Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.
Der Europäische Wirtschafts- und Sozialausschuss wird an den Beratungen beteiligt.
Hinweis: vgl.
Drucksache 546/99 = AE-Nr. 992680,
Drucksache 052/12 (PDF) = AE-Nr. 120056,
Drucksache 145/17 (PDF) = AE-Nr. 170165 und AE-Nr. . 070949, 012509
Europäische Kommission
Brüssel, den 10.1.2017
COM (2017) 8 final 2017/0002 (COD)
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG
Begründung
1. Kontext des Vorschlags
- Gründe und Ziele des Vorschlags
In Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), der mit dem Vertrag von Lissabon eingeführt wurde, ist der Grundsatz verankert, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Mit Artikel 16 Absatz 2 AEUV verfügt die Union zudem seit dem Vertrag von Lissabon über eine besondere Rechtsgrundlage für den Erlass von Datenschutzvorschriften. In Artikel 8 der Charta der Grundrechte der Europäischen Union ist der Schutz personenbezogener Daten als Grundrecht ausgestaltet.
Das Recht auf den Schutz personenbezogener Daten gilt auch für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU. Die Verordnung (EG) Nr. 045/20011, das Kernstück der EU-Vorschriften zum Schutz personenbezogener Daten in den Organen und Einrichtungen der Union, wurde im Jahr 2001 mit zwei Zielen verabschiedet: Schutz des Grundrechts auf Datenschutz und Gewährleistung des freien Verkehrs personenbezogener Daten in der gesamten Union. Die Verordnung wurde durch den Beschluss Nr. 1247/2002/EG2 ergänzt.
Am 27. April 2016 nahmen das Europäische Parlament und der Rat die Datenschutz-Grundverordnung (Verordnung (EU) Nr. 2016/679 ) an, die ab dem 25. Mai 2018 gelten wird. Darin wird die Anpassung der Verordnung (EG) Nr. 45/2001 an die Grundsätze und Vorschriften der Verordnung (EU) Nr. 2016/679 gefordert, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten und zu ermöglichen, dass beide Verordnungen gleichzeitig angewandt werden können.3
Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union sind die Datenschutzvorschriften für die Organe, Einrichtungen und sonstigen Stellen der Union so weit als möglich den für die Mitgliedstaaten erlassenen Datenschutzvorschriften anzugleichen. Wann immer einer Bestimmung des Vorschlags dasselbe Konzept zugrunde liegt wie einer Bestimmung der Verordnung (EU) Nr. 2016/679 , sind beide Bestimmungen homogen auszulegen, insbesondere da die Systematik des Vorschlags als Gegenstück zu der Systematik der Verordnung (EU) Nr. 2016/679 zu sehen ist.4
Bei der Überprüfung der Verordnung (EG) Nr. 45/2001 wurden auch die Ergebnisse von Erhebungen, der Konsultation der Interessenträger und der Studie zur Bewertung der Anwendung der Verordnung in den letzten 15 Jahren berücksichtigt.
Es handelt sich nicht um eine Initiative im Rahmen des Programms zur Gewährleistung der Effizienz und Leistungsfähigkeit der Rechtsetzung (REFIT).
- Kohärenz mit den bestehenden Vorschriften in diesem Bereich
Ziel des Vorschlags ist die Angleichung der Bestimmungen der Verordnung (EG) Nr. 45/2001 an die Grundsätze und Vorschriften der Verordnung (EU) Nr. 2016/679 , um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten. Der Vorschlag umfasst auch die einschlägigen Vorschriften der Verordnung (EG) XXXX/XX [Verordnung über Privatsphäre und elektronische Kommunikation] über den Schutz der Endeinrichtungen von Endnutzern.
- Kohärenz mit der Politik der Union in anderen Bereichen
Entfällt
2. Rechtsgrundlage, Subsidiarität und Verhältnismässigkeit
- Rechtsgrundlage
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, das in Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union verankert ist.
Der vorliegende Vorschlag stützt sich auf Artikel 16 AEUV, der die Rechtsgrundlage für den Erlass von Datenschutzvorschriften bildet. Dieser Artikel sieht den Erlass von Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union im Rahmen der Ausübung von Tätigkeiten vor, die in den Anwendungsbereich des Unionsrechts fallen. Vorschriften über den freien Verkehr personenbezogener Daten - auch solcher Daten, die von diesen Organen, Einrichtungen und sonstigen Stellen verarbeitet werden - können ebenfalls auf dieser Grundlage erlassen werden.
- Subsidiarität (bei nicht ausschließlicher Zuständigkeit)
Der Gegenstand dieser Verordnung fällt in die ausschließliche Zuständigkeit der Union, da nur die Europäische Union Vorschriften über die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union erlassen kann.
- Verhältnismäßigkeit
Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 des Vertrags über die Europäische Union nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.
- Wahl des Instruments
Eine Verordnung wird als das geeignete Rechtsinstrument angesehen, um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und den freien Datenverkehr zu regeln. Sie sieht rechtlich durchsetzbare Rechte für natürliche Personen sowie Pflichten der für die Datenverarbeitung Verantwortlichen in den Organen, Einrichtungen und anderen Stellen der Union vor. Außerdem sieht sie eine unabhängige Aufsichtsbehörde vor, den Europäischen Datenschutzbeauftragten, der für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union zuständig ist.
