|
16.1.2008 |
DE |
Amtsblatt der Europäischen Union |
L 13/18 |
ENTSCHEIDUNG DER KOMMISSION
vom 12. Dezember 2007
über den Schutz personenbezogener Daten bei der Umsetzung des Binnenmarktinformationssystems (IMI)
(Bekannt gegeben unter Aktenzeichen K(2007) 6306)
(Text von Bedeutung für den EWR)
(2008/49/EG)
DIE KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN —
gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft,
gestützt auf den Beschluss 2004/387/EG des Europäischen Parlaments und des Rates vom 21. April 2004 über die interoperable Erbringung europaweiter elektronischer Behördendienste (eGovernment-Dienste) für öffentliche Verwaltungen, Unternehmen und Bürger (IDABC) (1), insbesondere auf Artikel 4,
in Erwägung nachstehender Gründe:
|
(1) |
Am 17. März 2006 billigten die Vertreter der Mitgliedstaaten im Beratenden Ausschuss für den Binnenmarkt (2) den Gesamtdurchführungsplan für das Binnenmarktinformationssystem (im Folgenden „IMI“) und dessen Ziel der Verbesserung der Kommunikation zwischen den Verwaltungen der Mitgliedstaaten. |
|
(2) |
In der am 14. August 2006 angenommenen dritten Überarbeitung des IDABC-Arbeitsprogramms 2005—2009 (KOM(2006) 3606) hat die Kommission die Finanzierung und die Schaffung des Binnenmarktinformationssystems als Projekt von gemeinsamem Interesse beschlossen. |
|
(3) |
Die weitere Finanzierung wurde mit der am 25. Juli 2007 beschlossenen vierten Überarbeitung des IDABC-Arbeitsprogramms durch die Kommission (KOM(2007) 3514) bewilligt. |
|
(4) |
IMI soll die Durchführung binnenmarktrelevanter Rechtsakte, die einen Informationsaustausch zwischen den Verwaltungen der Mitgliedstaaten erfordern, einfacher machen; hierzu gehören insbesondere die Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (3) und die Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (4). |
|
(5) |
Um den Schutz personenbezogener Daten in IMI gewährleisten zu können, muss der Beschluss zur Schaffung von IMI entsprechend ergänzt werden. Die unterschiedlichen Aufgaben und Funktionen der Kommission und der Mitgliedstaaten in IMI bringen im Hinblick auf den Datenschutz auch unterschiedliche Zuständigkeiten und Verpflichtungen mit sich, so dass entsprechende Funktionen, Zuständigkeiten und Auskunftsrechte definiert werden müssen. |
|
(6) |
Die gemäß Artikel 29 der Datenschutzrichtlinie eingerichtete Datenschutzgruppe hat in ihrer Stellungnahme zum Binnenmarktinformationssystem (5) ausdrücklich eine Entscheidung der Kommission gefordert, in der die Rechte und Pflichten der IMI-Akteure bestimmt werden. |
|
(7) |
Beim elektronischen Informationsaustausch zwischen den Mitgliedstaaten sind die datenschutzrelevanten Bestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (6) sowie der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (7) einzuhalten. |
|
(8) |
Um Nachfragen zwischen den zuständigen Behörden zu ermöglichen und auf Situationen vorbereitet zu sein, die entstehen, wenn betroffene Personen gegen eine im Anschluss an einen Informationsaustausch getroffene, negative Verwaltungsentscheidung Einspruch erheben möchten, sollten alle personenbezogenen Daten, die zwischen zuständigen Behörden ausgetauscht und in IMI verarbeitet werden, während sechs Monaten nach formellem Abschluss eines Informationsaustauschs bewahrt werden. Nach Verstreichen dieser sechs Monate sollten alle personenbezogenen Daten gelöscht werden. Der Zeitraum von sechs Monaten wird als angemessen betrachtet, da er der Dauer der Verwaltungsverfahren entspricht, die in Rechtsvorschriften der Gemeinschaft, auf deren Grundlage Informationen ausgetauscht werden, vorgesehen sind — |
HAT FOLGENDE ENTSCHEIDUNG ERLASSEN:
KAPITEL 1
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand
In dieser Entscheidung werden die Funktionen, Rechte und Pflichten der IMI-Akteure und IMI-Nutzer im Sinne von Artikel 6 festgelegt, die im Hinblick auf Datenschutzanforderungen beim Binnenmarktinformationssystem (im Folgenden „IMI“) relevant sind.
