BESCHLUSS (EU, Euratom) 2015/444 DER KOMMISSION

vom 13. März 2015

über die Sicherheitsvorschriften für den Schutz von EU-Verschlusssachen

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 249,

gestützt auf den Vertrag zur Gründung der Europäischen Atomgemeinschaft, insbesondere auf Artikel 106,

gestützt auf das den Verträgen beigefügte Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union, insbesondere auf Artikel 18,

in Erwägung nachstehender Gründe:

HAT FOLGENDEN BESCHLUSS ERLASSEN:

KAPITEL 1

GRUNDSÄTZE UND MINDESTSTANDARDS

Artikel 1

Begriffsbestimmungen

Für die Zwecke dieses Beschlusses gelten die folgenden Begriffsbestimmungen:

1.   „Dienststelle der Kommission“: Generaldirektion oder Dienst der Kommission oder Kabinett eines Mitglieds der Kommission;

2.   „kryptografisches Material (Kryptomaterial)“: kryptografische Algorithmen, kryptografische Hardware- und Softwaremodule und Produkte, die Implementierungsdetails enthalten, sowie die dazugehörige Dokumentation und das Verschlüsselungsmaterial;

3.   „Aufhebung des Geheimhaltungsgrades“: Löschung jeder Geheimhaltungskennzeichnung;

4.   „mehrschichtige Sicherheit“ (defence in depth): Anwendung einer Reihe von Sicherheitsmaßnahmen in Form eines mehrschichtigen Abwehrsystems;

5.   „Dokument“: jede aufgezeichnete Information, unabhängig von ihrer materiellen Form oder ihren Merkmalen;

6.   „Herabstufung“: Einstufung in einen niedrigeren Geheimhaltungsgrad;

7.   „Bearbeitung“ von EU-VS: alle möglichen Handlungen, denen EU-VS während ihres gesamten Lebenszyklus unterliegen können. Sie umfasst die Erstellung, Registrierung, Verarbeitung, Beförderung, Herabstufung, Freigabe und Vernichtung. In Bezug auf Kommunikations- und Informationssysteme umfasst sie ferner die Sammlung, Darstellung, Übermittlung und Speicherung;

8.   „Besitzer“: ordnungsgemäß ermächtigte Person, die nachweislich Kenntnis von Verschlusssachen haben muss und die im Besitz einer EU-VS ist und dementsprechend für deren Schutz verantwortlich zeichnet;

9.   „Durchführungsbestimmungen“: sämtliche gemäß Kapitel 5 des Beschlusses (EU, Euratom) 2015/443 der Kommission (8) erlassenen Vorschriften oder Sicherheitshinweise;

10.   „Material“: Medien, Datenträger, Geräte oder Ausrüstungsgegenstände jeder Art, die bereits hergestellt oder noch in der Herstellung befindlich sind;

11.   „Herausgeber“: das Organ, die Einrichtung oder die Agentur der Europäischen Union, der Mitgliedstaat, der Drittstaat oder die internationale Organisation, unter dessen/deren Verantwortung Verschlusssachen erstellt und/oder in die Strukturen der EU eingebracht wurden;

12.   „Räumlichkeiten“: unbewegliches Vermögen oder diesem gleichzustellendes Vermögen im Eigentum oder Besitz der Kommission;

13.   „Sicherheitsrisikomanagement-Prozess“: der gesamte Prozess der Ermittlung, Kontrolle und Minimierung möglicher Zwischenfälle, die die Sicherheit einer Organisation oder eines der von ihr benutzten Systeme beeinträchtigen könnten. Darunter fallen sämtliche risikobezogenen Tätigkeiten einschließlich der Risikobewertung, -behandlung, -akzeptanz und -kommunikation;

14.   „Statut“: das in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (9) festgelegte Statut der Beamten der Europäischen Gemeinschaften und die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Gemeinschaften;

15.   „Bedrohung“: potenzielle Ursache für einen unerwünschten Zwischenfall, der zu einem Schaden für eine Organisation oder ein von ihr benutztes System führen kann; solche Bedrohungen können unbeabsichtigt oder beabsichtigt (böswillig) sein und unterscheiden sich nach den Bedrohungselementen, potenziellen Zielen und Angriffsmethoden;

16.   „Schwachstelle“: Anfälligkeit, die bei einer oder mehreren Bedrohungen ausgenutzt werden kann. Eine Schwachstelle kann durch ein Versäumnis entstehen oder sich auf eine Anfälligkeit durch nachlässige, unvollständige oder inkohärente Kontrollen beziehen und (verfahrens-)technischer, materieller, organisatorischer oder operativer Art sein.

Artikel 2

Gegenstand und Geltungsbereich

(1)   Dieser Beschluss legt Grundsätze und Mindeststandards für die Sicherheit in Bezug auf den Schutz von EU-VS fest.

(2)   Dieser Beschluss findet auf alle Dienststellen und Gebäude der Kommission Anwendung.

(3)   Ungeachtet spezifischer Anweisungen für bestimmte Gruppen von Mitarbeitern findet dieser Beschluss auf die Mitglieder der Kommission, auf die unter das Statut und die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Gemeinschaften fallenden Bediensteten der Kommission, auf an die Kommission entsandte nationale Experten, auf Dienstleister und ihre Mitarbeiter, auf Praktikanten und auf sonstige Personen Anwendung, die Zugang zu den Gebäuden der Kommission, sonstigen Vermögenswerten oder von der Kommission bearbeiteten Information haben.

(4)   Die Bestimmungen dieses Beschlusses gelten unbeschadet des Beschlusses 2002/47/EG, EGKS, Euratom und des Beschlusses 2004/563/EG, Euratom.

Artikel 3

Begriffsbestimmung für EU-VS, Geheimhaltungsgrade und Kennzeichnungen

(1)   „EU-Verschlusssachen“ (EU-VS) sind alle mit einem EU-Geheimhaltungsgrad gekennzeichneten Informationen oder Materialien, deren unbefugte Weitergabe den Interessen der Europäischen Union oder eines oder mehrerer ihrer Mitgliedstaaten in unterschiedlichem Maße schaden könnte.

(2)   EU-VS werden in einen der folgenden Geheimhaltungsgrade eingestuft:

a)   TRÈS SECRET UE/EU TOP SECRET: Informationen und Materialien, deren unbefugte Weitergabe den wesentlichen Interessen der Europäischen Union oder eines oder mehrerer Mitgliedstaaten äußerst schweren Schaden zufügen könnte.

b)   SECRET UE/EU SECRET: Informationen und Materialien, deren unbefugte Weitergabe den wesentlichen Interessen der Europäischen Union oder eines oder mehrerer Mitgliedstaaten schweren Schaden zufügen könnte.

c)   CONFIDENTIEL UE/EU CONFIDENTIAL: Informationen und Materialien, deren unbefugte Weitergabe den wesentlichen Interessen der Europäischen Union oder eines oder mehrerer Mitgliedstaaten Schaden zufügen könnte.

d)   RESTREINT UE/EU RESTRICTED: Informationen und Materialien, deren unbefugte Weitergabe für die wesentlichen Interessen der Europäischen Union oder eines oder mehrerer Mitgliedstaaten nachteilig sein könnte.

(3)   EU-VS werden mit einem Geheimhaltungsgrad gemäß Absatz 2 gekennzeichnet. Sie können zusätzliche Kennzeichnungen tragen, bei denen es sich zwar nicht um Einstufungskennzeichnungen handelt, mit denen aber der Tätigkeitsbereich, auf den sie sich beziehen, angegeben, der Herausgeber benannt, die Verteilung begrenzt, die Verwendung eingeschränkt oder die Möglichkeit zur Weitergabe ausgewiesen wird.

Artikel 4

Regeln für die Einstufung als Verschlusssache

(1)   Jedes Mitglied der Kommission und jede Dienststelle der Kommission gewährleistet, dass die von ihm/ihr erstellten EU-VS angemessen eingestuft werden, deutlich als Verschlusssachen gekennzeichnet sind und ihren Geheimhaltungsgrad nur so lange wie erforderlich behalten.

(2)   Unbeschadet des Artikels 26 darf der Geheimhaltungsgrad von EU-VS ohne vorherige schriftliche Zustimmung des Herausgebers weder herabgestuft noch aufgehoben werden; das Gleiche gilt für die Veränderung oder Entfernung der in Artikel 3 Absatz 2 genannten Kennzeichnungen.

(3)   Erforderlichenfalls werden im Einklang mit Artikel 60 Durchführungsbestimmungen für den Umgang mit EU-VS erlassen, einschließlich eines Einstufungsleitfadens für Verschlusssachen.

Artikel 5

Schutz von Verschlusssachen

(1)   EU-VS werden gemäß diesem Beschluss und seinen Durchführungsbestimmungen geschützt.

(2)   Der Besitzer einer EU-VS ist dafür verantwortlich, diese in Einklang mit diesem Beschluss und seinen Durchführungsbestimmungen gemäß den Vorschriften nach Kapitel 4 zu schützen.

(3)   Bringt ein Mitgliedstaat Verschlusssachen, die mit einem nationalen Geheimhaltungsgrad gekennzeichnet sind, in die Strukturen oder Netze der Kommission ein, so schützt die Kommission diese Verschlusssachen nach Maßgabe der Anforderungen, die für EU-VS des entsprechenden Geheimhaltungsgrades gemäß der Entsprechungstabelle in Anhang I gelten.

(4)   Eine Gesamtheit von EU-VS kann ein Schutzniveau erfordern, das einem höheren Geheimhaltungsgrad als dem der einzelnen Bestandteile der Gesamtheit entspricht.

Artikel 6

Sicherheitsrisikomanagement

(1)   Die Sicherheitsmaßnahmen für den Schutz von EU-VS während ihres gesamten Lebenszyklus müssen insbesondere dem Geheimhaltungsgrad, der Form und dem Umfang der Informationen und des Materials, der Lage und der Beschaffenheit der Einrichtungen, in denen EU-VS aufbewahrt werden, und der örtlichen Einschätzung der Bedrohung durch böswillige und/oder kriminelle Handlungen, einschließlich Spionage, Sabotage oder Terrorismus, entsprechen.

(2)   In Notfallplänen wird berücksichtigt, dass EU-VS in Notsituationen geschützt werden müssen, damit der unbefugte Zugang sowie die unbefugte Weitergabe verhindert und die Unversehrtheit sowie die Verfügbarkeit sichergestellt werden.

(3)   In den Kontinuitätsplänen aller Dienststellen werden Präventions- und Wiederherstellungsmaßnahmen vorgesehen, damit die Auswirkungen größerer Störungen oder Zwischenfälle auf die Bearbeitung und Speicherung beziehungsweise Aufbewahrung von EU-VS so gering wie möglich gehalten werden.

Artikel 7

Anwendung des Beschlusses

(1)   Erforderlichenfalls werden zur Ergänzung oder Untermauerung dieses Beschlusses im Einklang mit Artikel 60 Durchführungsbestimmungen erlassen.

(2)   Die Dienststellen der Kommission treffen alle in ihre Zuständigkeit fallenden Maßnahmen, um zu gewährleisten, dass bei der Bearbeitung und Speicherung beziehungsweise Aufbewahrung von EU-VS oder anderen Verschlusssachen dieser Beschluss und die einschlägigen Durchführungsbestimmungen Anwendung finden.

(3)   Die zur Durchführung dieses Beschlusses getroffenen Sicherheitsmaßnahmen müssen im Einklang mit den in Artikel 3 des Beschlusses (EU, Euratom) 2015/443 festgelegten Grundsätzen für die Sicherheit in der Kommission stehen.

(4)   Der Generaldirektor für Humanressourcen und Sicherheit richtet innerhalb seiner Generaldirektion die Sicherheitsstelle der Kommission ein. Die Sicherheitsstelle der Kommission nimmt die ihr mit dem vorliegenden Beschluss und seinen Durchführungsbestimmungen übertragenen Zuständigkeiten wahr.

(5)   In jeder Dienststelle der Kommission nimmt der lokale Sicherheitsbeauftragte gemäß Artikel 20 des Beschlusses (EU, Euratom) 2015/443 in enger Zusammenarbeit mit der Generaldirektion Humanressourcen und Sicherheit und im Einklang mit diesem Beschluss folgende Aufgaben zum Schutz von EU-VS wahr:

Artikel 8

Sicherheitsverletzungen und Kompromittierungen von EU-VS

(1)   Zu einer Sicherheitsverletzung kommt es durch eine Handlung oder Unterlassung einer Person, die den in diesem Beschluss und den Durchführungsbestimmungen festgelegten Sicherheitsvorschriften zuwiderläuft.

(2)   Eine Kompromittierung von EU-VS liegt vor, wenn EU-VS infolge einer Sicherheitsverletzung ganz oder teilweise unbefugten Personen zur Kenntnis gelangt sind.

(3)   Erfolgte oder vermutete Verletzungen der Sicherheit werden der Sicherheitsstelle der Kommission unverzüglich gemeldet.

(4)   Wird bekannt oder besteht berechtigter Grund zu der Annahme, dass EU-VS kompromittiert oder verloren gegangen sind, wird im Einklang mit Artikel 13 des Beschlusses (EU, Euratom) 2015/443 eine Sicherheitsuntersuchung durchgeführt.