3. Ergebnisse der EX-POST-BEWERTUNG, der Konsultation der Interessenträger und der Folgenabschätzung
Die Kommission hat in den Jahren 2010 und 2011 die Interessenträger konsultiert und im Zuge der Vorbereitung des Datenschutz-Reformpakets eine Folgenabschätzung durchgeführt, deren Ergebnisse in die Vorschläge zur Änderung der Verordnung (EG) Nr. 45/2001 eingeflossen sind. In diesem Zusammenhang hat die Kommission auch ihre Datenschutzkoordinatoren befragt5.
Informationen über die praktische Anwendung der Verordnung (EG) Nr. 45/2001 durch die Organe, Einrichtungen und sonstigen Stellen der Union wurden von dem Europäischen Datenschutzbeauftragten, anderen Organen, Einrichtungen und Stellen der Union, anderen Generaldirektionen der Kommission und einem externen Auftragnehmer beigesteuert. Dem Netz der behördlichen Datenschutzbeauftragten wurde ein Fragebogen übermittelt.6
Die Datenschutzbeauftragten einer Reihe von Organen, Einrichtungen und sonstigen Stellen der Union hielten am 9. Juli 2015, am 22. Oktober 2015, am 19. Januar 2016 und am 15. März 2016 Workshops ab, die die Reform der Verordnung (EG) Nr. 45/2001 zum Gegenstand hatten.
Im Jahr 2013 beschloss die Kommission die Durchführung einer Studie zur Bewertung der Anwendung der Verordnung (EG) Nr. 45/2001 und beauftragte einen externen Auftragnehmer damit. Die Ergebnisse der Studie (Abschlussbericht, fünf Fallstudien und Analyse der einzelnen Artikel) wurden der Kommission am 8. Juni 2015 vorgelegt7.
Die Bewertung ergab, dass das System und die Tätigkeit der behördlichen Datenschutzbeauftragten und des Europäischen Datenschutzbeauftragten wirksam geregelt sind. Es wurde festgestellt, dass die Aufteilung der Zuständigkeiten zwischen den Datenschutzbeauftragten und dem Europäischen Datenschutzbeauftragten klar und ausgewogen ist und diese jeweils über angemessene Befugnisse verfügen. Problematisch sei mitunter allerdings ein Mangel an Autorität aufgrund unzureichender Unterstützung der Datenschutzbeauftragten durch ihre Vorgesetzten.
Die Studie gelangte zu dem Schluss, dass die Verordnung (EG) Nr. 45/2001 durch die Verhängung von Sanktionen durch den Europäischen Datenschutzbeauftragten besser durchgesetzt werden könnte. Eine verstärkte Nutzung seiner Aufsichtsbefugnisse könne die Umsetzung der Datenschutzvorschriften verbessern. Eine weitere Schlussfolgerung bestand darin, dass die für die Datenverarbeitung Verantwortlichen vor Verarbeitungsvorgängen zunächst ein Konzept für das Risikomanagement festlegen und Risikobewertungen vornehmen sollten, um die Anforderungen in Bezug auf Vorratsdatenspeicherung und Sicherheit besser erfüllen zu können.
Ferner ergab die Studie, dass die Bestimmungen in Kapitel IV der Verordnung (EG) Nr. 45/2001 über die Telekommunikation überholt sind und dass dieses Kapitel an die eDatenschutz-Richtlinie angepasst werden muss. Der Studie zufolge müssen auch einige zentrale Begriffsbestimmungen der Verordnung (EG) Nr. 45/2001 klarer gefasst werden. Dazu gehören die Definition der in den Organen, Einrichtungen und sonstigen Stellen der Union für die Datenverarbeitung Verantwortlichen und der Empfänger sowie die Ausweitung der Verpflichtung zur Vertraulichkeit auf externe Auftragsverarbeiter.
Des Weiteren wurde in der Studie auf die Notwendigkeit einer Vereinfachung des Systems der Meldung und Vorabkontrolle hingewiesen, um die Effizienz zu erhöhen und den Verwaltungsaufwand zu verringern.
Das mit der Bewertungsstudie beauftragte Unternehmen führte eine Online-Umfrage bei 64 Organen, Einrichtungen und sonstigen Stellen der Union durch. 422 für die Datenverarbeitung verantwortliche Bedienstete, 73 Datenschutzbeauftragte, 118 Datenschutzkoordinatoren und 109 IT-Beauftragte beantworteten die Fragen. Darüber hinaus wurden eine Reihe direkter Befragungen von Interessenträgern durchgeführt. Am 26. März 2015 veranstalteten das Bewertungsunternehmen und die Kommission einen abschließenden Workshop, an dem für die Datenverarbeitung Verantwortliche, Datenschutzbeauftragte, Datenschutzkoordinatoren, IT-Beauftragte und Vertreter des Europäischen Datenschutzbeauftragten teilnahmen.
- Einholung und Nutzung von Expertenwissen
Siehe Erläuterungen zur Bewertungsstudie unter dem vorherigen Punkt.
