BESCHLUSS (EU, Euratom) 2015/443 DER KOMMISSION

vom 13. März 2015

über Sicherheit in der Kommission

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 249,

gestützt auf den Vertrag zur Gründung der Europäischen Atomgemeinschaft,

gestützt auf das den Verträgen beigefügte Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union, insbesondere auf Artikel 18,

in Erwägung nachstehender Gründe:

HAT FOLGENDEN BESCHLUSS ERLASSEN:

KAPITEL 1

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Begriffsbestimmungen

Für die Zwecke dieses Beschlusses gelten die folgenden Begriffsbestimmungen:

(1)   „Vermögenswerte“: bewegliches und unbewegliches Vermögen im Eigentum oder Besitz der Kommission;

(2)   „Kommissionsdienststelle“: Generaldirektion, Dienststelle oder Kabinett eines Mitglieds der Kommission;

(3)   „Kommunikations- und Informationssystem (KIS)“: System, mit dem Informationen elektronisch verarbeitet werden können; dazu gehören die für den Betrieb erforderlichen Vermögenswerte sowie die Infrastruktur, Organisation, das Personal und die Informationsressourcen;

(4)   „Risikokontrolle“: jede Sicherheitsmaßnahme, mit der ein Sicherheitsrisiko nach vernünftigem Ermessen wirksam durch Prävention, Verminderung, Vermeidung oder Verlagerung beherrscht wird;

(5)   „Krisensituation“: Umstand, Ereignis, Vorfall oder Notfall (bzw. deren Aufeinanderfolge oder gleichzeitiges Auftreten), durch den beziehungsweise das die Sicherheit in der Kommission ungeachtet seines Ursprungs erheblich oder unmittelbar bedroht wird;

(6)   „Daten“: Informationen in einer Form, in der sie übermittelt, aufgezeichnet oder verarbeitet werden können;

(7)   „Für die Sicherheit zuständiges Kommissionsmitglied“: das Mitglied der Kommission, in dessen Zuständigkeitsbereich die Generaldirektion Humanressourcen und Sicherheit fällt;

(8)   „Personenbezogene Daten“: personenbezogene Daten gemäß Artikel 2 Buchstabe a der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (4);

(9)   „Räumlichkeiten“: unbewegliches Vermögen oder diesem gleichzustellendes Vermögen im Eigentum oder Besitz der Kommission;

(10)   „Risikoprävention“: alle Sicherheitsmaßnahmen, die nach vernünftigem Ermessen ein Sicherheitsrisiko ausräumen, verzögern oder beenden werden;

(11)   „Sicherheitsrisiko“: Kombination von Bedrohungslage, Gefährdungsanfälligkeit und möglichen Auswirkungen eines Ereignisses;

(12)   „Sicherheit in der Kommission“: Sicherheit von Personen, Vermögenswerten und Informationen in der Kommission, insbesondere die physische Unversehrtheit von Personen und Vermögenswerten, die Unversehrtheit, Vertraulichkeit und Verfügbarkeit von Informationen und Kommunikations- und Informationssystemen sowie die ungehinderte Arbeitsfähigkeit der Kommission;

(13)   „Sicherheitsmaßnahme“: jede gemäß diesem Beschluss ergriffene Maßnahme zur Beherrschung von Sicherheitsrisiken;

(14)   „Statut“: Statut der Beamten der Europäischen Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (5) und ihrer nachfolgenden Änderungen;

(15)   „Sicherheitsbedrohung“: Ereignis oder Faktor, das beziehungsweise der nach vernünftigem Ermessen die Sicherheit beeinträchtigen kann, falls keine Gegenmaßnahmen ergriffen werden;

(16)   „Unmittelbare Sicherheitsbedrohung“: Sicherheitsbedrohung, die ohne oder mit sehr kurzer Vorwarnzeit eintritt;

(17)   „Erhebliche Sicherheitsbedrohung“: Sicherheitsbedrohung, die nach vernünftigem Ermessen zu Todesfällen, schweren Verletzungen, erheblicher Beschädigung des Eigentums, Verlust oder Offenlegung hochsensibler Informationen oder Störungen von IT-Systemen oder wesentlichen Arbeitsfunktionen der Kommission führen wird;

(18)   „Schwachstelle“: Anfälligkeit, die nach vernünftigem Ermessen im Fall einer oder mehrerer Bedrohungen die Sicherheit der Kommission beeinträchtigen kann.

Artikel 2

Gegenstand

1.   In diesem Beschluss werden die Ziele, die Grundsätze, die Organisation und die Zuständigkeiten im Hinblick auf die Sicherheit in der Kommission festgelegt.

2.   Dieser Beschluss gilt für alle Dienststellen der Kommission und findet in allen Räumlichkeiten der Kommission Anwendung. In Delegationen der Union tätige Kommissionsbedienstete unterliegen den Sicherheitsvorschriften für den Europäischen Auswärtigen Dienst. (6)

3.   Ungeachtet spezifischer Anweisungen für bestimmte Gruppen von Mitarbeitern gilt dieser Beschluss für die Mitglieder der Kommission, die unter das Statut und die Beschäftigungsbedingungen für sonstige Bedienstete der Europäischen Union fallenden Kommissionsbediensteten, für zur Kommission entsandte nationale Experten, Dienstleister und ihre Mitarbeiter, Praktikanten und sonstige Personen, die Zugang zu den Räumlichkeiten der Kommission, sonstigen Vermögenswerten oder zu von der Kommission bearbeiteten Informationen haben.

