Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an.
Regelwerk, EU 2020, Verwaltung/Datenschutz - EU Bund
Frame öffnen

Beschluss (EU) 2020/969 der Kommission vom 3. Juli 2020 zur Festlegung der Durchführungsvorschriften in Bezug auf den Datenschutzbeauftragten, Beschränkungen der Rechte betroffener Personen und die Anwendung der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates sowie zur Aufhebung des Beschlusses 2008/597/EG der Kommission

(ABl. L 213 vom 06.07.2020 S. 12)



Neufassung - Ersetzt Beschl. 2008/597/EG

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 249 Absatz 1,

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG 1, insbesondere auf Artikel 45 Absatz 3,

in Erwägung nachstehender Gründe:

(1) Um das ordnungsgemäße Funktionieren der Dienststelle des Datenschutzbeauftragten der Kommission ("DSB") zu gewährleisten, müssen die Aufgaben, Pflichten und Befugnisse des DSB im Einzelnen festgelegt werden.

(2) Mit der Verordnung (EU) 2018/1725 werden den für die Datenverarbeitung Verantwortlichen klare Zuständigkeiten insbesondere gegenüber den betroffenen Personen zugewiesen. Um sicherzustellen, dass die Kommission als Verantwortliche bei der Wahrnehmung ihrer Zuständigkeiten einheitlich und transparent handelt, sollte in Vorschriften festgelegt werden, wie zu bestimmen ist, wer in den betreffenden Kommissionsdienststellen für einen im Namen der Kommission durchgeführten Verarbeitungsvorgang verantwortlich ist. In diesem Zusammenhang ist es angezeigt, den Begriff des delegierten Verantwortlichen einzuführen, um die Zuständigkeiten der Gremien der Kommission, insbesondere in Bezug auf Einzelentscheidungen über die Rechte betroffener Personen, genau anzugeben. Zudem ist es angezeigt, den Begriff des operativen Verantwortlichen einzuführen, der unter der Verantwortung des delegierten Verantwortlichen benannt wird, um die Einhaltung der Vorschriften in der Praxis sicherzustellen und Anträge betroffener Personen in Bezug auf einen Verarbeitungsvorgang zu bearbeiten. Die Ernennung eines operativen Verantwortlichen schließt nicht aus, dass in der Praxis eine Anlaufstelle, zum Beispiel in Form einer Funktionsmailbox für Anträge betroffener Personen, eingerichtet wird.

(3) In bestimmten Fällen können mehrere Kommissionsdienststellen einen Verarbeitungsvorgang gemeinsam durchführen, um ihren Auftrag zu erfüllen. In solchen Fällen sollten sie sicherstellen, dass interne Regelungen vorhanden sind, nach denen auf transparente Weise ihre jeweiligen Zuständigkeiten nach der Verordnung (EU) 2018/1725 bestimmt werden können, insbesondere die Zuständigkeiten gegenüber den betroffenen Personen, die Meldung an den Europäischen Datenschutzbeauftragten ("EDSB") und die Führung der Verzeichnisse.

(4) Um den delegierten Verantwortlichen die Wahrnehmung ihrer Zuständigkeiten zu erleichtern, sollte jede Kommissionsdienststelle einen Datenschutzkoordinator ("DSK") benennen. Der DSK sollte sich am Netz der Datenschutzkoordinatoren in der Kommission beteiligen, um eine kohärente Durchführung und Auslegung der Verordnung (EU) 2018/1725 in der Kommission zu gewährleisten und Themen von gemeinsamem Interesse zu erörtern.

(5) Im Hinblick auf die Aufgabe des DSB, nach Artikel 45 Absatz 1 Buchstabe b der Verordnung (EU) 2018/1725 Zuständigkeiten zuzuweisen, sollte der DSB zusätzliche Leitlinien zur Funktion des DSK festlegen.

(6) Im Zuge der Überwachungs-, Untersuchungs-, Prüfungs- und Beratungstätigkeiten des DSB verarbeitet die Kommission mehrere Kategorien personenbezogener Daten. Insbesondere verarbeitet die Kommission Identifikationsdaten, Kontaktdaten, berufsbezogene Daten und Daten zur Beteiligung an dem betreffenden Fall. Nach Abschluss der Tätigkeiten werden diese Daten im Einklang mit der Gemeinsamen Aufbewahrungsliste der Kommission 2 fünf Jahre lang gespeichert.

(7) Unter bestimmten Umständen ist es erforderlich, die Rechte betroffener Personen nach der Verordnung (EU) 2018/1725 mit der Notwendigkeit, dass die Kommission die Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB erfüllt, und der Notwendigkeit der Vertraulichkeit des Informationsaustauschs mit anderen Kommissionsdienststellen sowie mit der uneingeschränkten Achtung der Grundrechte und Grundfreiheiten anderer betroffener Personen in Einklang zu bringen. Zu diesem Zweck bietet Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 der Kommission die Möglichkeit, die Anwendung der Artikel 14 bis 17, 19, 20 und 35 sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a, soweit dessen Bestimmungen den in den Artikeln 14 bis 17, 19 und 20 der genannten Verordnung vorgesehenen Rechten und Pflichten entsprechen, zu beschränken.

