Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2023, Gefahrgut/Transport - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2018/1139 des Europäischen Parlaments und des Rates vom 4. Juli 2018 zur Festlegung gemeinsamer Vorschriften für die Zivilluftfahrt und zur Errichtung einer Agentur der Europäischen Union für Flugsicherheit sowie zur Änderung der Verordnungen (EG) Nr. 2111/2005, (EG) Nr. 1008/2008, (EU) Nr. 996/2010, (EU) Nr. 376/2014 und der Richtlinien 2014/30/EU und 2014/53/EU des Europäischen Parlaments und des Rates, und zur Aufhebung der Verordnungen (EG) Nr. 216/2008 und (EG) Nr. 552/2004 des Europäischen Parlaments und des Rates und der Verordnung (EWG) Nr. 3922/91 des Rates ¹, insbesondere auf Artikel 74 Absatz 8,

in Erwägung nachstehender Gründe:

(1) Nach Artikel 74 der Verordnung (EU) 2018/1139 muss die Agentur der Europäischen Union für Flugsicherheit (im Folgenden "Agentur") in Zusammenarbeit mit der Kommission und den zuständigen nationalen Behörden einen Informationsspeicher einrichten, der eine wirksame Zusammenarbeit zwischen der Agentur und den zuständigen nationalen Behörden bei der Wahrnehmung ihrer Zertifizierungs-, Aufsichts- und Durchsetzungsaufgaben im Rahmen der vorliegenden Verordnung gewährleistet, und diesen verwalten.

(2) Es ist wichtig, dass die Kommission und die zuständigen nationalen Behörden in die Entwicklung und Verwaltung des Speichers durch die Agentur einbezogen werden, weshalb in dieser Verordnung ein angemessener Konsultationsmechanismus festgelegt werden sollte, der gewährleistet, dass die Agentur die Mitgliedstaaten und die Kommission konsultiert, bevor sie Entscheidungen in Bezug auf den Speicher trifft.

(3) Im Sinne einer effektiven Nutzung des Speichers sollte er aus einer zentralen Datenbank, einer Kommunikationsinfrastruktur und einer Schnittstelle bestehen, die für die Anzeige und Abfrage der im Speicher erfassten Informationen sowie für den Zugriff auf diese Informationen benötigt wird. Damit den verschiedenen Stellen, die den Speicher nutzen, die Zusammenarbeit erleichtert wird, sollte eine einzige Schnittstelle für direkte Abfragen der Nutzer im Speicher und eine einzige Schnittstelle für die zuständigen nationalen Behörden vorgesehen werden.

(4) Geeignete funktionale Spezifikationen, die sich auf die Schnittstelle, die Sicherheit, das Netz und die Anwendungskonfiguration des Speichers erstrecken, sollten den zuständigen Behörden eine leichtere Integration in den Speicher und Kommunikation mit diesem ermöglichen.

(5) Die Agentur sollte die Aufrechterhaltung des Betriebs und der Datenverwaltung des Speichers gewährleisten, indem sie dafür sorgt, dass der Speicher stets ordnungsgemäß funktioniert und so technisches Versagen ausgeschlossen wird.

(6) Damit die kommunizierenden Stellen die ausgetauschten Informationen in gleicher Weise verstehen, sollten für die Übertragung der Informationen in den Speicher und deren Austausch über den Speicher gemeinsam vereinbarte und von der Agentur vorgeschlagene Informationsformate festgelegt werden.

(7) Für einen besseren Informationsaustausch sollten die im Speicher erfassten Informationen regelmäßig aktualisiert werden. Hierzu sollten die Agentur und die zuständigen nationalen Behörden eine Methodik für die regelmäßige Aktualisierung der abgespeicherten Informationen entwickeln.

(8) Zudem sollten in dieser Verordnung die Anforderungen an die Klassifizierung der Informationen festgelegt werden, damit die abgespeicherten Informationen in Abhängigkeit von den Parametern Privatsphäre, Vertraulichkeit, Integrität und Verfügbarkeit behandelt werden. Um zu gewährleisten, dass die Klassifizierung stets auf dem neuesten Stand ist, sollte eine Neubewertung dieser Klassifizierung immer dann erfolgen, wenn sich die Nutzung der Daten ändert.

(9) Die interessierten Parteien, die im Speicher erfasste Informationen erhalten dürfen, müssen identifiziert werden, wobei für die Behandlung ihrer Anträge auf Zugang detaillierte Vorschriften festgelegt werden müssen. Hierzu sollten in der Verordnung die notwendigen Bedingungen für die Weitergabe von Informationen an die interessierten Parteien festgelegt werden. Auch sollte sichergestellt sein, dass die von den interessierten Parteien erhaltenen Informationen vertraulich verwaltet werden.

