• Keine Ergebnisse gefunden

Verwaltungsvereinbarung für die Übermittlung personenbezogener Daten zwischen

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Verwaltungsvereinbarung für die Übermittlung personenbezogener Daten zwischen"

Copied!
9
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 9 Seite )

Volltext

(1)

Verwaltungsvereinbarung für die Übermittlung personenbezogener Daten zwischen

jeder der in Anhang A aufgeführten Behörden des Europäischen Wirtschaftsraums („EWR“)

und

jeder der in Anhang B aufgeführten Behörden außerhalb des EWR, einzeln als „Behörde“, zusammen als „Behörden“ bezeichnet:

Unter Beachtung der Grundsätze von Treu und Glauben werden sie die in dieser Verwaltungsvereinbarung („Vereinbarung“) spezifizierten Schutzmaßnahmen bei der Übermittlung personenbezogener Daten untereinander anwenden.

Sie erkennen die Bedeutung des Schutzes personenbezogener Daten und der Verfügbarkeit robuster Datenschutzregeln an und haben,

gestützt auf Artikel 46(3) (b) der Verordnung (EU) 2016/679 des Europäischen

Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („Datenschutz-Grundverordnung“ oder „DSGVO“),1

gestützt auf Artikel 48(3) (b) der Verordnung (EU) 2018/1725 des Europäischen

Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und

sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG „Verordnung 2018/1725“),2 gestützt auf dem relevanten Rechtsrahmen zum Schutz personenbezogener Daten im Hoheitsgebiet der Behörden und in Anerkenntnis der Bedeutung eines regelmäßigen Dialogs zwischen den EWR-Behörden und ihren nationalen Datenschutzbehörden, bzw.

im Fall der Europäischen Aktien- und Marktaufsichtsbehörde („ESMA“) dem Europäischen Datenschutzbeauftragten („EDPS“),

angesichts der Notwendigkeit, personenbezogene Daten zu verarbeiten, um ihr

öffentliches Mandat zu erfüllen und die ihnen als Behörden übertragene öffentliche Gewalt auszuüben, und

angesichts der Notwendigkeit, zwischen den Behörden bei ihrem Handeln gemäß ihrem durch die jeweils anwendbaren Gesetze definierten Mandat, Anleger oder Kunden zu schützen und Integrität und Vertrauen an den Aktien- und Derivatemärkten zu fördern, eine effiziente internationale Zusammenarbeit zu gewährleisten,

folgende Vereinbarung getroffen:

1ABl L119/1, 04.05.2016 2ABl L295/39, 21.11.2018

(2)

I. Ziel und Anwendungsbereich

Diese Vereinbarung beschränkt sich auf Übermittlungen personenbezogener Daten zwischen einer in Anhang A aufgeführten EWR-Behörde und einer in Anhang B aufgeführten Behörde außerhalb des EWR in ihrer Funktion als öffentliche Behörden, Regulierungs- und/oder Aufsichtsinstanzen für Aktien- und/oder Derivatemärkte.

Die Behörden verpflichten sich, bei der Erfüllung ihrer jeweiligen regulatorischen Mandate und Aufgaben über geeignete Schutzmaßnahmen für die Verarbeitung solcher

personenbezogenen Daten zu verfügen.

Jede Behörde bestätigt, dass sie in Einklang mit dieser Vereinbarung handeln kann und wird, und dass sie keine Veranlassung hat, zu glauben, dass bestehende

Rechtsvorschriften sie daran hindern.

Diese Vereinbarung soll bisherige Vereinbarungen oder Absichtserklärungen für den Informationsaustausch, die zwischen einer oder mehreren EWR-Behörden und einer oder mehreren Behörden außerhalb des EWR bestehen können, ergänzen und in

unterschiedlichen Kontexten anwendbar sein, auch auf Informationen, die für Zwecke der Aufsicht oder Rechtsdurchsetzung ausgetauscht werden.

Das spezifische Ziel dieser Vereinbarung ist, für Schutzmaßnahmen bei der Übermittlung personenbezogener Daten zu sorgen, doch ist sie nicht die einzige Form, in der

personenbezogene Daten übermittelt werden können, und verbietet einer Behörde nicht, personenbezogene Daten gemäß einem diesbezüglichen Abkommen, einer anderen diesbezüglichen Vereinbarung oder einem von dieser Vereinbarung getrennten Verfahren zu übermitteln, zum Beispiel gemäß einem anwendbaren Angemessenheitsbeschluss.