4.   Dieser Beschluss lässt die Kommissionsbeschlüsse 2002/47/EG, EGKS, Euratom (7), 2004/563/EG, Euratom (8), C(2006) 1623 (9) und C(2006) 3602 (10) unberührt.

KAPITEL 2

GRUNDSÄTZE

Artikel 3

Grundsätze für die Sicherheit in der Kommission

1.   Bei der Durchführung dieses Beschlusses hält die Kommission die Verträge, insbesondere die Grundrechtecharta und das Protokoll Nr. 7 über die Vorrechte und Befreiungen der Europäischen Union sowie die in Erwägungsgrund 2 genannten Instrumente, alle anwendbaren Vorschriften des nationalen Rechts sowie die Bestimmungen dieses Beschlusses ein. Falls notwendig wird ein Sicherheitshinweis im Sinne von Artikel 21 Absatz 2 mit entsprechenden Leitlinien herausgegeben.

2.   Die Sicherheit in der Kommission stützt sich auf die Grundsätze Legalität, Transparenz, Verhältnismäßigkeit und Verantwortlichkeit.

3.   Der Grundsatz der Legalität bedeutet, dass bei der Durchführung dieses Beschlusses der Rechtsrahmen und die rechtlichen Anforderungen streng einzuhalten sind.

4.   Alle Sicherheitsmaßnahmen werden offen/ohne jede Geheimhaltung durchgeführt, es sei denn, dies würde nach vernünftigem Ermessen ihre Wirkung beeinträchtigen. Personen, die von einer Sicherheitsmaßnahme betroffen sind, werden zuvor über die Gründe und die Auswirkungen der Maßnahme informiert, es sei denn, dies würde nach vernünftigem Ermessen die Wirkung beeinträchtigen. In diesem Fall wird die von der Sicherheitsmaßnahme betroffene Person informiert, wenn die Gefahr, dass die Wirkung der Sicherheitsmaßnahme beeinträchtigt werden könnte, vorüber ist.

5.   Die Kommissionsdienststellen stellen sicher, dass bei der Entwicklung und Durchführung von politischen Strategien, Beschlüssen, Programmen, Projekten und Tätigkeiten der Kommission, die in ihrem Zuständigkeitsbereich liegen, von Beginn an Sicherheitsaspekten Rechnung getragen wird. Zu diesem Zweck wird von der ersten Vorbereitungsphase an für allgemeine Fragen die Generaldirektion für Humanressourcen und Sicherheit und für die IT-Systeme betreffende Fragen der leitende Beauftragte für die Informationssicherheit der Kommission eingebunden.

6.   Gegebenenfalls wendet sich die Kommission soweit möglich zum Zweck der Zusammenarbeit an die zuständigen Stellen des Gastlandes, anderer Mitgliedstaaten oder anderer EU-Organe, -Einrichtungen oder -Agenturen und berücksichtigt die von diesen Stellen ergriffenen oder geplanten Maßnahmen zur Beseitigung des betreffenden Risikos.

Artikel 4

Pflicht zur Einhaltung der Vorschriften

1.   Die Einhaltung dieses Beschlusses und der Durchführungsbestimmungen sowie der Sicherheitsmaßnahmen und Anordnungen von beauftragten Bediensteten ist zwingend vorgeschrieben.

2.   Die Nichteinhaltung von Sicherheitsbestimmungen kann Disziplinarmaßnahmen gemäß den Verträgen und dem Statut, vertragliche Sanktionen und/oder Gerichtsverfahren nach den nationalen Gesetzen und Vorschriften nach sich ziehen.

KAPITEL 3

GEWÄHRLEISTUNG DER SICHERHEIT

Artikel 5

Beauftragte Bedienstete

1.   Nur bevollmächtigten Bediensteten, denen der Generaldirektor für Humanressourcen und Sicherheit angesichts ihrer aktuellen Aufgaben einen entsprechenden, auf ihren Namen lautenden Auftrag erteilt hat, kann die Befugnis erteilt werden,

2.   Die in Absatz 1 genannten Aufträge werden für einen Zeitraum erteilt, der den Zeitraum, in dem die Person die Funktion innehat, aufgrund deren der Auftrag erteilt wurde, nicht übersteigt. Die Aufträge werden unter Einhaltung der einschlägigen Bestimmungen von Artikel 3 Absatz 1 erteilt.

3.   Für die beauftragten Bediensteten stellt dieser Beschluss eine Dienstanordnung im Sinne von Artikel 21 des Statuts dar.

