Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2021, Verwaltung/Datenschutz - EU Bund |
Beschluss (EU) 2021/1093 des Rates vom 28. Juni 2021 zur Festlegung der Durchführungsvorschriften über den Datenschutzbeauftragten des Rates, die Anwendung der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates und Beschränkungen der Rechte betroffener Personen im Rahmen der Wahrnehmung der Aufgaben des Datenschutzbeauftragten des Rates, und zur Aufhebung des Beschlusses 2004/644/EG des Rates
(ABl. L 236 vom 05.07.2021 S. 55)
Neufassung - Ersetzt Beschl. (EU) 2004/644/EG
Der Rat der Europäischen Union -
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 240 Absatz 3,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG 1, insbesondere auf Artikel 45 Absatz 3,
in Erwägung nachstehender Gründe:
(1) In der Verordnung (EU) 2018/1725 sind die Grundsätze und Regelungen festgelegt, die für alle Organe und Einrichtungen der Union gelten; sie sieht vor, dass jedes Organ und jede Einrichtung der Union einen Datenschutzbeauftragten bestellt.
(2) Artikel 45 Absatz 3 der Verordnung (EU) 2018/1725 sieht vor, dass jedes Organ und jede Einrichtung der Union den Datenschutzbeauftragten betreffende Durchführungsbestimmungen (im Folgenden "Durchführungsbestimmungen") erlässt. Diese Durchführungsvorschriften sollten insbesondere die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten des Rates und des GSR (DSB) betreffen.
(3) In den Durchführungsbestimmungen sollten die Verfahren für die Ausübung der Rechte der betroffenen Personen und für die Erfüllung der Pflichten aller einschlägigen Akteure im Rat und im Generalsekretariat des Rates (im Folgenden "GSR") im Zusammenhang mit der Verarbeitung personenbezogener Daten festgelegt werden.
(4) Die Verordnung (EU) 2018/1725 sieht klare Zuständigkeiten der für die Datenverarbeitung Verantwortlichen vor, insbesondere im Zusammenhang mit den Rechten der betroffenen Personen. Mit den Durchführungsbestimmungen sollte sichergestellt werden, dass der Rat und das GSR ihre Aufgaben als Verantwortliche in einheitlicher und transparenter Weise wahrnehmen. Es sollten Vorschriften festgelegt werden, anhand deren bestimmt wird, wer für einen im Namen des Rates oder des GSR durchgeführten Verarbeitungsvorgang verantwortlich ist. In diesem Zusammenhang ist es angezeigt, die Rechtsfigur eines "delegierten Verantwortlichen" einzuführen, um die Zuständigkeiten der Gremien des GSR, insbesondere bei Einzelentscheidungen über die Rechte betroffener Personen, genau anzugeben. Zudem ist es angezeigt, die Rechtsfigur eines "operativen Verantwortlichen" einzuführen, der unter der Verantwortung des delegierten Verantwortlichen benannt wird, um die Einhaltung der Vorschriften in der Praxis sicherzustellen und Anträge betroffener Personen im Zusammenhang mit einem Verarbeitungsvorgang zu bearbeiten. Um die Zuständigkeiten im GSR für jede Verarbeitungstätigkeit genau zu beschreiben, sollte der operative Verantwortliche in dem im Register geführten Verzeichnis genau angegeben werden. Die Ernennung eines operativen Verantwortlichen schließt nicht aus, dass in der Praxis eine Anlaufstelle, zum Beispiel in Form einer Funktionsmailbox für Anträge betroffener Personen, eingerichtet wird.
(5) In bestimmten Fällen können mehrere Generaldirektionen oder Dienststellen des GSR einen Verarbeitungsvorgang gemeinsam durchführen, um ihren Auftrag zu erfüllen. In solchen Fällen sollten sie sicherstellen, dass interne Regelungen vorhanden sind, nach denen auf transparente Weise ihre jeweiligen Zuständigkeiten nach der Verordnung (EU) 2018/1725 bestimmt werden können, insbesondere im Zusammenhang mit den Rechten der betroffenen Personen, die Meldung an den Europäischen Datenschutzbeauftragten (EDSB) und die Führung der Verzeichnisse.
(6) Um den delegierten Verantwortlichen die Wahrnehmung ihrer Zuständigkeiten zu erleichtern, sollte jede Generaldirektion und jede sonstige Dienststelle des GSR einen Datenschutzkoordinator benennen. Die Datenschutzkoordinatoren sollten die Generaldirektion und die sonstigen Dienststellen in allen Aspekten des Schutzes personenbezogener Daten unterstützen und sich am Netz der Datenschutzkoordinatoren im GSR beteiligen, um eine kohärente Durchführung und Auslegung der Verordnung (EU) 2018/1725 zu gewährleisten.
(7) Nach Artikel 45 Absatz 1 Buchstabe b der Verordnung (EU) 2018/1725 kann der DSB zusätzliche Leitlinien zur Funktion des Datenschutzkoordinators festlegen.
(8) Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 bietet jedem Organ und jeder Einrichtung der Union die Möglichkeit, die Anwendung der Artikel 14 bis 17, 19, 20 und 35 jener Verordnung sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a, soweit dessen Bestimmungen den in den Artikeln 14 bis 17, 19 und 20 der genannten Verordnung vorgesehenen Rechten und Pflichten entsprechen, zu beschränken.
