(1)   Dieser Beschluss enthält Vorschriften und Verfahren für die Anwendung der Verordnung (EU) 2018/1725 durch die Kommission sowie Durchführungsvorschriften in Bezug auf den Datenschutzbeauftragten der Kommission („DSB“).

(2)   In diesem Beschluss sind auch die Vorschriften festgelegt, nach denen die Kommission im Zusammenhang mit den Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB die betroffenen Personen über die Verarbeitung von deren personenbezogenen Daten nach den Artikeln 14, 15 und 16 der Verordnung (EU) 2018/1725 unterrichtet.

(3)   In diesem Beschluss sind ferner die Voraussetzungen festgelegt, unter denen die Kommission im Zusammenhang mit den Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB die Anwendung der Artikel 4, 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 nach deren Artikel 25 Absatz 1 Buchstaben c, g und h beschränken kann.

(4)   Dieser Beschluss gilt für die Verarbeitung personenbezogener Daten durch die Kommission für die Zwecke der oder im Zusammenhang mit den in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben des DSB, insbesondere den Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB.

(1)   Der DSB trägt dazu bei, innerhalb der Kommission eine Kultur des Schutzes personenbezogener Daten zu schaffen, die auf Risikobewertung und Rechenschaftspflicht beruht.

(2)   Der DSB überwacht die Durchführung der Verordnung (EU) 2018/1725 in der Kommission, indem er unter anderem jedes Jahr ein Arbeitsprogramm für Kontrollen und Prüfungen aufstellt und umsetzt.

(3)   Der DSB organisiert und leitet regelmäßige Treffen der DSK.

(4)   Der DSB führt die Verzeichnisse der Verarbeitungstätigkeiten der Kommission in einem zentralen Register und macht dieses öffentlich zugänglich.

Der DSB führt auch ein kommissionsinternes Register der Verletzungen des Schutzes personenbezogener Daten im Sinne des Artikels 3 Nummer 16 der Verordnung (EU) 2018/1725.

(5)   Bei der Ausübung seiner Funktionen arbeitet der DSB mit den von den anderen Organen und Einrichtungen der Union benannten Datenschutzbeauftragten zusammen.

(6)   Im Zusammenhang mit Verarbeitungsvorgängen des DSB gilt der DSB für die Zwecke von Einzelentscheidungen über die Rechte betroffener Personen nach der Verordnung (EU) 2018/1725 als delegierter Verantwortlicher.

(1)   Der delegierte Verantwortliche ernennt in der ihm unterstehenden Generaldirektion oder Dienststelle einen DSK und gegebenenfalls einen oder mehrere stellvertretende DSK. Zwei oder mehr delegierte Verantwortliche können aus Gründen der Kohärenz oder Effizienz beschließen, einen gemeinsamen DSK oder stellvertretenden DSK zu ernennen oder die Dienste eines bereits ernannten DSK oder stellvertretenden DSK gemeinsam zu nutzen. Die beteiligten delegierten Verantwortlichen müssen ihre diesbezügliche Vereinbarung schriftlich festhalten.

(2)   Der von einer Generaldirektion oder Dienststelle ernannte DSK ist auch für das Kabinett zuständig, das für diese Generaldirektion oder Dienststelle verantwortlich ist. Der für das Generalsekretariat ernannte DSK ist für das Kabinett des Präsidenten sowie für die Kabinette zuständig, für die das Generalsekretariat die einzige unterstützende Dienststelle ist. Ist ein Kabinett für mehrere Generaldirektionen oder Dienststellen verantwortlich, so entscheiden die delegierten Verantwortlichen, welche ihrer jeweiligen DSK für dieses Kabinett zuständig sein soll.

(3)   Der DSB, das Personal der betreffenden Generaldirektion oder Dienststelle und das betreffende Kabinett werden unterrichtet, wenn ein neuer DSK ernannt wird.

Neu ernannte DSK müssen innerhalb von sechs Monaten nach ihrer Ernennung eine Schulung abschließen, in der sie die für die Funktion des DSK erforderlichen Kompetenzen erwerben. Diese Schulungspflicht gilt nicht für DSK, die zuvor einen DSK-Posten in einer anderen Generaldirektion oder Dienststelle innehatten oder in den zwei Jahren vor ihrer Ernennung zum DSK Bedienstete des DSB waren.

