Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2021, Verwaltung/Datenschutz - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2019/817 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU-Informationssystemen in den Bereichen Grenzen und Visa und zur Änderung der Verordnungen (EG) Nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 und (EU) 2018/1861 des Europäischen Parlaments und des Rates, der Entscheidung 2004/512/EG des Rates und des Beschlusses 2008/633/JI des Rates ¹, insbesondere auf Artikel 49 Absatz 6,

in Erwägung nachstehender Gründe:

(1) Mit der Verordnung (EU) 2019/817 und der Verordnung (EU) 2019/818 des Europäischen Parlaments und des Rates ² wird ein Rahmen für die Interoperabilität zwischen den EU-Informationssystemen in den Bereichen Grenzen, Visa, polizeiliche und justizielle Zusammenarbeit, Asyl und Migration geschaffen.

(2) Zu diesem Rahmen gehören mehrere Interoperabilitätskomponenten, die die Verarbeitung einer erheblichen Menge sensibler personenbezogener Daten umfassen. Es ist wichtig, dass Personen, deren Daten durch diese Komponenten verarbeitet werden, als Betroffene ihre Rechte gemäß der Verordnung (EU) 2016/679 ³, der Richtlinie (EU) 2016/680 ⁴ und der Verordnung (EU) 2018/1725 ⁵ des Europäischen Parlaments und des Rates wirksam ausüben können.

(3) Um die Ausübung der Rechte auf Information und Auskunft über personenbezogene Daten bzw. Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten zu erleichtern, wird mit der Verordnung (EU) 2019/817 ein Web-Portal eingerichtet.

(4) Dieses Web-Portal sollte es Personen, deren Daten im Detektor für Mehrfachidentitäten verarbeitet werden und die davon unterrichtet wurden, dass eine rote oder weiße Verknüpfung angezeigt wurde, ermöglichen, die Informationen der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats abzurufen.

(5) Um die Kommunikation zwischen dem Portalnutzer und der zuständigen Behörde des für die manuelle Verifizierung verschiedener Identitäten zuständigen Mitgliedstaats zu erleichtern, sollte im Web-Portal auch eine E-Mail-Vorlage in den in dieser Verordnung festgelegten Sprachen zur Verfügung stehen. Des Weiteren sollte es eine Auswahlmöglichkeit für die in der Antwort zu verwendende(n) Sprache(n) enthalten.

(6) Zur Klärung der Zuständigkeiten in Bezug auf das Web-Portal sollten in dieser Verordnung die jeweiligen Zuständigkeiten der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts ("eu-LISA"), der Kommission und der Mitgliedstaaten festgelegt werden.

(7) Zum Zwecke eines sicheren und reibungslosen Betriebs des Web-Portals sollten in dieser Verordnung Vorschriften für die Sicherheit der Informationen im Web-Portal festgelegt werden. Ferner sollte der Zugriff auf das Web-Portal protokolliert werden, um Missbrauch zu verhindern.

(8) Da die Verordnung (EU) 2019/817 den Schengen-Besitzstand ergänzt, hat Dänemark gemäß Artikel 4 des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls Nr. 22 über die Position Dänemarks die Umsetzung der Verordnung (EU) 2019/817 in nationales Recht mitgeteilt. Dänemark ist daher an die vorliegende Verordnung gebunden.

(9) Diese Verordnung stellt eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands dar, an denen sich Irland nicht beteiligt. ⁶ Irland beteiligt sich daher nicht an der Annahme dieser Verordnung und ist weder durch diese Verordnung gebunden noch zu ihrer Anwendung verpflichtet.

(10) Für Island und Norwegen stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung dieser beiden Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands ⁷ dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG des Rates ⁸ genannten Bereich gehören.

(11) Für die Schweiz stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands ⁹ dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG in Verbindung mit Artikel 3 des Beschlusses 2008/146/EG des Rates ¹⁰ genannten Bereich gehören.

(12) Für Liechtenstein stellt diese Verordnung eine Weiterentwicklung der Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands ¹¹ dar, die zu dem in Artikel 1 Buchstabe A des Beschlusses 1999/437/EG in Verbindung mit Artikel 3 des Beschlusses 2011/350/EU des Rates ¹² genannten Bereich gehören.

(13) Für Zypern, Bulgarien, Rumänien und Kroatien stellt diese Verordnung einen auf dem Schengen-Besitzstand aufbauenden oder anderweitig damit zusammenhängenden Rechtsakt jeweils im Sinne des Artikels 3 Absatz 1 der Beitrittsakte von 2003, des Artikels 4 Absatz 1 der Beitrittsakte von 2005 und des Artikels 4 Absatz 1 der Beitrittsakte von 2011 dar.

