EUR-Lex Der Zugang zum EU-Recht
Dieses Dokument ist ein Auszug aus dem EUR-Lex-Portal.
Dokument 32020D0655
Decision (EU) 2020/655 of the European Central Bank of 5 May 2020 adopting implementing rules concerning data protection at the European Central Bank and repealing Decision ECB/2007/1 (ECB/2020/28)
Beschluss (EU) 2020/655 der Europäischen Zentralbank vom 5. Mai 2020 zum Erlass von Durchführungsbestimmungen für den Datenschutz bei der Europäischen Zentralbank und zur Aufhebung des Beschlusses EZB/2007/1 (EZB/2020/28)
Beschluss (EU) 2020/655 der Europäischen Zentralbank vom 5. Mai 2020 zum Erlass von Durchführungsbestimmungen für den Datenschutz bei der Europäischen Zentralbank und zur Aufhebung des Beschlusses EZB/2007/1 (EZB/2020/28)
ABl. L 152 vom 15.5.2020, S. 13–20
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In Kraft
|
15.5.2020 |
DE |
Amtsblatt der Europäischen Union |
L 152/13 |
BESCHLUSS (EU) 2020/655 DER EUROPÄISCHEN ZENTRALBANK
vom 5. Mai 2020
zum Erlass von Durchführungsbestimmungen für den Datenschutz bei der Europäischen Zentralbank und zur Aufhebung des Beschlusses EZB/2007/1 (EZB/2020/28)
DAS DIREKTORIUM DER EUROPÄISCHEN ZENTRALBANK —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Satzung des Europäischen Systems der Zentralbanken und der Europäischen Zentralbank, insbesondere auf Artikel 11.6,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (1), insbesondere auf Artikel 45 Absatz 3,
in Erwägung nachstehender Gründe:
|
(1) |
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (2) enthält allgemeine Regelungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs solcher personenbezogener Daten in der Union. |
|
(2) |
Mit der Verordnung (EU) 2018/1725 wird die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (3) aufgehoben und es werden die Datenschutzgrundsätze und -bestimmungen festgelegt, die für alle Organe, Einrichtungen und sonstigen Stellen der Union gelten. |
|
(3) |
Zur Sicherstellung einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union ist es erforderlich, die für die Organe und Einrichtungen der Union geltenden Datenschutzbestimmungen soweit wie möglich an die in den Mitgliedstaaten für den öffentlichen Dienst erlassenen Datenschutzbestimmungen anzugleichen. Soweit die Bestimmungen der Verordnung (EU) 2018/1725 auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679 sollten diese Bestimmungen der beiden Verordnungen einheitlich ausgelegt werden, insbesondere da der Rahmen der Verordnung (EU) 2018/1725 als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte. |
|
(4) |
Gemäß Artikel 43 der Verordnung (EU) 2018/1725 hat jedes Organ und jede Einrichtung der Union einen Datenschutzbeauftragten zu benennen. Gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2018/1725 muss jedes Organ und jede Einrichtung der Union weitere den Datenschutzbeauftragten betreffende Durchführungsvorschriften erlassen. Diese Durchführungsbestimmungen müssen insbesondere die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten regeln. |
|
(5) |
Aus Effizienzgründen und im Einklang mit der bisherigen Praxis kann der Datenschutzbeauftragte der Europäischen Zentralbank (EZB) bevollmächtigt werden, auch Datenschutzfragen in Zusammenhang mit dem Europäischen Ausschuss für Systemrisiken (European Systemic Risk Board — ESRB) zu betrauen, sollte der Verwaltungsrat des ESRB entscheiden, den Datenschutzbeauftragten der EZB als Datenschutzbeauftragten des ESRB zu benennen. |
