Artikel 48 VO (EU) 2024/1358

(1) Der Herkunftsmitgliedstaat gewährleistet die Datensicherheit vor und während der Übermittlung an Eurodac.

(2) Jeder Mitgliedstaat trifft für sämtliche Daten, die von seinen zuständigen Behörden gemäß dieser Verordnung verarbeitet werden, die erforderlichen Maßnahmen, einschließlich der Aufstellung eines Datensicherheitsplans, um

a)

die Daten physisch zu schützen, auch durch die Aufstellung von Notfallplänen für den Schutz kritischer Infrastrukturen;

b)

zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsgeräten und nationalen Anlagen erhalten, in denen der Mitgliedstaat Tätigkeiten ausführt, die dem Zweck von Eurodac dienen (Kontrolle des Zugangs zu den Geräten und den Anlagen);

c)

das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verhindern (Datenträgerkontrolle);

d)

die unbefugte Eingabe von Daten sowie die unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);

e)

zu verhindern, dass automatisierte Datenverarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können (Benutzerkontrolle);

f)

die unbefugte Verarbeitung von Daten in Eurodac und die unbefugte Änderung oder Löschung von Daten, die in Eurodac verarbeitet wurden, zu verhindern (Kontrolle der Dateneingabe);

g)

sicherzustellen, dass zum Zugriff auf Eurodac berechtigte Personen über eine individuelle und einmalig vergebene Benutzerkennung und einen geheimen Zugangsmodus ausschließlich Zugriff auf die ihrer Zugriffsberechtigung unterliegenden Daten haben (Kontrolle des Datenzugriffs);

h)

sicherzustellen, dass die zum Zugriff auf Eurodac berechtigten Behörden Profile mit einer Beschreibung der Aufgaben und Befugnisse der Personen erstellen, die zum Zugriff auf die Daten sowie zu ihrer Eingabe, Aktualisierung, Löschung und Abfrage berechtigt sind, und dass diese Profile und alle anderen einschlägigen Informationen, die diese Behörden zur Überwachung anfordern könnten, den Aufsichtsbehörden nach Artikel 51 der Verordnung (EU) 2016/679 und Artikel 41 der Richtlinie (EU) 2016/680 auf deren Anfrage unverzüglich zur Verfügung gestellt werden (Profile der zugriffsberechtigten Personen);

i)

zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übermittelt werden können (Übermittlungskontrolle);

j)

sicherzustellen, dass nachgeprüft und festgestellt werden kann, welche Daten wann, von wem und zu welchem Zweck in Eurodac verarbeitet worden sind (Datenerfassungskontrolle);

k)

insbesondere durch geeignete Verschlüsselungstechniken zu verhindern, dass bei der Übertragung personenbezogener Daten an Eurodac oder von Eurodac oder während des Transports von Datenträgern die Daten von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

l)

zu gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);

m)

zu gewährleisten, dass Eurodac seine Funktionen ausübt, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität); und

n)

die Wirksamkeit der in diesem Absatz genannten Sicherheitsmaßnahmen zu überwachen und die notwendigen organisatorischen Maßnahmen im Zusammenhang mit der internen Überwachung zu treffen, um sicherzustellen, dass dieser Verordnung entsprochen wird (Eigenkontrolle), und innerhalb von 24 Stunden sämtliche relevanten Fälle automatisch zu erkennen, zu denen es infolge der Anwendung der in den Buchstaben b bis k beschriebenen Maßnahmen kommt und die auf einen Sicherheitsvorfall hindeuten könnten.

(3) Unbeschadet der Meldung und Mitteilung von Verstößen gegen den Schutz personenbezogener Daten gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679, den Artikeln 30 und 31 der Richtlinie (EU) 2016/680 sowie den Artikeln 34 und 35 der Verordnung (EU) 2016/794 unterrichten die Mitgliedstaaten und Europol eu-LISA über in ihren Systemen festgestellte Sicherheitsvorfälle im Zusammenhang mit Eurodac. Unbeschadet der Artikel 34 und 35 der Verordnung (EU) 2018/1725 unterrichtet eu-LISA unverzüglich die Mitgliedstaaten, Europol und den Europäischen Datenschutzbeauftragten über in ihrem System festgestellte Sicherheitsvorfälle im Zusammenhang mit Eurodac. Der betreffende Mitgliedstaat, eu-LISA und Europol arbeiten während eines Sicherheitsvorfalls zusammen.

(4) eu-LISA ergreift die Maßnahmen, die erforderlich sind, um die in Absatz 2 dieses Artikels genannten Ziele in Bezug auf den Betrieb von Eurodac, einschließlich der Annahme eines Datensicherheitsplans, zu verwirklichen.

Vor Beginn der operativen Nutzung von Eurodac wird der Sicherheitsrahmen für das geschäftliche und technische Umfeld von Eurodac gemäß Artikel 33 der Verordnung (EU) 2018/1725 aktualisiert.

(5) Die Asylagentur der Europäischen Union ergreift die Maßnahmen, die erforderlich sind, um Artikel 18 Absatz 4 umzusetzen, einschließlich der Annahme eines Datensicherheitsplans gemäß Absatz 2 des vorliegenden Artikels.