1. Einleitung

Die Europäische Kommission ist dem Schutz Ihrer personenbezogenen Daten und der Achtung Ihrer Privatsphäre verpflichtet. Die Europäische Kommission erhebt und verarbeitet personenbezogene Daten gemäß der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001.

In dieser Datenschutzerklärung wird erläutert, zu welchem Zweck wir Ihre personenbezogenen Daten verarbeiten, wie wir personenbezogene Angaben erfassen, handhaben und schützen, wie diese Informationen genutzt werden und welche Rechte Sie in diesem Zusammenhang haben. Sie enthält auch die Kontaktdaten des Datenverantwortlichen, an den Sie sich zur Wahrnehmung Ihrer Rechte wenden können, des Datenschutzbeauftragten sowie des Europäischen Datenschutzbeauftragten.

Diese Datenschutzerklärung betrifft die Verarbeitung personenbezogener Daten durch die Europäische Kommission bei der Bearbeitung von Erst- und Zweitanträgen auf Zugang zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 durch das Referat „Transparenz, Dokumentenmanagement & Zugang zu Dokumenten“ des Generalsekretariats (allgemeiner Datenverantwortlicher für die Europäische Kommission) und durch die Referate, die für die Bearbeitung von Erstanträgen auf Dokumentenzugang in den jeweiligen Kommissionsdienststellen zuständig sind (faktischer Datenverantwortlicher für die Europäische Kommission).

2. Warum und wie verarbeiten wir Ihre personenbezogenen Daten?

Zweck der Verarbeitung: Die Europäische Kommission erfasst und verarbeitet Ihre personenbezogenen Daten, um Anträge auf Zugang zu Dokumenten gemäß der Verordnung (EG) Nr. 1049/2001 innerhalb der vorgeschriebenen Fristen zu bearbeiten und gemäß Artikel 17 Absatz 1 der genannten Verordnung einen jährlichen statistischen Bericht zu erstellen. Die personenbezogenen Daten können für Folgemaßnahmen bei einer Untersuchung des Europäischen Bürgerbeauftragten oder im Falle von Gerichtsverfahren verarbeitet werden.

Ihre personenbezogenen Daten werden nicht für die automatisierte Entscheidungsfindung und auch nicht für die Erstellung von Profilen (Profiling) verwendet.

3. Rechtsgrundlage für die Verarbeitung Ihrer Daten

Die Europäische Kommission verarbeitet Ihre personenbezogenen Daten in folgenden Fällen:

  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (Artikel 5 Absatz 1 Buchstabe a der Verordnung (EU) 2018/1725), und
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung der Europäischen Kommission erforderlich (Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2018/1725).

Für die Verarbeitung der nicht obligatorischen Angaben in Ihrem Antrag auf Dokumentenzugang (siehe Abschnitt 4) ist zudem Ihre Zustimmung erforderlich (Artikel 5 Absatz 1 Buchstabe d der Verordnung (EU) 2018/1725).

Die Verarbeitung gemäß Artikel 5 Absatz 1 Buchstaben a und b muss auf dem Unionsrecht beruhen, nämlich auf Artikel 15 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union und auf der Verordnung (EG) Nr. 1049/2001.

4. Welche personenbezogenen Daten erheben und verarbeiten wir?

Folgende Daten werden erfasst und verarbeitet:

a) von Antragstellern über das Online-Formular bereitgestellte personenbezogene Daten:

  • obligatorische Angaben: Vor- und Nachname, spezifische Kontaktdaten (E-Mail-Adresse, Postanschrift, Wohnsitzland), Gegenstand des Antrags (kann bei Bezug auf eine bestimmte oder bestimmbare natürliche Person personenbezogene Daten enthalten);
  • nicht obligatorische Angaben: sonstige Kontaktdaten (Telefon- und Faxnummer), Kategorie und Organisation;

b) von Antragstellern im Rahmen ihres Antrags in einem anderen elektronischen Format oder auf Papier bereitgestellte personenbezogene Daten;

c) in den angeforderten Dokumenten – falls diese gemäß der Verordnung (EG) Nr. 1049/2001 freigegeben werden – sowie in der Antwort auf den Antrag und im diesbezüglichen Schriftwechsel mit dem/der Antragsteller(in) enthaltene personenbezogene Daten.

d) Bei begründeten Zweifeln an der Identität der natürlichen Person, die den Antrag stellt, kann die Europäische Kommission Antragsteller/innen in folgenden Ausnahmefällen auffordern, zum Beleg ihrer Identität eine Kopie eines Ausweisdokuments (z. B. Reisepass oder Personalausweis) vorzulegen:

  • Die von dem Antrag betroffenen Dokumente enthalten die personenbezogenen Daten des Antragsteller bzw. der Antragstellerin und diesem/dieser wird individueller Zugang zu diesen Dokumenten gewährt.
  • Es bestehen plausible Gründe für die Annahme, dass das aus der Verordnung (EG) Nr. 1049/2001 erwachsende Zugangsrecht von dem/der betreffenden Antragsteller/in missbraucht wird.