(8) Um die Vertraulichkeit und Wirksamkeit der Überwachungs-, Untersuchungs-, Prüfungs- und Beratungstätigkeiten des DSB unter Einhaltung der Standards für den Schutz personenbezogener Daten nach der Verordnung (EU) 2018/1725 zu gewährleisten, müssen interne Vorschriften erlassen werden, nach denen der DSB die Rechte betroffener Personen im Einklang mit Artikel 25 der Verordnung (EU) 2018/1725 beschränken kann.

(9) Die internen Vorschriften sollten für alle Datenverarbeitungsvorgänge gelten, die die Kommission in Erfüllung der Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB durchführt. Sie sollten auf Verarbeitungsvorgänge Anwendung finden, die vor der Einleitung oder im Zuge einer Untersuchung oder Prüfung sowie im Anschluss an deren Ergebnis während der Überwachung der Folgemaßnahmen durchgeführt werden. Diese Vorschriften sollten auch für Verarbeitungsvorgänge gelten, die zu den mit der Untersuchungs- oder Prüfungsfunktion des DSB zusammenhängenden Aufgaben gehören, wie etwa die vom DSB durchgeführten Beschwerdeverfahren. Ferner sollten die Vorschriften auf die Überwachung und Beratung durch den DSB Anwendung finden, wenn der DSB außerhalb seiner administrativen Untersuchungen und Prüfungen die Kommissionsdienststellen unterstützt und mit ihnen zusammenarbeitet.

(10) Zur Einhaltung der Artikel 14, 15 und 16 der Verordnung (EU) 2018/1725 sollte die Kommission alle natürlichen Personen von den Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB, die eine Verarbeitung ihrer personenbezogenen Daten mit sich bringen, und von ihren Rechte nach der Verordnung (EU) 2018/1725 in Kenntnis setzen. Die Kommission sollte diese natürlichen Personen transparent und kohärent durch Datenschutzhinweise auf ihrer Website informieren und jede betroffene Person unterrichten, die von einer Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungstätigkeit des DSB berührt ist.

(11) Unter bestimmten Umständen muss die Kommission möglicherweise die Unterrichtung der betroffenen Personen und die Anwendung weiterer Rechte der betroffenen Personen beschränken. Sie kann dies tun, um die Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB, damit zusammenhängende Untersuchungen und Verfahren anderer Kommissionsdienststellen, die Instrumente und Methoden der Untersuchungen und Prüfungen des DSB sowie die Rechte anderer Personen im Zusammenhang mit den Aufgaben des DSB zu schützen.

(12) In einigen Fällen könnte die Übermittlung bestimmter Informationen an die betroffenen Personen oder die Offenlegung einer Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungstätigkeit des DSB die Verwirklichung des Zwecks des Verarbeitungsvorgangs und die Fähigkeit des DSB zur Ausübung der betreffenden Tätigkeit unmöglich machen oder ernsthaft beeinträchtigen.

(13) Ferner sollte die Kommission die Identität von Informanten schützen, denen aus ihrer Zusammenarbeit mit dem DSB keine Nachteile erwachsen sollten.

(14) Aus diesen Gründen kann es erforderlich sein, dass die Kommission die in Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung (EU) 2018/1725 genannten Gründe für Beschränkungen auf Datenverarbeitungsvorgänge anwendet, die im Rahmen der Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB nach Artikel 45 der genannten Verordnung durchgeführt werden.

(15) Zur Aufrechterhaltung einer wirksamen Zusammenarbeit muss die Kommission die Rechte betroffener Personen unter Umständen auch beschränken, um Informationen mit personenbezogenen Daten zu schützen, die von anderen Kommissionsdienststellen, Organen oder Einrichtungen der Union stammen. Zu diesem Zweck sollte der DSB diese Dienststellen, Organe oder Einrichtungen zu den einschlägigen Gründen für die Beschränkungen sowie zu deren Erforderlichkeit und Angemessenheit konsultieren.

(16) Im Rahmen seiner Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben tauscht der DSB Informationen, einschließlich personenbezogener Daten, mit anderen Kommissionsdienststellen aus. Daher sollten alle Kommissionsdienststellen, die personenbezogene Daten verarbeiten, die vom DSB in Erfüllung seiner Aufgaben verarbeitet werden, die Vorschriften dieses Beschlusses anwenden, um die vom DSB durchgeführten Verarbeitungsvorgänge zu schützen. In diesen Fällen sollten die betreffenden Kommissionsdienststellen daher den DSB zu den einschlägigen Gründen für die Beschränkungen sowie zu deren Erforderlichkeit und Angemessenheit konsultieren, um die kohärente Anwendung dieser Beschränkungen zu gewährleisten.

(17) Der DSB und gegebenenfalls die anderen Kommissionsdienststellen sollten alle Beschränkungen transparent handhaben und jede Anwendung von Beschränkungen in dem entsprechenden Verzeichnis registrieren.

