Artikel 16 VO (EG) 2006/1987

1. Die Verwaltungsbehörde trifft für das zentrale SIS II bzw. die Kommission für die Kommunikationsinfrastruktur die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans, um

a)

die Daten physisch zu schützen, auch durch die Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);

c)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle);

d)

die unbefugte Eingabe von Daten in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

e)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);

f)

zu gewährleisten, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten nur mittels einer persönlichen und eindeutigen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

g)

Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der zum Zugriff auf die Daten oder zum Zugang zu den Datenverarbeitungsanlagen berechtigten Personen zu erstellen und diese Profile dem Europäischen Datenschutzbeauftragten nach Artikel 45 Absatz 1 auf dessen Anfrage unverzüglich zur Verfügung zu stellen (Personalprofile);

h)

zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle);

i)

zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

j)

insbesondere durch geeignete Verschlüsselungstechniken zu verhindern, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

k)

die Effizienz der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die notwendigen organisatorischen Maßnahmen im Zusammenhang mit der internen Überwachung zu treffen, um die Einhaltung der Bestimmungen dieser Verordnung sicherzustellen (Eigenkontrolle).

2. Die Verwaltungsbehörde trifft für den Austausch von Zusatzinformationen über die Kommunikationsinfrastruktur Sicherheitsmaßnahmen, die den in Absatz 1 genannten entsprechen.