umwelt-online: Beschluss Nr. 2021-096 REV 1 des Verwaltungsrats der Agentur der Europäischen Union für das Betriebsmanagement von IT-Grosssystemen im Raum der Freiheit, der Sicherheit und des Rechts über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (1)

Beschluss Nr. 2021-096 REV 1 des Verwaltungsrats der Agentur der Europäischen Union für das Betriebsmanagement von IT-Grosssystemen im Raum der Freiheit, der Sicherheit und des Rechts vom 16. April 2021 über interne Vorschriften zur Beschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit der Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts

(ABl. L 161 vom 07.05.2021 S. 9)

Der Verwaltungsrat der Agentur der Europäischen Union für das Betriebsmanagement von IT-Grosssystemen im Raum der Freiheit, der Sicherheit und des Rechts (EU-LISA) (im Folgenden "eu-LISA") -

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG ¹ (im Folgenden "Verordnung (EU) 2018/1725"), insbesondere auf Artikel 25,

gestützt auf die Verordnung (EU) 2018/1726 des Europäischen Parlaments und des Rates vom 14. November 2018 über die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Änderung der Verordnung (EG) Nr. 1987/2006 und des Beschlusses 2007/533/JI des Rates sowie zur Aufhebung der Verordnung (EU) Nr. 1077/2011 ² (im Folgenden "Verordnung (EU) 2018/1726"), insbesondere auf Artikel 35,

gestützt auf die Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) vom 11. März 2021 und seine " Leitlinien zu Artikel 25 der Verordnung (EU) 2018/1725 und internen Vorschriften über die Beschränkung von Rechten betroffener Personen" ³,

(2) eu-LISA ist befugt, Verwaltungsuntersuchungen, Vordisziplinar-, Disziplinar- und Dienstenthebungsverfahren gemäß dem Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Union, so wie diese in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates ⁴ (im Folgenden "Statut") festgelegt sind, sowie gemäß dem Beschluss eu-LISA Nr. 2014-080 vom 28. Januar 2015 des Verwaltungsrats von eu-LISA über die Annahme von Durchführungsbestimmungen für Verwaltungsuntersuchungen und Disziplinarverfahren durchzuführen. Falls erforderlich, meldet die Agentur Fälle auch an das OLAF.

(3) Die Bediensteten von eu-LISA sind verpflichtet, potenziell rechtswidrige Handlungen, einschließlich Betrug oder Korruption, zum Nachteil der Interessen der Union, zu melden. Die Bediensteten sind auch verpflichtet, Verhaltensweisen zu melden, die mit der Ausübung beruflicher Pflichten im Zusammenhang stehen und eine schwerwiegende Verletzung der Pflichten von Beamten der Union darstellen könnten. Dies wird durch den Beschluss von eu-LISA über interne Vorschriften für die Meldung von Missständen (Whistleblowing) vom 26. Juni 2018 geregelt.

(4) eu-LISA hat Grundsätze für die Prävention gegen Mobbing und sexuelle Belästigung im Arbeitsumfeld sowie ein wirksames Vorgehen bei erwiesenen oder mutmaßlichen Fällen aufgestellt; diese Grundsätze sind im Beschluss Nr. 2018-174 des Verwaltungsrats vom 6. Dezember 2018 über die Grundsätze von eu-LISA für den Schutz der persönlichen Würde und zur Verhütung von Mobbing und sexueller Belästigung festgelegt und hat gemäß dem Statut Durchführungsmaßnahmen erlassen. Mit dem Beschluss wurde ein formloses Verfahren eingeführt, nach dem sich mutmaßliche Opfer von Mobbing bzw. sexueller Belästigung an Vertrauenspersonen bei eu-LISA wenden können.

(5) Auf der Grundlage ihres Beschlusses Nr. 2019-273 vom 20. November 2019 zur Änderung ihrer Sicherheitsvorschriften für den Schutz von EU-VS kann eu-LISA auch Untersuchungen wegen möglicher Verstöße gegen die Sicherheitsvorschriften für EU-Verschlusssachen (im Folgenden "EU-VS") durchführen.

(6) eu-LISA unterliegt hinsichtlich ihrer Tätigkeiten sowohl internen als auch internen Audits.

