Artikel 32 VO (EG) 2008/767

(1) Der verantwortliche Mitgliedstaat gewährleistet die Datensicherheit vor und während der Übermittlung an die nationale Schnittstelle. Die Mitgliedstaaten gewährleisten die Sicherheit der Daten, die sie aus dem VIS erhalten.

(2) Die Mitgliedstaaten treffen in Abhängigkeit von ihrem nationalen System die erforderlichen Maßnahmen, die einen Sicherheitsplan einschließen, um

a)

die Daten physisch zu schützen, auch durch Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu nationalen Einrichtungen zu verwehren, in denen die Mitgliedstaaten Tätigkeiten im Einklang mit den Zwecken des VIS durchführen (Zugangskontrollen zu diesen Einrichtungen);

c)

das unbefugte Lesen, Kopieren, Ändern oder Entfernen von Datenträgern zu verhindern (Datenträgerkontrolle);

d)

die unbefugte Dateneingabe und die unbefugte Kenntnisnahme, Veränderung oder Löschung von gespeicherten personenbezogenen Daten zu verhindern (Speicherkontrolle);

e)

die unbefugte Verarbeitung von Daten im VIS und die unbefugte Änderung oder Löschung von Daten, die im VIS verarbeitet wurden, zu verhindern (Kontrolle der Dateneingabe);

f)

sicherzustellen, dass die zum Zugang zum VIS berechtigten Personen nur mittels einer persönlichen und eindeutigen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

g)

zu gewährleisten, dass alle zum Zugang zum VIS berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der Personen erstellen, die berechtigt sind, die Daten zu lesen, einzugeben, zu aktualisieren, zu löschen und in den Daten zu suchen, und diese Profile den nationalen Kontrollstellen nach Artikel 41 auf deren Anfrage unverzüglich zur Verfügung stellen (Personalprofile);

h)

zu gewährleisten, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten durch Einrichtungen zur Datenübertragung übermittelt werden können (Übermittlungskontrolle);

i)

sicherzustellen, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck im VIS verarbeitet wurden (Kontrolle der Datenaufzeichnung);

j)

das unbefugte Lesen, Kopieren, Verändern oder Löschen von personenbezogenen Daten während der Übermittlung von personenbezogenen Daten an das oder aus dem VIS oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken (Übertragungskontrolle);

k)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die erforderlichen organisatorischen Maßnahmen bezüglich der internen Überwachung zu treffen, um die Einhaltung der Bestimmungen dieser Verordnung sicherzustellen (Eigenkontrolle).

(3) Die Verwaltungsbehörde ergreift die erforderlichen Maßnahmen, um die in Absatz 2 genannten Ziele hinsichtlich des Betriebs des VIS zu erreichen, einschließlich der Verabschiedung eines Sicherheitsplans.