(5)   Es werden alle geeigneten Maßnahmen getroffen, um

(6)   Gegen jede Person, die für eine Verletzung der Sicherheitsvorschriften dieses Beschlusses verantwortlich ist, können im Einklang mit dem Statut Disziplinarmaßnahmen ergriffen werden. Gegen jede Person, die für die Kompromittierung oder den Verlust von EU-VS verantwortlich ist, können gemäß den geltenden Rechtsvorschriften, Regelungen und sonstigen Vorschriften Disziplinarmaßnahmen ergriffen und/oder rechtliche Schritte unternommen werden.

KAPITEL 2

PERSONELLER GEHEIMSCHUTZ

Artikel 9

Begriffsbestimmungen

Für die Zwecke dieses Kapitels gelten folgende Begriffsbestimmungen:

1.   „Ermächtigung für den Zugang zu EU-VS“: Beschluss der Sicherheitsstelle der Kommission auf Grundlage der von einer zuständigen Behörde eines Mitgliedstaats getroffenen Feststellung, dass einem Beamten der Kommission, einem sonstigen Bediensteten oder einem abgeordneten nationalen Sachverständigen bis zu einem bestimmten Zeitpunkt und bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) Zugang zu EU-VS gewährt werden kann, sofern die betreffende Person nachweislich Kenntnis von Verschlusssachen haben muss und sie über ihre Verantwortlichkeiten angemessen belehrt worden ist; diese Person wird als „sicherheitsermächtigt“ bezeichnet.

2.   „Sicherheitsermächtigung für Personal“: Anwendung von Maßnahmen, mit denen gewährleistet wird, dass nur Personen Zugang zu EU-VS erhalten, die

3.   „Erklärung über die Sicherheitsüberprüfung von Personal“ (Personnel Security Clearance, PSC): Erklärung einer zuständigen Behörde eines Mitgliedstaats, die nach Abschluss einer Sicherheitsüberprüfung durch die zuständigen Behörden eines Mitgliedstaats abgegeben und mit der bescheinigt wird, dass einer Person, die nachweislich Kenntnis von Verschlusssachen haben muss und die über ihre Verantwortlichkeiten angemessen belehrt worden ist, bis zu einem bestimmten Datum und bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) Zugang zu EU-VS gewährt werden kann;

4.   „Sicherheitsüberprüfungsbescheinigung“ (Personnel Security Clearance Certificate, PSCC): von einer zuständigen Behörde ausgestellte Bescheinigung, in der festgestellt wird, dass eine Person sicherheitsüberprüft ist oder eine von der Sicherheitsstelle der Kommission ausgestellte gültige Sicherheitsermächtigung besitzt, aus der der Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher), bis zu dem der Person Zugang zu EU-VS gewährt werden kann, das Gültigkeitsdatum der betreffenden Sicherheitsüberprüfung oder -ermächtigung und das Ablaufdatum der Bescheinigung selbst hervorgehen.

5.   „Sicherheitsüberprüfung“: Überprüfung, die von der zuständigen Behörde eines Mitgliedstaats nach den innerstaatlichen Rechtsvorschriften und Regelungen durchgeführt wird, um Gewissheit darüber zu erlangen, dass über die betreffende Person keine nachteiligen Erkenntnisse vorliegen, die dem Zugang zu Verschlusssachen bis zu einem bestimmten Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) entgegenstehen würden.

Artikel 10

Grundsätze

(1)   Einer Person darf der Zugang zu EU-VS nur gewährt werden, wenn

(2)   Alle Personen, die zur Wahrnehmung ihrer Aufgaben auf als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte EU-VS zugreifen können müssen, müssen über eine Sicherheitsermächtigung für den entsprechenden Geheimhaltungsgrad verfügen, bevor ihnen Zugang zu diesen EU-VS gewährt wird. Die betreffende Person erklärt sich schriftlich damit einverstanden, dass sie der Sicherheitsüberprüfung unterzogen wird. Andernfalls kann ihr keine Stelle, Funktion oder Aufgabe zugewiesen werden, die den Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen umfasst.

(3)   Die Verfahren für die Sicherheitsüberprüfung von Personal dienen der Feststellung, ob einer Person unter Berücksichtigung ihrer Loyalität, Vertrauenswürdigkeit und Zuverlässigkeit der Zugang zu EU-VS gewährt werden kann.

(4)   Mit Hilfe einer von den zuständigen Behörden eines Mitgliedstaats im Einklang mit den innerstaatlichen Rechtsvorschriften und Regelungen durchgeführten Sicherheitsüberprüfung wird festgestellt, ob bei einer Person die nötige Loyalität, Vertrauenswürdigkeit und Zuverlässigkeit für den Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen gegeben ist.

(5)   Für den Kontakt zu den nationalen Sicherheitsbehörden oder anderen zuständigen nationalen Behörden im Rahmen der Sicherheitsüberprüfung ist ausschließlich die Sicherheitsstelle der Kommission zuständig. Der gesamte Austausch zwischen den Dienststellen der Kommission und ihrem Personal sowie den nationalen Sicherheitsbehörden und anderen zuständigen Behörden erfolgt über die Sicherheitsstelle der Kommission.

Artikel 11

Sicherheitsermächtigungsverfahren

(1)   Jeder Generaldirektor oder Dienststellenleiter der Kommission bestimmt innerhalb seiner Dienststelle die Dienstposten, deren Inhaber zur Wahrnehmung ihrer Aufgaben Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen und eine entsprechende Sicherheitsermächtigung benötigen.

(2)   Sobald feststeht, dass eine Person auf einen Dienstposten berufen wird, der den Zugang zu als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Verschlusssachen erfordert, unterrichtet der lokale Sicherheitsbeauftragte der betreffenden Kommissionsdienststelle die Sicherheitsstelle der Kommission hierüber. Letztere übermittelt der betreffenden Person den Fragebogen für die Sicherheitsüberprüfung der nationalen Sicherheitsbehörde des Mitgliedstaats, unter dessen Staatsangehörigkeit die Person bei den EU-Organen oder -Einrichtungen eingestellt wurde. Die betreffende Person erklärt sich schriftlich damit einverstanden, dass sie der Sicherheitsüberprüfung unterzogen wird, und sendet der Sicherheitsstelle der Kommission den ausgefüllten Fragebogen innerhalb kürzester Frist zurück.

(3)   Die Sicherheitsstelle der Kommission übermittelt der nationalen Sicherheitsbehörde des Mitgliedstaats, unter dessen Staatsangehörigkeit die betreffende Person bei den EU-Organen oder -Einrichtungen eingestellt wurde, den ausgefüllten Fragebogen für die Sicherheitsüberprüfung und beantragt die Durchführung einer Sicherheitsüberprüfung für den Geheimhaltungsgrad von EU-VS, zu denen die betreffende Person Zugang haben muss.

(4)   Werden der Sicherheitsstelle der Kommission sicherheitsrelevante Informationen über eine Person bekannt, die eine Sicherheitsüberprüfung beantragt hat, so teilt sie dies der zuständigen nationalen Sicherheitsbehörde gemäß den einschlägigen Vorschriften und Regelungen mit.

(5)   Nach Abschluss der Sicherheitsüberprüfung und so bald wie möglich nach der Benachrichtigung durch die zuständige nationale Sicherheitsbehörde über die Gesamtauswertung der Erkenntnisse der Sicherheitsüberprüfung verfährt die Sicherheitsstelle der Kommission wie folgt:

(6)   Für die Sicherheitsüberprüfung und deren Ergebnisse gelten die einschlägigen Rechtsvorschriften und Regelungen des betreffenden Mitgliedstaats einschließlich der Rechtsvorschriften für etwaige Rechtsbehelfe. Gegen Entscheidungen der Sicherheitsstelle der Kommission können Rechtsbehelfe gemäß dem Statut eingelegt werden.

(7)   Die Kommission erkennt die von anderen Organen, Einrichtungen oder Agenturen der Union ausgestellten Ermächtigungen für den Zugang zu EU-VS an, solange diese gültig sind. Die Ermächtigungen erstrecken sich auf alle Aufgaben, die der betreffenden Person innerhalb der Kommission zugewiesen werden. Das Organ, die Einrichtung oder die Agentur der Union, bei dem beziehungsweise der die betreffende Person ihre Beschäftigung aufnimmt, unterrichtet die zuständige nationale Sicherheitsbehörde über den Wechsel des Arbeitgebers.

(8)   Nimmt eine Person innerhalb von 12 Monaten nach Mitteilung des Ergebnisses der Sicherheitsüberprüfung an die Sicherheitsstelle der Kommission ihren Dienst nicht auf oder unterbricht sie diesen für einen Zeitraum von 12 Monaten, in dem sie nicht bei der Kommission oder einem anderen Organ, einer anderen Einrichtung oder Agentur der Union oder bei einer nationalen Verwaltung eines Mitgliedstaats tätig ist, so befasst die Sicherheitsstelle der Kommission die zuständige nationale Sicherheitsbehörde mit der Angelegenheit und ersucht diese um eine Bestätigung, dass die betreffende Person weiterhin als ordnungsgemäß sicherheitsüberprüft gilt.

(9)   Werden der Sicherheitsstelle der Kommission Informationen über ein Sicherheitsrisiko bekannt, das von einer Person ausgeht, die eine gültige Sicherheitsermächtigung besitzt, so teilt die Sicherheitsstelle der Kommission dies gemäß den einschlägigen Vorschriften und Regelungen der zuständigen nationalen Sicherheitsbehörde mit.

(10)   Teilt eine nationale Sicherheitsbehörde der Sicherheitsstelle der Kommission mit, dass eine gemäß Absatz 5 Buchstabe a erfolgte Feststellung in Bezug auf eine Person, die im Besitz einer gültigen Ermächtigung für den Zugang zu EU-VS ist, zurückgenommen wurde, kann die Kommission die nationale Sicherheitsbehörde um alle weiteren Auskünfte ersuchen, die diese nach ihren innerstaatlichen Rechtsvorschriften und Regelungen geben darf. Bei Bestätigung der nachteiligen Erkenntnisse durch die zuständige nationale Behörde wird die Ermächtigung zurückgenommen und die betreffende Person vom Zugang zu EU-VS und von Dienstposten, auf denen sie auf EU-VS zugreifen oder ein Sicherheitsrisiko darstellen könnte, ausgeschlossen.

(11)   Jede Entscheidung über die Rücknahme oder die Aussetzung einer Ermächtigung für den Zugang zu EU-VS für eine Person, auf die dieser Beschluss Anwendung findet, und gegebenenfalls die dafür maßgeblichen Gründe werden der betreffenden Person mitgeteilt; die betreffende Person kann beantragen, von der Sicherheitsstelle der Kommission gehört zu werden. Für die von einer nationalen Sicherheitsbehörde zur Verfügung gestellten Informationen gelten die einschlägigen Rechtsvorschriften und Regelungen des betreffenden Mitgliedstaats. Gegen diesbezügliche Entscheidungen der Sicherheitsstelle der Kommission können im Einklang mit dem Statut Rechtsbehelfe eingelegt werden.

(12)   Die Dienststellen der Kommission stellen sicher, dass abgeordnete nationale Sachverständige, die bei ihnen einen Dienstposten bekleiden sollen, der eine Sicherheitsermächtigung für den Zugang zu EU-VS voraussetzt, der Sicherheitsstelle der Kommission im Einklang mit den nationalen Rechts- und Verwaltungsvorschriften vor Dienstantritt eine gültige PSC oder PSCC vorlegen; auf dieser Grundlage gewährt die Sicherheitsstelle der Kommission der betreffenden Person eine Sicherheitsermächtigung für den Zugang zu EU-VS, die bis zu dem Geheimhaltungsgrad, für den die nationale Sicherheitsüberprüfung durchgeführt wurde, und höchstens für die Dauer der Abordnung gültig ist.

(13)   Die Mitglieder der Kommission, die nach Maßgabe des Vertrags aufgrund ihrer Aufgaben Zugang zu EU-VS haben, werden über ihre Sicherheitspflichten im Hinblick auf den Schutz von EU-VS belehrt.

(14)   Die Sicherheitsstelle der Kommission führt im Einklang mit diesem Beschluss Unterlagen über Sicherheitsüberprüfungen und -ermächtigungen für den Zugang zu EU-VS. Diese Unterlagen enthalten mindestens Angaben zum Geheimhaltungsgrad der EU-VS, zu denen der betreffenden Person Zugang gewährt werden darf, das Datum der Sicherheitsüberprüfung und deren Gültigkeitsdauer.

(15)   Die Sicherheitsstelle der Kommission kann eine PSCC ausstellen, die Angaben zum Geheimhaltungsgrad („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher) der EU-VS, zu denen der Person Zugang gewährt werden darf, zur Gültigkeitsdauer der betreffenden Ermächtigung für den Zugang zu EU-VS und zum Ende der Gültigkeitsdauer der Bescheinigung enthält.

(16)   Nach der erstmaligen Erteilung einer Sicherheitsermächtigung für den Zugang zu EU-VS ist diese generell alle fünf Jahre (gerechnet ab dem Tag der Mitteilung des Ergebnisses der letzten Sicherheitsüberprüfung, auf deren Grundlage die betreffende Sicherheitsermächtigung erteilt wurde) im Hinblick auf eine Erneuerung zu überprüfen, sofern die betreffende Person ununterbrochen bei der Europäischen Kommission oder bei einem anderen Organ, einer anderen Einrichtung oder einer anderen Agentur der Union tätig gewesen ist und weiterhin Zugang zu EU-VS benötigt.

