Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2023, Verwaltung/Datenschutz - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG ¹, insbesondere auf Artikel 25,

gestützt auf die Verordnung (EU) 2016/796 des Europäisches Parlaments und des Rates vom 11. Mai 2016 über die Eisenbahnagentur der Europäischen Union und zur Aufhebung der Verordnung (EG) Nr. 881/2004 ².

nach Anhörung des Europäischen Datenschutzbeauftragten,

in Erwägung nachstehender Gründe:

(1) Die Agentur ist befugt, Verwaltungsuntersuchungen, Vordisziplinar-, Disziplinar- und Dienstenthebungsverfahren gemäß dem Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union, so wie diese in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (im Folgenden: Statut) ³ niedergelegt sind, sowie gemäß dem Beschluss der Agentur vom 8. Juli 2022 zur Festlegung allgemeiner Durchführungsbestimmungen für die Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren durchzuführen. Falls erforderlich, meldet sie Fälle auch an das OLAF.

(2) Die Beschäftigten der Agentur sind verpflichtet, potenziell rechtswidrige Handlungen, einschließlich Betrug oder Korruption, zum Nachteil der Interessen der Union, zu melden. Die Beschäftigen sind auch verpflichtet, Verhaltensweisen zu melden, die mit der Ausübung beruflicher Pflichten im Zusammenhang stehen und eine schwerwiegende Verletzung der Pflichten von Beamten der Union darstellen könnten. Dies wird durch den Beschluss der Agentur vom 15. November 2018 über interne Vorschriften für die Meldung von Missständen (Whistleblowing) geregelt.

(3) Die Agentur hat Grundsätze für die Prävention von Mobbing und sexueller Belästigung im Arbeitsumfeld sowie ein wirksames Vorgehen bei erwiesenen oder mutmaßlichen Fällen aufgestellt; diese Grundsätze sind im Beschluss ERA-ED-690/2013 zur Annahme von Durchführungsmaßnahmen gemäß dem Statut niedergelegt. Mit dem Beschluss wurde ein formloses Verfahren eingeführt, nach dem sich mutmaßliche Opfer von Mobbing bzw. sexueller Belästigung an Vertrauenspersonen bei der Agentur wenden können.

(4) Die Agentur kann auf der Grundlage ihrer Informations- und IT-Politik, die Sicherheitsvorschriften enthält, für den Schutz von Verschlusssachen der Europäischen Union (EU-VS) auch Ermittlungen zu möglichen Verstößen gegen die Sicherheitsvorschriften für EU-VS durchführen.

(5) Die Agentur unterliegt hinsichtlich ihrer Tätigkeiten sowohl internen als auch externen Audits.

(6) Im Zusammenhang mit solchen Verwaltungsuntersuchungen, Audits und Ermittlungen arbeitet die Agentur mit anderen Organen, Einrichtungen und sonstigen Stellen der Union zusammen.

(7) Die Agentur kann mit nationalen Behörden von Drittländern und internationalen Organisationen auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten.

(8) Die Agentur kann auch mit Behörden der EU-Mitgliedstaaten auf deren Ersuchen oder aus eigener Initiative zusammenarbeiten.

(9) Die Agentur ist an Rechtssachen vor dem Gerichtshof der Europäischen Union beteiligt; dies ist der Fall, wenn sie dort Klage erhebt, eine von ihr getroffene Entscheidung, die vor dem Gerichtshof angefochten wird, verteidigt oder in Rechtssachen, die ihre Aufgaben betreffen, als Streithelfer dem Rechtsstreit beitritt. In diesem Zusammenhang kann es vorkommen, dass die Agentur die Vertraulichkeit personenbezogener Daten in den von den Parteien oder Streithelfern erlangten Dokumenten wahren muss.

(10) Zur Erfüllung ihrer Aufgaben sammelt und verarbeitet die Agentur Informationen und verschiedene Kategorien personenbezogener Daten, darunter Daten zur Identifizierung natürlicher Personen, Kontaktdaten, Daten über berufliche Zuständigkeiten und Aufgaben, Angaben zu Verhalten und Leistungen auf privater und beruflicher Ebene sowie Finanzdaten. Die Agentur fungiert als Verantwortliche.