- Folgenabschätzung
Die Auswirkungen dieses Vorschlags betreffen hauptsächlich die Organe, Einrichtungen und sonstigen Stellen der Union. Dies bestätigen die Informationen, die bei dem Europäischen Datenschutzbeauftragten, den anderen Organen, Einrichtungen und Stellen der Union, den Generaldirektionen der Kommission und dem externen Auftragnehmer eingeholt wurden. Darüber hinaus wurden die Auswirkungen der neuen Verpflichtungen, die sich aus der Verordnung (EU) Nr. 2016/679 ergeben, an welche die vorliegende Verordnung angeglichen werden muss, im Rahmen der Vorbereitungsarbeiten für diese Verordnung bewertet. Daher ist eine spezifische Folgenabschätzung für die vorliegende Verordnung nicht erforderlich.
- Effizienz der Rechtsetzung und Vereinfachung
Entfällt
- Grundrechte
Das Recht auf Schutz personenbezogener Daten ist in Artikel 8 der Charta der Grundrechte der Europäischen Union, Artikel 16 AEUV und Artikel 8 der Europäischen Menschenrechtskonvention verankert. Wie der Gerichtshof der Europäischen Union betont hat8, kann das Recht auf Schutz der personenbezogenen Daten jedoch keine uneingeschränkte Geltung beanspruchen, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen werden9. Der Datenschutz hängt zudem eng mit der Achtung des Privat- und Familienlebens zusammen, das durch Artikel 7 der Charta geschützt ist.
Der vorliegende Vorschlag enthält Vorschriften für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und für den freien Datenverkehr.
Die folgenden in der Charta verankerten Grundrechte könnten ebenfalls betroffen sein: die Freiheit der Meinungsäußerung (Artikel 11), das Eigentumsrecht und insbesondere der Schutz des geistigen Eigentums (Artikel 17 Absatz 2), das Verbot einer Diskriminierung unter anderem wegen der Rasse, der ethnischen Herkunft, der genetischen Merkmale, der Religion oder der Weltanschauung, der politischen oder sonstigen Anschauung, einer Behinderung oder der sexuellen Ausrichtung (Artikel 21), die Rechte des Kindes (Artikel 24), das Recht auf ein hohes Gesundheitsschutzniveau (Artikel 35), das Recht auf Zugang zu Dokumenten (Artikel 42) und das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren (Artikel 47).
4. Auswirkungen auf den Haushalt
Siehe beigefügten Finanzbogen.
5. Weitere Angaben
- Durchführungspläne sowie Monitoring-, Bewertungs- und Berichterstattungsmodalitäten
Entfällt
- Erläuternde Dokumente (bei Richtlinien)
Entfällt
Kapitel I - Allgemeine Bestimmungen
Artikel 1 nennt den Gegenstand der Verordnung und - wie Artikel 1 der Verordnung (EG) Nr. 45/2001 - ihre beiden Zielsetzungen: Schutz des Grundrechts auf Datenschutz und Gewährleistung des freien Verkehrs personenbezogener Daten in der gesamten Union. Außerdem wird die Hauptaufgabe des Europäischen Datenschutzbeauftragten genannt.
Artikel 2 bestimmt den Anwendungsbereich der Verordnung: Sie soll für die automatisierte und nichtautomatisierte Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union gelten, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Unionsrechts fallen. Der sachliche Anwendungsbereich dieser Verordnung ist technologieneutral. Der Schutz personenbezogener Daten gilt für die automatisierte Verarbeitung personenbezogener Daten ebenso wie für die manuelle Verarbeitung personenbezogener Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Artikel 3 enthält die Begriffsbestimmungen. Abgesehen von den Ausdrücken "Organe und Einrichtungen der Union", "Verantwortlicher", "Nutzer" und "Verzeichnis", für die diese Verordnung eigene Definitionen enthält, sind die verwendeten Ausdrücke in der Verordnung (EU) Nr. 2016/679 , der Verordnung (EU) Nr. 0000/00 [neue Verordnung über Privatsphäre und elektronische Kommunikation], der Richtlinie 000/0000/EU [Richtlinie über den europäischen dieser Rechte und Freiheiten achten, unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.
Kodex für die elektronische Kommunikation] und der Richtlinie 2008/63 /EG der Kommission definiert.
Kapitel II - Grundsätze
In Artikel 4 sind die Grundsätze für die Verarbeitung personenbezogener Daten niedergelegt, die denen in Artikel 5 der Verordnung (EU) Nr. 2016/679 entsprechen. Gegenüber der Verordnung (EG) Nr. 45/2001 kommen die neuen Grundsätze der Transparenz und der Integrität und Vertraulichkeit hinzu.
Artikel 5 basiert auf Artikel 6 der Verordnung (EU) Nr. 2016/679 und enthält die Kriterien für eine rechtmäßige Verarbeitung, allerdings mit Ausnahme des Kriteriums des berechtigten Interesses des Verantwortlichen, das nicht für den öffentlichen Sektor gilt und somit für die Organe und Einrichtungen der Union nicht anwendbar ist. Die bereits in Artikel 5 der Verordnung (EG) Nr. 45/2001 enthaltenen Kriterien werden beibehalten.