(17)   Die Sicherheitsstelle der Kommission kann die Gültigkeit der bestehenden Sicherheitsermächtigung um bis zu 12 Monate verlängern, sofern sie von der zuständigen nationalen Sicherheitsbehörde oder einer sonstigen zuständigen nationalen Behörde binnen zwei Monaten ab dem Datum der Übermittlung des Erneuerungsantrags und des entsprechenden Sicherheitsfragebogens keine nachteiligen Informationen erhält. Hat die zuständige nationale Sicherheitsbehörde oder die sonstige zuständige nationale Behörde der Sicherheitsstelle der Kommission ihre Stellungnahme nicht übermittelt, so werden der betreffenden Person Aufgaben zugewiesen, für die keine Sicherheitsermächtigung erforderlich ist.

Artikel 12

Sicherheitsunterweisungen

(1)   Nach der Teilnahme an der von der Sicherheitsstelle der Kommission durchgeführten Sicherheitsunterweisung bestätigen alle Personen, denen eine Sicherheitsermächtigung erteilt wurde, schriftlich, dass sie sich ihrer Pflichten in Bezug auf den Schutz von EU-VS und der Folgen einer etwaigen Kompromittierung von EU-VS bewusst sind. Die Sicherheitsstelle der Kommission verwahrt die entsprechenden schriftlichen Bestätigungen.

(2)   Alle Personen, die zum Zugang zu EU-VS ermächtigt sind oder EU-VS bearbeiten müssen, werden in einer ersten Phase für Bedrohungen der Sicherheit sensibilisiert und später in regelmäßigen Abständen darüber belehrt; sie müssen alle von ihnen als verdächtig oder ungewöhnlich erachteten Anbahnungsversuche oder sonstigen Tätigkeiten unverzüglich der Sicherheitsstelle der Kommission melden.

(3)   Alle Personen, die nicht mehr mit Aufgaben betraut sind, die einen Zugang zu EU-VS erfordern, werden über ihre Pflichten in Bezug auf den fortgesetzten Schutz von EU-VS belehrt und haben diese gegebenenfalls schriftlich zu bestätigen.

Artikel 13

Befristete Sicherheitsermächtigungen

(1)   In Ausnahmefällen und sofern es im dienstlichen Interesse gerechtfertigt ist, kann die Sicherheitsstelle der Kommission in Erwartung des Abschlusses einer umfassenden Sicherheitsüberprüfung nach Konsultation der nationalen Sicherheitsbehörde des Mitgliedstaats, dessen Staatsangehörigkeit die betreffende Person besitzt, und vorbehaltlich der Ergebnisse einer ersten Prüfung, mit der festgestellt werden soll, ob keine relevanten nachteiligen Erkenntnisse vorliegen, unbeschadet der Bestimmungen über die Erneuerung von Sicherheitsüberprüfungen eine vorläufige Ermächtigung zum Zugang zu EU-VS für eine bestimmte Tätigkeit erteilen. Solche vorläufigen Ermächtigungen für den Zugang zu EU-VS gelten einmalig für einen Zeitraum von höchstens sechs Monaten und berechtigen nicht zum Zugang zu Verschlusssachen, die als „TRÈS SECRET UE/EU TOP SECRET“ eingestuft sind.

(2)   Nach der Teilnahme an einer Sicherheitsunterweisung gemäß Artikel 12 Absatz 1 bestätigen alle Personen, denen eine vorläufige Ermächtigung erteilt wurde, schriftlich, dass sie sich ihrer Pflichten in Bezug auf den Schutz von EU-VS und der Folgen einer Kenntnisnahme von EU-VS durch Unbefugte bewusst sind. Die Sicherheitsstelle der Kommission verwahrt die entsprechenden schriftlichen Bestätigungen.

Artikel 14

Teilnahme an von der Kommission organisierten vertraulichen Sitzungen

(1)   Dienststellen der Kommission, die Sitzungen veranstalten, in deren Rahmen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestufte Informationen erörtert werden, teilen der Sicherheitsstelle der Kommission über ihren lokalen Sicherheitsbeauftragten oder den Organisator der Sitzung frühzeitig das Datum, die Uhrzeit, den Ort und die Namen der Sitzungsteilnehmer mit.

(2)   Vorbehaltlich der Bestimmungen von Artikel 11 Absatz 13 darf Personen, die an von der Kommission organisierten Sitzungen teilnehmen sollen, in deren Rahmen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ und höher eingestufte Informationen erörtert werden, die Teilnahme nur gestattet werden, wenn der Status ihrer Sicherheitsüberprüfung oder ihrer Sicherheitsermächtigung bestätigt wurde. Die Teilnahme an solchen vertraulichen Sitzungen wird sowohl Personen verwehrt, für die der Sicherheitsstelle der Kommission keine PSCC oder ein anderer Nachweis für eine Sicherheitsüberprüfung vorliegt, als auch nicht sicherheitsermächtigten Teilnehmern der Kommission.

(3)   Vor der Veranstaltung einer vertraulichen Sitzung fordert der lokale Sicherheitsbeauftragte der Kommissionsdienststelle, die die Sitzung organisiert, die externen Teilnehmer auf, der Sicherheitsstelle der Kommission eine PSCC oder einen anderen Nachweis für eine Sicherheitsüberprüfung zu übermitteln. Die Sicherheitsstelle der Kommission informiert den lokalen Sicherheitsbeauftragten oder den Organisator der Sitzung über die von ihr erhaltene PSCC oder über sonstige Nachweise für eine PSC. Gegebenenfalls kann eine konsolidierte Namensliste verwendet werden, die den einschlägigen Nachweis einer Sicherheitsüberprüfung enthält.

(4)   Wird die Sicherheitsstelle der Kommission von den zuständigen Behörden darüber informiert, dass einer Person, die im Rahmen ihrer Aufgaben an Sitzungen der Kommission teilnehmen muss, die PSC entzogen wurde, so teilt die Sicherheitsstelle der Kommission dies dem lokalen Sicherheitsbeauftragten der für die Organisation der Sitzung verantwortlichen Kommissionsdienstelle mit.

Artikel 15

Möglicher Zugang zu EU-VS

Boten, Sicherheitsbedienstete und Begleitpersonen müssen über eine Sicherheitsermächtigung des erforderlichen Geheimhaltungsgrades verfügen oder auf andere Weise gemäß den innerstaatlichen Rechtsvorschriften angemessen überprüft und über die Sicherheitsverfahren zum Schutz von EU-VS sowie über ihre Pflichten zum Schutz der ihnen anvertrauten Verschlusssachen belehrt werden.

KAPITEL 3

MATERIELLER GEHEIMSCHUTZ VON VERSCHLUSSSACHEN

Artikel 16

Grundsätze

(1)   Die Maßnahmen des materiellen Geheimschutzes zielen darauf ab, das heimliche oder gewaltsame Eindringen unbefugter Personen zu verhindern, von unbefugten Handlungen abzuschrecken beziehungsweise diese zu verhindern und aufzudecken und den Einsatz von Personal in Bezug auf den Zugang zu EU-VS nach dem Grundsatz „Kenntnis nur, wenn nötig“ zu ermöglichen. Diese Maßnahmen werden auf der Grundlage eines Risikomanagementprozesses im Einklang mit diesem Beschluss und seinen Durchführungsbestimmungen festgelegt.

(2)   Die Maßnahmen des materiellen Geheimschutzes zielen insbesondere darauf ab, den Zugang unbefugter Personen zu EU-VS zu verhindern, indem

(3)   Die Maßnahmen des materiellen Geheimschutzes werden für alle Gebäude, Büros, Räume und sonstigen Bereiche, in denen EU-VS bearbeitet oder aufbewahrt werden, getroffen, einschließlich Bereiche, in denen Kommunikations- und Informationssysteme gemäß Kapitel 5 untergebracht sind.

(4)   Die Bereiche, in denen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte EU-VS aufbewahrt werden, werden als besonders geschützte Bereiche gemäß diesem Kapitel eingerichtet und von der Sicherheitsakkreditierungsstelle der Kommission genehmigt.

(5)   Zum Schutz von als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften EU-VS werden ausschließlich von der Sicherheitsstelle der Kommission zugelassene Ausrüstungen oder Geräte verwendet.

Artikel 17

Anforderungen und Maßnahmen bezüglich des materiellen Geheimschutzes

(1)   Die Auswahl der Maßnahmen des materiellen Geheimschutzes erfolgt auf der Grundlage einer Einschätzung der Bedrohungslage durch die Sicherheitsstelle der Kommission und gegebenenfalls in Absprache mit anderen Dienststellen der Kommission, anderen Organen, Einrichtungen oder Agenturen der Union und/oder den zuständigen Behörden der Mitgliedstaaten. Die Kommission wendet in ihren Gebäuden einen Risikomanagementprozess für den Schutz von EU-VS an, um zu gewährleisten, dass der Umfang des physischen Schutzes dem festgestellten Risiko entspricht. Der Risikomanagementprozess trägt allen relevanten Faktoren Rechnung, insbesondere

(2)   Die Sicherheitsstelle der Kommission legt unter Anwendung des Konzepts der mehrschichtigen Sicherheit eine angemessene Kombination erforderlicher Maßnahmen des materiellen Geheimschutzes fest. Zu diesem Zweck erarbeitet die Sicherheitsstelle der Kommission die in den Durchführungsbestimmungen beschriebenen Mindeststandards, -normen und -kriterien.

(3)   Die Sicherheitsstelle der Kommission ist befugt, Durchsuchungen an den Ein- und Ausgängen vorzunehmen, um vom Verbringen unzulässigen Materials in Räumlichkeiten oder Gebäude oder von der unbefugten Mitnahme von EU-VS aus Räumlichkeiten oder Gebäuden abzuschrecken.

(4)   Besteht die Gefahr einer — auch versehentlichen — unzulässigen Einsicht in EU-VS, so ergreifen die betroffenen Kommissionsdienststellen gemäß den Vorgaben der Sicherheitsstelle der Kommission geeignete Maßnahmen, um dieser Gefahr entgegenzuwirken.

(5)   Bei neuen Einrichtungen werden die Anforderungen hinsichtlich des materiellen Geheimschutzes und deren funktionale Spezifikationen im Einvernehmen mit der Sicherheitsstelle der Kommission bei der Planung und Konzeption der Einrichtungen festgelegt. Bei bestehenden Einrichtungen werden die Anforderungen hinsichtlich des materiellen Geheimschutzes im Einklang mit den in den Durchführungsbestimmungen beschriebenen Mindeststandards, -normen und -kriterien umgesetzt.

Artikel 18

Ausrüstung für den physischen Schutz von EU-VS

(1)   Zum physischen Schutz von EU-VS werden zwei Arten von durch Maßnahmen des materiellen Geheimschutzes geschützten Bereichen eingerichtet:

(2)   Die Sicherheitsakkreditierungsstelle der Kommission legt fest, ob ein bestimmter Bereich die Anforderungen für eine Ausweisung als Verwaltungsbereich, als besonders geschützter Bereich oder als technisch abgesicherter Bereich erfüllt.

(3)   Für Verwaltungsbereiche gilt:

(4)   Für besonders geschützte Bereiche gilt:

(5)   Wenn das Betreten eines besonders geschützten Bereichs de facto den unmittelbaren Zugang zu darin enthaltenen Verschlusssachen ermöglicht, sind außerdem folgende Anforderungen zu erfüllen:

(6)   Besonders geschützte Bereiche mit Abhörschutz sind als technisch abgesicherte Bereiche auszuweisen. Es gelten die folgenden zusätzlichen Anforderungen:

(7)   Unbeschadet von Absatz 6 Buchstabe d müssen alle Kommunikationsgeräte und elektrischen oder elektronischen Geräte vor ihrer Nutzung in Bereichen, in denen Sitzungen oder Arbeiten zu Verschlusssachen des Geheimhaltungsgrads „SECRET UE/EU SECRET“ und höher stattfinden, sowie in Fällen, in denen die Gefährdung von EU-VS als hoch eingeschätzt wird, vorab von der Sicherheitsstelle der Kommission untersucht werden, um sicherzustellen, dass mit diesen Geräten keine verständlichen Informationen auf unbeabsichtigte oder unzulässige Weise aus dem betreffenden besonders geschützten Bereich nach außen übermittelt werden können.

(8)   Besonders geschützte Bereiche, die nicht rund um die Uhr von diensthabendem Personal besetzt sind, werden gegebenenfalls nach den üblichen Arbeitszeiten und in unregelmäßigen Abständen außerhalb der üblichen Arbeitszeiten kontrolliert, sofern kein Einbruchmeldesystem vorhanden ist.

(9)   Innerhalb eines Verwaltungsbereichs können zeitweilig besonders geschützte Bereiche oder technisch abgesicherte Bereiche für eine vertrauliche Sitzung oder einen anderen ähnlichen Zweck eingerichtet werden.