Das Ausweisdokument sollte den Namen des Antragstellers bzw. der Antragstellerin und gegebenenfalls seine/ihre Postanschrift enthalten, während alle anderen Daten wie Lichtbilder oder persönliche Merkmale unkenntlich gemacht werden können.

5. Wie lange bewahren wir Ihre personenbezogenen Daten auf?

Die Europäische Kommission bewahrt Ihre personenbezogenen Daten nur so lange auf, wie es für die Zwecke der Erhebung oder weiteren Verarbeitung erforderlich ist, d. h. nicht länger als fünf Jahre nach Abschluss einer Fallakte.

Bei einem Erstantrag gilt eine Akte als geschlossen, sobald die ursprüngliche Entscheidung der Europäischen Kommission rechtskräftig geworden ist (d. h. in Abwesenheit eines Zweitantrags), sofern nicht aufgrund einer Untersuchung des Europäischen Bürgerbeauftragten weiterer Handlungsbedarf besteht.

In diesem Fall gilt eine Akte als geschlossen, falls der Europäische Bürgerbeauftragte seine diesbezüglichen Untersuchungen eingestellt hat und keine Notwendigkeit weiterer Schritte seitens der Europäischen Kommission in Bezug auf den Antrag auf Dokumentenzugang besteht.

Bei einem Zweitantrag gilt eine Akte als geschlossen, sobald die bestätigende Entscheidung der Europäischen Kommission rechtskräftig geworden ist, d. h.

  • nach Verstreichen der Frist für die Anrufung der EU-Gerichte oder
  • nach Bestätigung der bestätigenden Entscheidung durch das EU-Gericht oder
  • nach Abschluss der Folgemaßnahmen, die das EU-Gericht in seinem Urteil der Kommission auferlegt hat.

Falls jedoch zu einer Akte eine Untersuchung des Europäischen Bürgerbeauftragten mit weiterem Handlungsbedarf anhängig ist, gilt sie nicht als geschlossen, auch wenn die bestätigende Entscheidung rechtskräftig geworden ist. In diesem Fall gilt eine Akte erst als geschlossen, wenn der Europäische Bürgerbeauftragte seine Untersuchungen zur diesbezüglichen Beschwerde eingestellt hat und keine Notwendigkeit weiterer Schritte seitens der Kommission in Bezug auf den Antrag auf Dokumentenzugang besteht.

Dieser „administrative Aufbewahrungszeitraum“ von fünf Jahren basiert auf den internen Vorschriften für die Aufbewahrung von Dokumenten und Dateien der Europäischen Kommission (sowie der darin enthaltenen personenbezogenen Daten) gemäß der gemeinsamen Liste für die Aufbewahrung von Kommissionsakten SEC(2019)900. Dabei handelt sich um ein Regulierungsdokument in Form eines Zeitplans mit Aufbewahrungsfristen für verschiedene Arten von Akten der Europäischen Kommission. Diese Liste wurde dem Europäischen Datenschutzbeauftragten notifiziert.

Der „administrative Aufbewahrungszeitraum“ ist der Zeitraum, in dem die Dienststellen der Europäischen Kommission eine Akte nach Maßgabe ihres Nutzens für Verwaltungszwecke sowie der einschlägigen gesetzlichen und rechtlichen Verpflichtungen aufbewahren müssen. Diese Frist läuft ab dem Zeitpunkt, zu dem die Akte geschlossen wird.

Zu Anträgen auf Dokumentenzugang gehörende Akten (und die darin enthaltenen personenbezogenen Daten) können nach Ablauf des „administrativen Aufbewahrungszeitraums“ gemäß der gemeinsamen Liste für die Aufbewahrung von Kommissionsakten zu Archivierungszwecken an die historischen Archive der Europäischen Kommission übermittelt werden (Einzelheiten zur Verarbeitung im Zusammenhang mit den historischen Archiven enthalten die Notifizierungen DPO-1530.4 ARES-NOMCOM. ARES (Advanced Records System) und NOMCOM (Gemeinsame Nomenklatur), DPO-3871-3 Notification for the digital archival repository and ARCHISscanning und DPO-2806-5 Gestion des dossiers papier structurés par nom de personnes et transférés aux Archives Historiques.).