|
(6) |
Mit den Durchführungsbestimmungen sollte außerdem festgelegt werden, wie betroffene Personen ihre Rechte ausüben können und wie die für die Verarbeitung personenbezogener Daten verantwortlichen Personen ihre Pflichten innerhalb der Organe und Einrichtungen der Union erfüllen sollten. |
|
(7) |
Zwar ist die EZB die juristische Person, die sowohl nach der Verordnung (EU) 2018/1725 als auch nach dem vorliegenden Beschluss für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verantwortlich ist, in der Praxis können die Verarbeitungsvorgänge aber von verschiedenen Organisationseinheiten innerhalb der EZB ausgeführt werden. |
|
(8) |
In der Verordnung (EU) 2018/1725 wird geregelt, welche Rechtsbehelfe betroffenen Personen für datenschutzbezogene Beschwerden gegen ein Unionsorgan zur Verfügung stehen, einschließlich des in den Artikeln 63 und 68 dieser Verordnung vorgesehenen Rechts auf Beschwerde beim Europäischen Datenschutzbeauftragten. Dementsprechend sollten Mitarbeiter der EZB für datenschutzbezogene Beschwerden, die sie nach Geltungsbeginn des vorliegenden Beschlusses als betroffene Person erheben, von diesen Rechtsbehelfen anstatt von den in den Beschäftigungsbedingungen für Mitarbeiter der Europäischen Zentralbank vorgesehenen Rechtsbehelfen Gebrauch machen. |
|
(9) |
Die EZB beabsichtigt, gesondert Beschränkungen in Bezug auf bestimmte Grundsätze, Rechte und Pflichten im Zusammenhang mit dem Datenschutz unter bestimmten, genau festgelegten Umständen gemäß Artikel 25 der Verordnung (EU) 2018/1725 vorzusehen und daher sollte der Geltungsbeginn des vorliegenden Beschlusses der 1. November 2020 sein, damit diese Beschränkungen gesondert vorgesehen werden können. |
|
(10) |
Angesichts der Aufhebung der Verordnung (EG) Nr. 45/2001 durch die Verordnung (EU) 2018/1725 sollte der Beschluss EZB/2007/1 (4) aufgehoben und durch diesen Beschluss ersetzt werden — |
HAT FOLGENDEN BESCHLUSS ERLASSEN:
ABSCHNITT 1
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Geltungsbereich
(1) Dieser Beschluss enthält die allgemeinen Bestimmungen zur Durchführung der Verordnung (EU) 2018/1725 bei der EZB. Insbesondere werden die Regelungen zur Ernennung und Funktion des Datenschutzbeauftragten der EZB spezifiziert, einschließlich seiner Aufgaben, Pflichten und Befugnisse.
(2) Mit diesem Beschluss werden ferner die Funktionen, Aufgaben und Pflichten der Verantwortlichen und des Datenschutzkoordinators sowie die Regelungen spezifiziert, nach denen betroffene Personen ihre Rechte ausüben können.
Artikel 2
Begriffsbestimmungen
Im Sinne dieses Beschlusses gelten folgende Begriffsbestimmungen:
|
1. |
„Verantwortlicher“ die EZB und insbesondere die organisatorische Einheit der EZB, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt; |
|
2. |
„Datenschutzkoordinator“ ein Mitarbeiter der EZB, der den Verantwortlichen und den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben und Zuständigkeiten gemäß der Verordnung (EU) 2018/1725 und diesem Beschluss unterstützt; |
|
3. |
„betroffene Person“ eine identifizierte oder identifizierbare natürliche Person; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann, |
|
4. |
„Verarbeitung“ Verarbeitung im Sinne von Artikel 3 Nummer 3 der Verordnung (EU) 2018/1725; |
|
5. |