(10)   Der lokale Sicherheitsbeauftragte der betreffenden Kommissionsdienststelle erstellt für jeden besonders geschützten Bereich seines Zuständigkeitsbereichs sicherheitsbezogene Betriebsverfahren, die im Einklang mit den Bestimmungen dieses Beschlusses und seinen Durchführungsbestimmungen regeln,

(11)   Tresorräume werden in besonders geschützte Bereiche eingebaut. Wände, Böden, Decken, Fenster und verschließbare Türen müssen von der Sicherheitsstelle der Kommission zugelassen werden und einen Schutz bieten, der dem eines Sicherheitsbehältnisses entspricht, das für die Aufbewahrung von EU-VS desselben Geheimhaltungsgrads zugelassen ist.

Artikel 19

Physische Schutzmaßnahmen für die Bearbeitung und Aufbewahrung von EU-VS

(1)   EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ dürfen in folgenden Bereichen bearbeitet werden:

(2)   EU-VS des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ sind in geeigneten, verschließbaren Büromöbeln in einem Verwaltungsbereich oder einem besonders geschützten Bereich aufzubewahren. Sie können zeitweilig außerhalb eines Verwaltungsbereichs oder eines besonders geschützten Bereichs aufbewahrt werden, sofern der Besitzer sich verpflichtet hat, die in den Durchführungsbestimmungen festgelegten besonderen Maßnahmen einzuhalten.

(3)   EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ dürfen in folgenden Bereichen bearbeitet werden:

(4)   EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ werden in einem besonders geschützten Bereich in einem Sicherheitsbehältnis oder in einem Tresorraum aufbewahrt.

(5)   EU-VS des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ werden in einem besonders geschützten Bereich bearbeitet, der von der Sicherheitsstelle der Kommission eingerichtet und verwaltet wird und der bis zu diesem Geheimhaltungsgrad von der Sicherheitsakkreditierungsstelle der Kommission zugelassen ist.

(6)   EU-VS des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ werden in einem besonders geschützten Bereich, der bis zu diesem Geheimhaltungsgrad von der Sicherheitsakkreditierungsstelle der Kommission zugelassen ist, wie folgt aufbewahrt:

Artikel 20

Verwaltung der Schlüssel und Kombinationen zum Schutz von EU-VS

(1)   Die Verfahren für die Verwaltung der Schlüssel und Kombinationen für Büros, Räume, Tresorräume und Sicherheitsbehältnisse werden in Durchführungsbestimmungen nach Maßgabe von Artikel 60 festgelegt. Diese Verfahren sollen den Schutz vor unbefugtem Zugang sicherstellen.

(2)   Der Kreis der Personen, die die Kombinationen kennen, ist so weit wie möglich zu begrenzen. Die Kombinationen für Sicherheitsbehältnisse und Tresorräume, in denen EU-VS aufbewahrt werden, werden geändert

KAPITEL 4

VERWALTUNG VON EU-VERSCHLUSSSACHEN

Artikel 21

Grundsätze

(1)   Alle EU-VS werden im Einklang mit der Strategie der Kommission über die Dokumentenverwaltung verwaltet; sie sollten daher nach Maßgabe der gemeinsamen Liste für die kommissionsinterne Dokumentenaufbewahrung registriert, als Muster, teilweise oder vollständig abgelegt, aufbewahrt und schließlich vernichtet oder an die historischen Archive übermittelt werden.

(2)   Als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte Verschlusssachen werden zu Sicherheitszwecken bei Erhalt und vor ihrer Weiterleitung registriert. Als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Informationen werden in den benannten Registraturen registriert.

(3)   Innerhalb der Kommission wird im Einklang mit Artikel 27 ein Registratursystem für EU-VS eingeführt.

(4)   In Dienststellen und Räumlichkeiten der Kommission, in denen EU-VS bearbeitet oder gespeichert beziehungsweise aufbewahrt werden, werden regelmäßig Kontrollen durch die Sicherheitsstelle der Kommission durchgeführt.

(5)   EU-VS werden zwischen Dienststellen und Räumlichkeiten außerhalb von physisch geschützten Bereichen wie folgt befördert:

Artikel 22

Geheimhaltungsgrade und Kennzeichnungen

(1)   Informationen werden als Verschlusssache eingestuft, wenn sie gemäß Artikel 3 Absatz 1 hinsichtlich ihrer Vertraulichkeit zu schützen sind.

(2)   Der Herausgeber einer EU-VS ist dafür zuständig, im Einklang mit den für die Einstufung geltenden Durchführungsbestimmungen, Standards und Leitlinien den Geheimhaltungsgrad und den ursprünglichen Empfängerkreis der Informationen zu bestimmen.

(3)   Der Geheimhaltungsgrad von EU-VS wird nach Maßgabe von Artikel 3 Absatz 2 und der einschlägigen Durchführungsbestimmungen festgelegt.

(4)   Der Geheimhaltungsgrad ist eindeutig und richtig anzugeben, unabhängig davon, ob die EU-VS im Papierformat, in mündlicher, elektronischer oder anderer Form vorliegt.

(5)   Einzelne Teile eines gegebenen Dokuments (d. h. Seiten, Absätze, Abschnitte, Anhänge oder sonstige Anlagen) können eine unterschiedliche Einstufung erfordern und sind entsprechend zu kennzeichnen; dies gilt auch bei einer Speicherung in elektronischer Form.

(6)   Der Geheimhaltungsgrad des Gesamtdokuments oder der Datei entspricht mindestens dem Geheimhaltungsgrad seines/ihres am höchsten eingestuften Teils. Werden Informationen aus verschiedenen Quellen zusammengestellt, so wird die endgültige Fassung durchgesehen, um den grundsätzlichen Geheimhaltungsgrad zu bestimmen, da sie einen höheren Geheimhaltungsgrad als für die einzelnen Bestandteile nötig erfordern kann.

(7)   Dokumente, die Teile mit unterschiedlichen Geheimhaltungsgraden umfassen, sollten möglichst so untergliedert werden, dass Teile mit verschiedenen Geheimhaltungsgraden leicht zu erkennen sind und gegebenenfalls voneinander getrennt werden können.

(8)   Begleitschreiben oder Übermittlungsvermerke mit Anlagen werden so hoch eingestuft wie die am höchsten eingestufte Anlage. Der Herausgeber muss anhand einer entsprechenden Kennzeichnung klar angeben, welcher Geheimhaltungsgrad für das Begleitschreiben beziehungsweise den Übermittlungsvermerk gilt, wenn diesem die Anlagen nicht beigefügt sind, z. B.:

Artikel 23

Kennzeichnungen

Zusätzlich zu einer der VS-Kennzeichnungen nach Artikel 3 Absatz 2 können EU-VS mit zusätzlichen Kennzeichnungen versehen sein, beispielsweise mit

Artikel 24

Abgekürzte Einstufungskennzeichnungen

(1)   Um den Geheimhaltungsgrad einzelner Absätze eines Textes auszuweisen, können standardmäßig abgekürzte Einstufungskennzeichnungen verwendet werden. Die Abkürzungen ersetzen nicht die kompletten Einstufungskennzeichnungen.

(2)   In EU-VS können folgende Standardabkürzungen verwendet werden, um den Geheimhaltungsgrad von Textabschnitten oder Textteilen von weniger als einer Seite anzugeben:

Artikel 25

Erstellung von EU-VS

(1)   Bei der Erstellung einer EU-Verschlusssache

(2)   Ist die Anwendung von Absatz 1 auf EU-VS nicht möglich, so sind im Einklang mit den Durchführungsbestimmungen andere geeignete Maßnahmen zu treffen.

Artikel 26

Herabstufung und Aufhebung des Geheimhaltungsgrads von EU-VS

(1)   Der Herausgeber teilt, sofern möglich, zum Zeitpunkt der Erstellung einer EU-VS mit, ob deren Geheimhaltungsgrad zu einem bestimmten Zeitpunkt oder im Anschluss an ein bestimmtes Ereignis herabgestuft oder aufgehoben werden kann.

(2)   Jede Kommissionsdienststelle überprüft die EU-VS, deren Herausgeber sie ist, regelmäßig daraufhin, ob ihr Geheimhaltungsgrad weiterhin zutreffend ist. Mit den Durchführungsbestimmungen wird ein System eingeführt, mit dem der Geheimhaltungsgrad registrierter EU-VS, die von der Kommission herausgegeben wurden, mindestens alle fünf Jahre überprüft wird. Eine solche Überprüfung ist nicht erforderlich, wenn der Herausgeber bereits von vornherein mitgeteilt hat, dass der Geheimhaltungsgrad der Informationen automatisch herabgestuft oder aufgehoben wird, und die Informationen entsprechend gekennzeichnet wurden.

(3)   Von der Kommission erstellte Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ werden im Einklang mit der Verordnung (EWG, Euratom) Nr. 354/83 des Rates, geändert durch die Verordnung (EG, Euratom) Nr. 1700/2003 (10) des Rates, nach dreißig Jahren automatisch herabgestuft.

Artikel 27

EU-VS-Registraturen in der Kommission

(1)   Unbeschadet des nachfolgenden Artikels 53 Absatz 5 wird in jeder Kommissionsdienststelle, in der EU-VS der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ bearbeitet, aufbewahrt oder gespeichert werden, eine zuständige lokale Registratur für EU-VS eingerichtet, um sicherzustellen, dass EU-VS im Einklang mit diesem Beschluss behandelt werden.

(2)   Die vom Generalsekretariat verwaltete Registratur für EU-VS ist die zentrale Registratur der Kommission für EU-VS. Sie fungiert als

(3)   Innerhalb der Kommission benennt die Sicherheitsstelle der Kommission eine Registratur, die als zentrale Eingangs- und Ausgangsstelle für als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Verschlusssachen fungiert. Sofern erforderlich, können nachgeordnete Registraturen zur Bearbeitung dieser Verschlusssachen zu Registrierungszwecken bestimmt werden.

(4)   Diese nachgeordneten Registraturen dürfen als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Dokumente nicht unmittelbar an andere nachgeordnete Registraturen derselben zentralen „TRÈS SECRET UE/EU TOP SECRET“-Registratur oder an externe Stellen übermitteln, ohne dass diese ihre ausdrückliche schriftliche Zustimmung erteilt hat.

(5)   Die EU-VS-Registraturen werden als besonders geschützte Bereiche im Sinne des Kapitels 3 eingerichtet und von der Sicherheitsakkreditierungsstelle der Kommission akkreditiert.

Artikel 28

Registraturkontrollbeauftragter

(1)   Jede EU-VS-Registratur wird von einem Registraturkontrollbeauftragten geleitet.

(2)   Der Registraturkontrollbeauftragte muss angemessen sicherheitsüberprüft sein.

(3)   In Bezug auf die Anwendung der Bestimmungen über die Behandlung von EU-Verschlusssachen und die Einhaltung der einschlägigen Sicherheitsvorschriften, Normen und Leitlinien unterliegt der Registraturkontrollbeauftragte innerhalb der Kommissionsdienststelle der Aufsicht des lokalen Sicherheitsbeauftragten.

(4)   Im Rahmen seiner Verantwortung für die Verwaltung der im zugewiesenen EU-VS-Registratur nimmt der Registraturkontrollbeauftragte folgende allgemeine Aufgaben gemäß diesem Beschluss und den einschlägigen Durchführungsbestimmungen, Normen und Leitlinien wahr:

Artikel 29

Registrierung von EU-VS zu Sicherheitszwecken

(1)   Im Sinne dieses Beschlusses bezeichnet der Ausdruck „Registrierung zu Sicherheitszwecken“ (im Folgenden „Registrierung“) die Durchführung von Verfahren, bei denen jede Phase des Umlaufs von EU-VS einschließlich ihrer Weitergabe aufgezeichnet wird.

(2)   Alle als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestuften Informationen oder Materialien werden in den benannten Registraturen registriert, sobald sie in einer Verwaltungsstelle eingehen oder diese verlassen.

(3)   Bei der Bearbeitung und Speicherung von EU-VS mit Hilfe eines Kommunikations- und Informationssystems dürfen die Registrierungsverfahren im Wege systeminterner Abläufe erfolgen.

(4)   Detailliertere Vorschriften über die Registrierung von EU-VS zu Sicherheitszwecken werden in den Durchführungsbestimmungen festgelegt.

Artikel 30

Kopieren und Übersetzen von EU-VS

(1)   Ohne vorherige schriftliche Zustimmung des Herausgebers dürfen als „TRÈS SECRET UE/EU TOP SECRET“ eingestufte Dokumente weder kopiert noch übersetzt werden.

(2)   Hat der Herausgeber von als „SECRET UE/EU SECRET“ oder niedriger eingestuften Dokumenten keine Einschränkungen hinsichtlich der Anfertigung von Kopien oder Übersetzungen auferlegt, so dürfen diese Dokumente auf Anweisung des Besitzers kopiert beziehungsweise übersetzt werden.

(3)   Die für das Originaldokument geltenden Sicherheitsmaßnahmen finden auf Kopien und Übersetzungen dieses Dokuments Anwendung.

Artikel 31

Beförderung von EU-VS

(1)   EU-VS werden bei ihrer Beförderung vor unbefugter Offenlegung geschützt.

(2)   Schutzmaßnahmen für die Beförderung von EU-VS müssen

(3)   Diese Schutzmaßnahmen werden im Einzelnen in den Durchführungsbestimmungen oder — im Falle von Projekten und Programmen im Sinne des Artikels 42 — als fester Bestandteil der Sicherheitsanweisungen für das betreffende Programm oder Projekt festgelegt.