(9) In bestimmten Fällen kann es erforderlich sein, dass der DSB die Rechte betroffener Personen beschränkt, um die in Artikel 45 der Verordnung (EU) 2018/1725 festgelegten Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben unter Einhaltung der Standards für den Schutz personenbezogener Daten gemäß jener Verordnung wahrzunehmen. Es ist erforderlich, interne Vorschriften anzunehmen, nach denen der DSB die Rechte der betroffenen Personen nach Artikel 25 jener Verordnung beschränken darf (im Folgenden "interne Vorschriften").
(10) Die internen Vorschriften sollten für alle Datenverarbeitungsvorgänge gelten, die der Rat und das GSR in Erfüllung der Überwachungs-, Untersuchungs-, Prüfungs- und Beratungsaufgaben des DSB durchführen. Die internen Vorschriften sollten auch für Verarbeitungsvorgänge gelten, die zu den mit der Untersuchungs- oder Prüfungsfunktion des DSB zusammenhängenden Aufgaben gehören, wie etwa die vom DSB durchgeführten Beschwerdeverfahren. Ferner sollten die internen Vorschriften auf die Überwachung und Beratung durch den DSB Anwendung finden, wenn der DSB außerhalb seiner administrativen Untersuchungen und Prüfungen die Generaldirektionen und Dienststellen des GSR unterstützt und mit ihnen zusammenarbeitet.
(11) Es kann erforderlich sein, dass der Rat und das GSR aus den in Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung (EU) 2018/1725 genannten Gründen Beschränkungen auf Datenverarbeitungsvorgänge anwendet, die im Rahmen der Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB durchgeführt werden, wenn das notwendig ist, um die Aufgaben des DSB, damit zusammenhängende Untersuchungen und Verfahren, die Instrumente und Methoden der Untersuchungen und Prüfungen des DSB sowie die Rechte anderer Personen im Zusammenhang mit den Aufgaben des DSB zu schützen.
(12) Zur Aufrechterhaltung einer wirksamen Zusammenarbeit kann es notwendig sein, dass der Rat und das GSR die Rechte betroffener Personen unter Umständen beschränken, um Informationen mit personenbezogenen Daten zu schützen, die von anderen Generaldirektionen und Dienststellen des GSR, oder anderen Organen oder Einrichtungen der Union stammen. Zu diesem Zweck sollte der DSB diese Generaldirektionen und Dienststellen oder anderen Organe oder Einrichtungen zu den einschlägigen Gründen für solche Beschränkungen sowie zu deren Erforderlichkeit und Angemessenheit konsultieren.
(13) Der DSB und gegebenenfalls die Generaldirektionen und Dienststellen des GSR sollten alle Beschränkungen transparent handhaben und jede Anwendung von Beschränkungen in dem entsprechenden Verzeichnis registrieren.
(14) Nach Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 können die Verantwortlichen die Unterrichtung der betroffenen Person über die Gründe für die Anwendung einer Beschränkung zurückstellen oder davon absehen, wenn dadurch der Zweck der Beschränkung in irgendeiner Weise gefährdet würde. Insbesondere bei einer Beschränkung der in den Artikeln 16 und 35 jener Verordnung vorgesehenen Rechte würde die Mitteilung der Beschränkung deren Zweck gefährden. Um sicherzustellen, dass das Recht der betroffenen Person auf Unterrichtung nach jenen Artikeln nur so lange beschränkt wird, wie die Gründe für die Zurückstellung der Unterrichtung bestehen, sollten der DSB oder die Generaldirektionen bzw. Dienststellen des GSR, die die Beschränkung anwenden, ihren Standpunkt regelmäßig überprüfen.
(15) Wenn andere Rechte betroffener Personen beschränkt werden, sollte der DSB im Einzelfall prüfen, ob die Mitteilung der Beschränkung deren Zweck gefährden würde.
(16) Der DSB sollte eine unabhängige Überprüfung der Anwendung von Beschränkungen nach diesem Beschluss durch andere Generaldirektionen bzw. Dienststellen des GSR vornehmen, um die Einhaltung dieses Beschlusses zu gewährleisten.
(17) Alle auf der Grundlage dieses Beschlusses angewandten Beschränkungen sollten eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.
(18) Der EDSB wurde nach Artikel 41 Absätze 1 und 2 der Verordnung (EU) 2018/1725 unterrichtet und konsultiert und hat eine Stellungnahme 2 abgegeben.
(19) Die Durchführungsbestimmungen der Verordnung (EU) 2018/1725 berühren nicht die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates 3, den Beschluss 2004/338/EG des Rates, Euratom 4, insbesondere dessen Anhang II, den Beschluss 2013/488/EU des Rates 5, insbesondere dessen Anhang Teil II Abschnitt VI, sowie den Beschluss des Generalsekretärs des Rates/Hohen Vertreters für die gemeinsame Außen- und Sicherheitspolitik vom 25. Juni 2001 6.
(20) Der Beschluss 2004/644/EG des Rates 7 enthält Durchführungsbestimmungen für die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates. Die Verordnung (EG) Nr. 45/2001 wurde durch die Verordnung (EU) 2018/1725 mit Wirkung vom 11. Dezember 2019 aufgehoben. Um sicherzustellen, dass nur ein Rechtsakt mit Durchführungsvorschriften gilt, sollte der Beschluss 2004/644/EG aufgehoben werden
- hat folgenden Beschluss erlassen:
Abschnitt 1
Allgemeine Bestimmungen
Artikel 1 Gegenstand und Anwendungsbereich
(1) Dieser Beschluss legt Vorschriften und Verfahren für die Anwendung der Verordnung (EU) 2018/1725 durch den Rat und das GSR sowie weitere Durchführungsvorschriften über den Datenschutzbeauftragten des Rates ("DSB") fest.
