1.

TECHNISCHE SPEZIFIKATIONEN FÜR DIE UMSETZUNG VON ARTIKEL 11 ABSATZ 4 BUCHSTABE A DER VERORDNUNG (EU) 2019/788

Das System umfasst technische Maßnahmen, die sicherstellen, dass nur natürliche Personen Unterstützungsbekundungen abgeben können. Mit den technischen Maßnahmen dürfen nicht mehr personenbezogene Daten gesammelt und gespeichert werden als die in Anhang III zur Verordnung (EU) 2019/788 aufgeführten.

2.

TECHNISCHE SPEZIFIKATIONEN FÜR DIE UMSETZUNG VON ARTIKEL 11 ABSATZ 4 BUCHSTABE B DER VERORDNUNG (EU) 2019/788

Die Organisatoren treffen angemessene und wirksame technische und organisatorische Maßnahmen zur Eindämmung der Risiken für die Sicherheit der von ihnen eingesetzten Netz- und Informationssysteme, um sicherzustellen, dass die Informationen über die Initiative, die im Online-Sammelsystem bereitgestellt und der Öffentlichkeit im Internet zugänglich gemacht werden, den im Register nach Artikel 6 Absatz 5 der Verordnung (EU) 2019/788 veröffentlichten Informationen über die Initiative entsprechen. Die Organisatoren stellen sicher, dass

a)

die Informationen, die im Online-Sammelsystem über die Initiative bereitgestellt werden, den im Register veröffentlichten Informationen entsprechen;

b)

das System die im Register veröffentlichten Informationen über die Initiative anzeigt, bevor die Bürger die Unterstützungsbekundungen abgeben;

c)

Sicherheitsmaßnahmen eingeführt wurden, die gewährleisten, dass die Dateneingabefelder in den Unterstützungsbekundungen zusammen mit den Informationen über die betreffende Initiative angezeigt werden, damit das Risiko vermieden wird, dass Unterstützungsbekundungen durch eine falsche Darstellung der Initiative für eine andere Initiative abgegeben werden;

d)

das System die Daten nach der Abgabe der Unterstützungsbekundung zusammen mit den Informationen über die Initiative speichert;

e)

Sicherheitsmaßnahmen dafür sorgen, dass an den im Online-Sammelsystem bereitgestellten Informationen über die Initiative keine unbefugten Änderungen vorgenommen werden können.

3.

TECHNISCHE SPEZIFIKATIONEN FÜR DIE UMSETZUNG VON ARTIKEL 11 ABSATZ 4 BUCHSTABE C DER VERORDNUNG (EU) 2019/788

Mit dem System wird gewährleistet, dass die Unterstützungsbekundungen in Übereinstimmung mit den in Anhang III der Verordnung (EU) 2019/788 vorgesehenen Datenfeldern abgegeben werden. Mit dem System wird gewährleistet, dass eine Person eine Unterstützungsbekundung nur dann abgeben kann, wenn sie bestätigt hat, dass sie die in Anhang III der Verordnung (EU) 2019/788 festgelegte Datenschutzerklärung gelesen hat.

4.

TECHNISCHE SPEZIFIKATIONEN FÜR DIE UMSETZUNG VON ARTIKEL 11 ABSATZ 4 BUCHSTABE D DER VERORDNUNG (EU) 2019/788

4.1.

Verwaltung

4.1.1.

Die Organisatorengruppe ernennt einen Sicherheitsbeauftragten, der für die Sicherheit des Systems und die sichere Übermittlung der gesammelten Unterstützungsbekundungen an die zuständige Behörde des verantwortlichen Mitgliedstaats verantwortlich ist. Der Sicherheitsbeauftragte überwacht die Informationssicherung sowie die technischen und organisatorischen Sicherheitsmaßnahmen für die sichere Sammlung, Speicherung und Übermittlung der von den Unterzeichnern bereitgestellten Daten.

4.1.2.

Die Organisatoren können die nationale zuständige Behörde nach Artikel 11 Absatz 3 der Verordnung (EU) 2019/788 auffordern, die für die Zertifizierung individueller Online-Sammelsysteme anwendbaren Sicherheitsvorschriften und -anforderungen bereitzustellen. Die zuständige Behörde stellt die Sicherheitsvorschriften und -anforderungen in der Regel innerhalb eines Monats nach Eingang des Antrags bereit. Die anwendbaren Sicherheitsvorschriften und -anforderungen müssen mit den einschlägigen nationalen oder internationalen Sicherheitsstandards in Einklang stehen.

4.1.3.