„Organe und Einrichtungen der Union“ Organe und Einrichtungen der Union im Sinne von Artikel 3 Nummer 10 der Verordnung (EU) 2018/1725; |
|
6. |
„Auftragsverarbeiter“ Auftragsverarbeiter im Sinne von Artikel 3 Nummer 12 der Verordnung (EU) 2018/1725; |
|
7. |
„personenbezogene Daten“ personenbezogene Daten im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2018/1725; |
|
8. |
„Einwilligung“ Einwilligung im Sinne von Artikel 3 Nummer 15 der Verordnung (EU) 2018/1725. |
ABSCHNITT 2
DATENSCHUTZBEAUFTRAGTER
Artikel 3
Ernennung, Status und Organisatorisches
(1) Das EZB-Direktorium
|
a) |
ernennt den Datenschutzbeauftragten auf der Grundlage seiner persönlichen und beruflichen Qualifikation und insbesondere des Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 45 der Verordnung (EU) 2018/1725 und in diesem Beschluss genannten Aufgaben; |
|
b) |
stellt einen nicht wandelbaren, auf einen Zeitraum von drei bis fünf Jahre befristeten Vertrag für die Position des Datenschutzbeauftragten aus, der bis zu einer Obergrenze von zehn Jahren verlängert werden kann, wie dies in den Beschäftigungsbedingungen für Mitarbeiter der EZB vorgesehen ist; und |
|
c) |
veranlasst den Eintrag des Datenschutzbeauftragten beim Europäischen Datenschutzbeauftragten gemäß Artikel 44 Absatz 9 der Verordnung (EU) 2018/1725. |
(2) Das EZB-Direktorium stellt sicher, dass der Datenschutzbeauftragte seine in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben und Pflichten unabhängig und ohne hinsichtlich deren Ausführung an Weisungen gebunden zu sein, ausüben kann. Unbeschadet dieser Unabhängigkeit
|
a) |
unterliegt der Datenschutzbeauftragte den Beschäftigungsbedingungen für Mitarbeiter der EZB; |
|
b) |
wird der Datenschutzbeauftragte für Verwaltungszwecke und zur Anwendung des Beschäftigungsrahmens der EZB der Generaldirektion Rechtsdienste der EZB zugeordnet. |
|
c) |
konsultieren die den Datenschutzbeauftragten beurteilenden Personen den Europäischen Datenschutzbeauftragten und können auch Informationen von weiteren Akteuren der EZB einholen, bevor sie die Leistung des Datenschutzbeauftragten im Rahmen der Wahrnehmung seiner Aufgaben und Pflichten beurteilen. Dem Datenschutzbeauftragten dürfen aufgrund der ordnungsgemäßen Wahrnehmung seiner Aufgaben und Pflichten keine Nachteile entstehen. |
|
d) |
Der Datenschutzbeauftragte kann vom Direktorium entlassen werden, wenn er die Voraussetzungen für die Wahrnehmung seiner Pflichten nicht mehr erfüllt und die vorherige Zustimmung des Europäischen Datenschutzbeauftragten gemäß Artikel 44 Absatz 8 der Verordnung (EU) 2018/1725 eingeholt wurde. |
(3) Das Direktorium kann einen Stellvertretenden Datenschutzbeauftragten ernennen, für den die Absätze 1 und 2 gelten. Der Stellvertretende Datenschutzbeauftragte unterstützt den Datenschutzbeauftragten bei der Ausübung seiner Aufgaben und Pflichten und vertritt ihn in dessen Abwesenheit.
(4) Alle Mitarbeiter der EZB, die den Datenschutzbeauftragten im Zusammenhang mit Datenschutzfragen unterstützen, sind gemäß Artikel 44 Absatz 5 der Verordnung (EU) 2018/1725 in Verbindung mit Artikel 37 der Satzung des ESZB an die Wahrung der Geheimhaltung und der Vertraulichkeit gebunden.
(5) Gemäß Artikel 43 Absatz 2 der Verordnung (EU) 2018/1725 kann der Datenschutzbeauftragte auf Ersuchen des ESRB ermächtigt werden, auch in Bezug auf den ESRB die in Artikel 45 der Verordnung (EU) 2018/1725 genannten Aufgaben zu erfüllen.