(11) Gemäß der Verordnung (EU) 2018/1725 ("der Verordnung") ist die Agentur daher verpflichtet, die betroffenen Personen über diese Verarbeitungstätigkeiten zu informieren und deren Rechte als betroffene Personen zu wahren.

(12) Die Agentur ist unter Umständen gehalten, diese Rechte mit den Zielen von Verwaltungsuntersuchungen, Audits, Ermittlungen und Gerichtsverfahren in Einklang zu bringen. Sie könnte auch gehalten sein, die Rechte einer betroffenen Person gegen die Grundrechte und Grundfreiheiten anderer betroffener Personen abzuwägen. Zu diesem Zweck bietet Artikel 25 der Verordnung der Agentur die Möglichkeit, unter strengen Voraussetzungen die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, zu beschränken. Sofern diese Beschränkungen nicht in einem auf der Grundlage der Verträge erlassenen Rechtsakt vorgesehen sind, ist es erforderlich, interne Vorschriften zu erlassen, die die Agentur zur Beschränkung der betreffenden Rechte berechtigen.

(13) So könnte es für die Agentur z.B. in der Vorphase einer Verwaltungsuntersuchung oder während der eigentlichen Verwaltungsuntersuchung, vor einer etwaigen Verfahrenseinstellung oder im Vordisziplinarverfahren erforderlich sein, die Informationen zu beschränken, die der betroffenen Person über die Verarbeitung ihrer personenbezogenen Daten mitgeteilt werden. Unter bestimmten Umständen könnte die Mitteilung solcher Informationen die Fähigkeit der Agentur, die Untersuchung wirksam durchzuführen, erheblich beeinträchtigen; beispielsweise wenn die Gefahr besteht, dass die betreffende Person Beweise vernichten oder potenzielle Zeugen beeinflussen könnte, bevor diese vernommen werden. Es könnte auch erforderlich sein, dass die Agentur die Rechte und Freiheiten von Zeugen oder anderen beteiligten Personen schützen muss.

(14) Es könnte erforderlich sein, die Anonymität von Zeugen oder Hinweisgebern zu wahren, die darum ersucht haben, dass ihre Identität nicht offengelegt wird. In solchen Fällen könnte die Agentur beschließen, die Auskunft über die Identität, Aussagen und sonstigen personenbezogenen Daten solcher Personen zu beschränken, um deren Rechte und Freiheiten zu schützen.

(15) Es könnte notwendig sein, vertrauliche Informationen zu schützen, die einen Mitarbeiter betreffen, der sich im Zusammenhang mit einem Verfahren wegen Mobbings oder sexueller Belästigung an Vertrauenspersonen der Agentur gewandt hat. In solchen Fällen könnte es für die Agentur erforderlich sein, die Auskunft über die Identität, Aussagen und sonstigen personenbezogenen Daten des mutmaßlichen Opfers, des mutmaßlichen Täters und anderer Beteiligter zu beschränken, um die Rechte und Freiheiten aller Beteiligten zu schützen.

(16) Die Agentur sollte nur dann Beschränkungen vornehmen, wenn diese den Wesensgehalt der Grundrechte und Grundfreiheiten achten, unbedingt notwendig sind und eine in einer demokratischen Gesellschaft verhältnismäßige Maßnahme darstellen. Die Agentur muss begründen, warum die Beschränkungen gerechtfertigt sind.

(17) Nach dem Grundsatz der Rechenschaftspflicht sollte die Agentur Aufzeichnungen über die von ihr vorgenommenen Beschränkungen führen.

(18) Bei der Verarbeitung personenbezogener Daten, die die Agentur im Rahmen ihrer Aufgaben mit anderen Organisationen austauscht, sollte eine wechselseitige Konsultation zwischen der Agentur und diesen Organisationen über etwaige Gründe für die Vornahme von Beschränkungen sowie über deren Notwendigkeit und Verhältnismäßigkeit erfolgen, es sei denn, dies würde die Tätigkeiten der Agentur gefährden.

(19) Gemäß Artikel 25 Absatz 6 der Verordnung ist der für Datenverarbeitung Verantwortliche verpflichtet, betroffene Personen über die wesentlichen Gründe für die Beschränkung und über ihr Recht auf Beschwerde beim EDSB zu unterrichten.