In Artikel 6 werden die Bedingungen für die "Verarbeitung für einen anderen konformen Zweck" im Einklang mit Artikel 6 Absatz 4 der Verordnung (EU) Nr. 2016/679 aufgeführt. Im Vergleich zu Artikel 6 der Verordnung (EG) Nr. 45/2001 bietet diese neue Bestimmung mehr Flexibilität und Rechtssicherheit in Bezug auf eine Weiterverarbeitung für kompatible Zwecke.
In Artikel 7 werden im Einklang mit Artikel 7 der Verordnung (EU) Nr. 2016/679 die Bedingungen für die Einwilligung festgelegt, die eine rechtswirksame Grundlage für eine rechtmäßige Verarbeitung darstellt.
Artikel 8 enthält analog zu Artikel 8 der Verordnung (EU) Nr. 2016/679 weitere Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Kindern im Zusammenhang mit Diensten der Informationsgesellschaft, die Kindern direkt angeboten werden. Das Mindestalter, das ein Kind haben muss, damit es eine gültige Einwilligung erteilen kann, wird auf 13 Jahre festgelegt.
Artikel 9 enthält wie Artikel 8 der Verordnung (EG) Nr. 45/2001 Vorgaben zur Gewährleistung eines bestimmten Schutzniveaus bei der Übermittlung personenbezogener Daten an in der Union niedergelassene und der Verordnung (EU) Nr. 2016/679 oder der Richtlinie (EU) Nr. 2016/680 unterliegende Empfänger, die nicht Organe oder Einrichtungen der Union sind. So wird klargestellt, dass in Fällen, in denen die Übermittlung auf Veranlassung des Verantwortlichen erfolgt, die Erforderlichkeit und Angemessenheit der Übermittlung nachzuweisen ist.
Artikel 10 enthält in Anlehnung an Artikel 9 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 10 der Verordnung (EG) Nr. 45/2001 das grundsätzliche Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Ausnahmen von diesem Verbot.
Artikel 11 enthält im Einklang mit Artikel 10 der Verordnung (EU) Nr. 2016/679 und mit Artikel 10 Absatz 5 der Verordnung (EG) Nr. 45/2001 die Bedingungen für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
Artikel 12 regelt die Informationspflichten des Verantwortlichen gegenüber der betroffenen Person im Einklang mit Artikel 11 der Verordnung (EU) Nr. 2016/679 , wonach der Verantwortliche, sofern er anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren kann, nicht verpflichtet sein sollte, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen.
Artikel 13, der sich auf Artikel 89 Absatz 1 der Verordnung (EU) Nr. 2016/679 stützt, enthält Bestimmungen über Garantien in Bezug auf die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.
Kapitel III - Rechte der Betroffenen Person
Abschnitt 1 - Transparenz und Modalitäten
Artikel 14 verpflichtet in Anlehnung an Artikel 12 der Verordnung (EU) Nr. 2016/679 die Verantwortlichen, transparente, leicht zugängliche und verständliche Informationen bereitzustellen und Verfahren und Vorkehrungen für die Ausübung der Rechte der betroffenen Person - gegebenenfalls einschließlich Möglichkeiten für die Antragstellung auf elektronischem Weg - vorzusehen, innerhalb einer bestimmten Frist auf den Antrag der betroffenen Person zu reagieren und eine Ablehnung des Antrags zu begründen. Da die Organe und Einrichtungen der Union für Verwaltungskosten, die im Zusammenhang mit der Bereitstellung der Informationen entstehen, keinesfalls Gebühren erheben sollten, wurde diese Möglichkeit aus der Verordnung (EU) Nr. 2016/679 nicht übernommen.
Abschnitt 2 - Informationspflicht und Auskunftsrecht
In Artikel 15 wird in Anlehnung an Artikel 13 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 11 der Verordnung (EG) Nr. 45/2001 die Informationspflicht des Verantwortlichen gegenüber der betroffenen Person festgelegt, wenn personenbezogene Daten bei der betroffenen Person erhoben werden. Demnach sind der betroffenen Person Informationen zur Verfügung zu stellen, unter anderem über die Dauer der Speicherung und das Beschwerderecht oder im Zusammenhang mit internationalen Datenübermittlungen.
In Artikel 16 wird in Anlehnung an Artikel 14 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 12 der Verordnung (EG) Nr. 45/2001 die Informationspflicht des Verantwortlichen gegenüber der betroffenen Person zusätzlich präzisiert: Wenn personenbezogene Daten nicht von der betroffenen Person selbst erlangt wurden, so ist ihr die Quelle mitzuteilen, aus der die Daten stammen. Es werden auch die in der Verordnung (EU) Nr. 2016/679 vorgesehenen Ausnahmeregelungen übernommen. So entfällt beispielsweise die Informationspflicht, wenn die betroffene Person bereits über die Informationen verfügt, wenn sich die Bereitstellung dieser Informationen als unmöglich erweist oder für den Verantwortlichen mit einem unverhältnismäßigen Aufwand verbunden wäre, wenn die personenbezogenen Daten nach Unionsrecht dem Berufsgeheimnis unterliegen und daher vertraulich behandelt werden müssen oder wenn die Erfassung oder Offenlegung ausdrücklich gesetzlich vorgesehen ist. Dies könnte zum Beispiel für Verfahren gelten, an denen für soziale Sicherheit oder Gesundheit zuständige Stellen beteiligt sind.