Artikel 4
Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte erfüllt die in Artikel 45 der Verordnung (EU) 2018/1725 festgelegten Aufgaben, insbesondere
|
a) |
informiert und berät er das Direktorium, die Verantwortlichen, die Personalvertretung und die Datenschutzkoordinatoren, beantwortet deren Konsultationsersuchen oder Fragen von betroffenen Personen zur Auslegung und Anwendung von Datenschutzbestimmungen bei der EZB; |
|
b) |
prüft er Angelegenheiten und Vorfälle im Zusammenhang mit dem Datenschutz, entweder auf eigene Initiative oder auf Antrag des Direktoriums, eines Verantwortlichen, der Personalvertretung oder einer betroffenen Person, und erstattet Bericht an den die Prüfung veranlassenden Antragsteller; |
|
c) |
führt er ein zentrales Register der Verarbeitungstätigkeiten bei der EZB gemäß Artikel 31 der Verordnung (EU) 2018/1725 und Artikel 9 des vorliegenden Beschlusses; |
|
d) |
unterstützt einen Verantwortlichen auf dessen Anfrage bei der Erstellung von Datenschutz-Folgenabschätzungen und Eingaben für eine vorherige Konsultation des Europäischen Datenschutzbeauftragten gemäß den Artikeln 39 und 40 der Verordnung (EU) 2018/1725; |
|
e) |
beantwortet Anfragen des Europäischen Datenschutzbeauftragten und arbeitet im Rahmen seiner Zuständigkeit mit dem Europäischen Datenschutzbeauftragten zusammen; |
|
f) |
arbeitet mit den Datenschutzbeauftragten anderer Organe und Einrichtungen der Union, nationalen Zentralbanken (NZBen) und nationalen zuständigen Behörden (NCAs) zusammen, insbesondere i) im Wege des Austauschs von Know-how und erfahrungsbasiertem Wissen, ii) durch Vertretung der EZB bei allen Beratungen in Fragen des Datenschutzes außer bei Gerichtsverfahren, und iii) durch Teilnahme in interinstitutionellen Ausschüssen und Einrichtungen; |
|
g) |
gewährleistet er in unabhängiger Weise die Anwendung der Verordnung (EU) 2018/1725 bei der EZB durch Überwachung der Einhaltung dieser Verordnung, anderer geltender Vorschriften des Unionsrechts, welche Datenschutzbestimmungen enthalten, und der Vorkehrungen der EZB und ihrer Auftragsverarbeiter hinsichtlich des Schutzes personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen. |
Artikel 5
Befugnisse des Datenschutzbeauftragten
Bei der Wahrnehmung seiner Aufgaben gemäß Artikel 4
|
a) |
kann der Datenschutzbeauftragte Informationen aus jedem Geschäftsbereich der EZB zu jeder Angelegenheit anfordern, die einen Bezug zu den Aufgaben und Pflichten des Datenschutzbeauftragten hat; |
|
b) |
hat der Datenschutzbeauftragte stets Zugang zu den verarbeiteten personenbezogenen Daten, zu allen Räumlichkeiten der EZB und zu allen Informationen, Datenverarbeitungsvorgängen und Datenbanken; |
|
c) |
kann der Datenschutzbeauftragte eine Stellungnahme zur Rechtmäßigkeit tatsächlicher oder vorgeschlagener Verarbeitungsvorgänge, zu den für die Sicherstellung der Rechtmäßigkeit solcher Vorgänge erforderlichen Maßnahmen und zur Eignung oder Angemessenheit von Datenschutzmaßnahmen oder jeder Frage zu Verarbeitungsvorgängen abgeben; |
|
d) |
kann der Datenschutzbeauftragte das Direktorium auf sämtliche Angelegenheiten im Zusammenhang mit dem Datenschutz aufmerksam machen, einschließlich des Verstoßes eines Mitarbeiters der EZB gegen die Bestimmungen der Verordnung (EU) 2018/1725 oder gegen sonstige Datenschutzbestimmungen der Union, die für die EZB gelten; |