(18) Nach Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 können die Verantwortlichen die Unterrichtung der betroffenen Person über die Gründe für die Anwendung einer Beschränkung zurückstellen oder davon absehen, wenn dadurch der Zweck der Beschränkung in irgendeiner Weise gefährdet würde. Insbesondere bei einer Beschränkung der in den Artikeln 16 und 35 vorgesehenen Rechte würde die Mitteilung der Beschränkung deren Zweck gefährden. Um sicherzustellen, dass das Recht der betroffenen Person auf Unterrichtung nach den Artikeln 16 und 35 der Verordnung (EU) 2018/1725 nur so lange beschränkt wird, wie die Gründe für die Zurückstellung der Unterrichtung bestehen, sollte die Kommission ihren diesbezüglichen Standpunkt regelmäßig überprüfen.

(19) Wenn andere Rechte betroffener Personen beschränkt werden, sollte der DSB im Einzelfall prüfen, ob die Mitteilung der Beschränkung deren Zweck gefährden würde.

(20) Der DSB sollte andere Kommissionsdienststellen eine unabhängige Überprüfung der Anwendung von Beschränkungen auf der Grundlage dieses Beschlusses vornehmen lassen, um die Einhaltung dieses Beschlusses zu gewährleisten.

(21) Beschränkungen auf der Grundlage dieses Beschlusses sollten erforderlich und angemessen sein und die Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigen.

(22) Der Europäische Datenschutzbeauftragte wurde nach Artikel 41 Absätze 1 und 2 der Verordnung (EU) 2018/1725 unterrichtet und konsultiert und hat am 16. September 2019 eine Stellungnahme abgegeben.

(23) Der Beschluss 2008/597/EG der Kommission 3 enthält Durchführungsbestimmungen für den Datenschutzbeauftragten nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates 4. Die Verordnung (EG) Nr. 45/2001 wurde durch die Verordnung (EU) 2018/1725 mit Wirkung vom 11. Dezember 2019 aufgehoben. Um sicherzustellen, dass für den Datenschutzbeauftragten nur ein Rechtsakt mit Durchführungsvorschriften gilt, sollte der Beschluss 2008/597/EG ebenfalls aufgehoben werden

- hat folgenden Beschluss erlassen:

Kapitel 1
Allgemeine Bestimmungen

Artikel 1 Gegenstand und Anwendungsbereich

(1) Dieser Beschluss enthält Vorschriften und Verfahren für die Anwendung der Verordnung (EU) 2018/1725 durch die Kommission sowie Durchführungsvorschriften in Bezug auf den Datenschutzbeauftragten der Kommission ("DSB").

(2) In diesem Beschluss sind auch die Vorschriften festgelegt, nach denen die Kommission im Zusammenhang mit den Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB die betroffenen Personen über die Verarbeitung von deren personenbezogenen Daten nach den Artikeln 14, 15 und 16 der Verordnung (EU) 2018/1725 unterrichtet.

(3) In diesem Beschluss sind ferner die Voraussetzungen festgelegt, unter denen die Kommission im Zusammenhang mit den Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB die Anwendung der Artikel 4, 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 nach deren Artikel 25 Absatz 1 Buchstaben c, g und h beschränken kann.

(4) Dieser Beschluss gilt für die Verarbeitung personenbezogener Daten durch die Kommission für die Zwecke der oder im Zusammenhang mit den in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben des DSB, insbesondere den Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB.

Artikel 2 Verantwortung

Für die Zwecke dieses Beschlusses gilt die Kommission als Verantwortlicher im Sinne des Artikels 3 Nummer 8 der Verordnung (EU) 2018/1725.

Artikel 3 Begriffsbestimmungen

Für die Zwecke dieses Beschlusses bezeichnet der Ausdruck

1. "Datenschutzbeauftragter" (DSB) die Person, die die Kommission nach Artikel 43 der Verordnung (EU) 2018/1725 benannt hat;

2. "Aufgaben des DSB" die in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben des DSB, insbesondere die Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB;

3. "Datenschutzkoordinator" (DSK) den Kommissionsbediensteten, der von einer Generaldirektion oder Dienststelle der Kommission ernannt wurde, um diese Generaldirektion oder Dienststelle in allen Aspekten des Schutzes personenbezogener Daten zu beraten und zu unterstützen;

4. "delegierter Verantwortlicher" den Leiter der Generaldirektion, der Dienststelle oder des Kabinetts, die beziehungsweise das in Erfüllung des Auftrags dieser Generaldirektion, dieser Dienststelle oder dieses Kabinetts im Namen der Kommission einen Verarbeitungsvorgang durchführt;

5. "operativer Verantwortlicher" den Kommissionsbediensteten der mittleren oder höheren Führungsebene, der von dem delegierten Verantwortlichen benannt wurde, um die Führung des Verzeichnisses für den Verarbeitungsvorgang sicherzustellen und als erste Anlaufstelle für betroffene Personen im Zusammenhang mit diesem Verarbeitungsvorgang zu fungieren;

