Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2024, Wirtschaft - EU Bund

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste) ¹, insbesondere auf Artikel 85,

nach Anhörung des Ausschusses für digitale Dienste gemäß Artikel 88 der Verordnung (EU) 2022/2065,

in Erwägung nachstehender Gründe:

(1) Mit der Verordnung (EU) 2022/2065 soll ein sicherer digitaler Raum für die Nutzer geschaffen und gleichzeitig die Achtung der Grundrechte sichergestellt werden. Dazu werden den Anbietern von Vermittlungsdiensten Pflichten auferlegt, um die Verbreitung illegaler Online-Inhalte zu verhindern, und es werden die Vorgaben dieser Anbieter für die Moderation von Inhalten in ihren Diensten reguliert. Für die wirksame Aufsicht, Untersuchung, Durchsetzung und Überwachung der Einhaltung dieser Pflichten durch diese Anbieter sind die Zusammenarbeit zwischen den Mitgliedstaaten und der Kommission sowie ein nahtloser Informationsaustausch zwischen den Mitgliedstaaten und mit der Kommission nötig.

(2) Zu diesem Zweck muss die Kommission gemäß Artikel 85 der Verordnung (EU) 2022/2065 ein zuverlässiges und sicheres und interoperables Informationsaustauschsystem (im Folgenden "AGORA") einrichten und unterhalten, das die Kommunikation zwischen den Koordinatoren für digitale Dienste, der Kommission und dem Europäischen Gremium für digitale Dienste (im Folgenden "Gremium") unterstützt. Andere zuständige Behörden können Zugang zu AGORA erhalten, wenn dies für die Durchführung der ihnen im Einklang mit der Verordnung (EU) 2022/2065 übertragenen Aufgaben erforderlich ist. Die Koordinatoren für digitale Dienste, die Kommission und das Gremium sind verpflichtet, AGORA für ihre gesamte Kommunikation gemäß der Verordnung (EU) 2022/2065 zu verwenden.

(3) AGORA ist eine über das Internet zugängliche Softwareanwendung, die von der Kommission entwickelt werden soll. AGORA stellt einen Kommunikationsmechanismus bereit, um den grenzüberschreitenden Informationsaustausch und die gegenseitige Amtshilfe zwischen den Koordinatoren für digitale Dienste, der Kommission und dem Gremium gemäß der Verordnung (EU) 2022/2065 zu erleichtern. Insbesondere sollte AGORA die Koordinatoren für digitale Dienste, die Kommission und das Gremium bei der Verwaltung des Informationsaustauschs im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 auf der Grundlage einfacher und einheitlicher Verfahren unterstützen.

(4) In dieser Verordnung werden die praktischen und operativen Modalitäten für die Einrichtung, die Unterhaltung und den Betrieb von AGORA für die Zwecke der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 festgelegt, was unter anderem den direkten Informationsaustausch, Meldeverfahren, Warnmechanismen und Amtshilferegelungen zwischen den Koordinatoren für digitale Dienste, der Kommission, dem Gremium und anderen zuständigen Behörden, denen gemäß der Verordnung (EU) 2022/2065 Zugang zu AGORA gewährt wird (im Folgenden "AGORA-Akteure"), sowie Problemlösungsverfahren umfassen kann.

(5) Angesichts der grenz- und sektorübergreifenden Bedeutung von Vermittlungsdiensten ist ein hohes Maß an Koordinierung und Zusammenarbeit zwischen den verschiedenen einschlägigen Beteiligten erforderlich, um sicherzustellen, dass Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 einheitlich erfolgen und zu diesem Zweck wichtige Informationen über AGORA verfügbar gemacht werden.

(6) Um Sprachbarrieren zu überwinden, sollte AGORA in allen Amtssprachen der Union zur Verfügung stehen. Zu diesem Zweck sollte AGORA voll automatisierte Werkzeuge für die maschinelle Übersetzung, wie sie der Kommission derzeit zur Verfügung stehen, für die Übersetzung der über AGORA ausgetauschten Dokumente und Nachrichten anbieten. Die Kommission sollte natürlichen Personen, die unter der Verantwortung der Koordinatoren für digitale Dienste, der Kommission, des Gremiums oder anderer zuständiger Behörden, denen Zugang zu AGORA ("AGORA-Nutzer") gewährt wird, tätig sind, sowie den von den Koordinatoren für digitale Dienste, der Kommission und dem Gremium als Administratoren benannten AGORA-Nutzern ("AGORA-Administratoren") solche Werkzeuge zur Verfügung stellen. Die voll automatisierten Werkzeuge für die maschinelle Übersetzung sollten mit den Sicherheits- und Vertraulichkeitsanforderungen für den Informationsaustausch in AGORA vereinbar sein.

(7) Zur Erfüllung ihrer Aufgaben gemäß der Verordnung (EU) 2022/2065 müssen die Koordinatoren für digitale Dienste, die Kommission und das Gremium möglicherweise Informationen austauschen, die auch personenbezogene Daten enthalten können. Ein solcher Informationsaustausch sollte den in den Verordnungen (EU) 2016/679 ² und der (EU) 2018/1725 ³ des Europäischen Parlaments und des Rates enthaltenen Vorschriften über den Schutz personenbezogener Daten entsprechen. Dementsprechend fällt der Austausch personenbezogener Daten, der zur Erfüllung der in der Verordnung (EU) 2022/2065 festgelegten Pflichten und Aufgaben erforderlich ist, in den Anwendungsbereich der rechtmäßigen Datenverarbeitung gemäß Artikel 5 Buchstabe a der Verordnung (EU) 2018/1725 und Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679.

(8) AGORA sollte für den Austausch von Informationen und nötigenfalls auch personenbezogenen Daten verwendet werden, der ansonsten aufgrund von Rechtspflichten der Koordinatoren für digitale Dienste, der Kommission, des Gremiums und anderer zuständiger Behörden, denen gemäß der Verordnung (EU) 2022/2065 Zugang zu AGORA gewährt wird, auf anderen Wegen wie Briefpost oder E-Mail erfolgen würde. Über AGORA ausgetauschte personenbezogene Daten sollten nur für die Zwecke der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 verarbeitet werden. Wenn beim Betrieb von AGORA personenbezogene Daten zu Zwecken des Informationsaustauschs, der Informationsanforderung und des Zugangs zu Informationen, für die Beantwortung von Auskunftsersuchen, für Meldungen, Handlungsaufforderungen und Unterstützungsanfragen verarbeitet werden, sollten die Koordinatoren für digitale Dienste für die von ihnen durchgeführten Verarbeitungstätigkeiten als separate Verantwortliche im Sinne der Verordnung (EU) 2016/679 gelten.