(4)   Die Durchführungsbestimmungen beziehungsweise Sicherheitsanweisungen umfassen unter anderem dem Geheimhaltungsgrad der EU-VS angemessene Bestimmungen über

(5)   Bei der Beförderung von EU-VS auf elektronischen Datenträgern können ungeachtet des Artikels 21 Absatz 5 die in den einschlägigen Durchführungsbestimmungen beschriebenen Schutzmaßnahmen durch geeignete, von der Sicherheitsstelle der Kommission genehmigte technische Gegenmaßnahmen ergänzt werden, um das Verlust- oder Kompromittierungsrisiko so gering wie möglich zu halten.

Artikel 32

Vernichtung von EU-VS

(1)   Nicht länger benötigte EU-Verschlusssachen können unter Berücksichtigung der Vorschriften über Archive und der kommissionsinternen Vorschriften und Bestimmungen über die Dokumentenverwaltung und -archivierung sowie insbesondere der gemeinsamen Liste für die kommissionsinterne Dokumentenaufbewahrung vernichtet werden.

(2)   Als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte EU-VS werden vom Registraturkontrollbeauftragten der zuständigen EU-VS-Registratur auf Anweisung des Besitzers oder einer zuständigen Stelle vernichtet. Der Registraturkontrollbeauftragte aktualisiert die Dienstbücher und sonstigen Registrierungsinformationen entsprechend.

(3)   Bei Dokumenten des Geheimhaltungsgrads „SECRET UE/EU SECRET“ oder „TRÈS SECRET UE/EU TOP SECRET“ erfolgt die Vernichtung durch den Registraturkontrollbeauftragten im Beisein eines Zeugen, der mindestens in Bezug auf Verschlusssachen mit dem Geheimhaltungsgrad des zu vernichtenden Dokuments sicherheitsüberprüft ist.

(4)   Der Registerführer und der Zeuge — falls dessen Anwesenheit erforderlich ist — unterschreiben eine Vernichtungsbescheinigung, die in der Registratur abgelegt wird. Der Registraturkontrollbeauftragte der zuständigen EU-VS-Registratur bewahrt die Vernichtungsbescheinigungen von Dokumenten des Geheimhaltungsgrads „TRÈS SECRET UE/EU TOP SECRET“ mindestens zehn Jahre und von Dokumenten der Geheimhaltungsgrade „CONFIDENTIEL UE/EU CONFIDENTIAL“ und „SECRET UE/EU SECRET“ mindestens fünf Jahre auf.

(5)   Verschlusssachen, darunter Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, werden nach Verfahren vernichtet, die in den Durchführungsbestimmungen festgelegt werden und die die einschlägigen EU-Normen oder gleichwertige Normen erfüllen.

(6)   Für EU-VS verwendete elektronische Datenträger werden nach in den Durchführungsbestimmungen festgelegten Verfahren vernichtet.

Artikel 33

Vernichtung von EU-VS in Notfällen

(1)   Kommissionsdienststellen, die im Besitz von EU-VS sind, arbeiten unter Berücksichtigung der örtlichen Gegebenheiten Pläne zum Schutz von EU-Verschlusssachen im Krisenfall aus, die, falls erforderlich, auch Pläne für eine Vernichtung oder Auslagerung der EU-Verschlusssachen im Notfall umfassen. Sie erteilen die Anweisungen, die sie für notwendig erachten, um zu verhindern, dass EU-VS in unbefugte Hände gelangen.

(2)   Regelungen zum Schutz und/oder zur Vernichtung von „CONFIDENTIEL UE/EU CONFIDENTIAL“- und „SECRET UE/EU SECRET“-Materialien im Krisenfall dürfen auf keinen Fall den Schutz oder die Vernichtung von „TRÈS SECRET UE/EU TOP SECRET“-Materialien einschließlich der Verschlüsselungseinrichtungen beeinträchtigen, die Vorrang vor allen anderen Aufgaben haben.

(3)   Wenn in Notfällen das unmittelbare Risiko einer unbefugten Weitergabe besteht, werden die EU-VS vom Besitzer so vernichtet, dass eine vollständige oder teilweise Wiederherstellung ausgeschlossen ist. Der Herausgeber und die herausgebende Registratur werden von der als Notfallmaßnahme durchgeführten Vernichtung der registrierten EU-VS in Kenntnis gesetzt.

(4)   Detailliertere Vorschriften über die Vernichtung von EU-VS werden in den Durchführungsbestimmungen festgelegt.

KAPITEL 5

SCHUTZ VON EU-VS IN KOMMUNIKATIONS- UND INFORMATIONSSYSTEMEN

Artikel 34

Grundsätze der Informationssicherung

(1)   Die Informationssicherung im Bereich von Kommunikations- und Informationssystemen beruht auf dem Vertrauen darauf, dass die in diesen Systemen bearbeiteten Informationen geschützt sind und dass diese Systeme unter der Kontrolle rechtmäßiger Nutzer jederzeit ordnungsgemäß funktionieren.

(2)   Um wirksam zu sein, muss die Informationssicherung Folgendes in angemessenem Umfang sicherstellen:

(3)   Die Informationssicherung stützt sich auf einen Risikomanagementprozess.

Artikel 35

Begriffsbestimmungen

Für die Zwecke dieses Kapitels gelten folgende Begriffsbestimmungen:

a)   „Akkreditierung“: förmliche Abnahme und Zulassung eines Kommunikations- und Informationssystems durch die Sicherheitsakkreditierungsstelle zur Verarbeitung von EU-VS in dessen Betriebsumgebung im Anschluss an die förmliche Validierung des Sicherheitsplans und dessen ordnungsgemäße Umsetzung;

b)   „Akkreditierungsverfahren“: notwendige, der Akkreditierung durch die Sicherheitsakkreditierungsstelle vorausgehende Schritte und Aufgaben, die in einer Norm für den Akkreditierungsprozess festgelegt werden;

c)   „Kommunikations- und Informationssystem“: System, das die Bearbeitung von Informationen in elektronischer Form ermöglicht. Zu einem Kommunikations- und Informationssystem gehören sämtliche für seinen Betrieb benötigten Voraussetzungen, einschließlich der Infrastruktur, der Organisation, des Personals und der Informationsressourcen;

d)   „Restrisiko“: nach dem Ergreifen von Sicherheitsmaßnahmen verbleibendes Risiko, falls nicht alle Bedrohungen erfasst werden und nicht alle Schwachstellen beseitigt werden können;

e)   „Risiko“: die Möglichkeit, dass bei einer bestimmten Bedrohung die internen und externen Schwachstellen einer Organisation oder eines der von ihr verwendeten Systeme ausgenutzt und dadurch die Organisation und ihre materiellen und immateriellen Vermögenswerte geschädigt werden. Gemessen wird das Risiko als die Kombination der Wahrscheinlichkeit des Eintretens von Bedrohungen und ihrer Auswirkungen;

f)   „Risikoakzeptanz“: die Hinnahme der Möglichkeit, dass nach der Risikobehandlung ein Restrisiko bleibt;

g)   „Risikobewertung“: Ermittlung von Bedrohungen und Schwachstellen sowie Durchführung diesbezüglicher Risikoanalysen (Analyse der Eintrittswahrscheinlichkeit und der Auswirkungen);

h)   „Risikokommunikation“: Sensibilisierung der Nutzer eines Kommunikations- und Informationssystems für Risiken sowie Unterrichtung von Zulassungsstellen über diese Risiken und entsprechende Unterrichtung der für den Betrieb zuständigen Stellen;

i)   „Risikobehandlung“: Minderung, Beseitigung, Verringerung (durch eine geeignete Kombination von technischen, physischen, organisatorischen oder verfahrenstechnischen Maßnahmen), Übertragung oder Überwachung des Risikos.

Artikel 36

Bearbeitung von EU-VS in Kommunikations- und Informationssystemen

(1)   In Kommunikations- und Informationssystemen werden EU-VS gemäß dem Konzept der Informationssicherung bearbeitet.

(2)   Die Bearbeitung von EU-VS in Kommunikations- und Informationssystemen erfolgt nach Maßgabe des von der Kommission festgelegten Sicherheitskonzepts für Informationssysteme gemäß der Entscheidung C (2006) 3602 der Kommission (11):

(3)   Alle an Konzeption, Entwicklung, Erprobung, Betrieb, Verwaltung und Nutzung von Kommunikations- und Informationssystemen, in denen EU-VS bearbeitet werden, beteiligten Mitarbeiter melden der Sicherheitsakkreditierungsstelle alle potenziellen Sicherheitsmängel, Vorfälle und Sicherheitsverstöße oder -verletzungen, die sich auf den Schutz des Kommunikations- und Informationssystems und/oder der darin gespeicherten EU-VS auswirken könnten.

(4)   Wird der Schutz von EU-VS mit kryptografischen Produkten sichergestellt, so sind diese Produkte folgendermaßen zuzulassen:

(5)   Bei der elektronischen Übermittlung, Verarbeitung und Speicherung von EU-VS werden zugelassene kryptografische Produkte verwendet. Ungeachtet dieser Anforderung können in Notsituationen oder im Rahmen bestimmter technischer Konfigurationen nach Genehmigung durch die Krypto-Zulassungsstelle spezielle Verfahren angewandt werden.

(6)   Es werden Sicherungsmaßnahmen getroffen, um Kommunikations- und Informationssysteme, in denen als „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder höher eingestufte Verschlusssachen bearbeitet werden, so zu schützen, dass die betreffenden Informationen nicht über unbeabsichtigte elektromagnetische Abstrahlung kompromittiert werden („TEMPEST-Sicherheitsvorkehrungen“). Diese Sicherheitsmaßnahmen müssen dem Risiko der Ausnutzung und dem Geheimhaltungsgrad der Informationen entsprechen.

(7)   Die Sicherheitsstelle der Kommission fungiert als:

(8)   Die Sicherheitsstelle der Kommission ernennt für jedes System eine für den Betrieb zuständige Informationssicherungsstelle.

(9)   Die Zuständigkeiten der in den Absätzen 7 und 8 beschriebenen Funktionen werden in den Durchführungsbestimmungen festgelegt.

Artikel 37

Akkreditierung von Kommunikations- und Informationssystemen, in denen EU-VS bearbeitet werden

(1)   Sämtliche Kommunikations- und Informationssysteme, in denen EU-VS bearbeitet werden, werden einem auf den Grundsätzen der Informationssicherung basierenden Akkreditierungsverfahren unterzogen, dessen Detailliertheit der geforderten Sicherheitsstufe entspricht.

(2)   Das Akkreditierungsverfahren umfasst die förmliche Validierung des Sicherheitsplans für das betreffende Kommunikations- und Informationssystem durch die Sicherheitsakkreditierungsstelle der Kommission mit dem Ziel, Gewähr dafür zu erlangen, dass

(3)   Die Sicherheitsakkreditierungsstelle der Kommission gibt eine schriftliche Akkreditierungserklärung ab, in der festgelegt ist, bis zu welchem Geheimhaltungsgrad und unter welchen Voraussetzungen EU-VS in dem Kommunikations- und Informationssystem bearbeitet werden dürfen. Die Aufgaben des Gremiums für die Sicherheitsakkreditierung nach Artikel 11 der Verordnung (EU) Nr. 512/2014 des Europäischen Parlaments und des Rates (12) bleiben davon unberührt.

(4)   Für die Akkreditierung von Kommunikations- und Informationssystemen der Kommission, an denen mehrere Parteien mitwirken, ist ein gemeinsames Gremium für die Sicherheitsakkreditierung zuständig, das sich aus je einem Vertreter der Sicherheitsakkreditierungsstelle der einzelnen Parteien zusammensetzt und in dem ein Vertreter der Sicherheitsakkreditierungsstelle der Kommission den Vorsitz führt.

(5)   Das Akkreditierungsverfahren besteht aus einer Reihe von Aufgaben, die von den beteiligten Parteien wahrgenommen werden. Die alleinige Verantwortung für die Vorbereitung der Akkreditierungsdateien und -unterlagen trägt der Systemeigentümer des betreffenden Kommunikations- und Informationssystems.

(6)   Die Akkreditierung ist Aufgabe der Sicherheitsakkreditierungsstelle der Kommission; diese hat zu jedem beliebigen Zeitpunkt im Lebenszyklus des Kommunikations- und Informationssystems das Recht,

(7)   Das Akkreditierungsverfahren wird in einer Norm für das Akkreditierungsverfahren für Kommunikations- und Informationssysteme, in denen EU-VS bearbeitet werden, festgelegt, die im Einklang mit Artikel 10 Absatz 3 des Beschlusses C (2006) 3602 der Kommission angenommen wird.

Artikel 38

Notsituationen

(1)   Unbeschadet der Bestimmungen dieses Kapitels können in Notsituationen wie beispielsweise bei drohenden oder bereits eingetretenen Krisen, Konflikten, Kriegssituationen oder im Fall besonderer operativer Umstände die nachstehend beschriebenen besonderen Verfahren angewandt werden.

(2)   EU-VS können mit Hilfe kryptografischer Produkte, die für einen niedrigeren Geheimhaltungsgrad zugelassen sind, oder mit Zustimmung der zuständigen Stelle unverschlüsselt übermittelt werden, wenn eine Verzögerung einen Schaden verursachen würde, der deutlich größer wäre als der Schaden, der durch eine Offenlegung des als Verschlusssache eingestuften Materials entstehen würde, und wenn

(3)   Verschlusssachen, die unter den in Absatz 1 erläuterten Umständen übermittelt werden, dürfen nicht mit Kennzeichnungen oder Angaben versehen werden, die sie von nicht als Verschlusssache eingestuften Informationen oder solchen unterscheiden, die mit einem zur Verfügung stehenden kryptografischen Produkt geschützt werden können. Die Empfänger werden auf anderem Weg unverzüglich über den Geheimhaltungsgrad unterrichtet.

