Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2019, Verwaltung/Datenschutz - EU Bund

Der Verwaltungsrat der Europäischen Chemikalienagentur (im Folgenden "die Agentur") -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG ¹, insbesondere Artikel 25,

gestützt auf die Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates vom 18. Dezember 2006 zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe (REACH), zur Schaffung einer Europäischen Chemikalienagentur, zur Änderung der Richtlinie 1999/45/EG und zur Aufhebung der Verordnung (EWG) Nr. 793/93 des Rates, der Verordnung (EG) Nr. 1488/94 der Kommission, der Richtlinie 76/769/EWG des Rates sowie der Richtlinien 91/155/EWG, 93/67/EWG, 93/105/EG und 2000/21/EG der Kommission ², insbesondere Artikel 78,

gestützt auf die Stellungnahme des Europäischen Datenschutzbeauftragten (EDSB) vom 14. Mai 2019 und auf die Leitlinien des Europäischen Datenschutzbeauftragten zu Artikel 25 der neuen Verordnung und den internen Vorschriften,

nach Anhörung der Personalvertretung,

in Erwägung nachstehender Gründe:

(1) Die Agentur übt ihre Tätigkeiten gemäß der Verordnung (EG) Nr. 1907/2006 aus.

(2) Gemäß Artikel 25 Absatz 1 der Verordnung (EU) 2018/1725 sollten Beschränkungen der Anwendung der Artikel 14 bis 22, 35 und 36 sowie von Artikel 4 dieser Verordnung insofern, als ihre Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, auf von der Agentur zu erlassenden internen Vorschriften beruhen, wenn diese nicht auf Rechtsakten basieren, die auf der Grundlage der Verträge erlassen wurden.

(3) Diese internen Vorschriften, einschließlich ihrer Bestimmungen über die Bewertung der Notwendigkeit und Verhältnismäßigkeit einer Beschränkung, sollten nicht gelten, wenn ein auf der Grundlage der Verträge erlassener Rechtsakt eine Beschränkung der Rechte betroffener Personen vorsieht.

(4) Wenn die ECHA ihre Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 wahrnimmt, prüft sie, ob eine der in dieser Verordnung vorgesehenen Ausnahmen anwendbar ist.

(5) Im Rahmen ihrer administrativen Tätigkeit kann die Agentur Verwaltungsuntersuchungen, Disziplinarverfahren und erste Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, durchführen, Meldungen von Missständen bearbeiten, (formelle und informelle) Verfahren zur Prävention von Belästigung bearbeiten, interne und externe Beschwerden bearbeiten, interne Prüfungen durchführen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 und interne (IT-)Sicherheitsüberprüfungen durchführen.

(6) Die Agentur verarbeitet mehrere Kategorien personenbezogener Daten, einschließlich harter Daten ("objektive" Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weicher Daten ("subjektive" fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(7) Die Agentur, vertreten durch ihren Direktor, ist der für die Verarbeitung Verantwortliche, unabhängig von weiteren Befugnisübertragungen der Aufgabe des für die Verarbeitung Verantwortlichen innerhalb der Agentur, um den operativen Verantwortlichkeiten für bestimmte Vorgänge der Verarbeitung personenbezogener Daten Rechnung zu tragen.

(8) Die personenbezogenen Daten werden sicher in einem elektronischen Umfeld oder in Papierform aufbewahrt, um den unrechtmäßigen Zugang oder die Übermittlung von Daten an Personen zu verhindern, die keine Kenntnis davon haben müssen. Die verarbeiteten personenbezogenen Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich und angemessen ist, während des in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen der Agentur angegebenen Zeitraums.

(9) Die internen Vorschriften sollten für sämtliche Verarbeitungsvorgänge gelten, die von der Agentur zur Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, ersten Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, Meldungen von Missständen, (formellen und informellen) Verfahren zur Bearbeitung von Fällen von Belästigung, zur Bearbeitung von internen und externen Beschwerden, zur Durchführung von internen Prüfungen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 und intern oder extern abgewickelten (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen ausgeführt werden.

(10) Sie sollten für Verarbeitungsvorgänge gelten, die vor der Einleitung der vorstehend genannten Verfahren, während dieser Verfahren und bei der Überwachung der aufgrund des Ergebnisses dieser Verfahren getroffenen Folgemaßnahmen vorgenommen werden. Dies sollte auch die von der Agentur für nationale Behörden und internationale Organisationen außerhalb ihrer administrativen Untersuchungen geleistete Unterstützung und Zusammenarbeit umfassen.

(11) Wenn diese internen Vorschriften Anwendung finden, legt die Agentur die Gründe dafür dar und erläutert, warum jegliche Beschränkung in einer demokratischen Gesellschaft eine unbedingt erforderliche und verhältnismäßige Maßnahme darstellt und den Wesensgehalt der Grundrechte und -freiheiten achtet.