(4)   Die delegierten Verantwortlichen führen geeignete Regelungen ein, um zu gewährleisten, dass der DSK ordnungsgemäß und frühzeitig in alle mit dem Datenschutz in ihrer Generaldirektion oder Dienststelle zusammenhängenden Fragen eingebunden wird und dass der delegierte Verantwortliche auf Ersuchen des DSK umgehend von Stellungnahmen des DSK in Kenntnis gesetzt wird.

(5)   Grundlage für die Auswahl der DSK sind Wissen und Erfahrung in Bezug auf die Arbeitsweise der betreffenden Generaldirektion oder Dienststelle, Motivation für die Funktion, Kompetenzen im Bereich des Datenschutzes, Verständnis der Grundsätze der Informationssysteme und Kommunikationsfähigkeiten.

(6)   Die Funktion des DSK kann mit anderen Funktionen kombiniert werden. Der delegierte Verantwortliche gewährleistet, dass diese Funktionen mit der Funktion des DSK vereinbar sind.

(7)   Die Funktion des DSK ist Teil der Arbeitsplatzbeschreibung jedes als DSK ernannten Bediensteten. Ihre Zuständigkeiten und Leistungen werden im jährlichen Beurteilungsbericht erwähnt.

(8)   Der DSK fungiert als Kontaktstelle zwischen dem delegierten Verantwortlichen, dem operativen Verantwortlichen und dem Auftragsverarbeiter sowie dem DSB.

(9)   Die DSK haben das Recht, in ihrer Generaldirektion oder Dienststelle alle Informationen einzuholen, die für die Wahrnehmung der Aufgaben des DSK erforderlich sind. Auf personenbezogene Daten dürfen die DSK nur dann zugreifen, wenn dies für die Wahrnehmung ihrer Aufgaben erforderlich ist.

(10)   Der DSK führt Aufzeichnungen und legt der Generaldirektion, der Dienststelle oder dem Kabinett anonymisierte Statistiken über die Anträge betroffener Personen vor, in denen die Zahl der Anträge und die Zahl der vollständig oder teilweise abgelehnten Anträge angegeben sind. Der DSB legt fest, für welche Kategorien von Anträgen Statistiken zu führen sind. Der DSB kann festlegen, welche weiteren Angaben zu machen sind.

Der DSK führt anonymisierte Statistiken über Verletzungen des Schutzes der von der Generaldirektion, der Dienststelle oder dem Kabinett verwalteten personenbezogenen Daten, in denen die Gesamtzahl der Verletzungen, die Zahl der dem EDSB gemeldeten Verletzungen und die Zahl der den betroffenen Personen mitgeteilten Verletzungen angegeben sind.

(11)   Der DSK sensibilisiert in seiner Generaldirektion oder Dienststelle für Datenschutzfragen und berät und unterstützt die delegierten Verantwortlichen und die operativen Verantwortlichen bei der Erfüllung ihrer Pflichten, insbesondere in Bezug auf

(12)   Die DSK nehmen an den Sitzungen und erforderlichenfalls an Arbeitsgruppen der DSK teil.

(13)   Der DSB legt zusätzliche Leitlinien zu den Zuständigkeiten und Funktionen des DSK fest.

(1)   Für die Zwecke der Anwendung der Verordnung (EU) 2018/1725 handeln die delegierten Verantwortlichen im Namen der Kommission als Verantwortliche.

(2)   Die delegierten Verantwortlichen und die operativen Verantwortlichen

(3)   Der delegierte Verantwortliche

In den unter Buchstabe b genannten Regelungen werden ihre jeweiligen Zuständigkeiten für die Erfüllung ihrer Datenschutzpflichten festgelegt. Insbesondere enthalten sie die Angabe des delegierten Verantwortlichen, der die Mittel und Zwecke für den Verarbeitungsvorgang festlegt, sowie des operativen Verantwortlichen für den Verarbeitungsvorgang und gegebenenfalls der Person und/oder Stelle, die den operativen Verantwortlichen im Falle von Datenschutzverletzungen oder zur Berücksichtigung der Rechte betroffener Personen unter anderem mit Informationen unterstützt.

(4)   Der operative Verantwortliche

(1)   Der DSB stellt sicher, dass das Register der Verarbeitungsvorgänge der Kommission über die Website des DSB im Intranet der Kommission und über die Website des DSB auf der Europa-Website zugänglich ist.