(9) Jeder Koordinator für digitale Dienste kann auch beschließen, AGORA für seine eigenen Fallbearbeitungstätigkeiten im Zuge der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 zu verwenden. Wenn in AGORA keine personenbezogenen Daten zu Zwecken des Informationsaustauschs, der Informationsanforderung und des Zugangs zu Informationen, für die Beantwortung von Auskunftsersuchen, für Meldungen, Handlungsaufforderungen und Unterstützungsanfragen ausgetauscht werden sollen, sollten jeder Koordinator für digitale Dienste und gegebenenfalls andere zuständige Behörden, denen Zugang zu AGORA gewährt wird, in Bezug auf die mit AGORA durchgeführten Datenverarbeitungstätigkeiten als alleiniger Verantwortliche im Sinne der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 gelten.

(10) Die Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten natürlicher Personen sollte in AGORA erfolgen, um die Kommunikation zwischen AGORA-Akteuren im Hinblick auf ihre Fallbearbeitungstätigkeiten im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 zu unterstützen.

(11) Personenbezogene Daten sollten in AGORA nur verarbeitet werden, soweit dies für die Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 unbedingt erforderlich ist. AGORA sollte personenbezogene Daten verarbeiten, darunter Identifizierungsdaten (z.B. Name, Beiname, Aliasname, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Ausweisdokumente und erforderlichenfalls andere Merkmale, die zur Identifizierung beitragen können), Kontaktdaten (z.B. berufliche und private Anschrift, E-Mail-Adresse und Telefonnummer), Daten zur Beteiligung an dem betreffenden Fall. (z.B. Stellung und Funktion der natürlichen Person in einem Unternehmen, andere Rollen wie Verdächtiger, Opfer, Hinweisgeber, Informant und Zeuge), fallbezogene Daten (z.B. Dokumente, Bilder, Videos, Sprachaufzeichnungen, Erklärungen, Stellungnahmen oder Aufzeichnungen) und sonstige Informationen, die zur Erfüllung der Anforderungen der Verordnung (EU) 2022/2065 als notwendig erachtet werden.

(12) Nach den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen und insbesondere im Hinblick auf die Beschränkungen, die für den Zugang zu den in AGORA ausgetauschten personenbezogenen Daten aufzuerlegen sind, sollte AGORA unter gebührender Beachtung der Anforderungen der Datenschutzvorschriften entwickelt und konzipiert werden. Deshalb sollte AGORA ein deutlich höheres Schutz- und Sicherheitsniveau als andere Verfahren des Informationsaustauschs wie Telefon, Briefpost oder E-Mail bieten.

(13) Die Kommission sollte die Software und die IT-Infrastruktur für AGORA bereitstellen und verwalten, deren Zuverlässigkeit, Sicherheit, Verfügbarkeit, Wartung und Betrieb gewährleisten und an der Schulung und der technischen Unterstützung der AGORA-Administratoren und AGORA-Nutzer mitwirken.

(14) Die Zuständigkeiten der Mitgliedstaaten für die Entscheidung, welche nationalen Behörden die aus dieser Verordnung erwachsenden Verpflichtungen erfüllen, sollte im Einklang mit den Artikeln 49 und 62 der Verordnung (EU) 2022/2065 wahrgenommen werden. Die Mitgliedstaaten sollten die Möglichkeit haben, die Funktionen und Zuständigkeiten in Bezug auf AGORA so anzupassen, wie es ihren internen Verwaltungsstrukturen entspricht, und in AGORA bestimmte Aufgaben oder eine bestimmte Abfolge der Phasen einzelner Arbeitsprozesse umzusetzen.

(15) Jeder Koordinator für digitale Dienste sollte mindestens einen AGORA-Administrator in seinem Mitgliedstaat für Fragen im Zusammenhang mit AGORA ernennen und der Kommission melden. Jeder Koordinator für digitale Dienste sollte auch für die Ernennung der AGORA-Administratoren seiner jeweils zuständigen Behörden zuständig sein, denen gemäß der Verordnung (EU) 2022/2065 Zugang zu AGORA gewährt wird. Jeder AGORA-Administrator sollte die Registrierung, die Gewährung und den Entzug des Zugangs zu AGORA für seine eigenen AGORA-Nutzer vornehmen. Um eine effiziente Zusammenarbeit der Dienststellen bei der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 über AGORA zu erreichen, sollten die Mitgliedstaaten dafür sorgen, dass ihre jeweiligen AGORA-Administratoren und AGORA-Nutzer über die erforderlichen Ressourcen verfügen, um ihren Verpflichtungen gemäß Artikel 50 Absatz 1 der Verordnung (EU) 2022/2065 nachzukommen.

(16) Informationen, die ein Koordinator für digitale Dienste, die Kommission, das Gremium oder eine andere zuständige Behörde, der Zugang zu AGORA gewährt wird, von einem anderen Koordinator für digitale Dienste, der Kommission, dem Gremium oder einer anderen solchen zuständigen Behörde über AGORA erhalten hat, sollten ihren Wert als Beweismittel in Straf-, Zivil- oder Verwaltungsverfahren nach einschlägigem EU-Recht oder nationalem Recht nicht allein deshalb einbüßen, weil sie ihren Ursprung in einem anderen Mitgliedstaat haben oder auf elektronischem Wege eingegangen sind, und sie sollten von dem betreffenden AGORA-Akteur genauso behandelt werden wie ähnliche Dokumente aus seinem eigenen Mitgliedstaat.

(17) Es sollte möglich sein, die Namen und Kontaktdaten von AGORA-Administratoren und AGORA-Nutzern zu verarbeiten, soweit dies erforderlich ist, um die Ziele der Verordnung (EU) 2022/2065 und der vorliegenden Verordnung zu erreichen, was die Überwachung der Nutzung von AGORA durch AGORA-Administratoren und AGORA-Nutzer, die Kommunikation, Schulungen und Sensibilisierungsinitiativen sowie die Sammlung von Informationen im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Dienste, die in den Anwendungsbereich der Verordnung (EU) 2022/2065 fallen, oder die gegenseitige Amtshilfe einschließt.

(18) Im Hinblick auf eine wirksame Überwachung der Funktionsweise von AGORA und die Berichterstattung darüber sollten die Koordinatoren für digitale Dienste, das Gremium und andere zuständige Behörden, denen Zugang zu AGORA gewährt wird, der Kommission einschlägige Informationen zur Verfügung stellen.

(19) Betroffene Personen sollten über die Verarbeitung ihrer personenbezogenen Daten in AGORA und über ihre diesbezüglichen Rechte informiert werden, insbesondere über das Recht auf Auskunft über die sie betreffenden Daten und das Recht, gemäß der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 unrichtige Daten berichtigen und unrechtmäßigerweise verarbeitete Daten löschen zu lassen.

