Artikel 59 VO (EU) 2018/1240

(1) eu-LISA, die ETIAS-Zentralstelle und die nationalen ETIAS-Stellen gewährleisten die Sicherheit der Verarbeitung personenbezogener Daten nach Maßgabe dieser Verordnung. Bei der Erfüllung datensicherheitsbezogener Aufgaben arbeiten eu-LISA, die ETIAS-Zentralstelle und die nationalen ETIAS-Stellen zusammen.

(2) Unbeschadet des Artikels 22 der Verordnung (EG) Nr. 45/2001 ergreift eu-LISA die erforderlichen Maßnahmen, um die Sicherheit des ETIAS-Informationssystems sicherzustellen.

(3) Unbeschadet des Artikels 22 der Verordnung (EG) Nr. 45/2001 und der Artikel 32 und 34 der Verordnung (EU) 2016/679 treffen eu-LISA, die ETIAS-Zentralstelle und die nationalen ETIAS-Stellen die erforderlichen Maßnahmen — einschließlich eines Sicherheitsplans sowie von Notfallplänen zur Aufrechterhaltung und Wiederherstellung des Betriebs —, um

a)

die Daten physisch zu schützen, unter anderem durch Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu dem sicheren Webdienst, dem E-Mail-Dienst, dem Dienst für sichere Konten, dem Zugang für Beförderungsunternehmen, dem Überprüfungsinstrument für die Antragsteller und dem Einwilligungsinstrument für Antragsteller zu verwehren;

c)

Unbefugten den Zugang zu den Datenverarbeitungsanlagen und nationalen Einrichtungen im Einklang mit den Zwecken des ETIAS zu verwehren;

d)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

e)

die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung von gespeicherten personenbezogenen Daten zu verhindern;

f)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Datenübertragungseinrichtungen von Unbefugten genutzt werden;

g)

die unbefugte Verarbeitung von Daten im ETIAS-Zentralsystem und die unbefugte Änderung oder Löschung von Daten, die im ETIAS-Zentralsystem verarbeitet werden, zu verhindern;

h)

sicherzustellen, dass die zum Zugang zum ETIAS-Informationssystem berechtigten Personen nur mittels einer persönlichen und eindeutigen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

i)

sicherzustellen, dass alle zum Zugang zum ETIAS-Informationssystem berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Befugnisse der Personen erstellen, die berechtigt sind, auf die Daten zuzugreifen, und diese Profile den Aufsichtsbehörden zur Verfügung zu stellen;

j)

sicherzustellen, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten durch Datenübertragungseinrichtungen übermittelt werden können;

k)

sicherzustellen, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck im ETIAS-Informationssystem verarbeitet wurden;

l)

das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung von personenbezogenen Daten an das oder aus dem ETIAS-Zentralsystem oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken;

m)

sicherzustellen, dass die eingesetzten Systeme im Störungsfall für den Normalbetrieb wiederhergestellt werden können;

n)

die Zuverlässigkeit sicherzustellen, indem dafür Sorge getragen wird, dass alle Funktionsstörungen des ETIAS ordnungsgemäß gemeldet und die erforderlichen technischen Maßnahmen ergriffen werden, damit die personenbezogenen Daten im Fall einer Datenverfälschung infolge einer Fehlfunktion des ETIAS wiederhergestellt werden können;

o)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die erforderlichen organisatorischen Maßnahmen bezüglich der internen Überwachung zu treffen, um die Einhaltung dieser Verordnung sicherzustellen.

(4) Die Kommission nimmt im Wege von Durchführungsrechtsakten das Muster eines Sicherheitsplans sowie eines Notfallplans zur Aufrechterhaltung und Wiederherstellung des Betriebs an. Diese Durchführungsrechtsakte werden nach dem Prüfverfahren gemäß Artikel 90 Absatz 2 erlassen. Der Verwaltungsrat von eu-LISA, der Verwaltungsrat der Europäischen Agentur für die Grenz- und Küstenwache und die Mitgliedstaaten nehmen die Sicherheits- und Notfallpläne zur Aufrechterhaltung und Wiederherstellung des Betriebs für eu-LISA, die ETIAS-Zentralstelle und die nationalen ETIAS-Stellen an. Sie verwenden die von der Kommission als Grundlage angenommenen Musterpläne, die erforderlichenfalls angepasst werden.

(5) eu-LISA unterrichtet das Europäische Parlament, den Rat, die Kommission und den Europäischen Datenschutzbeauftragten über die Maßnahmen, die sie gemäß diesem Artikel ergreift.