Betroffene Personen verfügen gemäß den im Hoheitsgebiet jeder Behörde anwendbaren Rechtsvorschriften über wirksame und durchsetzbare Betroffenenrechte, wobei diese Vereinbarung weder rechtsverbindliche Verpflichtungen oder rechtsverbindliche Ansprüche konstituiert, noch tritt sie an die Stelle nationaler Rechtsvorschriften. Die Behörden haben innerhalb ihrer jeweiligen Hoheitsgebiete die in Abschnitt III dieser Vereinbarung aufgeführten Schutzmaßnahmen in Einklang mit anwendbaren

Rechtsvorschriften eingerichtet. Behörden sorgen durch eine Kombination aus Gesetzen, Verordnungen sowie ihren internen Strategien und Verfahren für den Schutz

personenbezogener Daten.

II. Definitionen

Für die Zwecke dieser Vereinbarung bedeuten

(a)„anwendbare Rechtsvorschriften“: der für jede Behörde anwendbare, für den Schutz personenbezogener Daten relevante Rechtsrahmen;

(b)„strafrechtliche Daten“: personenbezogene Daten mit Bezug auf strafrechtliche Verurteilungen, Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen;

(c)„Weiterübermittlung“: Übermittlung personenbezogener Daten durch eine

empfangende Behörde an eine Drittpartei in einem anderen Land, die keine an dieser Vereinbarung teilnehmende Behörde ist, und wenn diese Übermittlung nicht durch einen Angemessenheitsbeschluss der Europäischen Kommission gedeckt ist;

(d) „personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) innerhalb des Geltungsbereichs dieser Vereinbarung beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einem

(3)

Erkennungsmerkmal wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren spezifischen Merkmalen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

(e) „Datenschutzverletzung“: Verletzung des Schutzes personenbezogener Daten, die unbeabsichtigt oder rechtswidrig zu Vernichtung, Verlust, Veränderung, unerlaubter Weitergabe oder Abrufung übermittelter, gespeicherter oder auf andere Weise verarbeiteter personenbezogener Daten führt;

(f)„Verarbeitung“: alle mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten wie Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung;

(g) „Berufsgeheimnis“: die generelle gesetzliche Pflicht einer Behörde, in amtlicher Eigenschaft empfangene nichtöffentliche Informationen nicht weiterzugeben;

(h) „Profiling“: automatisierte Verarbeitung personenbezogener Daten, bei der

personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten;

(i) Betroffenenrechte gemäß DSGVO: Die DSGVO räumt betroffenen Personen generell folgende Rechte ein:

i.„Recht, keiner automatisierten Entscheidung unterworfen zu werden, einschließlich Profiling“:Recht einer betroffenen Person, keiner für sie

rechtswirksamen Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Datenverarbeitung beruht;

ii.„Auskunftsrecht“:Recht einer betroffenen Person, von einer Behörde Auskunft darüber zu erhalten, ob personenbezogene Daten über sie verarbeitet werden, und wo dies der Fall ist, Zugang zu ihren personenbezogenen Daten zu erhalten;

iii.„Recht auf Löschung“:Recht einer betroffenen Person auf Löschung ihrer personenbezogenen Daten durch eine Behörde, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden, oder wenn die Daten rechtswidrig erhoben bzw. verarbeitet wurden;

iv.„Recht auf Information“: Recht einer betroffenen Person, Informationen über die Verarbeitung sie betreffender personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erhalten;

v.„Widerspruchsrecht“: Recht einer betroffenen Person, der Verarbeitung sie betreffender personenbezogener Daten durch eine Behörde jederzeit unter Berufung auf ihre besondere Situation zu widersprechen, außer wenn für die