(14) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 angehört und hat am 31. März 2021 eine Stellungnahme abgegeben

- hat folgende Verordnung erlassen:

Artikel 1 Domänenname und Zugang

(1) Das Web-Portal verwendet den Domänennamen ".europa.eu" der Europäischen Union.

(2) Die Beschreibung des Web-Portals wird zur Indexierung durch große öffentliche Suchmaschinen zur Verfügung gestellt.

(3) Das Web-Portal ist in den Amtssprachen der Mitgliedstaaten und darüber hinaus in mindestens folgenden Sprachen öffentlich zugänglich: Russisch, Arabisch, Japanisch, Chinesisch, Albanisch, Bosnisch, Mazedonisch, Hindi und Türkisch.

(4) Das Web-Portal enthält die in den Artikeln 47 und 48 der Verordnung (EU) 2019/817 genannten Informationen und eine Suchfunktion für den Abruf der Kontaktinformationen der zuständigen Behörde des Mitgliedstaats, der nach der manuellen Verifizierung verschiedener Identitäten für die Erstellung einer roten oder weißen Verknüpfung zuständig ist. Das Web-Portal kann zudem andere notwendige Informationen enthalten, die die Ausübung der in den Artikeln 47 und 48 der Verordnung (EU) 2019/817 genannten Rechte erleichtern.

(5) Das Web-Portal steht im Einklang mit den Regeln, Leitlinien und Informationen des Europa-Web-Leitfadens der Europäischen Kommission, einschließlich der Leitlinien zur Barrierefreiheit.

(6) Das Web-Portal verhindert, dass die Kontaktinformationen der Behörden Suchmaschinen und anderen automatischen Instrumenten für die Erfassung von Kontaktinformationen zur Verfügung gestellt werden.

Artikel 2 Interessenträger und Zuständigkeiten

(1) eu-LISA entwickelt das Web-Portal und sorgt für seine technische Verwaltung gemäß Artikel 49 Absatz 5 der Verordnung (EU) 2019/817; dies umfasst auch Hosting, Betrieb und Wartung des Web-Portals.

(2) Die Kommission stellt eu-LISA den in Artikel 1 Absatz 4 genannten Inhalt des Web-Portals sowie alle erforderlichen Berichtigungen oder Aktualisierungen zur Verfügung.

(3) Die Mitgliedstaaten stellen eu-LISA zeitnah die Kontaktdaten der Behörden, die für die Prüfung und Beantwortung von Anträgen nach den Artikeln 47 und 48 der Verordnung (EU) 2019/817 zuständig sind, zur Verfügung, damit die Inhalte des Web-Portals gemäß Artikel 49 Absatz 4 der Verordnung (EU) 2019/817 regelmäßig hochgeladen und aktualisiert werden können.

(4) Die Mitgliedstaaten nennen eu-LISA eine zentrale Anlaufstelle, die für Überprüfungs- und Wartungszwecke zuständig ist.

(5) eu-LISA überprüft die übermittelten Kontaktdaten und ersucht alle Mitgliedstaaten, die verfügbaren Informationen zu überprüfen, um mögliche Änderungen oder Ergänzungen vornehmen zu können. Die Überprüfung wird mindestens einmal pro Jahr durchgeführt.

(6) Für die Verarbeitung von Daten im Web-Portal sind die mitgliedstaatlichen Behörden Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 bzw. des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680.

(7) Für die Verarbeitung personenbezogener Daten im Web-Portal ist eu-LISA Datenauftragsverarbeiter im Sinne des Artikels 3 Nummer 12 der Verordnung (EU) 2018/1725.

Artikel 3 Benutzerschnittstelle

(1) Das Web-Portal umfasst eine Suchfunktion, die es den Nutzern ermöglicht, die Angaben zu der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde nach Artikel 34 Buchstabe d der Verordnung (EU) 2019/817 einzugeben, um die Kontaktinformationen dieser Behörde abzurufen.

(2) Nach Überprüfung der Gültigkeit und Vollständigkeit der Eingabedaten ruft das Web-Portal die Kontaktdaten dieser Behörde gemäß Artikel 49 Absatz 3 der Verordnung (EU) 2019/817 ab.