Artikel 17 regelt im Einklang mit Artikel 15 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 13 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person auf Zugang zu ihren personenbezogenen Daten und fügt neue Elemente hinzu wie die Pflicht, die betroffene Person über die Dauer der Speicherung sowie über das Recht auf Berichtigung und Löschung sowie das Beschwerderecht zu informieren.
Abschnitt 3 - Berichtigung und Löschung
Artikel 18 regelt in Anlehnung an Artikel 16 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 14 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person auf Berichtigung ihrer Daten.
Artikel 19 regelt im Einklang mit Artikel 17 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 16 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person auf Löschung ihrer Daten ("Recht auf Vergessenwerden"). Es werden die Bedingungen für das Recht auf Vergessenwerden aufgeführt. Hierzu zählt auch die Pflicht des Verantwortlichen, der die personenbezogenen Daten veröffentlicht hat, Dritte über den Antrag der betroffenen Person auf Löschung aller Verbindungen zu diesen personenbezogenen Daten oder auf Löschung von Kopien oder Replikationen dieser Daten zu informieren.
Artikel 20 führt das Recht auf Einschränkung der Verarbeitung in bestimmten Fällen ein, wobei der mehrdeutige Ausdruck "Sperrung", der in der Verordnung (EG) Nr. 45/2001 verwendet wird, vermieden wird und für Kohärenz mit der neuen Terminologie in Artikel 18 der Verordnung (EU) Nr. 2016/679 gesorgt wird.
Artikel 21 sieht im Einklang mit Artikel 19 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 17 der Verordnung (EG) Nr. 45/2001 die Pflicht des Verantwortlichen vor, den Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogene Daten oder eine Einschränkung ihrer Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet auch die betroffene Person über diese Empfänger, wenn sie dies verlangt.
Artikel 22 führt im Einklang mit Artikel 20 der Verordnung (EU) Nr. 2016/679 das Recht der betroffenen Person auf Datenübertragbarkeit ein, d.h. das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, zu erhalten, und das Recht, diese Daten direkt einem anderen Verantwortlichen übermitteln zu lassen, wenn dies technisch machbar ist. Als Voraussetzung für die Ausübung dieses Rechts und zur weiteren Verbesserung des Zugangs natürlicher Personen zu ihren Daten ist vorgesehen, dass der Verantwortliche diese Daten in einem strukturierten, gängigen maschinenlesbaren Format zur Verfügung stellen muss. Dieses Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung der betroffenen Person oder einem von ihr geschlossenen Vertrag beruht.
Abschnitt 4 - Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Artikel 23 regelt in Anlehnung an Artikel 21 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 18 der Verordnung (EG) Nr. 45/2001 das Widerspruchsrecht der betroffenen Person.
Artikel 24 betrifft analog zu Artikel 22 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 19 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Maßnahme unterworfen zu werden.
Abschnitt 5 - Beschränkungen
Artikel 25 erlaubt Beschränkungen der Rechte der betroffenen Person, die in den Artikeln 14 bis 22, 34 und 38 festgelegt sind, sowie der Grundsätze des Artikels 4 (soweit dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen). Diese Beschränkungen sollten in Rechtsakten, die auf der Grundlage der Verträge erlassen wurden, oder in internen Vorschriften der Organe und Einrichtungen der Union vorgesehen sein. Ist die Möglichkeit einer solchen Beschränkung nicht in einem auf der Grundlage der Verträge erlassenen Rechtsakt oder in einer internen Vorschrift der Organe und Einrichtungen der Union vorgesehen, so können diese eine Adhoc-Beschränkung verhängen, sofern diese in Bezug auf einen bestimmten Verarbeitungsvorgang den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme darstellt, mit der eines oder mehrere der Ziele gewahrt werden, die die Beschränkung der Rechte betroffener Personen erlauben. Dieser Ansatz steht im Einklang mit Artikel 23 der Verordnung (EU) Nr. 2016/679 . Im Gegensatz zu Artikel 23 der Verordnung (EU) Nr. 2016/679 und im Einklang mit Artikel 20 der Verordnung (EG) Nr. 45/2001 ist die Möglichkeit einer Beschränkung des Widerspruchsrechts und des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, nicht vorgesehen. Die Voraussetzungen für Beschränkungen stehen im Einklang mit der Grundrechtecharta und der Europäischen Menschenrechtskonvention in ihrer Auslegung durch den Gerichtshof der Europäischen Union und den Europäischen Gerichtshof für Menschenrechte.
Kapitel IV - VERANTWORTLICHER und AUFTRAGSVERARBEITER
Abschnitt 1 - Allgemeine Pflichten
Artikel 26 lehnt sich an Artikel 24 der Verordnung (EU) Nr. 2016/679 an und führt den Grundsatz der Rechenschaftspflicht ein: So ist der Verantwortliche verpflichtet, diese Verordnung einzuhalten und dies nachzuweisen, unter anderem durch Einführung geeigneter technischer und organisatorischer Maßnahmen und gegebenenfalls interner Maßnahmen und Verfahren, die die Einhaltung der Verordnung gewährleisten.