(2) In diesem Beschluss sind die Vorschriften festgelegt, die der Rat und das GSR im Zusammenhang mit den Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungsaufgaben des DSB befolgen, wenn sie betroffene Personen über die Verarbeitung von deren personenbezogenen Daten nach den Artikeln 14, 15 und 16 der Verordnung (EU) 2018/1725 unterrichten.
(3) In diesem Beschluss sind die Voraussetzungen festgelegt, unter denen der Rat und das GSR im Zusammenhang mit den Überwachungs-, Untersuchungs-, Prüfungs- oder Beratungstätigkeiten des DSB die Anwendung der Artikel 4, 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 gemäß Artikel 25 Absatz 1 Buchstaben c, g und h jener Verordnung beschränken können.
(4) Dieser Beschluss gilt für die Verarbeitung personenbezogener Daten durch den Rat und das GSR für die Zwecke der oder im Zusammenhang mit den in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben des DSB.
Artikel 2 Verantwortung
Für die Zwecke dieses Beschlusses gelten der Rat und das GSR als Verantwortlicher im Sinne des Artikels 3 Nummer 8 der Verordnung (EU) 2018/1725.
Artikel 3 Begriffsbestimmungen
Für die Zwecke dieses Beschlusses bezeichnet der Ausdruck
Abschnitt 2
Der Datenschutzbeauftragte
Artikel 4 Benennung und Status des DSB
(1) Der Generalsekretär des Rates benennt den DSB aus dem Kreis des Personals des GSR und registriert ihn gemäß Artikel 43 der Verordnung (EU) 2018/1725 beim Europäischen Datenschutzbeauftragten ("EDSB").
(2) Der DSB wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben. Der DSB verfügt außerdem über solide Kenntnis des GSR, seines Aufbaus sowie seiner Verwaltungsvorschriften und -verfahren. Er wird für die Wahrnehmung seiner Aufgaben von allen sonstigen Aufgaben im GSR freigestellt.
(3) Der DSB wird für eine Amtszeit von fünf Jahren benannt und kann wiederbenannt werden.
(4) Der DSB und sein Personal sind direkt dem Generalsekretär des Rates unterstellt und erstatten ihm unmittelbar Bericht.
(5) Bei der Erfüllung seiner Aufgaben handelt der DSB unabhängig und erhält keinerlei Weisungen vom Generalsekretär des Rates, von den delegierten Verantwortlichen oder von den operativen Verantwortlichen oder von sonstigen Personen zur internen Anwendung der Bestimmungen der Verordnung (EU) 2018/1725 oder zu seiner Zusammenarbeit mit dem EDSB.
(6) Der Rat und das GSR unterstützen den DSB bei der Erfüllung seiner Aufgaben gemäß Artikel 45 der Verordnung (EU) 2018/1725, indem sie die Ressourcen zur Verfügung stellen, die erforderlich sind, um diese Aufgaben zu erfüllen, den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zu gewähren sowie sein Fachwissen zu erhalten.
(7) Der DSB darf wegen der Erfüllung seiner Aufgaben nicht seines Amtes enthoben oder benachteiligt werden. Der DSB darf nur gemäß Artikel 44 Absatz 8 der Verordnung (EU) 2018/1725 seines Amtes enthoben werden. Um die Zustimmung des EDSB zu einer solchen Amtsenthebung gemäß jenem Artikel einzuholen, wird der EDSB schriftlich konsultiert. Dem DSB wird eine Kopie dieser Zustimmung übermittelt.
(8) Das GSR, insbesondere die delegierten Verantwortlichen und die operativen Verantwortlichen, stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
Artikel 5 Aufgaben und Pflichten
(1) Der DSB nimmt alle in Artikel 45 der Verordnung (EU) 2018/1725 vorgesehenen Aufgaben wahr. Hierzu zählen insbesondere
Der Generalsekretär, die jeweiligen Verantwortlichen, die Personalvertretung sowie jede natürliche Person können den DSB in allen Fragen im Zusammenhang mit der Anwendung oder Durchführung der Verordnung (EU) 2018/1725 zu Rate ziehen, ohne den Dienstweg beschreiten zu müssen.
(2) Der DSB führt ein Register der Aufzeichnungen der Verarbeitungstätigkeiten und macht es gemäß Artikel 12 öffentlich zugänglich.
(3) Der DSB führt ein internes Register der Verletzungen des Schutzes personenbezogener Daten im Sinne des Artikels 3 Nummer 16 der Verordnung (EU) 2018/1725.
(4) Der DSB berät den delegierten Verantwortlichen auf Anfrage über die Anwendung einer Beschränkung der Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung (EU) 2018/1725.
(5) Der DSB organisiert und leitet regelmäßige Treffen der Datenschutzkoordinatoren.
(6) Der DSB unterbreitet dem Generalsekretär des Rates einen Jahresbericht über seine Tätigkeit und macht diesen dem Personal zugänglich.
(7) Der DSB arbeitet mit den von den anderen Organen und Einrichtungen der Union benannten Datenschutzbeauftragten zusammen und nimmt regelmäßig an Sitzungen teil, die vom EDSB oder von den Datenschutzbeauftragten der anderen Unionsorgane und Einrichtungen einberufen werden, um zu einer guten Zusammenarbeit beizutragen, insbesondere durch den Austausch von Erfahrungen und bewährten Verfahren.
(8) Der DSB gilt als delegierter Verantwortlicher für die in Ausübung seiner Aufgaben durchgeführten Verarbeitungsvorgänge.