Verarbeitung zwingende, legitime Gründe vorliegen, die gewichtiger sind als die von der betroffenen Person vorgebrachten Gründe, oder wenn die Verarbeitung

erforderlich ist, um rechtliche Ansprüche geltend zu machen, auszuüben oder zu verteidigen;

vi.„Recht auf Berichtigung“:Recht einer betroffenen Person, von einer Behörde die unverzügliche Berichtigung oder Vervollständigung sie betreffender unrichtiger personenbezogener Daten zu verlangen;

(4)

vii.„Recht auf Einschränkung der Verarbeitung“:Recht einer betroffenen Person, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig sind, ihre Verarbeitung rechtswidrig ist, die Behörde die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw.

anderweitig verarbeitet wurden, nicht mehr benötigt, oder wenn die personenbezogenen Daten nicht gelöscht werden können;

(j)„Austausch personenbezogener Daten“:Austausch personenbezogener Daten durch eine empfangende Behörde mit einer Drittpartei in ihrem Land, bzw. im Fall der ESMA Austausch personenbezogener Daten mit einer Drittpartei innerhalb der Hoheitsgebiete der EWR-Behörden.

III. Schutzmaßnahmen für personenbezogene Daten

1. Datenminimierung:Die regulatorischen Mandate und Aufgaben der Behörden umfassen den Schutz der Anleger oder Kunden und die Förderung von Integrität und Vertrauen an den Aktien- und Derivatemärkten. Personenbezogene Daten werden zwischen den Behörden zur Unterstützung bei der Erfüllung dieser Aufgaben

übermittelt, nicht aber für andere Zwecke wie Marketing oder kommerzielle Zwecke.

Die übermittelnde Behörde wird personenbezogene Daten nur für den legitimen und spezifischen Zweck übermitteln, die empfangende Behörde bei der Erfüllung ihres regulatorischen Mandats und ihrer Aufgaben zu unterstützen; diese umfassen die Regulierung, Verwaltung, Aufsicht, Rechtsdurchsetzung und Sicherung der Einhaltung der Gesetze für Aktien oder Derivate in ihrem Hoheitsgebiet. Die empfangende

Behörde wird die personenbezogenen Daten nicht in einer Weise weiter verarbeiten, die mit diesen Zwecken oder mit dem Zweck, der in einem Auskunftsersuchen dargelegt sein kann, nicht in Einklang steht.

2. Qualität und Verhältnismäßigkeit der Daten:Die übermittelnde Behörde wird nur solche personenbezogenen Daten übermitteln, die angemessen, relevant und darauf beschränkt sind, was für die Zwecke ihrer Übermittlung und weiteren Verarbeitung erforderlich ist.

Die übermittelnde Behörde wird sicherstellen, dass die personenbezogenen Daten, die sie übermittelt, nach ihrem besten Wissen richtig und, falls erforderlich, aktuell sind.

Erkennt eine Behörde, dass personenbezogene Daten, die sie an eine andere Behörde übermittelt oder von ihr empfangen hat, unrichtig sind, wird sie die andere Behörde auf die unrichtigen Daten aufmerksam machen. Die jeweiligen Behörden werden diese personenbezogenen Daten im Hinblick auf die Zwecke, für die sie übermittelt und weiter verarbeitet worden sind, wie jeweils angebracht ergänzen, löschen, sperren, korrigieren oder in anderer Weise berichtigen.

3. Transparenz:Jede Behörde wird betroffenen Personen allgemein mitteilen: a) wie und warum sie personenbezogene Daten verarbeiten und übermitteln kann; b) an welche Arten von Empfängern; c) welche Rechte betroffene Personen gemäß den

anwendbaren Rechtsvorschriften haben und wie sie diese Rechte wahrnehmen können; d) welchen Fristen oder Einschränkungen die Wahrnehmung dieser Rechte unterliegt, auch in Fällen grenzüberschreitender Übermittlungen personenbezogener Daten; und e) Kontaktinformationen für die Anmeldung einer Streitigkeit oder

Forderung.

Diese Mitteilung wird dadurch erfolgen, dass jede Behörde die genannten

Informationen zusammen mit dieser Vereinbarung auf ihrer Website veröffentlicht.

(5)

Individuelle Mitteilungen werden betroffene Personen von den EWR-Behörden gemäß den Mitteilungspflichten und anwendbaren Einschränkungen in der DSGVO und dem im Hoheitsgebiet der jeweiligen EWR-Behörde anwendbaren nationalen Rechtsrahmen zur Verfügung gestellt, bzw. im Fall der ESMA gemäß Verordnung 2018/1725 in ihrer jeweils geänderten, aufgehobenen oder ersetzten Fassung.