(10) Im Sinne der Datenintegrität und Informationssicherheit sollte ein System zur Rückverfolgbarkeit der abgespeicherten Informationen eingerichtet werden, das den Schutz gegen unbefugten Zugriff gewährleistet und die Überwachung von Vorgängen ermöglicht, bei denen Informationen, auch personenbezogene Daten, verarbeitet werden.

(11) Personal der befugten Nutzer, das auf den Speicher zugreifen muss, sollte im Rahmen dokumentierter Verfahren von seinen Organisationen die entsprechende Befugnis erhalten. Personal flugmedizinischer Zentren sollte von seinen jeweiligen nationalen Behörden die Befugnis erhalten.

(12) Die Anforderungen an den Schutz der betreffenden Infrastruktur und Daten sollten im Rahmen von Strategien für das Sicherheitsmanagement entwickelt werden. So sollten insbesondere Maßnahmen für das Sicherheitsmanagement und die Aufrechterhaltung des Betriebs sowie Pläne für die Wiederherstellung nach einem Notfall entwickelt werden. Die befugten Nutzer sollten dafür sorgen, dass die notwendigen Sicherheitsmaßnahmen vorhanden sind und sie diesbezüglich kooperieren.

(13) Personenbezogene Daten sollten nur für den Zweck einer wirksamen Zusammenarbeit zwischen der Agentur und den zuständigen nationalen Behörden bei der Wahrnehmung von deren Zertifizierungs-, Aufsichts- und Durchsetzungsaufgaben verarbeitet werden. Die Verordnung sollte detaillierte Modalitäten für den Schutz personenbezogener Daten enthalten, die in dem Speicher erfasst sind und über diesen ausgetauscht werden. Eine derartige Verarbeitung muss den Verordnungen (EU) 2016/679 ² und (EU) 2018/1725 ³ des Europäischen Parlaments und des Rates genügen, wobei die Zuständigkeiten der jeweiligen Stellen für die Gewährleistung des Datenschutzes geklärt sein müssen.

(14) Die jeweiligen Verantwortlichkeiten der Stellen, die personenbezogene Daten in dem Speicher verarbeiten, diese Daten dort eingeben oder abrufen, müssen benannt und zugewiesen werden. Nach der Verordnung (EU) 2018/1139 richtet die Agentur in Zusammenarbeit mit der Kommission und den zuständigen nationalen Behörden einen Informationsspeicher ein, der eine wirksame Zusammenarbeit zwischen der Agentur und den zuständigen nationalen Behörden gewährleistet, und verwaltet diesen. So müssen sie zur Gewährleistung des Sicherheitsmanagements des Speichers kooperieren. Daher sollten sie bei der Verwaltung des Speichers im Hinblick auf die Verarbeitung personenbezogener Daten als gemeinsam Verantwortliche handeln. Somit müssen die Zuständigkeiten der gemeinsam Verantwortlichen und ihre jeweiligen Pflichten gegenüber den betroffenen Personen festgelegt werden.

(15) Jede zuständige nationale Behörde, die Agentur und die Kommission sollten als alleinige Verantwortliche gelten, wenn sie als befugte Nutzer innerhalb ihrer eigenen Systeme Daten verarbeiten. Die Datenverarbeitung sollte im Einklang mit den Verordnungen (EU) 2016/679 und (EU) 2018/1725 erfolgen. Da die über den Speicher ausgetauschten Daten jeweils von einem Verantwortlichen stammen, sollten diese der Agentur jede Verletzung des Schutzes personenbezogener Daten in ihren Systemen mitteilen, die die Sicherheit, Vertraulichkeit, Verfügbarkeit oder Integrität dieser im Speicher verarbeiteten personenbezogenen Daten gefährden könnte.

(16) Die Pflicht zur gegenseitigen Mitteilung von Sicherheitsverletzungen, auch von Verletzungen des Schutzes personenbezogener Daten, sollte festgelegt werden, damit gemeinsam Verantwortliche Sicherheitsvorfälle und Datenverletzungen so schnell wie möglich identifizieren können. Die Meldung solcher Verletzungen sollten von jedem Verantwortlichen entsprechend gewährleistet werden.

(17) Unter bestimmten Umständen kann die betroffene Person in der Ausübung ihrer Rechte beschränkt werden. Diese Beschränkungen sollten verhältnismäßig und in Umfang und Dauer begrenzt sein. Die betroffene Person sollte die Möglichkeit zur Ausübung ihrer Rechte haben, um sich wirksam verteidigen und Rechtsmittel einlegen zu können.