|
e) |
kann der Datenschutzbeauftragte verlangen, dass datenschutzbezogene Punkte in die Tagesordnung des Direktoriums aufgenommen werden, und dem Direktorium zu diesem Zweck einschlägige Unterlagen vorlegen; |
|
f) |
kann der Datenschutzbeauftragte bei Datenverarbeitungsvorgängen, die vom Verantwortlichen oder im Auftrag des Verantwortlichen ausgeführt werden, Kontrollen hinsichtlich der Einhaltung des Datenschutzes vornehmen; |
|
g) |
kann der Datenschutzbeauftragte jede Datenverarbeitung einschränken, bei der die Bestimmungen der Verordnung (EU) 2018/1725 oder dieses Beschlusses oder sonstiger Datenschutzbestimmungen der Union nicht eingehalten werden; |
|
h) |
kann der Datenschutzbeauftragte den Europäischen Datenschutzbeauftragten über jegliche Angelegenheiten im Zusammenhang mit dem Datenschutz informieren, die dessen Beitrag oder Anleitung erfordern. |
Artikel 6
Datenschutzbeauftragter und Verfahren bei Prüfung
(1) Jeder Antrag auf Prüfung gemäß Artikel 4 Buchstabe b ist schriftlich an den Datenschutzbeauftragten zu richten.
(2) Der Datenschutzbeauftragte übermittelt innerhalb von sieben Arbeitstagen nach Eingang des Antrags im Sinne von Absatz 1 eine Empfangsbestätigung an den Antragsteller.
(3) Der Datenschutzbeauftragte kann den Sachverhalt, der Gegenstand des Antrags ist, vor Ort prüfen und von einem Verantwortlichen eine schriftliche Stellungnahme verlangen. Nach Eingang einer entsprechenden Aufforderung durch den Datenschutzbeauftragten antwortet der jeweils Verantwortliche dem Datenschutzbeauftragten innerhalb von 20 Arbeitstagen. Der Datenschutzbeauftragte kann von jedem Geschäftsbereich der EZB stets zusätzliche Informationen oder Unterstützung anfordern. Der jeweilige Geschäftsbereich stellt diese zusätzlichen Informationen innerhalb von 20 Arbeitstagen nach Aufforderung durch den Datenschutzbeauftragten zur Verfügung oder gewährt die Unterstützung.
(4) Der Datenschutzbeauftragte berücksichtigt die mit der Prüfung in Zusammenhang stehenden Fragen und Sachverhalte unparteiisch und unter Wahrung der Rechte der betroffenen Person. Falls es angemessen erscheint und vorbehaltlich Absatz 5 unterrichtet der Datenschutzbeauftragte sämtliche weiteren betroffenen Parteien über die Prüfung.
(5) Der Datenschutzbeauftragte stellt sicher, dass der Antrag vertraulich behandelt wird und nur im erforderlichen Maße für die Zwecke der Prüfung offen gelegt wird, es sei denn, die betroffene Person willigt ein, dass der Antrag nicht vertraulich behandelt wird.
(6) Eine Rückmeldung des Datenschutzbeauftragten an den Antragsteller erfolgt spätestens drei Kalendermonate nach Antragseingang.
ABSCHNITT 3
DATENSCHUTZBEAUFTRAGTER, VERANTWORTLICHE UND DATENSCHUTZKOORDINATOREN
Artikel 7
Aufgaben und Pflichten eines Verantwortlichen
(1) Ein Verantwortlicher stellt sicher, dass sämtliche Verarbeitungsvorgänge, die personenbezogene Daten umfassen und innerhalb seines Verantwortungsbereichs ausgeführt werden, unter Einhaltung der Verordnung (EU) 2018/1725 und sämtlicher sonstiger Datenschutzbestimmungen der Union erfolgen, die für die EZB gelten.