4. Sicherheit und Vertraulichkeit:Jede empfangende Behörde wird über geeignete technische und organisatorische Maßnahmen verfügen, um die personenbezogenen Daten, die ihr übermittelt werden, vor unbeabsichtigtem oder rechtswidrigem Zugriff, Vernichtung, Verlust, Veränderung oder unerlaubter Weitergabe zu schützen. Diese werden geeignete administrative, technische und physische Sicherheitsmaßnahmen umfassen. Mögliche Maßnahmen dieser Art sind zum Beispiel die Markierung von Informationen als personenbezogene Daten, Beschränkungen des Zugangs zu personenbezogenen Daten, gesicherte Speicherung personenbezogener Daten oder die Umsetzung von Strategien, die dafür konzipiert sind, einen sicheren und

vertraulichen Umgang mit personenbezogenen Daten zu gewährleisten.

Erkennt eine empfangende Behörde eine Datenschutzverletzung, wird sie die übermittelnde Behörde unverzüglich informieren und vernünftige, geeignete Mittel einsetzen, um die Datenschutzverletzung abzustellen und die potenziellen

Folgeschäden zu minimieren.

5. Schutzmaßnahmen aufgrund der Betroffenenrechte gemäß DSGVO:

Die Behörden werden auf gemäß dieser Vereinbarung übermittelte personenbezogene Daten folgende Schutzmaßnahmen anwenden:

Die Behörden werden über geeignete Maßnahmen verfügen, an die sie sich halten werden, sodass eine Behörde auf Antrag einer betroffenen Person 1)

personenbezogene Daten, die sie einer anderen Behörde gemäß dieser Vereinbarung übermittelt, identifiziert, 2) allgemeine Informationen über ihre Schutzmaßnahmen bei Übermittlungen an andere Behörden bereitstellt, auch auf der Website der Behörde, und 3) Zugang zu den personenbezogenen Daten gibt und bestätigt, dass diese vollständig, richtig und, falls erforderlich, aktuell sind.

Jede Behörde wird ermöglichen, dass eine betroffene Person, die glaubt, ihre

personenbezogenen Daten seien unvollständig, unrichtig, veraltet oder auf eine Weise verarbeitet worden, die nicht in Einklang mit den anwendbaren Rechtsvorschriften oder den in dieser Vereinbarung dargelegten Schutzmaßnahmen steht, diese Behörde direkt um Berichtigung, Löschung, Einschränkung der Verarbeitung oder Sperrung der Daten ersucht.

Jede Behörde wird einen Antrag einer betroffenen Person auf Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten oder den Widerspruch einer betroffenen Person gegen die Verarbeitung ihrer

personenbezogenen Daten in Einklang mit den anwendbaren Rechtsvorschriften angemessen und zeitnah bearbeiten. Eine Behörde kann geeignete Schritte

unternehmen, etwa ein zur Deckung der Verwaltungskosten angemessenes Entgelt verlangen oder sich weigern, aufgrund eines Antrags tätig zu werden, wenn die Anträge einer betroffenen Person offensichtlich unbegründet oder exzessiv sind.

Jede Behörde kann automatisierte Mittel nutzen, um ihr Mandat wirksamer zu erfüllen.

Keine Behörde wird jedoch eine für eine betroffene Person rechtswirksame

Entscheidung treffen, die ausschließlich auf einer automatisierten Datenverarbeitung, einschließlich Profiling, ohne menschliche Mitwirkung beruht.