Artikel 6 Befugnisse
Bei der Erfüllung seiner Aufgaben und Pflichten
Abschnitt 3
Rechte und Pflichten der Akteure im Bereich des Datenschutzes
Artikel 7 Konsultation und Unterrichtung des DSB
(1) Die für die Verarbeitung Verantwortlichen beziehen den DSB in die Planung und Erörterung einer Tätigkeit ein, die die Verarbeitung personenbezogener Daten beinhaltet. Der DSB wird über jeden Verarbeitungsvorgang sowie über wesentliche Änderungen eines bestehenden Verarbeitungsvorgangs unterrichtet.
(2) Der DSB wird über Entwürfe interner Vermerke und Beschlüsse des GSR unterrichtet, die sich unmittelbar auf die interne Anwendung der Verordnung (EU) 2018/1725 beziehen.
(3) Der DSB wird über alle Kontakte zu externen Parteien im Zusammenhang mit der internen Anwendung der Verordnung (EU) 2018/1725 und über jede Interaktion mit dem EDSB unterrichtet, insbesondere wenn dieser gemäß den Artikeln 40 und 41 der genannten Verordnung konsultiert oder unterrichtet wird.
(4) Der DSB wird zu Entwürfen von Vereinbarungen zwischen gemeinsam Verantwortlichen und zu Entwürfen von Datenschutz-Vertragsklauseln oder anderen Rechtsinstrumenten konsultiert, wenn personenbezogene Daten von einem Auftragsverarbeiter verarbeitet werden.
Artikel 8 Delegierte Verantwortliche
(1) Delegierte Verantwortliche stellen sicher, dass bei allen ihrer Aufsicht unterliegenden Verarbeitungen die Verordnung (EU) 2018/1725 eingehalten wird.
(2) Im Einzelnen
(3) Die delegierten Verantwortlichen stellen sicher, dass der DSB rasch in alle Fragen im Zusammenhang mit personenbezogenen Daten einbezogen wird, und treffen geeignete Vorkehrungen, um sicherzustellen, dass der Datenschutzkoordinator ordnungsgemäß in alle Fragen, die den Datenschutz in ihrer Generaldirektion oder anderen Dienststelle des GSR betreffen, einbezogen wird.
(4) Die delegierten Verantwortlichen stellen sicher, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um nachzuweisen, dass die Verarbeitungstätigkeiten mit der Verordnung (EU) 2018/1725 vereinbar sind; sie geben dem Personal des GSR sachdienliche Anweisungen, um sowohl die Vertraulichkeit der Verarbeitung als auch ein Schutzniveau zu gewährleisten, das den mit der Verarbeitung verbundenen Risiken angemessen ist. Sie können den DSB bei der Auswahl dieser Maßnahmen konsultieren.
(5) Die delegierten Verantwortlichen erstatten dem DSB Bericht über die Bearbeitung jedes von einer betroffenen Person gestellten Antrags auf Wahrnehmung ihrer Rechte und unterstützen den DSB und den EDSB bei der Erfüllung ihrer jeweiligen Aufgaben, insbesondere indem sie deren Anfragen innerhalb von 30 Tagen beantworten.
(6) Die delegierten Verantwortlichen sind für die Umsetzung einer Beschränkung der Anwendung der Artikel 14 bis 22, 35 und 36 der Verordnung (EU) 2018/1725 sowie des Artikels 4 jener Verordnung nach Maßgabe der einschlägigen internen Regelungen zuständig. Die delegierten Verantwortlichen beziehen den DSB während des gesamten Verfahrens in die Anwendung einer solchen Beschränkung ein.
(7) Die delegierten Verantwortlichen stellen sicher, dass interne Regelungen mit anderen Generaldirektionen oder Dienststellen des GSR vorhanden sind, wenn sie gemeinsam mit diesen Generaldirektionen oder Dienststellen des GSR Verarbeitungsvorgänge durchführen oder wenn diese einen Teil des Verarbeitungsvorgangs des delegierten Verantwortlichen durchführen.
In den in Unterabsatz 1 genannten Regelungen werden die jeweiligen Zuständigkeiten der delegierten Verantwortlichen und der anderen Generaldirektionen oder Dienststellen des GSR für die Erfüllung ihrer Datenschutzpflichten festgelegt. Insbesondere enthalten diese Regelungen die Angabe des delegierten Verantwortlichen, der die Mittel und Zwecke für den Verarbeitungsvorgang festlegt, sowie des operativen Verantwortlichen für den Verarbeitungsvorgang und gegebenenfalls der Personen oder Stellen, die den operativen Verantwortlichen, unter anderem mit Informationen im Falle von Datenschutzverletzungen oder zur Berücksichtigung der Rechte betroffener Personen, unterstützt.
Artikel 9 Operative Verantwortliche
(1) Die operativen Verantwortlichen unterstützen den delegierten Verantwortlichen, um bei den Verarbeitungsvorgängen, für die er zuständig ist, die Einhaltung der Verordnung (EU) 2018/1725 zu gewährleisten, und dienen als erste Anlaufstelle für betroffene Personen.
(2) Im Einzelnen
(3) Die operativen Verantwortlichen unterrichten den DSB im Falle von Verletzungen des Schutzes personenbezogener Daten unverzüglich und stellen ihm alle erforderlichen Informationen zur Verfügung, damit sichergestellt werden kann, dass der Rat seinen Verpflichtungen im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten gemäß den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommt.
(4) In Abstimmung mit dem delegierten Verantwortlichen und dem DSB unterrichten die operativen Verantwortlichen den EDSB gegebenenfalls über Verletzungen des Schutzes personenbezogener Daten. Zudem setzen sie gegebenenfalls die betroffenen Personen davon in Kenntnis.
