24.5.2016

DE

Amtsblatt der Europäischen Union

L 135/53

---

VERORDNUNG (EU) 2016/794 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 11. Mai 2016

über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 88,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

gemäß dem ordentlichen Gesetzgebungsverfahren (1),

in Erwägung nachstehender Gründe:

(1)

Europol wurde durch den Beschluss 2009/371/JI des Rates (2) als eine aus dem Gesamthaushaltsplan der Union finanzierte Stelle der Union errichtet, die die Aufgabe hat, die Tätigkeit der zuständigen Behörden der Mitgliedstaaten sowie deren Zusammenarbeit bei der Prävention und Bekämpfung von organisierter Kriminalität, Terrorismus und anderen Formen schwerer Kriminalität zu unterstützen und zu verstärken, wenn zwei oder mehr Mitgliedstaaten betroffen sind. Der Beschluss 2009/371/JI ersetzte das Übereinkommen aufgrund von Artikel K.3 des Vertrags über die Europäische Union über die Errichtung eines Europäischen Polizeiamts (Europol-Übereinkommen) (3).

(2)

Nach Artikel 88 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) werden die Tätigkeiten und die Funktionsweise von Europol durch eine gemäß dem ordentlichen Gesetzgebungsverfahren angenommene Verordnung geregelt. In dem genannten Artikel ist ferner vorgesehen, dass Verfahren für die Kontrolle der Tätigkeiten von Europol durch das Europäische Parlament festgelegt werden und dass an dieser Kontrolle die nationalen Parlamente — im Einklang mit Artikel 12 Buchstabe c des Vertrags über die Europäische Union (EUV) und Artikel 9 des dem EUV und dem AEUV beigefügten Protokolls Nr. 1 über die Rolle der nationalen Parlamente in der Europäischen Union (im Folgenden „Protokoll Nr. 1“) — beteiligt werden, um die demokratische Legitimität und Rechenschaftspflicht von Europol gegenüber den Unionsbürgern zu stärken. Daher sollte der Beschluss 2009/371/JI durch eine Verordnung ersetzt werden, die unter anderem Regeln für die parlamentarische Kontrolle festlegt.

(3)

Gemäß dem „Stockholmer Programm — Ein offenes und sicheres Europa im Dienste und zum Schutz der Bürger“ (4) soll Europol zu „einem Knotenpunkt des Informationsaustauschs zwischen den Strafverfolgungsbehörden der Mitgliedstaaten, einem Diensteanbieter und einer Plattform für Strafverfolgungsdienste“ weiterentwickelt werden. Die Bewertung der Arbeitsweise von Europol hat ergeben, dass ihre operative Effizienz verbessert werden muss, wenn dieses Ziel erreicht werden soll.

(4)

Große kriminelle oder terroristische Netze stellen eine erhebliche Bedrohung für die innere Sicherheit in der Union und für die Sicherheit und die Lebensbedingungen der Unionsbürger dar. Aktuelle Bedrohungsanalysen haben ergeben, dass kriminelle Gruppen immer häufiger in mehreren verschiedenen Kriminalitätsbereichen und über Landesgrenzen hinweg aktiv sind. Es ist daher notwendig, dass die nationalen Strafverfolgungsbehörden der Mitgliedstaaten mehr und enger untereinander zusammenarbeiten. In diesem Zusammenhang ist es erforderlich, Europol für eine bessere Unterstützung der Mitgliedstaaten bei der unionsweiten Verhütung, Analyse und Untersuchung von Straftaten auszurüsten. Dies wurde auch bei der Evaluierung des Beschlusses 2009/371/JI deutlich.

(5)

Diese Verordnung zielt darauf ab, die Regelungen des Beschlusses 2009/371/JI sowie der Beschlüsse 2009/934/JI (5), 2009/935/JI (6), 2009/936/JI (7) und 2009/968/JI (8) des Rates zur Umsetzung des Beschlusses 2009/371/JI zu ändern und zu erweitern. Da die vorzunehmenden Änderungen, sowohl was ihre Anzahl als auch was ihre Art betrifft, wesentlich sind, sollten diese Beschlüsse im Interesse der Klarheit in Bezug auf die durch diese Verordnung gebundenen Mitgliedstaaten vollständig ersetzt werden. Die durch diese Verordnung errichtete Agentur Europol sollte die Aufgaben des durch den Beschluss 2009/371/JI errichteten Europäischen Polizeiamts (Europol) übernehmen und wahrnehmen; der Beschluss 2009/371/JI sollte daher aufgehoben werden.

(6)

Da schwere Kriminalität häufig nicht an Landesgrenzen Halt macht, sollte Europol Tätigkeiten der Mitgliedstaaten sowie deren Zusammenarbeit bei der Verhütung und Bekämpfung der zwei oder mehr Mitgliedstaaten betreffenden schweren Kriminalität unterstützen und verstärken. Da der Terrorismus eine der größten Bedrohungen für die Sicherheit in der Union darstellt, sollte Europol die Mitgliedstaaten bei der Bewältigung gemeinsamer Herausforderungen auf diesem Gebiet unterstützen. Als Strafverfolgungsagentur der Union sollte Europol zudem Maßnahmen und Kooperationen zur Bekämpfung von gegen die Interessen der Union gerichteten Straftaten unterstützen und verstärken. Unter den Kriminalitätsformen, deren Bekämpfung in die Zuständigkeit von Europol fällt, wird die Bekämpfung der organisierten Kriminalität auch weiterhin zu den Hauptzielen von Europol gehören, da diese aufgrund ihres Umfangs, ihrer Bedeutung und ihrer Folgen ein gemeinsames Vorgehen der Mitgliedstaaten erforderlich macht. Europol sollte ferner Hilfe bei der Verhütung und Bekämpfung damit in Zusammenhang stehender Straftaten anbieten, die begangen werden, um die Mittel zur Begehung von in den Zuständigkeitsbereich von Europol fallenden Handlungen zu beschaffen, um solche Handlungen zu erleichtern oder durchzuführen oder um dafür zu sorgen, dass sie straflos bleiben.

(7)

Europol sollte strategische Analysen und Bedrohungsanalysen erstellen, um den Rat und die Kommission bei der Festlegung der vorrangigen strategischen und operativen Ziele der Union im Bereich der Kriminalitätsbekämpfung und bei der operativen Umsetzung dieser Ziele zu unterstützen. Auf Ersuchen der Kommission gemäß Artikel 8 der Verordnung (EU) Nr. 1053/2013 des Rates (9) sollte Europol auch Risikoanalysen, einschließlich Risikoanalysen betreffend organisierte Kriminalität, durchführen, soweit die betroffenen Risiken die Anwendung des Schengen-Besitzstands durch die Mitgliedstaaten beeinträchtigen können. Darüber hinaus sollte Europol gegebenenfalls auf Ersuchen des Rates oder der Kommission strategische Analysen und Bedrohungsanalysen erstellen, um zur Evaluierung von Staaten, die sich um den Beitritt zur Union bewerben, beizutragen.

(8)

Angriffe auf Informationssysteme, die Unionseinrichtungen oder zwei oder mehr Mitgliedstaaten betreffen, stellen eine zunehmende Bedrohung in der Union dar, insbesondere angesichts ihrer Geschwindigkeit und Auswirkungen sowie der Schwierigkeiten, deren Quellen zu ermitteln. Bei der Prüfung von Ersuchen seitens Europols, Ermittlungen in Bezug auf einen schweren, vermutlich kriminell motivierten Angriff auf Informationssysteme, der Unionseinrichtungen oder zwei oder mehr Mitgliedstaaten betrifft, einzuleiten, sollten die Mitgliedstaaten Europol vor dem Hintergrund dessen, dass eine rasche Reaktion für die erfolgreiche Bekämpfung der Computerkriminalität von entscheidender Bedeutung ist, unverzüglich antworten.

(9)

Angesichts der Bedeutung der agenturenübergreifenden Zusammenarbeit sollten Europol und Eurojust dafür sorgen, dass die erforderlichen Vorkehrungen getroffen werden, um ihre operative Zusammenarbeit möglichst optimal zu gestalten, wobei ihren jeweiligen Aufgaben und Mandaten sowie den Interessen der Mitgliedstaaten Rechnung zu tragen ist. Europol und Eurojust sollten insbesondere einander über alle Tätigkeiten unterrichten, die die Finanzierung gemeinsamer Ermittlungsgruppen erfordern.

(10)

Wird eine gemeinsame Ermittlungsgruppe eingerichtet, sollten die Bedingungen für die Teilnahme von Europol-Personal an der Gruppe in der entsprechenden Vereinbarung festgelegt werden. Europol sollte ihre Teilnahme an solchen gemeinsamen Ermittlungsgruppen, die mit der Bekämpfung von unter die Ziele von Europol fallenden kriminellen Tätigkeiten befasst sind, protokollieren.

(11)

Europol sollte die Mitgliedstaaten ersuchen können, in bestimmten Fällen, in denen eine grenzübergreifende Zusammenarbeit einen Zusatznutzen erbringen würde, strafrechtliche Ermittlungen einzuleiten, durchzuführen oder zu koordinieren. Europol sollte Eurojust von derartigen Ersuchen in Kenntnis setzen.

(12)

Europol sollte als Knotenpunkt für den Informationsaustausch in der Union fungieren. Die von Europol erhobenen, gespeicherten, verarbeiteten, analysierten und ausgetauschten Informationen umfassen auch strafrechtlich relevante Erkenntnisse zu unter die Ziele von Europol fallenden Straftaten oder kriminellen Tätigkeiten, die gewonnen wurden, um festzustellen, ob konkrete kriminelle Handlungen begangen wurden oder möglicherweise in der Zukunft begangen werden.

(13)

Um die Wirksamkeit von Europol als Knotenpunkt für den Informationsaustausch zu gewährleisten, sollten die Pflichten der Mitgliedstaaten bezüglich der Übermittlung von Daten, die Europol benötigt, damit es die von ihr verfolgten Ziele erreichen kann, eindeutig festgelegt werden. Die Mitgliedstaaten sollten bei der Erfüllung dieser Pflichten besonders darauf achten, dass sich die übermittelten Daten auf die Bekämpfung von Kriminalitätsformen beziehen, denen in den einschlägigen politischen Instrumenten der Union vorrangige strategische und operative Bedeutung beigemessen wird; insbesondere sollten sie auf die Prioritäten abstellen, die der Rat im Rahmen des EU-Politikzyklus zur Bekämpfung der organisierten und schweren internationalen Kriminalität festgelegt hat. Die Mitgliedstaaten sollten sich zudem darum bemühen, Informationen, die sie auf bilateraler oder multilateraler Ebene mit anderen Mitgliedstaaten über unter die Ziele von Europol fallende Straftaten austauschen, jeweils in Kopie an Europol zu übermitteln. Wenn die Mitgliedstaaten Europol die erforderlichen Informationen zur Verfügung stellen, sollten sie auch Informationen zu mutmaßlichen Cyber-Angriffen, die Unionseinrichtungen mit Sitz in ihrem Hoheitsgebiet betreffen, übermitteln. Die gegenseitige Zusammenarbeit und der Informationsaustausch sollten zugleich durch eine stärkere Unterstützung der Mitgliedstaaten durch Europol intensiviert werden. Europol sollte dem Europäischen Parlament, dem Rat, der Kommission und den nationalen Parlamenten einen jährlichen Bericht über die von den einzelnen Mitgliedstaaten übermittelten Informationen vorlegen.

(14)

Um eine effiziente Zusammenarbeit zwischen Europol und den Mitgliedstaaten sicherzustellen, sollte in jedem Mitgliedstaat eine nationale Stelle (im Folgenden „nationale Stelle“) eingerichtet werden. Die nationale Stelle sollte die Verbindungsstelle zwischen den zuständigen nationalen Behörden und Europol sein und somit eine koordinierende Rolle hinsichtlich der Zusammenarbeit der Mitgliedstaaten mit Europol wahrnehmen und auf diese Weise dazu beitragen, sicherzustellen, dass die Mitgliedstaaten einheitlich auf die Ersuchen von Europol reagieren. Jede nationale Stelle sollte mindestens einen Verbindungsbeamten zu Europol entsenden, um einen kontinuierlichen und wirksamen Informationsaustausch zwischen Europol und den nationalen Stellen sicherzustellen und die gegenseitige Zusammenarbeit zu erleichtern.

(15)

Aufgrund der dezentralen Struktur mancher Mitgliedstaaten sollte Europol, wenn ein rascher Informationsaustausch vonnöten ist, vorbehaltlich der von den Mitgliedstaaten festgelegten Bedingungen unmittelbar mit zuständigen Behörden in den Mitgliedstaaten zusammenarbeiten dürfen, darüber aber die nationalen Stellen auf deren Ersuchen hin auf dem Laufenden halten müssen.

(16)

Die Einrichtung gemeinsamer Ermittlungsgruppen sollte gefördert werden, und Europol-Bedienstete sollten daran teilnehmen können. Um sicherzustellen, dass eine derartige Teilnahme in jedem Mitgliedstaat möglich ist, sieht die Verordnung (Euratom, EGKS, EWG) Nr. 549/69 des Rates (10) vor, dass für Europol-Bedienstete während ihrer Teilnahme an gemeinsamen Ermittlungsgruppen keine Befreiungen gelten.

(17)	Außerdem muss Europol durch Erzielung von Effizienzgewinnen und Verschlankung ihrer Arbeitsverfahren besser aufgestellt werden.

(18)

Die Kommission und die Mitgliedstaaten sollten im Verwaltungsrat von Europol (im Folgenden „Verwaltungsrat“) vertreten sein, um dessen Arbeit wirksam beaufsichtigen zu können. Die Mitglieder und die stellvertretenden Mitglieder des Verwaltungsrats sollten unter Berücksichtigung ihrer relevanten Qualifikationen auf dem Gebiet des Managements, der Verwaltung und des Haushalts sowie ihrer Kenntnisse im Bereich der Strafverfolgungszusammenarbeit ernannt werden. In Abwesenheit des Mitglieds sollte das stellvertretende Mitglied als Mitglied fungieren.

(19)	Alle im Verwaltungsrat vertretenen Parteien sollten sich um eine Begrenzung der Fluktuation ihrer Vertreter bemühen, um die Kontinuität der Arbeiten des Verwaltungsrats zu gewährleisten. Alle Parteien sollten eine ausgewogene Vertretung von Männern und Frauen im Verwaltungsrat anstreben.

(20)	Der Verwaltungsrat sollte nichtstimmberechtigte Beobachter, deren Stellungnahme von Belang für die Beratungen sein kann, einschließlich eines vom Gemeinsamen parlamentarischen Kontrollausschuss benannten Vertreters, einladen können.

(21)

Der Verwaltungsrat sollte mit den nötigen Befugnissen ausgestattet werden, um insbesondere den Haushaltsplan aufzustellen, seinen Vollzug zu überprüfen und entsprechende Finanzbestimmungen und Planungsdokumente zu erlassen, Regeln für die Vermeidung und Beilegung von Interessenkonflikten in Bezug auf seine Mitglieder anzunehmen, transparente Arbeitsverfahren für die Beschlussfassung durch den Exekutivdirektor von Europol festzulegen und den jährlichen Tätigkeitsbericht anzunehmen. Der Verwaltungsrat sollte gegenüber den Bediensteten der Agentur einschließlich des Exekutivdirektors die Befugnisse der Anstellungsbehörde ausüben.

(22)

Um einen effizienten laufenden Betrieb von Europol sicherzustellen, sollte der Exekutivdirektor der rechtliche Vertreter und Leiter von Europol sein, seinen Aufgaben unabhängig nachkommen können und sicherstellen, dass Europol die in dieser Verordnung vorgesehenen Aufgaben erfüllt. Insbesondere sollte er für die Ausarbeitung der dem Verwaltungsrat zur Beschlussfassung vorzulegenden Haushalts- und Planungsdokumente sowie für die Umsetzung der mehrjährigen Programmplanung, der jährlichen Arbeitsprogramme und sonstiger Planungsdokumente Europols zuständig sein.

(23)

Um die unter die Ziele von Europol fallenden Straftaten verhüten und bekämpfen zu können, benötigt Europol möglichst umfassende und aktuelle Informationen. Daher sollte Europol in der Lage sein, ihr von Mitgliedstaaten, Unionseinrichtungen, Drittstaaten, internationalen Organisationen und — unter in dieser Verordnung festgelegten strengen Bedingungen — von privaten Parteien übermittelte oder aus öffentlichen Quellen stammende Daten zu verarbeiten, um kriminelle Erscheinungsformen und Entwicklungstrends erkennen, Informationen über kriminelle Netze zusammentragen und Zusammenhänge zwischen Straftaten unterschiedlicher Art aufdecken zu können.

(24)

Damit Europol den zuständigen Behörden der Mitgliedstaaten genauere Kriminalitätsanalysen zur Verfügung stellen kann, sollte sie bei der Datenverarbeitung auf neue Technologien zurückgreifen. Europol sollte imstande sein, Zusammenhänge zwischen Ermittlungen und typischen Vorgehensweisen unterschiedlicher krimineller Gruppen rasch zu erkennen, bei Datenabgleichen ermittelte Übereinstimmungen zu überprüfen und sich einen klaren Überblick über Entwicklungstrends zu verschaffen, gleichzeitig aber auch hohe Standards in Bezug auf den Schutz personenbezogener Daten zu gewährleisten. Daher sollten die Datenbanken Europols so strukturiert sein, dass es Europol ermöglicht wird, die effizienteste IT-Struktur selbst auszuwählen. Europol sollte ferner imstande sein, als Diensteanbieter zu fungieren, insbesondere indem sie ein sicheres Netz für den Datenaustausch, wie z. B. die Netzanwendung für sicheren Datenaustausch (SIENA), mit dem Ziel zur Verfügung stellt, den Informationsaustausch zwischen den Mitgliedstaaten, Europol, anderen Unionseinrichtungen, Drittstaaten und internationalen Organisationen zu erleichtern. Um die Einhaltung hoher Datenschutzstandards zu gewährleisten, sollte geregelt werden, zu welchen Zwecken Daten verarbeitet werden dürfen, welche Datenzugriffsrechte bestehen und welche zusätzlichen Garantien im Einzelnen sichergestellt sein müssen. Insbesondere sollten die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit bei der Verarbeitung von personenbezogenen Daten beachtet werden.

(25)

Europol sollte gewährleisten, dass alle personenbezogenen Daten, die für operative Analysen verarbeitet werden, einem bestimmten Zweck zugeordnet werden. Damit Europol ihren Auftrag erfüllen kann, sollte sie jedoch alle erhaltenen personenbezogenen Daten zu dem Zweck verarbeiten können, Bezüge zwischen verschiedenen Kriminalitätsbereichen und Ermittlungen festzustellen, und sollte nicht darauf beschränkt sein, allein Verbindungen innerhalb eines einzigen Kriminalitätsbereichs ermitteln zu dürfen.

(26)

Um Eigentumsrechte an Daten und den Schutz von personenbezogenen Daten zu wahren, sollten die Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationale Organisationen den Zweck oder die Zwecke, zu dem/denen Europol von ihnen übermittelte Daten verarbeiten darf, festlegen und die Zugriffsrechte einschränken können. Zweckbegrenzung ist ein Grundprinzip der Verarbeitung personenbezogener Daten; insbesondere trägt sie zu Transparenz, rechtlicher Sicherheit und Berechenbarkeit bei und ist insbesondere bei der Zusammenarbeit im Bereich der Strafverfolgung von großer Bedeutung, in dem sich betroffene Personen für gewöhnlich nicht darüber bewusst sind, dass ihre personenbezogenen Daten erhoben und verarbeitet werden, und in dem die Nutzung von personenbezogenen Daten sehr bedeutende Auswirkungen auf das Leben und die Freiheiten des Einzelnen haben kann.

(27)

Damit nur Personen auf die Daten zugreifen können, die den Zugang benötigen, um ihren Aufgaben nachkommen zu können, sollten in dieser Verordnung ausführliche Bestimmungen über Zugriffsrechte unterschiedlichen Umfangs für die von Europol verarbeiteten Daten niedergelegt werden. Diese Bestimmungen sollten unbeschadet etwaiger Einschränkungen des Zugangs vonseiten der Datenlieferanten anwendbar sein, damit die Eigentumsrechte an den Daten gewahrt bleiben. Um die unter die Ziele von Europol fallenden Straftaten besser verhüten und bekämpfen zu können, sollte Europol die einzelnen Mitgliedstaaten über die sie betreffenden Informationen in Kenntnis setzen.

(28)

Um die operative Zusammenarbeit unter den Agenturen zu verstärken und insbesondere Verbindungen zwischen den in den einzelnen Agenturen bereits vorhandenen Daten feststellen zu können, sollte Europol Eurojust und dem Europäischen Amt für Betrugsbekämpfung (OLAF) die Möglichkeit geben, mittels eines Treffer-/Kein-Treffer-Verfahrens auf die bei Europol vorliegenden Daten zuzugreifen. Europol und Eurojust sollten eine Arbeitsvereinbarung schließen können, mit der sie innerhalb ihrer jeweiligen Befugnisse einen gegenseitigen Zugang zu allen übermittelten Informationen und die Möglichkeit, diese Informationen zu durchsuchen, zum Zwecke eines Abgleichs im Einklang mit spezifischen Garantien und Datenschutzgarantien gemäß dieser Verordnung sicherstellen. Jeder Zugang zu den bei Europol vorliegenden Daten sollte durch technische Mittel auf die Informationen beschränkt werden, die in die jeweilige Zuständigkeit dieser Unionseinrichtungen fallen.

(29)	Soweit es für die Erfüllung ihrer Aufgaben erforderlich ist, sollte Europol kooperative Beziehungen zu anderen Unionseinrichtungen, Behörden von Drittstaaten, internationalen Organisationen und privaten Parteien pflegen.

(30)

Zur Sicherstellung der operativen Wirksamkeit sollte Europol, soweit es für die Erfüllung ihrer Aufgaben erforderlich ist, mit anderen Unionseinrichtungen, mit Behörden von Drittstaaten und mit internationalen Organisationen alle relevanten Informationen, mit Ausnahme personenbezogener Daten, austauschen können. Da Unternehmen, Wirtschaftsverbände, Nichtregierungsorganisationen und andere private Parteien Fachkenntnisse und Informationen von unmittelbarem Belang für die Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus besitzen, sollte Europol derartige Informationen auch mit privaten Parteien austauschen können. Um Störungen der Netz- und Informationssicherheit verursachende Cyberstraftaten zu verhüten und zu bekämpfen, sollte Europol entsprechend dem anwendbaren Gesetzgebungsakt der Union, mit dem Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union festgelegt werden, mit den für die Sicherheit von Netzen und Informationssystemen zuständigen nationalen Behörden zusammenarbeiten und mit ihnen Informationen, mit Ausnahme personenbezogener Daten, austauschen.

(31)	Soweit es für die Erfüllung ihrer jeweiligen Aufgaben erforderlich ist, sollte Europol relevante personenbezogene Daten mit anderen Unionseinrichtungen austauschen können.

(32)

Die Hintergründe von schweren Straftaten und Terrorismus erstrecken sich oftmals über das Gebiet der Union hinaus. Soweit es für die Erfüllung ihrer Aufgaben erforderlich ist, sollte Europol daher personenbezogene Daten mit Behörden von Drittstaaten und mit internationalen Organisationen wie der Internationalen Kriminalpolizeilichen Organisation — Interpol austauschen können.

(33)

Alle Mitgliedstaaten sind Mitglieder von Interpol. Interpol erhält, speichert und übermittelt für die Erfüllung ihres Auftrags Daten, um die zuständigen Strafverfolgungsbehörden dabei zu unterstützen, internationale Kriminalität zu verhüten und zu bekämpfen. Daher sollte die Zusammenarbeit zwischen Europol und Interpol gestärkt werden, indem ein effizienter Austausch personenbezogener Daten gefördert und zugleich die Achtung der Grundrechte und Grundfreiheiten hinsichtlich der automatischen Verarbeitung personenbezogener Daten gewährleistet wird. Wenn personenbezogene Daten von Europol an Interpol übermittelt werden, sollte diese Verordnung, insbesondere die Bestimmungen über grenzüberschreitende Datenübermittlungen, zur Anwendung kommen.

(34)

Zur Gewährleistung der Zweckbegrenzung muss sichergestellt werden, dass personenbezogene Daten nur dann von Europol an Unionseinrichtungen, Drittländer und internationale Organisationen übermittelt werden dürfen, wenn dies zur Verhütung oder Bekämpfung von Straftaten, die unter die Ziele von Europol fallen, erforderlich ist. Hierzu ist es notwendig, sicherzustellen, dass bei der Übermittlung personenbezogener Daten der Empfänger zusagt, dass die Daten von dem Empfänger ausschließlich für den Zweck, für den sie ursprünglich übermittelt wurden, verwendet oder an eine zuständige Behörde eines Drittlandes weitergeleitet werden. Eine Weitergabe der Daten sollte im Einklang mit dieser Verordnung erfolgen.