6. "interne Regelung" jede Regelung zwischen zwei oder mehr Generaldirektionen oder Dienststellen zur Festlegung ihrer jeweiligen Zuständigkeiten und zur Koordinierung der Führung des Verzeichnisses der Verarbeitungen in Bezug auf einen Verarbeitungsvorgang, den sie gemeinsam durchführen oder bei dem eine oder mehr Generaldirektionen oder Dienststellen einen Teil des Verarbeitungsvorgangs des delegierten Verantwortlichen durchführen;

7. "Informant" eine natürliche Person, die den DSB von einem mutmaßlichen Verstoß gegen die Verordnung (EU) 2018/1725 in Kenntnis setzt oder den DSB ersucht, Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und von denen ihn diese natürliche Person in Kenntnis setzt, zu prüfen.

Kapitel 2
Datenschutzbeauftragter und Datenschutzkoordinator

Artikel 4 Benennung und Position

Der DSB wird aufgrund seiner beruflichen Eignung, einschließlich einer soliden Kenntnis der Kommissionsdienststellen, ihres Aufbaus sowie ihrer Verwaltungsvorschriften und -verfahren, aus dem Kreis der Kommissionsbediensteten ausgewählt.

Artikel 5 Aufgaben und Pflichten

(1) Der DSB trägt dazu bei, innerhalb der Kommission eine Kultur des Schutzes personenbezogener Daten zu schaffen, die auf Risikobewertung und Rechenschaftspflicht beruht.

(2) Der DSB überwacht die Durchführung der Verordnung (EU) 2018/1725 in der Kommission, indem er unter anderem jedes Jahr ein Arbeitsprogramm für Kontrollen und Prüfungen aufstellt und umsetzt.

(3) Der DSB organisiert und leitet regelmäßige Treffen der DSK.

(4) Der DSB führt die Verzeichnisse der Verarbeitungstätigkeiten der Kommission in einem zentralen Register und macht dieses öffentlich zugänglich.

Der DSB führt auch ein kommissionsinternes Register der Verletzungen des Schutzes personenbezogener Daten im Sinne des Artikels 3 Nummer 16 der Verordnung (EU) 2018/1725.

(5) Bei der Ausübung seiner Funktionen arbeitet der DSB mit den von den anderen Organen und Einrichtungen der Union benannten Datenschutzbeauftragten zusammen.

(6) Im Zusammenhang mit Verarbeitungsvorgängen des DSB gilt der DSB für die Zwecke von Einzelentscheidungen über die Rechte betroffener Personen nach der Verordnung (EU) 2018/1725 als delegierter Verantwortlicher.

Artikel 6 Befugnisse

Bei der Wahrnehmung der Aufgaben des DSB

  1. hat der DSB, wenn dies für die Erfüllung seiner Aufgaben erforderlich ist, Zugang zu den Daten, die Gegenstand der Verarbeitung personenbezogener Daten sind, sowie zu allen Diensträumen, Datenverarbeitungsanlagen und Datenträgern;
  2. kann der DSB Rechtsgutachten des Juristischen Dienstes der Kommission anfordern;
  3. kann der DSB im Falle eines Konflikts zwischen dem DSB und dem delegierten Verantwortlichen, dem operativen Verantwortlichen oder dem Auftragsverarbeiter im Zusammenhang mit der Auslegung oder Durchführung der Verordnung (EU) 2018/1725 den zuständigen delegierten Verantwortlichen und den Generalsekretär unterrichten;
  4. kann der DSB den betroffenen Generaldirektionen oder Dienststellen der Kommission Dossiers zuweisen, damit sie geeignete Folgemaßnahmen treffen;
  5. kann der DSB auf Antrag oder von sich aus nach dem Verfahren des Artikels 11 Untersuchungen zu Fragen und Vorkommnissen durchführen, die mit seinen Aufgaben in direktem Zusammenhang stehen;
  6. kann der DSB, wenn er Empfehlungen ausspricht und Ratschläge erteilt,
    1. den delegierten Verantwortlichen oder den Auftragsverarbeiter auffordern, dem Antrag einer betroffenen Person auf Ausübung ihrer Rechte nach der Verordnung (EU) 2018/1725 stattzugeben;
    2. den delegierten Verantwortlichen oder den Auftragsverarbeiter warnen, dass ein Verarbeitungsvorgang gegen die Verordnung (EU) 2018/1725 verstößt, und sie auffordern, Verarbeitungsvorgänge gegebenenfalls auf eine bestimmte Weise und innerhalb eines bestimmten Zeitraums mit der genannten Verordnung in Einklang zu bringen;
    3. den delegierten Verantwortlichen oder den Auftragsverarbeiter auffordern, die Übermittlung von Daten an einen Empfänger in einem Mitgliedstaat, in ein Drittland oder an eine internationale Organisation auszusetzen;
    4. den delegierten Verantwortlichen oder den Auftragsverarbeiter ersuchen, dem DSB innerhalb einer bestimmten Frist über die Folgemaßnahmen im Anschluss an die Empfehlungen oder Ratschläge des DSB Bericht zu erstatten;
  7. kann der DSB den Generalsekretär von der Nichtbeachtung der nach Artikel 6 Buchstabe f getroffenen Maßnahmen durch einen delegierten Verantwortlichen, einen operativen Verantwortlichen oder einen Auftragsverarbeiter in Kenntnis setzen;
  8. ist der DSB für Erstbeschlüsse über Anträge auf Zugang zu Dokumenten, die sich im Besitz seiner Dienststelle befinden, nach der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates 5 zuständig.