(5) Die operativen Verantwortlichen stellen sicher, dass der Datenschutzkoordinator über alle Fragen im Zusammenhang mit dem Datenschutz auf dem Laufenden gehalten wird.
(6) Die operativen Verantwortlichen bewerten das Risiko für die Rechte und Freiheiten der betroffenen Person im Zusammenhang mit den Verarbeitungsvorgängen, für die sie verantwortlich sind, und führen gegebenenfalls eine Datenschutz-Folgenabschätzung durch. Die operativen Verantwortlichen holen bei der Durchführung dieser Folgenabschätzungen und zur Notwendigkeit einer vorherigen Konsultation gemäß den Artikeln 39 und 40 der Verordnung (EU) 2018/1725 den Rat des DSB ein.
(7) Die operativen Verantwortlichen nehmen auf Ersuchen des delegierten Verantwortlichen sonstige Aufgaben im Anwendungsbereich dieses Beschlusses wahr.
Artikel 10 Datenschutzkoordinatoren
(1) Jede Generaldirektion oder sonstige Dienststelle des GSR benennt in Absprache mit dem DSB einen oder mehrere Datenschutzkoordinatoren, die den delegierten Verantwortlichen und die operativen Verantwortlichen in seiner bzw. ihrer Generaldirektion oder sonstigen Dienststelle des GSR in allen mit dem Schutz personenbezogener Daten zusammenhängenden Aspekten unterstützen.
(2) Grundlage für die Auswahl der Datenschutzkoordinatoren oder sonstigen Dienststelle des GSR sind Wissen über die und Erfahrung mit der Arbeitsweise der betreffenden Generaldirektion, Eignung für die Funktion, Kompetenzen im Bereich des Datenschutzes, Kenntnis der Grundsätze der Informationssysteme sowie Kommunikationsfähigkeiten. Neu ernannte Datenschutzkoordinatoren schließen innerhalb von sechs Monaten nach ihrer Ernennung eine Schulung ab, in der sie die für ihre Funktion erforderlichen Kompetenzen erwerben. Ein Datenschutzkoordinator, der in den zwei Jahren vor seiner Ernennung in einer anderen Generaldirektion oder sonstigen Dienststelle des GSR als Ansprechpartner tätig war, ist von dieser Schulungspflicht befreit.
(3) Die Funktion des Datenschutzkoordinators ist Teil der Arbeitsplatzbeschreibung jedes als Ansprechpartner ernannten Bediensteten des GSC. Seine Zuständigkeiten und Leistungen werden im jährlichen Beurteilungsbericht erwähnt.
(4) Die Datenschutzkoordinatoren werden ordnungsgemäß und rechtzeitig in alle Datenschutzfragen in ihrer Generaldirektion oder sonstigen Dienststelle des GSR einbezogen und nehmen ihre Aufgaben in enger Zusammenarbeit mit dem DSB wahr.
(5) Die Datenschutzkoordinatoren haben das Recht, von den Verantwortlichen und vom Personal im hinreichenden Maß Informationen einzuholen, die sie zur Erfüllung ihrer Aufgaben in ihrer Generaldirektion oder sonstigen Dienststelle des GSR benötigen. Das gilt nicht für den Zugang zu personenbezogenen Daten, die unter der Verantwortung des delegierten Verantwortlichen verarbeitet werden. Datenschutzkoordinatoren dürfen nur dann auf personenbezogene Daten zugreifen, wenn das für die Erfüllung ihrer Aufgaben erforderlich ist.
(6) Die Datenschutzkoordinatoren sensibilisieren für Datenschutzfragen und unterstützen die delegierten Verantwortlichen in ihrer Generaldirektion oder sonstigen Dienststelle des GSR bei der Erfüllung ihrer Pflichten, insbesondere bei
(7) Die Datenschutzkoordinatoren unterstützen die operativen Verantwortlichen in ihrer Generaldirektion oder sonstigen Dienststelle des GSR bei der Erfüllung ihrer Pflichten, insbesondere bei
Artikel 11 Personal des GSR
Das Personal des GSR trägt zur Gewährleistung der Anwendung und Durchführung der Verordnung (EU) 2018/1725 bei. Das Personal darf nur auf Anweisung des delegierten Verantwortlichen oder des operativen Verantwortlichen Zugang zu personenbezogenen Daten haben oder diese Daten verarbeiten, es sei denn, das ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
Abschnitt 4
Sonstige Pflichten und Verfahren
Artikel 12 Register
(1) Der DSB führt ein Register der Verarbeitungsvorgänge und stellt sicher, dass das Register über die Website des DSB im Intranet des GSR und über die Website des Rates zugänglich ist.
(2) Der operative Verantwortliche meldet dem DSB jeden Verarbeitungsvorgang und übermittelt die Aufzeichnungen über die Verarbeitungstätigkeiten und die zugehörige Datenschutzerklärung anhand eines Formulars, das auf der Intranet-Seite des GSR (unter "Datenschutz") aufgerufen werden kann. Die Meldung wird dem DSB elektronisch übermittelt. Nach Rücksprache mit dem DSB bestätigt der delegierte Verantwortliche die Aufzeichnung und die zugehörige Datenschutzerklärung und veröffentlicht sie im Register.
(3) Die Aufzeichnung enthält alle in Artikel 31 der Verordnung (EU) 2018/1725 genannten Angaben. Ausnahmsweise können die vom DSB in das Register aufgenommenen Angaben jedoch auf das zur Gewährleistung der Sicherheit einer bestimmten Verarbeitung erforderliche Maß beschränkt werden. Alle Änderungen, die diese Angaben berühren, teilt der operative Verantwortliche dem DSB unverzüglich mit.