(35)

Europol sollte personenbezogene Daten an Behörden in Drittstaaten oder an internationale Organisationen nur übermitteln können, wenn dies auf der Grundlage eines Kommissionsbeschlusses geschieht, in dem festgestellt wird, dass der betreffende Staat beziehungsweise die betreffende Organisation ein angemessenes Datenschutzniveau (im Folgenden „Angemessenheitsbeschluss“) gewährleistet, oder, wenn kein Angemessenheitsbeschluss vorliegt, auf der Grundlage einer von der Union gemäß Artikel 218 AEUV geschlossenen internationalen Übereinkunft oder auf der Grundlage eines vor dem Inkrafttreten dieser Verordnung zwischen Europol und dem betreffenden Drittstaat geschlossenen Abkommens, das den Austausch personenbezogener Daten erlaubt. Diese Übereinkünfte behalten gemäß Artikel 9 des dem EUV und dem AEUV beigefügten Protokolls Nr. 36 über die Übergangsbestimmungen so lange Rechtswirkung, bis sie in Anwendung der Verträge aufgehoben, für nichtig erklärt oder geändert werden. Die Kommission sollte, sofern dies angebracht ist, nach Maßgabe der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (11) vor den Verhandlungen und während der Verhandlungen über eine internationale Übereinkunft den Europäischen Datenschutzbeauftragten (EDSB) konsultieren können. Stellt der Verwaltungsrat fest, dass die Zusammenarbeit mit einem Drittstaat oder einer internationalen Organisation operativ notwendig ist, so sollte er dem Rat vorschlagen können, die Kommission darauf hinzuweisen, dass ein Angemessenheitsbeschluss oder eine Empfehlung zur Aufnahme von Verhandlungen über eine internationale Übereinkunft im oben genannten Sinne erforderlich ist.

(36)

In Fällen, in denen für eine Übermittlung personenbezogener Daten kein Angemessenheitsbeschluss, keine von der Union geschlossene internationale Übereinkunft und kein geltendes Kooperationsabkommen als Grundlage herangezogen werden kann, sollte der Verwaltungsrat im Einvernehmen mit dem EDSB eine Kategorie von Übermittlungen veranlassen dürfen, sofern spezifische Bedingungen dies erfordern und ausreichende Sicherheitsgarantien bestehen. Der Exekutivdirektor sollte die Datenübermittlung von Fall zu Fall ausnahmsweise veranlassen dürfen, sofern eine solche Übermittlung — unter Beachtung spezifischer strikter Bedingungen — erforderlich ist.

(37)

Europol sollte personenbezogene Daten, die von privaten Parteien oder von Privatpersonen stammen, nur verarbeiten dürfen, wenn ihr diese Daten von einer der folgenden Stellen übermittelt werden: von einer nationalen Stelle nach deren nationalem Recht; von einer Kontaktstelle — in einem Drittstaat oder bei einer internationalen Organisation —, mit der eine geregelte Zusammenarbeit aufgrund eines vor Inkrafttreten dieser Verordnung gemäß Artikel 23 des Beschlusses 2009/371/JI geschlossenen Kooperationsabkommens, das den Austausch personenbezogener Daten erlaubt, besteht; von einer Behörde eines Drittstaats oder einer internationalen Organisation, die Gegenstand eines Angemessenheitsbeschlusses ist oder mit der die Union eine internationale Übereinkunft nach Artikel 218 AEUV geschlossen hat. In Fällen, in denen Europol personenbezogene Daten unmittelbar von privaten Parteien erhält und die nationale Stelle, die Kontaktstelle oder die betreffende Behörde nicht ermittelt werden kann, sollte Europol diese personenbezogenen Daten jedoch nur zu dem Zweck verarbeiten können, diese Stelle oder Behörde zu ermitteln, und derartige Daten sollten gelöscht werden, sofern diese Stelle oder Behörde diese personenbezogenen Daten binnen vier Monaten nach der Übermittlung nicht erneut vorlegt. Europol sollte mit technischen Mitteln sicherstellen, dass solche Daten während dieses Zeitraums nicht für eine Verarbeitung zu anderen Zwecken zugänglich sind.

(38)

Vor dem Hintergrund der außergewöhnlichen und spezifischen Bedrohung, die von Terrorismus und anderen Formen schwerer Kriminalität für die innere Sicherheit der Union ausgeht, insbesondere wenn das Internet zu ihrer Erleichterung, Förderung oder Begehung verwendet wird, sollten die Tätigkeiten, die Europol auf der Grundlage dieser Verordnung ausüben sollte und die sich aus der Umsetzung der Schlussfolgerungen des Rates vom 12. März 2015 und dem auf der Tagung des Europäischen Rates vom 23. April 2015 im Zusammenhang mit insbesondere diesen vorrangigen Bereichen ergangenen Aufruf ergeben, insbesondere die entsprechende Praxis des direkten Austauschs personenbezogener Daten mit privaten Parteien, von der Kommission bis zum 1. Mai 2019 bewertet werden.

(39)	Informationen, die eindeutig unter offenkundiger Verletzung der Menschenrechte erlangt wurden, sollten nicht verarbeitet werden.

(40)

Die Europol-spezifischen Datenschutzbestimmungen sollten gestärkt werden und sich auf die der Verordnung (EG) Nr. 45/2001 zugrunde liegenden Prinzipien stützen, um einen hohen Schutz des Einzelnen in Bezug auf die Verarbeitung personenbezogener Daten sicherzustellen. Da in der dem EUV und dem AEUV beigefügten Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit der spezifische Charakter der Verarbeitung personenbezogener Daten im Strafverfolgungsbereich anerkannt wird, sollten die Datenschutzbestimmungen von Europol autonom sein, gleichzeitig jedoch mit anderen einschlägigen Datenschutzvorschriften, die im Bereich der polizeilichen Zusammenarbeit in der Union Anwendung finden, vereinbar sein. Diese Vorschriften umfassen insbesondere die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (12) sowie das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates und dessen Empfehlung Nr. R(87) 15 (13).

(41)

Jede Verarbeitung personenbezogener Daten durch Europol sollte gegenüber den betroffenen Personen nach Treu und Glauben sowie nach Recht und Gesetz erfolgen. Der Grundsatz der Verarbeitung nach Treu und Glauben erfordert Transparenz bei der Verarbeitung, die es den betroffenen Personen ermöglicht, ihre Rechte gemäß dieser Verordnung auszuüben. Es sollte jedoch möglich sein, den Zugang zu ihren personenbezogenen Daten zu verweigern oder einzuschränken, falls die Verweigerung oder Einschränkung unter gebührender Berücksichtigung der Interessen der betroffenen Personen erforderlich ist, um es Europol zu ermöglichen, ihre Aufgaben ordnungsgemäß wahrzunehmen, die Sicherheit und öffentliche Ordnung zu schützen oder Straftaten zu verhindern, sicherzustellen, dass nationale Ermittlungen nicht gefährdet werden, oder die Rechte und Freiheiten Dritter zu schützen. Im Interesse einer größeren Transparenz sollte Europol der Öffentlichkeit ein Dokument zugänglich machen, in dem die geltenden Bestimmungen für die Verarbeitung personenbezogener Daten und die Möglichkeiten der betroffenen Personen zur Ausübung ihrer Rechte in verständlicher Form dargelegt sind. Ferner sollte Europol ein Verzeichnis der Angemessenheitsbeschlüsse, Abkommen und Verwaltungsvereinbarungen in Bezug auf die Übermittlung personenbezogener Daten an Drittländer und internationale Organisationen auf ihrer Website veröffentlichen. Darüber hinaus sollte Europol zur Stärkung der Transparenz gegenüber den Unionsbürgern und der Rechenschaftspflicht von Europol auf ihrer Website eine Liste der Mitglieder ihres Verwaltungsrats und gegebenenfalls die Zusammenfassungen der Ergebnisse der Sitzungen des Verwaltungsrats veröffentlichen; dabei sind die Datenschutzvorschriften einzuhalten.

(42)

Personenbezogene Daten sollten so weit wie möglich nach dem Grad ihrer Richtigkeit und ihrer Zuverlässigkeit unterschieden werden. Fakten sollten von persönlichen Einschätzungen unterschieden werden, um den Schutz des Einzelnen und die Qualität und Zuverlässigkeit der von Europol verarbeiteten Informationen sicherzustellen. Bei Informationen aus öffentlich zugänglichen Quellen, insbesondere Internet-Quellen, sollte Europol so weit wie möglich die Richtigkeit dieser Informationen und die Zuverlässigkeit der Quelle einer sorgfältigen Beurteilung unterziehen, um den mit dem Internet verbundenen Risiken bezüglich des Schutzes personenbezogener Daten und der Privatsphäre zu begegnen.

(43)

Im Rahmen der Strafverfolgungszusammenarbeit werden personenbezogene Daten verarbeitet, die sich auf unterschiedliche Kategorien von betroffenen Personen beziehen. Daher sollte Europol eine möglichst klare Unterscheidung zwischen personenbezogenen Daten in Bezug auf unterschiedliche Kategorien von betroffenen Personen vornehmen. Personenbezogene Daten von Opfern, Zeugen und Personen, die im Besitz sachdienlicher Informationen sind, sowie personenbezogene Daten von Minderjährigen sollten besonders geschützt werden. Europol sollte sensible Daten nur verarbeiten, wenn diese Daten andere, bereits von Europol verarbeitete personenbezogene Daten ergänzen.

(44)

Angesichts des Grundrechts auf Schutz personenbezogener Daten sollte Europol personenbezogene Daten nicht länger speichern als für die Erfüllung ihrer Aufgaben erforderlich. Spätestens drei Jahre nach der ersten Verarbeitung der Daten sollte geprüft werden, ob eine weitere Speicherung dieser Daten erforderlich ist.

(45)	Europol und die Mitgliedstaaten sollten die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu garantieren.

(46)

Jede betroffene Person sollte das Recht haben, die sie betreffenden personenbezogenen Daten einzusehen, diese Daten gegebenenfalls berichtigen zu lassen, falls sie unzutreffend sind, und diese Daten löschen oder ihre Verarbeitung einschränken zu lassen, wenn sie nicht mehr benötigt werden. Die Kosten im Zusammenhang mit der Ausübung des Rechts auf Zugang zu den eigenen personenbezogenen Daten sollten kein Hindernis für die tatsächliche Wahrnehmung dieses Rechts darstellen. Die Rechte der betroffenen Person und die Ausübung dieser Rechte sollten die Europol auferlegten Pflichten unberührt lassen und den in dieser Verordnung niedergelegten Einschränkungen unterliegen.

(47)

Zum Schutz der Rechte und der Grundfreiheiten der betroffenen Personen ist es erforderlich, in dieser Verordnung eine klare Verteilung der Verantwortlichkeiten festzulegen. Die Mitgliedstaaten sollten vor allem für die Richtigkeit von Daten sowie dafür verantwortlich sein, die von ihnen an Europol übermittelten Daten stets auf dem neuesten Stand zu halten und die Rechtmäßigkeit der Datenübermittlung sicherzustellen. Europol sollte für die Richtigkeit von Daten sowie dafür verantwortlich sein, die ihr von anderen Datenlieferanten übermittelten oder aus den eigenen Analysen von Europol hervorgegangenen Daten stets auf dem neuesten Stand zu halten. Europol sollte sicherstellen, dass alle Daten nach Treu und Glauben und auf rechtmäßige Weise verarbeitet und nur für einen bestimmten Zweck erhoben und verarbeitet werden. Europol sollte auch dafür sorgen, dass die Daten angemessen, relevant und in Bezug auf den Zweck der Verarbeitung verhältnismäßig sind, dass sie nicht länger als für den Zweck der Verarbeitung erforderlich gespeichert werden und dass sie auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten und die Vertraulichkeit der Datenverarbeitung gewährleistet.

(48)

Zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenkontrolle und der Sicherstellung der Unverfälschtheit und Sicherheit der Daten sollte Europol jedwede Erhebung, Änderung, Offenlegung, Verknüpfung oder Löschung personenbezogener Daten sowie jedweden Zugriff auf diese Daten schriftlich festhalten. Europol sollte verpflichtet sein, mit dem EDSB zusammenzuarbeiten und diesem auf Verlangen ihre Protokolle oder Unterlagen vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen kontrolliert werden können.

(49)

Europol sollte einen Datenschutzbeauftragten benennen, der Europol bei der Überwachung der Einhaltung dieser Verordnung unterstützt. Der Datenschutzbeauftragte sollte eine Position bekleiden, die es ihm ermöglicht, seinen Pflichten und Aufgaben unabhängig und wirksam nachzugehen, und er sollte mit den dazu erforderlichen Mitteln ausgestattet werden.

(50)

Unabhängige, transparente, rechenschaftspflichtige und effektive Aufsichtsstrukturen sind für den Schutz des Einzelnen im Hinblick auf die Verarbeitung personenbezogener Daten, wie in Artikel 8 Absatz 3 der Charta der Grundrechte der Europäischen Union festgelegt, von wesentlicher Bedeutung. Die Rechtmäßigkeit der von den Mitgliedstaaten an Europol übermittelten personenbezogenen Daten sollte von den für die Überwachung der Verarbeitung personenbezogener Daten zuständigen nationalen Behörden überwacht werden. Der EDSB sollte die Rechtmäßigkeit der Datenverarbeitung durch Europol in völliger Unabhängigkeit überwachen. In dieser Hinsicht ist der Mechanismus der vorherigen Konsultation eine wichtige Garantie in Bezug auf neue Arten von Verarbeitungsvorgängen. Dies sollte nicht für spezifische individuelle Verarbeitungstätigkeiten wie Projekte der operativen Analysen gelten, sondern für die Nutzung neuer IT-Systeme zur Verarbeitung personenbezogener Daten und für wesentliche Änderungen dieser Systeme.

(51)

Es ist wichtig, eine verstärkte und wirksame Überwachung von Europol sicherzustellen und zu gewährleisten, dass sich der EDSB auf geeignete Fachkompetenz im Bereich des Datenschutzes bei der Strafverfolgung stützen kann, wenn er die Verantwortung für die datenschutzrechtliche Überwachung von Europol übernimmt. In Einzelfragen, die eine Mitwirkung von nationaler Seite erfordern, sollten der EDSB und die nationalen Kontrollbehörden eng zusammenarbeiten und sie sollten die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherstellen.

(52)

Zwecks Erleichterung der Zusammenarbeit zwischen dem EDSB und den nationalen Kontrollbehörden, jedoch unbeschadet der Unabhängigkeit des EDSB und seiner Verantwortung für die datenschutzrechtliche Überwachung von Europol, sollten diese regelmäßig im Rahmen des Beirats für die Zusammenarbeit zusammenkommen; dieser sollte als Beratungsgremium Stellungnahmen, Leitlinien, Empfehlungen und bewährte Verfahren zu verschiedenen Themen mit nationalem Bezug formulieren.

(53)

Da Europol ferner nicht operative personenbezogene Daten verarbeitet, die in keinem Zusammenhang mit strafrechtlichen Ermittlungen stehen, etwa personenbezogene Daten von Europol-Personal, Dienstleistern oder Besuchern, sollten derartige Daten nach Maßgabe der Verordnung (EG) Nr. 45/2001 verarbeitet werden.

(54)

Der EDSB sollte Beschwerden von betroffenen Personen entgegennehmen und ihnen nachgehen. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich einer gerichtlichen Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die nationale Kontrollbehörde sollte die betroffene Person innerhalb einer angemessenen Frist über den Stand und die Ergebnisse der Beschwerde unterrichten.

(55)	Einzelpersonen sollten Rechtsmittel gegen sie betreffende Entscheidungen des EDSB einlegen können.

(56)	Europol sollte abgesehen von der Haftung im Falle unrechtmäßiger Datenverarbeitung den für die Organe, Einrichtungen, Ämter und Agenturen der Union geltenden allgemeinen Bestimmungen über die vertragliche und außervertragliche Haftung unterliegen.

(57)

Für eine betroffene Einzelperson kann es unklar sein, ob der infolge einer unrechtmäßigen Datenverarbeitung erlittene Schaden aus einer Maßnahme Europols oder aber eines Mitgliedstaats resultiert. Daher sollten Europol und der Mitgliedstaat, in dem die Maßnahme, die den Schaden ausgelöst hat, erfolgt ist, gesamtschuldnerisch für den Schaden haften.

(58)

Die Rolle des Europäischen Parlaments bei der Kontrolle der Tätigkeiten von Europol, an der auch die nationalen Parlamente beteiligt sind, ist zu beachten, wobei es jedoch erforderlich ist, dass Europol eine transparente und voll rechenschaftspflichtige interne Organisation ist. Zu diesem Zweck sollten im Lichte von Artikel 88 AEUV Verfahren für die Kontrolle der Tätigkeiten von Europol durch das Europäische Parlament und die nationalen Parlamente festgelegt werden. Diese Verfahren sollten Artikel 12 Buchstabe c EUV und Artikel 9 des Protokolls Nr. 1 unterliegen, in dem vorgesehen ist, dass das Europäische Parlament und die nationalen Parlamente gemeinsam festlegen, wie eine effiziente und regelmäßige Zusammenarbeit zwischen den Parlamenten innerhalb der Union gestaltet und gefördert werden kann. Die festzulegenden Verfahren für die Kontrolle der Tätigkeiten von Europol sollten dem Erfordernis gebührend Rechnung tragen, sicherzustellen, dass das Europäische Parlament und die nationalen Parlamente gleichberechtigt sind und dass operative Informationen vertraulich zu behandeln sind. Jedoch ist die Art der Kontrolle der Regierungen durch die nationalen Parlamente hinsichtlich der Tätigkeiten der Union Sache der besonderen verfassungsrechtlichen Gestaltung und Praxis jedes Mitgliedstaats.

(59)

Für die Europol-Bediensteten sollten das Statut der Beamten der Europäischen Union (im Folgenden „Beamtenstatut“) und die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden „Beschäftigungsbedingungen für die sonstigen Bediensteten“) gemäß Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (14) gelten. Europol sollte Personal aus den zuständigen Behörden der Mitgliedstaaten als Zeitbedienstete einstellen können, deren Arbeitsverhältnis befristet werden sollte, um das Rotationsprinzip beizubehalten, denn durch die anschließende Wiedereingliederung dieser Bediensteten in ihre zuständigen Behörden vereinfacht sich die Zusammenarbeit zwischen Europol und den zuständigen Behörden der Mitgliedstaaten. Die Mitgliedstaaten sollten alle erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die als Zeitbedienstete bei Europol eingestellten Personen nach Ende ihrer Dienstzeit bei Europol zu den nationalen Behörden, denen sie angehören, zurückkehren können.

(60)

Angesichts der Art der Aufgaben Europols und der Rolle ihres Exekutivdirektors sollte der zuständige Ausschuss des Europäischen Parlaments den Exekutivdirektor vor seiner Ernennung sowie vor einer etwaigen Verlängerung seiner Amtszeit auffordern können, vor ihm zu erscheinen. Der Exekutivdirektor sollte dem Europäischen Parlament und dem Rat auch den Jahresbericht vorlegen. Darüber hinaus sollten das Europäische Parlament und der Rat den Exekutivdirektor auffordern können, über die Durchführung seiner Aufgaben Bericht zu erstatten.

(61)

Um die vollständige Selbstständigkeit und Unabhängigkeit von Europol zu gewährleisten, sollte Europol mit einem eigenständigen Haushalt ausgestattet werden, dessen Einnahmen im Wesentlichen aus einem Beitrag aus dem Gesamthaushaltsplan der Union bestehen. Der Beitrag der Union und etwaige andere Zuschüsse aus dem Gesamthaushaltsplan der Union sollten dem Haushaltsverfahren der Union unterliegen. Die Rechnungsprüfung sollte durch den Rechnungshof erfolgen.

(62)	Die Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission (15) sollte auf Europol Anwendung finden.

(63)

Da die zuständigen Behörden der Mitgliedstaaten über spezifische gesetzliche und verwaltungsrechtliche Befugnisse und technische Kompetenzen verfügen, um einen grenzüberschreitenden Informationsaustausch sowie grenzüberschreitende Einsätze und Ermittlungen, auch im Rahmen von gemeinsamen Ermittlungsgruppen, durchzuführen und Aus- und Fortbildungseinrichtungen zur Verfügung zu stellen, sollten diese Behörden gemäß Artikel 190 Absatz 1 Buchstabe d der Delegierten Verordnung (EU) Nr. 1268/2012 (16) der Kommission Finanzhilfen von Europol erhalten können, ohne dass es einer Aufforderung zur Einreichung von Vorschlägen bedarf.

(64)	Die Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates (17) sollte auf Europol Anwendung finden.

(65)

Europol verarbeitet Daten, die besonders geschützt werden müssen, da sie nicht als Verschlusssache eingestufte sensible Informationen und EU-Verschlusssachen umfassen. Europol sollte daher Bestimmungen über die Vertraulichkeit und die Verarbeitung derartiger Informationen festlegen. Die Bestimmungen über den Schutz von EU-Verschlusssachen sollten mit dem Beschluss 2013/488/EU des Rates (18) im Einklang stehen.

(66)	Es ist angebracht, die Anwendung dieser Verordnung regelmäßig zu evaluieren.

(67)

Die notwendigen Bestimmungen über die Unterbringung von Europol in Den Haag, wo Europol ihren Sitz hat, und die speziellen Vorschriften für das Personal von Europol und seine Familienangehörigen sollten in einem Sitzabkommen festgelegt werden. Außerdem sollte der Sitzmitgliedstaat die notwendigen Voraussetzungen für eine reibungslose Arbeitsweise von Europol, einschließlich mehrsprachiger, europäisch ausgerichteter Schulen und geeigneter Verkehrsverbindungen, gewährleisten, damit Europol hoch qualifizierte Mitarbeiter auf möglichst breiter geografischer Grundlage einstellen kann.

(68)

Die durch diese Verordnung errichtete Agentur Europol tritt an die Stelle des auf der Grundlage des Beschlusses 2009/371/JI errichteten Europäischen Polizeiamts (Europol) und wird dessen Nachfolgerin. Sie sollte daher auch dessen Rechtsnachfolgerin in Bezug auf die von ihm geschlossenen Verträge, einschließlich Arbeitsverträge, sowie sein Vermögen und seine Verbindlichkeiten sein. Die internationalen Übereinkommen, die Europol als das durch den Beschluss 2009/371/JI errichtete Europäische Polizeiamt geschlossen hat, sowie die Abkommen, die Europol als das durch das Europol-Übereinkommen errichtete Europäische Polizeiamt vor dem 1. Januar 2010 geschlossen hat, sollten in Kraft bleiben.

(69)

Um zu gewährleisten, dass Europol weiterhin die Aufgaben des durch den Beschluss 2009/371/JI errichteten Europäischen Polizeiamts nach bestem Vermögen erfüllen kann, sollten Übergangsregelungen getroffen werden, vor allem in Bezug auf den Verwaltungsrat, den Exekutivdirektor und die Mitarbeiter, die im Rahmen von unbefristeten Verträgen, die Europol als das durch das Europol-Übereinkommen errichtete Europäische Polizeiamt geschlossen hat, als örtliche Bedienstete beschäftigt sind und denen die Möglichkeit geboten werden sollte, als Bedienstete auf Zeit oder als Vertragsbedienstete gemäß den Beschäftigungsbedingungen für die sonstigen Bediensteten beschäftigt zu werden.

(70)

Der Rechtsakt des Rates vom 3. Dezember 1998 (19) über das Statut der Bediensteten von Europol wurde durch Artikel 63 des Beschlusses 2009/371/JI aufgehoben. Er sollte jedoch weiterhin für das Personal von Europol gelten, das vor dem Inkrafttreten des Beschlusses 2009/371/JI eingestellt wurde. Übergangsbestimmungen sollten daher vorsehen, dass die Verträge, die gemäß dem genannten Statut abgeschlossen wurden, diesem auch weiterhin unterliegen.

(71)

Da das Ziel dieser Verordnung, nämlich die Errichtung einer für die Zusammenarbeit im Bereich der Strafverfolgung auf Unionsebene zuständigen Agentur, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen des Umfangs und der Wirkungen dieses Vorhabens auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.

(72)

Gemäß Artikel 3 und Artikel 4a Absatz 1 des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts hat Irland mitgeteilt, dass es sich an der Annahme und Anwendung dieser Verordnung beteiligen möchte.

(73)

Gemäß den Artikeln 1 und 2 und Artikel 4a Absatz 1des dem EUV und dem AEUV beigefügten Protokolls Nr. 21 über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts und unbeschadet des Artikels 4 dieses Protokolls beteiligt sich das Vereinigte Königreich nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(74)	Nach den Artikeln 1 und 2 des dem EUV und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beteiligt sich Dänemark nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(75)	Der EDSB wurde angehört und hat seine Stellungnahme am 31. Mai 2013 abgegeben.

(76)

Diese Verordnung steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, insbesondere mit dem Recht auf Schutz personenbezogener Daten und dem Recht auf Achtung des Privat- und Familienlebens gemäß den Artikeln 8 und 7 der Charta und Artikel 16 AEUV —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN SOWIE ZIELE UND AUFGABEN VON EUROPOL

Artikel 1

Errichtung der Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung

(1)   Es wird eine Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) errichtet, um die Zusammenarbeit zwischen den Strafverfolgungsbehörden in der Union zu unterstützen.

(2)   Europol in der durch diese Verordnung errichteten Form tritt an die Stelle von Europol in der durch den Beschluss 2009/371/JI errichteten Form und wird dessen Nachfolgerin.