Artikel 7 Datenschutzkoordinatoren

(1) Der delegierte Verantwortliche ernennt in der ihm unterstehenden Generaldirektion oder Dienststelle einen DSK und gegebenenfalls einen oder mehrere stellvertretende DSK. Zwei oder mehr delegierte Verantwortliche können aus Gründen der Kohärenz oder Effizienz beschließen, einen gemeinsamen DSK oder stellvertretenden DSK zu ernennen oder die Dienste eines bereits ernannten DSK oder stellvertretenden DSK gemeinsam zu nutzen. Die beteiligten delegierten Verantwortlichen müssen ihre diesbezügliche Vereinbarung schriftlich festhalten.

(2) Der von einer Generaldirektion oder Dienststelle ernannte DSK ist auch für das Kabinett zuständig, das für diese Generaldirektion oder Dienststelle verantwortlich ist. Der für das Generalsekretariat ernannte DSK ist für das Kabinett des Präsidenten sowie für die Kabinette zuständig, für die das Generalsekretariat die einzige unterstützende Dienststelle ist. Ist ein Kabinett für mehrere Generaldirektionen oder Dienststellen verantwortlich, so entscheiden die delegierten Verantwortlichen, welche ihrer jeweiligen DSK für dieses Kabinett zuständig sein soll.

(3) Der DSB, das Personal der betreffenden Generaldirektion oder Dienststelle und das betreffende Kabinett werden unterrichtet, wenn ein neuer DSK ernannt wird.

Neu ernannte DSK müssen innerhalb von sechs Monaten nach ihrer Ernennung eine Schulung abschließen, in der sie die für die Funktion des DSK erforderlichen Kompetenzen erwerben. Diese Schulungspflicht gilt nicht für DSK, die zuvor einen DSK-Posten in einer anderen Generaldirektion oder Dienststelle innehatten oder in den zwei Jahren vor ihrer Ernennung zum DSK Bedienstete des DSB waren.

(4) Die delegierten Verantwortlichen führen geeignete Regelungen ein, um zu gewährleisten, dass der DSK ordnungsgemäß und frühzeitig in alle mit dem Datenschutz in ihrer Generaldirektion oder Dienststelle zusammenhängenden Fragen eingebunden wird und dass der delegierte Verantwortliche auf Ersuchen des DSK umgehend von Stellungnahmen des DSK in Kenntnis gesetzt wird.

(5) Grundlage für die Auswahl der DSK sind Wissen und Erfahrung in Bezug auf die Arbeitsweise der betreffenden Generaldirektion oder Dienststelle, Motivation für die Funktion, Kompetenzen im Bereich des Datenschutzes, Verständnis der Grundsätze der Informationssysteme und Kommunikationsfähigkeiten.

(6) Die Funktion des DSK kann mit anderen Funktionen kombiniert werden. Der delegierte Verantwortliche gewährleistet, dass diese Funktionen mit der Funktion des DSK vereinbar sind.

(7) Die Funktion des DSK ist Teil der Arbeitsplatzbeschreibung jedes als DSK ernannten Bediensteten. Ihre Zuständigkeiten und Leistungen werden im jährlichen Beurteilungsbericht erwähnt.

(8) Der DSK fungiert als Kontaktstelle zwischen dem delegierten Verantwortlichen, dem operativen Verantwortlichen und dem Auftragsverarbeiter sowie dem DSB.

(9) Die DSK haben das Recht, in ihrer Generaldirektion oder Dienststelle alle Informationen einzuholen, die für die Wahrnehmung der Aufgaben des DSK erforderlich sind. Auf personenbezogene Daten dürfen die DSK nur dann zugreifen, wenn dies für die Wahrnehmung ihrer Aufgaben erforderlich ist.

(10) Der DSK führt Aufzeichnungen und legt der Generaldirektion, der Dienststelle oder dem Kabinett anonymisierte Statistiken über die Anträge betroffener Personen vor, in denen die Zahl der Anträge und die Zahl der vollständig oder teilweise abgelehnten Anträge angegeben sind. Der DSB legt fest, für welche Kategorien von Anträgen Statistiken zu führen sind. Der DSB kann festlegen, welche weiteren Angaben zu machen sind.

Der DSK führt anonymisierte Statistiken über Verletzungen des Schutzes der von der Generaldirektion, der Dienststelle oder dem Kabinett verwalteten personenbezogenen Daten, in denen die Gesamtzahl der Verletzungen, die Zahl der dem EDSB gemeldeten Verletzungen und die Zahl der den betroffenen Personen mitgeteilten Verletzungen angegeben sind.

