4.5.2007

DE

Amtsblatt der Europäischen Union

L 116/64

---

BESCHLUSS DER EUROPÄISCHEN ZENTRALBANK

vom 17. April 2007

zum Erlass von Durchführungsbestimmungen über den Datenschutz bei der Europäischen Zentralbank

(EZB/2007/1)

(2007/279/EG)

DAS DIREKTORIUM DER EUROPÄISCHEN ZENTRALBANK —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 286,

gestützt auf die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (1), insbesondere auf Artikel 24 Absatz 8,

in Erwägung nachstehender Gründe:

(1)	Die Verordnung (EG) Nr. 45/2001 legt die für alle Organe und Einrichtungen der Gemeinschaft geltenden Grundsätze und Bestimmungen des Datenschutzes fest und sieht einen Datenschutzbeauftragten vor, der von jedem Organ und von jeder Einrichtung der Gemeinschaft zu bestellen ist.

(2)	Gemäß Artikel 24 Absatz 8 der Verordnung (EG) Nr. 45/2001 muss jedes Organ oder jede Einrichtung der Gemeinschaft weitere Durchführungsbestimmungen über den Datenschutzbeauftragten gemäß den Bestimmungen im Anhang der genannten Verordnung erlassen —

HAT FOLGENDEN BESCHLUSS GEFASST:

ABSCHNITT 1

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Geltungsbereich

(1)   Dieser Beschluss legt die allgemeinen Vorschriften zur Durchführung der Verordnung (EG) Nr. 45/2001 im Hinblick auf die Europäische Zentralbank (EZB) fest. Er ergänzt insbesondere die Bestimmungen der Verordnung (EG) Nr. 45/2001 über die Bestellung und den Status des Datenschutzbeauftragten sowie über dessen Aufgaben, Pflichten und Befugnisse.

(2)   Mit diesem Beschluss werden ferner die Funktionen, Aufgaben und Pflichten von für die Verarbeitung Verantwortlichen und Datenschutzkoordinatoren klargestellt und die Vorschriften umgesetzt, nach denen betroffene Personen ihre Rechte ausüben können.

Artikel 2

Begriffsbestimmungen

Im Sinne dieses Beschlusses und unbeschadet der Begriffsbestimmungen der Verordnung (EG) Nr. 45/2001 gelten die nachfolgenden Begriffsbestimmungen:

a)	„für die Verarbeitung Verantwortlicher“: der für eine Verwaltungseinheit, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, verantwortliche Leiter;

b)	„Datenschutzkoordinator“: der Mitarbeiter, der den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Datenschutzverpflichtungen unterstützt. Diese Person sollte ein Fachmann im Bereich der Datenverwaltung sein.

ABSCHNITT 2

DER DATENSCHUTZBEAUFTRAGTE

Artikel 3

Bestellung, Status und organisatorische Fragen

(1)   Das Direktorium:

a)	bestellt einen Mitarbeiter der EZB, der hinreichend qualifiziert ist, um die in Artikel 24 der Verordnung (EG) Nr. 45/2001 festgelegten Anforderungen zu erfüllen, zum Datenschutzbeauftragten;

b)	legt eine Amtszeit für den Datenschutzbeauftragten von zwei bis fünf Jahren fest; und

c)	trägt den Datenschutzbeauftragten beim Europäischen Datenschutzbeauftragten ein.

(2)   Das Direktorium gewährleistet die Unabhängigkeit des Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und Pflichten. Unbeschadet dieser Unabhängigkeit:

a)	unterliegt der Datenschutzbeauftragte den Beschäftigungsbedingungen der EZB;

b)	wird der Datenschutzbeauftragte für Verwaltungszwecke einem der Geschäftsbereiche der EZB zugeordnet; und

c)	müssen die den Datenschutzbeauftragten beurteilenden Personen den Europäischen Datenschutzbeauftragten konsultieren, bevor sie die Leistungen des Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und Pflichten beurteilen.

(3)   Der für die Verarbeitung zuständige Verantwortliche stellt sicher, dass der Datenschutzbeauftragte unverzüglich informiert wird:

a)	wenn sich Fragen ergeben, die datenschutzrechtliche Auswirkungen haben oder haben könnten; und

b)	über sämtliche Kontakte zu externen Beteiligten im Hinblick auf die Anwendung der Verordnung (EG) Nr. 45/2001, insbesondere über jeden Austausch mit dem Europäischen Datenschutzbeauftragten.