(6)

Schutzmaßnahmen aufgrund der Betroffenenrechte gemäß DSGVO unterliegen der gesetzlichen Verpflichtung einer Behörde, vertrauliche Informationen nicht

weiterzugeben, an die sie durch das Berufsgeheimnis und andere gesetzliche Vorschriften gebunden ist. Diese Schutzmaßnahmen können eingeschränkt werden, um Nachteile oder Schaden von den Aufsichts- oder Rechtsdurchsetzungsfunktionen der Behörden in Ausübung der ihnen übertragenen öffentlichen Gewalt abzuwenden, etwa bei der Überwachung oder Prüfung der Einhaltung anwendbarer Gesetze, der Verhütung von Verstößen oder der Ermittlung in Verdachtsfällen, zugunsten wichtiger Ziele von allgemeinem öffentlichem, im Hoheitsgebiet der empfangenden Behörde und, falls gemäß den anwendbaren Rechtsvorschriften erforderlich, im Hoheitsgebiet der übermittelnden Behörde anerkanntem Interesse, auch im Geist der Gegenseitigkeit der internationalen Zusammenarbeit, oder für die Aufsicht über regulierte Personen und Körperschaften. Die Einschränkung sollte notwendig und gesetzlich vorgesehen sein, und sie wird nur so lange bestehen wie der Grund für die Einschränkung.

6. Weiterübermittlungen und Austausch personenbezogener Daten:

6.1 Weiterübermittlung personenbezogener Daten

Eine Behörde, die personenbezogene Daten gemäß dieser Vereinbarung empfängt, wird die personenbezogenen Daten nur an eine Drittpartei weiterübermitteln, wenn eine schriftliche Genehmigung der übermittelnden Behörde vorliegt und wenn die Drittpartei angemessen Zusicherungen bietet, die den Schutzmaßnahmen in dieser Vereinbarung entsprechen.

6.2 Austausch personenbezogener Daten

(1) Eine Behörde, die personenbezogene Daten gemäß dieser Vereinbarung empfängt, wird die personenbezogenen Daten nur austauschen, wenn eine schriftliche Genehmigung der übermittelnden Behörde vorliegt und wenn die

Drittpartei angemessen Zusicherungen bietet, die den Schutzmaßnahmen in dieser Vereinbarung entsprechen.

(2) Kann die Drittpartei die in Absatz (1) geforderten Zusicherungen nicht bieten, können die personenbezogenen Daten in Ausnahmefällen mit der Drittpartei ausgetauscht werden, wenn der Austausch der personenbezogenen Daten aus gewichtigen, im Hoheitsgebiet der empfangenden Behörde anerkannten Gründen von öffentlichem Interesse geschieht, wenn er gemäß den anwendbaren

Rechtsvorschriften der übermittelnden Behörde erforderlich ist, auch im Geist der Gegenseitigkeit der internationalen Zusammenarbeit, oder wenn der Austausch erforderlich ist, um rechtliche Ansprüche geltend zu machen, auszuüben oder zu verteidigen.

(3) Dient der Austausch personenbezogener Daten dem Zweck, ein Zivil- oder Verwaltungssanktionsverfahren zu führen, die Überwachung oder

Rechtsdurchsetzungsaktivitäten einer selbstverwalteten Organisation zu unterstützen, eine Strafverfolgung zu unterstützen oder Ermittlungen jeder Art aufgrund einer Sammelanklage wegen eines Verstoßes gegen die in dem Ersuchen spezifizierte Regelung zu führen, wenn diese Sammelanklage einen Verstoß gegen die von der empfangenden Behörde verwalteten Gesetze und Verordnungen betrifft, einschließlich Durchsetzungsverfahren, die öffentlich sind, kann eine empfangende Behörde personenbezogene Daten mit einer Drittpartei austauschen (z. B. öffentlichen Körperschaften, Gerichten, selbstverwalteten Organisationen und Beteiligten des Durchsetzungsverfahrens), ohne die übermittelnde Behörde um Genehmigung zu ersuchen oder Zusicherungen einzuholen, wenn der Austausch Zwecken dient, die mit dem Zweck, für den die

(7)

Daten ursprünglich übermittelt wurden, oder mit dem in dem Ersuchen

angegebenen allgemeinen Verwendungsrahmen in Einklang steht, und wenn er für die empfangende Behörde und/oder die Drittpartei erforderlich ist, um ihr Mandat und ihre Aufgaben zu erfüllen. Wenn sie gemäß dieser Vereinbarung empfangene personenbezogene Daten mit einer selbstverwalteten Organisation austauscht, wird die empfangende Behörde sicherstellen, dass die selbstverwaltete

Organisation die in Abschnitt III (4) dieser Vereinbarung dargelegten Regeln für den Vertraulichkeitsschutz dauerhaft einhalten kann und wird.