Artikel 24 Absatz 3 der Verordnung (EU) Nr. 2016/679 wurde nicht übernommen, da die Organe und Einrichtungen der Union keinen Verhaltensregeln oder Zertifizierungsverfahren unterliegen sollten.
Artikel 27 regelt im Einklang mit Artikel 25 der Verordnung (EU) Nr. 2016/679 die Pflichten, die dem Verantwortlichen aus den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen erwachsen.
Artikel 28 über die gemeinsam Verantwortlichen, der sich an Artikel 26 der Verordnung (EU) Nr. 2016/679 anlehnt, präzisiert die Zuständigkeiten der gemeinsam Verantwortlichen - ob in Organen oder Einrichtungen der Union oder nicht - in Bezug auf ihr Verhältnis untereinander sowie gegenüber der betroffenen Person. Diese Bestimmung betrifft den Fall, dass alle gemeinsam Verantwortlichen derselben rechtlichen Regelung (der vorliegenden Verordnung) unterliegen, und den Fall, dass die einen dieser Verordnung und die anderen einem anderen Rechtsinstrument (der Verordnung (EU) Nr. 2016/679 , der Richtlinie (EU) Nr. 2016/680 , der Richtlinie (EU) Nr. 2016/681 oder anderen spezifischen Datenschutzregelungen für Organe und Einrichtungen der Union) unterliegen.
In Artikel 29 werden in Anlehnung an Artikel 28 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 23 der Verordnung (EG) Nr. 45/2001 die Stellung und die Pflichten der Auftragsverarbeiter beschrieben, einschließlich der Festlegung, dass ein Auftragsverarbeiter, der unter Verstoß gegen die Verordnung die Zwecke und die Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt.
Artikel 30 über die Verarbeitung unter der Aufsicht des Verantwortlichen und des Auftragsverarbeiters, der sich auf Artikel 29 der Verordnung (EU) Nr. 2016/679 stützt, sieht vor, dass der Auftragsverarbeiter und dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet.
Artikel 31, der sich an Artikel 30 der Verordnung (EU) Nr. 2016/679 anlehnt, führt - anstelle der nach Artikel 25 der Verordnung (EG) Nr. 45/2001 erforderlichen Vorabmeldung beim Datenschutzbeauftragten und des Registers der behördlichen Datenschutzbeauftragten - die Pflicht des Verantwortlichen und des Auftragsverarbeiters ein, eine Liste der Verarbeitungen zu führen, für die sie die Verantwortung tragen. Im Gegensatz zur Verordnung (EU) Nr. 2016/679 werden "Vertreter" nicht genannt, da Organe und Einrichtungen der Union keine Vertreter, sondern stets eigene Datenschutzbeauftragte haben. Bezugnahmen auf Datenübermittlungen im Rahmen von Ausnahmeregelungen für bestimmte Fälle, wie sie in der Verordnung (EU) Nr. 2016/679 vorgesehen sind, wurden nicht übernommen, da derartige Übermittlungen nicht Gegenstand der vorliegenden Verordnung sind. Die obligatorische Liste der Verarbeitungen kann auf der Ebene eines Organs oder einer Einrichtung der Union zentral geführt werden. In einem solchen Fall dürfen die Organe und Einrichtungen der Union ihre Listen der Verarbeitungen in einem öffentlich zugänglichen Register führen.
Artikel 32, der sich auf Artikel 31 der Verordnung (EU) Nr. 2016/679 stützt, betrifft die Pflichten der Organe und Einrichtungen der Union im Hinblick auf die Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten.
Abschnitt 2 - Sicherheit personenbezogener Daten und Vertraulichkeit der elektronischen Kommunikation
Artikel 33 verpflichtet im Einklang mit Artikel 32 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 22 der Verordnung (EG) Nr. 45/2001 den Verantwortlichen, geeignete Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu treffen, und dehnt diese Pflicht auf die Auftragsverarbeiter aus, ungeachtet ihres Vertragsverhältnisses mit dem Verantwortlichen.
Artikel 34 stützt sich auf Artikel 36 der Verordnung (EG) Nr. 45/2001 und gewährleistet die Vertraulichkeit der elektronischen Kommunikation innerhalb der Organe und Einrichtungen der Union.
Artikel 35 beruht auf der bestehenden Praxis in den Organen und Einrichtungen der Union und schützt die sich auf Endeinrichtungen der Endnutzer beziehenden Informationen beim Zugriff auf die öffentlich zugänglichen Websites und mobilen Anwendungen der Organe und Einrichtungen der Union im Einklang mit der Verordnung (EU) XXXX/XX [neue Verordnung über Privatsphäre und elektronische Kommunikation], insbesondere Artikel 8.
Artikel 36, der sich auf Artikel 38 der Verordnung (EG) Nr. 45/2001 stützt, dient dem Schutz personenbezogener Daten in öffentlichen und privaten Verzeichnissen von Organen und Einrichtungen der Union.