(7) Im Zusammenhang mit solchen Verwaltungsuntersuchungen, Audits und Ermittlungen arbeitet eu-LISA mit anderen Organen, Einrichtungen und sonstigen Stellen der Union zusammen.

(8) eu-LISA kann im Einklang mit den Bestimmungen des Artikels 43 der Verordnung (EU) 2018/1726 mit den nationalen Behörden von Drittländern und internationalen Organisationen zusammenarbeiten.

(9) eu-LISA kann auch mit Behörden der EU-Mitgliedstaaten auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten.

(10) eu-LISA ist an Rechtssachen vor dem Gerichtshof der Europäischen Union beteiligt; dies ist der Fall, wenn eu-LISA dort Klage erhebt, eine von eu-LISA getroffene Entscheidung, die vor dem Gerichtshof angefochten wird, verteidigt oder in Rechtssachen, die die Aufgaben von eu-LISA betreffen, als Streithelfer dem Rechtsstreit beitritt. In diesem Zusammenhang kann es vorkommen, dass eu-LISA die Vertraulichkeit personenbezogener Daten in den von den Parteien oder Streithelfern erlangten Dokumenten wahren muss.

(11) Zur Erfüllung ihrer Aufgaben erhebt und verarbeitet eu-LISA Informationen und verschiedene Kategorien personenbezogener Daten, darunter Daten zur Identifizierung natürlicher Personen, Kontaktdaten, berufliche Zuständigkeiten und Aufgaben, Angaben zu Verhalten und Leistungen auf privater und beruflicher Ebene sowie Finanzdaten. eu-LISA fungiert als Verantwortlicher.

(12) Gemäß der Verordnung (EU) 2018/1725 ist eu-LISA daher verpflichtet, die betroffenen Personen über diese Verarbeitungstätigkeiten zu unterrichten und ihre Rechte als betroffene Personen zu wahren.

(13) eu-LISA ist unter Umständen gehalten, diese Rechte mit den Zielen von Verwaltungsuntersuchungen, Audits, Ermittlungen und Gerichtsverfahren in Einklang zu bringen. Außerdem könnte es erforderlich sein, dass sie die Rechte einer betroffenen Person gegen die Grundrechte und Grundfreiheiten anderer betroffener Personen abwägen muss. Zu diesem Zweck ist in Artikel 25 der Verordnung (EU) 2018/1725 für eu-LISA die Möglichkeit vorgesehen, unter strengen Voraussetzungen die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung (EU) 2018/1725 zu beschränken, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen. Sofern diese Beschränkungen nicht in einem auf der Grundlage der Verträge erlassenen Rechtsakt vorgesehen sind, ist es erforderlich, interne Vorschriften zu erlassen, die eu-LISA zur Beschränkung der betreffenden Rechte berechtigen.

(14) So könnte es für eu-LISA z.B. in der Vorphase einer Verwaltungsuntersuchung oder während der eigentlichen Verwaltungsuntersuchung, vor einer etwaigen Verfahrenseinstellung oder im Vordisziplinarverfahren erforderlich sein, die Informationen zu beschränken, die der betroffenen Person über die Verarbeitung ihrer personenbezogen Daten mitgeteilt werden. Unter bestimmten Umständen könnte die Mitteilung solcher Informationen die Fähigkeit von eu-LISA, die Untersuchung wirksam durchzuführen, erheblich beeinträchtigen; beispielsweise wenn die Gefahr besteht, dass die betreffende Person Beweise vernichten oder potenzielle Zeugen beeinflussen könnte, bevor diese vernommen werden. Es könnte für eu-LISA auch erforderlich sein, die Rechte und Freiheiten von Zeugen sowie anderen Beteiligten zu schützen.

(15) Es könnte erforderlich sein, die Anonymität von Zeugen oder Hinweisgebern zu wahren, die darum gebeten haben, ihre Identität nicht preiszugeben. In solchen Fällen könnte eu-LISA beschließen, die Auskunft über die Identität, Aussagen und sonstigen personenbezogenen Daten solcher Personen zu beschränken, um deren Rechte und Freiheiten zu schützen.