(12) In diesem Rahmen achtet die Agentur in größtmöglichem Umfang die Grundrechte der betroffenen Personen bei der Durchführung der vorstehend genannten Verfahren, insbesondere jene im Zusammenhang mit dem Recht auf Unterrichtung, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen oder Vertraulichkeit der Kommunikation, wie in der Verordnung (EU) 2018/1725 festgelegt.

(13) Die Agentur kann jedoch verpflichtet sein, die Unterrichtung betroffener Personen und Rechte anderer betroffener Personen zu beschränken, um insbesondere ihre eigenen Untersuchungen, die Untersuchungen und Verfahren anderer Behörden sowie die Rechte und Freiheiten anderer Personen im Zusammenhang mit ihren Untersuchungen oder anderen Verfahren zu schützen.

(14) Die Agentur kann daher die Unterrichtung zum Zweck des Schutzes der Untersuchung sowie der Rechte und Freiheiten anderer betroffener Personen beschränken.

(15) Die Agentur sollte regelmäßig überprüfen, dass die Voraussetzungen, welche die Beschränkung rechtfertigen, erfüllt sind, und die Beschränkung aufheben, soweit diese nicht länger gegeben sind.

(16) Der für die Verarbeitung Verantwortliche sollte den Datenschutzbeauftragten zum Zeitpunkt einer Zurückstellung und während der Überprüfungen unterrichten

- hat folgenden Beschluss erlassen:

Artikel 1 Gegenstand und Anwendungsbereich

(1) Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die Agentur im Rahmen ihrer unter Absatz 2 aufgeführten Verfahren die Anwendung der Rechte beschränken darf, die in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 nach Artikel 25 der Verordnung (EU) 2018/1725 vorgesehen sind.

(2) Im Rahmen der administrativen Tätigkeit der Agentur gilt dieser Beschluss für Vorgänge zur Verarbeitung personenbezogener Daten durch die Einrichtung zum Zweck der Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, ersten Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, Meldungen von Missständen, (formellen und informellen) Verfahren zur Prävention von Belästigung, der Bearbeitung von internen und externen Beschwerden, der Durchführung von internen Prüfungen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 und intern oder extern abgewickelten (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(3) Die entsprechenden Kategorien personenbezogener Daten umfassen harte Daten ("objektive" Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten ("subjektive" fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(4) Wenn die Agentur ihre Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 wahrnimmt, prüft sie, ob eine der in dieser Verordnung vorgesehenen Ausnahmen anwendbar ist.

(5) Vorbehaltlich der in diesem Beschluss genannten Bedingungen können die Beschränkungen für die folgenden Rechte Anwendung finden: Recht auf Unterrichtung der betroffenen Personen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen oder auf Vertraulichkeit der Kommunikation.

Artikel 2 Verantwortlicher und Schutzmaßnahmen

(1) Verletzungen des Schutzes personenbezogener Daten, Datenverluste oder eine unberechtigte Weitergabe werden durch die folgenden Schutzmaßnahmen verhindert:

1. Dokumente in Papierform werden in gesicherten Schränken aufbewahrt und ausschließlich befugtem Personal zugänglich gemacht.
2. Alle elektronischen Daten werden in einer sicheren IT-Anwendung gemäß den Sicherheitsstandards der Agentur sowie in speziellen elektronischen Ordnern gespeichert, die ausschließlich befugtem Personal zugänglich sind. Angemessene Zugangsrechte werden individuell gewährt.
3. Die Datenbanken werden in einem System mit einmaliger Anmeldung mittels Kennwort geschützt und werden automatisch mit der Benutzerkennung und dem Kennwort verbunden. Die Ersetzung von Benutzern ist streng untersagt. Elektronische Verzeichnisse werden gesichert, um die Vertraulichkeit der enthaltenen Daten und die Privatsphäre der betroffenen Person zu schützen.
4. Alle Personen, die Zugang zu den Daten haben, sind zur Vertraulichkeit verpflichtet.

(2) Der für die Verarbeitung Verantwortliche ist die Agentur, vertreten durch ihren Direktor, der die Funktion des für die Verarbeitung Verantwortlichen übertragen kann. Betroffene Personen werden über den stellvertretenden für die Verarbeitung Verantwortlichen in Form von auf der Website und/oder im Intranet der Agentur veröffentlichten Datenschutzhinweisen oder -aufzeichnungen unterrichtet.

(3) Die Aufbewahrungsfrist der in Artikel 1 Absatz 3 genannten personenbezogenen Daten darf nicht länger als erforderlich sein und muss für die Zwecke, zu denen die Daten verarbeitet werden, angemessen sein. Sie darf keinesfalls länger sein als die in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen angegebene Aufbewahrungsfrist, auf die in Artikel 5 Absatz 1 Bezug genommen wird.