(4)   Das Direktorium kann einen Stellvertretenden Datenschutzbeauftragten bestellen, für den die Absätze 1 und 2 gelten. Der Stellvertretende Datenschutzbeauftragte unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und Pflichten und vertritt ihn in dessen Abwesenheit.

(5)   Alle Mitarbeiter, die den Datenschutzbeauftragten im Zusammenhang mit Datenschutzfragen unterstützen, werden ausschließlich auf dessen Weisung tätig.

Artikel 4

Aufgaben und Pflichten des Datenschutzbeauftragten

Im Rahmen der Erfüllung der in Artikel 24 der Verordnung (EG) Nr. 45/2001 und im Anhang dieser Verordnung genannten Aufgaben nimmt der Datenschutzbeauftragte, gegebenenfalls unter Berücksichtigung der Beiträge der betreffenden Geschäftsbereiche der EZB, die folgenden Pflichten wahr:

a)

Beratung des Direktoriums, der für die Verarbeitung Verantwortlichen und der Datenschutzkoordinatoren zu Fragen der Anwendung von Datenschutzbestimmungen bei der EZB. Der Datenschutzbeauftragte kann vom Direktorium, allen für die Verarbeitung Verantwortlichen, der Personalvertretung oder sonstigen natürlichen Personen zu Fragen der Auslegung oder Anwendung der Verordnung (EG) Nr. 45/2001 konsultiert werden;

b)

Prüfung von Fragen und Vorkommnissen, die im unmittelbaren Zusammenhang mit den Aufgaben und Pflichten des Datenschutzbeauftragten stehen und von denen er Kenntnis erlangt, wobei diese Prüfung auf seine eigene Initiative oder auf Antrag des Direktoriums, eines für die Verarbeitung Verantwortlichen, der Personalvertretung oder sonstiger natürlicher Personen erfolgt. Ferner obliegt dem Datenschutzbeauftragten die Berichterstattung an die Person, die ihn mit der Prüfung beauftragt hat. Er beurteilt Fragen und Fakten unparteiisch und unter Beachtung der Rechte der betroffenen Person. Falls der Datenschutzbeauftragte es für angebracht hält, informiert er die übrigen betroffenen Beteiligten entsprechend. Ist der Antragsteller eine natürliche Person oder handelt der Antragsteller im Auftrag einer natürlichen Person, stellt der Datenschutzbeauftragte so weit wie möglich sicher, dass der Antrag vertraulich bleibt, sofern die betroffene Person nicht ausdrücklich zugestimmt hat, den Antrag anders zu behandeln;

c)	Zusammenarbeit mit den Datenschutzbeauftragten anderer Organe und Einrichtungen der Gemeinschaft, insbesondere im Wege des Austauschs von Erfahrungen und Know-how, sowie Vertretung der EZB bei allen Beratungen zu Fragen des Datenschutzes außer bei Gerichtsverfahren;

d)	Vorlage eines Jahresarbeitsprogramms und eines Jahresberichts über die Tätigkeiten des Datenschutzbeauftragten beim Direktorium und beim Europäischen Datenschutzbeauftragten.

Artikel 5

Befugnisse des Datenschutzbeauftragten

Der Datenschutzbeauftragte kann

a)	Stellungnahmen von jedem Geschäftsbereich der EZB zu allen Angelegenheiten anfordern, die im Zusammenhang mit den Aufgaben und Pflichten des Datenschutzbeauftragten stehen,

b)	Stellungnahmen zur Rechtmäßigkeit tatsächlicher oder vorgesehener Verarbeitungen oder zu sonstigen Fragen bezüglich der Meldung von Verarbeitungen abgeben,

c)	das Direktorium über alle Verstöße eines Mitarbeiters gegen die Bestimmungen der Verordnung (EG) Nr. 45/2001 informieren und

d)	die im Anhang der Verordnung (EG) Nr. 45/2001 aufgeführten sonstigen Aufgaben erfüllen.

ABSCHNITT 3

FÜR DIE VERARBEITUNG VERANTWORTLICHE UND DATENSCHUTZKOORDINATOREN

Artikel 6

Aufgaben und Pflichten der für die Verarbeitung Verantwortlichen und Datenschutzkoordinatoren

(1)   Die für die Verarbeitung Verantwortlichen stellen sicher, dass sämtliche Verarbeitungen, die personenbezogene Daten einschließen und in ihrem Zuständigkeitsbereich durchgeführt werden, die Bestimmungen der Verordnung (EG) Nr. 45/2001 erfüllen.