Die Artikel 37 und 38 führen im Einklang mit den Artikeln 33 und 34 der Verordnung (EU) Nr. 2016/679 eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten ein.
Abschnitt 3 - Datenschutz-Folgenabschätzung und vorherige Konsultation
Artikel 39, der auf Artikel 35 der Verordnung (EU) Nr. 2016/679 basiert, verpflichtet die Verantwortlichen und Auftragsverarbeiter, vor der Verarbeitung eine DatenschutzFolgenabschätzung durchzuführen, wenn die Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Diese Verpflichtung gilt insbesondere in den folgenden Fällen: systematische und umfassende Bewertung persönlicher Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruht, umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten und systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Artikel 40 basiert auf Artikel 36 der Verordnung (EU) Nr. 2016/679 und betrifft die Fälle, in denen die Konsultation des Europäischen Datenschutzbeauftragten und dessen Genehmigung vor der Verarbeitung obligatorisch sind. Absatz 1 entspricht jedoch dem Erwägungsgrund 94 der Verordnung (EU) Nr. 2016/679 und stellt klar, wann eine Konsultationspflicht besteht.
Abschnitt 4 - Unterrichtung und legislative Konsultation
Artikel 41 verpflichtet die Organe und Einrichtungen der Union, den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten zu unterrichten.
Artikel 42 verpflichtet die Kommission zur Konsultation des Europäischen Datenschutzbeauftragten nach der Annahme von Vorschlägen für einen Gesetzgebungsakt und von an den Rat gerichteten Empfehlungen oder Vorschlägen nach Artikel 218 AEUV sowie bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten, die Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten haben. Ist ein solcher Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. In diesen Fällen sollten beide Stellen ihre Arbeit im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Für die Erteilung des Rats in den genannten Fällen wird eine Frist von acht Wochen festgesetzt, wobei in dringenden Fälle und in sonstigen Fällen, in denen dies angezeigt ist (zum Beispiel wenn die Kommission delegierte Rechtsakte oder Durchführungsrechtsakte ausarbeitet), Ausnahmen möglich sind.
Abschnitt 5 - Pflicht zur Stellungnahme zu mutmaßlichen Verstößen
Artikel 43 verpflichtet Verantwortliche und Auftragsverarbeiter zur Stellungnahme zu mutmaßlichen Verstößen, wenn der Europäische Datenschutzbeauftragte beschlossen hat, sie mit einer Angelegenheit zu befassen.
Abschnitt 6 - Datenschutzbeauftragter
Artikel 44, der sich an Artikel 37 Absatz 1 Buchstabe a der Verordnung (EU) Nr. 2016/679 und Artikel 24 der Verordnung (EG) Nr. 45/2001 anlehnt, sieht vor, dass die Organe und Einrichtungen der Union einen Datenschutzbeauftragten haben müssen.
Artikel 45 regelt in Anlehnung an Artikel 38 der Verordnung (EU) Nr. 2016/679 und Artikel 24 der Verordnung (EG) Nr. 45/2001 die Stellung des Datenschutzbeauftragten.
Artikel 46 nennt in Anlehnung an Artikel 39 der Verordnung (EU) Nr. 2016/679 und Artikel 24 sowie Absätze 2 und 3 des Anhangs der Verordnung (EG) Nr. 45/2001 die wesentlichen Aufgaben des Datenschutzbeauftragten.
Kapitel V - ÜBERMITTLUNGEN PERSONENBEZOGENER Daten an DRITTLÄNDER ODER internationale Organisationen
Artikel 47 knüpft an Artikel 9 der Verordnung (EG) Nr. 45/2001 an und sieht im Einklang mit Artikel 44 der Verordnung (EU) Nr. 2016/679 den allgemeinen Grundsatz vor, dass Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen nur zulässig sind, wenn die sonstigen Bestimmungen dieser Verordnung und die in Kapitel V niedergelegten Bedingungen eingehalten werden; dies gilt auch für Weiterübermittlungen personenbezogener Daten durch das Drittland oder die internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation.
Gemäß Artikel 48 darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission nach Artikel 45 Absatz 3 der Verordnung (EU) Nr. 2016/679 durch Beschluss festgestellt hat, dass in dem Drittland, einem Gebiet oder einem oder mehreren spezifischen Sektoren in diesem Drittland oder in einer internationalen Organisation ein angemessenes Schutzniveau gewährleistet ist, und wenn die personenbezogenen Daten ausschließlich übermittelt werden, um die Erfüllung von Aufgaben zu ermöglichen, die in die Kompetenz des Verantwortlichen fallen. Die Absätze 2 und 3 dieses Artikels wurden aus Artikel 9 der Verordnung (EG) Nr. 45/2001 übernommen. Sie dienen der Überwachung des Schutzniveaus in Drittländern und internationalen Organisationen.