(20) Die Agentur kann die Unterrichtung der betroffenen Person über die Gründe für die Beschränkung gemäß Artikel 25 Absatz 8 der Verordnung zurückstellen, unterlassen oder ablehnen, wenn die Unterrichtung die Wirkung der vorgenommenen Beschränkung zunichtemachen würde. Die Agentur sollte im Einzelfall prüfen, ob die Mitteilung der Beschränkung ihre Wirkung zunichtemachen würde.

(21) Die Agentur sollte die Beschränkung aufheben, sobald die sie rechtfertigenden Voraussetzungen nicht mehr gegeben sind, und diese Voraussetzungen regelmäßig überprüfen.

(22) Zur Gewährleistung des größtmöglichen Schutzes der Rechte und Freiheiten der betroffenen Personen und gemäß Artikel 44 Absatz 1 der Verordnung sollte der Datenschutzbeauftragte rechtzeitig über alle Beschränkungen, die möglicherweise vorgenommen werden, konsultiert werden, und überprüfen, dass die Beschränkungen mit diesem Beschluss in Einklang stehen.

(23) Artikel 16 Absatz 5 und Artikel 17 Absatz 4 der Verordnung sehen Ausnahmen vom Recht der betroffenen Personen auf Unterrichtung und Auskunft vor. Soweit diese Ausnahmen Anwendung finden, ist es für die Agentur nicht erforderlich, eine auf diesem Beschluss beruhende Beschränkung vorzunehmen

- hat folgenden Beschluss erlassen:

Artikel 1 Gegenstand und Anwendungsbereich

(1) Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die Agentur die Anwendung der Artikel 4, 14 bis 22, 35 und 36 gemäß Artikel 25 der Verordnung beschränken darf.

(2) Die Agentur wird als für die Datenverarbeitung verantwortliche Stelle durch ihren Exekutivdirektor vertreten.

Artikel 2 Beschränkungen

(1) Die Agentur kann die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4 der Verordnung, insofern dessen Bestimmungen den in den Artikeln 14 bis 20 vorgesehenen Rechten und Pflichten entsprechen, wie folgt beschränken:

1. gemäß Artikel 25 Absatz 1 Buchstaben b, c, f, g und h der Verordnung, wenn die Agentur Verwaltungsuntersuchungen, Vordisziplinar-, Disziplinar- und Dienstenthebungsverfahren gemäß Artikel 86 und Anhang IX des Statuts und dem Beschluss des Verwaltungsrats der Agentur 297 ⁴ durchführt und Verdachtsfälle an das OLAF meldet;
2. gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn die Agentur sicherstellt, dass Bedienstete der Agentur Sachverhalte vertraulich melden können, wenn sie der Ansicht sind, dass schwerwiegende Unregelmäßigkeiten vorliegen, wie im Beschluss Nr. 183 des Verwaltungsrats der Agentur ⁵ über die Meldung von Missständen und im Beschluss Nr. 8 ⁶ über interne Untersuchungen dargelegt;
3. gemäß Artikel 25 Absatz 1 Buchstabe h der Verordnung, wenn die Agentur sicherstellt, dass Bedienstete der Agentur in der Lage sind, Vertrauenspersonen im Rahmen eines Verfahren wegen Mobbings gemäß des Beschlusses der Agentur ERA-ED-690-2013 ⁷ Bericht zu erstatten;
4. gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung, wenn die Agentur interne Audits bezüglich der Tätigkeiten oder Abteilungen der Agentur durchführt;
5. gemäß Artikel 25 Absatz 1 Buchstaben c, d, g und h der Verordnung, wenn die Agentur anderen Organen, Einrichtungen und sonstigen Stellen der Europäischen Union Unterstützung leistet oder Unterstützung von ihnen erhält oder mit ihnen im Rahmen von Tätigkeiten gemäß den Buchstaben a bis d dieses Absatzes zusammenarbeitet sowie gemäß Dienstgütevereinbarungen, Absichtserklärungen und Kooperationsvereinbarungen;
6. gemäß Artikel 25 Absatz 1 Buchstabe c, g und h der Verordnung, wenn die Agentur auf deren Ersuchen oder aus eigener Initiative nationalen Behörden von Drittländern und internationalen Organisationen Unterstützung leistet oder Unterstützung von ihnen erhält oder mit ihnen zusammenarbeitet;
7. gemäß Artikel 25 Absatz 1 Buchstaben c, g und h der Verordnung, wenn die Agentur auf deren Ersuchen oder aus eigener Initiative nationalen Behörden von Mitgliedstaaten der Union Unterstützung leistet oder Unterstützung von ihnen erhält und mit ihnen zusammenarbeitet;
8. gemäß Artikel 25 Absatz 1 Buchstabe e der Verordnung, wenn die Agentur personenbezogene Daten verarbeitet, die in Dokumenten enthalten sind, die von den Parteien oder Streithelfern erlangt wurden, die an einem Verfahren vor dem Gerichtshof der Europäischen Union beteiligt sind.