(2)   Die für die Verarbeitung Verantwortlichen übermitteln im Rahmen ihrer Verpflichtung, den Datenschutzbeauftragten und den Europäischen Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen, diesen innerhalb von zwanzig Arbeitstagen nach Eingang der entsprechenden Anfrage sämtliche Informationen, gewähren ihnen Zugang zu den personenbezogenen Daten und beantworten deren Fragen.

(3)   Unbeschadet der Aufgaben der für die Verarbeitung Verantwortlichen

a)

unterstützen die Datenschutzkoordinatoren die für die Verarbeitung Verantwortlichen bei der Erfüllung ihrer Verpflichtungen entweder auf Anfrage der für die Verarbeitung Verantwortlichen oder auf eigene Initiative. Dabei arbeiten die Datenschutzkoordinatoren mit den Mitarbeitern des für die Verarbeitung Verantwortlichen zusammen, die ihnen sämtliche erforderlichen Informationen zur Verfügung stellen. In diesem Zusammenhang kann der für die Verarbeitung Verantwortliche nach seinem Ermessen auch Zugang zu personenbezogenen Daten gewähren, für deren Verarbeitung er zuständig ist.

b)

Die Datenschutzkoordinatoren unterstützen den Datenschutzbeauftragten bei i) der Ermittlung der für die Verarbeitung von personenbezogenen Daten zuständigen Verantwortlichen; ii) der Bekanntmachung der Empfehlungen des Datenschutzbeauftragten und der Unterstützung der für die Verarbeitung Verantwortlichen nach den Vorgaben des Datenschutzbeauftragten; iii) weiteren Aspekten des Arbeitsprogramms des Datenschutzbeauftragten wie zwischen dem Datenschutzbeauftragten und dem Management der Datenschutzkoordinatoren vereinbart.

Artikel 7

Meldeverfahren

(1)   Vor der Einführung neuer Verarbeitungen in Bezug auf personenbezogene Daten muss der für die Verarbeitung Verantwortliche dies dem Datenschutzbeauftragten über die Online-Schnittstelle der Website des Datenschutzbeauftragten im Intranet der EZB melden. Sämtliche Verarbeitungen, die einer Vorabkontrolle gemäß Artikel 27 Absatz 3 der Verordnung (EG) Nr. 45/2001 unterliegen, müssen rechtzeitig vor ihrer Einführung gemeldet werden, so dass eine Vorabkontrolle durch den Europäischen Datenschutzbeauftragten möglich ist.

(2)   Die für die Verarbeitung Verantwortlichen teilen dem Datenschutzbeauftragten unverzüglich alle Änderungen mit, die Informationen betreffen, die in einer dem Datenschutzbeauftragten bereits vorgelegten Meldung enthalten sind.

ABSCHNITT 4

RECHTE DER BETROFFENEN PERSONEN

Artikel 8

Register

Das vom Datenschutzbeauftragten gemäß Artikel 26 der Verordnung (EG) Nr. 45/2001 geführte Register dient als Verzeichnis sämtlicher bei der EZB durchgeführten Verarbeitungen von personenbezogenen Daten. Betroffene Personen dürfen die im Register enthaltenen Informationen zwecks Ausübung ihrer Rechte gemäß den Artikeln 13 bis 19 der Verordnung (EG) Nr. 45/2001 nutzen.

Artikel 9

Ausübung von Rechten der betroffenen Personen

(1)   Neben dem Recht, über die Verarbeitung ihrer personenbezogenen Daten angemessen informiert zu werden, können sich betroffene Personen zur Ausübung ihrer Rechte gemäß den Artikeln 13 bis 19 der Verordnung (EG) Nr. 45/2001 nach den nachfolgenden Bestimmungen an den jeweiligen für die Verarbeitung Verantwortlichen wenden.

a)	Diese Rechte können nur von der betroffenen Person oder deren ordnungsgemäß bevollmächtigtem Vertreter ausgeübt werden. Die Ausübung sämtlicher dieser Rechte ist für diese Personen unentgeltlich.

b)