In den für die Zertifizierung des Systems anwendbaren Sicherheitsvorschriften und -anforderungen werden die in Abschnitt 4.2 definierten Risiken und die Spezifikationen in Abschnitt 4.3 berücksichtigt.

4.2.

Informationssicherung

4.2.1.

Die Organisatoren wenden Risikomanagementverfahren an, um die Risiken im Zusammenhang mit der Nutzung ihrer Systeme, einschließlich in Bezug auf die Rechte und Freiheiten der Unterzeichner, zu ermitteln und geeignete und verhältnismäßige Maßnahmen festzulegen, um Vorfälle, die die Sicherheit der von ihnen verwendeten Netze und Informationssysteme beeinträchtigen könnten, zu verhindern bzw. deren Auswirkungen abzumildern.

Das Risikomanagementverfahren konzentriert sich insbesondere auf die Risiken im Zusammenhang mit der Vertraulichkeit und Integrität der Informationen im System. Diese Risiken können das Ergebnis von Bedrohungen sein wie

a)

Benutzerfehler

b)

Fehler der System-/Sicherheitsadministratoren

c)

Konfigurationsfehler

d)

Infektionen durch Malware

e)

unbeabsichtigte Veränderung von Informationen

f)

Offenlegung oder Weitergabe von Informationen

g)

Softwareschwachstellen

h)

unberechtigter Zugang

i)

Abfangen oder Abhören der Datenströme

j)

Datenschutzrisiken.

4.2.2.

Die Organisatoren legen Unterlagen vor, aus denen hervorgeht, dass sie:

a)

die Risiken des Systems bewertet haben;

b)

geeignete Maßnahmen getroffen haben, um Vorfälle, die die Sicherheit des Systems beeinträchtigen könnten, zu verhindern bzw. deren Auswirkungen abzumildern;

c)

die Restrisiken ermittelt haben;

d)

die Maßnahmen umgesetzt und ihre Umsetzung überprüft haben;

e)

die organisatorischen Voraussetzungen für den Erhalt von Informationen zu neuen Bedrohungen und zu Verbesserungen im Bereich der Informationssicherheit geschaffen haben;

f)

die Zertifizierungsanforderungen gemäß Artikel 11 Absatz 4 der Verordnung (EU) 2019/788, einschließlich der dafür erforderlichen Verfahren, während des gesamten Sammlungsprozesses erfüllen.

4.2.3.

Die Maßnahmen zur Verhinderung von Vorfällen, die die Sicherheit des Systems beeinträchtigen könnten, bzw. zur Abmilderung deren Auswirkungen umfassen folgende Bereiche:

a)

Personalsicherheit

b)

Zugangskontrolle

c)

kryptografische Kontrollen

d)

physische Sicherheit und umgebungsbezogene Sicherheit

e)

Betriebssicherheit

f)

Kommunikationssicherheit

g)

Anschaffung, Entwicklung und Instandhaltung der Systeme

h)

Handhabung von Informationssicherheitsvorfällen

i)

Compliance.

Die Anwendung dieser Sicherheitsmaßnahmen kann auf die Teile der Organisation beschränkt werden, die für das Online-Sammelsystem relevant sind. Die Personalsicherheit beispielsweise kann auf die Mitarbeiter begrenzt werden, die physischen oder logischen Zugang zum Online-Sammelsystem haben. Der Aspekt der physischen und umgebungsbezogenen Sicherheit wiederum kann auf die Gebäude beschränkt sein, in denen die systemrelevante Hard- und Software untergebracht ist.

4.2.4.

Übertragen die Organisatoren die Entwicklung oder Bereitstellung von Online-Sammelsystemen oder Teilen davon einem Auftragsverarbeiter, so legen sie Unterlagen vor, anhand derer die Bescheinigungsbehörde feststellen kann, ob die erforderlichen Sicherheitskontrollen vorhanden sind.

4.3.

Datenverschlüsselung

Das System sieht folgende Verschlüsselung von Daten vor:

a)

Personenbezogene Daten in elektronischer Form werden bei der Speicherung oder der Übermittlung an die zuständigen Behörden in den Mitgliedstaaten gemäß der Verordnung (EU) 2019/788 verschlüsselt; die hierfür verwendeten Schlüssel werden in einem separaten System gesichert und verwaltet.

b)

Es werden geeignete Standardalgorithmen und geeignete Schlüssel gemäß internationalen Standards (wie der ETSI-Norm) verwendet. Eine Schlüsselverwaltung ist vorhanden.

c)

Alle Schlüssel und Kennwörter sind vor unberechtigtem Zugriff geschützt.