Artikel 13 Verletzungen des Schutzes personenbezogener Daten
(1) Bei einer Verletzung des Schutzes personenbezogener Daten ersucht der delegierte Verantwortliche oder der operative Verantwortliche den Datenschutzkoordinator um Unterstützung und unterrichtet den DSB unverzüglich über den Vorfall; er stellt diesem alle erforderlichen Informationen zur Verfügung, damit sichergestellt werden kann, dass der Rat seiner Verpflichtung gemäß den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 zur Meldung von Verletzungen des Schutzes personenbezogener Daten und zur Benachrichtigung nachkommt.
(2) Der DSB erstellt und unterhält ein internes Register der Verletzungen des Schutzes personenbezogener Daten. Die delegierten Verantwortlichen und die operativen Verantwortlichen stellen die erforderlichen Informationen zur Eintragung in das Register bereit.
(3) Die delegierten Verantwortlichen und die operativen Verantwortlichen erstellen die Meldung an den EDSB in Absprache mit dem DSB, es sei denn, die Verletzung des Schutzes personenbezogener Daten gefährdet voraussichtlich nicht die Rechte und Freiheiten natürlicher Personen.
Artikel 14 Untersuchungen
(1) Der DSB kann aus eigener Initiative oder auf Ersuchen des delegierten Verantwortlichen, des operativen Verantwortlichen, des Auftragsverarbeiters, des Personalausschusses oder jeder natürlichen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in Zusammenhang stehen, prüfen und der Person, die ihn mit der Prüfung beauftragte, oder dem delegierten Verantwortlichen, dem operativen Verantwortlichen oder dem Auftragsverarbeiter Bericht erstatten.
(2) Untersuchungsanträge sind schriftlich an den DSB zu richten. Wird das Recht, eine Untersuchung zu beantragen, offensichtlich missbräuchlich in Anspruch genommen, wenn beispielsweise dieselbe Person bereits kürzlich einen gleichlautenden Antrag gestellt hat, so ist der DSB nicht verpflichtet, dem Antragsteller Bericht zu erstatten.
(3) Innerhalb von 15 Tagen nach Eingang des Untersuchungsantrags übermittelt der DSB der Person, die den Antrag gestellt hat, eine Empfangsbestätigung und überprüft, ob der Antrag vertraulich zu behandeln ist.
(4) Der DSB fordert den delegierten Verantwortlichen, der für den vom Untersuchungsantrag betroffenen Verarbeitungsvorgang verantwortlich ist, auf, zu der Angelegenheit Bericht zu erstatten. Der delegierte Verantwortliche antwortet dem DSB innerhalb von 15 Tagen. Der DSB kann zusätzliche Informationen von dem delegierten Verantwortlichen, dem operativen Verantwortlichen, dem Auftragsverarbeiter oder anderen einschlägigen Dienststellen des GSR anfordern. Gegebenenfalls kann er ein Gutachten des Juristischen Dienstes des Rates einholen. Die angeforderten Informationen oder das Gutachten sind dem DSB innerhalb von 30 Tagen zu übermitteln.
(5) Der DSB erstattet der Person, die den Untersuchungsantrag gestellt hat, spätestens drei Monate nach Eingang des Antrags Bericht. Diese Frist kann ausgesetzt werden, bis der DSB alle erforderlichen Informationen erhalten hat, die er angefordert hat.
(6) Niemand darf benachteiligt werden, weil er den DSB von einer Angelegenheit in Kenntnis gesetzt und einen mutmaßlichen Verstoß gegen die Verordnung (EU) 2018/1725 dargelegt hat.
Artikel 15 Allgemeine Regeln für die Ausübung von Rechten durch betroffene Personen
(1) Die Rechte der betroffenen Personen gemäß den Artikeln 14 bis 24 der Verordnung (EU) 2018/1725 können nur von der betroffenen Person oder ihrem ordnungsgemäß bevollmächtigten Vertreter ausgeübt werden.
(2) Die betroffene Person richtet ihre Anträge schriftlich an den operativen Verantwortlichen mit Kopie an den DSB. Erforderlichenfalls hilft der DSB der betroffenen Person, den zuständigen operativen Verantwortlichen zu ermitteln. Der Antrag kann in elektronischer Form eingereicht werden und enthält Folgendes:
(3) Der operative Verantwortliche übermittelt der betroffenen Person innerhalb von fünf Arbeitstagen nach Registrierung des Antrags eine Empfangsbestätigung. Bei unklaren oder unvollständigen Anträgen ersucht der operative Verantwortliche um die erforderlichen Präzisierungen. Die Fristen nach Artikel 14 Absätze 3 und 4 der Verordnung (EU) 2018/1725 beginnen erst zu laufen, wenn alle erforderlichen Präzisierungen geliefert wurden.
(4) Der operative Verantwortliche überprüft die Identität der betroffenen Person gemäß Artikel 14 Absatz 6 der Verordnung (EU) 2018/1725. Während des Zeitraums der Identitätsüberprüfung beginnen die Fristen des Artikels 14 Absätze 3 und 4 jener Verordnung nicht zu laufen.
(5) Der operative Verantwortliche gibt innerhalb der in Artikel 14 Absätze 3 und 4 der Verordnung (EU) 2018/1725 vorgesehenen Fristen entweder dem Antrag der betroffenen Person statt oder gibt schriftlich die Gründe für die vollständige oder teilweise Ablehnung an.