(3) Das Web-Portal ermöglicht es dem Nutzer, mithilfe einer E-Mail-Vorlage über ein Online-Formular ein Auskunftsersuchen zu stellen, um die Kommunikation mit der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde zu erleichtern. Die Vorlage enthält ein Eingabefeld für die einmalige Kennnummer nach Artikel 34 Buchstabe c der Verordnung (EU) 2019/817, damit die betreffende Behörde die jeweiligen Angaben zu der Verknüpfung und die entsprechenden Datensätze abrufen kann.

(4) Die E-Mail-Vorlage enthält ein standardisiertes Ersuchen um weitere Informationen, das in den in Artikel 1 Absatz 3 genannten Sprachen verfügbar ist. Die E-Mail-Vorlage ist im Anhang dargelegt. Die E-Mail-Vorlage enthält des Weiteren eine Auswahlmöglichkeit für die in der Antwort zu verwendende(n) Sprache(n); diese umfasst mindestens zwei Sprachen, die von jedem Mitgliedstaat zu wählen sind. Die Sprache der E-Mail-Vorlage kann vom Nutzer gewählt werden.

(5) Nach Übermittlung der ausgefüllten E-Mail-Vorlage über das Online-Formular wird dem Nutzer eine automatische Bestätigungsmail übermittelt, die die Kontaktdaten der für die Bearbeitung des betreffenden Ersuchens zuständigen Behörde enthält und es der Person ermöglicht, ihre Rechte gemäß Artikel 48 Absatz 1 der Verordnung (EU) 2019/817 auszuüben.

Artikel 4 Verwaltung der Inhalte

(1) Das Web-Portal sorgt für eine Trennung zwischen den Seiten der Website, die Informationen für die Öffentlichkeit enthalten, sowie der Suchfunktion und den Seiten der Website, die dem Nutzer das Abrufen der Kontaktinformationen der für die manuelle Verifizierung verschiedener Identitäten zuständigen Behörde ermöglichen.

(2) Damit eu-LISA die Inhalte verwalten kann, enthält das Web-Portal eine gesicherte Verwaltungsschnittstelle. Sämtliche Zugriffe auf diese Verwaltungsschnittstelle und die vorgenommenen Änderungen werden gemäß Artikel 7 protokolliert.

(3) Die Verwaltungsschnittstelle gestattet eu-LISA, Inhalte des Web-Portals hinzuzufügen, zu ändern oder zu entfernen. Unter keinen Umständen ermöglicht diese Schnittstelle eu-LISA den Zugriff auf Daten zu Drittstaatsangehörigen, die in den Informationssystemen der EU gespeichert sind.

(4) Die Content-Management-Lösung umfasst ein Staging-System, bei dem alle Änderungen vorbereitet, eingesehen und zur Veröffentlichung zu einem gegebenen Zeitpunkt an das Online-System weitergeleitet werden können. Das Staging-System muss zudem über Instrumente verfügen, welche die Verwaltung der Inhalte erleichtern und eine Vorschau des Ergebnisses von Änderungen ermöglichen.

Artikel 5 Sicherheitserwägungen

(1) Das Web-Portal wird so gestaltet und implementiert, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Dienste sowie die Beweisbarkeit von Transaktionen gewährleistet sind, indem die Einhaltung zumindest folgender anwendungsbezogener Sicherheitsgrundsätze sichergestellt wird:

1. tief gestaffelte Verteidigung ("defense in depth"): mehrstufige Sicherheitsmechanismen;
2. positives Sicherheitsmodell ("positive security model"): Festlegung zulässiger Transaktionen und Ablehnung aller sonstigen Transaktionen;
3. gesicherter Ausfall ("fail securely"): sicherer Umgang mit Fehlern;
4. minimale Berechtigung ("run with least privilege");
5. Einfachheit in der Sicherheit ("keep security simple"): Vermeidung komplexer Architekturen, wenn ein einfacherer Ansatz schneller und einfacher wäre;
6. unbefugtes Eindringen erkennen und verhindern ("detect and prevent intrusions"): Sicherstellung, dass alle sicherheitsrelevanten Informationen protokolliert und entsprechend behandelt werden, durch proaktive Kontrollen des Schutzes der Informationen des Web-Portals und der Kontaktdaten der Mitgliedstaaten vor Cyberangriffen und dem Abfluss von Informationen;
7. Infrastruktur nicht trauen ("do not trust infrastructure"): Authentifizierung und Autorisierung aller von anderen Systemen ausgehenden Vorgänge durch die Anwendung;
8. Diensten nicht trauen ("do not trust services"): Gewährleistung, dass externen Systemen nicht vertraut wird;
9. sichere Standardeinstellungen ("establish secure defaults"): Software- und Betriebssystemumgebungen müssen gemäß bewährten Verfahren und Industriestandards gesichert sein.