(2) Ein Verantwortlicher stellt sicher, dass der Datenschutzbeauftragte unverzüglich über Folgendes informiert wird:
|
a) |
Fragestellungen, die Auswirkungen auf den Datenschutz haben oder haben könnten; |
|
b) |
Stellungnahmen, Dokumente, interne Vorgaben oder interne Beschlüsse vor ihrer Verabschiedung, die Auswirkungen auf die Einhaltung des Datenschutzes seitens der EZB haben könnten; |
|
c) |
jegliche Verletzung des Schutzes personenbezogener Daten oder sonstige Vorfälle, die den Datenschutz berühren; |
|
d) |
jeder unmittelbare Austausch, der zwischen einem Verantwortlichen und dem Europäischen Datenschutzbeauftragten erfolgt. |
(3) Der Verantwortliche wird insbesondere
|
a) |
den Datenschutzbeauftragten rechtzeitig bezüglich aller Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten oder sonstigen Datenschutzfragen konsultieren, |
|
b) |
Datenschutz-Folgenabschätzungen in Zusammenarbeit mit dem Datenschutzbeauftragten gemäß Artikel 39 der Verordnung (EU) 2018/1725 durchführen und genehmigen; |
|
c) |
alle einschlägigen internen Vorgaben zur Verarbeitung personenbezogener Daten oder sonstiger Datenschutzfragen befolgen; |
|
d) |
in Zusammenarbeit mit den Datenschutzkoordinatoren regelmäßig aktualisierte Verzeichnisse der Verarbeitungstätigkeiten gemäß Artikel 31 Absatz 5 der Verordnung (EU) 2018/1725 unter Verwendung der vom Datenschutzbeauftragten genehmigten Vorlage führen. |
(4) Im Rahmen seiner Unterstützung des Datenschutzbeauftragten und des Europäischen Datenschutzbeauftragten bei der Wahrnehmung ihrer jeweiligen Pflichten, stellt der Verantwortliche beiden sämtliche Informationen zur Verfügung, gewährt Zugang zu personenbezogenen Daten und beantwortet Fragen innerhalb von 20 Arbeitstagen nach Eingang einer entsprechenden Aufforderung.
Artikel 8
Datenschutzkoordinatoren
(1) Die Datenschutzkoordinatoren unterstützen die Verantwortlichen bei der Erfüllung ihrer Pflichten, entweder nach Aufforderung durch den Verantwortlichen oder auf eigene Initiative. Dabei arbeiten die Datenschutzkoordinatoren mit den Verantwortlichen zusammen, die ihnen sämtliche erforderlichen Informationen zur Verfügung stellen.
(2) Die Datenschutzkoordinatoren unterstützen den Datenschutzbeauftragten bei Folgendem:
|
a) |
Ermittlung des jeweiligen für die Vorgänge zur Verarbeitung personenbezogener Daten Verantwortlichen; |
|
b) |
Aufklärung und Sensibilisierung hinsichtlich der Empfehlungen des Datenschutzbeauftragten sowie Unterstützung des jeweiligen Verantwortlichen unter Anleitung des Datenschutzbeauftragten; |
|
c) |
Unterstützung des jeweiligen Verantwortlichen bei der Führung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Artikel 31 der Verordnung (EU) 2018/1725 und der Sicherstellung der Richtigkeit und Aktualität der Verzeichnisse; |
|
d) |
Behandlung sonstiger Angelegenheiten, welche die Aufgaben des Datenschutzbeauftragten betreffen, wie zwischen dem Datenschutzbeauftragten und dem Management der Datenschutzkoordinatoren vereinbart. |
(3) Ein Datenschutzkoordinator ist im Allgemeinen eine sachkundige Person für Informationsmanagement oder verfügt über einschlägige Fachkenntnisse bzw. ist entsprechend geschult.
Artikel 9
Zentrales Register
(1) Verantwortliche legen ihre Verzeichnisse der Verarbeitungstätigkeiten dem Datenschutzbeauftragen vor, der diese in einem zentralen Register führt und verwaltet.