(18) Im Sinne der Flugsicherheit kann es notwendig sein, dass die zuständige Behörde Zugriff auf frühere Aufzeichnungen hat, auch auf solche, die personenbezogene Daten enthalten. Insbesondere auf medizinische Daten, die eine Untauglichkeit in früheren Zeiträumen oder die Auferlegung von Einschränkungen belegen. Unbeschadet kürzerer Fristen nach einzelstaatlichem Recht sollte daher eine Höchstdauer von 10 Jahren für das Speichern der Daten festgelegt werden, gerechnet ab dem Zeitpunkt des Ablaufs des betreffenden Dokuments (z.B. von Gesundheitsnachweisen, ärztlichen Gutachten, Lizenzen), auch der für die Verfahren nach der Verordnung (EU) 2018/1139 notwendigen Dokumente, damit diese Daten den zuständigen Behörden immer noch zur Verfügung stehen.

(19) Bei den im Speicher erfassten personenbezogenen Daten handelt es sich um wesentliche Informationen, die im Interesse der Flugsicherheit und für historische Forschungszwecke archiviert werden sollten. Nach Ablauf der Speicherfrist oder einer im nationalen Recht vorgesehenen kürzeren Frist, sollten die personenbezogenen Daten sofort aus dem Speicher gelöscht werden. Personenbezogene Daten können im öffentlichen Interesse der Flugsicherheit und für historische Forschungszwecke außerhalb des Speichers zur Archivierung aufbewahrt werden.

(20) Um die ordnungsgemäße Anwendung dieser Verordnung zu gewährleisten, sollte den Mitgliedstaaten und den betroffenen Stellen ausreichend Zeit eingeräumt werden, ihre Verfahren an den neuen Rechtsrahmen anzupassen, bevor diese Verordnung Anwendung findet. Daher sollten einige Anforderungen von Anhang I entsprechend der Kategorie ihres Informationsobjekts und dem Zeitpunkt der Ausstellung erst zu einem späteren Zeitpunkt Anwendung finden.

(21) Die Agentur hat auf der Grundlage der Verordnung (EU) 2018/1139 einen Durchführungsrechtsakt für die Funktionsweise und die Verwaltung eines Informationsspeichers im Entwurf ausgearbeitet und nach Artikel 75 Absatz 2 Buchstabe b und Artikel 76 Absatz 1 jener Verordnung der Kommission mit ihrer Stellungnahme Nr. 04/2022 ⁴ vorgelegt.

(22) Der Europäische Datenschutzbeauftragte wurde nach Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 angehört und hat am 29. März 2023 eine Stellungnahme abgegeben.

(23) Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des Ausschusses für die Anwendung gemeinsamer Sicherheitsvorschriften für die Zivilluftfahrt

- hat folgende Verordnung erlassen:

Kapitel I
Allgemeine Bestimmungen

Artikel 1 Gegenstand

In dieser Verordnung werden die Vorschriften und Verfahren für die Funktionsweise und die Verwaltung des Informationsspeichers festgelegt, die für eine wirksame Zusammenarbeit zwischen der Agentur und den zuständigen nationalen Behörden bei der Wahrnehmung ihrer Aufgaben im Zusammenhang mit der Zertifizierung, Aufsicht und Durchsetzung gemäß der Verordnung (EU) 2018/1139 erforderlich sind.

Artikel 2 Begriffsbestimmungen

(1) Für die Zwecke dieser Verordnung gelten die Begriffsbestimmungen der Verordnungen (EU) 2018/1139, (EU) 2016/679, (EU) 2018/1725 sowie der Durchführungsverordnungen (EU) 2019/947 ⁵ und (EU) 2021/664 ⁶ der Kommission.

(2) Darüber hinaus gelten folgende Begriffsbestimmungen:

1. "befugte Nutzer" (authorised users): nach Artikel 74 Absatz 6 Satz 1 der Verordnung (EU) 2018/1139 die Kommission, die Agentur, die zuständigen nationalen Behörden und jede zuständige Behörde des Mitgliedstaats, die mit der Untersuchung von Unfällen und Störungen in der Zivilluftfahrt betraut ist;
2. "Schnittstelle" (interface): der Punkt, an dem unabhängige und oft nicht miteinander im Zusammenhang stehende Systeme miteinander verbunden sind und interagieren oder miteinander kommunizieren;
3. "befugtes Personal" (authorised staff): das Personal der befugten Nutzer, das auf den Speicher zugreifen kann;
4. "Informationsobjektkategorie" (information object category): die Art von Informationen, die in den Anwendungsbereich von Artikel 74 Absatz 1 der Verordnung (EU) 2018/1139 fallen und den befugten Nutzern für Austausch und Zugriff zur Verfügung stehen;
5. "Informationsobjekt" (information object): eine individuell ausgetauschte Information, die stets der Informationsobjektkategorie entspricht und mit deren Informationsformat kompatibel ist;
6. "Informationsformat" (information format): eine vordefinierte Struktur der Informationsobjektkategorie, die sich aus einem Schema von Feldern zusammensetzt, die den angegebenen Arten von Inhalten innerhalb jeder Informationsobjektkategorie und dem Vokabular entsprechen, das aus einem begrenzten Satz von jedem Feld zugeordneten zulässigen Werten besteht;
7. "interessierte Parteien" (interested party): Behörden der Organe, Einrichtungen und sonstigen Stellen der Europäischen Union und Behörden der Mitgliedstaaten, natürliche und juristische Personen, die einem Informationsobjekt im Sinne des Anhang I dieser Verordnung unterliegen, sowie qualifizierte Stellen, die nach Artikel 69 der Verordnung (EU) 2018/1139 akkreditiert sind.