(11) Der DSK sensibilisiert in seiner Generaldirektion oder Dienststelle für Datenschutzfragen und berät und unterstützt die delegierten Verantwortlichen und die operativen Verantwortlichen bei der Erfüllung ihrer Pflichten, insbesondere in Bezug auf

  1. die Umsetzung der allgemeinen Grundsätze der Verordnung (EU) 2018/1725;
  2. die Dokumentation der Verarbeitungsvorgänge;
  3. die Übermittlung der Aufzeichnungen über die Verarbeitungsvorgänge der delegierten Verantwortlichen an den DSB nach Artikel 10;
  4. die Ausarbeitung von Datenschutzerklärungen.

(12) Die DSK nehmen an den Sitzungen und erforderlichenfalls an Arbeitsgruppen der DSK teil.

(13) Der DSB legt zusätzliche Leitlinien zu den Zuständigkeiten und Funktionen des DSK fest.

Kapitel 3
Verantwortliche

Artikel 8 Delegierte Verantwortliche und operative Verantwortliche

(1) Für die Zwecke der Anwendung der Verordnung (EU) 2018/1725 handeln die delegierten Verantwortlichen im Namen der Kommission als Verantwortliche.

(2) Die delegierten Verantwortlichen und die operativen Verantwortlichen

  1. können den DSB über den DSK zur Rechtmäßigkeit von Verarbeitungsvorgängen konsultieren, insbesondere im Falle von Zweifeln an der Rechtmäßigkeit;
  2. erstatten dem DSB über den DSK Bericht über die Bearbeitung von Anträgen betroffener Personen auf Ausübung ihrer Rechte.

(3) Der delegierte Verantwortliche

  1. benennt einen operativen Verantwortlichen, der den delegierten Verantwortlichen dabei unterstützt, die Einhaltung der Verordnung (EU) 2018/1725 insbesondere gegenüber den betroffenen Personen zu gewährleisten;
  2. stellt sicher, dass interne Regelungen mit anderen Generaldirektionen oder Dienststellen vorhanden sind, wenn der delegierte Verantwortliche gemeinsam mit diesen Generaldirektionen oder Dienststellen Verarbeitungsvorgänge durchführt oder wenn diese Generaldirektionen oder Dienststellen einen Teil des Verarbeitungsvorgangs des delegierten Verantwortlichen durchführen.

In den unter Buchstabe b genannten Regelungen werden ihre jeweiligen Zuständigkeiten für die Erfüllung ihrer Datenschutzpflichten festgelegt. Insbesondere enthalten sie die Angabe des delegierten Verantwortlichen, der die Mittel und Zwecke für den Verarbeitungsvorgang festlegt, sowie des operativen Verantwortlichen für den Verarbeitungsvorgang und gegebenenfalls der Person und/oder Stelle, die den operativen Verantwortlichen im Falle von Datenschutzverletzungen oder zur Berücksichtigung der Rechte betroffener Personen unter anderem mit Informationen unterstützt.

(4) Der operative Verantwortliche

  1. nimmt alle Anträge betroffener Personen entgegen und bearbeitet sie;
  2. meldet dem Europäischen Datenschutzbeauftragten (EDSB) Verletzungen des Schutzes personenbezogener Daten;
  3. unterrichtet den DSK und den DSB über Verletzungen des Schutzes personenbezogener Daten und teilt diese gegebenenfalls der betroffenen Person mit;
  4. stellt sicher, dass der DSK über alle mit dem Datenschutz zusammenhängenden Fragen, insbesondere über Anträge betroffener Personen, auf dem Laufenden gehalten wird;
  5. erfüllt auf Ersuchen des delegierten Verantwortlichen sonstige Aufgaben im Anwendungsbereich dieses Beschlusses.

Kapitel 4
Sonstige Pflichten und Verfahren

Artikel 9 Unterrichtung

Der delegierte Verantwortliche unterrichtet in Zusammenarbeit mit dem DSK den DSB, wenn er den EDSB nach der Verordnung (EU) 2018/1725 und insbesondere deren Artikeln 40 und 41 konsultiert oder unterrichtet. Zudem unterrichtet der delegierte Verantwortliche, der operative Verantwortliche oder der DSK den DSB über alle sonstigen direkten Interaktionen mit dem EDSB im Zusammenhang mit der Durchführung der Verordnung (EU) 2018/1725.

Artikel 10 Register

(1) Der DSB stellt sicher, dass das Register der Verarbeitungsvorgänge der Kommission über die Website des DSB im Intranet der Kommission und über die Website des DSB auf der Europa-Website zugänglich ist.

(2) Die delegierten Verantwortlichen übermitteln dem DSB über ihren DSK die Aufzeichnungen über ihre Verarbeitungsvorgänge unter Verwendung des Online-Übermittlungssystems der Kommission, das über die Website des DSB im Intranet der Kommission zugänglich ist.