(2) Jede Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme darstellen.

(3) Bevor Beschränkungen vorgenommen werden, ist deren Notwendigkeit und Verhältnismäßigkeit im Einzelfall zu prüfen. Beschränkungen sind auf das zur Erreichung ihres Zwecks unbedingt erforderliche Maß zu begrenzen.

(4) Zu Rechenschaftszwecken erstellt die Agentur Aufzeichnungen über die Gründe für die vorgenommenen Beschränkungen, die angewandten Rechtsgrundlagen gemäß Absatz 1 sowie das Ergebnis der Notwendigkeits- und Verhältnismäßigkeitsprüfung. Diese Aufzeichnungen sind Teil eines Registers, das dem EDSB auf Anfrage zur Verfügung gestellt wird. Die Agentur erstellt regelmäßig Berichte über die Anwendung von Artikel 25 der Verordnung.

(5) Bei der Verarbeitung personenbezogener Daten, die sie im Rahmen ihrer Aufgaben von anderen Organisationen erhält, konsultiert die Agentur diese Organisationen über mögliche Gründe für die Vornahme von Beschränkungen sowie die Notwendigkeit und Verhältnismäßigkeit der betreffenden Beschränkungen, es sei denn, dies würde die Tätigkeiten der Agentur gefährden.

Artikel 3 Risiken für die Rechte und Freiheiten der betroffenen Personen

(1) Die Bewertungen der sich aus der Vornahme von Beschränkungen ergebenden Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die Angaben zur Geltungsdauer dieser Beschränkungen sind im Verzeichnis der Verarbeitungstätigkeiten einzutragen, das von der Agentur gemäß Artikel 31 der Verordnung geführt wird. Außerdem sind sie in den einschlägigen Datenschutz-Folgenabschätzungen gemäß Artikel 39 der Verordnung zu vermerken.

(2) Bei jeder Prüfung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung berücksichtigt die Agentur die möglichen Risiken für die Rechte und Freiheiten der betroffenen Person.

Artikel 4 Garantien und Aufbewahrungsfrist

(1) Die Agentur implementiert Schutzvorkehrungen, die verhindern, dass personenbezogene Daten, die Beschränkungen unterliegen oder unterliegen könnten, Missbrauch, unrechtmäßigem Zugriff oder unrechtmäßiger Übermittlung ausgesetzt sind. Diese Schutzvorkehrungen umfassen technische und organisatorische Maßnahmen und werden erforderlichenfalls in den internen Beschlüssen, Verfahren und Durchführungsbestimmungen von Agenturen im Einzelnen angegeben. Die Schutzvorkehrungen beinhalten

1. eine klare Definition der Rollen, Zuständigkeiten und Verfahrensschritte;
2. gegebenenfalls eine sichere elektronische Umgebung, die verhindert, dass elektronische Daten rechtswidrig und versehentlich unbefugten Personen zugänglich gemacht oder übermittelt werden;
3. gegebenenfalls die sichere Aufbewahrung und Verarbeitung von Papierdokumenten;
4. die ordnungsgemäße Überwachung der Beschränkungen und die regelmäßige Überprüfung ihrer Anwendung.

(2) Die in Buchstabe d genannten Überprüfungen sind mindestens alle sechs Monate durchzuführen.

(3) Sobald die die Beschränkungen rechtfertigenden Umstände nicht mehr vorliegen, werden die Beschränkungen aufgehoben.

(4) Die personenbezogenen Daten werden gemäß den geltenden Datenspeicherungsregeln der Agentur gespeichert, die in den gemäß Artikel 31 der Verordnung geführten Datenschutzaufzeichnungen zu definieren sind. Nach Ablauf der Aufbewahrungsfrist werden die personenbezogenen Daten gemäß Artikel 13 der Verordnung gelöscht, anonymisiert oder in Archive übertragen.

