Artikel 42 VO (EU) 2019/818

(1) eu-LISA, die ETIAS-Zentralstelle, Europol und die mitgliedstaatlichen Behörden gewährleisten die Sicherheit der Verarbeitung personenbezogener Daten nach Maßgabe dieser Verordnung. Bei der Erfüllung sicherheitsbezogener Aufgaben arbeiten eu-LISA, die ETIAS-Zentralstelle, Europol und die mitgliedstaatlichen Behörden zusammen.

(2) Unbeschadet des Artikels 33 der Verordnung (EU) 2018/1725 ergreift eu-LISA die erforderlichen Maßnahmen, um die Sicherheit der Interoperabilitätskomponenten und der mit ihnen verbundenen Kommunikationsinfrastruktur sicherzustellen.

(3) Insbesondere trifft eu-LISA die erforderlichen Maßnahmen, einschließlich der Annahme eines Sicherheitsplans, eines Betriebskontinuitätsplans und eines Notfallwiederherstellungsplans, um

a)

die Daten physisch zu schützen, unter anderem durch Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

Unbefugten den Zugang zu Datenverarbeitungseinrichtungen und -anlagen zu verwehren;

c)

zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden;

d)

die unbefugte Dateneingabe sowie die unbefugte Kenntnisnahme, Änderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;

e)

die unbefugte Datenverarbeitung sowie das unbefugte Kopieren, Ändern oder Löschen von Daten zu verhindern;

f)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Datenübertragungseinrichtungen von Unbefugten genutzt werden;

g)

sicherzustellen, dass die zum Zugang zu den Interoperabilitätskomponenten berechtigten Personen nur mittels einer persönlichen Benutzerkennung und vertraulicher Zugriffsverfahren ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

h)

sicherzustellen, dass überprüft und festgestellt werden kann, welchen Stellen personenbezogene Daten durch Datenübertragungseinrichtungen übermittelt werden können;

i)

sicherzustellen, dass überprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck in den Interoperabilitätskomponenten verarbeitet wurden;

j)

das unbefugte Lesen, Kopieren, Ändern oder Löschen von personenbezogenen Daten während der Übermittlung personenbezogener Daten an die oder aus den Interoperabilitätskomponenten oder während des Transports von Datenträgern zu verhindern, insbesondere durch geeignete Verschlüsselungstechniken;

k)

sicherzustellen, dass eingesetzte Systeme im Störungsfall für den Normalbetrieb wiederhergestellt werden können;

l)

die Zuverlässigkeit sicherzustellen, indem dafür Sorge getragen wird, dass alle Funktionsstörungen der Interoperabilitätskomponenten ordnungsgemäß gemeldet werden;

m)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen, die erforderlichen organisatorischen Maßnahmen für die interne Überwachung zu treffen, um die Einhaltung dieser Verordnung sicherzustellen, und diese Sicherheitsmaßnahmen vor dem Hintergrund neuer technologischer Entwicklungen zu bewerten.

(4) Die Mitgliedstaaten, Europol und die ETIAS-Zentralstelle treffen für die Verarbeitung personenbezogener Daten durch die Behörden, die das Recht auf Zugang zu Interoperabilitätskomponenten haben, Sicherheitsmaßnahmen, die den in Absatz 3 genannten entsprechen.