Artikel 26 VO (EU) 2016/794

(1) Soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist, kann Europol von privaten Parteien erhaltene personenbezogene Daten verarbeiten, wenn ihr diese auf einem der folgenden Wege zugehen:

a)

über eine nationale Stelle gemäß dem nationalen Recht,

b)

über die Kontaktstelle eines Drittstaates oder einer internationalen Organisation, mit dem beziehungsweise der Europol vor dem 1. Mai 2017 ein Kooperationsabkommen nach Artikel 23 des Beschlusses 2009/371/JI geschlossen hat, das den Austausch personenbezogener Daten zulässt, oder

c)

über eine Behörde eines Drittstaats oder eine internationale Organisation, gemäß Artikel 25 Absatz 1 Buchstaben a, b oder c, oder gemäß Artikel 25 Absatz 4a.

(2) Sofern Europol personenbezogene Daten direkt von privaten Parteien entgegennimmt, kann sie diese personenbezogenen Daten gemäß Artikel 18 verarbeiten, um die in Absatz 1 Buchstabe a genannten betreffenden nationalen Stellen zu ermitteln. Europol leitet die personenbezogenen Daten und relevante Ergebnisse aus der Verarbeitung dieser Daten, die für die Feststellung der Zuständigkeit erforderlich sind, unverzüglich an die betreffenden nationalen Stellen weiter. Europol kann die personenbezogenen Daten und relevante Ergebnisse aus der Verarbeitung dieser Daten, die für die Feststellung der Zuständigkeit erforderlich sind, gemäß Artikel 25 an die betreffenden Kontaktstellen und Behörden im Sinne des Absatzes 1 Buchstaben b und c des vorliegenden Artikels weiterleiten. Wenn Europol keine betreffenden nationalen Stellen ermitteln konnte oder die personenbezogenen Daten bereits an alle ermittelten betreffenden nationalen Stellen weitergeleitet hat und es nicht möglich war, weitere betreffende nationale Stellen zu ermitteln, so löscht sie die Daten, es sei denn, die betreffende nationale Stelle, Kontaktstelle oder Behörde legt diese personenbezogenen Daten gemäß Artikel 19 Absatz 1 innerhalb von vier Monaten nach der Übermittlung erneut vor.

Die Kriterien dafür, ob es sich bei der nationalen Stelle des Niederlassungsmitgliedstaats der betreffenden privaten Partei um eine betreffende nationale Stelle handelt, werden in den Leitlinien nach Artikel 18 Absatz 7 festgelegt.

(2a) Eine Zusammenarbeit von Europol mit privaten Parteien darf die Tätigkeiten der FIU der Mitgliedstaaten weder duplizieren noch beeinträchtigen und darf keine Informationen betreffen, die den FIU für die Zwecke der Richtlinie (EU) 2015/849 zur Verfügung zu stellen sind.

(3) Im Anschluss an die Übermittlung personenbezogener Daten gemäß Absatz 5 Buchstabe c kann Europol diesbezüglich personenbezogene Daten unmittelbar von einer privaten Partei entgegennehmen, wenn diese erklärt, dass sie gemäß geltendem Recht befugt ist, diese Daten zu übermitteln, um sie zur Erfüllung der in Artikel 4 Absatz 1 Buchstabe m aufgeführten Aufgabe zu verarbeiten.

(4) Erhält Europol personenbezogene Daten von einer privaten Partei, die in einem Drittstaat niedergelassen ist, so leitet Europol diese Daten und die Ergebnisse ihrer Analyse und Verifizierung dieser Daten nur an einen Mitgliedstaat oder einen in Artikel 25 Absatz 1 Buchstabe a, b oder c oder Artikel 25 Absatz 4a genannten betroffenen Drittstaat weiter.

Unbeschadet des Unterabsatzes 1 des vorliegenden Absatzes kann Europol das Ergebnis nach Unterabsatz 1 des vorliegenden Absatzes an den betroffenen Drittstaat gemäß Artikel 25 Absatz 5 oder 6 weiterleiten.

(5) Europol übermittelt keine personenbezogenen Daten an private Parteien, mit Ausnahme der folgenden Fälle und vorausgesetzt, diese Übermittlung ist im Einzelfall unbedingt erforderlich und verhältnismäßig, was im Einzelfall festzustellen ist:

a)

die Übermittlung liegt zweifelsfrei im Interesse der betroffenen Person;

b)

die Übermittlung zur Verhinderung einer unmittelbar bevorstehenden Begehung einer Straftat, einschließlich einer terroristischen Straftat, die unter die Ziele von Europol fällt, ist zwingend erforderlich;

c)

die Übermittlung öffentlich zugänglicher personenbezogener Daten zur Erfüllung der in Artikel 4 Absatz 1 Buchstabe m genannten Aufgabe ist unbedingt erforderlich und die folgenden Voraussetzungen sind erfüllt:

i)

Die Übermittlung betrifft einen bestimmten Einzelfall;

ii)

die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen im konkreten Fall nicht das öffentliche Interesse an einer Übermittlung dieser personenbezogenen Daten oder

d)

die Übermittlung ist unbedingt erforderlich, damit Europol die private Partei davon in Kenntnis setzen kann, dass die eingegangenen Informationen für Europol nicht ausreichen, um die betreffenden nationalen Stellen zu ermitteln, und die folgenden Voraussetzungen sind erfüllt:

i)

Die Übermittlung erfolgt nach der Entgegennahme der direkt von einer privaten Partei übermittelten personenbezogener Daten gemäß Absatz 2;

ii)

die fehlenden Informationen, auf die sich Europol in ihrer Mitteilung beziehen kann, weisen einen klaren Bezug zu den Informationen auf, die zuvor von dieser privaten Partei übermittelt wurden;

iii)

die fehlenden Informationen, auf die sich Europol in ihrer Mitteilung beziehen kann, beschränken sich auf das, was unbedingt notwendig ist, damit Europol die betreffenden nationalen Stellen ermitteln kann.