Artikel 5 Mitwirkung des/der Datenschutzbeauftragten

(1) Jede Beschränkung der Rechte betroffener Personen, die gemäß diesem Beschluss vorgenommen wird, ist unverzüglich dem/der DSB der Agentur mitzuteilen. Der/Die Datenschutzbeauftragte erhält vollen und uneingeschränkten Zugang zu allen Aufzeichnungen und Dokumenten, die den zugrunde liegenden sachlichen oder rechtlichen Zusammenhang betreffen.

(2) Der/Die DSB der Agentur kann die Überprüfung einer vorgenommenen Beschränkung verlangen. Die Agentur informiert ihre(n) DSB schriftlich über das Ergebnis der Überprüfung.

(3) Die Agentur dokumentiert die Mitwirkung des/der DSB bei der Vornahme von Beschränkungen sowie die dem/der DSB mitgeteilten Informationen.

Artikel 6 Unterrichtung betroffener Personen über Beschränkungen ihrer Rechte

(1) In die Datenschutzhinweise, die sie auf ihrer Website/im Intranet veröffentlicht, nimmt die Agentur allgemeine Informationen auf, die die betroffenen Personen über die Möglichkeit einer Beschränkung ihrer Rechte gemäß Artikel 2 Absatz 1 unterrichten. Darin ist darüber zu informieren, welche Rechte beschränkt werden können, aus welchen Gründen die Beschränkungen vorgenommen werden können und für welche Dauer sie gelten können.

(2) Betroffene Personen werden von der Agentur einzeln, schriftlich und unverzüglich über die gegenwärtigen oder künftigen Beschränkungen ihrer Rechte unterrichtet. Die Agentur unterrichtet die betroffenen Personen über die wesentlichen Gründe für die Beschränkung, über das Recht betroffener Personen, sich an den/die DSB zu wenden, um gegen die Beschränkung vorzugehen, sowie über ihr Recht, beim EDSB Beschwerde einzulegen.

(3) Solange die Unterrichtung über die Gründe für die Beschränkung und das Recht auf Einlegung der Beschwerde beim EDSB die Wirkung der Beschränkung zunichtemachen würde, kann sie von der Agentur zurückgestellt, unterlassen oder abgelehnt werden. Die Beurteilung, ob dies gerechtfertigt wäre, erfolgt auf Einzelfallbasis. Sobald die Unterrichtung die Wirkung der Beschränkung nicht mehr zunichtemachen würde, ist die betroffene Person von der Agentur zu unterrichten.

Artikel 7 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

(1) Ist die Agentur gemäß Artikel 35 Absatz 1 der Verordnung zur Benachrichtigung über eine Datenschutzverletzung verpflichtet, ist es in Ausnahmefällen möglich, die Benachrichtigung ganz oder zum Teil zu beschränken. Sie muss die Gründe für die Beschränkung sowie die Rechtsgrundlage gemäß obigem Artikel 2 sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung dokumentieren. Der Vermerk ist dem EDSB zum Zeitpunkt der Meldung der Verletzung des Schutzes personenbezogener Daten mitzuteilen.

(2) Sind die Gründe für die Beschränkung nicht mehr gegeben, unterrichtet die Agentur die betroffene Person über die Verletzung des Schutzes personenbezogener Daten, wobei die wesentlichen Gründe für die Beschränkung anzugeben und auf das Recht der betroffenen Person, beim EDSB Beschwerde einzulegen, hinzuweisen ist.

Artikel 8 Vertraulichkeit der elektronischen Kommunikation

(1) In Ausnahmefällen kann die Agentur das Recht auf Vertraulichkeit der elektronischen Kommunikation gemäß von Artikel 36 der Verordnung beschränken. Derartige Beschränkungen müssen der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates ⁸ genügen.

(2) Ungeachtet des Artikels 6 Absatz 3 gilt: Beschränkt die Agentur das Recht auf Vertraulichkeit der elektronischen Kommunikation, unterrichtet sie die betroffene Person in der Antwort auf deren Anfrage über die wesentlichen Gründe für diese Beschränkung sowie über das Recht der betroffenen Person, beim EDSB Beschwerde einzulegen.

Artikel 9 Inkrafttreten

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Für den Verwaltungsrat, 17. Februar 2021.

ENDE