(20) Jeder AGORA-Akteur sollte als Verantwortlicher für die Datenverarbeitungstätigkeiten, die er im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Dienste durchführt, die in den Anwendungsbereich der Verordnung (EU) 2022/2065 fallen, sicherstellen, dass die betroffenen Personen ihre Rechte im Einklang mit der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 ausüben können. Dies sollte auch die Schaffung eines Verfahrens zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung umfassen.

(21) Die Durchführung dieser Verordnung und die Leistung von AGORA sollten mithilfe des Berichts über die Funktionsweise von AGORA anhand statistischer Daten von AGORA und anderer einschlägiger Daten überwacht werden. Die Kommission sollte diesen Bericht dem Europäischen Parlament, dem Rat und dem Europäischen Datenschutzbeauftragten vorlegen. Die Leistung der Koordinatoren für digitale Dienste, des Gremiums und anderer zuständiger Behörden, denen Zugang zu AGORA gewährt wird, sollte unter anderem anhand der durchschnittlichen Antwortzeiten bewertet werden, um dafür zu sorgen, dass die Reaktionen effizient und angemessen sind. In diesem Bericht sollte auch auf Aspekte in Bezug auf den Schutz personenbezogener Daten in AGORA und die Datensicherheit eingegangen werden.

(22) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert und hat am 4. Januar 2024 eine Stellungnahme abgegeben

- hat folgende Verordnung erlassen:

Kapitel I
Allgemeine Bestimmungen

Artikel 1 Gegenstand und Anwendungsbereich

In dieser Verordnung werden die praktischen und operativen Modalitäten für die Funktionsweise eines zuverlässigen und sicheren Informationsaustauschsystems (im Folgenden "AGORA") für die Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 festgelegt.

Artikel 2 Informationsaustauschsystem

(1) Das Informationsaustauschsystem AGORA wird eingerichtet.

(2) AGORA ist eine über das Internet zugängliche Softwareanwendung und das Instrument, das für den Austausch von Informationen, nötigenfalls auch einschließlich personenbezogener Daten, verwendet wird, der ansonsten auf anderem Wege wie Briefpost oder E-Mail erfolgen würde.

(3) AGORA wird für den Informationsaustausch, einschließlich des Austauschs von Informationen, die personenbezogene Daten enthalten, zwischen den Koordinatoren für digitale Dienste, der Kommission und dem Europäischen Gremium für digitale Dienste (im Folgenden "Gremium") sowie mit anderen zuständigen Behörden, denen Zugang zu AGORA gewährt wird, zur Wahrnehmung der ihnen gemäß der Verordnung (EU) 2022/2065 übertragenen Aufgaben im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß dieser Verordnung verwendet.

Artikel 3 Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten zusätzlich zu den Begriffsbestimmungen in Artikel 3 und Artikel 49 Absatz 1 der Verordnung (EU) 2022/2065, Artikel 4 der Verordnung (EU) 2016/679 und Artikel 3 der Verordnung (EU) 2018/1725 folgende Begriffsbestimmungen:

1. "AGORA" bezeichnet das von der Kommission eingerichtete und unterhaltene Informationsaustauschsystem zur Unterstützung der gesamten Kommunikation gemäß der Verordnung (EU) 2022/2065 zwischen AGORA-Akteuren in Bezug auf die Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065;
2. "AGORA-Akteur" bezeichnet die Koordinatoren für digitale Dienste, die Kommission, das Gremium oder andere zuständige Behörden, denen Zugang zu AGORA gewährt wird oder gewährt werden kann, wenn dies für die Wahrnehmung der ihnen gemäß der Verordnung (EU) 2022/2065 übertragenen Aufgaben erforderlich ist;
3. "AGORA-Nutzer" bezeichnet eine natürliche Person, die unter der Verantwortung eines AGORA-Akteurs arbeitet, dafür in AGORA registriert ist und die dem AGORA-Akteur durch die Verordnung (EU) 2022/2065 übertragenen Aufgaben wahrnimmt;
4. "AGORA-Administrator" bezeichnet einen AGORA-Nutzer, der von einem AGORA-Akteur zur Verwaltung von AGORA für diesen Akteur ernannt wurde.

Kapitel II
Funktionen und Zuständigkeiten in Bezug auf AGORA

Artikel 4 Zuständigkeiten der Kommission

(1) Die Kommission ist in Bezug auf AGORA für die Durchführung der folgenden Aufgaben zuständig:

1. Bereitstellung von AGORA in allen Amtssprachen der Union und Unterhaltung von AGORA,
2. Gewährleistung der Zuverlässigkeit, Sicherheit, Verfügbarkeit, Wartung und Weiterentwicklung der Software und IT-Infrastruktur von AGORA,
3. Bereitstellung voll automatisierter Werkzeuge für die maschinelle Übersetzung von über AGORA ausgetauschten Dokumenten und Nachrichten/Meldungen,
4. Unterstützung anderer AGORA-Akteure bei der Benutzung von AGORA,
5. Registrierung mindestens eines AGORA-Administrators im Namen jedes Koordinators für digitale Dienste und des Gremiums sowie Gewährung des Zugangs zu AGORA,
6. Ernennung mindestens eines AGORA-Administrators,
7. Durchführung von Verarbeitungsvorgängen mit personenbezogenen Daten in AGORA, soweit in der vorliegenden Verordnung vorgesehen, im Hinblick auf die Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065,
8. Prüfung, Überwachung und Erstellung von Berichten, soweit für die Prüfung und Überwachung von AGORA gemäß der Verordnung (EU) 2022/2065 erforderlich,
9. Bereitstellung von Wissen, Schulungen und Unterstützung sowie von technischer Hilfe für AGORA-Administratoren,
10. Überwachung der Leistung aller anderen AGORA-Akteure im Zusammenhang mit dieser Verordnung gemäß Artikel 15.

(2) Um die Kommission bei der Wahrnehmung ihrer in Absatz 1 genannten Aufgaben zu unterstützen, übermitteln die anderen AGORA-Akteure der Kommission Informationen über die von ihnen im Rahmen von AGORA durchgeführten Vorgänge.

Artikel 5 Verarbeitung personenbezogener Daten durch die Kommission

(1) Die Kommission gilt in Bezug auf die Verarbeitung personenbezogener Daten bei der Registrierung von AGORA-Administratoren als Auftragsverarbeiterin im Sinne von Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725.

(2) Die Kommission gilt in Bezug auf die Verarbeitung personenbezogener Daten ihrer eigenen AGORA-Administratoren und AGORA-Nutzer als separate Verantwortliche im Sinne von Artikel 3 Nummer 8 der Verordnung (EU) 2018/1725.