Kapitel II
Einrichtung, Verwaltung und Pflege des Speichers

Artikel 3 Einrichtung des Speichers

(1) Der Speicher besteht aus den Schnittstellen für Speicherung, Austausch und Nutzerzugang.

(2) Die in Absatz 1 genannte Schnittstelle für den Speicher umfasst Folgendes:

1. eine zentrale Datenbank mit Informationen nach Artikel 74 Absatz 1 der Verordnung (EU) 2018/1139, die sowohl bestehende als auch neue Informationen enthält, und
2. eine Darstellung des historischen Verlaufs der Änderungen an den Informationen und ihres Status (aktuell/archiviert).

(3) Die in Absatz 1 genannte Schnittstelle für den Austausch umfasst Folgendes:

1. eine Kommunikationsinfrastruktur, die sichere programmierbare Anwendungsschnittstellen (API) für Ausgabe, Änderung, Abfrage/Lesen und Archivierung von Informationen zwischen den Systemen der befugten Nutzer und dem Speicher bereitstellt, und
2. Vorschriften zur Überprüfung der Informationsqualität, die die Kohärenz, Integrität und Richtigkeit der gespeicherten Informationen gewährleisten.

(4) Die in Absatz 1 genannte Schnittstelle für den Nutzerzugang muss eine sichere Onlineabfrage der gespeicherten Informationen und einen sicheren Online-Lesezugriff auf diese Informationen ermöglichen. Die Schnittstelle für den Nutzerzugang darf nur dem dazu befugten Personal zur Verfügung gestellt werden.

(5) Die Agentur erstellt die erforderlichen Unterlagen, die die Integration befugter Nutzer in den Speicher unterstützen. Diese Dokumentation besteht aus Folgendem:

1. API-Standards und Austauschmechanismen,
2. die für die Kommunikation mit dem Speicher erforderlichen Informationen zur Sicherheits-, Netz- und Anwendungskonfiguration,
3. Vorschriften zur Festlegung der Gültigkeit von Struktur und Inhalt der mit dem Speicher ausgetauschten Informationen.

(6) Die Agentur sorgt auch für eine Testumgebung, in der die befugten Nutzer die Funktionalität und Leistung der Austauschschnittstelle zwischen ihren Systemen und dem Speicher testen können.

Artikel 4 Verwaltung des Speichers

(1) Die Agentur ist für das Betriebsmanagement des Speichers und für die sichere Speicherung von Informationen im Speicher zuständig.

(2) Die Übertragung der Informationen in den Speicher und deren Austausch durch die befugten Nutzer müssen über die Schnittstellen des Speichers erfolgen, wobei es den befugten Nutzern obliegt, eine sichere Online-Verbindung zwischen ihren Systemen und dem Speicher herzustellen.

(3) Bevor die Agentur eine Entscheidung über das Betriebsmanagement des Speichers trifft oder ihn öffentlich zugänglich macht, konsultiert sie die Kommission und die zuständigen nationalen Behörden.

(4) Die Übertragung der Informationen in den Speicher durch das befugte Personal der nationalen flugmedizinischen Sachverständigen und flugmedizinischen Zentren muss über deren jeweils zuständigen nationalen Behörden nach Artikel 10 Absatz 4 dieser Verordnung erfolgen.

Artikel 5 Pflege des Speichers

(1) Die Agentur pflegt den Speicher und stellt sicher, dass er in Bezug auf Privatsphäre, Vertraulichkeit, Integrität und Verfügbarkeit ordnungsgemäß funktioniert.

(2) Die Agentur erstellt systematisch Sicherungskopien des Speichers und seiner Daten.

Kapitel III
Vorschriften über die im Speicher erfassten Informationen

Artikel 6 Informationsformate und -standards

(1) Für die Übertragung und regelmäßige Aktualisierung von Informationen und deren Austausch über den Speicher verwenden die befugten Nutzer gemeinsam vereinbarte Informationsformate, die von der Agentur vorgeschlagen werden.