(2) Das zentrale Register dient als Speicherort für alle Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten, die bei der EZB ausgeführt werden. Das zentrale Register stellt eine Informationsquelle für betroffene Personen dar und erleichtert die Ausübung ihrer Rechte gemäß den Artikeln 17 bis 24 der Verordnung (EU) 2018/1725. Das zentrale Register ist öffentlich zugänglich. Das zentrale Register enthält zumindest die in Artikel 31 Absatz 1 Buchstaben a bis g der Verordnung (EU) 2018/1725 genannten Informationen.
Artikel 10
Gemeinsam Verantwortliche
(1) Die jeweiligen Datenschutzpflichten von gemeinsam Verantwortlichen sind gemäß Artikel 28 der Verordnung (EU) 2018/1725 festzulegen.
(2) Handelt die EZB gemeinsam mit einem oder mehreren Verantwortlichen als gemeinsam Verantwortliche sind die Zuständigkeiten der gemeinsam Verantwortlichen für die Einhaltung der Datenschutzpflichten in einer zwischen ihnen getroffenen Vereinbarung festzulegen, sofern und insoweit diese Zuständigkeiten nicht durch Vorschriften des Unionsrechts oder Rechtsvorschriften der Mitgliedstaaten festgelegt sind, denen die gemeinsam Verantwortlichen unterliegen.
ABSCHNITT 4
RECHTE BETROFFENER PERSONEN
Artikel 11
Ausübung der Rechte betroffener Personen
(1) Betroffene Personen können sich zwecks Ausübung ihrer Rechte gemäß den Artikeln 17 bis 24 der Verordnung (EU) 2018/1725 an den jeweils Verantwortlichen wenden.
(2) Die Rechte betroffener Personen dürfen nur von der betroffenen Person oder deren ordnungsgemäß bevollmächtigten Vertretern ausgeübt werden. Die Ausübung sämtlicher dieser Rechte ist für diese Personen unentgeltlich.
(3) Anträge auf Ausübung der Rechte betroffener Personen sind schriftlich oder gegebenenfalls elektronisch an die Verantwortlichen zu richten. Nach Eingang eines Antrags einer betroffenen Person übermittelt der entsprechende Verantwortliche der betroffenen Person innerhalb von fünf Arbeitstagen eine Empfangsbestätigung und die Kontaktdaten des Datenschutzbeauftragten und unterrichtet sie über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten einzureichen sowie einen gerichtlichen Rechtsbehelf einzulegen.
(4) Hat der Verantwortliche begründete Zweifel an der Identität der betroffenen Person oder ihres bevollmächtigten Vertreters, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person oder ihres bevollmächtigten Vertreters erforderlich sind. Wird die betroffene Person von einem bevollmächtigten Vertreter vertreten, überprüft der Verantwortliche außerdem die entsprechende Vollmacht. Der Verantwortliche kann weitere Informationen von der betroffenen Person anfordern, um ihren Antrag zu klären und effektiv zu bearbeiten.
(5) Gemäß Artikel 14 Absätze 3 und 4 der Verordnung (EU) 2018/1725 stellt der Verantwortliche der betroffenen Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Antragseingang, Informationen über die auf den Antrag getroffenen Maßnahmen zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Zahl der Anträge betroffener Personen, die der Verantwortliche erhalten hat, erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Antragseingang über jede Fristverlängerung und nennt die Gründe für die Verzögerung.
(6) Der entsprechende Verantwortliche beantwortet den Antrag der betroffenen Person gegebenenfalls schriftlich. Wurde der Antrag der betroffenen Person elektronisch übermittelt, stellt der Verantwortliche die angeforderten Informationen ebenfalls elektronisch zur Verfügung.
(7) Die betroffene Person kann den Datenschutzbeauftragten jederzeit kontaktieren, insbesondere wenn
|
a) |
der Verantwortliche die in den Absätzen 3 und 5 genannten Fristen nicht einhält, |
|
b) |
die vom Verantwortlichen getroffenen Maßnahmen nicht den Erwartungen der betroffenen Person entsprechen oder |
|
c) |
die betroffene Person Beschwerde beim Europäischen Datenschutzbeauftragten einreichen möchte. |
Der Datenschutzbeauftragte berät den Verantwortlichen zur angemessenen Vorgehensweise.
