beurteilungsvermerk notiert es die Gründe für die Beschränkung, einschließlich einer Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung und ihrer Dauer. |
Die Unterrichtung über Informationen im Sinne von Buchstabe a kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewandten Beschränkung zunichtemachen würde.
Die Beschränkung wird von Fusion for Energy nach ihrer Anordnung alle sechs Monate sowie bei Abschluss der jeweiligen Ermittlungen, Verfahren oder Untersuchungen überprüft. Danach überwacht der Verantwortliche alle sechs Monate, ob die Aufrechterhaltung der Beschränkung weiterhin notwendig ist.
(3) Der Vermerk sowie gegebenenfalls die Unterlagen, die die tatsächlichen und rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Verlangen zur Verfügung gestellt.
Artikel 7
Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung im Rahmen der folgenden Verarbeitungsvorgänge beschränken, sofern dies notwendig und verhältnismäßig ist:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände (Whistleblowing); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
Verarbeitung medizinischer Daten, wobei dies jedoch nur in bestimmten Fällen gerechtfertigt ist (7); |
|
g) |
interne Prüfungen (Audits); |
|
h) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
i) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen. |
(2) Beschränkt Fusion for Energy das in den Artikeln 18, 19 Absatz 1 und 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder zum Teil, finden Artikel 6 Absätze 2 und 3 dieses Beschlusses Anwendung.
Artikel 8
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person und Vertraulichkeit der elektronischen Kommunikation
(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten beschränken, sofern dies im Rahmen der folgenden Verarbeitungsvorgänge notwendig und verhältnismäßig ist:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände (Whistleblowing); |
|
d) |
(formelle und informelle) Verfahren in Bezug auf Mobbing; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
interne Prüfungen (Audits); |
|
g) |
vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen; |
|
h) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen. |
(2) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Vertraulichkeit der elektronischen Kommunikation beschränken, sofern dies im Rahmen der folgenden Verarbeitungsvorgänge notwendig und verhältnismäßig ist:
|
a) |
Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren; |
|
b) |
erste Maßnahmen im Zusammenhang mit dem OLAF gemeldeten Fällen möglicher Unregelmäßigkeiten; |
|
c) |
Verfahren in Bezug auf gemeldete Missstände (Whistleblowing); |
|
d) |
formelle Verfahren in Bezug auf Mobbing; |
|
e) |
Bearbeitung interner und externer Beschwerden; |
|
f) |
intern oder unter externer Mitwirkung (z. B. durch die CERT-EU) durchgeführte (IT-)Sicherheitsüberprüfungen. |
(3) Beschränkt Fusion for Energy die in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannten Rechte auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation, finden die Bestimmungen in Artikel 5 Absätze 3 und 4 dieses Beschlusses Anwendung.
Artikel 9
Inkrafttreten
Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Geschehen zu Barcelona am 9. Dezember 2019.
Für Fusion for Energy
Joaquín SÁNCHEZ
Vorsitzender des Vorstands
(1) ABl. L 295 vom 21.11.2018, S. 39.
(2) ABl. L 90 vom 30.3.2007, S. 58.
(3) ABl. L 248 vom 18.9.2013, S. 1.
(4) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(5) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
(6) Diese Situationen werden im einschlägigen Datenschutzhinweis erklärt (z. B. die Einsichtnahme in die medizinische Akte in Gegenwart des Betriebsarztes von F4E); eine allgemeine Beschränkung der Einsichtnahme in persönliche Notizen von Ärzten im Rahmen des Arbeitsunfähigkeitsverfahrens, entsprechend der in Artikel 25 Absatz 1 Buchstabe h der neuen Verordnung vorgesehenen Beschränkung (d. h. der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen).
(7) Diese Situationen sind im einschlägigen Datenschutzhinweis erklärt (z. B. ist die Berichtigung auf administrative Daten beschränkt).
Berichtigungen
|
10.2.2020 |
DE |
Amtsblatt der Europäischen Union |
L 37/26 |
Berichtigung der Verordnung (EU) 2018/848 des Europäischen Parlaments und des Rates vom 30. Mai 2018 über die ökologische/biologische Produktion und die Kennzeichnung von ökologischen/biologischen Erzeugnissen sowie zur Aufhebung der Verordnung (EG) Nr. 834/2007 des Rates
( Amtsblatt der Europäischen Union L 150 vom 14. Juni 2018 )
Gesamter Text:
Der Begriff „Kaltscharrraum“ bzw. „Kaltscharrräume“ wird in der Verordnung durchgehend durch den Begriff „Veranda“ bzw. „Veranden“ in der entsprechenden grammatikalischen Form ersetzt.