Artikel 2

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck

a)

„zuständige Behörden der Mitgliedstaaten“ alle in den Mitgliedstaaten bestehenden Polizeibehörden und anderen Strafverfolgungsbehörden, die nach nationalem Recht für die Verhütung und Bekämpfung von Straftaten zuständig sind. Zu den zuständigen Behörden zählen auch andere in den Mitgliedstaaten bestehende staatliche Behörden, die nach nationalem Recht für die Verhütung und Bekämpfung von in den Zuständigkeitsbereich von Europol fallenden Straftaten zuständig sind;

b)	„strategische Analyse“ alle Methoden und Techniken, mit deren Hilfe Informationen erhoben, gespeichert, verarbeitet und bewertet werden mit dem Ziel, eine Kriminalpolitik zu fördern und zu entwickeln, die zu einer effizienten und wirksamen Verhütung und Bekämpfung von Straftaten beiträgt;

c)	„operative Analyse“ alle Methoden und Techniken, mit deren Hilfe Informationen erhoben, gespeichert, verarbeitet und bewertet werden mit dem Ziel, strafrechtliche Ermittlungen zu unterstützen;

d)	„Unionseinrichtungen“ Organe, Einrichtungen, Missionen, Ämter und Agenturen, die durch den EUV und den AEUV oder auf der Grundlage dieser Verträge geschaffen wurden;

e)	„internationale Organisation“ eine auf der Grundlage des Völkerrechts errichtete Organisation und die ihr zugeordneten Einrichtungen oder eine sonstige Einrichtung, die durch ein zwischen zwei oder mehr Ländern geschlossenes Abkommen oder auf der Grundlage eines solchen Abkommens geschaffen wurde;

f)

„private Parteien“ Stellen und Einrichtungen, die nach dem Recht eines Mitgliedstaats oder eines Drittstaats errichtet wurden, insbesondere Gesellschaften und sonstige Unternehmen, Wirtschaftsverbände, Organisationen ohne Erwerbszweck und sonstige juristische Personen, die nicht von Buchstabe e erfasst sind;

g)	„Privatpersonen“ alle natürlichen Personen;

h)	„personenbezogene Daten“ alle Informationen, die sich auf eine betroffene Person beziehen;

i)

„betroffene Person“ eine bestimmte oder bestimmbare natürliche Person; eine bestimmbare Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen bestimmt werden kann, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

j)

„genetische Daten“ personenbezogene Daten jedweder Art zu den ererbten oder erworbenen genetischen Merkmalen eines Menschen, die eindeutige Informationen über die Physiologie oder die Gesundheit dieses Menschen liefern und insbesondere aus der Analyse einer biologischen Probe des betreffenden Menschen gewonnen wurden;

k)

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

l)	„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle — unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht —, an die Daten weitergegeben werden;

m)	„Übermittlung personenbezogener Daten“ das Übermitteln von personenbezogenen Daten, die einer begrenzten Anzahl von bestimmten Parteien mit dem Wissen des Absenders oder entsprechend seiner Absicht, dem Empfänger Zugang zu den personenbezogenen Daten zu verschaffen, aktiv zugänglich gemacht werden;

n)

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder widerrechtlich, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

o)

„Einwilligung der betroffenen Person“ jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung, mit der die betroffene Person in Form einer Erklärung oder einer sonstigen eindeutigen Handlung zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

p)	„verwaltungstechnische personenbezogene Daten“ alle von Europol verarbeiteten personenbezogenen Daten mit Ausnahme der zu den Zwecken des Artikels 3 verarbeiteten personenbezogenen Daten.

Artikel 3

Ziele

(1)   Europol unterstützt und verstärkt die Tätigkeit der zuständigen Behörden der Mitgliedstaaten sowie deren gegenseitige Zusammenarbeit bei der Verhütung und Bekämpfung der zwei oder mehr Mitgliedstaaten betreffenden schweren Kriminalität, des Terrorismus und der Kriminalitätsformen, die ein gemeinsames Interesse verletzen, das Gegenstand einer Politik der Union ist, wie in Anhang I aufgeführt.

(2)   Zusätzlich zu Absatz 1 erstrecken sich die Ziele von Europol auch auf im Zusammenhang mit diesen Straftaten stehende Straftaten. Als im Zusammenhang stehende Straftaten gelten:

a)	Straftaten, die begangen werden, um die Mittel zur Begehung von in den Zuständigkeitsbereich von Europol fallenden Handlungen zu beschaffen;

b)	Straftaten, die begangen werden, um in den Zuständigkeitsbereich von Europol fallende Handlungen zu erleichtern oder durchzuführen;

c)	Straftaten, die begangen werden, um dafür zu sorgen, dass in den Zuständigkeitsbereich von Europol fallende Handlungen straflos bleiben.

Artikel 4

Aufgaben

(1)   Europol kommt folgenden Aufgaben nach, um die in Artikel 3 genannten Ziele zu erreichen:

a)	Erhebung, Speicherung, Verarbeitung, Analyse und Austausch von Informationen, einschließlich strafrechtlich relevanter Erkenntnisse;

b)	unverzügliche Unterrichtung der Mitgliedstaaten — über die gemäß Artikel 7 Absatz 2 errichteten oder benannten nationalen Stellen — über alle sie betreffenden Informationen und etwaige Zusammenhänge zwischen Straftaten;

c)

Koordinierung, Organisation und Durchführung von Ermittlungs- und operativen Maßnahmen, um die Tätigkeit der zuständigen Behörden der Mitgliedstaaten zu unterstützen und zu stärken, wobei die Maßnahmen i) gemeinsam mit den zuständigen Behörden der Mitgliedstaaten durchgeführt werden oder ii) im Zusammenhang mit gemeinsamen Ermittlungsgruppen nach Maßgabe des Artikels 5 sowie gegebenenfalls in Verbindung mit Eurojust durchgeführt werden;

d)	Mitwirkung in gemeinsamen Ermittlungsgruppen und Anregung, dass solche gemeinsamen Ermittlungsgruppen nach Maßgabe des Artikels 5 eingesetzt werden;

e)	Unterstützung der Mitgliedstaaten bei internationalen Großereignissen durch Informationen und Analysen;

f)	Erstellung von Bedrohungs-, strategischen und operativen Analysen sowie von allgemeinen Lageberichten;

g)	Entwicklung, Weitergabe und Förderung von Fachwissen über Methoden der Kriminalitätsverhütung, Ermittlungsverfahren und (kriminal-)technische Methoden sowie Beratung der Mitgliedstaaten;

h)	Unterstützung von grenzüberschreitenden Informationsaustauschtätigkeiten, Operationen und Ermittlungen der Mitgliedstaaten sowie von gemeinsamen Ermittlungsgruppen, auch in operativer, technischer und finanzieller Hinsicht;

i)

Erbringung von spezialisierten Schulungsleistungen und Unterstützung der Mitgliedstaaten — auch in finanzieller Hinsicht — bei der Durchführung von Maßnahmen zur Schulung im Rahmen ihrer Ziele und nach Maßgabe der ihr zur Verfügung stehenden personellen und finanziellen Ressourcen in Abstimmung mit der Agentur der Europäischen Union für die Aus- und Fortbildung auf dem Gebiet der Strafverfolgung (EPA);

j)	Zusammenarbeit mit den auf der Grundlage von Titel V AEUV errichteten Unionseinrichtungen und mit OLAF, insbesondere durch den Austausch von Informationen und durch ihre Unterstützung mit Analysen zu den in ihre Zuständigkeit fallenden Bereichen;

k)	Bereitstellung von Informationen und Unterstützung für die auf dem EUV basierenden Krisenbewältigungsstrukturen und -missionen der EU im Rahmen der Ziele von Europol gemäß Artikel 3;

l)	Weiterentwicklung von Zentren der Union, die auf die Bekämpfung bestimmter unter die Ziele von Europol fallender Kriminalitätsformen spezialisiert sind, insbesondere des Europäischen Zentrums zur Bekämpfung der Cyberkriminalität;

m)

Unterstützung der Maßnahmen der Mitgliedstaaten bei der Verhütung und Bekämpfung der in Anhang I aufgeführten Kriminalitätsformen, die mithilfe des Internets erleichtert, gefördert oder begangen werden, einschließlich — in Zusammenarbeit mit den Mitgliedstaaten — der Verweisung von Internet-Inhalten, über die diese Kriminalitätsformen erleichtert, gefördert oder begangen werden, an die betroffenen Anbieter von Online-Diensten, damit diese auf freiwilliger Basis die Vereinbarkeit der verwiesenen Internet-Inhalte mit ihren eigenen Geschäftsbedingungen überprüfen.

(2)   Europol erstellt strategische Analysen und Bedrohungsanalysen, um den Rat und die Kommission bei der Festlegung der vorrangigen strategischen und operativen Ziele der Union im Bereich der Kriminalitätsbekämpfung zu unterstützen. Europol leistet zudem Unterstützung bei der operativen Umsetzung dieser Ziele.

(3)   Europol erstellt strategische Analysen und Bedrohungsanalysen, um den effizienten und effektiven Einsatz der auf nationaler Ebene und auf Unionsebene für operative Tätigkeiten verfügbaren Ressourcen zu erleichtern und derartige Tätigkeiten zu unterstützen.

(4)   Europol fungiert als Zentralstelle zur Bekämpfung der Euro-Fälschung gemäß dem Beschluss 2005/511/JI des Rates (20). Europol fördert zudem die Koordinierung der von den zuständigen Behörden der Mitgliedstaaten oder im Rahmen gemeinsamer Ermittlungsgruppen zur Bekämpfung der Euro-Fälschung durchgeführten Maßnahmen, gegebenenfalls in Verbindung mit Unionseinrichtungen und Drittstaatsbehörden.

(5)   Bei der Durchführung ihrer Aufgaben wendet Europol keine Zwangsmaßnahmen an.

KAPITEL II

ZUSAMMENARBEIT ZWISCHEN DEN MITGLIEDSTAATEN UND EUROPOL

Artikel 5

Teilnahme an gemeinsamen Ermittlungsgruppen

(1)   Europol-Personal kann an den Tätigkeiten von gemeinsamen Ermittlungsgruppen, die mit der Bekämpfung von unter die Ziele von Europol fallenden Straftaten befasst sind, mitwirken. In der Vereinbarung zur Einsetzung einer gemeinsamen Ermittlungsgruppe werden die Bedingungen für die Mitwirkung des Europol-Personals in der Gruppe festgelegt; sie enthält Informationen über die Haftungsvorschriften.

(2)   Europol-Personal kann innerhalb der Grenzen der Rechtsvorschriften der Mitgliedstaaten, in denen der Einsatz einer gemeinsamen Ermittlungsgruppe erfolgt, an allen Tätigkeiten der gemeinsamen Ermittlungsgruppe mitwirken und Informationen mit allen Mitgliedern der gemeinsamen Ermittlungsgruppe austauschen.

(3)   Europol-Personal, das in einer gemeinsamen Ermittlungsgruppe mitwirkt, kann im Einklang mit dieser Verordnung allen Mitgliedern der Gruppe die erforderlichen Informationen weitergeben, die von Europol für die in Artikel 18 Absatz 2 genannten Zwecke verarbeitet werden. Europol unterrichtet gleichzeitig die nationalen Stellen der in der Gruppe vertretenen Mitgliedstaaten sowie die nationalen Stellen der Mitgliedstaaten, von denen die Informationen stammen.

(4)   Informationen, die das Europol-Personal im Rahmen seiner Mitwirkung in einer gemeinsamen Ermittlungsgruppe erlangt, dürfen mit Zustimmung und unter Verantwortung des Mitgliedstaats, der die betreffende Information zur Verfügung gestellt hat, von Europol nach Maßgabe dieser Verordnung für die in Artikel 18 Absatz 2 genannten Zwecke verarbeitet werden.

(5)   Wenn Europol Grund zu der Annahme hat, dass die Einsetzung einer gemeinsamen Ermittlungsgruppe einen zusätzlichen Nutzen für eine gegebene Untersuchung bewirken würde, kann sie dies den betroffenen Mitgliedstaaten vorschlagen und Letztere bei der Einsetzung der Ermittlungsgruppe unterstützen.

Artikel 6

Ersuchen von Europol um Einleitung strafrechtlicher Ermittlungen

(1)   Europol ersucht in bestimmten Fällen, in denen sie der Auffassung ist, dass strafrechtliche Ermittlungen über eine unter ihre Ziele fallende Straftat eingeleitet werden sollten, die zuständigen Behörden der betreffenden Mitgliedstaaten über die nationalen Stellen um Einleitung, Durchführung oder Koordinierung strafrechtlicher Ermittlungen.

(2)   Die nationalen Stellen setzen Europol unverzüglich von der Entscheidung der zuständigen Behörden der Mitgliedstaaten über jedes Ersuchen nach Absatz 1 in Kenntnis.

(3)   Entscheiden die zuständigen Behörden eines Mitgliedstaats, einem Ersuchen von Europol nach Absatz 1 nicht stattzugeben, so teilen sie Europol unverzüglich, vorzugsweise binnen eines Monats nach Erhalt des Ersuchens, die Gründe für ihre Entscheidung mit. Von dieser Begründung kann jedoch abgesehen werden, wenn

a)	dies den grundlegenden Interessen der Sicherheit des betreffenden Mitgliedstaats zuwiderlaufen würde oder

b)	hierdurch der Erfolg laufender Ermittlungen oder die Sicherheit von Personen gefährdet würde.

(4)   Europol setzt Eurojust unverzüglich von jedem Ersuchen nach Absatz 1 und von jeder Entscheidung einer zuständigen Behörde eines Mitgliedstaats nach Absatz 2 in Kenntnis.

Artikel 7

Nationale Europol-Stellen

(1)   Die Mitgliedstaaten und Europol arbeiten bei der Erfüllung der ihnen gemäß dieser Verordnung jeweils obliegenden Aufgaben zusammen.

(2)   Jeder Mitgliedstaat errichtet oder benennt eine nationale Stelle, die als Verbindungsstelle zwischen Europol und den zuständigen Behörden dieses Mitgliedstaats dient. Jeder Mitgliedstaat ernennt einen Beamten zum Leiter seiner nationalen Stelle.

(3)   Jeder Mitgliedstaat stellt sicher, dass seine nationale Stelle nach nationalem Recht für die Erfüllung der in dieser Verordnung den nationalen Stellen zugewiesenen Aufgaben zuständig ist und insbesondere Zugriff auf nationale Daten für die Strafverfolgung und andere einschlägige Daten hat, die für die Zusammenarbeit mit Europol erforderlich sind.

(4)   Jeder Mitgliedstaat legt die Organisation und die Personalausstattung seiner nationalen Stelle nach Maßgabe seines nationalen Rechts fest.

(5)   In Einklang mit Absatz 2 ist die nationale Stelle die Verbindungsstelle zwischen Europol und den zuständigen Behörden des Mitgliedstaats. Vorbehaltlich der von den Mitgliedstaaten festgelegten Voraussetzungen einschließlich einer vorherigen Einbeziehung der nationalen Stelle können die Mitgliedstaaten jedoch direkte Kontakte zwischen ihren zuständigen Behörden und Europol gestatten. Die nationale Stelle erhält zeitgleich von Europol alle im Verlauf direkter Kontakte zwischen Europol und den zuständigen Behörden ausgetauschten Informationen, es sei denn, die nationale Stelle erklärt, dass sie diese Informationen nicht benötigt.

(6)   Jeder Mitgliedstaat stellt über seine nationale Stelle oder — vorbehaltlich des Absatzes 5 — über eine zuständige Behörde insbesondere Folgendes sicher:

a)	Übermittlung der für die Verwirklichung der Ziele von Europol notwendigen Informationen — einschließlich der Informationen über Kriminalitätsformen, deren Verhütung oder Bekämpfung von der Union als vorrangig angesehen wird — an Europol;

b)	wirksame Kommunikation und Zusammenarbeit aller zuständigen Behörden mit Europol;

c)	Verbesserung des Informationsstands über die Tätigkeiten von Europol;

d)	Einhaltung der nationalen Rechtsvorschriften bei der Übermittlung von Informationen an Europol gemäß Artikel 38 Absatz 5 Buchstabe a.

(7)   Die Mitgliedstaaten sind unbeschadet der Ausübung der ihnen im Hinblick auf die Aufrechterhaltung der öffentlichen Ordnung und den Schutz der inneren Sicherheit obliegenden Verantwortung im Einzelfall nicht verpflichtet, Informationen oder Erkenntnisse gemäß Artikel 6 Buchstabe a zu übermitteln, wenn

a)	dies den grundlegenden Interessen der Sicherheit des betreffenden Mitgliedstaats zuwiderlaufen würde,

b)	hierdurch der Erfolg laufender Ermittlungen oder die Sicherheit einer Person gefährdet würde oder

c)	hierdurch Informationen preisgegeben würden, die sich auf Nachrichtendienste oder spezifische nachrichtendienstliche Tätigkeiten im Bereich der nationalen Sicherheit beziehen.

Die Mitgliedstaaten stellen jedoch Informationen bereit, sobald diese nicht länger unter Unterabsatz 1 Buchstaben a, b oder c fallen.

(8)   Die Mitgliedstaaten stellen sicher, dass ihren gemäß der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates (21) errichteten zentralen Meldestellen (FIU) gestattet wird, im Rahmen ihres Mandats und Zuständigkeitsbereichs in Bezug auf Analysen über ihre nationale Stelle mit Europol zusammenzuarbeiten.

(9)   Die Leiter der nationalen Stellen treten regelmäßig zusammen, um insbesondere etwaige bei ihrer operativen Zusammenarbeit mit Europol auftretende Probleme zu erörtern und einer Lösung zuzuführen.

(10)   Die Kosten, die den nationalen Stellen für die Kommunikation mit Europol entstehen, werden von den Mitgliedstaaten getragen und — mit Ausnahme der Kosten für die Verbindung — Europol nicht in Rechnung gestellt.

(11)   Europol erstellt auf der Grundlage der vom Verwaltungsrat festgelegten quantitativen und qualitativen Evaluierungskriterien einen Jahresbericht über die gemäß Absatz 6 Buchstabe a von den einzelnen Mitgliedstaaten an Europol übermittelten Informationen. Der Jahresbericht wird dem Europäischen Parlament, dem Rat, der Kommission und den nationalen Parlamenten zugeleitet.

Artikel 8

Verbindungsbeamte

(1)   Jede nationale Stelle entsendet mindestens einen Verbindungsbeamten zu Europol. Vorbehaltlich anderslautender Bestimmungen dieser Verordnung unterliegen die Verbindungsbeamten dem nationalen Recht des entsendenden Mitgliedstaats.

(2)   Die Verbindungsbeamten bilden die nationalen Verbindungsbüros bei Europol und sind von ihrer nationalen Stelle beauftragt, deren Interessen innerhalb von Europol im Einklang mit dem nationalen Recht des entsendenden Mitgliedstaats und den für den Betrieb von Europol geltenden Bestimmungen zu vertreten.

(3)   Die Verbindungsbeamten unterstützen den Austausch von Informationen zwischen Europol und dem entsendenden Mitgliedstaat.

(4)   Die Verbindungsbeamten unterstützen nach Maßgabe ihres nationalen Rechts den Austausch von Informationen zwischen dem entsendenden Mitgliedstaat und den Verbindungsbeamten anderer Mitgliedstaaten, von Drittstaaten und internationaler Organisationen. Für einen derartigen bilateralen Informationsaustausch kann nach Maßgabe des nationalen Rechts auch bei nicht den Zielen von Europol unterfallenden Straftaten auf die Infrastruktur von Europol zurückgegriffen werden. Dieser Informationsaustausch erfolgt im Einklang mit dem geltenden Unionsrecht und dem geltenden nationalen Recht.

(5)   Die Rechte und Pflichten der Verbindungsbeamten gegenüber Europol werden vom Verwaltungsrat festgelegt. Den Verbindungsbeamten stehen die zur Erfüllung ihrer Aufgaben erforderlichen Vorrechte und Immunitäten gemäß Artikel 63 Absatz 2 zu.

(6)   Europol gewährleistet, dass die Verbindungsbeamten, soweit es für die Erfüllung ihrer Aufgaben erforderlich ist, umfassend informiert und in alle ihre Tätigkeiten einbezogen werden.

(7)   Europol stellt den Mitgliedstaaten für die Ausübung der Tätigkeit ihrer Verbindungsbeamten die notwendigen Räume im Europol-Gebäude und eine angemessene Unterstützung kostenlos zur Verfügung. Alle sonstigen Kosten, die im Zusammenhang mit der Entsendung der Verbindungsbeamten entstehen, werden von den entsendenden Mitgliedstaaten getragen; dies gilt auch für die den Verbindungsbeamten zur Verfügung gestellte Ausstattung, sofern nicht das Europäische Parlament und der Rat auf Empfehlung des Verwaltungsrats anders entscheiden.

KAPITEL III

ORGANISATION VON EUROPOL

Artikel 9

Verwaltungs- und Leitungsstruktur von Europol

Die Verwaltungs- und Leitungsstruktur von Europol umfasst

a)	einen Verwaltungsrat;

b)	einen Exekutivdirektor;

c)	gegebenenfalls sonstige vom Verwaltungsrat gemäß Artikel 11 Absatz 1 Buchstabe s eingesetzte beratende Gremien.

ABSCHNITT 1

Verwaltungsrat

Artikel 10

Zusammensetzung des Verwaltungsrats

(1)   Der Verwaltungsrat setzt sich aus je einem Vertreter pro Mitgliedstaat und einem Vertreter der Kommission zusammen. Alle Vertreter sind stimmberechtigt.

(2)   Die Mitglieder des Verwaltungsrats werden unter Berücksichtigung ihrer Kenntnisse auf dem Gebiet der Strafverfolgungszusammenarbeit ernannt.

(3)   Jedes Mitglied des Verwaltungsrats hat einen Stellvertreter, der unter Berücksichtigung des Kriteriums nach Absatz 2 ernannt wird. Das Mitglied wird bei Abwesenheit durch das stellvertretende Mitglied vertreten.

Der Grundsatz einer ausgewogenen Vertretung beider Geschlechter im Verwaltungsrat ist ebenfalls zu berücksichtigen.

(4)   Unbeschadet des Rechts der Mitgliedstaaten und der Kommission, die Amtszeit der Mitglieder und der stellvertretenden Mitglieder zu beenden, beträgt die Mitgliedschaft im Verwaltungsrat vier Jahre. Sie kann verlängert werden.

Artikel 11

Aufgaben des Verwaltungsrats

(1)   Der Verwaltungsrat

a)	beschließt jedes Jahr mit Zweidrittelmehrheit seiner Mitglieder nach Maßgabe von Artikel 12 ein Dokument, das die mehrjährige Programmplanung von Europol und ihr jährliches Arbeitsprogramm für das Folgejahr enthält;

b)	beschließt mit Zweidrittelmehrheit seiner Mitglieder den jährlichen Haushaltsplan von Europol und nimmt andere Aufgaben in Bezug auf den Haushaltsplan von Europol gemäß Kapitel X wahr;

c)

nimmt einen konsolidierten Jahresbericht über die Tätigkeiten von Europol an und übermittelt ihn bis spätestens 1. Juli des darauf folgenden Jahres dem Europäischen Parlament, dem Rat, der Kommission, dem Rechnungshof und den nationalen Parlamenten. Der konsolidierte jährliche Tätigkeitsbericht wird veröffentlicht;

d)	erlässt die für Europol geltende Finanzregelung nach Artikel 61;

e)	beschließt eine interne Betrugsbekämpfungsstrategie, die in einem angemessenen Verhältnis zu den Betrugsrisiken steht und das Kosten-Nutzen-Verhältnis der durchzuführenden Maßnahmen berücksichtigt;

f)	erlässt Bestimmungen zur Vermeidung und Beilegung von Interessenkonflikten in Bezug auf seine Mitglieder, auch im Zusammenhang mit ihrer Interessenerklärung;

g)

übt im Einklang mit Absatz 2 in Bezug auf das Europol-Personal die Befugnisse aus, die der Anstellungsbehörde im Beamtenstatut und der zum Abschluss von Dienstverträgen mit sonstigen Bediensteten ermächtigten Behörde in den Beschäftigungsbedingungen für die sonstigen Bediensteten übertragen werden (im Folgenden „Befugnisse der Anstellungsbehörde“);

h)	erlässt im Einklang mit Artikel 110 des Beamtenstatuts geeignete Durchführungsbestimmungen zum Beamtenstatut und zu den Beschäftigungsbedingungen für die sonstigen Bediensteten;

i)	erlässt interne Regeln über das Verfahren zur Auswahl des Exekutivdirektors, einschließlich von Bestimmungen über die Zusammensetzung des Auswahlausschusses, die dessen Unabhängigkeit und Unparteilichkeit sicherstellen;

j)	schlägt dem Rat gemäß den Artikeln 54 und 55 eine Auswahlliste von Bewerbern für die Posten des Exekutivdirektors und der stellvertretenden Exekutivdirektoren vor und schlägt dem Rat gegebenenfalls vor, deren Amtszeiten zu verlängern oder sie ihres Amtes zu entheben;

k)	legt Leistungsindikatoren fest und überwacht die Amtsführung des Exekutivdirektors einschließlich der Durchführung der Beschlüsse des Verwaltungsrats;

l)	ernennt einen Datenschutzbeauftragten, der seinen Aufgaben funktional unabhängig nachkommt;

m)	ernennt einen Rechnungsführer, der den Bestimmungen des Statuts und den Beschäftigungsbedingungen für die sonstigen Bediensteten unterliegt und seine Tätigkeit funktionell unabhängig ausübt;

n)	errichtet gegebenenfalls eine interne Auditstelle;

o)	ergreift angemessene Folgemaßnahmen zu den Feststellungen und Empfehlungen der internen oder externen Auditberichte und -bewertungen sowie der Untersuchungsberichte von OLAF und des EDSB;

p)	legt die Bewertungskriterien für den Jahresbericht gemäß Artikel 7 Absatz 11 fest;

q)	verabschiedet nach Konsultation des EDSB Leitlinien zur genaueren Festlegung der Verfahren für die Verarbeitung von Informationen durch Europol gemäß Artikel 18;

r)	genehmigt den Abschluss von Arbeits- und Verwaltungsvereinbarungen gemäß Artikel 23 Absatz 4 bzw. Artikel 25 Absatz 1;

s)	entscheidet unter Berücksichtigung sowohl der Geschäfts- als auch der Finanzerfordernisse über die Errichtung der internen Strukturen von Europol einschließlich der in Artikel 4 Absatz 1 Buchstabe l genannten spezialisierten Zentren der Union auf Vorschlag des Exekutivdirektors;

t)	gibt sich eine Geschäftsordnung einschließlich der Bestimmungen über die Aufgaben und die Arbeitsweise seines Sekretariats;

u)	erlässt gegebenenfalls andere interne Bestimmungen.