(2)   Die delegierten Verantwortlichen übermitteln dem DSB über ihren DSK die Aufzeichnungen über ihre Verarbeitungsvorgänge unter Verwendung des Online-Übermittlungssystems der Kommission, das über die Website des DSB im Intranet der Kommission zugänglich ist.

(1)   Die in Artikel 6 Buchstabe e genannten Untersuchungsanträge sind schriftlich an den DSB zu richten. Innerhalb von 15 Arbeitstagen nach Eingang des Antrags übermittelt der DSB der Person, die die Untersuchung beantragt hat, eine Empfangsbestätigung und prüft, ob der Antrag vertraulich zu behandeln ist, um die Vertraulichkeit des Antrags zu gewährleisten, es sei denn, die jeweiligen betroffenen Personen erklären sich unmissverständlich damit einverstanden, dass der Antrag anders bearbeitet wird. Wird das Recht, eine Untersuchung zu beantragen, offensichtlich missbräuchlich in Anspruch genommen, so ist der DSB nicht verpflichtet, dem Antragsteller zu antworten.

(2)   Der DSB ersucht den delegierten Verantwortlichen, der für den betreffenden Datenverarbeitungsvorgang zuständig ist, um eine schriftliche Stellungnahme zu der Angelegenheit. Der delegierte Verantwortliche antwortet dem DSB innerhalb von 15 Arbeitstagen. Der DSB kann innerhalb von 15 Arbeitstagen zusätzliche Informationen von dem delegierten Verantwortlichen, dem Auftragsverarbeiter oder anderen Parteien anfordern.

(3)   Der DSB antwortet der Person, die die Untersuchung beantragt hat, spätestens drei Monate nach Eingang des Antrags. Diese Frist kann ausgesetzt werden, bis der DSB alle erforderlichen Informationen erhalten hat, die er angefordert hat.

(4)   Niemand darf benachteiligt werden, weil er den DSB von einer Angelegenheit in Kenntnis gesetzt und einen mutmaßlichen Verstoß gegen die Verordnung (EU) 2018/1725 dargelegt hat.

(1)   Der DSB ist verwaltungstechnisch dem Generalsekretariat zugeordnet. In diesem Zusammenhang wirkt der DSB an der Ausarbeitung des jährlichen Managementplans und des Haushaltsplanvorentwurfs des Generalsekretariats mit.

(2)   Der DSB ist für die Beurteilung des Personals der Dienststelle Datenschutz zuständig. Gegenzeichnender Beamter ist der stellvertretende Generalsekretär. Der DSB wirkt gegebenenfalls an der Koordinierung des Managements im Generalsekretariat mit.

(1)   Die Kommission prüft bei der Erfüllung ihrer Pflichten in Bezug auf die Rechte betroffener Personen nach der Verordnung (EU) 2018/1725, ob eine der in der genannten Verordnung festgelegten Ausnahmen Anwendung findet.

(2)   Vorbehaltlich der Artikel 14 bis 18 dieses Beschlusses kann die Kommission die Anwendung der Artikel 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a der genannten Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 17, 19 und 20 der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten entsprechen, nach Artikel 25 Absatz 1 Buchstaben c, g und h beschränken, wenn die Wahrnehmung dieser Rechte und Pflichten den Zweck der Aufgaben des DSB, unter anderem durch Offenlegung von dessen Untersuchungs- oder Prüfungsinstrumenten und -methoden, gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.

(3)   Vorbehaltlich der Artikel 14 bis 18 dieses Beschlusses kann die Kommission die in Absatz 2 genannten Rechte und Pflichten in Bezug auf personenbezogene Daten, die der DSB von Kommissionsdienststellen oder anderen Organen und Einrichtungen der Union erhalten hat, beschränken. Die Kommission kann dies tun, wenn die Wahrnehmung dieser Rechte und Pflichten durch diese Kommissionsdienststellen oder Organe und Einrichtungen der Union auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder nach Kapitel IX der genannten Verordnung oder nach der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates (6) oder der Verordnung (EU) 2017/1939 des Rates (7) beschränkt werden könnte.

Bevor die Kommission unter den in Unterabsatz 1 genannten Umständen Beschränkungen anwendet, konsultiert sie die zuständigen Organe oder Einrichtungen der Union, es sei denn, aufseiten der Kommission besteht Klarheit darüber, dass die Anwendung einer Beschränkung in einem der in dem genannten Unterabsatz aufgeführten Rechtsakte vorgesehen ist.