(4) Wenn die Agentur die Anwendung einer Beschränkung in Betracht zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Personen abgewogen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko einer Beeinträchtigung der Wirksamkeit der von der Agentur durchgeführten Untersuchungen oder Verfahren, z.B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten der betroffenen Personen erstrecken sich u. a. in erster Linie auf Risiken im Zusammenhang mit der Reputation, dem Verteidigungsrecht und dem Anspruch auf rechtliches Gehör.

Artikel 3 Beschränkungen

(1) Beschränkungen werden von der Agentur nur zu folgenden Zwecken angewandt:

1. zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
2. zur inneren Sicherheit der Organe und Einrichtungen der Union, einschließlich ihrer elektronischen Kommunikationsnetze;
3. zu einer Kontroll-, Überwachungs- und Ordnungsfunktion, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter Buchstabe a genannten Fällen verbunden sind;
4. zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen.

(2) Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die Agentur unter den folgenden Umständen Beschränkungen für personenbezogene Daten anwenden, die mit den Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, den zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden:

1. wenn die Ausübung dieser Rechte und Pflichten durch die Dienststellen der Kommission oder andere Organe, Einrichtungen und sonstige Stellen der Union auf der Grundlage anderer in Artikel 25 der Verordnung (EU) 2018/1725 vorgesehener Rechtsakte oder gemäß Kapitel IX der genannten Verordnung oder gemäß den Gründungsakten anderer Organe, Einrichtungen und sonstiger Stellen der Union beschränkt werden könnte;
2. wenn die Ausübung dieser Rechte und Pflichten von den zuständigen Behörden der Mitgliedstaaten auf der Grundlage von in Artikel 23 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ³ genannten Rechtsakten oder im Rahmen nationaler Maßnahmen zur Umsetzung von Artikel 13 Absatz 3, Artikel 15 Absatz 3 oder Artikel 16 Absatz 3 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates ⁴ beschränkt werden könnte;
3. wenn die Ausübung dieser Rechte und Pflichten die Zusammenarbeit der Agentur mit Drittländern oder internationalen Organisationen bei der Wahrnehmung ihrer Aufgaben beeinträchtigen könnte.

Vor der Anwendung von Beschränkungen unter den in Unterabsatz 1 Buchstabe a und b genannten Umständen konsultiert die Agentur die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, der Agentur ist klar, dass die Anwendung einer Beschränkung durch einen der in diesen Buchstaben genannten Rechtsakte vorgesehen ist.

(3) Jede Beschränkung muss eine notwendige und verhältnismäßige Maßnahme darstellen und die Risiken für die Rechte und Freiheiten betroffener Personen und den Wesensgehalt der Grundrechte und -freiheiten in einer demokratischen Gesellschaft achten.

(4) Wenn die Anwendung einer Beschränkung in Betracht gezogen wird, wird eine Prüfung auf Notwendigkeit und Verhältnismäßigkeit auf der Grundlage der vorliegenden Vorschriften durchgeführt. Sie wird in jedem Fall durch einen internen Bewertungsvermerk für Zwecke der Rechenschaftspflicht dokumentiert.

(5) Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gelten. Insbesondere wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirksamkeit der verhängten Beschränkung oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigt.

Artikel 4 Überprüfung durch den Datenschutzbeauftragten

(1) Die Agentur unterrichtet den Datenschutzbeauftragten der Agentur ("DSB") unverzüglich, wenn der für die Verarbeitung Verantwortliche gemäß diesem Beschluss die Anwendung der Rechte betroffener Personen beschränkt oder die Beschränkung ausweitet. Der für die Verarbeitung Verantwortliche gewährt dem DSB Zugang zu dem Verzeichnis, das die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthält, und dokumentiert das Datum, an dem der DSB unterrichtet wird, im Verzeichnis.

(2) Der DSB kann schriftlich von dem für die Verarbeitung Verantwortlichen eine Überprüfung der vorgenommenen Beschränkungen fordern. Der DSB wird von dem für die Verarbeitung Verantwortlichen schriftlich über das Ergebnis der Überprüfung unterrichtet.

(3) Der DSB wird von dem für die Verarbeitung Verantwortlichen unterrichtet, wenn die Beschränkung aufgehoben wurde.

Artikel 5 Beschränkungen des Rechts auf Unterrichtung

(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden:

1. Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;
2. erste Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;
3. Meldung von Missständen;
4. (formelle und informelle) Verfahren zur Bearbeitung von Fällen von Belästigung;
5. Bearbeitung von internen und externen Beschwerden;
6. interne Prüfungen;
7. vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;
8. intern oder extern abgewickelte (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

Die Agentur nimmt in die auf ihrer Website und/oder im Intranet veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Verzeichnisse im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, die die betroffenen Personen im Rahmen eines bestimmten Verfahrens über ihre Rechte informieren, Informationen über die mögliche Beschränkung dieser Rechte auf. Die Informationen umfassen die Frage, welche Rechte beschränkt werden können, die Gründe für solche Beschränkungen sowie ihre potenzielle Dauer.