Die Verwendung der in Ausweisdokumenten von Antragsteller(inne)n (siehe Abschnitt 4) enthaltenen Informationen ist streng begrenzt: die Daten werden nur zur Überprüfung der Identität des Antragstellers bzw. der Antragstellerin verwendet und nicht länger als für diesen Zweck notwendig gespeichert.

6. Wie schützen wir Ihre personenbezogenen Daten?

Alle Daten in elektronischem Format (E-Mails, Dokumente, hochgeladene Datensätze usw.) werden entweder auf den Servern der Europäischen Kommission oder ihrer Auftragnehmer gespeichert. Deren Betriebsabläufe entsprechen dem Beschluss (EU, Euratom) 2017/46 der Kommission vom 10. Januar 2017 über die Sicherheit von Kommunikations- und Informationssystemen in der Europäischen Kommission.

Die Auftragnehmer der Kommission sind bei der Verarbeitung Ihrer personenbezogenen Daten im Namen der Kommission an eine spezifische Vertragsklausel und an die Geheimhaltungspflichten gebunden, die sich aus der Durchführung der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) in den Mitgliedstaaten ergeben.

Zum Schutz Ihrer personenbezogenen Daten hat die Europäische Kommission technische und organisatorische Vorkehrungen getroffen. Die technischen Vorkehrungen umfassen geeignete Maßnahmen zur Wahrung der Sicherheit im Internet, zum Schutz vor Datenverlust und ‑änderung sowie zur Abwehr unberechtigten Zugangs, die dem mit der Verarbeitung verbundenen Risiko und der Art der verarbeiteten personenbezogenen Daten Rechnung tragen. Die organisatorischen Vorkehrungen umfassen die Beschränkung des Zugangs zu personenbezogenen Daten auf befugte Personen, die ein berechtigtes Interesse daran haben, für die Zwecke dieses Bearbeitungsvorgangs Kenntnis davon zu erlangen.

7. Wer kann auf Ihre personenbezogenen Daten zugreifen und an wen werden sie weitergegeben?

Zugang zu Ihren personenbezogenen Daten erhalten nur ordnungsgemäß ermächtigte, für die Durchführung der Verarbeitung verantwortliche Bedienstete der Europäischen Kommission nach dem Prinzip der erforderlichen Kenntnisnahme. Diese Mitarbeiter sind an die im Statut vorgesehene Geheimhaltungspflicht sowie bei Bedarf an weitere Vertraulichkeitsvereinbarungen gebunden.

Personenbezogene Daten, die in den angeforderten Dokumenten erscheinen, dürfen der Öffentlichkeit nach einer Prüfung gemäß der Verordnung (EG) Nr. 1049/2001 in Verbindung mit Artikel 9 der Verordnung (EU) 2018/1725 offengelegt werden. Falls Sie Ihren Wohnsitz außerhalb der EU haben und die Europäische Kommission Ihnen Zugang zu Dokumenten gewährt, werden Ihnen die in diesen Dokumenten enthaltenen personenbezogenen Daten nur offengelegt, wenn bei der Übermittlung die in Kapitel V „Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen“ der Verordnung (EU) 2018/1725 genannten Bedingungen erfüllt sind.

Die Kommission gibt von ihr erfasste personenbezogene Daten der Antragsteller/innen nicht an Dritte weiter, es sei denn,

  • sie ist in bestimmtem Umfang und für bestimmte Zwecke gesetzlich hierzu verpflichtet, und
  • für die Zwecke der Übermittlung von Entscheidungen der Europäischen Kommission über den Zugang zu Dokumenten per Einschreiben über den Verarbeiter DHL International (mit Sitz in Belgien) (Einzelheiten hierzu enthält die Mitteilung „DPO-1258 Traitement du courrier“ des Amtes für Gebäude, Anlagen und Logistik der Europäischen Kommission in Brüssel).

Gemäß Artikel 3 Nummer 13 der Verordnung (EU) 2018/1725 gelten Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, nicht als Empfänger. Die weitere Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.

Entscheidungen der Europäischen Kommission über Zweitanträge gemäß der Verordnung (EG) Nr. 1049/2001 werden über Decide (das Informationssystem zur Unterstützung des Entscheidungsprozesses der Kommission) erlassen und über das (nichtöffentliche) System VISTA der Europäischen Kommission zugänglich gemacht. Informationen über die Verarbeitung personenbezogener Daten durch die Systeme Decide und VISTA finden Sie in den jeweiligen Aufzeichnungen der Verarbeitungsvorgänge „DPR-EC-00107.1 Decide (information system supporting the Commission decision-making process“ und „DPR-EC-00914.1 VISTA system“ .