(2) Das Web-Portal wird zudem so gestaltet und implementiert, dass die Verfügbarkeit und Integrität der aufgezeichneten Protokolle gewährleistet ist.

(3) Aus Sicherheits- und Datenschutzgründen enthält das Web-Portal einen Hinweis, in dem die Nutzer über die Regeln für die Nutzung des Web-Portals und über die Folgen der Übermittlung unrichtiger Angaben informiert werden. Der Hinweis umfasst ein Formular zur Anerkennung der Regeln für die Nutzung des Web-Portals, das der Nutzer übermitteln muss, bevor er das Web-Portal nutzen darf.

Die technische und organisatorische Implementierung des Web-Portals muss mit dem Sicherheitsplan, dem Betriebskontinuitätsplan und dem Notfallwiederherstellungsplan gemäß Artikel 42 Absatz 3 der Verordnung (EU) 2019/817 im Einklang stehen.

Artikel 6 Datenschutz und Rechte von betroffenen Personen

(1) Das Web-Portal entspricht den Datenschutzbestimmungen der Verordnung (EU) 2016/679, der Verordnung (EU) 2018/1725 und der Richtlinie (EU) 2016/680.

(2) Das Web-Portal enthält einen Datenschutzhinweis. Dieser ist über einen speziellen Link zugänglich. Zudem ist der Hinweis von jeder Seite des Web-Portals zugänglich. Er ist umfassend und klar verfasst.

Artikel 7 Protokolle

(1) Unbeschadet der schriftlichen Aufzeichnungen nach Artikel 48 Absatz 10 der Verordnung (EU) 2019/817 wird jeder Zugriff auf das Web-Portal in einem Protokoll aufgezeichnet, das folgende Informationen enthält:

1. IP-Adresse des vom Antragsteller verwendeten Systems;
2. Datum und Uhrzeit des Antrags;
3. technische Informationen über die Umgebung, die für den Antrag verwendet wird, z.B. Art des Geräts, Version des Betriebssystems, Modell und Version des Browsers.

(2) Die protokollierten Informationen werden nur für statistische Zwecke sowie zur Überwachung der Nutzung des Web-Portals verwendet, um Missbrauch zu verhindern.

(3) Bei Zugriffen auf die Verwaltungsschnittstelle des Web-Portals werden zusätzlich zu den in Absatz 1 genannten Informationen folgende Daten protokolliert:

1. Kennung des Nutzers, der auf die Verwaltungsschnittstelle zugreift;
2. auf dem Web-Portal durchgeführte Vorgänge (Hinzufügung, Aktualisierung oder Löschung von Inhalten).

(4) Zusätzliche anonyme technische Informationen können während der Nutzung des Web-Portals protokolliert werden, um dessen Nutzung und Leistung zu optimieren, solange sie keine personenbezogenen Daten enthalten.

(5) Die gemäß den Absätzen 1 und 3 protokollierten Informationen werden höchstens zwei Jahre lang gespeichert.

(6) eu-LISA führt Protokolle über alle Datenverarbeitungsvorgänge im Web-Portal.

(7) eu-LISA, die mitgliedstaatlichen Behörden der Mitgliedstaaten und die Stellen der Union erstellen jeweils eine Liste der Bediensteten, die befugt sind, auf die Protokolle der Datenverarbeitungsvorgänge des Web-Portals zuzugreifen.

Artikel 8 Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt gemäß den Verträgen unmittelbar in den Mitgliedstaaten.

Brüssel, den 19. August 2021

.

Die E-Mail-Vorlage sieht folgendermaßen aus:

Text der E-Mail:

Sehr geehrte Damen und Herren,

ich wurde schriftlich (über ein Formular) über mögliche Abweichungen bei den mich betreffenden personenbezogenen Daten informiert.

Aufgrund dieser möglichen Abweichungen bei meinen Identitätsdaten wurde eine Fallakte mit dem Aktenzeichen < einmalige Kennnummer > erstellt.

Ich möchte hiermit darum ersuchen, dass alle weiteren Informationen zu diesem Fall bis zum < vom Portal berechnetes Datum > auf < Sprache ¹ > an E-Mail-Adresse gesandt werden.

___
1) Dropdown-Menü mit den von jedem Mitgliedstaat festzulegenden Sprachoptionen.

ENDE