(16) Es könnte notwendig sein, vertrauliche Informationen zu schützen, die einen Mitarbeiter betreffen, der sich im Zusammenhang mit einem Verfahren wegen Mobbings oder sexueller Belästigung an Vertrauenspersonen von eu-LISA gewandt hat. In solchen Fällen könnte es für eu-LISA erforderlich sein, die Auskunft über die Identität, Aussagen und sonstigen personenbezogenen Daten des mutmaßlichen Opfers, des mutmaßlichen Täters und anderer Beteiligter zu beschränken, um die Rechte und Freiheiten aller Beteiligten zu schützen.

(17) eu-LISA sollte solche Beschränkungen nur vornehmen, wenn sie den Wesensgehalt der Grundrechte und Grundfreiheiten achten, unbedingt notwendig sind und eine in einer demokratischen Gesellschaft verhältnismäßige Maßnahme darstellen. eu-LISA sollte begründen, weshalb sie diese Beschränkungen für gerechtfertigt hält.

(18) Nach dem Grundsatz der Rechenschaftspflicht muss eu-LISA Aufzeichnungen über die von ihr vorgenommenen Beschränkungen führen.

(19) Bei der Verarbeitung personenbezogener Daten, die eu-LISA im Rahmen ihrer Aufgaben mit anderen Organisationen austauscht, erfolgt eine wechselseitige Konsultation zwischen eu-LISA und diesen Organisationen über etwaige Gründe für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der Beschränkungen, es sei denn, dies würde die Tätigkeiten von eu-LISA gefährden.

(20) Gemäß Artikel 25 Absatz 6 der Verordnung (EU) 2018/1725 ist der Verantwortliche verpflichtet, die betroffene Person über die wesentlichen Gründe für die Beschränkung und über ihr Beschwerderecht beim EDSB zu unterrichten.

(21) Nach Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 kann eu-LISA die Unterrichtung der betroffenen Person über die Gründe für die Beschränkung gemäß Artikel 25 Absatz 8 der Verordnung zurückstellen, unterlassen oder ablehnen, wenn die Unterrichtung die Wirkung der vorgenommenen Beschränkung zunichtemachen würde. eu-LISA sollte in jeden Einzelfall prüfen, ob die Unterrichtung über die Beschränkung deren Wirkung zunichtemachen würde.

(22) eu-LISA sollte die Beschränkung aufheben, sobald die sie rechtfertigenden Voraussetzungen nicht länger gegeben sind, und das Vorliegen dieser Voraussetzungen regelmäßig überprüfen.

(23) Zur Gewährleistung des größtmöglichen Schutzes der Rechte und Freiheiten der betroffenen Personen sowie gemäß Artikel 44 Absatz 1 der Verordnung (EU) 2018/1725 sollte der Datenschutzbeauftragte (DSB) von eu-LISA frühzeitig über alle möglicherweise angewandten Beschränkungen konsultiert werden und überprüfen, ob diese mit dem vorliegenden Beschluss in Einklang stehen.

(24) Artikel 16 Absatz 5 und Artikel 17 Absatz 4 der Verordnung (EU) 2018/1725 sehen Ausnahmen vom Recht der betroffenen Personen auf Unterrichtung und Auskunft vor. Soweit diese Ausnahmen Anwendung finden, ist es für eu-LISA nicht erforderlich, eine auf diesem Beschluss beruhende Beschränkung vorzunehmen.

(25) Gemäß Artikel 35 Absatz 2 der Verordnung (EU) 2018/1726 erlässt der Verwaltungsrat nach Konsultation des EDSB Maßnahmen zur Anwendung der Verordnung (EU) 2018/1725 durch die Agentur, einschließlich der in Artikel 25 Absätze 1, 3 und 4 der Verordnung (EU) 2018/1725 genannten internen Vorschriften

(1) In diesem Beschluss werden die Bedingungen festgelegt, unter denen eu-LISA die Anwendung der Artikel 4, 14 bis 22, 35 und 36 gemäß Artikel 25 der Verordnung (EU) 2018/1725 im Rahmen der in Absatz 2 genannten Verfahren gemäß Artikel 25 der genannten Verordnung beschränken kann.

(2) eu-LISA wird in ihrer Eigenschaft als Verantwortlicher vom Exekutivdirektor vertreten.

(1) eu-LISA kann die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, wie folgt beschränken:

(2) Jede Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.

(3) Bevor Beschränkungen vorgenommen werden, ist deren Notwendigkeit und Verhältnismäßigkeit im Einzelfall zu prüfen. Beschränkungen sind auf das zur Erreichung ihres Zwecks unbedingt erforderliche Maß zu begrenzen.

