Art. 13 Schutz personenbezogener Daten

(1) Jeder Mitgliedstaat sorgt im Zusammenhang mit der Verarbeitung personenbezogener Daten nach dieser Richtlinie dafür, dass die Rechte jedes Fluggasts in Bezug auf Schutz personenbezogener Daten, Zugang, Berichtigung, Löschung und Einschränkung der Verarbeitung sowie Schadenersatz und Rechtsbehelfe den Rechten entsprechen, die nach Unionsrecht und nationalem Recht sowie zur Umsetzung der Artikel 17, 18, 19 und 20 des Rahmenbeschlusses 2008/977/JI festgelegt sind. ²Diesbezüglich gelten daher jene Artikel.

(2) Jeder Mitgliedstaat sorgt dafür, dass die nach nationalem Recht erlassenen Bestimmungen zur Umsetzung der Artikel 21 und 22 des Rahmenbeschlusses 2008/977/JI betreffend die Vertraulichkeit der Verarbeitung und die Datensicherheit ebenfalls auf jede Verarbeitung personenbezogener Daten nach dieser Richtlinie Anwendung finden.

(3) Diese Richtlinie berührt nicht die Anwendbarkeit der Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates auf die Verarbeitung personenbezogener Daten durch Fluggesellschaften, insbesondere deren Pflichten, geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit und Vertraulichkeit der personenbezogenen Daten zu treffen.

(4) Die Mitgliedstaaten untersagen die Verarbeitung von PNR-Daten, die die rassische oder ethnische Herkunft einer Person, ihre politischen Meinungen, ihre religiösen oder weltanschaulichen Überzeugungen, ihre Mitgliedschaft in einer Gewerkschaft, ihren Gesundheitszustand oder ihr Sexualleben oder ihre sexuelle Orientierung erkennen lassen. ²Bei der PNR-Zentralstelle eingehende PNR-Daten, aus denen derartige Informationen hervorgehen, werden umgehend gelöscht.

(5) 

Die Mitgliedstaaten sorgen dafür, dass die PNR-Zentralstellen alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und -verfahren dokumentieren. Diese Dokumentation muss zumindest folgende Unterlagen enthalten:

a)

den Namen und die Kontaktinformationen der Organisation und des Personals der PNR-Zentralstelle, die mit der Verarbeitung der PNR-Daten beauftragt sind, und die verschiedenen Ebenen der Zugangsberechtigungen;

b)

die Anfragen von zuständigen Behörden und PNR-Zentralstellen anderer Mitgliedstaaten;

c)

jede Anfrage und jede Übermittlung von PNR-Daten durch bzw. an Drittstaaten.

Die PNR-Zentralstelle stellt der nationalen Kontrollstelle auf Anfrage alle verfügbare Dokumentation zur Verfügung.

(6) 

Die Mitgliedstaaten stellen sicher, dass die PNR-Zentralstelle mindestens über folgende Verarbeitungsvorgänge Aufzeichnungen führt: Erhebung, Abfrage, Offenlegung und Löschung. ²Den Aufzeichnungen über Abfragen und Offenlegung müssen der Zweck, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person zu entnehmen sein, die die PNR-Daten abgefragt oder offengelegt hat, sowie die Identität der Empfänger dieser Daten. ³Die Aufzeichnungen werden ausschließlich zu Zwecken der Überprüfung, der Eigenüberwachung, der Sicherstellung der Datenintegrität und der Datensicherheit oder des Audits verwendet. ⁴Die PNR-Zentralstelle stellt der nationalen Kontrollstelle auf Anfrage die Aufzeichnungen zur Verfügung.

Diese Aufzeichnungen sind fünf Jahre lang aufzubewahren.

(7) Die Mitgliedstaaten sorgen dafür, dass ihre PNR-Zentralstelle technische und organisatorische Maßnahmen und Verfahren umsetzt, um ein hohes Sicherheitsniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden PNR-Daten angemessen ist.

(8) Die Mitgliedstaaten sorgen dafür, dass die PNR-Zentralstelle die betroffene Person und die nationale Kontrollstelle unverzüglich von einer Verletzung des Schutzes personenbezogener Daten benachrichtigt, wenn diese Verletzung voraussichtlich ein hohes Risiko für den Schutz der personenbezogenen Daten oder eine Verletzung der Privatsphäre der betroffenen Person zur Folge hat.