Artikel 2
Datenqualität
Die zuständigen Behörden der Mitgliedstaaten dürfen personenbezogene Daten nur für jene Zwecke austauschen und verarbeiten, die in den im Anhang aufgeführten Rechtsvorschriften der Gemeinschaft (im Folgenden „die relevanten Rechtsvorschriften der Gemeinschaft“) definiert sind, auf deren Grundlage Informationen ausgetauscht werden.
Informationsersuchen der zuständigen Behörden eines Mitgliedstaats an die zuständigen Behörden eines anderen Mitgliedstaats und die Antworten darauf erfolgen unter Verwendung der für die Zwecke von IMI definierten mehrsprachigen Fragen und Datenfelder, die die Kommission in Zusammenarbeit mit den Mitgliedstaaten ausgearbeitet hat.
Artikel 3
Für die Verarbeitung Verantwortliche
Die Zuständigkeiten der für die Verarbeitung Verantwortlichen im Sinne von Artikel 2 Buchstabe d der Richtlinie 95/46/EG und Artikel 2 Buchstabe d der Verordnung (EG) Nr. 45/2001 werden von den IMI-Akteuren im Sinne von Artikel 6 je nach Zuständigkeit in IMI gemeinsam wahrgenommen.
Die für die Verarbeitung Verantwortlichen sorgen dafür, dass die betroffenen Personen ihre Informations-, Auskunfts-, Berichtigungs- und Widerspruchsrechte in Einklang mit den geltenden Datenschutzvorschriften wirksam wahrnehmen können. Die IMI-Akteure geben Datenschutzerklärungen in angemessener Form ab.
Artikel 4
Aufbewahrung der im Informationsaustausch erhobenen personenbezogenen Daten über betroffene Personen
Alle personenbezogenen Daten, die sich auf die betroffenen Personen eines Informationsaustauschs beziehen und die zwischen zuständigen Behörden ausgetauscht und in IMI verarbeitet werden, werden sechs Monate nach formellem Abschluss des Informationsaustauschs gelöscht, es sei denn, eine zuständige Behörde beantragt bei der Kommission ausdrücklich das Löschen der Daten vor dieser Frist.
Vorbehaltlich der Zustimmung der anderen beteiligten zuständigen Behörde wird die Kommission innerhalb von zehn Arbeitstagen nach Stellung eines solchen Antrags tätig.
Artikel 5
Aufbewahrung personenbezogener Daten über IMI-Nutzer
Personenbezogene Daten über IMI-Nutzer im Sinne von Artikel 6 werden von der zuständigen Behörde in IMI aufbewahrt, so lange die betreffenden Personen Nutzer von IMI sind, und von der zuständigen Behörde gelöscht, wenn die betreffenden Personen nicht mehr Nutzer von IMI sind.
Zu den im ersten Absatz genannten personenbezogenen Daten gehören der vollständige Name, die berufliche E-Mail-Adresse und sowie die beruflichen Telefon- und Faxnummern der IMI-Nutzer.
KAPITEL 2
FUNKTIONEN UND ZUSTÄNDIGKEITEN IN IMI
Artikel 6
IMI-Akteure und IMI-Nutzer
(1) IMI-Akteure sind:
|
a) |
zuständige Behörden der Mitgliedstaaten im Sinne von Artikel 7; |
|
b) |
Koordinatoren im Sinne von Artikel 8; |
|
c) |
die Kommission. |
(2) IMI darf im Sinne von Artikel 9 nur von natürlichen Personen genutzt werden, die unter der Kontrolle einer zuständigen Behörde oder eines Koordinators arbeiten, im Folgenden „IMI-Nutzer“.
Artikel 7
Zuständige Behörden
Die zuständigen Behörden sorgen für den Austausch der betreffenden Informationen in IMI für die Zwecke, die in den relevanten Rechtsvorschriften der Gemeinschaft, auf deren Grundlage die Informationen ausgetauscht werden, definiert sind.
Artikel 8
IMI-Koordinatoren
(1) Jeder Mitgliedstaat benennt einen nationalen IMI-Koordinator, der sicherstellt, dass IMI auf nationaler Ebene umgesetzt wird.
Jeder Mitgliedstaat kann entsprechend seiner Verwaltungsstruktur zusätzlich einen oder mehrere delegierte IMI-Koordinatoren benennen, um Koordinierungsaufgaben für einen speziellen rechtlichen Bereich, einen Verwaltungsbereich oder eine geographische Region wahrzunehmen.
(2) Die Kommission registriert die nationalen IMI-Koordinatoren in IMI und gewährt ihnen Zugang zu IMI.
(3) Benennt ein Mitgliedstaat einen delegierten IMI-Koordinator gemäß Absatz 1, so registriert der nationale IMI-Koordinator den delegierten IMI-Koordinator in IMI und gewährt diesem Zugang zu IMI.