(4) Zu Rechenschaftszwecken erstellt eu-LISA Aufzeichnungen über die Gründe für die vorgenommenen Beschränkungen, die angewandten Rechtsgrundlagen gemäß Absatz 1 sowie das Ergebnis der Notwendigkeits- und Verhältnismäßigkeitsprüfung. Diese Aufzeichnungen sind Teil eines Registers, das dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt wird. eu-LISA erstellt regelmäßige Berichte über die Anwendung von Artikel 25 der Verordnung (EU) 2018/1725.

(5) Bei der Verarbeitung personenbezogener Daten, die eu-LISA im Rahmen ihrer Aufgaben von anderen Organisationen erhält, konsultiert eu-LISA diese Organisationen über mögliche Gründe für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der betreffenden Beschränkungen, es sei denn, dies würde die Tätigkeiten von eu-LISA gefährden.

(1) Die Bewertungen der sich aus der Vornahme von Beschränkungen ergebenden Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die Angaben zur Geltungsdauer dieser Beschränkungen sind im Verzeichnis der Verarbeitungstätigkeiten einzutragen, das von eu-LISA gemäß Artikel 31 der Verordnung geführt wird. Außerdem sind sie in den einschlägigen Datenschutz-Folgenabschätzungen gemäß Artikel 39 der Verordnung (EU) 2018/1725 zu vermerken.

(2) Bei jeder Prüfung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung berücksichtigt eu-LISA die möglichen Risiken für die Rechte und Freiheiten der betroffenen Person.

(1) eu-LISA implementiert Schutzvorkehrungen, die verhindern, dass personenbezogene Daten, die Beschränkungen unterliegen oder unterliegenden könnten, Missbrauch, unrechtmäßigem Zugriff oder unrechtmäßiger Übermittlung ausgesetzt sind. Diese Schutzvorkehrungen umfassen technische und organisatorische Maßnahmen und werden erforderlichenfalls in den internen Beschlüssen, Verfahren und Durchführungsbestimmungen von eu-LISA im Einzelnen angegeben. Die Garantien beinhalten:

Die in Buchstabe d genannten Überprüfungen sind mindestens alle sechs Monate durchzuführen.

(2) Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gegeben sind.

(3) Die personenbezogenen Daten werden gemäß den geltenden Speicherungsvorschriften von eu-LISA gespeichert, die in den gemäß Artikel 31 der Verordnung (EU) 2018/1725 geführten Datenschutzverzeichnissen festzulegen sind. Nach Ablauf der Speicherfrist werden die personenbezogenen Daten gemäß Artikel 13 der Verordnung (EU) 2018/1725 gelöscht, anonymisiert oder in Archive übertragen.

(1) Jede Beschränkung der Rechte betroffener Personen, die gemäß diesem Beschluss vorgenommen wird oder vorgenommen werden soll, ist unverzüglich dem/der Datenschutzbeauftragten von eu-LISA mitzuteilen. Der/die Datenschutzbeauftragte erhält vollen und uneingeschränkten Zugang zu allen Aufzeichnungen und Dokumenten, die den zugrunde liegenden sachlichen oder rechtlichen Zusammenhang betreffen.

(2) Der/die Datenschutzbeauftragte von eu-LISA kann eine Überprüfung der Anwendung einer Beschränkung verlangen. eu-LISA unterrichtet ihre(n) Datenschutzbeauftragte(n) schriftlich über das Ergebnis der Überprüfung.

(3) eu-LISA dokumentiert die Mitwirkung des/der Datenschutzbeauftragten bei der Vornahme von Beschränkungen sowie die dem/der Datenschutzbeauftragten mitgeteilten Informationen.

(4) In der Praxis unterrichtet die im Namen des Verantwortlichen verantwortliche Person (im Folgenden "Verantwortlicher in der Praxis") ⁵ den/die Datenschutzbeauftragte(n) von eu-LISA über die Aufhebung der Beschränkung.

Artikel 6 Unterrichtung betroffener Personen über Beschränkungen ihrer Rechte

(1) In die Datenschutzhinweise, die eu-LISA auf ihrer Website/im Intranet veröffentlicht, nimmt eu-LISA allgemeine Informationen auf, die die betroffenen Personen über die Möglichkeit einer Beschränkung ihrer Rechte gemäß Artikel 2 Absatz 1 unterrichten. Die Informationen sollten sich darauf beziehen, welche Rechte beschränkt werden können, aus welchen Gründen die Beschränkungen vorgenommen werden können und für welche Dauer sie gelten können.