(2)   Falls der Verwaltungsrat es für die Erfüllung der Aufgaben von Europol für erforderlich erachtet, kann er dem Rat vorschlagen, die Kommission darauf aufmerksam zu machen, dass ein Angemessenheitsbeschluss gemäß Artikel 25 Absatz 1 Buchstabe a oder eine Empfehlung für einen Beschluss über die Ermächtigung zur Aufnahme von Verhandlungen im Hinblick auf den Abschluss eines internationalen Abkommens gemäß Artikel 25 Absatz 1 Buchstabe b erforderlich ist.

(3)   Der Verwaltungsrat erlässt im Einklang mit Artikel 110 des Beamtenstatuts einen Beschluss auf der Grundlage von Artikel 2 Absatz 1 des Beamtenstatuts und Artikel 6 der Beschäftigungsbedingungen für die sonstigen Bediensteten, mit dem dem Exekutivdirektor die entsprechenden Befugnisse der Anstellungsbehörde übertragen und die Bedingungen festgelegt werden, unter denen eine solche Befugnisübertragung ausgesetzt werden kann. Der Exekutivdirektor wird ermächtigt, diese Befugnisse zu delegieren.

Bei Vorliegen außergewöhnlicher Umstände kann der Verwaltungsrat die Übertragung von Befugnissen der Anstellungsbehörde auf den Exekutivdirektor sowie die weitere Delegation dieser Befugnisse durch einen Beschluss vorübergehend aussetzen und die Befugnisse selbst ausüben oder sie einem seiner Mitglieder oder einem anderen Bediensteten als dem Exekutivdirektor übertragen.

Artikel 12

Mehrjährige Programmplanung und jährliche Arbeitsprogramme

(1)   Der Verwaltungsrat beschließt bis zum 30. November jeden Jahres ein Dokument mit der mehrjährigen Programmplanung und dem jährlichen Arbeitsprogramm von Europol auf der Grundlage eines vom Exekutivdirektor vorgelegten Entwurfs und unter Berücksichtigung der Stellungnahme der Kommission sowie — was die mehrjährige Programmplanung betrifft — nach Anhörung des Gemeinsamen parlamentarischen Kontrollausschusses. Der Verwaltungsrat übermittelt dieses Dokument dem Rat, der Kommission und dem Gemeinsamen parlamentarischen Kontrollausschuss.

(2)   In der mehrjährigen Programmplanung wird die strategische Gesamtplanung einschließlich Zielvorgaben, erwarteten Ergebnisse und Leistungsindikatoren festgelegt. Sie enthält ferner die Ressourcenplanung, einschließlich des mehrjährigen Finanz- und Personalplans. Ferner enthält sie die Strategie für die Beziehungen zu Drittstaaten und internationalen Organisationen.

Die mehrjährige Programmplanung wird im Wege jährlicher Arbeitsprogramme umgesetzt und gemäß den Ergebnissen externer und interner Bewertungen gegebenenfalls aktualisiert. Den Schlussfolgerungen dieser Bewertungen wird, falls angebracht, im jährlichen Arbeitsprogramm des folgenden Jahres Rechnung getragen.

(3)   Das jährliche Arbeitsprogramm enthält detaillierte Zielvorgaben, erwartete Ergebnisse und Leistungsindikatoren. Ferner enthält es eine Beschreibung der zu finanzierenden Maßnahmen sowie eine Aufstellung der den einzelnen Maßnahmen zugewiesenen finanziellen und personellen Ressourcen gemäß den Grundsätzen der tätigkeitsbezogenen Aufstellung des Haushaltsplans und des maßnahmenbezogenen Managements. Das jährliche Arbeitsprogramm steht mit der mehrjährigen Programmplanung im Einklang. Im jährlichen Arbeitsprogramm wird klar dargelegt, welche Aufgaben gegenüber dem vorherigen Haushaltsjahr hinzugefügt, geändert oder gestrichen wurden.

(4)   Wenn Europol nach der Annahme eines jährlichen Arbeitsprograms eine neue Aufgabe übertragen wird, ändert der Verwaltungsrat das jährliche Arbeitsprogramm.

(5)   Substanzielle Änderungen des jährlichen Arbeitsprogramms werden nach dem gleichen Verfahren angenommen, das für die Annahme des ursprünglichen jährlichen Arbeitsprogramms gilt. Der Verwaltungsrat kann dem Exekutivdirektor die Befugnis zur Vornahme nicht substanzieller Änderungen am jährlichen Arbeitsprogramm übertragen.

Artikel 13

Vorsitzender und stellvertretender Vorsitzender des Verwaltungsrats

(1)   Der Verwaltungsrat wählt aus der Gruppe der drei Mitgliedstaaten, die gemeinsam das 18-Monats-Programm des Rates erstellt haben, einen Vorsitzenden und einen stellvertretenden Vorsitzenden. Ihre Amtszeit entspricht den 18 Monaten, die vom Programm des Rates abgedeckt werden. Falls die Mitgliedschaft des Vorsitzenden oder des stellvertretenden Vorsitzenden im Verwaltungsrat während ihrer Amtszeit endet, endet zugleich auch automatisch ihre Amtszeit.

(2)   Der Vorsitzende und der stellvertretende Vorsitzende werden mit Zweidrittelmehrheit der Mitglieder des Verwaltungsrats gewählt.

(3)   Ist der Vorsitzende nicht in der Lage, seine Aufgaben zu erfüllen, tritt der stellvertretende Vorsitzende automatisch an dessen Stelle.

Artikel 14

Sitzungen des Verwaltungsrats

(1)   Der Vorsitzende beruft die Sitzungen des Verwaltungsrats ein.

(2)   Der Exekutivdirektor nimmt an den Beratungen des Verwaltungsrats teil.

(3)   Der Verwaltungsrat hält jährlich mindestens zwei ordentliche Sitzungen ab. Darüber hinaus tritt er auf Veranlassung seines Vorsitzenden oder auf Antrag der Kommission oder von mindestens einem Drittel seiner Mitglieder zusammen.

(4)   Der Verwaltungsrat kann alle Personen, deren Stellungnahmen von Interesse für die Beratungen sein können, einschließlich gegebenenfalls eines Vertreters des Gemeinsamen parlamentarischen Kontrollausschusses, als nicht stimmberechtigte Beobachter zu seinen Sitzungen einladen.

(5)   Die Mitglieder oder die stellvertretenden Mitglieder des Verwaltungsrats dürfen nach Maßgabe seiner Geschäftsordnung bei den Sitzungen Berater oder Sachverständige hinzuziehen.

(6)   Die Sekretariatsgeschäfte des Verwaltungsrats werden von Europol geführt.

Artikel 15

Abstimmungsregeln des Verwaltungsrats

(1)   Unbeschadet der Artikels 11 Absatz 1 Buchstaben a und b, Artikel 13 Absatz 2, Artikel 50 Absatz 2, Artikel 54 Absatz 8 und Artikel 64 fasst der Verwaltungsrat seine Beschlüsse mit der Mehrheit seiner Mitglieder.

(2)   Jedes Mitglied verfügt über eine Stimme. Bei Abwesenheit eines stimmberechtigten Mitglieds ist sein Stellvertreter berechtigt, das Stimmrecht dieses Mitglieds auszuüben.

(3)   Der Exekutivdirektor nimmt nicht an der Abstimmung teil.

(4)   In der Geschäftsordnung des Verwaltungsrats werden detaillierte Vorschriften für Abstimmungen festgelegt, insbesondere die Bedingungen, unter denen ein Mitglied im Namen eines anderen handeln kann, sowie gegebenenfalls Bestimmungen über die Beschlussfähigkeit.

ABSCHNITT 2

Exekutivdirektor

Artikel 16

Aufgaben des Exekutivdirektors

(1)   Der Exekutivdirektor leitet Europol. Er ist gegenüber dem Verwaltungsrat rechenschaftspflichtig.

(2)   Unbeschadet der Zuständigkeiten der Kommission oder des Verwaltungsrats übt der Exekutivdirektor sein Amt unabhängig aus; er fordert keine Weisungen von Regierungen oder sonstigen Stellen an und nimmt auch keine Weisungen von diesen entgegen.

(3)   Der Rat kann den Exekutivdirektor auffordern, über die Durchführung seiner Aufgaben Bericht zu erstatten.

(4)   Der Exekutivdirektor ist der gesetzliche Vertreter von Europol.

(5)   Der Exekutivdirektor ist für die Durchführung der Europol durch diese Verordnung zugewiesenen Aufgaben verantwortlich, insbesondere dafür,

a)	die laufenden Geschäfte von Europol zu führen,

b)	dem Verwaltungsrat Vorschläge für die Errichtung der internen Strukturen von Europol zu unterbreiten,

c)	die vom Verwaltungsrat gefassten Beschlüsse durchzuführen,

d)	den Entwurf die mehrjährige Programmplanung und der jährlichen Arbeitsprogramme auszuarbeiten und dem Verwaltungsrat nach Anhörung der Kommission zu unterbreiten,

e)	die mehrjährige Programmplanung und das jährliche Arbeitsprogramm durchzuführen und dem Verwaltungsrat über die Durchführung Bericht zu erstatten,

f)	einen geeigneten Entwurf der Durchführungsbestimmungen zum Beamtenstatut und zu den Beschäftigungsbedingungen für die sonstigen Bediensteten nach dem Verfahren des Artikels 110 des Statuts auszuarbeiten,

g)	den Entwurf des konsolidierten Jahresberichts über die Tätigkeiten von Europol zu erstellen und dem Verwaltungsrat zur Annahme vorzulegen,

h)

einen Aktionsplan auf der Grundlage der Schlussfolgerungen interner oder externer Auditberichte und Bewertungen sowie etwaiger Untersuchungsberichte und Empfehlungen des OLAF und des EDSB zu erstellen und der Kommission zweimal jährlich und dem Verwaltungsrat regelmäßig über die erzielten Fortschritte Bericht zu erstatten,

i)

die finanziellen Interessen der Union durch Maßnahmen zur Verhinderung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen, unbeschadet der Untersuchungsbefugnisse des OLAF, durch wirksame Kontrollen sowie, falls Unregelmäßigkeiten festgestellt werden, durch die Einziehung zu Unrecht gezahlter Beträge und gegebenenfalls durch wirksame, verhältnismäßige und abschreckende verwaltungsrechtliche und finanzielle Sanktionen zu schützen,

j)	einen Entwurf einer internen Betrugsbekämpfungsstrategie für Europol auszuarbeiten und sie dem Verwaltungsrat zur Annahme vorzulegen,

k)	einen Entwurf interner Bestimmungen zur Vermeidung und Beilegung von Interessenkonflikten in Bezug auf die Mitglieder des Verwaltungsrats auszuarbeiten und den Entwurf dieser Bestimmungen dem Verwaltungsrat zur Annahme vorzulegen,

l)	den Entwurf der für Europol geltenden Finanzregelung auszuarbeiten,

m)	einen Entwurf des Voranschlags der Einnahmen und Ausgaben von Europol auszuarbeiten und den Haushaltsplan von Europol auszuführen,

n)	den Vorsitzenden des Verwaltungsrats bei der Vorbereitung der Verwaltungsratssitzungen zu unterstützen,

o)	den Verwaltungsrat regelmäßig über die Umsetzung der vorrangigen strategischen und operativen Ziele der Union auf dem Gebiet der Kriminalitätsbekämpfung zu informieren,

p)	andere sich aus dieser Verordnung ergebende Aufgaben zu erfüllen.

KAPITEL IV

INFORMATIONSVERARBEITUNG

Artikel 17

Informationsquellen

(1)   Europol verarbeitet ausschließlich Informationen, die ihr übermittelt werden

a)	von Mitgliedstaaten nach Maßgabe ihres nationalen Rechts und gemäß Artikel 7,

b)	von Unionseinrichtungen, Drittstaaten oder internationalen Organisationen gemäß Kapitel V,

c)	von privaten Parteien und Privatpersonen gemäß Kapitel V.

(2)   Europol kann Informationen einschließlich personenbezogener Daten aus öffentlich zugänglichen Quellen wie dem Internet sowie öffentliche Daten direkt einholen und verarbeiten.

(3)   Soweit Europol in Rechtsakten der Union oder in nationalen oder internationalen Rechtsakten das Recht auf elektronischen Zugang zu Daten in nationalen oder internationalen Informationssystemen oder Informationssystemen der Union eingeräumt wird, kann sie auf diesem Wege Informationen, einschließlich personenbezogener Daten, abrufen und verarbeiten, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist. Für den Zugang von Europol zu diesen Daten und für deren Verwendung durch Europol sind die geltenden Bestimmungen dieser Rechtsakte der Union bzw. nationaler oder internationaler Rechtsakte maßgebend, soweit sie strengere Zugangs- und Verwendungsvorschriften enthalten, als in dieser Verordnung vorgeschrieben. Zugang zu derartigen Informationssystemen wird nur ordnungsgemäß ermächtigtem Europol-Personal und nur insoweit gewährt, wie dies der Erfüllung ihrer Aufgaben dient und dafür verhältnismäßig ist.

Artikel 18

Zwecke der Informationsverarbeitung

(1)   Sofern es für die Verwirklichung ihrer Ziele nach Artikel 3 erforderlich ist, kann Europol Informationen einschließlich personenbezogener Daten verarbeiten.

(2)   Personenbezogene Daten dürfen ausschließlich zu folgenden Zwecken verarbeitet werden:

a)

Abgleich zur Ermittlung etwaiger Zusammenhänge oder anderer relevanter Verbindungen zwischen Informationen in Bezug auf i) Personen, die einer Straftat oder der Beteiligung an einer Straftat, für die Europol zuständig ist, verdächtigt werden oder die wegen einer solchen Straftat verurteilt worden sind, ii) Personen, in deren Fall faktische Anhaltspunkte oder triftige Gründe dafür vorliegen, dass sie Straftaten begehen werden, für die Europol zuständig ist;

b)	strategische oder themenbezogene Analyse,

c)	operative Analyse;

d)	Erleichterung des Informationsaustauschs zwischen Mitgliedstaaten, Europol, anderen Unionseinrichtungen, Drittstaaten und internationalen Organisationen.

(3)   Die Verarbeitung für die Zwecke operativer Analysen gemäß Absatz 2 Buchstabe c erfolgt im Wege von Projekten der operativen Analyse, für die die folgenden besonderen Garantien gelten:

a)

Für jedes Projekt der operativen Analyse legt der Exekutivdirektor den spezifischen Zweck, die Kategorien der personenbezogenen Daten und die Kategorien der betroffenen Personen, die Beteiligten, die Dauer der Speicherung und die Bedingungen für Zugriff auf bzw. Übermittlung und Verwendung der betreffenden Daten fest und unterrichtet den Verwaltungsrat und den EDSB darüber;

b)

personenbezogene Daten dürfen nur für die Zwecke des spezifischen Projekts der operativen Analyse erhoben und verarbeitet werden. Stellt sich heraus, dass personenbezogene Daten für ein weiteres Projekt der operativen Analyse relevant sein können, ist die Weiterverarbeitung dieser personenbezogenen Daten nur insoweit zulässig, als diese Weiterverarbeitung notwendig und verhältnismäßig ist und die personenbezogenen Daten mit den unter Buchstabe a festgelegten Bestimmungen, die für das andere Analyseprojekt gelten, vereinbar sind;

c)	nur ordnungsgemäß ermächtigtes Personal darf auf die Daten des jeweiligen Projekts zugreifen und diese verarbeiten.

(4)   Die Verarbeitung gemäß den Absätzen 2 und 3 erfolgt unter Einhaltung der in dieser Verordnung festgelegten Datenschutzgarantien. Diese Verarbeitungsvorgänge werden von Europol ordnungsgemäß dokumentiert. Die Dokumentation wird dem Datenschutzbeauftragten und dem EDSB auf Verlangen zur Verfügung gestellt, damit diese die Rechtmäßigkeit der Verarbeitungsvorgänge überprüfen können.

(5)   Kategorien personenbezogener Daten und Kategorien von betroffenen Personen, deren Daten zu den in Absatz 2 genannten Zwecken erhoben und verarbeitet werden dürfen, sind in Anhang II aufgeführt.

(6)   Europol kann Daten vorübergehend verarbeiten, um zu bestimmen, ob die betreffenden Daten für ihre Aufgaben relevant sind und, falls dies der Fall ist, für welche der in Absatz 2 genannten Zwecke sie relevant sind. Der Verwaltungsrat legt auf Vorschlag des Exekutivdirektors und nach Anhörung des EDSB die Bedingungen für die Verarbeitung dieser Daten genauer fest, insbesondere hinsichtlich des Zugangs zu den Daten und ihrer Verwendung sowie der Fristen für die Speicherung und Löschung der Daten, die unter gebührender Berücksichtigung der in Artikel 28 genannten Grundsätze sechs Monate nicht überschreiten dürfen.

(7)   Der Verwaltungsrat erlässt nach Konsultation des EDSB gegebenenfalls Leitlinien zur genaueren Festlegung der Verfahren für die Verarbeitung von Informationen für die in Absatz 2 aufgeführten Zwecke im Einklang mit Artikel 11 Absatz 1 Buchstabe q.

Artikel 19

Bestimmung des Zwecks der Informationsverarbeitung durch Europol und entsprechende Einschränkungen

(1)   Die Mitgliedstaaten, Unionseinrichtungen, Drittstaaten oder internationale Organisationen, die Informationen an Europol übermitteln, bestimmen, zu welchem Zweck oder welchen Zwecken gemäß Artikel 18 diese Informationen verarbeitet werden dürfen. Andernfalls verarbeitet Europol im Einvernehmen mit dem Informationslieferanten die Informationen, um zu bestimmen, wie sachdienlich die Informationen sind und zu welchem Zweck oder welchen Zwecken sie weiterverarbeitet werden dürfen. Europol darf Informationen nur dann zu einem anderen Zweck als dem Zweck, zu dem sie übermittelt wurden, verarbeiten, wenn der Informationslieferant dem zustimmt.

(2)   Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationale Organisationen können bei der Übermittlung von Informationen an Europol etwaige für den Datenzugriff oder die Datenverwendung geltende Einschränkungen allgemeiner oder besonderer Art vorsehen, insbesondere bezüglich der Weitergabe, Löschung oder Vernichtung der Informationen. Sollten sich derartige Einschränkungen erst nach der Übermittlung der Informationen als notwendig erweisen, so setzen sie Europol hiervon in Kenntnis. Europol leistet den Einschränkungen Folge.

(3)   In hinreichend begründeten Fällen kann Europol für den Zugang zu oder die Verwendung von aus öffentlich zugänglichen Quellen eingeholten Informationen seitens der Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationalen Organisationen Einschränkungen vorsehen.

Artikel 20

Zugang der Mitgliedstaaten und des Europol-Personals zu von Europol gespeicherten Informationen

(1)   Die Mitgliedstaaten haben nach Maßgabe ihres nationalen Rechts und gemäß Artikel 7 Absatz 5 Zugang zu allen Informationen, die zu den in Artikel 18 Absatz 2 Buchstaben a und b genannten Zwecken übermittelt wurden, und können diese Informationen durchsuchen. Das Recht von Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationalen Organisationen, Einschränkungen gemäß Artikel 19 Absatz 2 vorzusehen, bleibt davon unberührt.

(2)   Die Mitgliedstaaten haben nach Maßgabe ihres nationalen Rechts und gemäß Artikel 7 Absatz 5 indirekten Zugriff auf die zu den Zwecken von Artikel 18 Absatz 2 Buchstabe c übermittelten Informationen nach dem Treffer/Kein-Treffer-Verfahren. Dies gilt unbeschadet etwaiger Einschränkungen gemäß Artikel 19 Absatz 2 seitens der die Informationen übermittelnden Mitgliedstaaten, Unionseinrichtungen, Drittstaaten oder internationalen Organisationen.

Im Fall eines Treffers leitet Europol das Verfahren ein, durch das die Information, die den Treffer ausgelöst hat, nach Zustimmung der Stelle, die die Information an Europol übermittelt hat, weitergegeben werden darf.

(3)   Nach Maßgabe des nationalen Rechts dürfen der Zugriff auf die und die Weiterverarbeitung der in den Absätzen 1 und 2 genannten Informationen durch die Mitgliedstaaten nur für die Zwecke der Verhütung und Bekämpfung folgender Formen von Straftaten erfolgen:

a)	Formen der Kriminalität, für die Europol zuständig ist, und

b)	anderer Formen schwerer Kriminalität, wie sie im Rahmenbeschluss 2002/584/JI des Rates (22) aufgeführt sind.

(4)   Vom Exekutivdirektor ordnungsgemäß ermächtigte Europol-Bedienstete haben zu den von Europol verarbeiteten Informationen unbeschadet des Artikels 67 und in dem Maße Zugang, wie es die Ausübung ihrer Pflichten erfordert.

Artikel 21

Zugang von Eurojust und OLAF zu von Europol gespeicherten Informationen

(1)   Europol ergreift alle geeigneten Maßnahmen, um sicherzustellen, dass Eurojust und OLAF im Rahmen ihrer Befugnisse indirekten Zugriff auf die zu den Zwecken von Artikel 18 Absatz 2 Buchstaben a, b und c übermittelten Informationen nach dem Treffer/Kein-Treffer-Verfahren haben; etwaige Einschränkungen gemäß Artikel 19 Absatz 2 des Mitgliedstaats, der Unionseinrichtung, des Drittstaats oder der internationalen Organisation, der bzw. die die Informationen übermittelt, bleiben davon unberührt.

Im Fall eines Treffers leitet Europol das Verfahren ein, durch das die Information, die den Treffer ausgelöst hat, nach Zustimmung der Stelle, die die Information an Europol übermittelt hat, weitergegeben werden darf, und zwar nur so weit, als die Daten, die den Treffer ausgelöst haben, für die rechtmäßige Erfüllung der Aufgaben von Eurojust bzw. OLAF erforderlich sind.

(2)   Europol und Eurojust können eine Arbeitsvereinbarung schließen, mit der sie innerhalb ihrer jeweiligen Aufgabenbereiche den gegenseitigen Zugang zu allen für die Zwecke gemäß Artikel 18 Absatz 2 Buchstabe a übermittelten Informationen und die Möglichkeit von Suchabfragen bezüglich dieser Informationen sicherstellen. Dies gilt unbeschadet des Rechts der Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationaler Organisationen, den Zugang zu diesen Daten und deren Verwendung einzuschränken, und im Einklang mit den Datenschutzgarantien dieser Verordnung.

(3)   Die in den Absätzen 1 und 2 genannten Suchabfragen dürfen nur vorgenommen werden, um zu ermitteln, ob zwischen bei Eurojust bzw. bei OLAF vorliegenden Informationen Übereinstimmungen mit bei Europol verarbeiteten Informationen bestehen.

(4)   Europol gestattet die in den Absätzen 1 und 2 genannten Suchabfragen erst, wenn ihr von Eurojust mitgeteilt wurde, welche nationalen Mitglieder, stellvertretenden Mitglieder, Assistenten und Eurojust-Bediensteten bzw. von OLAF mitgeteilt wurde, welche OLAF-Bediensteten zur Vornahme derartiger Suchabfragen ermächtigt sind.

(5)   Falls im Laufe von Europol-Datenverarbeitungstätigkeiten zu einzelnen Ermittlungen von Seiten Europols oder eines Mitgliedstaats festgestellt wird, dass Koordinierungs-, Kooperations- oder Unterstützungsmaßnahmen im Einklang mit dem Mandat von Eurojust oder OLAF erforderlich sind, setzt Europol Letztere davon in Kenntnis und leitet das Verfahren zur Weitergabe der betreffenden Informationen entsprechend der Entscheidung des die Informationen übermittelnden Mitgliedstaats ein. In einem solchen Fall spricht sich Eurojust beziehungsweise OLAF mit Europol ab.

(6)   Eurojust, d. h. das Kollegium, die nationalen Mitglieder, die stellvertretenden Mitglieder, die Assistenten und die Eurojust-Bediensteten, sowie OLAF leisten etwaigen allgemeinen oder besonderen Einschränkungen, die von Mitgliedstaaten, Unionseinrichtungen, Drittstaaten oder internationalen Organisationen gemäß Artikel 19 Absatz 2 in Bezug auf den Zugang zu den von ihnen übermittelten Daten oder deren Verwendung vorgesehen wurden, Folge.

(7)   Europol, Eurojust und OLAF benachrichtigen einander, wenn nach der gegenseitigen Abfrage von Daten gemäß Absatz 2 oder infolge eines Treffers gemäß Absatz 1 Anzeichen dafür vorliegen, dass Daten fehlerhaft sein oder im Widerspruch zu anderen Daten stehen können.

Artikel 22

Pflicht zur Unterrichtung der Mitgliedstaaten

(1)   Europol unterrichtet einen Mitgliedstaat gemäß Artikel 4 Absatz 1 Buchstabe b unverzüglich über Informationen, die diesen betreffen. Falls diese Informationen jedoch Einschränkungen nach Artikel 19 Absatz 2 unterliegen, die ihre Weitergabe verbieten, hält Europol Rücksprache mit dem Informationslieferanten, der die Einschränkung des Zugangs festgelegt hat, und bittet diesen um Zustimmung zur Datenweitergabe.

In diesem Fall dürfen die Daten nicht ohne ausdrückliche Einwilligung seitens des Informationslieferanten weitergegeben werden.

(2)   Europol unterrichtet einen Mitgliedstaat ungeachtet etwaiger Einschränkungen des Zugangs über Informationen, die ihn betreffen, wenn dies unbedingt erforderlich ist, um eine unmittelbar drohende Gefahr für Leib und Leben abzuwenden.

In einem solchen Fall unterrichtet Europol zugleich den Informationslieferanten von der Weitergabe der Informationen und teilt ihm mit, welche Gründe bei der Situationsanalyse zu dieser Entscheidung geführt haben.