Anträge hinsichtlich der Ausübung dieser Rechte sind schriftlich an den jeweiligen für die Verarbeitung Verantwortlichen zu richten. Der für die Verarbeitung Verantwortliche gibt dem Antrag nur statt, wenn die Identität des Antragstellers sowie gegebenenfalls die Befugnis, die betroffene Person zu vertreten, ordnungsgemäß nachgewiesen wurde. Der für die Verarbeitung Verantwortliche informiert die betroffene Person unverzüglich schriftlich darüber, ob dem Antrag stattgegeben wird. Wird der Antrag abgelehnt, so gibt der für die Verarbeitung Verantwortliche die Gründe für die Ablehnung an.

c)

Der für die Verarbeitung Verantwortliche gewährt der betroffenen Person jederzeit innerhalb von drei Monaten nach Eingang des Antrags gemäß Artikel 13 der Verordnung (EG) Nr. 45/2001 Zugang zu den betreffenden Daten, indem die betroffene Person je nach Wunsch entweder vor Ort Einsicht in diese Daten nehmen kann oder eine Kopie davon erhält.

d)

Betroffene Personen können sich an den Datenschutzbeauftragten wenden, wenn der für die Verarbeitung Verantwortliche eine der in Buchstabe b oder c festgelegten Fristen nicht einhält. Sofern eine betroffene Person ihre Rechte offensichtlich missbräuchlich ausübt, kann der für die Verarbeitung Verantwortliche die betroffene Person an den Datenschutzbeauftragten verweisen. Wird der Fall an den Datenschutzberechtigten verwiesen, so entscheidet dieser über die Begründetheit des Antrags und das angemessene weitere Vorgehen. Im Falle von Meinungsverschiedenheiten zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen haben beide Beteiligten das Recht, den Datenschutzbeauftragten zu konsultieren.

(2)   Mitarbeiter der EZB können den Datenschutzbeauftragten konsultieren, bevor sie eine Beschwerde beim Europäischen Datenschutzbeauftragten gemäß Artikel 33 der Verordnung (EG) Nr. 45/2001 einreichen.

Artikel 10

Ausnahmen und Einschränkungen

(1)   Sofern der Datenschutzbeauftragte zuvor konsultiert wurde, kann der für die Verarbeitung Verantwortliche die in den Artikeln 13 bis 17 der Verordnung (EG) Nr. 45/2001 genannten Rechte aus den in Artikel 20 der Verordnung Nr. 45/2001 genannten Gründen und gemäß den darin enthaltenen Bedingungen einschränken.

(2)   Jede betroffene Person kann den Europäischen Datenschutzbeauftragen um die Anwendung von Artikel 47 Absatz 1 Buchstabe c der Verordnung (EG) Nr. 45/2001 ersuchen.

Artikel 11

Prüfungsverfahren

(1)   Ein Antrag auf eine Prüfung gemäß Artikel 4 Buchstabe b ist schriftlich an den Datenschutzbeauftragten zu richten.

(2)   Der Datenschutzbeauftragte übermittelt dem Antragsteller innerhalb von zwanzig Arbeitstagen nach Eingang des Antrags eine Empfangsbestätigung.

(3)   Der Datenschutzbeauftragte kann den Sachverhalt vor Ort prüfen und den für die Verarbeitung Verantwortlichen um eine schriftliche Stellungnahme ersuchen. Der für die Verarbeitung Verantwortliche übermittelt dem Datenschutzbeauftragten innerhalb von zwanzig Arbeitstagen nach Eingang des Ersuchens eine Antwort. Der Datenschutzbeauftragte kann von allen Geschäftsbereichen der EZB zusätzliche Informationen oder Unterstützung anfordern. Der jeweilige Geschäftsbereich stellt dem Datenschutzbeauftragten die zusätzlichen Informationen oder die zusätzliche Unterstützung innerhalb von zwanzig Arbeitstagen nach Eingang des Ersuchens des Datenschutzbeauftragten zur Verfügung.

(4)   Der Datenschutzbeauftragte erstattet dem Antragsteller innerhalb von drei Kalendermonaten nach Eingang des Antrags über seine Prüfung Bericht.

Artikel 12

Rechtsbehelfe

Zusätzlich zu den in Artikel 32 der Verordnung (EG) Nr. 45/2001 festgelegten Rechtsbehelfen, die allen betroffenen Personen offen stehen, stehen denjenigen betroffenen Personen, die Mitarbeiter der EZB sind, die in den Beschäftigungsbedingungen der EZB vorgesehenen Rechtsbehelfe zur Verfügung.

ABSCHNITT 5

INKRAFTTRETEN

Artikel 13

Schlussbestimmung

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

---

(1)  ABl. L 8 vom 12.1.2001, S. 1.

---