Artikel 6

Allgemeine Bestimmungen über Sicherheitsmaßnahmen

1.   Beim Ergreifen von Sicherheitsmaßnahmen gewährleistet die Kommission, soweit dies nach vernünftigem Ermessen möglich ist, dass

2.   Die für die Sicherheit zuständige Direktion der Generaldirektion Humanressourcen und Sicherheit erstellt einen Überblick über die Sicherheitsmaßnahmen, die nach den Rechts- und Verwaltungsvorschriften der Mitgliedstaaten, in denen sich Räumlichkeiten der Kommission befinden, möglicherweise einer gerichtlichen Anordnung bedürfen.

3.   Die für Sicherheit zuständige Direktion der Generaldirektion Humanressourcen und Sicherheit kann einen Auftragnehmer beauftragen, unter Leitung und Aufsicht der Direktion Sicherheit sicherheitsbezogene Aufgaben wahrzunehmen.

Artikel 7

Personen betreffende Sicherheitsmaßnahmen

1.   Allen in den Räumlichkeiten der Kommission befindlichen Personen ist unter Berücksichtigung der Sicherheitsanforderungen ein angemessener Schutz zu bieten.

2.   Bei erheblichen Sicherheitsrisiken stellt die Generaldirektion Humanressourcen und Sicherheit unmittelbaren Personenschutz für die Mitglieder der Kommission oder andere Bedienstete bereit, wenn eine Bedrohungsanalyse ergeben hat, dass ein solcher Schutz zur Gewährleistung ihrer Sicherheit erforderlich ist.

3.   Bei erheblichen Sicherheitsrisiken kann die Kommission anordnen, ihre Räumlichkeiten zu evakuieren.

4.   In den Räumlichkeiten der Kommission befindlichen Opfern von Unfällen oder Angriffen wird Hilfe geleistet.

5.   Um Sicherheitsrisiken vorzubeugen und diese zu beherrschen, führen beauftragte Bedienstete Zuverlässigkeitsüberprüfungen der in den Anwendungsbereich dieses Beschlusses fallenden Personen durch; dabei wird bestimmt, ob eine Sicherheitsbedrohung entsteht, falls diesen Personen Zugang zu Räumlichkeiten oder Informationen der Kommission gewährt wird. Zu diesem Zweck und unter Einhaltung der Verordnung (EG) Nr. 45/2001 sowie des Artikels 3 Absatz 1 dürfen die beauftragten Bediensteten

Artikel 8

Die physische Sicherheit und Vermögenswerte betreffende Sicherheitsmaßnahmen

1.   Die Sicherheit von Vermögenswerten wird sichergestellt durch die Anwendung geeigneter physischer und technischer Schutzmaßnahmen und entsprechender Verfahren (nachstehend „Maßnahmen für die physische Sicherheit“), mit denen ein mehrschichtiges System geschaffen wird.

2.   Nach Maßgabe dieses Artikels können Maßnahmen beschlossen werden, um Personen oder Informationen in der Kommission sowie Vermögenswerte zu schützen.

3.   Ziele der Maßnahmen für die physische Sicherheit sind:

4.   Maßnahmen für die physische Sicherheit umfassen

5.   Um die physische Sicherheit zu gewährleisten, können die folgenden Maßnahmen ergriffen werden:

Artikel 9

Sicherheitsmaßnahmen zum Schutz von Informationen

1.   Die zum Schutz von Informationen ergriffenen Maßnahmen decken sämtliche von der Kommission behandelten Informationen ab.

2.   Unabhängig von ihrer jeweiligen Form muss die Informationssicherheit einen Ausgleich schaffen zwischen Transparenz, Verhältnismäßigkeit, Verantwortlichkeit und Effizienz sowie der Notwendigkeit, Informationen vor dem Zugang, der Verwendung, Offenlegung, Veränderung oder Zerstörung durch Unbefugte zu schützen.

3.   Ziel der Informationssicherheit ist der Schutz der Vertraulichkeit, Unversehrtheit und Verfügbarkeit.

4.   Um Informationen zu klassifizieren und in einem angemessenen Verhältnis stehende Sicherheitsmaßnahmen, Verfahren und Normen und sowie Abwehrmaßnahmen zu entwickeln, werden Risikomanagementverfahren eingesetzt.

5.   Diese allgemeinen Grundsätze der Informationssicherheit werden insbesondere angewendet auf:

6.   Vertrauliche Informationen, die nicht zu den Verschlusssachen zählen, unterliegen Vorschriften bezüglich ihrer Behandlung und Speicherung. Sie werden nur gegenüber Personen offengelegt, die von ihnen Kenntnis haben müssen. Wenn dies für den wirksamen Schutz der Vertraulichkeit für notwendig erachtet wird, werden sie gekennzeichnet und unterliegen vom Generaldirektor für Humanressourcen und Sicherheit gebilligten Handhabungsanordnungen. Sofern sie in Kommunikations- und Informationssystemen verarbeitet oder gespeichert werden, sind diese Informationen zudem nach Maßgabe des Beschlusses C(2006) 3602, seiner Durchführungsbestimmungen und entsprechender Normen zu schützen.