(2) Die Informationsformate müssen für jede Informationskategorie standardisiert werden. Die befugten Nutzer dürfen Informationsobjekte nur in dem für die jeweilige Informationskategorie spezifischen Informationsformat in den Speicher übertragen.

(3) Die Liste der Informationsobjektkategorien ist in Anhang I festgelegt.

Artikel 7 Klassifizierung von Informationen

(1) Die Agentur klassifiziert in Zusammenarbeit mit der Kommission und den zuständigen nationalen Behörden die Informationsobjektkategorien nach folgenden Merkmalen:

1. Privatsphäre: nicht personenbezogene Daten, nicht sensible oder sensible personenbezogene Daten,
2. Vertraulichkeit: keine, geringe, erhebliche, katastrophale Auswirkungen
3. Integrität: keine, geringe, erhebliche, katastrophale Auswirkungen
4. Verfügbarkeit: keine, geringe, erhebliche, katastrophale Auswirkungen.

(2) Die genauen Definitionen der in Absatz 1 genannten Merkmale sind in Anhang II festgelegt.

(3) Die Agentur nimmt in Zusammenarbeit mit der Kommission und den zuständigen nationalen Behörden, wann immer sie dies für erforderlich hält, eine Neubewertung der Klassifizierung der Informationen vor, indem sie anhand der Änderungen bei der Nutzung der Informationen sicherstellt, dass diese weiterhin angemessen ist.

Artikel 8 Vorkehrungen für die Weitergabe von Informationen

(1) Die Agentur kann auf Antrag einer interessierten Partei dieser die im Speicher enthaltenen Informationen vorbehaltlich der in diesem Artikel festgelegten besonderen Nutzungsbedingungen zur Verfügung stellen.

(2) Ein Antrag auf Weitergabe der im Speicher enthaltenen Informationen muss in der von der Agentur festgelegten Form und Weise gestellt werden.

(3) Bei Eingang eines Antrags überprüft die Agentur, ob

1. der Antrag von einer interessierten Partei gestellt wurde und ob
2. die interessierte Partei nachweist, dass die angeforderten Informationen für ihre Tätigkeiten unbedingt erforderlich sind.

(4) Die Agentur muss überprüfen, ob der Antrag gerechtfertigt ist und die in Absatz 5 festgelegten Bedingungen erfüllt sind, bevor sie der interessierten Partei die angeforderten Informationen zur Verfügung stellt.

(5) Die Agentur darf der interessierten Partei die angeforderten Informationen nur unter den folgenden Bedingungen zur Verfügung stellen:

1. Die interessierte Partei erhält keinen Zugang zum gesamten Inhalt des Speichers.
2. Die Informationen sind für die Tätigkeiten der interessierten Partei unbedingt erforderlich.
3. Es werden keine personenbezogenen Daten weitergegeben, es sei denn, diese Daten betreffen die interessierte Partei selbst oder deren Weitergabe ist für die Tätigkeiten der interessierten Partei unbedingt erforderlich.

(6) Die Agentur stellt den befugten Nutzern eine aktualisierte Liste der eingegangenen Anträge und der von der Agentur ergriffenen Maßnahmen zur Verfügung.

(7) Die interessierte Partei

1. darf die Informationen nur für den im Antragsformular angegebenen Zweck verwenden,
2. darf die erhaltenen Informationen nicht ohne die Erlaubnis der befugten Nutzer offenlegen,
3. muss die erforderlichen Maßnahmen ergreifen, um die Vertraulichkeit der erhaltenen Informationen zu gewährleisten.

Artikel 9 Protokollierung von Datenverarbeitungsvorgängen

(1) Die Agentur stellt sicher, dass alle Datenverarbeitungsvorgänge protokolliert werden. Die Protokolle müssen mit folgenden Angaben versehen sein:

1. den Zweck des Antrags auf Zugang zum Speicher,
2. Identifizierung des befugten Nutzers, der die Daten abruft,
3. Datum und genaue Uhrzeit der Datenverarbeitungsvorgänge,
4. Identifizierung des befugten Personals, das die Recherche durchführt.

(2) Die Agentur darf die Protokolle der Datenverarbeitungsvorgänge nur zur Überwachung der Rechtmäßigkeit des Zugriffs auf die Informationen und zur Gewährleistung der Datenintegrität und -sicherheit verwenden. Die Protokolle müssen die für diesen Zweck unbedingt erforderlichen Daten enthalten, wobei dem Grundsatz der Datensparsamkeit nach Artikel 89 der Verordnung (EU) 2016/679 und Artikel 13 der Verordnung (EU) 2018/1725 Rechnung zu tragen ist. Die Protokolle müssen nach Abschluss des Überwachungsverfahrens oder spätestens nach einem Jahr gelöscht werden.