(3) Wenn die Kommission beim Betrieb von AGORA personenbezogene Daten zu Zwecken des Informationsaustauschs, der Informationsanforderung und des Zugangs zu Informationen, für Handlungsaufforderungen und Unterstützungsanfragen verarbeitet, gilt sie für die von ihr durchgeführten Verarbeitungstätigkeiten gegenüber den anderen AGORA-Akteuren als separate Verantwortliche im Sinne von Artikel 3 Nummer 8 der Verordnung (EU) 2018/1725.

(4) Wenn die Kommission beim Betrieb von AGORA personenbezogene Daten im Namen anderer AGORA-Akteure zu Zwecken des Informationsaustauschs, der Informationsanforderung und des Zugangs zu Informationen, für Handlungsaufforderungen und Unterstützungsanfragen verarbeitet, gilt sie als Auftragsverarbeiterin im Sinne von Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725.

(5) Die Zuständigkeiten der Kommission als Auftragsverarbeiterin für Datenverarbeitungstätigkeiten, die solche anderen AGORA-Akteure in AGORA durchführen, werden für die Zwecke dieser Verordnung in Anhang II festgelegt.

Artikel 6 Zuständigkeiten der Koordinatoren für digitale Dienste

(1) Jeder Koordinator für digitale Dienste ernennt für seinen Mitgliedstaat mindestens einen AGORA-Administrator.

(2) Jeder Koordinator für digitale Dienste ist dafür verantwortlich, sicherzustellen, dass in Bezug auf die Wahrnehmung der ihm gemäß der Verordnung (EU) 2022/2065 übertragenen Aufgaben nur befugte AGORA-Nutzer Zugang zu AGORA haben.

(3) Jeder Koordinator für digitale Dienste meldet der Kommission unverzüglich jeden von ihm gemäß Absatz 1 ernannten AGORA-Administrator. Die Kommission teilt diese Informationen den anderen Koordinatoren für digitale Dienste und dem Gremium mit.

(4) Jeder Koordinator für digitale Dienste sorgt dafür, dass die Zuständigkeiten des AGORA-Administrators gemäß dieser Verordnung wahrgenommen werden.

(5) Die Koordinatoren für digitale Dienste gelten in Bezug auf die Verarbeitung personenbezogener Daten bei der Registrierung ihrer AGORA-Nutzer und bei der Gewährung des Zugangs zu AGORA als separate Verantwortliche im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679.

(6) Wenn die Koordinatoren für digitale Dienste beim Betrieb von AGORA personenbezogene Daten zu Zwecken des Informationsaustauschs, der Informationsanforderung und des Zugangs zu Informationen, für die Beantwortung von Auskunftsersuchen, für Meldungen, Handlungsaufforderungen und Unterstützungsanfragen verarbeiten, gelten sie für die von ihnen durchgeführten Verarbeitungstätigkeiten als separate Verantwortliche im Sinne der Verordnung (EU) 2016/679.

(7) Wenn andere von den Mitgliedstaaten gemäß Artikel 49 Absatz 1 der Verordnung (EU) 2022/2065 benannte zuständige Behörden, bei denen es sich nicht um den Koordinator für digitale Dienste handelt, im Betrieb von AGORA personenbezogene Daten verarbeiten, gelten diese Behörden als separate Verantwortliche im Sinne der Verordnung (EU) 2016/679.

Artikel 7 Zuständigkeiten des Gremiums

(1) Das Gremium ernennt einen AGORA-Administrator. Der AGORA-Administrator ist Teil der administrativen und analytischen Unterstützung, die gemäß Artikel 62 Absatz 4 der Verordnung (EU) 2022/2065 für die Tätigkeiten des Gremiums geleistet wird.

(2) Das Gremium ist dafür verantwortlich, dass nur befugte AGORA-Nutzer Zugang zu AGORA haben.

(3) Das Gremium teilt der Kommission unverzüglich die Identität seines gemäß Absatz 1 ernannten AGORA-Administrators und die Aufgaben mit, für die dieser gemäß Artikel 8 der vorliegenden Verordnung zuständig ist. Die Kommission stellt diese Informationen den Koordinatoren für digitale Dienste zur Verfügung.

Artikel 8 Zuständigkeiten der AGORA-Administratoren

Die AGORA-Administratoren sind für Folgendes zuständig:

1. Registrierung von AGORA-Nutzern sowie Gewährung und Entzug der Zugangsrechte für AGORA,
2. Funktion als Hauptansprechpartner der Kommission in Fragen, die AGORA betreffen, einschließlich der Bereitstellung von Informationen zu Aspekten des Schutzes personenbezogener Daten im Einklang mit dieser Verordnung, der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725,
3. Bereitstellung von Wissen, Schulungen und Unterstützung sowie von technischer Hilfe und eines Helpdesks für die von ihnen registrierten AGORA-Nutzer,
4. Gewährleistung effizienter und angemessener Reaktionen seitens der AGORA-Akteure.

Artikel 9 Zugangsrechte der AGORA-Akteure

(1) Die AGORA-Akteure erteilen und entziehen den AGORA-Administratoren, für die sie zuständig sind, die Zugangsrechte.

(2) Nur befugte AGORA-Administratoren und befugte AGORA-Nutzer dürfen Zugang zu AGORA haben.

(3) Die AGORA-Akteure treffen geeignete Vorkehrungen, damit AGORA-Administratoren und AGORA-Nutzer nur dann auf die in AGORA verarbeiteten personenbezogenen Daten zugreifen dürfen, wenn dies für die Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 unbedingt erforderlich ist.

(4) Wenn ein Verfahren im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 auch die Verarbeitung personenbezogener Daten umfasst, dürfen nur die an diesem Verfahren beteiligten AGORA-Administratoren und AGORA-Nutzer Zugang zu diesen personenbezogenen Daten haben.

Artikel 10 Vertraulichkeit

(1) Alle Mitgliedstaaten und die Kommission wenden ihre eigenen Vorschriften zur Wahrung des Berufsgeheimnisses oder vergleichbarer Vertraulichkeitspflichten auf ihre AGORA-Akteure und AGORA-Nutzer im Einklang mit nationalem Recht bzw. dem Unionsrecht an.

(2) Jeder AGORA-Akteur stellt sicher, dass die unter seiner Verantwortung tätigen AGORA-Administratoren und AGORA-Nutzer den Ersuchen anderer AGORA-Akteure um vertrauliche Behandlung von über AGORA ausgetauschten Informationen nachkommen.

Kapitel III
Verarbeitung personenbezogener Daten und Sichereit

Artikel 11 Verarbeitung personenbezogener Daten in AGORA

(1) Die Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten in AGORA darf nur soweit sie erforderlich und verhältnismäßig ist und nur zu folgenden Zwecken erfolgen:

1. Unterstützung der Kommunikation zwischen AGORA-Akteuren im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065,
2. Fallbearbeitung durch AGORA-Akteure bei der Ausübung ihrer eigenen Tätigkeiten im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065,
3. Durchführung der geschäftlichen und technischen Umwandlung der in dieser Verordnung genannten Daten, sofern dies erforderlich ist, um den in den Buchstaben a und b genannten Informationsaustausch zu ermöglichen.