KAPITEL V

BEZIEHUNGEN ZU PARTNERN

ABSCHNITT 1

Gemeinsame Bestimmungen

Artikel 23

Gemeinsame Bestimmungen

(1)   Soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist, kann Europol Kooperationsbeziehungen zu Unionseinrichtungen entsprechend den Zielen dieser Einrichtungen, den Behörden von Drittstaaten, internationalen Organisationen und privaten Parteien herstellen und unterhalten.

(2)   Europol kann vorbehaltlich der in Artikel 19 Absatz 2 genannten Einschränkungen und unbeschadet des Artikels 67 mit den in Absatz 1 des vorliegenden Artikels genannten Einrichtungen direkt sämtliche Informationen mit Ausnahme personenbezogener Daten austauschen, soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist.

(3)   Der Exekutivdirektor unterrichtet den Verwaltungsrat über regelmäßige Kooperationsbeziehungen, die Europol gemäß den Absätzen 1 und 2 herstellen und unterhalten will, und über die Entwicklung solcher Beziehungen, sobald sie hergestellt sind.

(4)   Europol kann für die Zwecke gemäß den Absätzen 1 und 2 Arbeitsvereinbarungen mit Stellen gemäß Absatz 1 schließen. Diese Arbeitsvereinbarungen dürfen nicht den Austausch personenbezogener Daten zulassen und sind für die Union oder ihre Mitgliedstaaten nicht bindend.

(5)   Soweit dies für die rechtmäßige Erfüllung ihrer Aufgaben erforderlich und verhältnismäßig ist, kann Europol vorbehaltlich der Bestimmungen dieses Kapitels von den in Absatz 1 genannten Stellen personenbezogene Daten entgegennehmen und verarbeiten.

(6)   Unbeschadet des Artikels 30 Absatz 5 übermittelt Europol personenbezogene Daten nur dann an Unionseinrichtungen, Drittstaaten und internationale Organisationen, wenn dies für die Verhütung und Bekämpfung von Straftaten, die unter die Ziele von Europol fallen, erforderlich ist, und nur im Einklang mit dieser Verordnung und wenn der Empfänger zusagt, dass die Daten nur für den Zweck verarbeitet werden, für den sie übermittelt wurden. Wurden die zu übermittelnden Daten von einem Mitgliedstaat geliefert, so holt Europol die Zustimmung dieses Mitgliedstaates ein, es sei denn, der Mitgliedstaat hat für eine solche Weiterübermittlung seine vorherige allgemeine oder unter bestimmten Bedingungen stehende Zustimmung erteilt. Diese Zustimmung kann jederzeit widerrufen werden.

(7)   Eine Weiterübermittlung von bei Europol gespeicherten personenbezogenen Daten durch Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationale Organisationen ist nur mit vorheriger ausdrücklicher Genehmigung von Europol zulässig.

(8)   Europol stellt sicher, dass alle Übermittlungen von personenbezogenen Daten und die Gründe für solche Übermittlungen im Einklang mit dieser Verordnung ausführlich aufgezeichnet werden.

(9)   Informationen, die eindeutig unter offenkundiger Verletzung der Menschenrechte erlangt wurden, dürfen nicht verarbeitet werden.

ABSCHNITT 2

Übermittlung und Austausch personenbezogener Daten

Artikel 24

Übermittlung personenbezogener Daten an Unionseinrichtungen

Vorbehaltlich etwaiger Einschränkungen nach Artikel 19 Absatz 2 oder 3 und unbeschadet des Artikels 67 kann Europol personenbezogene Daten direkt an eine Unionseinrichtung übermitteln, soweit dies für die Erfüllung der Aufgaben von Europol oder der betreffenden Unionseinrichtung erforderlich ist.

Artikel 25

Übermittlung personenbezogener Daten an Drittstaaten und internationale Organisationen

(1)   Vorbehaltlich etwaiger Einschränkungen nach Artikel 19 Absatz 2 oder 3 und unbeschadet des Artikels 67 kann Europol, soweit dies für die Erfüllung der Aufgaben von Europol erforderlich ist, personenbezogene Daten an eine Behörde eines Drittstaates oder an eine internationale Organisation auf der Grundlage eines der folgenden Instrumente übermitteln:

a)	eines Beschlusses der Kommission gemäß Artikel 36 der Richtlinie (EU) 2016/680, dem zufolge der Drittstaat oder ein Gebiet oder ein verarbeitender Sektor in diesem Drittstaat oder die betreffende internationale Organisation einen ausreichenden Datenschutz gewährleistet (Angemessenheitsbeschluss);

b)	eines internationalen Abkommens zwischen der Union und dem betreffenden Drittstaat oder der betreffenden internationalen Organisation gemäß Artikel 218 AEUV, das angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bietet, oder

c)	eines vor dem 1. Mai 2017 geschlossenen Kooperationsabkommens zwischen Europol und dem betreffenden Drittstaat oder der betreffenden internationalen Organisation nach Artikel 23 des Beschlusses 2009/371/JI, das den Austausch personenbezogener Daten zulässt.

Europol kann zur Umsetzung solcher Abkommen oder Angemessenheitsbeschlüsse Verwaltungsvereinbarungen schließen.

(2)   Der Exekutivdirektor unterrichtet den Verwaltungsrat über den Austausch personenbezogener Daten auf der Grundlage von Angemessenheitsbeschlüssen nach Absatz 1 Buchstabe a.

(3)   Europol veröffentlicht auf ihrer Website ein Verzeichnis der Angemessenheitsbeschlüsse, Abkommen, Verwaltungsvereinbarungen oder sonstiger Rechtsinstrumente in Bezug auf die Übermittlung personenbezogener Daten gemäß Absatz 1 und hält dieses Verzeichnis auf dem neuesten Stand.

(4)   Bis zum 14. Juni 2021 nimmt die Kommission eine insbesondere den Datenschutz betreffende Bewertung der Bestimmungen vor, die in den in Absatz 1 Buchstabe c genannten Kooperationsabkommen enthalten sind. Die Kommission unterrichtet das Europäische Parlament und den Rat über das Ergebnis dieser Bewertung und kann gegebenenfalls dem Rat eine Empfehlung für einen Beschluss zur Genehmigung der Eröffnung von Verhandlungen im Hinblick auf den Abschluss von in Absatz 1 Buchstabe b genannten internationalen Abkommen unterbreiten.

(5)   Abweichend von Absatz 1 kann der Exekutivdirektor in Einzelfällen die Übermittlung personenbezogener Daten an Drittstaaten oder internationale Organisationen genehmigen, wenn die Übermittlung

a)	zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

b)	nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist,

c)	zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist,

d)	zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen erforderlich ist oder

e)	in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten strafrechtlichen Sanktion notwendig ist.

Personenbezogene Daten dürfen nicht übermittelt werden, wenn der Exekutivdirektor feststellt, dass Grundrechte und -freiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung im Sinne der Buchstaben d und e überwiegen.

Ausnahmeregelungen nach diesem Absatz gelten nicht für systematische, massive oder strukturelle Übermittlungen.

(6)   Abweichend von Absatz 1 kann der Verwaltungsrat im Einvernehmen mit dem EDSB bei entsprechenden angemessenen Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen eine Kategorie von Übermittlungen gemäß Absatz 5 Buchstaben a bis e für einen Zeitraum von höchstens einem Jahr, der verlängerbar ist, genehmigen. Eine solche Genehmigung muss hinreichend begründet und dokumentiert sein.

(7)   Der Exekutivdirektor teilt dem Verwaltungsrat und dem EDSB so rasch wie möglich die Fälle mit, in denen Absatz 5 angewandt wurde.

(8)   Europol hält alle Übermittlungen gemäß diesem Artikel ausführlich schriftlich fest.

Artikel 26

Austausch personenbezogener Daten mit privaten Parteien

(1)   Soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist, kann Europol von privaten Parteien erhaltene personenbezogene Daten verarbeiten, wenn ihr diese auf einem der folgenden Wege zugehen:

a)	über eine nationale Stelle gemäß dem nationalen Recht,

b)	über die Kontaktstelle eines Drittstaates oder einer internationalen Organisation, mit dem beziehungsweise der Europol vor dem 1. Mai 2017 ein Kooperationsabkommen nach Artikel 23 des Beschlusses 2009/371/JI geschlossen hat, das den Austausch personenbezogener Daten zulässt, oder

c)	über eine Behörde eines Drittstaates oder eine internationale Organisation, die einem Angemessenheitsbeschluss gemäß Artikel 25 Absatz 1 Buchstabe a dieser Verordnung unterliegt oder mit der die Union eine internationale Übereinkunft nach Artikel 218 AEUV geschlossen hat.

(2)   Erhält Europol dennoch personenbezogene Daten unmittelbar von privaten Parteien und kann die betreffende nationale Stelle, Kontaktstelle oder Behörde nach Absatz 1 nicht ermittelt werden, so darf Europol diese personenbezogenen Daten ausschließlich zum Zweck eben dieser Ermittlung verarbeiten. Die personenbezogenen Daten werden anschließend unverzüglich an die betreffende nationale Stelle, Kontaktstelle oder Behörde weitergeleitet und gelöscht, es sei denn, die betreffende nationale Stelle, Kontaktstelle oder Behörde legt diese personenbezogenen Daten gemäß Artikel 19 Absatz 1 innerhalb von vier Monaten ab der Übertragung erneut vor. Europol stellt mit technischen Mitteln sicher, dass die betreffenden Daten während dieses Zeitraums nicht für eine Verarbeitung zu anderen Zwecken zugänglich sind.

(3)   Im Anschluss an die Übermittlung personenbezogener Daten gemäß Absatz 5 Buchstabe c kann Europol diesbezüglich personenbezogene Daten unmittelbar von einer privaten Partei entgegennehmen, wenn diese erklärt, dass sie gemäß geltendem Recht befugt ist, diese Daten zu übermitteln, um sie zur Erfüllung der in Artikel 4 Absatz 1 Buchstabe m aufgeführten Aufgabe zu verarbeiten.

(4)   Erhält Europol personenbezogene Daten von einer privaten Partei in einem Drittstaat, mit dem keine Übereinkunft besteht, die entweder auf der Grundlage des Artikels 23 des Beschlusses 2009/371/JI oder auf der Grundlage des Artikels 218 AEUV geschlossen wurde, oder der keinem Angemessenheitsbeschluss gemäß Artikel 25 Absatz 1 Buchstabe a dieser Verordnung unterliegt, so kann Europol diese Daten nur einem betroffenen Mitgliedstaat oder Drittstaat übermitteln, mit dem eine solche Übereinkunft geschlossen wurde.

(5)   Europol darf personenbezogene Daten nur dann im Einzelfall an private Parteien übermitteln, soweit dies unbedingt erforderlich ist, vorbehaltlich etwaiger Einschränkungen gemäß Artikel 19 Absatz 2 oder 3 und unbeschadet des Artikels 67, wenn:

a)	die Übermittlung zweifelsfrei im Interesse der betroffenen Person liegt und die Einwilligung der betroffenen Person erteilt wurde oder die Umstände eine Einwilligung eindeutig vermuten lassen,

b)	die Übermittlung der Daten zur Verhinderung einer unmittelbar bevorstehenden Begehung einer Straftat — einschließlich einer terroristischen Straftat —, für die Europol zuständig ist, absolut erforderlich ist, oder

c)

die Übermittlung personenbezogener Daten, die öffentlich zugänglich sind, zur Erfüllung der in Artikel 4 Absatz 1 Buchstabe m aufgeführten Aufgabe unbedingt erforderlich ist und die folgenden Voraussetzungen erfüllt sind: i) Die Übermittlung betrifft einen bestimmten Einzelfall und ii) im konkreten Fall überwiegen keine Grundrechte und -freiheiten der betroffenen Person gegenüber dem öffentlichen Interesse an einer Übermittlung.

(6)   Wenn die betreffende private Partei nicht in der Union oder in einem Staat niedergelassen ist, mit dem Europol ein Kooperationsabkommen geschlossen hat, das den Austausch personenbezogener Daten zulässt, oder mit dem die Union eine internationale Übereinkunft nach Artikel 218 AEUV geschlossen hat oder der Gegenstand eines Angemessenheitsbeschlusses gemäß Artikel 25 Absatz 1 Buchstabe a der vorliegenden Verordnung ist, wird die Übermittlung im Sinne von Absatz 5 Buchstaben a und b dieses Artikels nur genehmigt, falls die Übermittlung

a)	zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, oder

b)	für die Wahrung berechtigter Interessen der betroffenen Person erforderlich ist, oder

c)	zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist, oder

d)	in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten, für die Europol zuständig ist, erforderlich ist, oder

e)	in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat, für die Europol zuständig ist, notwendig ist.

(7)   Europol stellt sicher, dass alle Übermittlungen von personenbezogenen Daten und die Gründe für diese Übermittlungen im Einklang mit dieser Verordnung ausführlich aufgezeichnet und dem EDSB gemäß Artikel 40 auf Verlangen mitgeteilt werden.

(8)   Berühren die erhaltenen oder zu übermittelnden personenbezogenen Daten die Interessen eines Mitgliedstaats, so unterrichtet Europol unverzüglich die nationale Stelle des betreffenden Mitgliedstaats.

(9)   Europol nimmt nicht mit privaten Parteien Kontakt auf, um personenbezogene Daten einzuholen.

(10)   Die Kommission bewertet bis zum 1. Mai 2019 die Praxis des direkten Austauschs personenbezogener Daten mit privaten Parteien.

Artikel 27

Informationen von Privatpersonen

(1)   Soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist, kann Europol Informationen von Privatpersonen entgegennehmen und verarbeiten. Personenbezogene Daten, die von Privatpersonen stammen, dürfen von Europol nur dann verarbeitet werden, wenn ihr diese Daten auf einem der folgenden Wege zugehen:

a)	über eine nationale Stelle gemäß den nationalen Rechtsvorschriften,

b)	über die Kontaktstelle eines Drittstaats oder einer internationalen Organisation, mit dem beziehungsweise der Europol vor dem 1. Mai 2017 ein Kooperationsabkommen nach Artikel 23 des Beschlusses 2009/371/JI geschlossen hat, das den Austausch personenbezogener Daten zulässt, oder

c)	über eine Behörde eines Drittstaats oder eine internationale Organisation, die einem Angemessenheitsbeschluss gemäß Artikel 25 Absatz 1 Buchstabe a unterliegt oder mit der die Union eine internationale Übereinkunft nach Artikel 218 AEUV geschlossen hat.

(2)   Erhält Europol Informationen einschließlich personenbezogener Daten von einer Privatperson mit Wohnsitz in einem Drittstaat, mit dem keine internationale Übereinkunft besteht, die entweder auf der Grundlage von Artikel 23 des Beschlusses 2009/371/JI oder auf der Grundlage von Artikel 218 AEUV geschlossen wurde oder der keinem Angemessenheitsbeschluss gemäß Artikel 25 Absatz 1 Buchstabe a der vorliegenden Verordnung unterliegt, so darf Europol diese Informationen nur einem betroffenen Mitgliedstaat oder Drittstaat übermitteln, mit dem eine solche Übereinkunft geschlossen wurde.

(3)   Berühren die erhaltenen personenbezogenen Daten die Interessen eines Mitgliedstaats, so unterrichtet Europol unverzüglich die nationale Stelle des betreffenden Mitgliedstaats.

(4)   Europol nimmt nicht mit Privatpersonen Kontakt auf, um Informationen einzuholen.

(5)   Unbeschadet der Artikel 36 und 37 darf Europol keine personenbezogenen Daten an Privatpersonen übermitteln.

KAPITEL VI

DATENSCHUTZGARANTIEN

Artikel 28

Grundsätze des Datenschutzes

(1)   Personenbezogene Daten müssen

a)	nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

b)

für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke ist nicht als unvereinbar anzusehen, wenn Europol geeignete Garantien vorsieht, um insbesondere sicherzustellen, dass die Daten nicht für andere Zwecke verarbeitet werden;

c)	dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Maß beschränkt sein;

d)	sachlich richtig sein und auf dem neuesten Stand gehalten werden; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

e)	in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nicht länger, als es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist; und

f)	auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten sicherstellt.

(2)   Europol macht der Öffentlichkeit ein Dokument zugänglich, in dem die Bestimmungen für die Verarbeitung personenbezogener Daten und die Möglichkeiten der betroffenen Personen zur Ausübung ihrer Rechte in verständlicher Form dargelegt sind.

Artikel 29

Bewertung der Zuverlässigkeit der Quelle und Richtigkeit der Informationen

(1)   Die Zuverlässigkeit der Quelle der von einem Mitgliedstaat stammenden Informationen wird nach Möglichkeit von dem Mitgliedstaat, der die Informationen liefert, anhand folgender Quellenbewertungskodes bewertet:

(A): Es bestehen keine Zweifel an der Authentizität, Verlässlichkeit und Eignung der Quelle oder die Informationen stammen von einer Quelle, die sich in allen Fällen als verlässlich erwiesen hat;

(B): es handelt sich um eine Quelle, deren Informationen sich in den meisten Fällen als verlässlich erwiesen haben;

(C): es handelt sich um eine Quelle, deren Informationen sich in den meisten Fällen als nicht verlässlich erwiesen haben;

(X): die Verlässlichkeit der Quelle kann nicht beurteilt werden.

(2)   Die Richtigkeit der von einem Mitgliedstaat stammenden Informationen wird nach Möglichkeit von dem Mitgliedstaat, der die Informationen liefert, anhand folgender Informationsbewertungskodes bewertet:

(1): Informationen, an deren Wahrheitsgehalt kein Zweifel besteht;

(2): Informationen, die der Quelle, nicht aber dem Beamten, der sie weitergibt, persönlich bekannt sind;

(3): Informationen, die der Quelle nicht persönlich bekannt sind, die aber durch andere bereits erfasste Informationen erhärtet werden;

(4): Informationen, die der Quelle nicht persönlich bekannt sind und die sich auf keine andere Weise erhärten lassen.

(3)   Gelangt Europol anhand der bereits in ihrem Besitz befindlichen Informationen zu dem Schluss, dass die Bewertung nach Absatz 1 oder 2 korrigiert werden muss, unterrichtet sie den betreffenden Mitgliedstaat und versucht, Einvernehmen über eine Änderung der Bewertung zu erzielen. Ohne dieses Einvernehmen ändert Europol die Bewertung nicht.

(4)   Erhält Europol von einem Mitgliedstaat Informationen ohne Bewertung nach Absatz 1 oder 2, so versucht Europol, die Verlässlichkeit der Quelle oder die Richtigkeit der Informationen anhand der bereits im Besitz von Europol befindlichen Informationen zu bewerten. Die Bewertung spezifischer Daten und Informationen erfolgt im Einvernehmen mit dem Mitgliedstaat, der die Daten oder Informationen liefert. Ein Mitgliedstaat und Europol können außerdem allgemeine Vereinbarungen über die Bewertung bestimmter Arten von Daten und bestimmter Quellen treffen. Wird im Einzelfall kein Einvernehmen erzielt oder gibt es keine allgemeine Vereinbarung, bewertet Europol die Informationen oder Daten und weist solchen Informationen oder Daten die in Absatz 1 bzw. Absatz 2 genannten Bewertungskodes (X) und (4) zu.

(5)   Dieser Artikel gilt entsprechend, wenn Europol Daten oder Informationen von einer Unionseinrichtung, einem Drittstaat, einer internationalen Organisation oder einer privaten Partei erhält.

(6)   Informationen aus öffentlich zugänglichen Quellen werden von Europol anhand der in den Absätzen 1 und 2 genannten Bewertungskodes bewertet.

(7)   Sind die Informationen das Ergebnis einer von Europol in Erfüllung ihrer Aufgaben vorgenommenen Analyse, so bewertet Europol diese Informationen nach Maßgabe dieses Artikels und im Einvernehmen mit den an der Analyse teilnehmenden Mitgliedstaaten.

Artikel 30

Verarbeitung besonderer Kategorien personenbezogener Daten und verschiedener Kategorien von betroffenen Personen

(1)   Die Verarbeitung personenbezogener Daten in Bezug auf Opfer von Straftaten, Zeugen oder andere Personen, die Informationen über Straftaten liefern können, oder in Bezug auf Personen unter 18 Jahren ist erlaubt, wenn sie für die Verhütung oder Bekämpfung von Straftaten, die unter die Ziele von Europol fallen, unbedingt notwendig und verhältnismäßig ist.

(2)   Unabhängig davon, ob die Verarbeitung automatisiert oder nicht automatisiert erfolgt, ist die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder eine Gewerkschaftszugehörigkeit einer Person hervorgehen, sowie die Verarbeitung genetischer Daten und Daten, welche die Gesundheit oder das Sexualleben betreffen, verboten, es sei denn, dass sie für die Verhütung oder Bekämpfung von Straftaten, die unter die Ziele von Europol fallen, unbedingt notwendig und verhältnismäßig ist und dass diese Daten andere von Europol verarbeitete personenbezogene Daten ergänzen. Die Auswahl einer bestimmten Gruppe von Personen allein anhand solcher personenbezogenen Daten ist verboten.

(3)   Allein Europol hat unmittelbaren Zugriff auf die personenbezogenen Daten der in den Absätzen 1 und 2 genannten Art. Der Exekutivdirektor erteilt einer begrenzten Anzahl von Europol-Beamten in der vorgeschriebenen Form ein Zugriffsrecht, falls dies für die Erfüllung ihrer Aufgaben erforderlich ist.

(4)   Eine Entscheidung einer zuständigen Behörde, die nachteilige rechtliche Folgen für eine betroffene Person nach sich zieht, darf sich auf keinen Fall ausschließlich auf eine automatisierte Datenverarbeitung der in Absatz 2 genannten Art stützen, es sei denn, die Entscheidung ist nach nationalem oder Unionsrecht ausdrücklich zulässig.

(5)   Personenbezogene Daten der in den Absätzen 1 und 2 genannten Art dürfen nicht an Mitgliedstaaten, Unionseinrichtungen, Drittstaaten oder internationale Organisationen übermittelt werden, es sei denn, diese Übermittlung ist in Einzelfällen im Zusammenhang mit Straftaten, die unter die Ziele von Europol fallen, unbedingt notwendig und verhältnismäßig und erfolgt im Einklang mit Kapitel V.

(6)   Jedes Jahr übermittelt Europol dem EDSB eine statistische Übersicht über alle von ihm verarbeiteten personenbezogenen Daten der in Absatz 2 genannten Art.

Artikel 31

Speicher- und Löschfristen für personenbezogene Daten

(1)   Von Europol verarbeitete personenbezogene Daten dürfen nur so lange von Europol gespeichert werden, wie dies für die Zwecke, zu denen die Daten verarbeitet werden, erforderlich und verhältnismäßig ist.

(2)   Spätestens drei Jahre nach Beginn der Verarbeitung personenbezogener Daten prüft Europol in allen Fällen, ob eine weitere Speicherung dieser Daten erforderlich ist. Europol kann beschließen, dass personenbezogene Daten bis zur nächsten Prüfung, die nach weiteren drei Jahren stattfindet, gespeichert bleiben, wenn dies für die Erfüllung der Aufgaben von Europol weiterhin erforderlich ist. Die Gründe für die weitere Speicherung werden angegeben und schriftlich festgehalten. Wird keine Fortsetzung der Speicherung beschlossen, werden die personenbezogenen Daten nach drei Jahren automatisch gelöscht.

(3)   Werden personenbezogene Daten der in Artikel 30 Absätze 1 und 2 genannten Art für einen Zeitraum von mehr als fünf Jahren gespeichert, so wird dies dem EDSB mitgeteilt.

(4)   Hat ein Mitgliedstaat, eine Unionseinrichtung, ein Drittstaat oder eine internationale Organisation zum Zeitpunkt der Übermittlung nach Artikel 19 Absatz 2 Einschränkungen im Hinblick auf eine vorzeitige Löschung oder Vernichtung der personenbezogenen Daten vorgesehen, so löscht Europol die personenbezogenen Daten gemäß diesen Vorgaben. Wird eine weitere Speicherung der Daten auf der Grundlage von Informationen, die über diejenigen des Datenlieferanten hinausgehen, für erforderlich gehalten, damit Europol ihre Aufgaben erfüllen kann, so ersucht Europol den Datenlieferanten um die Genehmigung, die Daten weiter speichern zu dürfen, und nennt ihm die Gründe für dieses Ersuchen.

(5)   Löscht ein Mitgliedstaat, eine Unionseinrichtung, ein Drittstaat oder eine internationale Organisation in seinen beziehungsweise ihren eigenen Dateien an Europol übermittelte personenbezogene Daten, so teilt er beziehungsweise sie dies Europol mit. Europol löscht daraufhin die Daten, es sei denn, Europol hält aufgrund von Informationen, die über diejenigen des Datenlieferanten hinausgehen, eine weitere Speicherung der Daten zur Erfüllung ihrer Aufgaben für erforderlich. Europol unterrichtet den Datenlieferanten von der weiteren Speicherung der Daten und begründet die Fortsetzung der Speicherung.

(6)   Personenbezogene Daten werden nicht gelöscht, wenn

a)	die Interessen einer betroffenen Person beeinträchtigt würden, die schutzbedürftig ist. In diesem Fall dürfen die Daten nur mit ausdrücklicher schriftlicher Einwilligung der betroffenen Person verwendet werden;

b)	ihre Richtigkeit von der betroffenen Person bestritten wird, solange bis der Mitgliedstaat oder Europol gegebenenfalls Gelegenheit haben, die Richtigkeit der Daten zu überprüfen;

c)	sie für Beweiszwecke oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen weiter aufbewahrt werden müssen; oder

d)	die betroffene Person Einspruch gegen ihre Löschung erhebt und stattdessen eine Einschränkung der Nutzung der Daten fordert.