(3) Auf Antrag erhalten die Kommission und die zuständigen nationalen Behörden Zugang zu den Protokollen, damit sie die Rechtmäßigkeit des Zugriffs auf die Informationen bewerten, die Rechtmäßigkeit der Datenverarbeitungsvorgänge überwachen und die Integrität und Sicherheit der Daten gewährleisten können.

Artikel 10 Zugang zum Speicher

(1) Die befugten Nutzer müssen sicherstellen, dass nur befugtes Personal Zugang zum Speicher hat.

(2) Die befugten Nutzer müssen sicherstellen, dass der Zugang ihres Personals zu den Informationen davon abhängig gemacht wird, welche der in Artikel 7 für die Informationsobjektkategorie festgelegten Merkmale der Privatsphäre und Vertraulichkeit zutreffen.

(3) Die befugten Nutzer müssen Folgendes festlegen und pflegen:

1. eine Liste des befugten Personals,
2. Verfahren für den Zugang zum Speicher, wobei diese Verfahren den im Unionsrecht und im nationalen Recht festgelegten rechtlichen Anforderungen für den Zugriff auf Informationen und deren Verarbeitung entsprechen müssen. Sie müssen die Bedingungen für den Zugang des befugten Personals zum Speicher dokumentieren.

(4) Die nationalen flugmedizinischen Sachverständigen und flugmedizinischen Zentren müssen dafür sorgen, dass nur das von ihrer zuständigen nationalen Behörde mit der entsprechenden Befugnis ausgestattete Personal Zugang zum Speicher hat.

Artikel 11 Sicherheitsmanagement des Speichers

(1) Die Agentur muss die Infrastruktur des Speichers und seine Informationen schützen und hierzu Folgendes entwickeln:

1. einen Sicherheitsmanagementplan,
2. einen Plan zur Aufrechterhaltung des Betriebs,
3. einen Plan für die Wiederherstellung nach einem Notfall.

(2) Die Agentur muss die unbefugte Verarbeitung von Informationen sowie das unbefugte Lesen, Kopieren, Ändern, Entfernen oder Löschen von gespeicherten Informationen während der Weitergabe an den oder aus dem Speicher oder während der Übertragung, insbesondere durch geeignete Verschlüsselungstechniken, verhindern.

(3) Die Agentur muss sicherstellen, dass die Personen, die befugt sind, auf den Speicher zuzugreifen, nur mittels einer persönlichen Nutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.

(4) Die befugten Nutzer müssen die Sicherheit ihrer Informationen vor und während der Übertragung in den Speicher verwalten und ihre Infrastruktur schützen, indem sie Folgendes gewährleisten:

1. die Einrichtung von Schnittstellen zwischen ihren Systemen und dem Speicher,
2. Betrieb und Pflege der Schnittstellen,
3. die angemessene Schulung des befugten Personals in Informationssicherheit sowie den geltenden Datenschutzvorschriften und Grundrechten, bevor sie die gespeicherten Informationen verarbeiten dürfen.

(5) Die befugten Nutzer müssen zur Gewährleistung des Sicherheitsmanagements des Speichers zusammenarbeiten.

Kapitel IV
Schutz personenbezogener Daten

Artikel 12 Verarbeitung der gespeicherten personenbezogenen Daten

(1) Im Speicher erfasste personenbezogene Daten dürfen nur verarbeitet werden, um die Zusammenarbeit zwischen den befugten Nutzern im Rahmen des für die Wahrnehmung ihrer Aufgaben im Zusammenhang mit der Zertifizierung, Aufsicht und Durchsetzung erforderlichen Umfangs zu gewährleisten. Die Verarbeitung muss auf das für die Wahrnehmung ihrer Aufgaben erforderliche Maß und strikt darauf beschränkt sein, was für die verfolgten Ziele erforderlich und verhältnismäßig ist.

(2) Der Zugriff auf personenbezogene Daten und deren Verarbeitung erfolgen gemäß den technischen Spezifikationen des Speichers.

(3) Die Pflicht zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen muss sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst berücksichtigt werden.

(4) Die Agentur führt regelmäßige Überprüfungen durch, um die Wirksamkeit aller umgesetzten Datenschutzgarantien sicherzustellen.

Artikel 13 Gemeinsame Verantwortlichkeit für die im Speicher verarbeiteten personenbezogenen Daten

(1) Die gemeinsame Verantwortlichkeit für die im Speicher erfassten personenbezogenen Daten liegt bei den befugten Nutzern.