(2) Die Verarbeitung personenbezogener Daten darf in AGORA nur in Bezug auf die folgenden Kategorien betroffener Personen erfolgen:

1. natürliche Personen, deren personenbezogene Angaben in Unterlagen enthalten sind, die im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 erlangt wurden,
2. AGORA-Administratoren und AGORA-Nutzer, denen Zugang zu AGORA gewährt wird.

(3) Die Verarbeitung personenbezogener Daten darf in AGORA nur in Bezug auf die folgenden Kategorien personenbezogener Daten erfolgen:

1. Identifizierungsdaten, Kontaktdaten, Daten zur Beteiligung an dem betreffenden Fall, fallbezogene Daten und sonstige Informationen, die für die Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 als notwendig erachtet werden,
2. Name, Anschrift, Kontaktangaben, Telefonnummer und Benutzerkennung der AGORA-Administratoren und AGORA-Nutzer gemäß Absatz 2 Buchstabe b.

(4) AGORA speichert die in Artikel 11 Absatz 3 der vorliegenden Verordnung aufgeführten Kategorien personenbezogener Daten und die Protokolle mit Informationen über die Datenflüsse und Bewegungen der im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 ausgetauschten Daten.

(5) Die in Absatz 2 genannte Datenspeicherung erfolgt mithilfe von IT-Infrastrukturen, die sich im Europäischen Wirtschaftsraum befinden.

(6) Jeder AGORA-Akteur sorgt dafür, dass betroffene Personen ihre Rechte im Einklang mit der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 ausüben können, und ist für die Einhaltung dieser Verordnungen bei den in seinem Namen durchgeführten Verarbeitungstätigkeiten verantwortlich.

(7) Die nationalen Aufsichtsbehörden und der Europäische Datenschutzbeauftragte gewährleisten im Rahmen ihrer jeweiligen Befugnisse eine koordinierte Überwachung des AGORA-Systems und dessen Nutzung durch AGORA-Administratoren und AGORA-Nutzer.

Artikel 12 Gemeinsame Verantwortlichkeit in AGORA

(1) Die Koordinatoren für digitale Dienste sind gemeinsam Verantwortliche im Sinne des Artikels 26 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten in AGORA bezüglich der Tätigkeiten des Gremiums im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065.

(2) Wenn gemeinsame Untersuchungen gemäß Artikel 60 der Verordnung (EU) 2022/2065 im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 durchgeführt werden, gelten die betreffenden Koordinatoren für digitale Dienste als gemeinsam Verantwortliche im Sinne des Artikels 26 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten in AGORA im Zusammenhang mit einer bestimmten gemeinsamen Untersuchung.

(3) Für die Zwecke der Absätze 1 und 2 werden die Verpflichtungen gemäß Anhang I zwischen den gemeinsam Verantwortlichen aufgeteilt.

(4) Die Kommission gilt als Auftragsverarbeiterin im Sinne des Artikels 3 Nummer 12 der Verordnung (EU) 2018/1725 bezüglich der Verarbeitung personenbezogener Daten im Namen der Koordinatoren für digitale Dienste für die Zwecke der Tätigkeiten des Gremiums und für gemeinsame Untersuchungen gemäß Artikel 60 der Verordnung (EU) 2022/2065, die im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065 durchgeführt werden.

Artikel 13 Sicherheit

(1) Die Kommission trifft die erforderlichen, dem Stand der Technik entsprechenden Maßnahmen, um die Sicherheit der in AGORA verarbeiteten personenbezogenen Daten zu gewährleisten, einschließlich einer angemessenen Datenzugangskontrolle und eines Sicherheitsplans, der regelmäßig zu aktualisieren ist.

(2) Die Kommission trifft die erforderlichen, dem Stand der Technik entsprechenden Maßnahmen im Hinblick auf Sicherheitsvorfälle, ergreift Abhilfemaßnahmen und stellt sicher, dass überprüft werden kann, welche personenbezogenen Daten wann, von wem und zu welchem Zweck in AGORA verarbeitet wurden.

Kapitel IV
Schlussbestimmungen

Artikel 14 Übersetzung

(1) Die Kommission stellt AGORA in allen Amtssprachen der Union zur Verfügung und bietet den AGORA-Nutzern automatisierte maschinelle Übersetzungswerkzeuge für die Übersetzung von in AGORA ausgetauschten Dokumenten und Nachrichten/Meldungen an.

(2) Ein Koordinator für digitale Dienste oder eine andere zuständige Behörde, der Zugang zu AGORA gewährt wird, kann im Zusammenhang mit der Wahrnehmung der ihm/ihr gemäß der Verordnung (EU) 2022/2065 übertragenen Aufgaben alle in AGORA erhaltenen Informationen, Dokumente, Erkenntnisse, Feststellungen, Erklärungen oder beglaubigten Kopien auf der gleichen Grundlage vorlegen wie ähnliche Informationen, die er/sie im eigenen Land erhalten hat, und zwar zu Zwecken, die mit den Zwecken vereinbar sind, für die die Daten ursprünglich erhoben wurden, und im Einklang mit dem einschlägigen nationalen Recht und EU-Recht.

Artikel 15 Überwachung und Berichterstattung

(1) Die Kommission überwacht regelmäßig die Funktionsweise von AGORA und bewertet dessen Leistung regelmäßig.

(2) Die Kommission legt dem Europäischen Parlament, dem Rat und dem Europäischen Datenschutzbeauftragten bis zum 17. Februar 2027 und danach alle drei Jahre einen Bericht über die Durchführung dieser Verordnung vor. Der Bericht enthält Informationen über die gemäß Absatz 1 durchgeführte Überwachung und Bewertung sowie über die von den AGORA-Akteuren in Verbindung mit AGORA zur Sicherstellung eines effizienten Informationsaustauschs und angemessener Reaktionen erbrachten Leistungen. In dem Bericht wird auch auf Durchführungsaspekte in Bezug auf den Schutz personenbezogener Daten in AGORA und die Datensicherheit eingegangen.

(3) Für die Zwecke der Erstellung des in Absatz 2 genannten Berichts übermitteln die Koordinatoren für digitale Dienste, das Gremium und andere zuständige Behörden, denen Zugang gewährt wird, soweit dies zur Wahrnehmung der ihnen gemäß der Verordnung (EU) 2022/2065 übertragenen Aufgaben erforderlich ist, der Kommission jährlich alle für die Durchführung dieser Verordnung relevanten Informationen in Form von Berichten, auch über die Anwendung der in der Verordnung festgelegten Anforderungen an den Datenschutz und die Datensicherheit.

