Artikel 10 VO (EG) 2006/1987

1. Jeder Mitgliedstaat trifft für sein N. SIS II die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans, um

a)

die Daten physisch zu schützen, auch durch die Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);

c)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle);

d)

die unbefugte Eingabe von Daten in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

e)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);

f)

zu gewährleisten, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten nur mittels einer persönlichen und eindeutigen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

g)

zu gewährleisten, dass alle Behörden mit Zugriffsrecht auf das SIS II oder mit Zugangsberechtigung zu den Datenverarbeitungsanlagen Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der Personen erstellen, die zum Zugriff auf die Daten sowie zu ihrer Eingabe, Aktualisierung, Löschung und Abfrage berechtigt sind, und diese Profile den nationalen Kontrollinstanzen nach Artikel 44 Absatz 1 auf deren Anfrage unverzüglich zur Verfügung stellen (Personalprofile);

h)

zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle);

i)

zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit, von wem und zu welchem Zweck in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

j)

insbesondere durch geeignete Verschlüsselungstechniken zu verhindern, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

k)

die Effizienz der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die notwendigen organisatorischen Maßnahmen im Zusammenhang mit der internen Überwachung zu treffen, um die Einhaltung der Bestimmungen dieser Verordnung sicherzustellen (Eigenkontrolle).

2. Die Mitgliedstaaten treffen für den Austausch von Zusatzinformationen Sicherheitsmaßnahmen, die den in Absatz 1 genannten entsprechen.