Artikel 10 VO (EU) 2021/953

(1) Die Verordnung (EU) 2016/679 gilt für die Verarbeitung personenbezogener Daten bei der Umsetzung dieser Verordnung.

(2) Die personenbezogenen Daten, die in den gemäß dieser Verordnung ausgestellten Zertifikaten enthalten sind, dürfen für die Zwecke dieser Verordnung ausschließlich zum Zwecke des Abrufs und der Überprüfung der im Zertifikat enthaltenen Informationen verarbeitet werden, um die Ausübung des Rechts auf Freizügigkeit innerhalb der Union während der COVID-19-Pandemie zu erleichtern. Nach dem Ende der Geltungsdauer dieser Verordnung findet keine weitere Verarbeitung mehr statt.

(3) Die personenbezogenen Daten, die in den in Artikel 3 Absatz 1 genannten Zertifikaten enthalten sind, werden von den zuständigen Behörden des Bestimmungs- oder Transitmitgliedstaats oder von den grenzüberschreitend tätigen Personenverkehrsdienstleistern, die nach nationalem Recht verpflichtet sind, bestimmte Maßnahmen im Bereich der öffentlichen Gesundheit während der COVID-19-Pandemie durchzuführen, ausschließlich verarbeitet, um den Impfstatus, ein Testergebnis oder den Genesungsstatus des Inhabers zu überprüfen und zu bestätigen. Zu diesem Zweck beschränken sich die personenbezogenen Daten auf das absolut Notwendige. Die personenbezogenen Daten, auf die gemäß diesem Absatz zugegriffen wird, werden nicht gespeichert.

(4) Die personenbezogenen Daten, die für die Ausstellung der Zertifikate nach Artikel 3 Absatz 1, einschließlich der Ausstellung neuer Zertifikate, verarbeitet werden, dürfen vom Aussteller nicht länger gespeichert werden, als es für deren Zwecke unbedingt erforderlich ist, und in keinem Fall länger als für den Zeitraum, für den die Zertifikate zur Ausübung des Rechts auf Freizügigkeit verwendet werden dürfen.

(5) Zertifikatswiderrufslisten, die gemäß Artikel 4 Absatz 2 ausgetauscht werden, dürfen nach dem Ende der Geltungsdauer dieser Verordnung nicht mehr aufbewahrt werden.

(6) Die für die Ausstellung der Zertifikate nach Artikel 3 Absatz 1 zuständigen Behörden oder anderen benannten Stellen gelten als Verantwortliche im Sinne des Artikels 4 Absatz 7 der Verordnung (EU) 2016/679.

(7) Die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die einen COVID-19-Impfstoff verabreicht oder den Test durchgeführt hat, für den ein Zertifikat ausgestellt werden soll, übermittelt den Behörden oder anderen benannten Stellen, die für die Ausstellung der Zertifikate zuständig sind, die personenbezogenen Daten, die zum Ausfüllen der im Anhang aufgeführten Datenfelder erforderlich sind.

(8) Arbeitet ein Verantwortlicher nach Absatz 6 für die Zwecke nach Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 mit einem Auftragsverarbeiter, so erfolgt keine Übermittlung personenbezogener Daten durch den Auftragsverarbeiter in ein Drittland.