Artikel 16 Kosten

(1) Die Kosten für Einrichtung, Wartung und Betrieb von AGORA werden durch die jährlichen Aufsichtsgebühren gedeckt, die von der Kommission gemäß Artikel 43 Absatz 2 der Verordnung (EU) 2022/2065 und gemäß der Delegierten Verordnung (EU) 2023/1127 der Kommission ⁴ erhoben werden.

(2) Die Kosten des AGORA-Betriebs auf der Ebene der Mitgliedstaaten, einschließlich der Personalkosten für Schulungen, Bekanntmachung, technische Hilfe und Helpdesk-Tätigkeiten, sowie der Verwaltung von AGORA auf nationaler Ebene und etwaiger Anpassungen nationaler Netze und Informationssysteme werden von dem Mitgliedstaat getragen, dem sie entstehen.

Artikel 17 Effektive Durchführung

Die Mitgliedstaaten treffen alle erforderlichen Maßnahmen, um die effektive Durchführung dieser Verordnung durch ihre AGORA-Akteure sicherzustellen.

Artikel 18 Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 15. Februar 2024

.

Abschnitt 1

Unterabschnitt 1
Anwendungsbereich der Regelung für die gemeinsame Verantwortlichkeit

1. Die folgende Regelung für die gemeinsame Verantwortlichkeit gilt für die betreffenden Koordinatoren für digitale Dienste bei der Durchführung gemeinsamer Untersuchungen gemäß Artikel 60 der Verordnung (EU) 2022/2065.
2. Die folgende Regelung für die gemeinsame Verantwortlichkeit gilt für die Koordinatoren für digitale Dienste als Mitglieder des Gremiums bei den Tätigkeiten des Gremiums zur Verarbeitung personenbezogener Daten gemäß der Verordnung (EU) 2022/2065, die im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Dienste, die in den Anwendungsbereich der Verordnung (EU) 2022/2065 fallen, durchgeführt werden.

Unterabschnitt 2
Verteilung der Verantwortlichkeiten

1. Die gemeinsam Verantwortlichen verarbeiten personenbezogene Daten in AGORA.
2. Die Koordinatoren für digitale Dienste bleiben die alleinigen Verantwortlichen für die Erhebung, Nutzung, Offenlegung und sonstige Verarbeitung personenbezogener Daten außerhalb von AGORA. Die Koordinatoren für digitale Dienste bleiben auch die alleinigen Verantwortlichen für die Tätigkeiten zur Verarbeitung personenbezogener Daten, die sie in AGORA für die Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Dienste, die in den Anwendungsbereich der Verordnung (EU) 2022/2065 fallen, durchführen.
3. Jeder gemeinsam Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in AGORA im Einklang mit den Artikeln 5, 24 und 26 der Verordnung (EU) 2016/679 erfolgt.
4. Jeder gemeinsam Verantwortliche richtet eine Anlaufstelle mit einer Funktions-Mailbox für die Kommunikation zwischen den gemeinsam Verantwortlichen sowie zwischen den gemeinsam Verantwortlichen und der Auftragsverarbeiterin ein.
5. Jeder gemeinsam Verantwortliche leistet den anderen gemeinsam Verantwortlichen auf Anfrage unter Einhaltung aller geltenden Anforderungen der Verordnung (EU) 2016/679 und anderer geltender Datenschutzvorschriften, einschließlich der Verpflichtungen gegenüber seiner jeweiligen eigenen Aufsichtsbehörde rasche und effiziente Unterstützung bei der Durchführung dieser Regelung.
6. Die gemeinsam Verantwortlichen legen die Arbeitsmodalitäten für die Verarbeitung personenbezogener Daten in AGORA fest und erteilten der Kommission als Auftragsverarbeiterin untereinander abgestimmte Anweisungen.
7. Anweisungen für die Auftragsverarbeiterin werden von den Anlaufstellen der gemeinsam Verantwortlichen im Einvernehmen mit den anderen gemeinsam Verantwortlichen übermittelt. Der gemeinsam Verantwortliche, der die Anweisung erteilt, übermittelt sie der Auftragsverarbeiterin schriftlich und informiert alle anderen gemeinsam Verantwortlichen darüber. Ist die betreffende Angelegenheit so zeitkritisch, dass eine Sitzung der gemeinsam Verantwortlichen nicht mehr einberufen werden kann, so kann dennoch eine Anweisung erteilt werden, die allerdings von den gemeinsam Verantwortlichen zurückgenommen werden kann. Diese Anweisung wird schriftlich erteilt, und alle anderen gemeinsam Verantwortlichen werden zum Zeitpunkt der Erteilung der Anweisung darüber informiert.
8. Die Modalitäten für die Zusammenarbeit zwischen den gemeinsam Verantwortlichen lassen die individuelle Zuständigkeit eines gemeinsam Verantwortlichen, seine zuständige Aufsichtsbehörde gemäß den Artikeln 24 und 33 der Verordnung (EU) 2016/679 zu unterrichten, unberührt. Für diese Unterrichtung ist keine Zustimmung eines anderen gemeinsam Verantwortlichen erforderlich.
9. Die Modalitäten für die Zusammenarbeit zwischen den gemeinsam Verantwortlichen lassen die Zusammenarbeit der gemeinsam Verantwortlichen mit ihren jeweiligen Aufsichtsbehörden im Rahmen der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 unberührt.
10. Auf die ausgetauschten personenbezogenen Daten dürfen nur die von einem gemeinsam Verantwortlichen ermächtigten Personen zugreifen.
11. Jeder gemeinsam Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Die gemeinsame Verantwortlichkeit ist in dem Verzeichnis anzugeben.

Unterabschnitt 3
Zuständigkeiten und Funktionen bei der Bearbeitung von Anfragen/Anträgen und der Unterrichtung betroffener Personen

1. Jeder Verantwortliche stellt natürlichen Personen, deren Daten für Zwecke gemeinsamer Untersuchungen und Tätigkeiten des Gremiums verarbeitet werden, die im Zusammenhang mit der Aufsicht, Untersuchung, Durchsetzung und Überwachung in Bezug auf Dienste, die in den Anwendungsbereich der Verordnung (EU) 2022/2065 fallen, durchgeführt werden, Informationen gemäß Artikel 14 der Verordnung (EU) 2016/679 zur Verfügung, es sei denn, dies erweist sich als unmöglich oder wäre mit einem unverhältnismäßigen Aufwand verbunden.
2. Jeder Verantwortliche dient als Anlaufstelle für natürliche Personen, deren personenbezogene Daten er verarbeitet hat, und bearbeitet die von betroffenen Personen oder ihren Vertretern gestellten Anfragen/Anträge im Zusammenhang mit der Ausübung ihrer Rechte im Einklang mit der Verordnung (EU) 2016/679. Erhält ein gemeinsam Verantwortlicher eine Anfrage/einen Antrag einer betroffenen Person in Bezug auf eine Datenverarbeitung eines anderen gemeinsam Verantwortlichen, teilt er der betroffenen Person die Identität und die Kontaktdaten dieses zuständigen gemeinsam Verantwortlichen mit. Auf Anfrage eines anderen gemeinsam Verantwortlichen unterstützen sich die gemeinsam Verantwortlichen gegenseitig bei der Bearbeitung von Anfragen/Anträgen betroffener Personen und antworten einander unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang eines Amtshilfeersuchens.
3. Jeder Verantwortliche stellt den betroffenen Personen den Inhalt dieses Anhangs zur Verfügung.