(4)   Anschließend wird der zuständigen Stelle und der Sicherheitsexpertengruppe der Kommission Bericht erstattet.

KAPITEL 6

GEHEIMSCHUTZ IN DER WIRTSCHAFT

Artikel 39

Grundsätze

(1)   Unter dem Geheimschutz in der Wirtschaft versteht man die Anwendung von Maßnahmen zum Schutz von EU-VS

(2)   Derartige Aufträge oder Finanzhilfevereinbarungen beinhalten nicht den Zugang zu als „TRÈS SECRET UE/EU TOP SECRET“ eingestuften Informationen.

(3)   Sofern nichts anderes angegeben ist, finden die sich auf als Verschlusssachen eingestufte Aufträge beziehungsweise auf die betreffenden Auftragnehmer beziehenden Bestimmungen dieses Kapitels auch Anwendung auf als Verschlusssachen eingestufte Unteraufträge beziehungsweise auf die betreffenden Unterauftragnehmer.

Artikel 40

Begriffsbestimmungen

Im Sinne dieses Kapitels gelten folgende Begriffsbestimmungen:

a)   „als Verschlusssache eingestufter Vertrag“: Vertrag oder Rahmenvertrag im Sinne der Verordnung (EG, Euratom) Nr. 1605/2002 (13) zwischen der Kommission oder einer Kommissionsdienststelle und einem Auftragnehmer über die Lieferung beweglicher oder unbeweglicher Vermögenswerte, die Durchführung von Arbeiten oder die Erbringung von Dienstleistungen, deren Ausführung die Erstellung, Bearbeitung und Aufbewahrung beziehungsweise Speicherung von EU-VS mit sich bringt;

b)   „als Verschlusssache eingestufter Unterauftrag“: Vertrag zwischen einem Auftragnehmer der Kommission oder einer Kommissionsdienststelle und einem anderen Auftragnehmer („Unterauftragnehmer“) über die Lieferung beweglicher oder unbeweglicher Vermögenswerte, die Durchführung von Arbeiten oder die Erbringung von Dienstleistungen, deren Ausführung die Erstellung, Bearbeitung und Aufbewahrung beziehungsweise Speicherung von EU-VS umfasst;

c)   „als Verschlusssache eingestufte Finanzhilfevereinbarung“: Vereinbarung, mit der die Kommission eine Finanzhilfe im Sinne von Teil I Titel VI der Verordnung (EG, Euratom) Nr. 1605/2002 gewährt und deren Erfüllung die Erstellung, Bearbeitung und Aufbewahrung beziehungsweise Speicherung von EU-VS erforderlich macht oder umfasst;

d)   „beauftragte Sicherheitsbehörde“: von der nationalen Sicherheitsbehörde eines Mitgliedstaats beauftragte Behörde, die die Aufgabe hat, Wirtschafts- oder andere Unternehmen über die nationale Politik in allen Fragen des Geheimschutzes in der Wirtschaft zu informieren und ihnen Anleitung und Hilfe bei ihrer Umsetzung zu bieten. Die Funktion der beauftragten Sicherheitsbehörde kann von der nationalen Sicherheitsbehörde oder einer anderen dazu qualifizierten Behörde wahrgenommen werden.

Artikel 41

Verfahren für als Verschlusssache eingestufte Verträge oder Finanzhilfevereinbarungen

(1)   Jede Kommissionsdienststelle stellt in ihrer Funktion als Vergabebehörde sicher, dass bei der Vergabe von als Verschlusssache eingestuften Aufträgen oder Finanzhilfevereinbarungen die in diesem Kapitel festgelegten Mindeststandards für den Geheimschutz in der Wirtschaft in dem betreffenden Vertrag erwähnt beziehungsweise aufgeführt sowie eingehalten werden.

(2)   Für die Zwecke von Absatz 1 ziehen die zuständigen Kommissionsdienststellen die Generaldirektion „Humanressourcen und Sicherheit“ und insbesondere deren Direktion „Sicherheit“ zu Rate und stellen sicher, dass die Musterverträge, -unteraufträge und -finanzhilfevereinbarungen Bestimmungen enthalten, in denen die von den Auftragnehmern und Unterauftragnehmern beziehungsweise Empfängern von Finanzhilfevereinbarungen zu befolgenden Grundprinzipien und Mindeststandards für den Schutz von EU-VS widergegeben werden.

(3)   Die Kommission arbeitet eng mit der nationalen Sicherheitsbehörde, der beauftragten Sicherheitsbehörde oder einer sonstigen zuständigen Behörde des betreffenden Mitgliedstaats zusammen.

(4)   Wenn ein öffentlicher Auftraggeber beabsichtigt, ein Verfahren im Hinblick auf den Abschluss eines als Verschlusssache eingestuften Auftrags oder einer als Verschlusssache eingestuften Finanzhilfevereinbarung einzuleiten, so zieht er in allen Phasen des Verfahrens die Sicherheitsstelle der Kommission zu etwaigen die Vertraulichkeit oder die Merkmale des Verfahrens betreffenden Fragen zu Rate.

(5)   Vorlagen und Muster für als Verschlusssache eingestufte Aufträge, Unteraufträge und Finanzhilfevereinbarungen, Bekanntmachungen, Leitlinien für Fälle, in denen Sicherheitsbescheide für Einrichtungen erforderlich sind, Programm- oder Projektsicherheitsanweisungen, Geheimschutzklauseln, Besuche sowie die Übermittlung und Beförderung von EU-VS im Rahmen von als Verschlusssache eingestuften Aufträgen oder Finanzhilfevereinbarungen werden nach Zurateziehung der Sicherheitsexpertengruppe der Kommission in Durchführungsbestimmungen über den Geheimschutz in der Wirtschaft festgelegt.

(6)   Die Kommission kann als Verschlusssache eingestufte Verträge und Finanzhilfevereinbarungen abschließen, durch die Wirtschaftsteilnehmer, die in einem Mitgliedstaat oder in einem Drittstaat, mit dem ein Abkommen oder eine Verwaltungsvereinbarung im Sinne von Kapitel 7 dieses Beschlusses besteht, registriert sind, mit Aufgaben betraut werden, die den Zugang zu oder die Bearbeitung oder Aufbewahrung beziehungsweise Speicherung von EU-VS beinhalten oder nach sich ziehen.

Artikel 42

Sicherheitsmerkmale von als Verschlusssache eingestuften Aufträgen oder Finanzhilfevereinbarungen

(1)   Als Verschlusssache eingestufte Aufträge oder Finanzhilfevereinbarungen weisen folgende Sicherheitsmerkmale auf:

Programm- oder Projektsicherheitsanweisungen

Geheimschutzklausel

(2)   Sowohl die Programm- oder Projektsicherheitsanweisungen als auch die Geheimschutzklausel enthalten als obligatorisches Sicherheitsmerkmal einen Einstufungsleitfaden für Verschlusssachen:

Artikel 43

Zugang von Mitarbeitern der Auftragnehmer und Empfänger zu EU-VS

Der öffentliche Auftraggeber beziehungsweise die Vergabebehörde stellt sicher, dass der als Verschlusssache eingestufte Auftrag beziehungsweise die als Verschlusssache eingestufte Finanzhilfevereinbarung Bestimmungen enthält, welche vorsehen, dass Mitarbeiter von Auftragnehmern, Unterauftragnehmern oder Finanzhilfeempfängern, die für die Ausführung des als Verschlusssache eingestuften Auftrags oder Unterauftrags beziehungsweise der als Verschlusssache eingestuften Finanzhilfevereinbarung Zugang zu EU-VS benötigen, ein solcher Zugang gewährt wird, sofern folgende Anforderungen erfüllt sind:

Artikel 44

Sicherheitsbescheid für Einrichtungen

„Sicherheitsbescheid für Einrichtungen“: verwaltungsrechtliche Entscheidung einer nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörde, welche besagt, dass die betreffende Einrichtung einen angemessenen Schutz von EU-VS bis zu einem bestimmten Geheimhaltungsgrad gewährleisten kann.

(2)   Bevor einem Bewerber, Bieter, Auftragnehmer, Antragsteller oder Empfänger Zugang zu EU-VS gewährt werden kann, ist der Sicherheitsstelle der Kommission ein von einer nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörde eines Mitgliedstaats ausgestellter Sicherheitsbescheid für Einrichtungen vorzulegen, aus dem hervorgeht, dass der betreffende Wirtschaftsteilnehmer in der Lage ist, EU-VS des geeigneten Geheimhaltungsgrades („CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“) in Übereinstimmung mit den nationalen Rechts- und Verwaltungsvorschriften in seinen Einrichtungen zu schützen. Die Sicherheitsstelle der Kommission leitet den Antrag an die als öffentlicher Auftraggeber beziehungsweise als Vergabebehörde fungierende Kommissionsdienststelle weiter.

(3)   Der öffentliche Auftraggeber teilt der zuständigen nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörde über die Sicherheitsstelle der Kommission gegebenenfalls mit, dass für die Ausführung des Auftrags ein Sicherheitsbescheid für Einrichtungen erforderlich ist. Wenn während eines Verfahrens für die Auftragsvergabe oder die Gewährung von Finanzhilfen EU-VS mit dem Geheimhaltungsgrad „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ zur Verfügung gestellt werden müssen, ist ein Sicherheitsbescheid für Einrichtungen oder eine PSC erforderlich.

(4)   Der öffentliche Auftraggeber beziehungsweise die Vergabebehörde vergibt keinen als Verschlusssache eingestuften Auftrag an einen bevorzugten Bieter beziehungsweise schließt keine als Verschlusssache eingestufte Finanzhilfevereinbarung mit einem Teilnehmer, bevor sie nicht von der nationalen, beauftragten oder einer sonstigen zuständigen Sicherheitsbehörde des Mitgliedstaats, in dem der betreffende Auftragnehmer oder Unterauftragnehmer eingetragen ist, die Bestätigung erhalten hat, dass erforderlichenfalls ein entsprechender Sicherheitsbescheid für Einrichtungen erteilt wurde.

(5)   Falls die Sicherheitsstelle der Kommission von der nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörde, die einen Sicherheitsbescheid für Einrichtungen erteilt hat, über etwaige sich auf den Sicherheitsbescheid auswirkende Änderungen in Kenntnis gesetzt wird, informiert sie in ihrer Funktion als öffentlicher Auftraggeber beziehungsweise Vergabebehörde die zuständige Kommissionsdienststelle. Bei Unteraufträgen wird die nationale, die beauftragte oder eine sonstige zuständige Sicherheitsbehörde entsprechend informiert.

(6)   Die Aufhebung eines Sicherheitsbescheids für Einrichtungen durch die zuständige nationale, beauftragte oder sonstige zuständige Sicherheitsbehörde stellt für den öffentlichen Auftraggeber beziehungsweise die Vergabebehörde einen hinreichenden Grund dar, den als Verschlusssache eingestuften Auftrag zu kündigen oder einen Bewerber, Bieter oder Antragsteller von dem Vergabeverfahren auszuschließen. Eine diesbezügliche Bestimmung wird in die auszuarbeitenden Musteraufträge und -finanzhilfevereinbarungen aufgenommen.

Artikel 45

Bestimmungen für als Verschlusssache eingestufte Verträge oder Finanzhilfevereinbarungen

(1)   Werden einem Bewerber, Bieter oder Antragsteller während des Vergabeverfahrens EU-VS zur Verfügung gestellt, so enthält die Aufforderung zur Angebotsabgabe beziehungsweise zur Einreichung von Vorschlägen eine Klausel, welche vorsieht, dass jeder Bewerber, Bieter oder Antragsteller, der kein Angebot abgibt beziehungsweise keinen Vorschlag einreicht oder der nicht ausgewählt wird, sämtliche als Verschlusssache eingestuften Unterlagen binnen einer vorgegebenen Frist zurückzugeben hat.

(2)   Der öffentliche Auftraggeber beziehungsweise die Vergabebehörde teilt der zuständigen nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörde mit, dass ein als Verschlusssache eingestufter Auftrag oder eine als Verschlusssache eingestufte Finanzhilfevereinbarung vergeben beziehungsweise gewährt wurde und übermitteln ihr die einschlägigen Daten wie den Namen der Auftragnehmer oder Empfänger, die Laufzeit des Vertrags und die höchste mögliche Einstufung.

(3)   Im Falle der Kündigung derartiger Verträge oder Finanzhilfevereinbarungen setzt der öffentliche Auftraggeber beziehungsweise die Vergabebehörde unverzüglich über die Sicherheitsstelle der Kommission die nationale, beauftragte oder sonstige zuständige Sicherheitsbehörde des Mitgliedstaats, in dem der Auftragnehmer oder der Finanzhilfeempfänger eingetragen ist, in Kenntnis.