(4)   Jede Beschränkung der Anwendung der in Absatz 2 genannten Rechte und Pflichten muss erforderlich und angemessen sein und die Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigen.

(1)   Die Kommission veröffentlicht auf ihrer Website Datenschutzhinweise, die alle betroffenen Personen über die Aufgaben des DSB informieren, bei denen ihre personenbezogenen Daten verarbeitet werden.

(2)   Die Kommission unterrichtet natürliche Personen, die sie als von den Aufgaben des DSB betroffen oder als Informant ansieht, einzeln in einem geeigneten Format.

(3)   Wenn die Kommission die Unterrichtung der in Absatz 2 genannten betroffenen Personen ganz oder teilweise beschränkt, erfasst und registriert sie die Gründe für die Beschränkung nach Artikel 17.

(1)   Wenn die Kommission das Auskunftsrecht betroffener Personen, das Recht auf Löschung oder das Recht auf Einschränkung der Verarbeitung nach den Artikeln 17, 19 beziehungsweise 20 der Verordnung (EU) 2018/1725 ganz oder teilweise beschränkt, unterrichtet sie die jeweils betroffene Person in ihrer Antwort auf den Antrag auf Auskunft, Löschung oder Einschränkung der Verarbeitung über die angewendete Beschränkung und die wichtigsten Gründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

(2)   Die Unterrichtung über die Gründe für die Beschränkung nach Absatz 1 kann so lange zurückgestellt, unterlassen oder abgelehnt werden, wie die Unterrichtung dem Zweck der Beschränkung zuwiderliefe.

(3)   Die Kommission erfasst und registriert die Gründe für die Beschränkung nach Artikel 17.

(4)   Wenn das Auskunftsrecht ganz oder teilweise beschränkt wird, ist die betroffene Person berechtigt, ihr Auskunftsrecht nach Artikel 25 Absätze 6, 7 und 8 der Verordnung (EU) 2018/1725 über den EDSB auszuüben.

(1)   Die Kommission erfasst die Gründe für nach diesem Beschluss angewendete Beschränkungen, einschließlich einer Einzelfallprüfung der Erforderlichkeit und Angemessenheit der Beschränkung unter Berücksichtigung der relevanten Umstände nach Artikel 25 Absatz 2 der Verordnung (EU) 2018/1725.

Zu diesem Zweck ist anzugeben, inwieweit die Ausübung des betreffenden Rechts den Zweck der Aufgaben des DSB nach diesem Beschluss oder nach Artikel 13 Absatz 2 oder 3 angewendete Beschränkungen gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.

(2)   Die erfassten Angaben und gegebenenfalls die Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, werden registriert. Sie werden dem EDSB auf Anfrage zur Verfügung gestellt.

(1)   Die in den Artikeln 14, 15 und 16 genannten Beschränkungen gelten, solange die Gründe vorliegen, die diese Beschränkungen rechtfertigen.

(2)   Wenn die Gründe für eine in Artikel 14 oder 16 genannte Beschränkung nicht mehr vorliegen, hebt die Kommission die Beschränkung auf und teilt der betroffenen Person die Gründe für die Beschränkung mit. Gleichzeitig unterrichtet die Kommission die betroffene Person über die Möglichkeit, Beschwerde beim EDSB oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

(3)   Die Kommission überprüft die Anwendung der in den Artikeln 14 und 16 genannten Beschränkungen alle sechs Monate ab ihrer Einführung sowie in jedem Fall bei Abschluss der betreffenden Tätigkeit des DSB. Danach prüft die Kommission jährlich, inwieweit es erforderlich ist, eine Beschränkung oder Zurückstellung aufrechtzuerhalten.

(1)   Wenn andere Kommissionsdienststellen zu dem Schluss kommen, dass die Rechte einer betroffenen Person nach diesem Beschluss beschränkt werden sollten, setzen sie den DSB davon in Kenntnis. Sie gewähren dem DSB auch Zugang zu den erfassten Angaben und zu Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten.

(2)   Der DSB kann den delegierten Verantwortlichen der betreffenden Kommissionsdienststelle ersuchen, die Anwendung der Beschränkungen zu überprüfen. Der delegierte Verantwortliche der betreffenden Kommissionsdienststelle unterrichtet den DSB schriftlich über das Ergebnis dieser Überprüfung.