7.   Gegen Personen, die für die Kompromittierung oder den Verlust von EU-VS oder vertrauliche Informationen, die nicht zu den Verschlusssachen zählen und als solche entsprechend den Bestimmungen über die Handhabung und Speicherung gekennzeichnet sind, verantwortlich sind, können gemäß dem Statut Disziplinarmaßnahmen ergriffen werden. Diese Disziplinarmaßnahmen lassen weitere von den zuständigen Behörden der Mitgliedstaaten entsprechend ihren Vorschriften eingeleitete rechtliche oder strafrechtliche Verfahren sowie vertragliche Rechtsbehelfe unberührt.

Artikel 10

Sicherheitsmaßnahmen zum Schutz von Kommunikations- und Informationssystemen

1.   Sämtliche von der Kommission verwendeten Kommunikations- und Informationssysteme („KIS“) müssen der Sicherheitsstrategie der Kommission in Bezug auf ihre Informationssysteme gemäß dem Beschluss C(2006) 3602, den zugehörigen Durchführungsbestimmungen und entsprechenden Sicherheitsnormen genügen.

2.   Kommissionsdienststellen, die KIS besitzen, verwalten oder betreiben, gestatten anderen Organen, Einrichtungen, Agenturen oder sonstigen Stellen der EU nur dann Zugang zu diesen Systemen, wenn diese hinreichend Gewähr dafür bieten, dass der Schutz ihrer IT-Systeme dem Schutzniveau der Sicherheitsstrategie der Kommission in Bezug auf ihre Informationssysteme gemäß dem Beschluss C(2006) 3602, den zugehörigen Durchführungsbestimmungen und entsprechenden Sicherheitsnormen genügt. Die Kommission überwacht die Einhaltung dieser Bestimmung; im Fall einer schwerwiegenden Verletzung oder dauerhafter Nichteinhaltung der Bestimmung ist sie berechtigt, den Zugang zu verweigern.

Artikel 11

Forensische Analysen für die Cybersicherheit

Die Generaldirektion Humanressourcen und Sicherheit führt in Zusammenarbeit mit den einschlägigen Kommissionsdienststellen forensische technische Analysen durch, mit denen die Sicherheitsuntersuchungen nach Artikel 13 in Bezug auf Spionageabwehr, Datenverlust, Cyberangriffe und Sicherheit der Informationssysteme unterstützt werden.

Artikel 12

Personen und Gegenstände betreffende Sicherheitsmaßnahmen

1.   Um die Sicherheit in der Kommission zu gewährleisten und Risiken zu verhüten und zu beherrschen, dürfen gemäß Artikel 5 beauftragte Bedienstete unter Einhaltung der Grundsätze von Artikel 3 unter anderem eine oder mehrere der folgenden Sicherheitsmaßnahmen ergreifen:

2.   In Ausnahmefällen können gemäß Artikel 5 beauftragte Bedienstete der Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit unter strenger Einhaltung der Grundsätze von Artikel 3 erforderliche Sofortmaßnahmen ergreifen. So rasch wie möglich nach Ergreifen dieser Maßnahmen informieren diese Bediensteten den Leiter der Direktion Sicherheit, der den Generaldirektor für Humanressourcen und Sicherheit um einen angemessenen Auftrag, um die Bestätigung der erfolgten Maßnahmen und die Genehmigung künftiger notwendiger Maßnahmen ersucht; dieser tritt gegebenenfalls mit den zuständigen nationalen Behörden in Kontakt.

3.   Auf der Grundlage dieses Artikels durchgeführte Sicherheitsmaßnahmen werden zum Zeitpunkt ihrer Durchführung oder im Falle einer unmittelbaren Bedrohung oder Krisensituation binnen angemessener Zeit im Anschluss an die Maßnahmen dokumentiert. Im letztgenannten Fall beinhaltet die Dokumentation auch die Elemente, die darauf hinwiesen, dass eine unmittelbare Bedrohung oder Krisensituation vorlag. Die Dokumentation kann kurz sein, sollte aber so abgefasst sein, dass Personen, die der Maßnahme unterworfen sind, ihr Recht auf Verteidigung und den Schutz ihrer personenbezogenen Daten gemäß der Verordnung (EG) Nr. 45/2001 ausüben können und eine Überprüfung der Rechtmäßigkeit der Maßnahme möglich ist. Informationen über einen Bediensteten betreffende spezifische Sicherheitsmaßnahmen werden nicht in die Personalakte dieses Bediensteten aufgenommen.

4.   Bei Sicherheitsmaßnahmen nach Buchstabe b gewährleistet die Kommission außerdem, dass die betroffene Person Gelegenheit erhält, einen Rechtsanwalt oder eine Person ihres Vertrauens hinzuzuziehen, und dass sie darüber belehrt wird, dass sie berechtigt ist, beim Europäischen Datenschutzbeauftragten Beschwerde einzulegen.