(4)   Im Falle der Kündigung eines als Verschlusssache eingestuften Auftrags, einer als Verschlusssache eingestuften Finanzhilfevereinbarung oder der Teilnahme eines Finanzhilfeempfängers ist der Auftragnehmer oder Finanzhilfeempfänger grundsätzlich verpflichtet, der Vergabebehörde etwaige in seinem Besitz befindliche EU-VS zurückzugeben.

(5)   Die besonderen Bestimmungen für die Vernichtung von EU-VS während der Ausführung eines als Verschlusssache eingestuften Auftrags beziehungsweise einer als Verschlusssache eingestuften Finanzhilfevereinbarung oder im Falle seiner beziehungsweise ihrer Kündigung werden in der Geheimschutzklausel festgelegt.

(6)   Wird dem Auftragnehmer oder Finanzhilfeempfänger nach der Kündigung eines als Verschlusssache eingestuften Auftrags beziehungsweise einer als Verschlusssache eingestuften Finanzhilfevereinbarung gestattet, EU-VS in seinem Besitz zu behalten, so muss der Auftragnehmer oder Finanzhilfeempfänger die in diesem Beschluss niedergelegten Mindeststandards weiterhin einhalten und die Vertraulichkeit der EU-VS weiterhin schützen.

Artikel 46

Besondere Bestimmungen für als Verschlusssache eingestufte Aufträge

(1)   Die für den Schutz von EU-VS maßgeblichen Bedingungen, unter denen der Auftragnehmer Unteraufträge vergeben darf, werden sowohl in der Ausschreibung als auch in dem als Verschlusssache eingestuften Auftrag festgelegt.

(2)   Vor einer etwaigen Untervergabe von Teilen eines als Verschlusssache eingestuften Auftrags holt der Auftragnehmer die Erlaubnis des öffentlichen Auftraggebers ein. Unteraufträge, die den Zugriff auf EU-VS mit sich bringen, dürfen an in einem Drittstaat eingetragene Unterauftragnehmer nur vergeben werden, wenn ein rechtlicher Rahmen für die Sicherheit der Verschlusssachen gemäß Kapitel 7 besteht.

(3)   Der Auftragnehmer stellt sicher, dass alle im Rahmen von Unteraufträgen vergebenen Tätigkeiten im Einklang mit den Mindeststandards dieses Beschlusses ausgeführt werden; Unterauftragnehmern darf er EU-VS nur mit vorheriger schriftliche Einwilligung der Vergabebehörde zur Verfügung stellen.

(4)   Bei EU-VS, die von einem Auftragnehmer herausgegeben oder bearbeitet werden, gilt die Kommission als Herausgeber, und die dem Herausgeber obliegenden Rechte werden vom öffentlichen Auftraggeber ausgeübt.

Artikel 47

Besuche im Zusammenhang mit als Verschlusssache eingestuften Aufträgen

(1)   Falls Bedienstete der Kommission, eines Auftragnehmers oder eines Finanzhilfeempfängers zur Ausführung eines als Verschlusssache eingestuften Auftrags beziehungsweise einer als Verschlusssache eingestuften Finanzhilfevereinbarung Zugang zu Verschlusssachen des Geheimhaltungsgrads „CONFIDENTIEL UE/EU CONFIDENTIAL“ oder „SECRET UE/EU SECRET“ in den Räumlichkeiten des jeweils anderen benötigen, werden im Benehmen mit der zuständigen nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörde Besuche vereinbart. Die Sicherheitsstelle der Kommission wird von derartigen Besuchen in Kenntnis gesetzt. Im Zusammenhang mit speziellen Programmen oder Projekten können die zuständigen nationalen, beauftragten oder sonstigen zuständigen Sicherheitsbehörden zudem ein Verfahren vereinbaren, nach dem Besuche unmittelbar verabredet werden können.

(2)   Alle Besucher müssen entsprechend sicherheitsüberprüft sein und im Zusammenhang mit dem als Verschlusssache eingestuften Auftrag nachweislich von den betreffenden EU-VS Kenntnis haben müssen.

(3)   Besucher erhalten ausschließlich Zugang zu EU-VS, die mit dem Zweck des Besuchs in Beziehung stehen.

(4)   Detaillierte Bestimmungen werden in den Durchführungsbestimmungen festgelegt.

(5)   Die in diesem Beschluss und in den Durchführungsbestimmungen gemäß Absatz 4 festgelegten Bestimmungen über Besuche im Zusammenhang mit als Verschlusssachen eingestuften Aufträgen sind zwingend einzuhalten.

Artikel 48

Übermittlung und Beförderung von EU-VS im Zusammenhang mit als Verschlusssachen eingestuften Aufträgen oder Finanzhilfevereinbarungen

(1)   Für die Übermittlung von EU-VS auf elektronischem Wege gelten die einschlägigen Bestimmungen von Kapitel 5 dieses Beschlusses.

(2)   Für die Beförderung von EU-VS gelten die einschlägigen Bestimmungen von Kapitel 4 dieses Beschlusses und der Durchführungsbestimmungen im Einklang mit den innerstaatlichen Rechtsvorschriften.

(3)   Für die Festlegung von Sicherheitsvorkehrungen für die Beförderung von Verschlusssachen als Fracht gelten folgende Grundsätze:

Artikel 49

Weitergabe von EU-VS an Auftragnehmer oder Finanzhilfeempfänger in Drittstaaten

Die Weitergabe von EU-VS an Auftragnehmer oder Finanzhilfeempfänger in Drittstaaten erfolgt nach Maßgabe der Sicherheitsmaßnahmen, die die Sicherheitsstelle der Kommission, die als öffentlicher Auftraggeber beziehungsweise Vergabebehörde fungierende Kommissionsdienststelle sowie die nationale, beauftragte oder sonstige zuständige Sicherheitsbehörde des Drittlandes, in dem der Auftragnehmer beziehungsweise Finanzhilfeempfänger eingetragen ist, miteinander vereinbaren.

Artikel 50

Behandlung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ im Zusammenhang mit als Verschlusssache eingestuften Aufträgen oder Finanzhilfevereinbarungen

(1)   Der Schutz von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“, die im Zusammenhang mit als Verschlusssache eingestuften Aufträgen oder Finanzhilfevereinbarungen bearbeitet oder aufbewahrt beziehungsweise gespeichert werden, erfolgt nach den Grundsätzen der Verhältnismäßigkeit und der Kostenwirksamkeit.

(2)   Bei als Verschlusssache eingestuften Aufträgen oder als Verschlusssache eingestuften Finanzhilfevereinbarungen, die die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ mit sich bringen, ist weder ein Sicherheitsbescheid für Einrichtungen noch eine PSC erforderlich.

(3)   Ist mit einem Auftrag oder einer Finanzhilfevereinbarung die Bearbeitung von Verschlusssachen des Geheimhaltungsgrads „RESTREINT UE/EU RESTRICTED“ in einem Kommunikations- und Informationssystem verbunden, das von einem Auftragnehmer oder einem Finanzhilfeempfänger betrieben wird, so stellt der öffentliche Auftraggeber oder die Vergabebehörde nach Rücksprache mit der Sicherheitsstelle der Kommission sicher, dass in dem betreffenden Auftrag beziehungsweise in der betreffenden Finanzhilfevereinbarung die notwendigen technischen und administrativen Anforderungen in Bezug auf die Akkreditierung oder Zulassung des Kommunikations- und Informationssystems entsprechend dem festgestellten Risiko unter Berücksichtigung aller relevanter Faktoren festgelegt werden. Der Umfang der Akkreditierung oder Zulassung eines solchen Kommunikations- und Informationssystems wird von der Sicherheitsstelle der Kommission mit der zuständigen nationalen oder beauftragten Sicherheitsbehörde vereinbart.

KAPITEL 7

AUSTAUSCH VON VERSCHLUSSSACHEN MIT ANDEREN EU-ORGANEN, -EINRICHTUNGEN, -ÄMTERN UND -AGENTUREN SOWIE MIT DEN MITGLIEDSTAATEN, MIT DRITTSTAATEN UND MIT INTERNATIONALEN ORGANISATIONEN

Artikel 51

Grundsätze

(1)   Wenn die Kommission oder eine Kommissionsdienststelle zu dem Schluss gelangt, dass ein Austausch von EU-VS mit einer beziehungsweise einem anderen EU-Organ, -Einrichtung, -Amt oder -Agentur, mit einem Drittstaat oder mit einer internationalen Organisation notwendig ist, werden die notwendigen Maßnahmen ergriffen, um einen geeigneten (verwaltungs)rechtlichen Rahmen zu schaffen, der auch Vereinbarungen über die Informationssicherheit oder Verwaltungsvereinbarungen nach Maßgabe der einschlägigen Vorschriften einschließen kann.

(2)   Unbeschadet des Artikels 57 ist ein Austausch von EU-VS mit einer beziehungsweise einem anderen EU-Organ, -Einrichtung, -Amt oder -Agentur, mit einem Drittstaat oder mit einer internationalen Organisation nur zulässig, wenn ein solcher geeigneter (verwaltungs)rechtlicher Rahmen vorhanden ist und hinreichende Garantien dafür bestehen, dass die beziehungsweise das betreffende Organ, Einrichtung, Amt oder Agentur, der betreffende Drittstaat oder die betreffende internationale Organisation gleichwertige Grundprinzipien und Mindeststandards für den Schutz von Verschlusssachen anwendet.

Artikel 52

Austausch von EU-VS mit anderen EU-Organen, -Einrichtungen, -Ämtern und -Agenturen

(1)   Vor dem Abschluss einer Verwaltungsvereinbarung über den Austausch von EU-VS mit einer beziehungsweise einem anderen EU-Organ, -Einrichtung, -Amt oder -Agentur vergewissert sich die Kommission, dass die beziehungsweise das betreffende Organ, Einrichtung, Amt oder Agentur

(2)   Innerhalb der Kommission fungiert die Generaldirektion „Humanressourcen und Sicherheit“ in enger Zusammenarbeit mit anderen zuständigen Kommissionsdienststellen als federführende Dienststelle für den Abschluss von Verwaltungsvereinbarungen über den Austausch von EU-VS mit anderen EU-Organen, -Einrichtungen, -Ämtern und -Agenturen.

(3)   Verwaltungsvereinbarungen werden in der Regel in Form eines vom Generaldirektor für Humanressourcen und Sicherheit im Namen der Kommission unterzeichneten Briefwechsels abgeschlossen.

(4)   Vor dem Abschluss einer Verwaltungsvereinbarung über den Austausch von EU-VS führt die Sicherheitsstelle der Kommission einen Bewertungsbesuch durch, um den rechtlichen Rahmen für den Schutz von EU-VS zu bewerten und sich der Wirksamkeit der zum Schutz von EU-VS ergriffenen Maßnahmen zu vergewissern. Wenn die Ergebnisse dieser Bewertung zufriedenstellend und die im Anschluss an den Besuch abgegebenen Empfehlungen für Folgemaßnahmen umgesetzt worden sind, tritt die Verwaltungsvereinbarung in Kraft und es dürfen EU-VS ausgetauscht werden. Es werden regelmäßig Folgebesuche durchgeführt, um zu überprüfen, ob die Verwaltungsvereinbarung eingehalten wird und ob die bestehenden Sicherheitsmaßnahmen noch den vereinbarten Grundprinzipien und Mindeststandards entsprechen.

(5)   Innerhalb der Kommission fungiert die vom Generalsekretariat verwaltete EU-VS-Registratur in der Regel als zentrale Ein- und Ausgangsstelle für den Austausch von Verschlusssachen mit anderen EU-Organen, Einrichtungen, Ämtern und Agenturen. In Fällen, in denen es aus sicherheitstechnischen, organisatorischen oder operativen Gründen im Hinblick auf den Schutz von EU-VS eher angebracht ist, fungieren lokale EU-VS-Registraturen, die nach Maßgabe dieses Beschlusses und seiner Durchführungsbestimmungen in Kommissionsdienststellen eingerichtet wurden, als Ein- und Ausgangsstelle für Verschlusssachen in Bezug auf in die Zuständigkeit der betreffenden Kommissionsdienststellen fallende Angelegenheiten.

(6)   Die Sicherheitsexpertengruppe der Kommission wird über den Prozess des Abschlusses von Verwaltungsvereinbarungen gemäß Absatz 2 unterrichtet.

Artikel 53

Austausch von EU-VS mit Mitgliedstaaten

(1)   EU-VS dürfen mit Mitgliedstaaten ausgetauscht beziehungsweise für Mitgliedstaaten freigegeben werden, wenn sie in diesen Mitgliedstaaten in Übereinstimmung mit den Anforderungen, die für mit einem nationalen Geheimhaltungsgrad gekennzeichnete EU-VS der entsprechenden Geheimhaltungsstufe gemäß der Entsprechungstabelle der Geheimhaltungsgrade in Anhang I gelten, geschützt werden.

(2)   Bringt ein Mitgliedstaat mit einem nationalen Geheimhaltungsgrad gekennzeichnete Verschlusssachen in die Strukturen oder Netze der Europäischen Union ein, so schützt die Kommission diese Verschlusssachen nach Maßgabe der Anforderungen, die für EU-VS der entsprechenden Geheimhaltungsstufe gemäß der Entsprechungstabelle der Geheimhaltungsgrade in Anhang I gelten.