(4) Die Koordinatoren registrieren die zuständigen Behörden oder authentifizieren die Registrierung der zuständigen Behörden, die Zugang zu IMI benötigen, und sorgen für dessen effizientes Funktionieren. Sie gewähren den zuständigen Behörden Zugang zu jenen Rechtsbereichen, für die diese zuständig sind.
(5) Alle Koordinatoren können als zuständige Behörden auftreten. In einem solchen Fall verfügt der Koordinator über die gleichen Zugangsrechte wie eine zuständige Behörde.
Artikel 9
Arten der IMI-Nutzer
(1) IMI-Nutzer können eine oder mehrere der folgenden Funktionen wahrnehmen: zuständiger Bearbeiter, Zuweiser, zuständige Berufungsstelle und lokaler Datenverwalter.
(2) Jeder IMI-Nutzer erhält für seine jeweilige Nutzerfunktion einen genauen Satz von Zugangsrechten gemäß Artikel 12.
(3) Alle IMI-Nutzer können nach einer bestimmten zuständigen Behörde suchen.
(4) IMI-Nutzer, die als zuständige Bearbeiter benannt wurden, können im Namen ihrer zuständigen Behörde am Informationsaustausch teilnehmen.
(5) IMI-Nutzer, die in einer zuständigen Behörde als Zuweiser benannt wurden, können ein Informationsersuchen einer oder mehreren zuständigen Bearbeitern innerhalb dieser Behörde zuteilen.
IMI-Nutzer, die in einem Koordinator als Zuweiser benannt wurden, können ein Informationsersuchen einer oder mehreren zuständigen Berufungsstellen innerhalb dieser Behörde zuteilen.
(6) I MI-Nutzer in einem Koordinator können als zuständige Berufungsstellen benannt werden.
Sie können die Absendung von Anfragen oder Antworten einer zuständigen Behörde genehmigen, wenn vom Koordinator ein solches Genehmigungsverfahren als Vorraussetzung dafür verlangt wird, und sie können sich zustimmend oder ablehnend äußern, wenn eine anfragende zuständige Behörde mit einer Antwort nicht zufrieden ist.
(7) IMI-Nutzer, die als lokale Datenverwalter benannt werden, können Folgendes tun:
|
a) |
personenbezogene Daten über IMI-Nutzer ihrer eigenen Behörde aktualisieren; |
|
b) |
zusätzliche Nutzer für ihre eigene Behörde registrieren; |
|
c) |
Nutzerprofile von Nutzern ihrer eigenen Behörde ändern. |
Artikel 10
Kommission
(1) Die Kommission stellt die Verfügbarkeit und Wartung der IT-Infrastruktur für IMI sicher. Sie wird ein mehrsprachiges System, das in allen Amtssprachen funktioniert, und ein zentrales Helpdesk zur Unterstützung der Mitgliedstaaten bei der Nutzung von IMI bereitstellen.
(2) Die Kommission wird die in Artikel 2 Absatz 2 genannten Fragen und Datenfelder öffentlich verfügbar machen.
(3) Die Kommission kann sich an einem Informationsaustausch nur in den besonderen Fällen beteiligen, wenn die relevanten Rechtsvorschriften der Gemeinschaft einen Informationsaustausch zwischen den Mitgliedstaaten und der Kommission vorsehen.
(4) In den im dritten Absatz genannten Fällen verfügt die Kommission über die gleichen Zugangsrechte im Sinne von Artikel 12 wie eine zuständige Behörde.
KAPITEL 3
ZUGANGSRECHTE FÜR PERSONENBEZOGENE DATEN
Artikel 11
Betroffene Personen
Für die Zwecke dieses Kapitels bezeichnet der Begriff „betroffene Personen“ lediglich die von einem spezifischen Informationsaustausch betroffenen Personen und nicht die IMI-Nutzer.