Artikel 13

Untersuchungen

1.   1. Unbeschadet des Artikels 86 und des Anhangs IX des Statuts und etwaiger spezieller Vereinbarungen zwischen der Kommission und dem EAD wie der am 28. Mai 2014 unterzeichneten Vereinbarung zwischen der Generaldirektion Humanressourcen und Sicherheit der Europäischen Kommission und dem Europäischen Auswärtigen Dienst über die Fürsorgepflicht für in Delegationen der Union tätige Kommissionsbedienstete können in folgenden Fällen Sicherheitsuntersuchungen durchgeführt werden:

2.   Der Generaldirektor für Humanressourcen und Sicherheit fasst den Beschluss, eine Sicherheitsuntersuchung durchzuführen, und ist auch der Empfänger des Untersuchungsberichts.

3.   Sicherheitsuntersuchungen werden ausschließlich von bestimmten, ordnungsgemäß nach Artikel 5 beauftragten Bediensteten der Generaldirektion Humanressourcen und Sicherheit durchgeführt.

4.   Die beauftragten Bediensteten führen die Sicherheitsuntersuchungen unabhängig entsprechend ihrem Auftrag aus und haben die in Artikel 12 aufgeführten Befugnisse.

5.   Beauftragte Bedienstete, die berechtigt sind, Sicherheitsuntersuchungen durchzuführen, können aus allen verfügbaren Quellen Informationen beschaffen, die sich auf in Räumlichkeiten der Kommission begangene Ordnungswidrigkeiten oder strafbare Handlungen beziehen oder an denen Personen gemäß Artikel 2 Absatz 3 als Opfer oder Täter beteiligt sind.

6.   Die Generaldirektion Humanressourcen und Sicherheit informiert die zuständigen Behörden des Gastmitgliedstaats oder gegebenenfalls anderer betroffener Mitgliedstaaten, insbesondere wenn die Untersuchung Hinweise auf das Vorliegen einer Straftat ergeben hat. Falls es angemessen oder erforderlich ist, kann die Generaldirektion Humanressourcen und Sicherheit in diesem Zusammenhang die Behörden des Gastmitgliedstaats oder anderer betroffener Mitgliedstaaten unterstützen.

7.   Bei schwerwiegenden Cyber-Vorfällen arbeitet die Generaldirektion Informatik eng mit der Generaldirektion Humanressourcen und Sicherheit zusammen, um diese in Bezug auf technische Angelegenheiten zu unterstützen. Die Generaldirektion Humanressourcen und Sicherheit beschließt in Absprache mit der Generaldirektion Informatik, wann die zuständigen Behörden des Gastlandes oder anderer betroffener Mitgliedstaaten zu informieren sind. Für die europäischen Organe, Einrichtungen und Agenturen wird der Koordinierungsdienst des IT-Notfallteams der EU (Computer Emergency Response Team — CERT-EU) zur Unterstützung anderer eventuell betroffener EU-Organe und -Agenturen eingesetzt.

8.   Über Sicherheitsuntersuchungen werden schriftliche Aufzeichnungen geführt.

Artikel 14

Abgrenzung der Zuständigkeiten für Sicherheitsuntersuchungen und sonstige Nachforschungen

1.   Führt die Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit Sicherheitsuntersuchungen gemäß Artikel 13 durch, die in den Zuständigkeitsbereich des Europäischen Amts für Betrugsbekämpfung (OLAF) oder des Untersuchungs- und Disziplinaramts der Kommission (IDOC) fallen, setzt sie sich unverzüglich mit diesen Ämtern in Verbindung, damit insbesondere keine nachfolgenden Maßnahmen des OLAF oder des IDOC beeinträchtigt werden. Gegebenenfalls lädt die Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit das OLAF oder das IDOC ein, sich an der Untersuchung zu beteiligen.

2.   Die Sicherheitsuntersuchungen gemäß Artikel 13 lassen die Befugnisse des OLAF und des IDOC gemäß den für diese Ämter geltenden Vorschriften unberührt. Die Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit können ersucht werden, bei vom OLAF oder vom IDOC eingeleiteten Untersuchungen technische Unterstützung zu leisten.

3.   Betreten Bedienstete des OLAF gemäß Artikel 3 Absatz 5 oder Artikel 4 Absatz 4 der Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates (13) Räumlichkeiten der Kommission, so kann die Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit gebeten werden, diesen Bediensteten Unterstützung zu leisten und ihnen ihre Aufgabe zu erleichtern. Die Direktion Sicherheit setzt den Generalsekretär und den Leiter der Generaldirektion Humanressourcen und Sicherheit oder, falls die Untersuchung in Räumlichkeiten von Kommissionsmitgliedern oder des Generalsekretärs durchgeführt wird, den Präsidenten der Kommission und das für Humanressourcen zuständige Kommissionsmitglied von einem solchen Unterstützungsersuchen in Kenntnis.

4.   Fällt eine Sache möglicherweise in den Zuständigkeitsbereich sowohl der Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit als auch des IDOC, so teilt die Direktion Sicherheit, wenn sie dem Generaldirektor für Humanressourcen gemäß Artikel 13 Bericht erstattet, diesem unbeschadet des Artikels 22a des Statuts zum frühestmöglichen Zeitpunkt mit, ob Gründe vorliegen, die die Befassung des IDOC mit dieser Sache rechtfertigen. Dieser Zeitpunkt gilt insbesondere dann als erreicht, wenn eine unmittelbare Sicherheitsbedrohung vorüber ist. Der Generaldirektor für Humanressourcen und Sicherheit entscheidet über diese Angelegenheit.