(4) Eine empfangende Behörde kann personenbezogene Daten mit einer Drittpartei austauschen, ohne die übermittelnde Behörde um Genehmigung zu ersuchen oder Zusicherungen einzuholen, wenn der Austausch personenbezogener Daten einer rechtlich durchsetzbaren Forderung folgt oder gesetzlich vorgeschrieben ist. Die empfangende Behörde wird die übermittelnde Behörde vor dem Austausch benachrichtigen und Informationen über die angefragten Daten, die ersuchende Körperschaft und die Rechtsgrundlage des Austauschs beifügen. Die

empfangende Behörde wird ihr Bestes tun, um den Austausch gemäß dieser Vereinbarung empfangener personenbezogener Daten zu begrenzen,

insbesondere durch Geltendmachung aller anwendbaren Legalausnahmen und Privilegien.

7. Begrenzte Dauer der Speicherung:Die Behörden werden personenbezogene Daten nicht länger speichern, als es für den Zweck ihrer Verarbeitung erforderlich und

angemessen ist. Diese Dauer der Speicherung wird sich nach den anwendbaren

Gesetzen, Regeln und/oder Verordnungen richten, denen die Speicherung solcher Daten im Hoheitsgebiet der empfangenden Behörde unterliegt.

8. Regress:Jede Behörde erkennt an, dass eine betroffene Person, die glaubt, dass eine Behörde die in dieser Vereinbarung dargelegten Schutzmaßnahmen nicht eingehalten hat oder dass ihre personenbezogenen Daten einer Datenschutzverletzung ausgesetzt worden sind, von dieser Behörde eine Wiedergutmachung verlangen kann, soweit gemäß den anwendbaren Rechtsvorschriften zulässig. Dies kann vor jeder zuständigen Instanz, die auch ein Gericht sein kann, geltend gemacht werden und unterliegt den anwendbaren Rechtsvorschriften des Hoheitsgebietes, wo der Verstoß gegen die Schutzmaßnahmen in dieser Vereinbarung stattgefunden haben soll. Eine solche Wiedergutmachung kann eine finanzielle Entschädigung sein.

Im Fall einer Streitigkeit oder Forderung einer betroffenen Person gegenüber der übermittelnden Behörde, der empfangenden Behörde oder beiden Behörden bezüglich der Verarbeitung ihrer personenbezogenen Daten werden die Behörden einander über alle derartigen Streitigkeiten oder Forderungen informieren und ihr Bestes tun, um die Streitigkeit oder Forderung zeitnah gütlich zu regeln.

Gelingt es einer Behörde oder den Behörden nicht, den Fall mit der betroffenen Person beizulegen, wird bzw. werden sie andere Methoden anwenden, um den Streitfall

beizulegen, sofern die Forderungen der betroffenen Person nicht offensichtlich

unbegründet oder exzessiv sind. Solche Methoden wären u. a. die Mitwirkung bei einer nicht bindenden Schlichtung oder sonstigen nicht bindenden Konfliktlösungsverfahren, die von der betroffenen Person oder der betreffenden Behörde initiiert werden können. Die Mitwirkung bei solchen Schlichtungs- oder sonstigen Verfahren kann ohne persönliche Anwesenheit erfolgen (etwa telefonisch oder mit anderen elektronischen Mitteln).

Wird der Fall weder durch Zusammenarbeit der Behörden noch im Wege nicht bindender Schlichtungs- oder sonstiger nicht bindender Konfliktlösungsverfahren beigelegt, wird die empfangende Behörde dies der Assessment Group und der übermittelnden Behörde melden wie in Abschnitt IV dieser Vereinbarung umrissen. Bringt eine betroffene Person

(8)

Bedenken vor und eine übermittelnde Behörde ist der Ansicht, dass eine empfangende Behörde nicht in Einklang mit den in dieser Vereinbarung dargelegten Schutzmaßnahmen gehandelt hat, wird eine übermittelnde Behörde die Übermittlung personenbezogener Daten gemäß dieser Vereinbarung an die empfangende Behörde aussetzen, bis die übermittelnde Behörde der Ansicht ist, dass die empfangende Behörde dem Problem in zufriedenstellender Weise begegnet, und die betroffene Person davon in Kenntnis setzen.