(6) Bei sehr komplexen Anträgen, Unregelmäßigkeiten oder offensichtlichem Missbrauch durch die betroffene Person bei der Ausübung ihrer Rechte, wenn die Bearbeitung eines Antrags voraussichtlich ein Risiko für die Rechte und Freiheiten anderer betroffener Personen zur Folge hätte oder wenn die betroffene Person behauptet, dass die Verarbeitung rechtswidrig ist, konsultiert der operative Verantwortliche den DSB.
Artikel 16 Beschwerden nach Artikel 90
Im Falle einer Beschwerde im Sinne von Artikel 90 des Statuts (im Folgenden "Beschwerde nach Artikel 90") in einer Angelegenheit im Zusammenhang mit der Verarbeitung personenbezogener Daten konsultiert die Anstellungsbehörde den DSB. Unbeschadet der Zulässigkeit der Beschwerde nach Artikel 90 gibt der Bedienstete des GSR in der Beschwerde nach Artikel 90 an, ob parallel eine Beschwerde beim EDSB eingereicht wurde. Der DSB gibt seine Stellungnahme spätestens 15 Arbeitstage nach Eingang des Ersuchens der Anstellungsbehörde schriftlich ab. Hat der DSB die Stellungnahme nicht bis Ablauf dieser Frist abgegeben, so ist sie nicht mehr erforderlich. Die Stellungnahme des DSB ist für die Anstellungsbehörde nicht bindend.
Abschnitt 5
Beschränkungen der Rechte betroffener PErsonen im Zusammenhang mit der Wahrnehmung der Aufgaben des DSB
Artikel 17 Ausnahmen und Beschränkungen
(1) Der Rat oder das GSR prüft bei der Erfüllung seiner Pflichten im Zusammenhang mit Rechten betroffener Personen nach der Verordnung (EU) 2018/1725, ob eine der in jener Verordnung festgelegten Ausnahmen Anwendung findet.
(2) Vorbehaltlich der Artikel 18 bis 22 dieses Beschlusses kann der Rat oder das GSR die Anwendung der Artikel 14 bis 17, 19, 20 und 35 der Verordnung (EU) 2018/1725 sowie des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a jener Verordnung, soweit dessen Bestimmungen den in den Artikeln 14 bis 17, 19 und 20 jener Verordnung vorgesehenen Rechten und Pflichten entsprechen, nach Artikel 25 Absatz 1 Buchstaben c, g und h jener Verordnung beschränken, wenn die Wahrnehmung dieser Rechte und Pflichten die Wahrnehmung der Aufgaben des DSB, unter anderem durch Offenlegung von dessen Untersuchungs- oder Prüfungsinstrumenten und -methoden, gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.
(3) Vorbehaltlich der Artikel 18 bis 22 dieses Beschlusses kann der Rat oder das GSR die in Absatz 2 genannten Rechte und Pflichten im Zusammenhang mit personenbezogenen Daten, die der DSB von Generaldirektionen oder Dienststellen des GSR oder anderen Organen oder Einrichtungen der Union erhalten hat, beschränken. Der Rat oder das GSR kann das tun, wenn die Wahrnehmung dieser Rechte und Pflichten durch diese Generaldirektionen oder Dienststellen oder andere Organe oder Einrichtungen auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder nach Kapitel IX der genannten Verordnung oder nach der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates 10 oder der Verordnung (EU) 2017/1939 des Rates 11 beschränkt werden könnte.
Bevor unter den in Unterabsatz 1 genannten Umständen Beschränkungen angewandt werden, konsultiert der Rat oder das GSR das zuständige Organ oder die zuständige Einrichtung der Union, es sei denn, es besteht Klarheit darüber, dass die Anwendung einer Beschränkung in einem der in jenem Unterabsatz aufgeführten Rechtsakte vorgesehen ist.
(4) Jede Beschränkung der in Absatz 2 genannten Rechte und Pflichten muss erforderlich und angemessen sein und die Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigen.
Artikel 18 Unterrichtung der betroffenen Personen
(1) Das GSR veröffentlicht auf der Website des Rates Datenschutzhinweise, die die betroffenen Personen über die Aufgaben des DSB informieren, bei denen ihre personenbezogenen Daten verarbeitet werden.
(2) Das GSR unterrichtet natürliche Personen, die es als von den Aufgaben des DSB betroffen ansieht, einzeln in einem geeigneten Format.
(3) Wenn das GSR die Unterrichtung der in Absatz 2 des vorliegenden Artikels genannten betroffenen Personen ganz oder teilweise beschränkt, erfasst und registriert es die Gründe für die Beschränkung nach Artikel 21.
Artikel 19 Auskunftsrecht betroffener Personen, Recht auf Löschung und Recht auf Einschränkung der Verarbeitung
(1) Wenn der Rat oder das GSR das Auskunftsrecht betroffener Personen, das Recht auf Löschung oder das Recht auf Einschränkung der Verarbeitung nach den Artikeln 17, 19 beziehungsweise 20 der Verordnung (EU) 2018/1725 ganz oder teilweise beschränkt, unterrichtet er beziehungsweise es die jeweils betroffene Person in seiner Antwort auf einen Antrag auf Auskunft, Löschung oder Einschränkung der Verarbeitung über die angewendete Beschränkung und die wichtigsten Gründe dafür sowie über die Möglichkeit, Beschwerde beim EDSB oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.
(2) Die Unterrichtung über die Gründe für die Beschränkung nach Absatz 1 kann so lange zurückgestellt, unterlassen oder abgelehnt werden, wie die Unterrichtung dem Zweck der Beschränkung zuwiderliefe. Der Rat stellt der betroffenen Person die Informationen zur Verfügung, sobald sie diesen Zweck nicht beeinträchtigen würden.