Artikel 32

Sicherheit der Verarbeitung

(1)   Europol ergreift geeignete technische und organisatorische Maßnahmen, um der zufälligen oder widerrechtlichen Vernichtung, dem zufälligen Verlust, der unbefugten Weitergabe oder Veränderung der Daten und dem unbefugten Zugang zu ihnen sowie jeder anderen Form ihrer unrechtmäßigen Verarbeitung vorzubeugen.

(2)   Europol und jeder Mitgliedstaat trifft im Hinblick auf die automatisierte Datenverarbeitung Maßnahmen, die geeignet sind,

a)	Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);

b)	zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle);

c)	die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

d)	zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);

e)	zu gewährleisten, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten nur auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

f)	zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können oder übermittelt worden sind (Übermittlungskontrolle);

g)	zu gewährleisten, dass überprüft und festgestellt werden kann, welche personenbezogenen Daten wann und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

h)	zu gewährleisten, dass überprüft und festgestellt werden kann, auf welche Daten von welchem Mitarbeiter zu welcher Zeit zugegriffen wurde (Zugriffsprotokoll);

i)	zu verhindern, dass bei der Übertragung personenbezogener Daten oder beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, geändert oder gelöscht werden können (Transportkontrolle);

j)	zu gewährleisten, dass eingesetzte Systeme im Störungsfall unverzüglich wiederhergestellt werden können (Wiederherstellung); und

k)	zu gewährleisten, dass die Funktionen des Systems fehlerfrei ablaufen, auftretende Fehlfunktionen unverzüglich gemeldet werden (Verlässlichkeit) und gespeicherte Daten nicht durch Fehlfunktionen des Systems verfälscht werden (Unverfälschtheit).

(3)   Europol und die Mitgliedstaaten treffen Vorkehrungen, damit auch bei Beteiligung verschiedener Informationssysteme den Sicherheitserfordernissen Rechnung getragen wird.

Artikel 33

Datenschutz durch Technik

Europol führt geeignete technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Datenverarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden.

Artikel 34

Meldung von Verletzungen des Schutzes personenbezogener Daten an die betreffenden Behörden

(1)   Im Falle einer Verletzung des Schutzes personenbezogener Daten unterrichtet Europol unverzüglich den EDSB und die betreffenden zuständigen Behörden der Mitgliedstaaten, im Einklang mit den in Artikel 7 Absatz 5 festgelegten Bedingungen, sowie den betreffenden Datenlieferanten von dieser Verletzung.

(2)   Die Meldung gemäß Absatz 1 muss mindestens Folgendes enthalten:

a)	eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

b)	eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

c)	eine Beschreibung der von Europol vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten; und

d)	gegebenenfalls eine Angabe empfohlener Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten.

(3)   Europol dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten, einschließlich der die Verletzung betreffenden Tatsachen, der Auswirkungen der Verletzung und der getroffenen Abhilfemaßnahmen und ermöglicht damit dem EDSB die Überprüfung der Einhaltung dieses Artikels.

Artikel 35

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

(1)   Vorbehaltlich des Absatzes 4 dieses Artikels gilt für den Fall, dass eine Verletzung des Schutzes personenbezogener Daten im Sinne des Artikels 34 wahrscheinlich eine schwere Beeinträchtigung der Rechte und Freiheiten der betroffenen Person zur Folge hat, dass Europol unverzüglich die betroffene Person von der Verletzung des Schutzes personenbezogener Daten benachrichtigt.

(2)   Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst soweit möglich eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, eine Angabe empfohlener Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten.

(3)   Verfügt Europol nicht über die Kontaktdaten der betroffenen Person, so ersucht sie den Datenlieferanten, die betroffene Person von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen und Europol über die getroffenen Entscheidungen zu unterrichten. Die die Daten liefernden Mitgliedstaaten benachrichtigen die betroffene Person nach den in ihrem nationalen Recht vorgesehenen Verfahren von der Verletzung des Schutzes personenbezogener Daten.

(4)   Die Benachrichtigung der betroffenen Person von der Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn

a)	Europol geeignete technische Schutzmaßnahmen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt hat, die die betreffenden Daten für alle Personen verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind,

b)	Europol durch nachfolgende Maßnahmen sichergestellt hat, dass die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr erheblich beeinträchtigt werden, oder

c)

die Benachrichtigung insbesondere angesichts der Zahl der betroffenen Fälle mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesen Fällen hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam unterrichtet werden.

(5)   Die Benachrichtigung der betroffenen Person kann aufgeschoben, eingeschränkt oder unterlassen werden, sofern eine derartige Maßnahme — unter gebührender Berücksichtigung der legitimen Interessen der betroffenen Person — notwendig ist, um

a)	zu vermeiden, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren behindert werden;

b)	zu vermeiden, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten beeinträchtigt wird, oder um Strafen zu vollstrecken;

c)	die öffentliche und nationale Sicherheit zu schützen;

d)	die Rechte und Freiheiten Dritter zu schützen.

Artikel 36

Auskunftsrecht der betroffenen Person

(1)   Jede betroffene Person hat das Recht, in angemessenen Abständen zu erfahren, ob sie betreffende personenbezogene Daten von Europol verarbeitet werden.

(2)   Unbeschadet des Absatzes 5 übermittelt Europol der betroffenen Person

a)	eine Bestätigung, ob sie betreffende Daten verarbeitet werden oder nicht,

b)	zumindest Angaben zu den Zwecken der Verarbeitung, den Datenkategorien, die verarbeitet werden, den Empfängern oder Kategorien von Empfängern, an die die Daten übermittelt werden,

c)	eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie über alle verfügbaren Informationen zur Herkunft der Daten,

d)	eine Angabe der Rechtsgrundlage für die Datenverarbeitung,

e)	die geplante Speicherfrist,

f)	eine Belehrung über das Recht auf Berichtigung, auf Löschung der sie betreffenden personenbezogenen Daten bzw. auf Einschränkung der Verarbeitung dieser Daten durch Europol.

(3)   Jede betroffene Person, die ihr Recht auf Zugang zu sie betreffenden personenbezogenen Daten wahrnehmen will, kann dies bei der zu diesem Zweck benannten Behörde eines Mitgliedstaats seiner Wahl beantragen, ohne dass ihr dadurch übermäßige Kosten entstehen. Die Behörde leitet den Antrag unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, an Europol weiter.

(4)   Europol bestätigt den Eingang des Antrags nach Absatz 3. Europol beantwortet ihn unverzüglich, spätestens aber innerhalb von drei Monaten nach Eingang des Antrags der nationalen Behörde bei Europol.

(5)   Europol konsultiert die zuständigen Behörden der Mitgliedstaaten unter den in Artikel 7 Absatz 5 festgelegten Bedingungen sowie den betreffenden Datenlieferanten, bevor sie über einen Antrag entscheidet. Eine Entscheidung über den Zugang zu personenbezogenen Daten setzt eine enge Zusammenarbeit zwischen Europol und den Mitgliedstaaten sowie dem Datenlieferanten, der vom Zugang der betroffenen Person zu solchen Daten unmittelbar betroffen ist, voraus. Lehnt ein Mitgliedstaat oder der Datenlieferant die von Europol vorgeschlagene Antwort ab, so setzt er Europol unter Angabe von Gründen im Einklang mit Absatz 6 dieses Artikels davon in Kenntnis. Europol trägt jeder derartigen Ablehnung umfassend Rechnung. Europol unterrichtet anschließend die betreffenden zuständigen Behörden, im Einklang mit den in Artikel 7 Absatz 5 festgelegten Bedingungen, sowie den Datenlieferanten über ihre Entscheidung.

(6)   Die Bereitstellung von Informationen infolge eines Antrags nach Absatz 1 kann verweigert oder eingeschränkt werden, falls eine derartige Verweigerung oder Einschränkung erforderlich ist

a)	für die ordnungsgemäße Erfüllung der Aufgaben von Europol,

b)	zum Schutz der Sicherheit und der öffentlichen Ordnung oder zur Bekämpfung von Straftaten,

c)	zur Gewährleistung, dass keine nationalen Ermittlungen gestört werden, oder

d)	zum Schutz der Rechte und Freiheiten Dritter.

Bei der Prüfung, ob eine Ausnahme in Frage kommt, werden die Grundrechte und Interessen der betroffenen Person berücksichtigt.

(7)   Europol unterrichtet die betroffene Person schriftlich über die Zugangsverweigerung oder -einschränkung, über die Gründe einer solchen Entscheidung und ihr Recht, beim EDSB Beschwerde einzulegen. Würde Absatz 6 durch die Bereitstellung dieser Informationen wirkungslos, so teilt Europol der betroffenen Person lediglich mit, dass es eine Überprüfung vorgenommen hat, ohne dabei Hinweise zu geben, denen die Person entnehmen könnte, dass bei Europol sie betreffende Daten verarbeitet werden.

Artikel 37

Recht auf Berichtigung, Löschung und Einschränkung

(1)   Jede betroffene Person, die gemäß Artikel 36 auf sie betreffende personenbezogene Daten, die von Europol verarbeitet wurden, zugegriffen hat, hat das Recht, von Europol über die zu diesem Zweck benannte Behörde in dem Mitgliedstaat ihrer Wahl die Berichtigung von sie betreffenden fehlerhaften personenbezogenen Daten, die bei Europol gespeichert sind, sowie deren Vervollständigung oder Aktualisierung zu verlangen. Die Behörde leitet den Antrag unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, an Europol weiter.

(2)   Jede betroffene Person, die gemäß Artikel 36 auf sie betreffende personenbezogene Daten, die von Europol verarbeitet wurden, zugegriffen hat, hat das Recht, von Europol über die zu diesem Zweck benannte Behörde in dem Mitgliedstaat ihrer Wahl die Löschung von sie betreffenden personenbezogenen Daten, die bei Europol gespeichert sind, zu verlangen, wenn diese für die Zwecke, für die sie erhoben oder weiterverarbeitet wurden, nicht mehr benötigt werden. Die Behörde leitet den Antrag unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, an Europol weiter.

(3)   Besteht berechtigter Grund zu der Annahme, dass eine Löschung die schutzwürdigen Interessen der betroffenen Person beeinträchtigen würde, so werden die personenbezogenen Daten nach Absatz 2 von Europol nicht gelöscht, sondern lediglich ihre Verarbeitung eingeschränkt. In ihrer Verarbeitung eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.

(4)   Wurden bei Europol gespeicherte personenbezogene Daten der in den Absätzen 1, 2 und 3 genannten Art Europol von Drittstaaten, internationalen Organisationen oder Unionseinrichtungen übermittelt oder wurden sie unmittelbar durch private Parteien übermittelt oder von Europol aus öffentlich zugänglichen Quellen beschafft oder stammen sie aus eigenen Analysen von Europol, so nimmt Europol die Berichtigung, Löschung oder Einschränkung der Verarbeitung dieser Daten vor und unterrichtet gegebenenfalls die betreffenden Datenlieferanten.

(5)   Wurden bei Europol gespeicherte personenbezogene Daten der in den Absätzen 1, 2 und 3 genannten Art Europol von Mitgliedstaaten übermittelt, so berichtigen oder löschen die betreffenden Mitgliedstaaten diese Daten im Rahmen ihrer jeweiligen Zuständigkeiten in Abstimmung mit Europol bzw. schränken ihre Verarbeitung ein.

(6)   Wurden Europol auf sonstige geeignete Weise unrichtige personenbezogene Daten übermittelt oder sind die Fehler in den von den Mitgliedstaaten gelieferten Daten auf eine fehlerhafte oder unter Verstoß gegen diese Verordnung stehende Übermittlung zurückzuführen oder beruht die Fehlerhaftigkeit darauf, dass Europol Daten in nicht ordnungsgemäßer Weise oder unter Verstoß gegen diese Verordnung eingegeben, übernommen oder gespeichert hat, so berichtigt oder löscht Europol solche Daten in Abstimmung mit dem betreffenden Datenlieferanten.

(7)   In den in den Absätzen 4, 5 und 6 genannten Fällen werden alle Empfänger der betreffenden Daten unverzüglich unterrichtet. Diese Empfänger müssen dann gemäß den für sie geltenden Regeln in ihrem eigenen System ebenfalls die entsprechende Berichtigung, Löschung oder Einschränkung der Verarbeitung vornehmen.

(8)   Europol teilt der betroffenen Person binnen kürzester Frist, spätestens aber innerhalb von drei Monaten nach Eingang eines Antrags nach Absatz 1 oder 2, schriftlich mit, dass die betreffenden Daten berichtigt oder gelöscht wurden bzw. ihre Verarbeitung eingeschränkt wurde.

(9)   Europol unterrichtet die betroffene Person innerhalb von drei Monaten nach Eingang eines Antrags nach Absatz 1 oder 2 schriftlich über jede Verweigerung einer Berichtigung, Löschung oder Einschränkung der Verarbeitung, über die Gründe für eine solche Verweigerung sowie über die Möglichkeit, Beschwerde beim EDSB einzulegen oder den Rechtsweg zu beschreiten.

Artikel 38

Datenschutzrechtliche Verantwortung

(1)   Europol speichert personenbezogene Daten so, dass gewährleistet ist, dass ihre Quelle nach Maßgabe von Artikel 17 feststellbar ist.

(2)   Die Verantwortung für die Qualität personenbezogener Daten gemäß Artikel 28 Absatz 1 Buchstabe d liegt bei:

a)	dem Mitgliedstaat oder der Unionseinrichtung, der/die die personenbezogenen Daten an Europol übermittelt hat,

b)

Europol, für personenbezogene Daten, die von Drittstaaten oder internationalen Organisationen oder unmittelbar von privaten Parteien übermittelt wurden; für von Europol aus öffentlich zugänglichen Quellen abgerufene oder aus eigenen Analysen von Europol stammende personenbezogene Daten oder für von Europol gemäß Artikel 31 Absatz 5 gespeicherte personenbezogene Daten.

(3)   Stellt Europol fest, dass gemäß Artikel 17 Absatz 1 Buchstaben a und b übermittelte personenbezogene Daten sachlich unrichtig sind oder unrechtmäßig gespeichert wurden, so unterrichtet sie den Lieferanten dieser Daten davon.

(4)   Europol ist für die Einhaltung der Grundsätze nach Artikel 28 Absatz 1 Buchstaben a, b, c, e und f verantwortlich.

(5)   Die Verantwortung für die Rechtmäßigkeit einer Datenübermittlung liegt bei:

a)	dem Mitgliedstaat, der personenbezogene Daten an Europol übermittelt hat,

b)	Europol, wenn Europol personenbezogene Daten an Mitgliedstaaten, Drittstaaten oder internationale Organisationen übermittelt hat.

(6)   Bei Übermittlungen zwischen Europol und Unionseinrichtungen liegt die Verantwortung für die Rechtmäßigkeit der Übermittlung bei Europol.

Unbeschadet des ersten Unterabsatzes sind sowohl Europol als auch der Empfänger für die Rechtmäßigkeit dieser Übermittlung verantwortlich, wenn Europol die Daten auf Ersuchen des Empfängers übermittelt.

(7)   Europol trägt die Verantwortung für alle von ihr durchgeführten Datenverarbeitungsvorgänge mit Ausnahme des unter Nutzung der Infrastruktur von Europol zwischen Mitgliedstaaten, Unionseinrichtungen, Drittstaaten und internationalen Organisationen erfolgenden bilateralen Austauschs von Daten, auf die Europol keinen Zugriff hat. Ein derartiger bilateraler Austausch erfolgt unter der Verantwortung der betreffenden Stellen nach Maßgabe ihres Rechts. Die Sicherheit dieses Austauschs wird im Einklang mit Artikel 32 gewährleistet.

Artikel 39

Vorherige Konsultation

(1)   Jede neue Art von Verarbeitungsvorgang, den es durchzuführen gilt, ist Gegenstand einer vorherigen Konsultation, wenn

a)	in Artikel 30 Absatz 2 genannte besondere Kategorien von Daten verarbeitet werden,

b)	von der Art der Verarbeitung, insbesondere der Verarbeitung mit neuen Technologien, Mechanismen oder Verfahren, besondere Gefahren für die Grundrechte und Grundfreiheiten der betroffenen Personen und insbesondere den Schutz ihrer personenbezogenen Daten ausgehen.

(2)   Die vorherige Konsultation wird vom EDSB nach Erhalt der Meldung des Datenschutzbeauftragten vorgenommen, die zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Mechanismen enthält, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung zu tragen ist.

(3)   Der EDSB legt seine Stellungnahme dem Verwaltungsrat innerhalb von zwei Monaten nach Empfang der Meldung vor. Diese Frist kann ausgesetzt werden, bis dem EDSB weitere von ihm erbetene Auskünfte vorliegen.

Ist nach Ablauf von vier Monaten keine Stellungnahme erfolgt, so gilt sie als befürwortend.

Ist der EDSB der Ansicht, dass bei der gemeldeten Verarbeitung ein Verstoß gegen eine der Bestimmungen dieser Verordnung vorliegen könnte, schlägt er gegebenenfalls Abhilfemaßnahmen vor. Ändert Europol die Verarbeitung nicht entsprechend, kann der EDSB seine Befugnisse nach Artikel 43 Absatz 3 ausüben.

(4)   Der EDSB führt ein Register aller ihm aufgrund von Absatz 1 gemeldeten Verarbeitungen. Das Register ist nicht öffentlich einsehbar.

Artikel 40

Protokollierung und Dokumentierung

(1)   Zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenkontrolle und der Sicherstellung der Unverfälschtheit und Sicherheit der Daten hält Europol die Erhebung, Änderung, Offenlegung, Verknüpfung oder Löschung personenbezogener Daten sowie den Zugriff auf diese Daten schriftlich fest. Die dazugehörigen Protokolle oder Dokumentierungen werden nach drei Jahren gelöscht, sofern die Daten, die sie enthalten, nicht für eine gerade laufende Kontrolle noch weiter benötigt werden. Eine Änderung der Protokolle darf nicht möglich sein.

(2)   Die nach Absatz 1 erstellten Protokolle oder Dokumentierungen werden dem EDSB, dem Datenschutzbeauftragten und, falls sie für bestimmte Ermittlungen benötigt werden, der betreffenden nationalen Stelle auf Verlangen übermittelt. Die so übermittelten Informationen werden ausschließlich zu Zwecken der Datenschutzkontrolle und zur Sicherstellung einer ordnungsgemäßen Verarbeitung sowie der Integrität und Sicherheit der Daten verwendet.

Artikel 41

Datenschutzbeauftragter

(1)   Der Verwaltungsrat ernennt einen Datenschutzbeauftragten, der dem Personal von Europol angehört. In Erfüllung seiner Pflichten handelt er unabhängig.

(2)   Der Datenschutzbeauftragte wird aufgrund seiner persönlichen und beruflichen Befähigung und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes ausgewählt.

Bei der Wahl des Datenschutzbeauftragten wird gewährleistet, dass kein Interessenkonflikt zwischen seinem Amt als Datenschutzbeauftragtem und seinen sonstigen dienstlichen Aufgaben, insbesondere Aufgaben in Verbindung mit der Anwendung dieser Verordnung, führen kann.

(3)   Der Datenschutzbeauftragte wird für einen Zeitraum von vier Jahren ernannt. Eine Wiederernennung für einen Gesamtzeitraum von höchstens acht Jahren ist möglich. Der Datenschutzbeauftragte kann vom Verwaltungsrat nur mit Zustimmung des EDSB seines Amtes als Datenschutzbeauftragter enthoben werden, wenn er die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.

(4)   Nach seiner Ernennung ist der Datenschutzbeauftragte durch den Verwaltungsrat beim EDSB einzutragen.

(5)   Bei der Wahrnehmung seiner Aufgaben ist der Datenschutzbeauftragte keinen Weisungen unterworfen.

(6)   In Bezug auf personenbezogene Daten mit Ausnahme verwaltungstechnischer personenbezogener Daten nimmt der Datenschutzbeauftragte insbesondere folgende Aufgaben wahr:

a)	Er stellt in unabhängiger Weise sicher, dass diese Verordnung betreffend die Verarbeitung personenbezogener Daten intern Anwendung findet;

b)	er stellt sicher, dass die Übermittlung und der Erhalt personenbezogener Daten nach Maßgabe dieser Verordnung erfasst werden;

c)	er stellt sicher, dass die betroffenen Personen auf Anfrage über die ihnen nach dieser Verordnung zustehenden Rechte informiert werden;

d)	er arbeitet mit dem für Verfahren, Schulung und Beratung im Bereich der Datenverarbeitung zuständigen Personal von Europol zusammen;

e)	er arbeitet mit dem EDSB zusammen;

f)	er erstellt einen Jahresbericht und übermittelt diesen dem Verwaltungsrat und dem EDSB;

g)	er führt ein Register der Verletzungen des Schutzes personenbezogener Daten.

(7)   Der Datenschutzbeauftragte nimmt in Bezug auf verwaltungstechnische personenbezogene Daten die in der Verordnung (EG) Nr. 45/2001 vorgesehenen Aufgaben wahr.

(8)   Zur Erfüllung seiner Aufgaben hat der Datenschutzbeauftragte Zugang zu allen von Europol verarbeiteten Daten und zu allen Räumlichkeiten von Europol.

(9)   Ist der Datenschutzbeauftragte der Auffassung, dass die Bestimmungen dieser Verordnung über die Verarbeitung personenbezogener Daten nicht eingehalten wurden, so unterrichtet er den Exekutivdirektor und fordert diesen auf, innerhalb einer bestimmten Frist Abhilfe zu schaffen.

Sorgt der Exekutivdirektor nicht innerhalb der bestimmten Frist für Abhilfe, so unterrichtet der Datenschutzbeauftragte den Verwaltungsrat. Der Datenschutzbeauftragte und der Verwaltungsrat setzen gemeinsam eine Frist für eine Reaktion des Verwaltungsrats. Sorgt der Verwaltungsrat nicht innerhalb der bestimmten Frist für Abhilfe, so befasst der Datenschutzbeauftragte den EDSB.

(10)   Der Verwaltungsrat erlässt den Datenschutzbeauftragten betreffende Durchführungsbestimmungen. Diese Durchführungsbestimmungen betreffen insbesondere das Auswahlverfahren für die Stelle des Datenschutzbeauftragten, seine Entlassung sowie seine Aufgaben, Pflichten und Befugnisse und die Garantien zur Gewährleistung seiner Unabhängigkeit.

(11)   Europol stellt dem Datenschutzbeauftragten das für die Erfüllung seiner Aufgaben erforderliche Personal und die entsprechenden Ressourcen zur Verfügung. Der Zugang dieser Mitglieder des Personals zu allen bei Europol verarbeiteten personenbezogenen Daten und den Räumlichkeiten von Europol ist auf das für die Erfüllung ihrer Aufgaben erforderliche Maß beschränkt.

(12)   Der Datenschutzbeauftragte und sein Personal sind nach Artikel 67 Absatz 1 zur Verschwiegenheit verpflichtet.

Artikel 42

Überwachung durch die nationale Kontrollbehörde

(1)   Jeder Mitgliedstaat benennt eine nationale Kontrollbehörde. Die Aufgabe der nationalen Kontrollbehörde besteht darin, nach Maßgabe des jeweiligen nationalen Rechts in unabhängiger Weise die Zulässigkeit der Übermittlung und des Abrufs personenbezogener Daten sowie jedweder Übermittlung dieser Daten an Europol durch diesen Mitgliedstaat zu überwachen und zu prüfen, ob hierdurch die Rechte der betreffenden betroffenen Personen verletzt werden. Zu diesem Zweck hat die nationale Kontrollbehörde entweder bei der nationalen Stelle oder in den Räumlichkeiten der Verbindungsbeamten Zugang zu den Daten, die ihr Mitgliedstaat nach den einschlägigen nationalen Verfahren an Europol übermittelt, sowie zu den Protokollen und Dokumentierungen nach Artikel 40.

(2)   Zur Durchführung ihrer Kontrollen haben die nationalen Kontrollbehörden Zugang zu den Diensträumen und zu den Akten der jeweiligen zu Europol entsandten Verbindungsbeamten.

(3)   Die nationalen Kontrollbehörden kontrollieren nach den einschlägigen nationalen Verfahren die Tätigkeit der nationalen Stellen sowie die Tätigkeit der Verbindungsbeamten, soweit diese Tätigkeit für den Schutz personenbezogener Daten von Belang ist. Sie halten den EDSB über die von ihnen in Bezug auf Europol getroffenen Maßnahmen auf dem Laufenden.

(4)   Jede Person hat das Recht, die nationale Kontrollbehörde zu ersuchen, die Rechtmäßigkeit jeglicher Übermittlung oder Kommunikation von sie betreffenden Daten an Europol sowie des Abrufs dieser Daten durch den betreffenden Mitgliedstaat zu prüfen. Dieses Recht wird nach Maßgabe des nationalen Rechts des Mitgliedstaats, an dessen nationale Kontrollinstanz das Ersuchen gerichtet wird, ausgeübt.

Artikel 43

Kontrolle durch den EDSB

(1)   Der EDSB ist zuständig für die Kontrolle und Sicherstellung der Anwendung dieser Verordnung zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Europol sowie für die Beratung von Europol und der betroffenen Personen in allen die Verarbeitung personenbezogener Daten betreffenden Angelegenheiten. Zu diesem Zweck erfüllt er die in Absatz 2 genannten Aufgaben und übt die in Absatz 3 festgelegten Befugnisse in enger Zusammenarbeit mit den nationalen Kontrollbehörden gemäß Artikel 44 aus.