(2) eu-LISA unterrichtet jede einzelne betroffene Person schriftlich und unverzüglich über bereits verfügte oder künftige Beschränkungen ihrer Rechte. eu-LISA unterrichtet die betroffenen Personen über die wesentlichen Gründe für die Beschränkung, über ihr Recht, sich an den DSB zu wenden, um gegen die Beschränkung vorzugehen, sowie über ihr Recht, beim EDSB Beschwerde einzulegen.

(3) Solange die Unterrichtung über die Gründe für die Beschränkung und das Recht auf Einlegung der Beschwerde beim Europäischen Datenschutzbeauftragten die Wirkung der Beschränkung zunichtemachen würde, kann sie von eu-LISA zurückgestellt, unterlassen oder abgelehnt werden. Die Beurteilung, ob dies gerechtfertigt wäre, erfolgt auf Einzelfallbasis. Sobald die Unterrichtung die Wirkung der Beschränkung nicht mehr zunichtemachen würde, ist die betroffene Person von eu-LISA zu unterrichten.

Artikel 7 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

(1) Ist eu-LISA gemäß Artikel 35 Absatz 1 der Verordnung (EU) 2018/1725 zur Benachrichtigung über eine Datenschutzverletzung verpflichtet, ist es eu-LISA in Ausnahmefällen möglich, die Benachrichtigung ganz oder zum Teil zu beschränken. eu-LISA dokumentiert die Gründe für die Beschränkung, die Rechtsgrundlage gemäß obigem Artikel 2 sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung. Der Vermerk ist dem EDSB zum Zeitpunkt der Meldung der Verletzung des Schutzes personenbezogener Daten mitzuteilen.

(2) Sind die Gründe für die Beschränkung nicht mehr gegeben, unterrichtet eu-LISA die betroffene Person über die Verletzung des Schutzes personenbezogener Daten, wobei die Hauptgründe für die Beschränkung anzugeben und auf das Recht der betroffenen Person, beim Europäischen Datenschutzbeauftragten Beschwerde einzulegen, hinzuweisen ist.

(1) In Ausnahmefällen ist es eu-LISA möglich, das Recht auf Vertraulichkeit der elektronischen Kommunikation im Sinne von Artikel 36 der Verordnung (EU) 2018/1725 zu beschränken. Derartige Beschränkungen müssen der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates ⁶ genügen.

(2) Beschränkt eu-LISA das Recht auf Vertraulichkeit der elektronischen Kommunikation, unterrichtet sie die betroffene Person in der Antwort auf deren Anfrage über die wesentlichen Gründe für diese Beschränkung sowie über das Recht der betroffenen Person, beim Europäischen Datenschutzbeauftragten Beschwerde einzulegen.

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

1) ABl. L 295 vom 21.11.2018 S. 39.

2) ABl. L 295 vom 21.11.2018 S. 99.

3) EDPS Guidance on Article 25 of the Regulation (EU) 2018/1725 and internal rules restricting data subjects rights (update 24 June 2020) - https://edps.europa.eu/data-protection/our-work/publications/guidelines/guidance-art-25-regulation-20181725_en

4) Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (ABl. L 56 vom 04.03.1968 S. 1).

5) EDPS Guidance on documenting processing operations for EU institutions, bodies and agencies (EUIs) - Accountability on the ground Part I - " top management is accountable for compliance with the rules, but responsibility is usually assumed at a lower level ('person responsible on behalf of the controller' / 'controller in practice'). (Leitfaden des EDSB zur Dokumentation von Verarbeitungsvorgängen für Organe, Einrichtungen und sonstige Stellen der EU (EUI) - (Rechenschaftspflicht vor Ort Teil I) - "Die oberste Führungsebene ist für die Einhaltung der Vorschriften rechenschaftspflichtig, die Verantwortung wird jedoch in der Regel auf einer niedrigeren Ebene übernommen ("Person, die im Namen des Verantwortlichen verantwortlich ist"/"Verantwortlicher in der Praxis").")

6) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.07.2002 S. 37).