Abschnitt 2
Management von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten

1. Die gemeinsam Verantwortlichen unterstützen einander bei der Ermittlung und Behandlung von Sicherheitsvorfällen, einschließlich Verletzungen des Schutzes personenbezogener Daten, im Zusammenhang mit der Verarbeitung in AGORA.
2. Insbesondere teilen die gemeinsam Verantwortlichen einander Folgendes mit:
   1. potenzielle oder tatsächliche Risiken für die Verfügbarkeit, Vertraulichkeit und/oder Integrität der personenbezogenen Daten, die in AGORA verarbeitet werden,
   2. jede Verletzung des Schutzes personenbezogener Daten, die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und die Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen sowie alle Maßnahmen, die ergriffen wurden, um gegen die Verletzung des Schutzes personenbezogener Daten vorzugehen und das Risiko für die Rechte und Freiheiten natürlicher Personen zu mindern,
   3. jeden Verstoß gegen die technischen und/oder organisatorischen Schutzvorkehrungen für die Verarbeitungsvorgänge in AGORA.
3. Die gemeinsam Verantwortlichen unterrichten die Kommission, die zuständigen Datenschutzaufsichtsbehörden und, falls erforderlich, die betroffenen Personen über alle Verletzungen des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung in AGORA gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder nach Mitteilung der Kommission.
4. Jeder gemeinsam Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um
   1. die Verfügbarkeit, Integrität und Vertraulichkeit der gemeinsam verarbeiteten personenbezogenen Daten zu gewährleisten und zu schützen,
   2. alle in seinem Besitz befindlichen personenbezogenen Daten vor jeglicher unbefugten oder unrechtmäßigen Form der Verarbeitung, des Verlusts, der Verwendung, der Offenlegung, des Erwerbs oder Zugriffs zu schützen,
   3. zu gewährleisten, dass der Zugriff auf die personenbezogenen Daten nicht an andere Personen als die Empfänger oder Auftragsverarbeiter weitergegeben oder gewährt wird.

Abschnitt 3
Datenschutz-Folgenabschätzung

Benötigt ein Verantwortlicher zur Erfüllung seiner Pflichten gemäß den Artikeln 35 und 36 der Verordnung (EU) 2016/679 Informationen von einem anderen Verantwortlichen oder vom Auftragsverarbeiter, so übermittelt er eine besondere Anfrage an die in Abschnitt 1 Unterabschnitt 2 Nummer 4 genannte Funktions-Mailbox. Der Letztere bemüht sich nach besten Kräften, diese Informationen zur Verfügung zu stellen.

.