IV. Aufsicht

1. Jede Behörde wird ihre eigenen Strategien und Verfahren zur Umsetzung dieser Vereinbarung und ihre Wirksamkeit periodisch überprüfen und die Ergebnisse der in Absatz IV (4) (unten) beschriebenen Assessment Group mitteilen. Auf vernünftiges Ersuchen einer anderen Behörde wird eine Behörde ihre Strategien und Verfahren zur Verarbeitung personenbezogener Daten überprüfen, um sicherzustellen und zu bestätigen, dass die Schutzmaßnahmen in dieser Vereinbarung wirksam umgesetzt werden. Die Ergebnisse der Überprüfung werden der Behörde, die um die Überprüfung ersucht hatte, mitgeteilt.

2. Ist eine empfangende Behörde aus irgendeinem Grund nicht in der Lage, die Schutzmaßnahmen in dieser Vereinbarung wirksam umzusetzen, wird sie die übermittelnde Behörde und die in Absatz IV (4) (unten) beschriebenen Assessment Group unverzüglich informieren. In diesem Fall wird die übermittelnde Behörde die Übermittlung personenbezogener Daten gemäß dieser Vereinbarung an die

empfangende Behörde vorübergehend aussetzen, bis die empfangende Behörde die übermittelnde Behörde informiert, dass sie wieder in der Lage ist, in Einklang mit den Schutzmaßnahmen zu handeln.

3. Ist eine empfangende Behörde nicht bereit oder in der Lage, das Ergebnis einer nicht bindenden Schlichtung oder eines sonstigen in Abschnitt III (8) dieser Vereinbarung genannten nicht bindenden Konfliktlösungsverfahrens umzusetzen, wird sie die übermittelnde Behörde und die in Absatz IV (4) (unten) beschriebene Assessment Group unverzüglich informieren.

4. Ein von der Internationalen Vereinigung der Wertpapieraufsichtsbehörden (International Organization of Securities Commissions, „IOSCO“) als Unterausschuss der Behörden errichtetes Beurteilungsgremium („Assessment Group“) wird die Umsetzung der Schutzmaßnahmen in dieser Vereinbarung periodisch überprüfen und bewährte Verfahren erwägen, um den Schutz personenbezogener Daten weiter zu verbessern, wo dies angebracht ist. Stellt die Assessment Group nach Mitteilung und Gelegenheit zur Anhörung fest, dass bei einer Behörde nachweislich eine Veränderung der

Bereitschaft oder Fähigkeit eingetreten ist, in Einklang mit den Bestimmungen dieser Vereinbarung zu handeln, wird die Assessment Group alle anderen Behörden davon in Kenntnis setzen. Die Assessment Group wird die Informationen vonseiten einer

empfangenden Behörde, die nicht bereit oder nicht in der Lage ist, das Ergebnis des nicht bindenden Schlichtungs- oder sonstigen in Abschnitt III (8) dieser Vereinbarung genannten nicht bindenden Konfliktlösungsverfahrens umzusetzen, bei ihrer

Überprüfung angemessen berücksichtigen. Personenbezogene Daten von betroffenen Personen, die an derartigen Verfahren beteiligt sind, werden grundsätzlich

anonymisiert, ehe sie der Assessment Group vorgelegt werden. Darüber hinaus kann die Assessment Group Empfehlungen zur Verbesserung der Strategien und Verfahren der Behörde für den Schutz personenbezogener Daten erarbeiten.

5. Die Assessment Group wird einer Behörde schriftliche Empfehlungen geben, wenn sie bei deren Strategien und Verfahren zur Umsetzung der Schutzmaßnahmen erhebliche Mängel feststellt. Stellt die Assessment Group fest, dass erheblichen Mängeln nicht begegnet wird und dass bei einer Behörde nachweislich eine Veränderung der

(9)

Bereitschaft oder Fähigkeit eingetreten ist, in Einklang mit den Bestimmungen dieser Vereinbarung zu handeln, kann sie nach Mitteilung und Gelegenheit zur Anhörung der AA Decision Making Group („AA DMG“) empfehlen, die Teilnahme der Behörde an dieser Vereinbarung zu beenden. Gegen jede Entscheidung der AA DMG kann von einer Behörde oder der Assessment Group bei den Vorstandsmitgliedern der IOSCO, die Behörden sind, Berufung eingelegt werden.