(8) Bei offensichtlich unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person, kann sich der entsprechende Verantwortliche gemäß Artikel 14 Absatz 5 der Verordnung (EU) 2018/1725 weigern, aufgrund des Antrags tätig zu werden und informiert die betroffene Person entsprechend.
Artikel 12
Rechtsbehelfe
Die Rechtsbehelfe, die den Mitarbeitern der EZB nach den Beschäftigungsbedingungen für Mitarbeiter der Europäischen Zentralbank zur Verfügung stehen, gelten nicht für datenschutzbezogene Beschwerden.
ABSCHNITT 5
SCHLUSSBESTIMMUNGEN
Artikel 13
Aufhebung
Der Beschluss EZB/2007/1 wird mit Wirkung vom 1. November 2020 aufgehoben. Bezugnahmen auf den Beschluss EZB/2007/1 gelten als Bezugnahmen auf den vorliegenden Beschluss und sind nach Maßgabe der Entsprechungstabelle im Anhang zu lesen.
Artikel 14
Inkrafttreten
Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Er gilt ab dem 1. November 2020.
Geschehen zu Frankfurt am Main am 5. Mai 2020.
Die Präsidentin der EZB
Christine LAGARDE
(1) ABl. L 295 vom 21.11.2018, S. 39.
(2) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(3) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
(4) Beschluss EZB/2007/1 vom 17. April 2007 zum Erlass von Durchführungsbestimmungen über den Datenschutz bei der Europäischen Zentralbank (ABl. L 116 vom 4.5.2007, S. 64).
ANHANG
ENTSPRECHUNGSTABELLE
|
Beschluss EZB/2007/1 |
Dieser Beschluss |
|
Artikel 1 bis 5 |
Artikel 1 bis 5 |
|
Artikel 6 Absatz 1 |
Artikel 7 Absatz 1 |
|
— |
Artikel 7 Absatz 2 |
|
— |
Artikel 7 Absatz 3 |
|
Artikel 6 Absatz 2 |
Artikel 7 Absatz 4 |
|
Artikel 6 Absatz 3 Buchstabe a |
Artikel 8 Absatz 1 |
|
Artikel 6 Absatz 3 Buchstabe b |
Artikel 8 Absatz 2 |
|
Artikel 7 Absatz 1 |
Artikel 4 Absatz 4 |
|
Artikel 7 Absatz 2 |
— |
|
— |
Artikel 9 Absatz 1 |
|
Artikel 8 |
Artikel 9 Absatz 2 |
|
— |
Artikel 10 |
|
— |
|
|
Artikel 9 Absatz 1 |
Artikel 11 Absatz 1 |
|
Artikel 9 Absatz 1 Buchstabe a |
Artikel 11 Absatz 2 |
|
Artikel 9 Absatz 1 Buchstabe b |
Artikel 11 Absatz 3 |
|
Artikel 9 Absatz 1 Buchstabe c |
— |
|
— |
Artikel 11 Absatz 4 |
|
— |
Artikel 11 Absatz 5 |
|
— |
Artikel 11 Absatz 6 |
|
Artikel 9 Absatz 1 Buchstabe d |
Artikel 11 Absatz 7 Buchstaben a und b |
|
Artikel 9 Absatz 2 |
Artikel 11 Absatz 7 Buchstabe c |
|
Artikel 10 |
— |
|
Artikel 11 Absätze 1, 2 und 3 |
Artikel 6 Absätze 1, 2 und 3 |
|
— |
Artikel 6 Absätze 4 und 5 |
|
Artikel 11 Absatz 4 |
Artikel 6 Absatz 6 |
|
Artikel 12 |
Artikel 12 |
|
Artikel 13 |
Artikel 13 |