Artikel 11 Untersuchungsverfahren

(1) Die in Artikel 6 Buchstabe e genannten Untersuchungsanträge sind schriftlich an den DSB zu richten. Innerhalb von 15 Arbeitstagen nach Eingang des Antrags übermittelt der DSB der Person, die die Untersuchung beantragt hat, eine Empfangsbestätigung und prüft, ob der Antrag vertraulich zu behandeln ist, um die Vertraulichkeit des Antrags zu gewährleisten, es sei denn, die jeweiligen betroffenen Personen erklären sich unmissverständlich damit einverstanden, dass der Antrag anders bearbeitet wird. Wird das Recht, eine Untersuchung zu beantragen, offensichtlich missbräuchlich in Anspruch genommen, so ist der DSB nicht verpflichtet, dem Antragsteller zu antworten.

(2) Der DSB ersucht den delegierten Verantwortlichen, der für den betreffenden Datenverarbeitungsvorgang zuständig ist, um eine schriftliche Stellungnahme zu der Angelegenheit. Der delegierte Verantwortliche antwortet dem DSB innerhalb von 15 Arbeitstagen. Der DSB kann innerhalb von 15 Arbeitstagen zusätzliche Informationen von dem delegierten Verantwortlichen, dem Auftragsverarbeiter oder anderen Parteien anfordern.

(3) Der DSB antwortet der Person, die die Untersuchung beantragt hat, spätestens drei Monate nach Eingang des Antrags. Diese Frist kann ausgesetzt werden, bis der DSB alle erforderlichen Informationen erhalten hat, die er angefordert hat.

(4) Niemand darf benachteiligt werden, weil er den DSB von einer Angelegenheit in Kenntnis gesetzt und einen mutmaßlichen Verstoß gegen die Verordnung (EU) 2018/1725 dargelegt hat.

Artikel 12 Verwaltung und Management

(1) Der DSB ist verwaltungstechnisch dem Generalsekretariat zugeordnet. In diesem Zusammenhang wirkt der DSB an der Ausarbeitung des jährlichen Managementplans und des Haushaltsplanvorentwurfs des Generalsekretariats mit.

(2) Der DSB ist für die Beurteilung des Personals der Dienststelle Datenschutz zuständig. Gegenzeichnender Beamter ist der stellvertretende Generalsekretär. Der DSB wirkt gegebenenfalls an der Koordinierung des Managements im Generalsekretariat mit.

Kapitel 5
Beschränkung der Rechte betroffener Personen

Artikel 13 Ausnahmen und Beschränkungen

(1) Die Kommission prüft bei der Erfüllung ihrer Pflichten in Bezug auf die Rechte betroffener Personen nach der Verordnung (EU) 2018/1725, ob eine der in der genannten Verordnung festgelegten Ausnahmen Anwendung findet.

(2) Vorbehaltlich der Artikel 14 bis 18 dieses Beschlusses kann die Kommission die Anwendung der Artikel 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a der genannten Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 17, 19 und 20 der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten entsprechen, nach Artikel 25 Absatz 1 Buchstaben c, g und h beschränken, wenn die Wahrnehmung dieser Rechte und Pflichten den Zweck der Aufgaben des DSB, unter anderem durch Offenlegung von dessen Untersuchungs- oder Prüfungsinstrumenten und -methoden, gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.

(3) Vorbehaltlich der Artikel 14 bis 18 dieses Beschlusses kann die Kommission die in Absatz 2 genannten Rechte und Pflichten in Bezug auf personenbezogene Daten, die der DSB von Kommissionsdienststellen oder anderen Organen und Einrichtungen der Union erhalten hat, beschränken. Die Kommission kann dies tun, wenn die Wahrnehmung dieser Rechte und Pflichten durch diese Kommissionsdienststellen oder Organe und Einrichtungen der Union auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder nach Kapitel IX der genannten Verordnung oder nach der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates 6 oder der Verordnung (EU) 2017/1939 des Rates 7 beschränkt werden könnte.

Bevor die Kommission unter den in Unterabsatz 1 genannten Umständen Beschränkungen anwendet, konsultiert sie die zuständigen Organe oder Einrichtungen der Union, es sei denn, aufseiten der Kommission besteht Klarheit darüber, dass die Anwendung einer Beschränkung in einem der in dem genannten Unterabsatz aufgeführten Rechtsakte vorgesehen ist.

(4) Jede Beschränkung der Anwendung der in Absatz 2 genannten Rechte und Pflichten muss erforderlich und angemessen sein und die Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigen.

Artikel 14 Unterrichtung der betroffenen Personen

(1) Die Kommission veröffentlicht auf ihrer Website Datenschutzhinweise, die alle betroffenen Personen über die Aufgaben des DSB informieren, bei denen ihre personenbezogenen Daten verarbeitet werden.

(2) Die Kommission unterrichtet natürliche Personen, die sie als von den Aufgaben des DSB betroffen oder als Informant ansieht, einzeln in einem geeigneten Format.