1. Die Kommission
   1. sorgt im Namen der Koordinatoren für digitale Dienste, anderer nationaler Behörden und des Gremiums für die Einrichtung und Unterhaltung von AGORA als eine sichere und zuverlässige Kommunikationsinfrastruktur, die den Informationsaustausch für koordinierte Untersuchungen, Kohärenzmechanismen und Tätigkeiten des Gremiums unterstützt, und
   2. verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung der Verantwortlichen und gemeinsam Verantwortlichen, es sei denn, eine Verarbeitung ist nach Unionsrecht oder nationalem Recht erforderlich; in einem solchen Fall teilt die Kommission den Verantwortlichen und gemeinsam Verantwortlichen diese rechtliche Anforderung vor der Durchführung der Verarbeitungstätigkeit mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Zur Erfüllung ihrer Pflichten als Auftragsverarbeiterin für die Koordinatoren für digitale Dienste, andere nationale Behörden und das Gremium kann die Kommission Dritte als Unterauftragsverarbeiter beauftragen. In diesem Fall ermächtigen die Verantwortlichen und die gemeinsam Verantwortlichen die Kommission zur Beauftragung oder nötigenfalls zur Ersetzung von Unterauftragsverarbeitern. Die Kommission informiert die Verantwortlichen und gemeinsam Verantwortlichen über eine solche Beauftragung oder Ersetzung von Unterauftragsverarbeitern, um den Verantwortlichen und gemeinsam Verantwortlichen Gelegenheit zu geben, Einwände gegen solche Änderungen zu erheben. Die Kommission stellt sicher, dass dieselben Datenschutzverpflichtungen, die in dieser Verordnung festgelegt sind, auch für diese Unterauftragsverarbeiter gelten.
3. Die Datenverarbeitung durch die Kommission umfasst Folgendes:
   1. Authentifizierung und Zugangskontrolle in Bezug auf alle AGORA-Administratoren und AGORA-Nutzer;
   2. Erteilung der Genehmigung für AGORA-Administratoren und AGORA-Nutzer, in AGORA enthaltene Aufzeichnungen und Informationen zu erstellen, zu aktualisieren und zu löschen;
   3. Empfang der in Artikel 12 Absatz 3 dieser Verordnung genannten personenbezogenen Daten von den nationalen AGORA-Nutzern und AGORA-Administratoren über eine von ihr bereitgestellte Anwendungsprogrammierschnittstelle, die es nationalen AGORA-Nutzern und AGORA-Administratoren ermöglicht, die betreffenden Daten hochzuladen;
   4. Speicherung personenbezogener Daten in AGORA;
   5. Bereitstellung personenbezogener Daten für den Zugang und das Herunterladen durch AGORA-Administratoren und AGORA-Nutzer sowie Durchführung sonstiger erforderlicher Datenverarbeitungstätigkeiten;
   6. Löschung personenbezogener Daten an ihrem Ablaufdatum oder auf Anweisung des Verantwortlichen, der sie übermittelt hatte;
   7. Löschung aller verbleibenden personenbezogenen Daten nach Beendigung der Leistung, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt eine Speicherung der personenbezogenen Daten vor.
4. Die Kommission trifft alle organisatorischen, physischen und logischen Sicherheitsmaßnahmen auf der Grundlage des aktuellen Stands der Technik, um das Funktionieren von AGORA zu gewährleisten. Zu diesem Zweck muss die Kommission
   1. eine für das Sicherheitsmanagement von AGORA zuständige Stelle benennen, den gemeinsam Verantwortlichen deren Kontaktdaten mitteilen und deren Verfügbarkeit zur Reaktion auf Sicherheitsbedrohungen gewährleisten;
   2. die Verantwortung für die Sicherheit von AGORA übernehmen, einschließlich regelmäßiger Prüfungen, Beurteilungen und Bewertungen der Sicherheitsmaßnahmen;
   3. dafür Sorge tragen, dass AGORA-Administratoren und AGORA-Nutzer, denen Zugang zu AGORA gewährt wird, einer vertraglichen, beruflichen oder gesetzlichen Geheimhaltungspflicht unterliegen.
5. Die Kommission trifft alle erforderlichen Sicherheitsmaßnahmen, damit der reibungslose Betrieb von AGORA nicht beeinträchtigt wird. Dies umfasst
   1. Risikobewertungsverfahren, um potenzielle Bedrohungen des Systems zu ermitteln und abzuschätzen;
   2. ein Audit- und Überprüfungsverfahren
      • zur Überprüfung der Übereinstimmung der umgesetzten Sicherheitsmaßnahmen mit den geltenden Sicherheitsvorgaben,
      • zur regelmäßigen Kontrolle der Integrität der AGORA-Dateien, der Sicherheitsparameter und der erteilten Genehmigungen,
      • zur Feststellung von Sicherheitsverletzungen und von unbefugtem Eindringen in AGORA,
      • zur Umsetzung von Änderungen zur Behebung bestehender Sicherheitslücken in AGORA,
      • zur Festlegung der Bedingungen, unter denen - auch auf Anfrage der Verantwortlichen - unabhängige Audits einschließlich Inspektionen sowie Überprüfungen von Sicherheitsmaßnahmen im Einklang mit den Bedingungen des Protokolls (Nr. 7) über die Vorrechte und Befreiungen der Europäischen Union, das dem Vertrag über die Arbeitsweise der Europäischen Union beigefügt ist, durchgeführt werden können und die Mitwirkung an diesen Audits und Überprüfungen zulässig ist;
   3. eine Änderung des Kontrollverfahrens, um die Auswirkungen einer Änderung vor ihrer Umsetzung zu dokumentieren und abzuschätzen und um die Verantwortlichen und gemeinsam Verantwortlichen über alle Änderungen auf dem Laufenden zu halten, die sich auf die Kommunikation mit AGORA und/oder die Sicherheit von AGORA auswirken können;
   4. die Festlegung eines Wartungs- und Reparaturverfahrens mit Regeln und Bedingungen für die Wartung und/oder Reparatur von AGORA;
   5. die Festlegung eines Verfahrens in Bezug auf Sicherheitsvorfälle zur Bestimmung des Melde- und Eskalationsprogramms, zur unverzüglichen Unterrichtung der Verantwortlichen über jegliche Verletzung des Schutzes personenbezogener Daten, unter anderem, damit diese die nationalen Datenschutzaufsichtsbehörden informieren können, sowie zur Festlegung eines Disziplinarverfahrens, um gegen Sicherheitsverletzungen in AGORA vorzugehen.
6. Die Kommission ergreift physische und/oder logische Sicherheitsmaßnahmen auf der Grundlage des aktuellen Stands der Technik für die Einrichtungen, in denen AGORA untergebracht ist, und für die Kontrollen der Daten und der Sicherheit des Zugriffs darauf. Zu diesem Zweck muss die Kommission
   1. die physische Sicherheit durchsetzen, um abgegrenzte Sicherheitsbereiche einzurichten und das Erkennen von Verstößen in AGORA zu ermöglichen,
   2. den Zugang zu den Einrichtungen von AGORA kontrollieren und ein Besucherregister für Rückverfolgungszwecke führen,
   3. sicherstellen, dass externe Personen, denen Zugang zu den Räumlichkeiten gewährt wird, von entsprechend bevollmächtigten Mitarbeitern begleitet werden,
   4. sicherstellen, dass Ausrüstungen nicht ohne Vorabgenehmigung durch die benannten zuständigen Stellen hinzugefügt, ersetzt oder entfernt werden können,
   5. den Zugang von und zu AGORA kontrollieren,
   6. sicherstellen, dass AGORA-Administratoren und AGORA-Nutzer, die auf AGORA zugreifen, identifiziert und authentifiziert werden,
   7. die Genehmigungsrechte für den Zugang zu AGORA überprüfen, falls eine Sicherheitsverletzung in Bezug auf AGORA eintritt,
   8. die Integrität der über AGORA übermittelten Informationen wahren,
   9. technische und organisatorische Sicherheitsmaßnahmen umsetzen, um unbefugten Zugriff auf personenbezogene Daten in AGORA zu verhindern,
   10. erforderlichenfalls Maßnahmen zur Sperrung des unbefugten Zugangs zu AGORA umsetzen (d. h. Sperrung eines Standorts/einer IP-Adresse).
7. Die Kommission
   1. ergreift Maßnahmen zum Schutz ihrer Netzdomäne, einschließlich der Trennung von Anschlüssen, im Falle einer erheblichen Abweichung von den Qualitäts- und Sicherheitsgrundsätzen und -konzepten;
   2. unterhält einen Risikomanagementplan in Bezug auf ihren Zuständigkeitsbereich;
   3. überwacht in Echtzeit die Leistung aller Dienstkomponenten von AGORA, erstellt regelmäßige Statistiken und führt Aufzeichnungen;
   4. leistet AGORA-Administratoren und AGORA-Nutzern Unterstützung für AGORA in englischer Sprache;
   5. unterstützt die Verantwortlichen und gemeinsam Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung ihrer Verpflichtung zur Bearbeitung von Anfragen/Anträgen in Bezug auf die Ausübung der Rechte der betroffenen Person gemäß Kapitel III der Verordnung (EU) 2016/679;
   6. unterstützt die Verantwortlichen und gemeinsam Verantwortlichen durch Bereitstellung von Informationen über AGORA bei der Erfüllung der Verpflichtungen gemäß den Artikeln 32, 33, 34, 35 und 36 der Verordnung (EU) 2016/679;
   7. stellt sicher, dass die in AGORA verarbeiteten Daten für Personen, die nicht zugriffsbefugt sind, unverständlich sind;
   8. trifft alle zweckdienlichen Maßnahmen, um den unbefugten Zugriff auf die über AGORA übermittelten personenbezogenen Daten zu verhindern;
   9. trifft Maßnahmen, um die Kommunikation zwischen den Verantwortlichen und gemeinsam Verantwortlichen zu erleichtern;
   10. führt gemäß Artikel 31 Absatz 2 der Verordnung (EU) 2018/1725 ein Verzeichnis aller im Auftrag der Verantwortlichen und gemeinsam Verantwortlichen durchgeführten Verarbeitungsvorgänge.

ENDE