Artikel 12
Zugangsrechte von IMI-Nutzern
(1) Zuständige Bearbeiter einer zuständigen Behörde haben im Verlauf eines Informationsaustauschs lediglich Zugang zu personenbezogenen Daten über
|
a) |
andere zuständige Bearbeiter derselben zuständigen Behörde, welche am betreffenden Informationsaustausch beteiligt sind; |
|
b) |
den zuständigen Bearbeiter der anderen zuständigen Behörde, welcher am betreffenden Informationsaustausch beteiligt ist; |
|
c) |
die zuständigen Berufungsstellen der Koordinatoren, welche für den betreffenden Informationsaustausch zuständig sind; |
|
d) |
die betroffenen Personen des betreffenden Informationsaustauschs. Zuständige Bearbeiter einer antwortenden zuständigen Behörde haben erst dann Zugang zu den personenbezogenen Daten der betroffenen Personen, wenn die Anfrage von ihrer zuständigen Behörde akzeptiert worden ist. |
(2) Zuweiser einer zuständigen Behörde haben lediglich Zugang zu personenbezogenen Daten über
|
a) |
die zuständigen Bearbeiter derselben zuständigen Behörde; |
|
b) |
die zuständigen Bearbeiter der anderen zuständigen Behörde, welche am betreffenden Informationsaustausch beteiligt sind; |
|
c) |
die zuständigen Berufungsstellen der Koordinatoren, welche für den betreffenden Informationsaustausch zuständig sind. |
Sie haben keinen Zugang zu den personenbezogenen Daten der betroffenen Personen.
(3) Zuweiser eines Koordinators haben lediglich Zugang zu personenbezogenen Daten über
|
a) |
die zuständigen Berufungsstellen desselben Koordinators; |
|
b) |
die zuständigen Bearbeiter der zuständigen Behörden, welche am betreffenden Informationsaustausch beteiligt sind; |
|
c) |
die zuständigen Berufungsstellen des anderen Koordinators, welche für den betreffenden Informationsaustausch zuständig sind. |
Sie haben keinen Zugang zu den personenbezogenen Daten der betroffenen Personen.
(4) Zuständigen Berufungsstellen haben lediglich Zugang zu personenbezogenen Daten über
|
a) |
zuständigen Berufungsstellen der Koordinatoren, welche am betreffenden Informationsaustausch beteiligt sind; |
|
b) |
die zuständigen Bearbeiter der zuständigen Behörden, welche am betreffenden Informationsaustausch beteiligt sind. |
Sie haben keinen Zugang zu den personenbezogenen Daten der betroffenen Personen.
(5) Lokale Datenverwalter einer zuständigen Behörde haben lediglich Zugang zu personenbezogenen Daten der IMI-Nutzer derselben zuständigen Behörde.
Sie haben keinen Zugang zu den personenbezogenen Daten der betroffenen Personen.
(6) Lokale Datenverwalter eines Koordinators haben lediglich Zugang zu personenbezogenen Daten über
|
a) |
alle IMI-Nutzer desselben Koordinators; |
|
b) |
alle lokalen Datenverwalter der zuständigen Behörden und Koordinatoren, für die sie Koordinator sind. |
Sie haben keinen Zugang zu den personenbezogenen Daten der betroffenen Personen.
(7) Lokale Datenverwalter der Kommission haben lediglich Zugang zu personenbezogenen Daten über
|
a) |
alle anderen lokalen Datenverwalter der Kommission; |
|
b) |
alle lokalen Datenverwalter der nationalen IMI-Koordinatoren. |
Lokale Datenverwalter der Kommission können personenbezogene Daten der betroffenen Personen gemäß Artikel 4 löschen, aber nicht einsehen.
KAPITEL 4
SCHLUSSBESTIMMUNGEN
Artikel 13
Adressaten
Diese Entscheidung ist an die Mitgliedstaaten gerichtet.
Brüssel, den 12. Dezember 2007
Für die Kommission
Charlie McCREEVY
Mitglied der Kommission
(1) ABl. L 144 vom 30.4.2004, S. 67. Berichtigung im ABl. L 181 vom 18.5.2004, S. 25.
(2) Eingerichtet durch den Beschluss 93/72/EWG der Kommission (ABl. L 26 vom 3.2.1993, S. 18).
(3) ABl. L 376 vom 27.12.2006, S. 36.
(4) ABl. L 255 vom 30.9.2005, S. 22. Richtlinie zuletzt geändert durch die Verordnung (EG) Nr. 1430/2007 der Kommission (ABl. L 320 vom 6.12.2007, S. 3).
(5) Stellungnahme 01911/07/EN, WP 140.
(6) ABl. L 281 vom 23.11.1995, S. 31. Richtlinie geändert durch die Verordnung (EG) Nr. 1882/2003 (ABl. L 284 vom 31.10.2003, S. 1).
(7) ABl. L 8 vom 12.1.2001, S. 1.
ANHANG
Relevante Rechtsvorschriften der Gemeinschaft im Sinne von Artikel 2
Die relevanten Rechtsvorschriften der Gemeinschaft im Sinne von Artikel 2 Absatz 1 sind:
|
1. |
Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (1); |
|
2. |
Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (2). |
(1) ABl. L 255 vom 30.9.2005, S. 22. Richtlinie geändert durch die Richtlinie 2006/100/EG des Rates (ABl. L 363 vom 20.12.2006, S. 141).