(3) Wenn die Kommission die Unterrichtung der in Absatz 2 genannten betroffenen Personen ganz oder teilweise beschränkt, erfasst und registriert sie die Gründe für die Beschränkung nach Artikel 17.

Artikel 15 Auskunftsrecht betroffener Personen, Recht auf Löschung und Recht auf Einschränkung der Verarbeitung

(1) Wenn die Kommission das Auskunftsrecht betroffener Personen, das Recht auf Löschung oder das Recht auf Einschränkung der Verarbeitung nach den Artikeln 17, 19 beziehungsweise 20 der Verordnung (EU) 2018/1725 ganz oder teilweise beschränkt, unterrichtet sie die jeweils betroffene Person in ihrer Antwort auf den Antrag auf Auskunft, Löschung oder Einschränkung der Verarbeitung über die angewendete Beschränkung und die wichtigsten Gründe dafür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

(2) Die Unterrichtung über die Gründe für die Beschränkung nach Absatz 1 kann so lange zurückgestellt, unterlassen oder abgelehnt werden, wie die Unterrichtung dem Zweck der Beschränkung zuwiderliefe.

(3) Die Kommission erfasst und registriert die Gründe für die Beschränkung nach Artikel 17.

(4) Wenn das Auskunftsrecht ganz oder teilweise beschränkt wird, ist die betroffene Person berechtigt, ihr Auskunftsrecht nach Artikel 25 Absätze 6, 7 und 8 der Verordnung (EU) 2018/1725 über den EDSB auszuüben.

Artikel 16 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

Wenn die Kommission die Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten nach Artikel 35 der Verordnung (EU) 2018/1725 beschränkt, erfasst und registriert sie die Gründe für die Beschränkung nach Artikel 17 dieses Beschlusses.

Artikel 17 Erfassung und Registrierung von Beschränkungen

(1) Die Kommission erfasst die Gründe für nach diesem Beschluss angewendete Beschränkungen, einschließlich einer Einzelfallprüfung der Erforderlichkeit und Angemessenheit der Beschränkung unter Berücksichtigung der relevanten Umstände nach Artikel 25 Absatz 2 der Verordnung (EU) 2018/1725.

Zu diesem Zweck ist anzugeben, inwieweit die Ausübung des betreffenden Rechts den Zweck der Aufgaben des DSB nach diesem Beschluss oder nach Artikel 13 Absatz 2 oder 3 angewendete Beschränkungen gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.

(2) Die erfassten Angaben und gegebenenfalls die Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, werden registriert. Sie werden dem EDSB auf Anfrage zur Verfügung gestellt.

Artikel 18 Dauer der Beschränkungen

(1) Die in den Artikeln 14, 15 und 16 genannten Beschränkungen gelten, solange die Gründe vorliegen, die diese Beschränkungen rechtfertigen.

(2) Wenn die Gründe für eine in Artikel 14 oder 16 genannte Beschränkung nicht mehr vorliegen, hebt die Kommission die Beschränkung auf und teilt der betroffenen Person die Gründe für die Beschränkung mit. Gleichzeitig unterrichtet die Kommission die betroffene Person über die Möglichkeit, Beschwerde beim EDSB oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.

(3) Die Kommission überprüft die Anwendung der in den Artikeln 14 und 16 genannten Beschränkungen alle sechs Monate ab ihrer Einführung sowie in jedem Fall bei Abschluss der betreffenden Tätigkeit des DSB. Danach prüft die Kommission jährlich, inwieweit es erforderlich ist, eine Beschränkung oder Zurückstellung aufrechtzuerhalten.

Artikel 19 Überprüfung durch den Datenschutzbeauftragten

(1) Wenn andere Kommissionsdienststellen zu dem Schluss kommen, dass die Rechte einer betroffenen Person nach diesem Beschluss beschränkt werden sollten, setzen sie den DSB davon in Kenntnis. Sie gewähren dem DSB auch Zugang zu den erfassten Angaben und zu Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten.

(2) Der DSB kann den delegierten Verantwortlichen der betreffenden Kommissionsdienststelle ersuchen, die Anwendung der Beschränkungen zu überprüfen. Der delegierte Verantwortliche der betreffenden Kommissionsdienststelle unterrichtet den DSB schriftlich über das Ergebnis dieser Überprüfung.

Kapitel 6
Schlussbestimmungen

Artikel 20 Aufhebung

Der Beschluss 2008/597/EG wird aufgehoben.

Artikel 21 Inkrafttreten

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Brüssel, den 3. Juli 2020

1) ABl. L 295 vom 21.11.2018 S. 39.

2) SEC(2019) 900/2.

3) Beschluss 2008/597/EG der Kommission vom 3. Juni 2008 zur Annahme von Durchführungsbestimmungen betreffend den Datenschutzbeauftragten gemäß Artikel 24 Absatz 8 der Verordnung (EG) Nr. 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 193 vom 22.07.2008 S. 7).

4) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.01.2001 S. 1).

5) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.05.2001 S. 43).

6) Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.05.2016 S. 53).

7) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017 S. 1).

UWS Umweltmanagement GmbHENDEFrame öffnen