Artikel 54

Austausch von EU-VS mit Drittstaaten und internationalen Organisationen

(1)   Stellt die Kommission fest, dass es langfristig notwendig ist, mit Drittstaaten oder internationalen Organisationen Verschlusssachen auszutauschen, so werden die notwendigen Maßnahmen ergriffen, um einen geeigneten straf- oder verwaltungsrechtlichen Rahmen zu schaffen, welcher auch Geheimschutzabkommen oder entsprechende Verwaltungsvereinbarungen nach Maßgabe der einschlägigen Vorschriften einschließen kann.

(2)   Geheimschutzabkommen oder Verwaltungsvereinbarungen nach Absatz 1 enthalten Bestimmungen, mit denen sichergestellt wird, dass EU-VS nach ihrer Entgegennahme durch Drittstaaten oder internationale Organisationen in einer ihrem Geheimhaltungsgrad angemessenen Weise nach Maßgabe von Mindeststandards geschützt werden, die den in diesem Beschluss festgelegten Mindeststandards entsprechen.

(3)   Die Kommission kann Verwaltungsvereinbarungen gemäß Artikel 56 abschließen, sofern die betreffenden EU-VS in der Regel nicht höher als „RESTREINT UE/EU RESTRICTED“ eingestuft sind.

(4)   Verwaltungsvereinbarungen über den Austausch von Verschlusssachen nach Absatz 3 enthalten Bestimmungen, mit denen sichergestellt wird, dass EU-VS nach ihrer Entgegennahme durch Drittstaaten oder internationale Organisationen in einer ihrem Geheimhaltungsgrad angemessenen Weise nach Maßgabe von Mindeststandards geschützt werden, die den in diesem Beschluss festgelegten Mindeststandards entsprechen. Bezüglich des Abschlusses von Geheimschutzabkommen oder Verwaltungsvereinbarungen wird die Sicherheitsexpertengruppe der Kommission zu Rate gezogen.

(5)   Der Beschluss, eine EU-VS der Kommission an einen Drittstaat oder eine internationale Organisation weiterzugeben, wird von der Kommissionsdienststelle, die die EU-VS erstellt hat, von Fall zu Fall nach Maßgabe von Art und Inhalt der Verschlusssache, des Grundsatzes „Kenntnis nur, wenn nötig“ und der Vorteile für die Union gefasst. Ist die Verschlusssache oder etwaiges in ihr enthaltenes Quellenmaterial, um deren beziehungsweise dessen Weitergabe ersucht wird, nicht von der Kommission herausgegeben worden, so holt die Kommissionsdienststelle, in deren Besitz sich die Verschlusssache befindet, zunächst die schriftliche Zustimmung des Herausgebers zur Weitergabe der Verschlusssache ein. Kann der Herausgeber nicht ermittelt werden, so übernimmt die Kommissionsdienststelle, in deren Besitz sich die Verschlusssache befindet, nach Rücksprache mit der Sicherheitsexpertengruppe der Kommission dessen Verantwortung.

Artikel 55

Geheimschutzabkommen

(1)   Für den Abschluss von Geheimschutzabkommen mit Drittstaaten oder internationalen Organisationen sind die Bestimmungen von Artikel 218 AEUV maßgeblich.

(2)   In Geheimschutzabkommen

(3)   Wenn die Kommission im Sinne von Artikel 51 Absatz 1 zu dem Schluss gelangt, dass der Austausch von Verschlusssachen erforderlich ist, zieht sie, soweit zweckmäßig, den Europäischen Auswärtigen Dienst, das Generalsekretariat des Rates und andere Organe und Einrichtungen der Union zu Rate, um zu ermitteln, ob eine Empfehlung nach Artikel 218 Absatz 3 AEUV abgegeben werden sollte.

(4)   EU-VS werden nicht auf elektronischem Wege ausgetauscht, es sei denn, dies ist in dem Geheimschutzabkommen oder den technischen Durchführungsvereinbarungen ausdrücklich vorgesehen.

(5)   Innerhalb der Kommission fungiert die vom Generalsekretariat verwaltete EU-VS-Registratur in der Regel als zentrale Ein- und Ausgangsstelle für den Austausch von Verschlusssachen mit Drittstaaten und internationalen Organisationen. In Fällen, in denen es aus sicherheitstechnischen, organisatorischen oder operativen Gründen im Hinblick auf den Schutz von EU-VS eher angebracht ist, fungieren lokale EU-VS-Registraturen, die nach Maßgabe dieses Beschlusses und seiner Durchführungsbestimmungen in Kommissionsdienststellen eingerichtet wurden, als Ein- und Ausgangsstelle für Verschlusssachen in Bezug auf in die Zuständigkeit der betreffenden Kommissionsdienststellen fallende Angelegenheiten.

(6)   Zur Bewertung der Wirksamkeit der Sicherheitsvorschriften, -strukturen und verfahren des betreffenden Drittstaats beziehungsweise der betreffenden internationalen Organisation nimmt die Kommission in Zusammenarbeit mit anderen EU-Organen, -Einrichtungen, -Ämtern und Agenturen sowie im gegenseitigen Einvernehmen mit dem betreffenden Drittstaat beziehungsweise der betreffenden internationalen Organisation an Bewertungsbesuchen teil. Bei diesen Besuchen wird Folgendes bewertet:

Artikel 56

Verwaltungsvereinbarungen

(1)   Wenn langfristig die Notwendigkeit besteht, mit einem Drittstaat oder einer internationalen Organisation Verschlusssachen, die in der Regel höchstens in den Geheimhaltungsgrad „RESTREINT UE/EU RESTRICTED“ eingestuft sind, auszutauschen, und wenn die Sicherheitsstelle der Kommission nach Rücksprache mit der Sicherheitsexpertengruppe der Kommission insbesondere festgestellt hat, dass die betreffende Vertragspartei nicht über ein ausreichend entwickeltes Sicherheitssystem verfügt, um ein Geheimschutzabkommen abschließen zu können, kann die Kommission eine Verwaltungsvereinbarung mit den zuständigen Stellen des betreffenden Drittstaats oder mit der betreffenden internationalen Organisation schließen.

(2)   Derartige Verwaltungsvereinbarungen werden in der Regel in Form eines Briefwechsels geschlossen.

(3)   Vor dem Abschluss einer solchen Verwaltungsvereinbarung wird ein Bewertungsbesuch durchgeführt. Die Ergebnisse des Bewertungsbesuchs werden der Sicherheitsexpertengruppe der Kommission mitgeteilt. Liegen außergewöhnliche Gründe für einen dringenden Austausch von Verschlusssachen vor, so dürfen die EU-VS weitergegeben werden, sofern alle Anstrengungen unternommen werden, den Bewertungsbesuch so bald wie möglich durchzuführen.

(4)   EU-VS werden nicht auf elektronischem Wege ausgetauscht, es sei denn, dies ist in der Verwaltungsvereinbarung ausdrücklich vorgesehen.

Artikel 57

Ad-hoc-Weitergabe von EU-VS in Ausnahmefällen

(1)   Falls weder ein Geheimschutzabkommen noch eine Verwaltungsvereinbarung besteht und die Kommission oder eine ihrer Dienststellen zu dem Schluss gelangt, dass im Zusammenhang mit einem politischen oder rechtlichen Rahmen der Union eine außergewöhnliche Notwendigkeit besteht, EU-VS an einen Drittstaat oder eine internationale Organisation weiterzugeben, so überprüft die Sicherheitsstelle der Kommission soweit möglich zusammen mit den Sicherheitsbehörden des betreffenden Drittstaats oder der betreffenden internationalen Organisation, ob dessen beziehungsweise deren Sicherheitsvorschriften, -strukturen und -verfahren sicherstellen, dass weitergegebene EU-VS nach Maßgabe von Standards geschützt werden, die nicht weniger streng als die in diesem Beschluss festgelegten Standards sind.

(2)   Die Entscheidung über eine etwaige Weitergabe der EU-VS an den betreffenden Drittstaat oder die betreffende internationale Organisation trifft die Kommission nach Rücksprache mit der Sicherheitsexpertengruppe der Kommission auf der Grundlage eines Vorschlags des für Sicherheitsfragen zuständigen Kommissionsmitglieds.

(3)   Wenn die Kommission entschieden hat, dass die EU-VS weitergegeben werden dürfen, holt die zuständige Kommissionsdienststelle zunächst die schriftliche Zustimmung des Herausgebers einschließlich der Zustimmung der Urheber etwaigen darin enthaltenen Quellenmaterials ein und leitet dann die EU-VS, auf denen durch eine Weitergabekennzeichnung angegeben wird, an welchen Drittstaat oder welche internationale Organisation die Weitergabe erfolgt, weiter. Vor oder bei der tatsächlichen Weitergabe muss der betreffende Dritte sich schriftlich verpflichten, die empfangenen EU-VS gemäß den Grundprinzipien und Mindeststandards dieses Beschlusses zu schützen.

KAPITEL 8

SCHLUSSBESTIMMUNGEN

Artikel 58

Ersetzung des bisherigen Beschlusses

Der Beschluss 2001/844/EG, EGKS, Euratom der Kommission (14) wird durch den vorliegenden Beschluss aufgehoben und ersetzt.

Artikel 59

Vor Inkrafttreten dieses Beschlusses erstellte Verschlusssachen

(1)   Alle gemäß dem Beschluss 2001/844/EG, EGKS, Euratom eingestuften EU-VS werden weiter gemäß den einschlägigen Bestimmungen des vorliegenden Beschlusses geschützt.

(2)   Mit Ausnahme von Euratom-Verschlusssachen gilt für alle Verschlusssachen, die sich zum Zeitpunkt des Inkrafttretens des Beschlusses 2001/844/EG, EGKS, Euratom im Besitz der Kommission befanden, Folgendes:

Artikel 60

Durchführungsbestimmungen und Sicherheitshinweise

(1)   Die Durchführungsbestimmungen für diesen Beschluss werden gegebenenfalls im Wege eines gesonderten Beschlusses der Kommission zur Ermächtigung des für Sicherheitsfragen zuständigen Kommissionsmitglieds im Einklang mit der Geschäftsordnung erlassen.

(2)   Das für Sicherheitsfragen zuständige Kommissionsmitglied kann nach seiner Ermächtigung durch den oben genannten Kommissionsbeschluss Sicherheitshinweise ausarbeiten, in denen Sicherheitsleitlinien und bewährte Verfahren im Rahmen dieses Beschlusses und seiner Durchführungsbestimmungen festgelegt werden.

(3)   Die Kommission kann die in den Absätzen 1 und 2 dieses Artikels genannten Aufgaben im Wege eines gesonderten Befugnisübertragungsbeschlusses im Einklang mit der Geschäftsordnung dem Generaldirektor für Humanressourcen und Sicherheit übertragen.

Artikel 61

Inkrafttreten

Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(1)  Siehe „Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité“ vom 31. Dezember 2004, „Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois“ vom 20. Januar 2007 und „Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale“ vom 22. Juli 1959.

(2)  Beschluss 2002/47/EG, EGKS, Euratom der Kommission vom 23. Januar 2002 zur Änderung ihrer Geschäftsordnung (ABl. L 21 vom 24.1.2002, S. 23).

(3)  Beschluss 2004/563/EG, Euratom der Kommission vom 7. Juli 2004 zur Änderung ihrer Geschäftsordnung (ABl. L 251 vom 27.7.2004, S. 9).

(4)  Verordnung (Euratom) Nr. 3 vom 31. Juli 1958 zur Anwendung des Artikels 24 des Vertrags zur Gründung der Europäischen Atomgemeinschaft (ABl. 17 vom 6.10.1958, S. 406).

(5)  Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

(6)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(7)  Verordnung (EWG, Euratom) Nr. 354/83 des Rates vom 1. Februar 1983 über die Freigabe der historischen Archive der Europäischen Wirtschaftsgemeinschaft und der Europäischen Atomgemeinschaft (ABl. L 43 vom 15.2.1983, S. 1).

(8)  Beschluss (EU, Euratom) 2015/443 der Kommission vom 13. März 2015 über die Sicherheit in der Kommission (siehe Seite 41 dieses Amtsblatts).

(9)  Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (Beschäftigungsbedingungen für die sonstigen Bediensteten) (ABl. L 56 vom 4.3.1968, S. 1).

(10)  Verordnung (EG, Euratom) Nr. 1700/2003 des Rates vom 22. September 2003 zur Änderung der Verordnung (EWG, Euratom) Nr. 354/83 über die Freigabe der historischen Archive der Europäischen Wirtschaftsgemeinschaft und der Europäischen Atomgemeinschaft (ABl. L 243 vom 27.9.2003, S. 1).

(11)  Beschluss C(2006) 3602 vom 16. August 2006 betreffend die Sicherheit der von den Dienststellen der Kommission genutzten Informationssysteme.

(12)  Verordnung (EU) Nr. 512/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 zur Änderung der Verordnung (EU) Nr. 912/2010 über die Errichtung der Agentur für das Europäische GNSS (ABl. L 150 vom 20.5.2014, S. 72).

(13)  Verordnung (EG, Euratom) Nr. 1605/2002 des Rates vom 25. Juni 2002 über die Haushaltsordnung für den Gesamthaushaltsplan der Europäischen Gemeinschaften (ABl. L 248 vom 16.9.2002, S. 1).

(14)  Beschluss 2001/844/EG, EGKS, Euratom der Kommission vom 29. November 2001 zur Änderung ihrer Geschäftsordnung (ABl. L 317 vom 3.12.2001, S. 1).