(3) Das GSR erfasst und registriert die Gründe für die Beschränkung nach Artikel 21.
Artikel 20 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten
Wenn der Rat oder das GSR die Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten nach Artikel 35 der Verordnung (EU) 2018/1725 beschränkt, erfasst und registriert das GSR die Gründe für die Beschränkung nach Artikel 21 dieses Beschlusses.
Artikel 21 Erfassung und Registrierung von Beschränkungen
(1) Das GSR erfasst die Gründe für nach dem vorliegenden Beschluss angewendete Beschränkungen, einschließlich einer Einzelfallprüfung der Erforderlichkeit und Angemessenheit der Beschränkung unter Berücksichtigung der relevanten Umstände nach Artikel 25 Absatz 2 der Verordnung (EU) 2018/1725.
Zu diesem Zweck ist anzugeben, inwieweit die Ausübung der in den Artikeln 14 bis 17, 19, 20 und 35 jener Verordnung genannten Rechte oder des Transparenzgrundsatzes nach Artikel 4 Absatz 1 Buchstabe a jener Verordnung die Tätigkeiten des DSB nach diesem Beschluss oder die nach Artikel 17 Absatz 2 oder 3 dieses Beschlusses angewendete Beschränkungen gefährden oder die Rechte und Freiheiten anderer betroffener Personen beeinträchtigen würde.
(2) Die erfassten Angaben und gegebenenfalls die Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten, werden registriert. Sie werden dem EDSB auf Anfrage zur Verfügung gestellt.
Artikel 22 Dauer der Beschränkungen
(1) Die in den Artikeln 18, 19 und 20 genannten Beschränkungen gelten, solange die Gründe vorliegen, die diese Beschränkungen rechtfertigen.
(2) Wenn die Gründe für eine in den Artikeln 18 und 20 genannte Beschränkung nicht mehr vorliegen, hebt das GSR die Beschränkung auf und teilt der betroffenen Person die Gründe für die Beschränkung mit. Gleichzeitig unterrichtet das GSR die betroffene Person über die Möglichkeit, Beschwerde beim EDSB oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen.
(3) Das GSR überprüft die Anwendung der in den Artikeln 18 und 20 genannten Beschränkungen alle sechs Monate ab ihrer Einführung sowie in jedem Fall bei Erfüllung der betreffenden Aufgabe des DSB. Nach der Erfüllung prüft das GSR jährlich, inwieweit es erforderlich ist, eine Beschränkung oder Zurückstellung aufrechtzuerhalten.
Artikel 23 Überprüfung durch den DSB
(1) Wenn andere Generaldirektionen oder Dienststellen des GSR zu dem Schluss kommen, dass die Rechte einer betroffenen Person nach diesem Beschluss beschränkt werden sollten, setzen sie den DSB davon in Kenntnis. Sie gewähren dem DSB auch Zugang zu den erfassten Angaben und zu allen Unterlagen, die die zugrunde liegenden tatsächlichen und rechtlichen Umstände enthalten. Die Beteiligung des DSB an der Anwendung von Beschränkungen ist detailliert zu dokumentieren.
(2) Der DSB kann den betreffenden delegierten Verantwortlichen ersuchen, die Anwendung der Beschränkungen zu überprüfen. Der betreffende delegierte Verantwortliche unterrichtet den DSB schriftlich über das Ergebnis dieser Überprüfung.
Abschnitt 6
Schlussbestimmungen
Artikel 24 Aufhebung
Der Beschluss 2004/644/EG wird aufgehoben.
Artikel 25 Inkrafttreten
Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Geschehen zu Luxemburg am 28. Juni 2021.
2) Stellungnahme vom 6. April 2021 (noch nicht im Amtsblatt veröffentlicht).
3) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.05.2001 S. 43).
4) Beschluss 2004/338/EG, Euratom des Rates vom 22. März 2004 zur Festlegung seiner Geschäftsordnung (ABl. L 106 vom 15.04.2004 S. 22).
5) Beschluss des Rates 2013/488/EU vom 23. September 2013 über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen (ABl. L 274 vom 15.10.2013 S. 1).
6) Beschluss des Generalsekretärs des Rates/Hohen Vertreters für die gemeinsame Aussen- und Sicherheitspolitik vom 25. Juni 2001 über einen Kodex für einwandfreies Verhalten des GSR der Europäischen Union und seines Personals in der Verwaltungspraxis bei ihren beruflichen Beziehungen zur Öffentlichkeit (ABl. C 189 vom 05.07.2001 S. 1).
7) Beschluss 2004/644/EG des Rates vom 13. September 2004 über den Erlass von Durchführungsbestimmungen für die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 296 vom 21.09.2004 S. 16).
8) ABl. L 56 vom 04.03.1968 S. 1.
9) Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates vom 18. Juli 2018 über die Haushaltsordnung für den Gesamthaushaltsplan der Union, zur Änderung der Verordnungen (EU) Nr. 1296/2013, (EU) Nr. 1301/2013, (EU) Nr. 1303/2013, (EU) Nr. 1304/2013, (EU) Nr. 1309/2013, (EU) Nr. 1316/2013, (EU) Nr. 223/2014, (EU) Nr. 283/2014 und des Beschlusses Nr. 541/2014/EU sowie zur Aufhebung der Verordnung (EU, Euratom) Nr. 966/2012 (ABl. L 193 vom 30.07.2018 S. 1).
10) Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.05.2016 S. 53).
11) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017 S. 1).
ENDE |