8. Welche Rechte haben Sie, und wie können Sie diese ausüben?

Als „betroffene Person“ haben Sie gemäß Kapitel III (Artikel 14–25) der Verordnung (EU) 2018/1725 bestimmte Rechte. Hinsichtlich der Datenverarbeitung können Sie folgende Rechte ausüben:

  • Recht auf Einsicht in Ihre personenbezogene Daten (Artikel 17 der Verordnung (EU) 2018/1725);
  • Recht auf Berichtigung, falls Ihre personenbezogenen Daten unrichtig oder unvollständig sind (Artikel 18 der Verordnung (EU) 2018/1725);
  • ggf. das Recht auf Einschränkung der Verarbeitung Ihrer personenbezogenen Daten (Artikel 20 der Verordnung (EU) 2018/1725) und das Recht auf Datenübertragbarkeit (Artikel 22 der Verordnung (EU) 2018/1725) sowie
  • solange der Antrag auf Dokumentenzugang noch nicht beantwortet ist, das Recht auf Löschung Ihrer personenbezogenen Daten (Artikel 19 der Verordnung (EU) 2018/1725) und das Recht, der Verarbeitung Ihrer personenbezogenen Daten aufgrund Ihrer persönlichen Situation zu widersprechen (Artikel 23 der Verordnung (EU) 2018/1725). Bei Ausübung dieser zwei Rechte würde der jeweilige Antrag auf Dokumentenzugang hinfällig.

Ist die Verarbeitung Ihrer personenbezogenen Daten von Ihrer Zustimmung abhängig (d. h. bei den in den Abschnitten 3 und 4 aufgeführten nicht obligatorischen personenbezogenen Angaben), können Sie Ihre Zustimmung jederzeit widerrufen, indem Sie dies dem Datenverantwortlichen mitteilen. Die Rechtmäßigkeit der Verarbeitung Ihrer Daten vor dem Widerruf bleibt davon unberührt.

Sie können diese Rechte ausüben, indem Sie Kontakt mit dem Datenverantwortlichen oder, im Konfliktfall, mit dem Datenschutzbeauftragten aufnehmen. Wenn nötig, können Sie sich auch an den Europäischen Datenschutzbeauftragten wenden. Die entsprechenden Kontaktdaten finden Sie im Abschnitt „Kontaktdaten“.

Wenn Sie Ihre Rechte in Bezug auf bestimmte Verarbeitungsvorgänge wahrnehmen möchten, geben Sie in Ihrem Antrag bitte die entsprechenden Aktenzeichen des Vorgangs an (siehe Punkt 10 „Wo sind genauere Informationen zu finden?“).

Anträge auf Auskunft über personenbezogene Daten werden innerhalb eines Monats bearbeitet. Alle anderen oben genannten Anträge werden innerhalb von 15 Arbeitstagen nach dem Eingang beim Datenverantwortlichen bearbeitet.

9. Kontaktdaten

  • (Allgemeiner) Datenverantwortlicher:

Wenn Sie Ihre Rechte gemäß der Verordnung (EU) 2018/1725 ausüben, Kommentare, Fragen oder Bedenken mitteilen oder eine Beschwerde in Bezug auf die Erfassung und Verwendung Ihrer personenbezogenen Daten vorbringen möchten, nehmen Sie bitte Kontakt mit dem Datenverantwortlichen auf:

  • Generalsekretariat
  • Referat C.1 – Transparenz, Dokumentenmanagement & Zugang zu Dokumenten
  • E-Mail-Adresse: Sg-acc-doc@ec.europa.eu
  • Datenschutzbeauftragter der Europäischen Kommission:

Für Fragen im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten gemäß der Verordnung (EU) 2018/1725 können Sie sich an den Datenschutzbeauftragten (DATA-PROTECTION-OFFICER@ec.europa.eu) wenden.

  • Europäischer Datenschutzbeauftragter:

Wenn Sie der Auffassung sind, dass Ihre Rechte gemäß der Verordnung (EU) Nr. 2018/1725 bei der Verarbeitung Ihrer personenbezogenen Daten durch den Datenverantwortlichen nicht gewahrt wurden, können Sie beim Europäischen Datenschutzbeauftragten (edps@edps.europa.eu) eine Beschwerde einreichen.

10. Wo sind genauere Informationen zu finden?

Der Datenschutzbeauftragte der Europäischen Kommission führt ein Register sämtlicher mit der Verarbeitung personenbezogener Daten verbundenen Vorgänge, die dokumentiert und ihm gemeldet wurden. Sie können das Register hier einsehen: http://ec.europa.eu/dpo-register.

Dieser Bearbeitungsvorgang wird im Register des Datenschutzbeauftragten unter folgendem Aktenzeichen geführt: DPR-EC-00793.