(2) Unbeschadet der Bestimmungen in Absatz 3 informiert die Agentur, sofern dies verhältnismäßig ist, alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, unverzüglich auch einzeln über gegenwärtige oder künftige Beschränkungen ihrer Rechte schriftlich.

(3) Wenn die Agentur das in Absatz 2 vorgesehene Recht auf Unterrichtung der betroffenen Personen ganz oder teilweise beschränkt, erfasst sie die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung.

Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

(4) Die in Absatz 3 genannte Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen.

Wenn die Gründe für die Beschränkung nicht mehr vorliegen, unterrichtet die Agentur die betroffene Person über die Hauptgründe, auf denen die Anwendung einer Beschränkung beruht. Gleichzeitig teilt die Agentur der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die Agentur überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Prüfung, des entsprechenden Verfahrens und der entsprechenden Untersuchung. Anschließend überprüft der für die Verarbeitung Verantwortliche alle sechs Monate die Notwendigkeit, jegliche Beschränkungen aufrechtzuerhalten.

Artikel 6 Beschränkungen des Rechts auf Auskunft

(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Auskunft durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

1. Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;
2. erste Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;
3. Meldung von Missständen;
4. (formelle und informelle) Verfahren zur Bearbeitung von Fällen von Belästigung;
5. Bearbeitung von internen und externen Beschwerden;
6. interne Prüfungen;
7. vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;
8. intern oder extern abgewickelte (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

Wenn die betroffene Person gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre im Rahmen eines oder mehrerer spezifischer Fälle verarbeiteten personenbezogenen Daten oder über einen bestimmten Verarbeitungsvorgang beantragt, beschränkt die Agentur ihre Bewertung des Antrags ausschließlich auf derartige personenbezogene Daten.

(2) Wenn die Agentur das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Auskunft ganz oder teilweise beschränkt, ergreift sie die folgenden Maßnahmen:

1. sie unterrichtet die jeweils betroffene Person in ihrer Antwort auf den Antrag über die angewandte Beschränkung und die Hauptgründe hierfür sowie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einzulegen;
2. sie dokumentiert in Form eines internen Bewertungsvermerks die Gründe für die Beschränkung, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung sowie ihrer Dauer.

Diese Unterrichtung gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der Beschränkung zunichtemachen würde.

Die Agentur überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Untersuchung. Anschließend überprüft der für die Verarbeitung Verantwortliche alle sechs Monate die Notwendigkeit, jegliche Beschränkungen aufrechtzuerhalten.

(3) Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

Artikel 7 Beschränkungen des Rechts auf Berichtigung, Löschung und Einschränkung der Verarbeitung

(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und angemessen ist:

1. Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;
2. erste Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;
3. Meldung von Missständen;
4. (formelle und informelle) Verfahren zur Bearbeitung von Fällen von Belästigung;
5. Bearbeitung von internen und externen Beschwerden;
6. interne Prüfungen;
7. vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;
8. intern oder extern abgewickelte (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(2) Wenn die Agentur das in den Artikeln 18, 19 Absatz 1 und 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise beschränkt, ergreift sie die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und registriert die Aufzeichnung gemäß Artikel 6 Absatz 3 dieses Beschlusses.

Artikel 8 Beschränkungen des Rechts auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten und auf Vertraulichkeit der elektronischen Kommunikation

(1) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und angemessen ist:

1. Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;
2. erste Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;
3. Meldung von Missständen;
4. (formelle und informelle) Verfahren zur Bearbeitung von Fällen von Belästigung;
5. Bearbeitung von internen und externen Beschwerden;
6. interne Prüfungen;
7. vom Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 durchgeführte Untersuchungen;
8. intern oder extern abgewickelte (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(2) In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Vertraulichkeit der elektronischen Kommunikation durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und angemessen ist:

1. Durchführung von Verwaltungsuntersuchungen und Disziplinarverfahren;
2. erste Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden;
3. Meldung von Missständen;
4. formelle Verfahren zur Bearbeitung von Fällen von Belästigung;
5. Bearbeitung von internen und externen Beschwerden;
6. intern oder extern abgewickelte (z.B. durch das CERT-EU) (IT-)Sicherheitsüberprüfungen.

(3) Wenn die Agentur das in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannte Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation beschränkt, erfasst und registriert sie die Gründe hierfür gemäß Artikel 5 Absatz 3 dieses Beschlusses. Es gilt Artikel 5 Absatz 4 dieses Beschlusses.

Artikel 9 Inkrafttreten

Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Geschehen zu Helsinki am 20. Juni 2019

ENDE