Artikel 16 VO (EU) 2018/1861

(1) eu-LISA trifft die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans sowie von Notfallplänen zur Aufrechterhaltung und Wiederherstellung des Betriebs für das zentrale SIS und die Kommunikationsinfrastruktur, um

a)

die Daten physisch zu schützen, unter anderem durch Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu Datenverarbeitungsanlagen, in denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle);

c)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden (Datenträgerkontrolle);

d)

die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung von gespeicherten personenbezogenen Daten zu verhindern (Speicherkontrolle);

e)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Datenübertragungseinrichtungen von Unbefugten genutzt werden (Benutzerkontrolle);

f)

die unbefugte Verarbeitung von Daten im SIS und die unbefugte Änderung oder Löschung von Daten, die im SIS verarbeitet werden, zu verhindern (Kontrolle der Dateneingabe);

g)

sicherzustellen, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten nur mittels einer persönlichen und eindeutigen Nutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

h)

Profile mit einer Beschreibung der Aufgaben und Zuständigkeiten der zum Zugriff auf die Daten oder zum Zugang zu den Datenverarbeitungsanlagen berechtigten Personen zu erstellen und diese Profile dem Europäischen Datenschutzbeauftragten auf dessen Anfrage unverzüglich zur Verfügung zu stellen (Personalprofile);

i)

sicherzustellen, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten mithilfe von Datenübertragungseinrichtungen übermittelt werden können (Übermittlungskontrolle);

j)

sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten wann und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

k)

das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung von personenbezogenen Daten oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken (Transportkontrolle);

l)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die erforderlichen organisatorischen Maßnahmen bezüglich der internen Überwachung zu treffen, um die Einhaltung der Bestimmungen dieser Verordnung sicherzustellen (Eigenkontrolle);

m)

sicherzustellen, dass die eingesetzten Systeme im Störungsfall für den Normalbetrieb wiederhergestellt werden können (Wiederherstellung);

n)

sicherzustellen, dass das SIS ordnungsgemäß funktioniert, dass Fehler gemeldet werden (Zuverlässigkeit) und dass im SIS gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beeinträchtigt werden können (Integrität); und

o)

die Sicherheit ihrer technischen Standorte sicherzustellen.

(2) eu-LISA trifft für die Verarbeitung und den Austausch von Zusatzinformationen über die Kommunikationsinfrastruktur Sicherheitsmaßnahmen, die den in Absatz 1 genannten gleichwertig sind.