(2)   Der EDSB hat folgende Aufgaben:

a)	Er hört und prüft Beschwerden und unterrichtet die betroffenen Personen innerhalb einer angemessenen Frist über die Ergebnisse;

b)	er führt von sich aus oder aufgrund einer Beschwerde Untersuchungen durch und unterrichtet die betroffenen Personen innerhalb einer angemessenen Frist über die Ergebnisse;

c)	er kontrolliert und stellt die Anwendung dieser Verordnung und anderer Rechtsvorschriften der Union, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Europol betreffen, sicher;

d)	er berät Europol von sich aus oder auf Anfrage in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen, insbesondere bevor Europol interne Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten ausarbeitet;

e)	er führt ein Register der ihm aufgrund von Artikel 39 Absatz 1 gemeldeten und gemäß Artikel 39 Absatz 4 registrierten neuen Arten von Verarbeitungsvorgängen;

f)	er nimmt eine vorherige Konsultation betreffend die ihm gemeldeten Verarbeitungen vor.

(3)   Der EDSB kann im Rahmen dieser Verordnung:

a)	betroffene Personen bei der Ausübung ihrer Rechte beraten,

b)	bei einem behaupteten Verstoß gegen die Vorschriften über die Verarbeitung personenbezogener Daten Europol mit der Angelegenheit befassen und gegebenenfalls Vorschläge zur Behebung dieses Verstoßes und zur Verbesserung des Schutzes der betroffenen Personen machen,

c)	anordnen, dass Anträgen auf Ausübung bestimmter Rechte in Bezug auf Daten stattgegeben wird, wenn diese Anträge unter Verstoß gegen die Artikel 36 und 37 abgelehnt wurden;

d)	Europol ermahnen oder verwarnen;

e)

Europol anweisen, die Berichtigung, Einschränkung der Verarbeitung, Löschung oder Vernichtung von personenbezogenen Daten, die unter Verletzung der Vorschriften über die Verarbeitung personenbezogener Daten verarbeitet wurden, durchzuführen und solche Maßnahmen Dritten, denen diese Daten mitgeteilt wurden, zu melden;

f)	diejenigen Verarbeitungsvorgänge Europols, die einen Verstoß gegen die Vorschriften über die Verarbeitung personenbezogener Daten darstellen, vorübergehend oder endgültig verbieten;

g)	Europol und, falls erforderlich, das Europäische Parlament, den Rat und die Kommission mit einer Angelegenheit befassen;

h)	unter den im AEUV vorgesehenen Bedingungen in einer Angelegenheit den Gerichtshof der Europäischen Union anrufen;

i)	beim Gerichtshof der Europäischen Union anhängigen Verfahren beitreten.

(4)   Der EDSB ist befugt,

a)	von Europol Zugang zu allen personenbezogenen Daten und allen für seine Untersuchungen erforderlichen Informationen zu erhalten,

b)	Zugang zu allen Räumlichkeiten zu erhalten, in denen Europol ihre Tätigkeiten ausübt, sofern die begründete Annahme besteht, dass dort eine von dieser Verordnung betroffene Tätigkeit ausgeübt wird.

(5)   Der EDSB erstellt einen jährlichen Bericht über seine Europol betreffenden Kontrolltätigkeiten, nachdem er die nationalen Kontrollbehörden konsultiert hat. Dieser Bericht ist Teil des in Artikel 48 der Verordnung (EG) Nr. 45/2001 genannten jährlichen Berichts des EDSB.

Dieser Bericht enthält statistische Informationen in Bezug auf Beschwerden, Ermittlungen und Untersuchungen, die gemäß Absatz 2 durchgeführt wurden, sowie in Bezug auf die Weitergabe personenbezogener Daten an Drittstaaten und internationale Organisationen, Fälle vorheriger Konsultation und die Ausübung der Befugnisse gemäß Absatz 3.

(6)   Der EDSB sowie die Beamten und sonstigen Bediensteten der Geschäftsstelle des EDSB sind nach Artikel 67 Absatz 1 zur Verschwiegenheit verpflichtet.

Artikel 44

Zusammenarbeit zwischen dem EDSB und den nationalen Kontrollbehörden

(1)   Bei Fragen, die eine Einbeziehung der Mitgliedstaaten erfordern, arbeitet der EDSB eng mit den nationalen Kontrollbehörden zusammen, vor allem, wenn der EDSB oder eine nationale Kontrollbehörde größere Diskrepanzen zwischen den Verfahrensweisen der Mitgliedstaaten oder möglicherweise unrechtmäßige Übermittlungen über die Informationskanäle von Europol feststellt, oder bei Fragen einer oder mehrerer nationaler Kontrollbehörden zur Umsetzung und Auslegung dieser Verordnung.

(2)   Der EDSB nutzt bei der Wahrnehmung seiner Pflichten gemäß Artikel 43 Absatz 2 die Fachkenntnisse und Erfahrungen nationaler Kontrollbehörden. Bei der Wahrnehmung gemeinsamer Inspektionen mit dem EDSB haben die Mitglieder und Bediensteten der nationalen Kontrollbehörden unter gebührender Berücksichtigung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit die Befugnisse, die den Befugnissen nach Artikel 43 Absatz 4 entsprechen, und sind entsprechend der Verpflichtung nach Artikel 43 Absatz 6 verpflichtet. Im Rahmen ihrer jeweiligen Zuständigkeiten tauschen der EDSB und die nationalen Kontrollbehörden einschlägige Informationen aus und unterstützen sich gegenseitig bei Überprüfungen und Inspektionen.

(3)   Der EDSB unterrichtet die nationalen Kontrollbehörden regelmäßig über alle Fragen, die sie unmittelbar betreffen oder in sonstiger Hinsicht für sie relevant sind. Auf Antrag einer oder mehrerer nationaler Kontrollbehörden unterrichtet der EDSB sie über spezielle Fragen.

(4)   In Fällen, die Daten aus einem oder mehreren Mitgliedstaaten betreffen — einschließlich der in Artikel 47 Absatz 2 aufgeführten Fälle —, konsultiert der EDSB die betroffenen nationalen Kontrollbehörden. Der EDSB trifft keinen Beschluss zur Einleitung weiterer Maßnahmen, bevor nicht diese nationalen Kontrollbehörden den EDSB von ihrem Standpunkt in Kenntnis gesetzt haben, wozu vom EDSB eine Frist von mindestens einem Monat und höchstens drei Monaten gesetzt wird. Der EDSB trägt den jeweiligen Standpunkten der nationalen Kontrollbehörden umfassend Rechnung. Beabsichtigt der EDSB, den Standpunkt einer nationalen Kontrollbehörde nicht zu berücksichtigen, so teilt er dieser Behörde dies unter Angabe der Gründe mit und befasst den durch Artikel 45 Absatz 1 eingesetzten Beirat für die Zusammenarbeit mit der Erörterung dieser Angelegenheit.

Liegt nach Auffassung des EDSB eine besondere Dringlichkeit vor, so kann er umgehend tätig werden. In solchen Fällen informiert der EDSB unverzüglich die betroffenen nationalen Kontrollbehörden und begründet die von ihm festgestellte Dringlichkeit und seine in diesem Zusammenhang eingeleiteten Maßnahmen.

Artikel 45

Beirat für die Zusammenarbeit

(1)   Es wird ein Beirat für die Zusammenarbeit eingesetzt, dem eine Beratungsfunktion zukommt. Er besteht aus je einem Vertreter einer nationalen Kontrollbehörde jedes Mitgliedstaats und dem EDSB.

(2)   Der Beirat für die Zusammenarbeit handelt bei der Ausführung seiner Aufgaben gemäß Absatz 3 unabhängig, fordert von niemandem Weisungen an und nimmt auch keine Weisungen entgegen.

(3)   Der Beirat für die Zusammenarbeit hat folgende Aufgaben:

a)	Erörterung der allgemeinen Politik und Strategie Europols im Bereich der Überwachung des Datenschutzes und der Zulässigkeit der Übermittlung und des Abrufs personenbezogener Daten sowie der Mitteilung von personenbezogenen Daten an Europol durch die Mitgliedstaaten;

b)	Prüfung von Schwierigkeiten bei der Auslegung oder Anwendung dieser Verordnung;

c)	Untersuchung allgemeiner Probleme im Zusammenhang mit der Ausübung der unabhängigen Überwachung oder der Ausübung der Rechte der betroffen Personen;

d)	Erörterung und Ausarbeitung harmonisierter Vorschläge für gemeinsame Lösungen in den in Artikel 44 Absatz 1 genannten Fragen;

e)	Erörterung der vom EDSB gemäß Artikel 44 Absatz 4 vorgelegten Fälle;

f)	Erörterung der von den nationalen Kontrollbehörden vorgelegten Fälle und

g)	Förderung der Sensibilisierung für Datenschutzrechte.

(4)   Der Beirat für die Zusammenarbeit kann Stellungnahmen, Leitlinien und Empfehlungen formulieren und bewährte Verfahren festlegen. Der EDSB und die nationalen Kontrollbehörden tragen ihnen im Rahmen ihrer jeweiligen Zuständigkeiten und unter Wahrung ihrer Unabhängigkeit umfassend Rechnung.

(5)   Der Beirat für die Zusammenarbeit tritt nach Bedarf, mindestens jedoch zweimal jährlich zusammen. Die Kosten und die Ausrichtung seiner Sitzungen übernimmt der EDSB.

(6)   Der Beirat für die Zusammenarbeit nimmt in seiner ersten Sitzung mit einfacher Mehrheit seiner Mitglieder seine Geschäftsordnung an. Weitere Arbeitsverfahren werden je nach Bedarf gemeinsam festgelegt.

Artikel 46

Verwaltungstechnische personenbezogene Daten

Die Verordnung (EG) Nr. 45/2001 gilt für alle verwaltungstechnischen personenbezogenen Daten im Besitz von Europol.

KAPITEL VII

RECHTSBEHELFE UND HAFTUNG

Artikel 47

Recht auf Beschwerde beim EDSB

(1)   Jede betroffene Person kann beim EDSB eine Beschwerde einreichen, wenn sie der Ansicht ist, dass die Verarbeitung sie betreffender personenbezogener Daten durch Europol gegen diese Verordnung verstößt.

(2)   Betrifft eine Beschwerde eine Entscheidung gemäß den Artikeln 36 oder 37, so konsultiert der EDSB die nationalen Kontrollbehörden des Mitgliedstaats, von dem die Daten stammen, oder des unmittelbar betroffenen Mitgliedstaats. Bei der Annahme seiner Entscheidung, die bis zu der Verweigerung jeglicher Übermittlung von Informationen reichen kann, berücksichtigt der EDSB die Stellungnahme der nationalen Kontrollbehörde.

(3)   Betrifft eine Beschwerde die Verarbeitung von Daten, die ein Mitgliedstaat an Europol übermittelt hat, so vergewissern sich der EDSB und die nationale Kontrollbehörde des übermittelnden Mitgliedstaats im Rahmen ihrer jeweiligen Zuständigkeiten, dass die erforderliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung ordnungsgemäß durchgeführt worden ist.

(4)   Betrifft eine Beschwerde die Verarbeitung von Daten, die Europol von Unionseinrichtungen, Drittstaaten oder internationalen Organisationen übermittelt wurden, oder von Daten, die Europol aus öffentlich zugänglichen Quellen eingeholt hat oder die Ergebnisse eigener Analysen von Europol sind, so vergewissert sich der EDSB, dass Europol die erforderliche Überprüfung der Rechtmäßigkeit der Datenverarbeitung ordnungsgemäß durchgeführt hat.

Artikel 48

Rechtsbehelf gegen den EDSB

Etwaige Klagen gegen Entscheidungen des EDSB werden beim Gerichtshof der Europäischen Union erhoben.

Artikel 49

Allgemeine Bestimmungen zur Haftung und zum Recht auf Schadensersatz

(1)   Die vertragliche Haftung von Europol bestimmt sich nach dem Recht, das auf den betreffenden Vertrag anzuwenden ist.

(2)   Für Entscheidungen aufgrund einer Schiedsklausel in einem von Europol geschlossenen Vertrag ist der Gerichtshof der Europäischen Union zuständig.

(3)   Unbeschadet des Artikels 49 ersetzt Europol im Bereich der außervertraglichen Haftung die von ihren Dienststellen oder ihren Bediensteten in Ausübung ihrer Amtstätigkeit verursachten Schäden nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind.

(4)   Für Streitfälle im Zusammenhang mit dem Schadensersatz nach Absatz 3 ist der Gerichtshof der Europäischen Union zuständig.

(5)   Die persönliche Haftung der Europol-Bediensteten gegenüber Europol bestimmt sich nach den Vorschriften des Beamtenstatuts beziehungsweise der für sie geltenden Beschäftigungsbedingungen für die sonstigen Bediensteten.

Artikel 50

Haftung für die fehlerhafte Verarbeitung personenbezogener Daten und Recht auf Schadensersatz

(1)   Jede Person, der wegen einer widerrechtlichen Datenverarbeitung ein Schaden entsteht, hat das Recht, entweder von Europol nach Artikel 340 AEUV oder von dem Mitgliedstaat, in dem der Schadensfall eingetreten ist, nach den nationalen Rechtsvorschriften des betreffenden Mitgliedstaats Schadensersatz zu fordern. Die Person erhebt Klage gegen Europol beim Gerichtshof der Europäischen Union oder gegen den Mitgliedstaat bei dem zuständigen nationalen Gericht des betreffenden Mitgliedstaats.

(2)   Bei Meinungsverschiedenheiten zwischen Europol und Mitgliedstaaten über die Frage, wer letztlich für den einer Person nach Absatz 1 gewährten Schadensersatz zuständig ist, wird der Verwaltungsrat befasst, der mit Zweidrittelmehrheit seiner Mitglieder entscheidet, unbeschadet des Rechts, diese Entscheidung nach Artikel 263 AEUV anzufechten.

KAPITEL VIII

GEMEINSAME PARLAMENTARISCHE KONTROLLE

Artikel 51

Gemeinsame Parlamentarische Kontrolle

(1)   Gemäß Artikel 88 AEUV wird die Kontrolle der Tätigkeiten von Europol durch das Europäische Parlament zusammen mit den nationalen Parlamenten ausgeübt. Dafür wird ein spezieller Gemeinsamer parlamentarischer Kontrollausschuss gebildet, den die nationalen Parlamente und der zuständige Ausschuss des Europäischen Parlaments gemeinsam einsetzen. Die Arbeitsweise und die Geschäftsordnung des Gemeinsamen parlamentarischen Kontrollausschusses werden vom Europäischen Parlament und den nationalen Parlamenten gemäß Artikel 9 des Protokolls Nr. 1 gemeinsam festgelegt.

(2)   Der Gemeinsame parlamentarische Kontrollausschuss führt die politische Kontrolle der Tätigkeiten Europols bei der Erfüllung ihres Auftrags durch, einschließlich hinsichtlich der Auswirkungen dieser Tätigkeiten auf die Grundrechte und Grundfreiheiten natürlicher Personen.

Für die Zwecke von Unterabsatz 1 gilt Folgendes:

a)

Der Vorsitzende des Verwaltungsrats, der Exekutivdirektor oder ihre Stellvertreter erscheinen vor dem Gemeinsamen parlamentarischen Kontrollausschuss auf dessen Verlangen zur Erörterung von Angelegenheiten in Bezug auf die in Unterabsatz 1 genannten Tätigkeiten, einschließlich der Haushaltsaspekte dieser Tätigkeiten, der Organisationsstruktur Europols und der möglichen Einrichtung neuer Einheiten oder Fachzentren; dabei berücksichtigen sie die Verpflichtung zur Zurückhaltung und Verschwiegenheit. Der Ausschuss kann gegebenenfalls beschließen, weitere maßgebliche Personen zu seinen Sitzungen hinzuzuziehen;

b)

der EDSB erscheint vor dem Gemeinsamen parlamentarischen Kontrollausschuss auf dessen Verlangen und mindestens einmal jährlich, um mit diesem allgemeine Fragen der Grundrechte und Grundfreiheiten natürlicher Personen zu erörtern, insbesondere den Schutz personenbezogener Daten im Zusammenhang mit den Tätigkeiten von Europol, wobei der Verpflichtung zu Verschwiegenheit und Geheimhaltung Rechnung getragen wird.

c)	Der Gemeinsame parlamentarische Kontrollausschuss wird zur mehrjährigen Programmplanung von Europol gemäß Artikel 12 Absatz 1 gehört.

(3)   Europol übermittelt unter Berücksichtigung der Verpflichtung zur Zurückhaltung und Verschwiegenheit dem Gemeinsamen parlamentarischen Kontrollausschuss informationshalber die folgenden Dokumente:

a)	im Zusammenhang mit den Zielen von Europol stehende Risikobewertungen, strategische Analysen und allgemeine Lageberichte sowie die Ergebnisse von Europol in Auftrag gegebener Studien und Evaluierungen;

b)	die gemäß Artikel 25 Absatz 1 geschlossenen Verwaltungsvereinbarungen;

c)	das Dokument gemäß Artikel 12 Absatz 1, das die mehrjährige Programmplanung und das jährliche Arbeitsprogramm von Europol enthält;

d)	den konsolidierten jährlichen Tätigkeitsbericht über die Tätigkeiten von Europol gemäß Artikel 11 Absatz 1 Buchstabe c;

e)	den von der Kommission erstellten Bewertungsbericht gemäß Artikel 68 Absatz 1.

(4)   Der Gemeinsame parlamentarische Kontrollausschuss kann andere zur Wahrnehmung seiner Aufgaben erforderliche relevante Unterlagen hinsichtlich der politischen Überwachung der Tätigkeiten von Europol gemäß der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (23) und unbeschadet der Artikel 52 und 67 der vorliegenden Verordnung anfordern.

(5)   Der Gemeinsame parlamentarische Kontrollausschuss kann zusammenfassende Schlussfolgerungen über die politische Kontrolle der Tätigkeiten von Europol erstellen und diese Schlussfolgerungen dem Europäischen Parlament und den nationalen Parlamenten übermitteln. Das Europäische Parlament übermittelt die zusammenfassenden Schlussfolgerungen informationshalber an den Rat, die Kommission und Europol.

Artikel 52

Zugang des Europäischen Parlaments zu von oder über Europol verarbeiteten Informationen

(1)   Um die Ausübung der parlamentarischen Kontrolle der Tätigkeiten von Europol nach Artikel 51 zu ermöglichen, erhält das Europäische Parlament auf dessen Antrag Zugang zu von oder über Europol verarbeiteten, nicht als Verschlusssache eingestuften sensiblen Informationen, wobei die in Artikel 67 Absatz 1 genannten Vorschriften einzuhalten sind.

(2)   Der Zugang des Europäischen Parlaments zu von oder über Europol verarbeiteten EU-Verschlusssachen muss mit der Interinstitutionellen Vereinbarung vom 12. März 2014 zwischen dem Europäischen Parlament und dem Rat über die Übermittlung an und die Bearbeitung durch das Europäische Parlament von im Besitz des Rates befindlichen Verschlusssachen in Bezug auf Angelegenheiten, die nicht unter die Gemeinsame Außen- und Sicherheitspolitik fallen (24), und den in Artikel 67 Absatz 2 dieser Verordnung aufgeführten Vorschriften im Einklang stehen.

(3)   Die erforderlichen Einzelheiten des Zugangs des Europäischen Parlaments zu den in den Absätzen 1 und 2 genannten Informationen werden in zwischen Europol und dem Europäischen Parlament geschlossenen Arbeitsvereinbarungen festgelegt.

KAPITEL IX

PERSONAL

Artikel 53

Allgemeine Bestimmungen

(1)   Das Beamtenstatut und die Beschäftigungsbedingungen für die sonstigen Bediensteten sowie die von den Organen der Union im gegenseitigen Einvernehmen erlassenen Regelungen zur Anwendung des Statuts und der Beschäftigungsbedingungen für die sonstigen Bediensteten gelten unbeschadet des Artikels 73 Absatz 4 dieser Verordnung für das Personal von Europol mit Ausnahme der Mitarbeiter, die am 1. Mai 2017 auf der Grundlage von Verträgen beschäftigt sind, die Europol nach dem Europol-Übereinkommen geschlossen hat. Derartige Verträge unterliegen weiterhin dem Rechtsakt des Rates vom 3. Dezember 1998.

(2)   Das Personal von Europol besteht aus Bediensteten auf Zeit und/oder aus Vertragsbediensteten. Der Verwaltungsrat wird einmal jährlich über vom Exekutivdirektor geschlossene unbefristete Verträge unterrichtet. Der Verwaltungsrat entscheidet darüber, welche im Stellenplan vorgesehenen Zeitplanstellen ausschließlich mit Bediensteten aus den zuständigen Behörden der Mitgliedstaaten besetzt werden dürfen. Bedienstete, die für die Besetzung dieser Planstellen eingestellt werden, haben den Status von Bediensteten auf Zeit und dürfen nur einen befristeten Anstellungsvertrag erhalten, der einmalig um einen befristeten Zeitraum verlängert werden kann.

Artikel 54

Exekutivdirektor

(1)   Der Exekutivdirektor wird als Zeitbediensteter von Europol gemäß Artikel 2 Buchstabe a der Beschäftigungsbedingungen für die sonstigen Bediensteten eingestellt.

(2)   Der Exekutivdirektor wird vom Rat aus einer Auswahlliste von Bewerbern, die der Verwaltungsrat im Anschluss an ein offenes und transparentes Auswahlverfahren vorgeschlagen hat, ernannt.

Die Auswahlliste wird von einem vom Verwaltungsrat eingesetzten Auswahlausschuss erstellt, der sich aus von den Mitgliedstaaten designierten Mitgliedern und einem Vertreter der Kommission zusammensetzt.

Für den Abschluss des Vertrags mit dem Exekutivdirektor wird Europol durch den Vorsitzenden des Verwaltungsrats vertreten.

Vor der Ernennung kann der vom Rat ausgewählte Kandidat aufgefordert werden, vor dem zuständigen Ausschuss des Europäischen Parlaments zu erscheinen; dieses gibt anschließend seine unverbindliche Stellungnahme ab.

(3)   Die Amtszeit des Exekutivdirektors beträgt vier Jahre. Bis zum Ablauf dieses Zeitraums nimmt die Kommission in Zusammenarbeit mit dem Verwaltungsrat eine Bewertung vor, bei der Folgendes berücksichtigt wird:

a)	die Leistung des Exekutivdirektors und

b)	die künftigen Aufgaben und Herausforderungen von Europol.

(4)   Der Rat kann auf Vorschlag des Verwaltungsrats unter Berücksichtigung der Bewertung nach Absatz 3 die Amtszeit des Exekutivdirektors einmal und um höchstens vier Jahre verlängern.

(5)   Der Verwaltungsrat unterrichtet das Europäische Parlament, wenn er beabsichtigt, dem Rat vorzuschlagen, die Amtszeit des Exekutivdirektors zu verlängern. Innerhalb eines Monats vor der Verlängerung der Amtszeit kann der Exekutivdirektor aufgefordert werden, vor dem zuständigen Ausschuss des Europäischen Parlaments zu erscheinen.

(6)   Ein Exekutivdirektor, dessen Amtszeit verlängert wurde, nimmt nach Ende des Gesamtzeitraums nicht an einem anderen Auswahlverfahren für dieselbe Stelle teil.

(7)   Der Exekutivdirektor kann seines Amtes nur aufgrund eines Beschlusses des Rates auf Vorschlag des Verwaltungsrats enthoben werden. Das Europäische Parlament ist über diesem Beschluss zu unterrichten.

(8)   Der Verwaltungsrat entscheidet über die dem Rat zu unterbreitenden Vorschläge für die Ernennung, die Verlängerung der Amtszeit und die Amtsenthebung des Exekutivdirektors mit einer Mehrheit von zwei Dritteln seiner stimmberechtigten Mitglieder.

Artikel 55

Stellvertretende Exekutivdirektoren

(1)   Der Exekutivdirektor wird von drei stellvertretenden Exekutivdirektoren unterstützt. Der Exekutivdirektor legt ihre Aufgaben fest.

(2)   Artikel 54 gilt für die stellvertretenden Exekutivdirektoren. Der Exekutivdirektor wird vor ihrer Ernennung, der Verlängerung ihrer Amtszeit oder ihrer Amtsenthebung konsultiert.

Artikel 56

Abgeordnete nationale Sachverständige

(1)   Europol kann auf abgeordnete nationale Sachverständige zurückgreifen.

(2)   Der Verwaltungsrat beschließt eine Regelung für die zu Europol abgeordneten nationalen Sachverständigen.

KAPITEL X

FINANZBESTIMMUNGEN

Artikel 57

Haushalt

(1)   Über alle Einnahmen und Ausgaben von Europol sind Vorausschätzungen für jedes Haushaltsjahr vorzubereiten und im Haushaltsplan von Europol auszuweisen; das Haushaltsjahr entspricht dem Kalenderjahr.

(2)   Der Haushalt von Europol muss in Bezug auf Einnahmen und Ausgaben ausgeglichen sein.

(3)   Die Einnahmen von Europol umfassen unbeschadet anderer Finanzmittel einen Beitrag der Union aus dem Gesamthaushaltsplan der Union.

(4)   Europol kann Mittel der Union in Form von Übertragungsvereinbarungen oder Ad-hoc-Finanzhilfen im Einklang mit ihrer Finanzregelung gemäß Artikel 61 und den Bestimmungen der betreffenden Instrumente zur Unterstützung der Strategien der Union erhalten.

(5)   Die Ausgaben von Europol umfassen die Bezüge des Personals, die Verwaltungs- und Infrastrukturausgaben und die Betriebskosten.

(6)   Mittelbindungen für Maßnahmen in Bezug auf Großprojekte, deren Durchführung sich über mehr als ein Haushaltsjahr erstreckt, können über mehrere Jahre in jährlichen Tranchen erfolgen.