5.   Fällt eine Sache möglicherweise in den Zuständigkeitsbereich sowohl der Direktion Sicherheit der Generaldirektion Humanressourcen und Sicherheit als auch des OLAF, so teilt die Direktion Sicherheit dies dem Generaldirektor für Humanressourcen und Sicherheit unverzüglich mit und informiert den Generaldirektor des OLAF zum frühestmöglichen Zeitpunkt. Dieser Zeitpunkt gilt insbesondere dann als erreicht, wenn eine unmittelbare Sicherheitsbedrohung vorüber ist.

Artikel 15

Sicherheitsüberprüfungen

1.   Die Generaldirektion Humanressourcen und Sicherheit führt Sicherheitsüberprüfungen durch, um die Einhaltung dieses Beschlusses und der Durchführungsbestimmungen durch die Kommissionsdienststellen und die betroffenen Personen zu kontrollieren und gegebenenfalls Empfehlungen auszusprechen.

2.   Wo es angebracht erscheint, führt die Generaldirektion Humanressourcen und Sicherheit Sicherheitsüberprüfungen, Sicherheitskontrollen oder Kontrollbesuche durch, um zu ermitteln, ob die Sicherheit der Kommissionsbediensteten, Vermögenswerte und Informationen, die in die Zuständigkeit anderer Organe, Einrichtungen oder Agenturen der Union, der Mitgliedstaaten, von Drittstaaten oder internationalen Organisationen fallen, angemessen im Einklang mit Sicherheitsvorschriften und -normen, die mindestens denen der Kommission entsprechen, geschützt ist. Wo es angebracht erscheint und im Sinne einer guten Zusammenarbeit zwischen den Verwaltungen schließen die Sicherheitsüberprüfungen auch Überprüfungen im Rahmen des Austauschs von Verschlusssachen mit anderen Organen, Einrichtungen und Agenturen der Union sowie mit Mitgliedstaaten, Drittstaaten oder internationalen Organisationen ein.

3.   Dieser Artikel gilt entsprechend für in Delegationen der Union tätige Kommissionsbedienstete, unbeschadet etwaiger spezieller Vereinbarungen zwischen der Kommission und dem EAD wie der am 28. Mai 2014 unterzeichneten Vereinbarung zwischen der Generaldirektion Humanressourcen und Sicherheit der Europäischen Kommission und dem Europäischen Auswärtigen Dienst über die Fürsorgepflicht für in Delegationen der Union tätige Kommissionsbedienstete

Artikel 16

Alarmstufen und Krisenmanagement

1.   Es ist Sache der Generaldirektion Humanressourcen und Sicherheit, im Vorgriff oder als Reaktion auf Bedrohungen und Vorfälle, die die Sicherheit der Kommission beeinträchtigen, geeignete Alarmstufen-Maßnahmen sowie Maßnahmen für das Krisenmanagement einzuführen.

2.   Die in Absatz 1 genannten Alarmstufen-Maßnahmen entsprechen der jeweiligen Stufe der Sicherheitsbedrohung. Die Alarmstufen werden in enger Zusammenarbeit mit den zuständigen Dienststellen anderer Organe, Einrichtungen und Agenturen der Union, der Mitgliedstaaten oder jener Mitgliedstaaten, in denen sich die Gebäude der Kommission befinden, definiert.

3.   Die Generaldirektion Humanressourcen und Sicherheit ist die Kontaktstelle für Alarmstufen und Krisenmanagement.

KAPITEL 4

ORGANISATION

Artikel 17

Allgemeine Zuständigkeit der Kommissionsdienststellen

1.   Die Generaldirektion Humanressourcen und Sicherheit übt die in diesem Beschluss genannten Befugnisse der Kommission unter der Aufsicht und Verantwortung des für die Sicherheit zuständigen Kommissionsmitglieds aus.

2.   Die spezifischen Bestimmungen bezüglich der Cybersicherheit sind im Beschluss C(2006) 3602 niedergelegt.

3.   Die Zuständigkeit für die Umsetzung dieses Beschlusses und der zugehörigen Durchführungsbestimmungen sowie die Überprüfung der Einhaltung kann auf andere Kommissionsdienststellen übertragen werden, sofern die Sicherheit dezentral auf wirksamere, ressourcenschonendere und zeitsparendere Weise gewährleistet werden kann, beispielsweise wegen des Standorts der betreffenden Dienststellen.

4.   Findet Absatz 3 Anwendung, so schließen die Generaldirektion Humanressourcen und Sicherheit und gegebenenfalls der Generaldirektor für Informatik Vereinbarungen mit einzelnen Kommissionsdienststellen, in denen klare Regeln und Zuständigkeiten für die Umsetzung und Überwachung der Sicherheitsstrategie festgelegt werden.