6. Ist eine übermittelnde Behörde der Ansicht, dass eine empfangende Behörde nicht in Einklang mit den in dieser Vereinbarung dargelegten Schutzmaßnahmen gehandelt hat, wird eine übermittelnde Behörde die Übermittlung personenbezogener Daten an die empfangende Behörde gemäß dieser Vereinbarung aussetzen, bis die empfangende Behörde dem Problem in zufriedenstellender Weise begegnet. Setzt eine übermittelnde Behörde die Übermittlung personenbezogener Daten an eine empfangende Behörde gemäß diesem Absatz IV (6) oder Absatz IV (2) (oben) aus oder setzt sie die

Übermittlungen nach einer solchen vorübergehenden Einstellung wieder fort, wird sie dies unverzüglich der Assessment Group melden, die ihrerseits alle anderen Behörden informieren wird.

V. Änderung und Beendigung

1. Die Behörden können über die Bestimmungen dieser Vereinbarung beraten und sie in gegenseitigem Einvernehmen ändern, wenn sich erhebliche Änderungen von

Gesetzen, Verordnungen oder Verfahrensweisen auf die Handhabung dieser Vereinbarung auswirken.

2. Eine Behörde kann ihre Teilnahme an dieser Vereinbarung jederzeit gegenüber einer oder mehreren anderen Behörden beenden. Sie sollte bestrebt sein, der oder den anderen Behörde(n) eine solche Absicht 30 Tage im Voraus schriftlich mitzuteilen. Alle personenbezogenen Daten, die bereits gemäß dieser Vereinbarung übermittelt wurden, werden weiterhin gemäß den Schutzmaßnahmen in dieser Vereinbarung behandelt.

3. Die IOSCO wird dem Europäischen Datenschutzausschuss (European Data Protection Board, „EDPB“) bzw. im Fall der ESMA dem EDPS Meldung erstatten, wenn eine wesentliche Änderung oder Beendigung dieser Vereinbarung geplant ist.

Referenzen

Jetzt herunterladen ( PDF - 9 Seite - 32.75 KB )

ÄHNLICHE DOKUMENTE

Anschrift der zuständigen Behörde

Unterlagen, die von anderen Behörden zuzuliefern sind, wie beispielsweise das Führungszeugnis, werden fristwahrend eingereicht, wenn sie vom Antragsteller bei der

Beglaubigung durch die Behörde

Bitte die Unterschrift vor einer zur Beglaubigung befugten Behörde (z.B. Stadt- oder Gemeindeverwaltung) leisten. Formular drucken

Die Vertretung der Behörde

„Der Verwaltungsakt gilt nicht darum, weil er die Emanation einer Norm wäre, sondern weil die staatliche Autorität ihm Gel- tung gibt." 2 3 Daraus ergibt sich eine

Satzung der Internationalen Atomenergie-Behörde

Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de. - Seite 1 von

Schutz personenbezogener Daten bei der Übermittlung per E-Mail

Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte

Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail

auf solche Teile des Netzes beschränkt werden, die ausschließlich zur Nutzung durch Befugte (wie eine Personalabteilung oder einen Amtsarzt) vorgesehen sind. Der Einsatz

Entscheidungen - Gegen die Übermittlung von Daten aus Gerichtsakten an eine nicht verfahrensbeteiligte Behörde ist effektiver Rechtsschutz erforderlich

Der Hinweis des Oberlandesgerichts, der Beschwerdeführer werde auch deshalb nicht schutzlos gestellt oder in seinem Rechtsschutz willkürlich beschnitten, weil er in einem

Datum der Lfd. Nr. in der Abwägungstabelle Institution / Behörde / Verband Zusatz Keine Bedenken

Lagerstättenverhältnisse kann nicht mit letzter Si- cherheit ausgeschlossen werden, dass im Planbereich heute noch ein- wirkungsrelevanter widerrechtlicher Bergbau