Artikel 58

Aufstellung des Haushaltsplans

(1)   Der Exekutivdirektor erstellt jährlich einen Entwurf des Voranschlags der Einnahmen und Ausgaben von Europol für das folgende Haushaltsjahr, einschließlich eines Stellenplans, und übermittelt ihn dem Verwaltungsrat.

(2)   Auf der Grundlage dieses Entwurfs des Voranschlags nimmt der Verwaltungsrat einen vorläufigen Entwurf des Voranschlags der Einnahmen und Ausgaben von Europol für das folgende Haushaltsjahr an und übermittelt ihn jedes Jahr bis zum 31. Januar der Kommission.

(3)   Der endgültige Entwurf des Voranschlags der Einnahmen und Ausgaben von Europol, der auch einen Entwurf des Stellenplans umfasst, wird dem Europäischen Parlament, dem Rat und der Kommission jedes Jahr bis zum 31. März vom Verwaltungsrat übermittelt.

(4)   Die Kommission übermittelt den Voranschlag zusammen mit dem Entwurf des Gesamthaushaltsplans der Union dem Europäischen Parlament und dem Rat.

(5)   Auf der Grundlage des Voranschlags setzt die Kommission die von ihr für erforderlich erachteten Mittelansätze für den Stellenplan und den Betrag des Beitrags aus dem Gesamthaushaltsplan in den Entwurf des Gesamthaushaltsplans der Europäischen Union ein, den sie gemäß den Artikeln 313 und 314 AEUV dem Europäischen Parlament und dem Rat vorlegt.

(6)   Das Europäische Parlament und der Rat bewilligen die Mittel für den Beitrag der Union zu Europol.

(7)   Das Europäische Parlament und der Rat genehmigen den Stellenplan von Europol.

(8)   Der Haushaltsplan von Europol wird vom Verwaltungsrat erlassen. Er wird endgültig, wenn der Gesamthaushaltsplan der Union endgültig erlassen ist. Erforderlichenfalls wird er entsprechend angepasst.

(9)   Bei Immobilienprojekten, die voraussichtlich erhebliche Auswirkungen auf den Haushalt von Europol haben, gelten die Bestimmungen der Delegierten Verordnung (EU) Nr. 1271/2013.

Artikel 59

Ausführung des Haushaltsplans

(1)   Der Exekutivdirektor führt den Haushaltsplan von Europol aus.

(2)   Der Exekutivdirektor übermittelt dem Europäischen Parlament und dem Rat jährlich alle einschlägigen Informationen zu den Ergebnissen aller Bewertungsverfahren.

Artikel 60

Rechnungslegung und Entlastung

(1)   Der Rechnungsführer von Europol übermittelt dem Rechnungsführer der Kommission und dem Rechnungshof die vorläufigen Jahresabschlüsse für das Haushaltsjahr (im Folgenden „Jahr N“) bis zum 1. März des folgenden Haushaltsjahrs (im Folgenden „Jahr N + 1“).

(2)   Europol übermittelt dem Europäischen Parlament, dem Rat und dem Rechnungshof den Bericht über die Haushaltsführung und das Finanzmanagement für das Jahr N bis zum 31. März des Jahres N + 1.

(3)   Der Rechnungsführer der Kommission übermittelt dem Rechnungshof die mit den Jahresabschlüssen der Kommission konsolidierten vorläufigen Jahresabschlüsse von Europol für das Jahr N bis zum 31. März des Jahres N + 1.

(4)   Nach Eingang der Bemerkungen des Rechnungshofs zu den vorläufigen Jahresabschlüssen von Europol für das Jahr N gemäß Artikel 148 der Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (25) stellt der Rechnungsführer von Europol die endgültigen Jahresabschlüsse von Europol für dieses Jahr auf. Der Exekutivdirektor legt sie dem Verwaltungsrat zur Stellungnahme vor.

(5)   Der Verwaltungsrat gibt eine Stellungnahme zu den endgültigen Jahresabschlüssen von Europol für das Jahr N ab.

(6)   Der Rechnungsführer von Europol übermittelt die endgültigen Jahresabschlüsse für das Jahr N zusammen mit der Stellungnahme des Verwaltungsrats nach Absatz 5 bis zum 1. Juli des Jahres N + 1 dem Europäischen Parlament, dem Rat, der Kommission, dem Rechnungshof und den nationalen Parlamenten.

(7)   Die endgültigen Jahresabschlüsse für das Jahr N werden bis zum 15. November des Jahres N + 1 im Amtsblatt der Europäischen Union veröffentlicht.

(8)   Der Exekutivdirektor übermittelt dem Rechnungshof bis zum 30. September des Jahres N + 1 eine Antwort auf die Bemerkungen im Jahresbericht. Er übermittelt diese Antwort auch dem Verwaltungsrat.

(9)   Der Exekutivdirektor unterbreitet dem Europäischen Parlament auf dessen Anfrage gemäß Artikel 109 Absatz 3 der Delegierten Verordnung (EU) Nr. 1271/2013 alle Informationen, die für eine ordnungsgemäße Abwicklung des Entlastungsverfahrens für das Jahr N erforderlich sind.

(10)   Auf Empfehlung des Rates, der mit qualifizierter Mehrheit beschließt, erteilt das Europäische Parlament dem Exekutivdirektor vor dem 15. Mai des Jahres N + 2 Entlastung für die Ausführung des Haushaltsplans für das Jahr N.

Artikel 61

Finanzregelung

(1)   Der Verwaltungsrat erlässt nach Konsultationen mit der Kommission die für Europol geltende Finanzregelung. Diese darf von der Delegierten Verordnung (EU) Nr. 1271/2013 nur abweichen, wenn dies für den Betrieb von Europol eigens erforderlich ist und die Kommission vorher ihre Zustimmung erteilt hat.

(2)   Europol darf für die Erfüllung der in Artikel 4 aufgeführten Aufgaben Finanzhilfen gewähren.

(3)   Für die Durchführung von grenzübergreifenden Operationen und Ermittlungen sowie zur Erteilung von Schulungen in Bezug auf die in Artikel 4 Absatz 1 Buchstaben h und i aufgeführten Aufgaben darf Europol Mitgliedstaaten Finanzhilfen gewähren, ohne dass es einer Aufforderung zur Einreichung von Vorschlägen bedarf.

(4)   Hinsichtlich der finanziellen Unterstützung für die Tätigkeit gemeinsamer Ermittlungsgruppen legen Europol und Eurojust gemeinsam die Regeln und Voraussetzungen fest, nach denen Anträge auf derartige Unterstützung zu bearbeiten sind.

KAPITEL XI

SONSTIGE BESTIMMUNGEN

Artikel 62

Rechtsstellung

(1)   Europol ist eine Agentur der Union. Sie besitzt Rechtspersönlichkeit.

(2)   Europol besitzt in jedem Mitgliedstaat die weitestgehende Rechts- und Geschäftsfähigkeit, die juristischen Personen nach nationalem Recht zuerkannt ist. Europol kann insbesondere bewegliches und unbewegliches Vermögen erwerben und veräußern und ist vor Gericht parteifähig.

(3)   Gemäß dem dem EUV und dem AEUV beigefügten Protokoll Nr. 6 über die Festlegung der Sitze der Organe und bestimmter Einrichtungen, sonstiger Stellen und Dienststellen der Europäischen Union (im Folgenden „Protokoll Nr. 6“) hat Europol ihren Sitz in Den Haag.

Artikel 63

Vorrechte und Befreiungen

(1)   Das dem EUV und dem AEUV beigefügte Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union findet auf Europol und ihr Personal Anwendung.

(2)   Die Vorrechte und Befreiungen von Verbindungsbeamten und ihren Familienangehörigen sind Gegenstand einer Vereinbarung zwischen dem Königreich der Niederlande und den anderen Mitgliedstaaten. In dieser Vereinbarung sind die Vorrechte und Befreiungen, die für eine ordnungsgemäße Erfüllung der Aufgaben der Verbindungsbeamten erforderlich sind, geregelt.

Artikel 64

Sprachenregelung

(1)   Für Europol gelten die Bestimmungen der Verordnung Nr. 1 (26).

(2)   Der Verwaltungsrat entscheidet mit einer Mehrheit von zwei Dritteln seiner Mitglieder über die interne Sprachenregelung von Europol.

(3)   Die für die Arbeit von Europol erforderlichen Übersetzungsdienste werden vom Übersetzungszentrum für die Einrichtungen der Europäischen Union erbracht.

Artikel 65

Transparenz

(1)   Für die Dokumente Europols gilt die Verordnung (EG) Nr. 1049/2001.

(2)   Der Verwaltungsrat legt bis zum 14. Dezember 2016 die Modalitäten für die Anwendung der Verordnung (EG) Nr. 1049/2001 in Bezug auf Europol-Dokumente fest.

(3)   Gegen Entscheidungen von Europol nach Artikel 8 der Verordnung (EG) Nr. 1049/2001 kann nach Maßgabe der Artikel 228 und 263 AEUV Beschwerde beim Europäischen Bürgerbeauftragten oder Klage beim Gerichtshof der Europäischen Union erhoben werden.

(4)   Europol veröffentlicht auf ihrer Website eine Liste der Mitglieder des Verwaltungsrats sowie Zusammenfassungen der Ergebnisse der Sitzungen des Verwaltungsrats. Die Veröffentlichung dieser Zusammenfassungen wird unter Berücksichtigung der Verpflichtung Europols zu Verschwiegenheit und Geheimhaltung und der operativen Ausrichtung der Agentur vorübergehend oder dauerhaft ausgesetzt oder eingeschränkt, falls die Erfüllung der Aufgaben Europols durch eine derartige Veröffentlichung gefährdet werden könnte.

Artikel 66

Betrugsbekämpfung

(1)   Zur Erleichterung der Bekämpfung von Betrug, Korruption und sonstigen rechtswidrigen Handlungen nach der Verordnung (EU, Euratom) Nr. 883/2013 tritt Europol bis zum 30. Oktober 2017 der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) (27) bei und verabschiedet die für sämtliche Mitarbeiter von Europol geltenden entsprechenden Bestimmungen nach dem Muster in der Anlage zu jener Vereinbarung.

(2)   Der Rechnungshof ist befugt, bei allen Empfängern, Auftragnehmern und Unterauftragnehmern, die Unionsgelder von Europol erhalten haben, Rechnungsprüfungen anhand von Unterlagen und Kontrollen vor Ort durchzuführen.

(3)   OLAF kann Untersuchungen einschließlich Kontrollen und Überprüfungen vor Ort durchführen, um festzustellen, ob im Zusammenhang mit von Europol gewährten Finanzhilfen oder vergebenen Verträgen ein Betrugs- oder Korruptionsdelikt oder eine sonstige rechtswidrige Handlung zum Nachteil der finanziellen Interessen der Union vorliegt. Diese Untersuchungen werden auf der Grundlage der Bestimmungen und Verfahren der Verordnung (EU, Euratom) Nr. 883/2013 und der Verordnung (Euratom, EG) Nr. 2185/96 des Rates (28) durchgeführt.

(4)   Unbeschadet der Absätze 1 bis 3 enthalten Arbeitsvereinbarungen mit Unionseinrichtungen, Behörden von Drittstaaten, internationalen Organisationen und privaten Parteien, Verträge, Finanzhilfevereinbarungen und Finanzhilfeentscheidungen Europols Bestimmungen, die den Europäischen Rechnungshof und OLAF ausdrücklich ermächtigen, die Auditprüfungen und Untersuchungen nach den Absätzen 2 und 3 im Rahmen ihrer jeweiligen Zuständigkeiten durchzuführen.

Artikel 67

Vorschriften für den Schutz von nicht als Verschlusssache eingestuften sensiblen Informationen und von Verschlusssachen

(1)   Europol legt Vorschriften bezüglich der Verpflichtung zur Zurückhaltung und Verschwiegenheit und des Schutzes von nicht als Verschlusssache eingestuften sensiblen Informationen fest.

(2)   Europol legt Vorschriften für den Schutz von EU-Verschlusssachen fest, die mit dem Beschluss 2013/488/EU im Einklang stehen müssen, um ein gleichwertiges Niveau des Schutzes dieser Informationen zu gewährleisten.

Artikel 68

Bewertung und Überarbeitung

(1)   Die Kommission stellt sicher, dass bis zum 1. Mai 2022 und anschließend alle fünf Jahre eine Bewertung vorgenommen wird, in deren Rahmen insbesondere die Wirkung, Wirksamkeit und Effizienz Europols und ihrer Arbeitsverfahren beurteilt werden. Gegenstand der Bewertung können insbesondere das etwaige Erfordernis, den Aufbau, die Arbeitsweise, den Tätigkeitsbereich und die Aufgaben Europols zu ändern, und die finanziellen Auswirkungen solcher Änderungen sein.

(2)   Die Kommission leitet den Bewertungsbericht an den Verwaltungsrat weiter. Der Verwaltungsrat nimmt innerhalb von drei Monaten nach Eingang des Bewertungsberichts Stellung dazu. Die Kommission leitet den endgültigen Bewertungsbericht anschließend zusammen mit den Schlussfolgerungen der Kommission und in der Anlage dazu der Stellungnahme des Verwaltungsrats an das Europäische Parlament, den Rat, die nationalen Parlamente und den Verwaltungsrat weiter. Die wichtigsten Ergebnisse des Bewertungsberichts werden gegebenenfalls veröffentlicht.

Artikel 69

Verwaltungsuntersuchungen

Die Tätigkeit von Europol ist Gegenstand von Untersuchungen durch den Europäischen Bürgerbeauftragten gemäß Artikel 228 AEUV.

Artikel 70

Sitz

Die notwendigen Vorkehrungen betreffend die Unterbringung von Europol im Königreich der Niederlande und die Leistungen, die vom Königreich der Niederlande zu erbringen sind, sowie die besonderen Vorschriften, die dort für den Exekutivdirektor, die Mitglieder des Verwaltungsrats, die Bediensteten von Europol und deren Familienangehörige gelten, werden in einem Sitzabkommen zwischen Europol und dem Königreich der Niederlande im Einklang mit dem Protokoll Nr. 6 festgelegt.

KAPITEL XII

ÜBERGANGSBESTIMMUNGEN

Artikel 71

Rechtsnachfolge

(1)   Europol in der durch diese Verordnung errichteten Form ist die Rechtsnachfolgerin für alle Verträge, Verbindlichkeiten und Vermögensgegenstände von Europol in der durch den Beschluss 2009/371/JI errichteten Form.

(2)   Diese Verordnung lässt die von Europol auf der Grundlage des Beschlusses 2009/371/JI vor dem 13. Juni 2016 geschlossenen Vereinbarungen oder die von Europol auf der Grundlage des Europol-Übereinkommens vor dem 1. Januar 2010 geschlossenen Vereinbarungen unberührt.

Artikel 72

Übergangsregelungen für den Verwaltungsrat

(1)   Die Amtszeit der Mitglieder des auf der Grundlage von Artikel 37 des Beschlusses 2009/371/JI eingesetzten Verwaltungsrats endet am 1. Mai 2017.

(2)   Der auf der Grundlage von Artikel 37 des Beschlusses 2009/371/JI eingesetzte Verwaltungsrat erfüllt im Zeitraum vom 13. Juni 2016 bis zum 1. Mai 2017 folgende Aufgaben:

a)	er nimmt die Aufgaben des Verwaltungsrats gemäß Artikel 11 dieser Verordnung wahr;

b)	er bereitet den Erlass der Vorschriften zur Anwendung der Verordnung (EG) Nr. 1049/2001 in Bezug auf die in Artikel 65 Absatz 2 der vorliegenden Verordnung genannten Europol-Dokumente sowie der in Artikel 67 der vorliegenden Verordnung genannten Vorschriften vor;

c)	er arbeitet alle für die Anwendung dieser Verordnung erforderlichen Instrumente, insbesondere alle Maßnahmen betreffend Kapitel IV, aus und

d)	er überprüft die internen Vorschriften und Maßnahmen, die er auf der Grundlage des Beschlusses 2009/371/JI erlassen hat, damit der nach Artikel 10 dieser Verordnung eingesetzte Verwaltungsrat einen Beschluss nach Artikel 76 der vorliegenden Verordnung fassen kann.

(3)   Die Kommission ergreift nach dem 13. Juni 2016 unverzüglich die erforderlichen Maßnahmen, um sicherzustellen, dass der nach Artikel 10 eingesetzte Verwaltungsrat seine Arbeit am 1. Mai 2017 aufnimmt.

(4)   Die Mitgliedstaaten teilen der Kommission bis zum 14. Dezember 2016 die Namen der Personen mit, die sie gemäß Artikel 10 als Mitglieder und stellvertretende Mitglieder des Verwaltungsrats benannt haben.

(5)   Die erste Sitzung des nach Artikel 10 dieser Verordnung eingesetzten Verwaltungsrats findet am 1. Mai 2017 statt. Bei dieser Gelegenheit fasst der Verwaltungsrat gegebenenfalls Beschlüsse nach Artikel 76.

Artikel 73

Übergangsregelungen für den Exekutivdirektor, die stellvertretenden Direktoren und das Personal

(1)   Dem auf der Grundlage von Artikel 38 des Beschlusses 2009/371/JI ernannten Direktor von Europol werden für seine noch verbleibende Amtszeit die Zuständigkeiten des Exekutivdirektors gemäß Artikel 16 dieser Verordnung übertragen. Die sonstigen Bedingungen seines Vertrags bleiben unverändert. Endet seine Amtszeit zwischen dem 13. Juni 2016 und dem 1. Mai 2017, so wird sie automatisch bis zum 1. Mai 2018 verlängert.

(2)   Ist der auf der Grundlage von Artikel 38 des Beschlusses 2009/371/JI ernannte Direktor nicht bereit oder nicht im Stande, sein Amt gemäß Absatz 1 dieses Artikels weiterzuführen, so benennt der Verwaltungsrat einen Interims-Exekutivdirektor, der für eine Amtszeit von höchstens 18 Monaten, bis die Ernennung nach Artikel 54 Absatz 2 dieser Verordnung erfolgt ist, die Aufgaben des Exekutivdirektors wahrnimmt.

(3)   Die Absätze 1 und 2 dieses Artikels gelten für die auf der Grundlage von Artikel 38 des Beschlusses 2009/371/JI ernannten stellvertretenden Direktoren.

(4)   Gemäß den Beschäftigungsbedingungen für die sonstigen Bediensteten bietet die in Artikel 6 Absatz 1 der Beschäftigungsbedingungen genannten Behörde jeder Person, die am 1. Mai 2017 aufgrund eines unbefristeten Vertrags, der von Europol in der durch das Europol-Übereinkommen errichteten Form geschlossen worden ist, als örtlicher Bediensteter beschäftigt ist, eine unbefristete Beschäftigung als Bediensteter auf Zeit oder als Vertragsbediensteter an. Dieses Angebot erfolgt auf der Grundlage der Aufgaben, die der Bedienstete als Bediensteter auf Zeit oder als Vertragsbediensteter ausführen soll. Der betreffende Vertrag wird spätestens am 1. Mai 2018 wirksam. Nimmt ein Bediensteter das in diesem Absatz genannte Angebot nicht an, so kann er sein Vertragsverhältnis mit Europol gemäß Artikel 53 Absatz 1 aufrechterhalten.

Artikel 74

Übergangshaushaltsbestimmungen

Das Haushaltsentlastungsverfahren für die auf der Grundlage von Artikel 42 des Beschlusses 2009/371/JI festgestellten Haushalte erfolgt gemäß Artikel 43 jenes Beschlusses.

KAPITEL XIII

SCHLUSSBESTIMMUNGEN

Artikel 75

Ersetzung und Aufhebung

(1)   Die Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI werden für die Mitgliedstaaten, die durch diese Verordnung gebunden sind, mit Wirkung vom 1. Mai 2017 ersetzt.

Die Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI werden daher mit Wirkung vom 1. Mai 2017 aufgehoben.

(2)   Für die durch diese Verordnung gebundenen Mitgliedstaaten gelten Verweise auf die in Absatz 1 genannten Beschlüsse als Verweise auf diese Verordnung.

Artikel 76

Aufrechterhaltung der vom Verwaltungsrat erlassenen internen Vorschriften und Maßnahmen

Die vom Verwaltungsrat auf der Grundlage des Beschlusses 2009/371/JI erlassenen internen Vorschriften und Maßnahmen bleiben auch nach dem 1. Mai 2017 in Kraft, sofern der Verwaltungsrat im Zuge der Anwendung dieser Verordnung nichts anderes beschließt.

Artikel 77

Inkrafttreten und Geltung

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 1. Mai 2017.

Die Artikel 71, 72 und 73 gelten jedoch bereits ab dem 13. Juni 2016.

---

(1)  Standpunkt des Europäischen Parlaments vom 25. Februar 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates in erster Lesung vom 10. März 2016 (noch nicht im Amtsblatt veröffentlicht). Standpunkt des Europäischen Parlaments vom 11. Mai 2016 (noch nicht im Amtsblatt veröffentlicht).

(2)  Beschluss 2009/371/JI des Rates vom 6. April 2009 zur Errichtung des Europäischen Polizeiamts (Europol) (ABl. L 121 vom 15.5.2009, S. 37).

(3)  ABl. C 316 vom 27.11.1995, S. 1.

(4)  ABl. C 115 vom 4.5.2010, S. 1.

(5)  Beschluss 2009/934/JI des Rates vom 30. November 2009 zur Festlegung der Durchführungsbestimmungen zur Regelung der Beziehungen von Europol zu anderen Stellen einschließlich des Austauschs von personenbezogenen Daten und Verschlusssachen (ABl. L 325 vom 11.12.2009, S. 6).

(6)  Beschluss 2009/935/JI des Rates vom 30. November 2009 zur Festlegung der Liste der Drittstaaten und dritten Organisationen, mit denen Europol Abkommen schließt (ABl. L 325 vom 11.12.2009, S. 12).

(7)  Beschluss 2009/936/JI des Rates vom 30. November 2009 zur Annahme der Durchführungsbestimmungen für die von Europol geführten Arbeitsdateien zu Analysezwecken (ABl. L 325 vom 11.12.2009, S. 14).

(8)  Beschluss 2009/968/JI des Rates vom 30. November 2009 zur Annahme der Vertraulichkeitsregeln für Europol-Informationen (ABl. L 332 vom 17.12.2009, S. 17).

(9)  Verordnung (EU) Nr. 1053/2013 des Rates vom 7. Oktober 2013 zur Einführung eines Evaluierungs- und Überwachungsmechanismus für die Überprüfung der Anwendung des Schengen-Besitzstands und zur Aufhebung des Beschlusses des Exekutivausschusses vom 16. September 1998 bezüglich der Errichtung des Ständigen Ausschusses Schengener Durchführungsübereinkommen (ABl. L 295 vom 6.11.2013, S. 27).

(10)  Verordnung (Euratom, EGKS, EWG) Nr. 549/69 des Rates vom 25. März 1969 zur Bestimmung der Gruppen von Beamten und sonstigen Bediensteten der Europäischen Gemeinschaften, auf welche die Artikel 12, Artikel 13 Absatz 2 und Artikel 14 des Protokolls über die Vorrechte und Befreiungen der Gemeinschaften Anwendung finden (ABl. L 74 vom 27.3.1969, S. 1).

(11)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(12)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(13)  Empfehlung R(87) 15 des Ministerkomitees des Europarates vom 17. September 1987 für die Mitgliedstaaten über die Nutzung personenbezogener Daten im Polizeibereich.

(14)  ABl. L 56 vom 4.3.1968, S. 1.

(15)  Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission vom 30. September 2013 über die Rahmenfinanzregelung für Einrichtungen gemäß Artikel 208 der Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates (ABl. L 328 vom 7.12.2013, S. 42).

(16)  Delegierte Verordnung (EU) Nr. 1268/2012 der Kommission vom 29. Oktober 2012 über die Anwendungsbestimmungen für die Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates über die Haushaltsordnung für den Gesamthaushaltsplan der Union (ABl. L 362 vom 31.12.2012, S. 1).

(17)  Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 des Rates (ABl. L 248 vom 18.9.2013, S. 1).

(18)  Beschluss 2013/488/EU des Rates vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274vom 15.10.2013, S. 1).

(19)  Rechtsakt des Rates vom 3. Dezember 1998 zur Festlegung des Statuts der Bediensteten von Europol (ABl. C 26 vom 30.1.1999, S. 23).

(20)  Beschluss 2005/511/JI des Rates vom 12. Juli 2005 über den Schutz des Euro gegen Fälschung durch Benennung von Europol als Zentralstelle zur Bekämpfung der Euro-Fälschung (ABl. L 185 vom 16.7.2005, S. 35).

(21)  Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung (ABl. L 309 vom 25.11.2005, S. 15).

(22)  Rahmenbeschluss 2002/584/JI des Rates vom 13. Juni 2002 über den Europäischen Haftbefehl und die Übergabeverfahren zwischen den Mitgliedstaaten (ABl. L 190, 18.7.2002, p. 1).

(23)  Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

(24)  ABl. C 95 vom 1.4.2014, S. 1.

(25)  Verordnung (EU, Euratom) Nr. 966/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 über die Haushaltsordnung für den Gesamthaushaltsplan der Union und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1605/2002 des Rates (ABl. L 298 vom 26.10.2012, S. 1).

(26)  Verordnung Nr. 1 zur Regelung der Sprachenfrage für die Europäische Wirtschaftsgemeinschaft (ABl. 17 vom 6.10.1958, S. 385/58).

(27)  ABl. L 136 vom 31.5.1999, S. 15.

(28)  Verordnung (Euratom, EG) Nr. 2185/96 des Rates vom 11. November 1996 betreffend die Kontrollen und Überprüfungen vor Ort durch die Kommission zum Schutz der finanziellen Interessen der Europäischen Gemeinschaften vor Betrug und anderen Unregelmäßigkeiten (ABl. L 292 vom 15.11.1996, S. 2).

---

---

---