(2) Jeder gemeinsam Verantwortliche ist für die Erfüllung der Kriterien für die Klassifizierung von Informationen für jedes im Speicher verarbeiteten Informationsobjekt verantwortlich.

Artikel 14 Aufteilung der Zuständigkeiten zwischen den gemeinsam Verantwortlichen

(1) Die Agentur ist verantwortlich für

1. Einrichtung, Betrieb und Verwaltung des Speichers;
2. die kontinuierliche Verwaltung des Speichers, insbesondere der Zugangsrechte sowie der Sicherheit und Vertraulichkeit der im Speicher verarbeiteten personenbezogenen Daten nach den Artikeln 4, 5, 9 und 12;
3. die Benachrichtigung der befugten Nutzer, des Europäischen Datenschutzbeauftragten und erforderlichenfalls der betroffenen Personen nach Artikel 34 der Verordnung (EU) 2018/1725 über Verletzungen des Schutzes personenbezogener Daten im Speicher;
4. die Festlegung und den Einsatz der technischen Mittel, die es den betroffenen Personen ermöglichen, ihre Rechte im Einklang mit der Verordnung (EU) 2018/1725 geltend zu machen.

(2) Die zuständigen nationalen Behörden und die Kommission sind für Folgendes verantwortlich:

1. Sie sind verantwortlich für die Verarbeitung der im Speicher erfassten personenbezogenen Daten gemäß den in Artikel 3 genannten Schnittstellen für die Speicherung, den Austausch und den Nutzerzugang sowie den Sicherheitsanforderungen nach Artikel 12 Absatz 4.
2. Sie sind verantwortlich für die Gewährleistung der Sicherheit jeder Verarbeitung personenbezogener Daten außerhalb des Speichers, wenn diese Daten für die Zwecke der oder im Zusammenhang mit der Verarbeitung durch den Speicher verarbeitet werden.
3. Sie sind verantwortlich für die Benennung des befugten Personals, dem nach Artikel 11 Zugang zum Speicher gewährt wird, und dessen Bekanntgabe an die Agentur.
4. Sie handeln als Kontaktstelle für die in ihre Zuständigkeit als alleinige Verantwortliche fallenden betroffenen Personen, auch für den Fall, dass diese ihre Rechte ausüben, und setzen hierfür erforderlichenfalls die von der Agentur gemäß Absatz 1 Buchstabe d bereitgestellten technischen Mittel oder die in Absatz 3 genannten Kommunikationskanäle ein.
5. Sie unterrichten die Agentur über jeden Sicherheitsvorfall, einschließlich Verletzungen des Schutzes personenbezogener Daten, die die Sicherheit, Vertraulichkeit, Verfügbarkeit oder Integrität der übertragenen und/oder im Speicher erfassten personenbezogenen Daten gefährden könnten.
6. Sie melden nach den Artikeln 33 und 34 der Verordnung (EU) 2016/679 bzw. Artikel 34 der Verordnung (EU) 2018/1725 Verletzungen des Schutzes personenbezogener Daten, die im Speicher verarbeitete personenbezogene Daten betreffen, den jeweiligen zuständigen Aufsichtsbehörden und erforderlichenfalls den betroffenen Personen.

(3) Jeder gemeinsam Verantwortliche benennt

1. eine Kontaktstelle mit einer funktionalen Mailbox für die Kommunikation zwischen ihnen;
2. eine Kontaktstelle, die betroffene Personen bei der Ausübung ihrer Rechte gemäß den geltenden Datenschutzvorschriften unterstützt.

(4) Erhält ein gemeinsam Verantwortlicher eine Anfrage einer betroffenen Person, die nicht seiner Zuständigkeit unterliegt, so leitet er sie umgehend an den zuständigen gemeinsam Verantwortlichen weiter. Auf Anfrage unterstützen sich die gemeinsam Verantwortlichen gegenseitig bei der Bearbeitung von Anfragen betroffener Personen und antworten einander unverzüglich, spätestens jedoch innerhalb von 15 Tagen nach Eingang eines Amtshilfeersuchens.

(5) Benötigt ein Verantwortlicher zur Erfüllung seiner Pflichten nach den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder Artikel 34 der Verordnung (EU) 2018/1725 Informationen von einem anderen Verantwortlichen, so übermittelt er eine konkrete Anfrage an die in Absatz 3 Buchstabe a genannte funktionale Mailbox. Letzterer bemüht sich nach besten Kräften, diese Informationen zur Verfügung zu stellen.