Die in Unterabsatz 1 des vorliegenden Absatzes genannte Übermittlung erfolgt vorbehaltlich etwaiger Einschränkungen, die gemäß Artikel 19 Absatz 2 oder Absatz 3 vorgesehen sind, und unbeschadet des Artikels 67.

(6) Hinsichtlich Absatz 5 Buchstaben a, b und d des vorliegenden Artikels, wenn die betreffende private Partei nicht in der Union oder in einem in Artikel 25 Absatz 1 Buchstabe a, b oder c oder in Artikel 25 Absatz 4a genannten Drittstaat niedergelassen ist, wird die Übermittlung vom Exekutivdirektor nur genehmigt, wenn die Übermittlung

a)

zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

b)

für die Wahrung berechtigter Interessen der betroffenen Person erforderlich ist,

c)

zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats unerlässlich ist,

d)

in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat, die unter die Ziele von Europol fällt, erforderlich ist oder

e)

in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat, in unter die Ziele von Europol fällt, erforderlich ist.

Personenbezogene Daten werden nicht übermittelt, wenn der Exekutivdirektor feststellt, dass die Grundrechte und Grundfreiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung im Sinne von Unterabsatz 1 Buchstaben d und e dieses Absatzes überwiegen.

(6a) Unbeschadet des Absatzes 5 Buchstaben a, c und d des vorliegenden Artikels und anderer Rechtsakte der Union sind systematische, massive oder strukturelle Übermittlungen personenbezogener Daten gemäß den Absätzen 5 und 6 nicht zulässig.

(6b) Europol kann die Mitgliedstaaten über deren nationale Stellen ersuchen, nach ihrem nationalen Recht personenbezogene Daten von privaten Parteien zu erlangen, die in ihrem Hoheitsgebiet niedergelassen sind oder einen Vertreter haben, um diese Daten an Europol weiterzugeben. Ein solches Ersuchen muss begründet und so bestimmt wie möglich sein. Solche personenbezogenen Daten müssen möglichst wenig sensibel sein und sind streng auf das zu beschränken, was für Europol zur Ermittlung der betreffenden nationalen Stellen unbedingt erforderlich und verhältnismäßig ist.

Die Mitgliedstaaten stellen ungeachtet ihrer Zuständigkeit für eine betreffende Straftat sicher, dass ihre zuständigen Behörden die in Unterabsatz 1 genannten Ersuchen gemäß ihrem nationalen Recht bearbeiten können, damit Europol die Informationen zur Verfügung gestellt werden können, die Europol zur Ermittlung der betroffenen nationalen Stellen benötigt.

(6c) Für den Datenaustausch zwischen den zuständigen Behörden der Mitgliedstaaten und privaten Parteien kann die Infrastruktur von Europol gemäß den nationalen Rechtsvorschriften der betreffenden Mitgliedstaaten genutzt werden. Dieser Austausch kann sich auch auf nicht unter die Ziele von Europol fallende Straftaten erstrecken.

Wenn Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten über Straftaten nutzen, die unter die Ziele von Europol fallen, können sie Europol Zugang zu diesen Daten gewähren.

Wenn Mitgliedstaaten die Europol-Infrastruktur für den Austausch personenbezogener Daten über Straftaten nutzen, die nicht unter die Ziele von Europol fallen, so erhält Europol keinen Zugang zu diesen Daten und wird nicht als „Auftragsverarbeiter” gemäß Artikel 87 der Verordnung (EU) 2018/1725 erachtet.

Europol bewertet die Sicherheitsrisiken, die sich aus der Gewährung der Nutzung ihrer Infrastruktur durch private Parteien ergeben, und ergreift erforderlichenfalls geeignete Präventiv- und Abhilfemaßnahmen.

(7) Europol stellt sicher, dass alle Übermittlungen von personenbezogenen Daten und die Gründe für diese Übermittlungen im Einklang mit dieser Verordnung ausführlich aufgezeichnet und dem EDSB gemäß Artikel 40 auf Verlangen mitgeteilt werden.

(8) Berühren die erhaltenen oder zu übermittelnden personenbezogenen Daten die Interessen eines Mitgliedstaats, so unterrichtet Europol unverzüglich die nationale Stelle des betreffenden Mitgliedstaats.

(9) Europol nimmt nicht mit privaten Parteien Kontakt auf, um personenbezogene Daten einzuholen.

(10) Die Kommission bewertet bis zum 1. Mai 2019 die Praxis des direkten Austauschs personenbezogener Daten mit privaten Parteien.

(11) Europol bereitet einen Jahresbericht für den Verwaltungsrat über die mit privaten Parteien gemäß den Artikeln 26, 26a und 26b ausgetauschten personenbezogenen Daten auf der Grundlage der vom Verwaltungsrat festgelegten quantitativen und qualitativen Bewertungskriterien vor.

Der Jahresbericht schließt konkrete Beispiele ein, die zeigen, warum die Ersuchen von Europol gemäß Absatz 6b des vorliegenden Artikels für die Erreichung ihrer Ziele und die Erfüllung ihrer Aufgaben erforderlich waren.

Im Jahresbericht wird die Verpflichtung zur Zurückhaltung und Verschwiegenheit berücksichtigt und werden die Beispiele anonymisiert, soweit es um personenbezogene Daten geht.

Der Jahresbericht wird dem Europäischen Parlament, dem Rat, der Kommission und den nationalen Parlamenten zugeleitet.