Artikel 18

Generaldirektion Humanressourcen und Sicherheit

1.   Die Generaldirektion Humanressourcen und Sicherheit ist insbesondere zuständig für

2.   Die Generaldirektion Humanressourcen und Sicherheit sorgt unbeschadet der Zuständigkeiten anderer Kommissionsdienststellen extern für die Zusammenarbeit

3.   Die Generaldirektion Humanressourcen und Sicherheit ist für die Sicherheit der nach Maßgabe dieses Artikels übermittelten Informationen und personenbezogenen Daten verantwortlich.

Artikel 19

Die Sicherheitsexpertengruppe der Kommission

Es wird eine Sicherheitsexpertengruppe der Kommission eingesetzt, die die Kommission gegebenenfalls bei Fragen im Zusammenhang mit ihrer internen Sicherheitsstrategie und insbesondere in Bezug auf Verschlusssachen der EU berät.

Artikel 20

Lokale Sicherheitsbeauftragte

1.   Jede Kommissionsdienststelle und jedes Kabinett benennt einen lokalen Sicherheitsbeauftragten, der als Hauptkontaktstelle zwischen der Dienststelle und der Generaldirektion Humanressourcen und Sicherheit in Bezug auf alle Fragen der Sicherheit in der Kommission dient. Gegebenenfalls können mehrere lokale Sicherheitsbeauftragte benannt werden. Nur Beamte oder Bedienstete auf Zeit können lokale Sicherheitsbeauftragte sein.

2.   Als wichtigste Kontaktstelle für Sicherheitsfragen in seiner Kommissionsdienststelle oder seinem Kabinett erstattet der lokale Sicherheitsbeauftragte regelmäßig der Generaldirektion Humanressourcen und Sicherheit und seinen Vorgesetzten über seine Dienststelle betreffende Sicherheitsfragen Bericht und meldet dieser unverzüglich alle etwaigen Sicherheitsvorfälle einschließlich solcher, in denen EU-VS oder vertrauliche Informationen, die nicht zu den Verschlusssachen zählen, möglicherweise Unbefugten zur Kenntnis gelangt sind.

3.   In Fragen der Sicherheit von Kommunikations- und Informationssystemen arbeitet der lokale Sicherheitsbeauftragte mit dem lokalen Sicherheitsbeauftragten für Informatik seiner Kommissionsdienststelle, dessen Rolle und Zuständigkeiten im Beschluss C(2006) 3602 niedergelegt sind, zusammen.

4.   Der lokale Sicherheitsbeauftragte trägt zu auf die spezifischen Bedürfnisse der Bediensteten, Auftragnehmer und sonstiger unter der Aufsicht seiner Kommissionsdienststelle arbeitender Personen zugeschnittenen Sicherheitsschulungen und Sensibilisierungsmaßnahmen bei.

5.   Der lokale Sicherheitsbeauftragte kann im Falle erheblicher oder unmittelbarer Sicherheitsrisiken oder Notfälle auf Wunsch der Generaldirektion Humanressourcen und Sicherheit mit spezifischen Aufgaben betraut werden. Der Generaldirektor oder der Direktor für Humanressourcen der Generaldirektion des lokalen Sicherheitsbeauftragten wird von der Generaldirektion Humanressourcen und Sicherheit von diesen spezifischen Aufgaben in Kenntnis gesetzt.

6.   Die Zuständigkeiten des lokalen Sicherheitsbeauftragten berühren nicht die Rolle und die Zuständigkeiten der lokalen Sicherheitsbeauftragten für Informatik, der Arbeitsschutzbeauftragten, der Registraturkontrollbeauftragten oder anderer mit Sicherheitsaufgaben betrauter Personen. Der lokale Sicherheitsbeauftragte arbeitet mit diesen Personen zusammen, um einen kohärenten und stimmigen Sicherheitsansatz sowie einen wirkungsvollen Informationsfluss über Sicherheitsfragen in der Kommission zu gewährleisten.

7.   Der lokale Sicherheitsbeauftragte hat direkten Zugang zu seinem Generaldirektor oder Dienststellenleiter; er berichtet seinem direkten Vorgesetzten. Er erhält eine Sicherheitsermächtigung für den Zugang zu EU-VS mindestens des Geheimhaltungsgrades SECRET UE/EU SECRET.

8.   Zum Zwecke des Austauschs von Informationen und bewährten Verfahren veranstaltet die Generaldirektion Humanressourcen und Sicherheit mindestens zweimal jährlich eine Konferenz der lokalen Sicherheitsbeauftragten, bei der für letztere Teilnahmepflicht besteht.

KAPITEL 5

DURCHFÜHRUNG

Artikel 21

Durchführungsbestimmungen und Sicherheitshinweise

1.   Falls notwendig, ist der Erlass von Durchführungsbestimmungen für diesen Beschluss in voller Übereinstimmung mit der Geschäftsordnung Gegenstand eines gesonderten Ermächtigungsbeschlusses der Kommission für das für die Sicherheit zuständige Kommissionsmitglied.