Artikel 15 Beschränkungen

(1) Die Verantwortlichen dürfen die Ausübung der Rechte von betroffenen Personen nur in dem Umfang und so lange beschränken, wie dies zur Gewährleistung der Sicherheit in der Zivilluftfahrt unbedingt erforderlich ist. Betroffene Personen dürfen in der Ausübung ihrer Rechte nur in folgenden Fällen beschränkt werden:

1. laufende Untersuchungen, Inspektionen oder Überwachungstätigkeiten nach Artikel 75 Absatz 2 Buchstabe e der Verordnung (EU) 2018/1139, die von der Agentur im Rahmen ihrer Zuständigkeiten oder von den zuständigen Behörden nach nationalem Recht oder Unionsrecht durchgeführt werden;
2. laufende Verfahren vor dem Gerichtshof der Europäischen Union oder einem anderen nach nationalem oder internationalem Recht zuständigen Gericht.

(2) Liegt die Verantwortung bei der Kommission und der Agentur, können sie die Ausübung der Rechte betroffener Personen im Falle laufender IT-Sicherheitsuntersuchungen, die sich direkt oder indirekt auf das Funktionieren des Speichers auswirken, nur in dem Umfang und so lange beschränken, wie dies zum Schutz der Sicherheit in der Zivilluftfahrt unbedingt erforderlich ist.

(3) Alle Beschränkungen unterliegen einer Prüfung der Notwendigkeit und Verhältnismäßigkeit und müssen in Umfang und Dauer begrenzt sein.

(4) Die betroffene Person, deren Rechte beschränkt werden, wird über die Gründe und den Umfang der Beschränkung unterrichtet.

Artikel 16 Speicherfrist für personenbezogene Daten

(1) Befugte Nutzer sind zu Folgendem verpflichtet:

1. Sie müssen personenbezogene Daten, einschließlich aller Dokumente, die für die in der Verordnung (EU) 2018/1139 genannten Verfahren erforderlich sind, für einen Zeitraum von höchstens zehn Jahren ab dem Datum des Ablaufs des Dokuments oder ab dem Datum, an dem es nicht mehr gültig ist, im Speicher speichern, es sei denn, das nationale Recht schreibt eine andere Frist vor.
2. Sie müssen personenbezogene Daten aus dem Speicher löschen, sobald die Speicherfrist abgelaufen ist.

(2) Mit dem Speicher muss Folgendes technisch möglich sein:

1. die automatische Löschung personenbezogener Daten nach Ablauf der Speicherfrist,
2. die automatische Pseudonymisierung oder andere technische Lösungen mit gleicher Wirkung von zu Archivierungszwecken gespeicherten personenbezogenen Daten.

Artikel 17 Verarbeitung für Archivierungs- und historische Forschungszwecke im Interesse der Flugsicherheit

(1) Nach Ablauf der Speicherfrist kann die Agentur für Archivierungs- und historische Forschungszwecke personenbezogene Daten aus dem Speicher in einem separaten Register speichern.

(2) Diese personenbezogenen Daten sind auf die für den Zweck der Archivierung und Forschung im Interesse der Flugsicherheit unbedingt erforderlichen Daten zu beschränken, wobei dem Grundsatz der Datensparsamkeit nach Artikel 89 der Verordnung (EU) 2016/679 und Artikel 13 der Verordnung (EU) 2018/1725 Rechnung zu tragen ist.

(3) Die Agentur entwickelt ein Protokoll für den Zugang zum Speicher. Für diesen Speicher gelten die Artikel 4, 5 und 9 bis 12.

Kapitel V
Schlussbestimmungen

Artikel 18 Inkrafttreten und Geltungsbeginn

(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Kapitel I und II gelten ab dem 1. April 2025.

(3) Die Anforderungen an Informationsobjekte, die nach Inkrafttreten dieser Verordnung festgelegt wurden, gelten wie folgt:

1. ab dem 1. Januar 2027 für die Prioritätsgruppe A, Anhang I,
2. ab dem 1. Januar 2028 für die Prioritätsgruppe B, Anhang I,
3. ab dem 1. Januar 2029 für die Prioritätsgruppe C, Anhang I.

(4) Die Anforderungen an Informationsobjekte, die vor Inkrafttreten dieser Verordnung festgelegt wurden und in Anhang I aufgeführt sind, gelten ab dem 1. Januar 2029.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 12. Oktober 2023

.

.

Detaillierte Definitionen der Merkmale nach Artikel 7 Absatz 2

a) Die PRIVATSPHÄRE wird anhand der nachstehenden Kategorien eingestuft:

b) Die VERTRAULICHKEIT wird entsprechend den folgenden Niveaus klassifiziert:

c) Die INTEGRITÄT wird entsprechend den folgenden Niveaus klassifiziert:

d) Die VERFÜGBARKEIT wird entsprechend den folgenden Niveaus klassifiziert:

ENDE