2.   Nach seiner Ermächtigung durch den genannten Kommissionsbeschluss kann das für die Sicherheit zuständige Kommissionsmitglied im Anwendungsbereich dieses Beschlusses und seiner Durchführungsbestimmungen Sicherheitshinweise mit Sicherheitsleitlinien und bewährten Verfahren erstellen.

3.   Die Kommission kann die in Absatz 1 und Absatz 2 genannten Aufgaben in voller Übereinstimmung mit der Geschäftsordnung durch einen gesonderten Übertragungsbeschluss auf den Generaldirektor für Humanressourcen und Sicherheit übertragen.

KAPITEL 6

VERSCHIEDENES UND SCHLUSSBESTIMMUNGEN

Artikel 22

Verarbeitung personenbezogener Daten

1.   Die Kommission verarbeitet die zur Durchführung dieses Beschlusses erforderlichen personenbezogenen Daten gemäß der Verordnung (EG) Nr. 45/2001.

2.   Ungeachtet der zum Zeitpunkt der Annahme dieses Beschlusses geltenden und dem Europäischen Datenschutzbeauftragten (15) gemeldeten Maßnahmen unterliegen alle nach Maßgabe dieses Beschlusses ergriffenen Maßnahmen, die die Verarbeitung von personenbezogenen Daten (beispielsweise für die Erstellung von Ein- und Ausgangsprotokolldateien, Videoaufzeichnungen, Aufzeichnungen von Telefongesprächen mit Notrufstellen oder -zentralen) oder von ähnlichen, aus Sicherheitsgründen oder für die Krisenbewältigung benötigten Daten erforderlich machen, den Durchführungsbestimmungen gemäß Artikel 21, in denen geeignete Garantien für die von der Datenbearbeitung betroffenen Personen festgelegt werden.

3.   Der Leiter der Generaldirektion Humanressourcen und Sicherheit ist für die Sicherheit bei der Verarbeitung personenbezogener Daten im Rahmen dieses Beschlusses verantwortlich.

4.   Die Durchführungsbestimmungen und -verfahren werden nach Anhörung des Datenschutzbeauftragten und des Europäischen Datenschutzbeauftragten gemäß der Verordnung (EG) Nr. 45/2001 erlassen.

Artikel 23

Transparenz

Dieser Beschluss und die Durchführungsbestimmungen werden den Bediensteten der Kommission und allen Personen, für die sie gelten, zur Kenntnis gebracht.

Artikel 24

Aufhebung früherer Beschlüsse

Der Beschluss C(94) 2129 wird aufgehoben.

Artikel 25

Inkrafttreten

Dieser Beschluss tritt am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(1)  Siehe „Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité“ vom 31. Dezember 2004, „Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois“ vom 20. Januar 2007 sowie „Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale“ vom 22. Juli 1959.

(2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

(3)  Beschluss C(94) 2129 der Kommission vom 8. September 1994 über die Aufgaben des Sicherheitsbüros.

(4)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(5)  Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates vom 29. Februar 1968 zur Festlegung des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften sowie zur Einführung von Sondermaßnahmen, die vorübergehend auf die Beamten der Kommission anwendbar sind (Beschäftigungsbedingungen für die sonstigen Bediensteten) (ABl. L 56 vom 4.3.1968, S. 1).

(6)  Beschluss 2013/C 190/01 der Hohen Vertreterin der Union für Außen und Sicherheitspolitik vom 19. April 2013 über die Sicherheitsvorschriften für den Europäischen Auswärtigen Dienst (ABl. C 190 vom 29.6.2013, S. 1).

(7)  Beschluss 2002/47/EG, EGKS, Euratom der Kommission vom 23. Januar 2002 zur Änderung ihrer Geschäftsordnung (ABl. L 21 vom 24.1.2002, S. 23) mit beigefügten Bestimmungen zur Verwaltung von Dokumenten.

(8)  Beschluss 2004/563/EG, EGKS, Euratom der Kommission vom 7. Juli 2004 zur Änderung ihrer Geschäftsordnung (ABl. L 251 vom 27.7.2004, S. 9) mit beigefügten Bestimmungen über elektronische und digitalisierte Dokumente.

(9)  Beschluss C(2006) 1623 der Kommission vom 21. April 2006 über eine harmonisierte Politik für Sicherheit und Gesundheitsschutz am Arbeitsplatz für das Personal der Kommission.

(10)  Beschluss C(2006) 3602 der Kommission vom 16. August 2006 betreffend die Sicherheit der von den Dienststellen der Kommission genutzten Informationssysteme.

(11)  Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

(12)  Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

(13)  Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates vom 11. September 2013 über die Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) und zur Aufhebung der Verordnung (EG) Nr. 1073/1999 des Europäischen Parlaments und des Rates und der Verordnung (Euratom) Nr. 1074/1999 des Rates (ABl. L 248 vom 18.9.2013, S. 1).

(14)  Beschluss (EU, Euratom) 2015/444 der Kommission vom 13. März 2015 über Sicherheitsvorschriften zum Schutz von Verschlusssachen der EU (siehe Seite 53 dieses Amtsblatts).

(15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.