Nach Artikel 49, der sich an Artikel 46 der Verordnung (EU) Nr. 2016/679 anlehnt, sind für Datenübermittlungen an Drittländer in Fällen, in denen die Kommission keinen Angemessenheitsbeschluss erlassen hat, geeignete Garantien erforderlich, insbesondere in Form von Standarddatenschutzklauseln und Standardvertragsklauseln. Auftragsverarbeiter, die kein Organ und keine Einrichtung der Union sind, können gemäß der Verordnung (EU) Nr. 2016/679 auf verbindliche interne Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsmechanismen zurückgreifen. Absatz 4, der die Organe und Einrichtungen der Union verpflichtet, den Europäischen Datenschutzbeauftragten über Kategorien von Fällen zu unterrichten, in denen sie diesen Artikel angewandt haben, entspricht Artikel 9 Absatz 8 der Verordnung (EG) Nr. 45/2001 , der wegen seiner Besonderheit übernommen wurde. Absatz 5 dient analog zu Artikel 46 Absatz 5 der Verordnung (EU) Nr. 2016/679 der Fortschreibung der Gültigkeit der bisherigen Genehmigungen.
Artikel 50 sieht im Einklang mit Artikel 48 der Verordnung (EU) Nr. 2016/679 vor, dass Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlands, mit denen die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, unbeschadet anderer Gründe für die Übermittlung nach diesem Kapitel nur anerkannt oder vollstreckbar werden dürfen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.
Artikel 51 enthält ebenso wie Artikel 49 der Verordnung (EU) Nr. 2016/679 Ausnahmeregelungen für bestimmte Datenübermittlungen. Dies betrifft insbesondere Datenübermittlungen, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, wie zum Beispiel für den internationalen Datenaustausch zwischen Wettbewerbsbehörden, Steuer- oder Zollverwaltungen oder zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die Fischerei zuständig sind. Absatz 5 über die Pflicht zur Unterrichtung des Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen für eine Übermittlung eine Ausnahmeregelung angewandt wurde, entspricht dem bisherigen Artikel 9 Absatz 8 der Verordnung (EG) Nr. 45/2001 .
Artikel 52 basiert auf Artikel 50 der Verordnung (EU) Nr. 2016/679 und sieht ausdrücklich Mechanismen der internationalen Zusammenarbeit zum Schutz personenbezogener Daten zwischen dem Europäischen Datenschutzbeauftragten - in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss - und den Aufsichtsbehörden von Drittländern vor.
Kapitel VI - der Europäische DATENSCHUTZBEAUFTRAGTE
Artikel 53, der auf Artikel 41 der Verordnung (EG) Nr. 45/2001 aufbaut, betrifft die Schaffung des Amts des Europäischen Datenschutzbeauftragten.
Artikel 54 greift Artikel 42 der Verordnung (EG) Nr. 45/2001 und Artikel 3 des Beschlusses Nr. 1247/2002/EG auf und regelt die Ernennung des Europäischen Datenschutzbeauftragten durch das Europäische Parlament und den Rat. Des Weiteren wird die Dauer seiner Amtszeit auf fünf Jahre festgelegt.
Artikel 55 greift Artikel 43 der Verordnung (EG) Nr. 45/2001 und Artikel 1 des Beschlusses Nr. 1247/2002/EG auf. Er enthält Regelungen und allgemeine Bedingungen, die die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten, sein Personal und die Finanzmittel betreffen.
Artikel 56 baut auf Artikel 52 der Verordnung (EU) Nr. 2016/679 und Artikel 44 der Verordnung (EG) Nr. 45/2001 auf und präzisiert die Bedingungen für die Unabhängigkeit des Europäischen Datenschutzbeauftragten unter Berücksichtigung der Rechtsprechung des Gerichtshofs der Europäischen Union.
Artikel 57, dem Artikel 45 der Verordnung (EG) Nr. 45/2001 zugrunde liegt, verpflichtet den Europäischen Datenschutzbeauftragten, während und nach Ablauf seiner Amtszeit über vertrauliche Informationen, die ihm bei der Wahrnehmung seiner dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.
Artikel 58, der sich an Artikel 57 der Verordnung (EU) Nr. 2016/679 und Artikel 46 der Verordnung (EG) Nr. 45/2001 anlehnt, nennt die Aufgaben des Europäischen Datenschutzbeauftragten, zu denen die Entgegennahme und Prüfung von Beschwerden sowie die Sensibilisierung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Datenverarbeitung gehört.
Artikel 59 legt in Anlehnung an Artikel 58 der Verordnung (EU) Nr. 2016/679 und Artikel 47 der Verordnung (EG) Nr. 45/2001 die Befugnisse des Europäischen Datenschutzbeauftragten fest.
Artikel 60 sieht analog zu Artikel 59 der Verordnung (EU) Nr. 2016/679 und Artikel 48 der Verordnung (EG) Nr. 45/2001 die Pflicht des Europäischen Datenschutzbeauftragten vor, jedes Jahr einen Tätigkeitsbericht vorzulegen.
Kapitel VII - Zusammenarbeit und KOHÄRENZ
Artikel 61 führt in Anlehnung an Artikel 61 der Verordnung (EU) Nr. 2016/679 und Artikel 46 Buchstabe f der Verordnung (EG) Nr. 45/2001 ausdrückliche Vorschriften für die Zusammenarbeit des Europäischen Datenschutzbeauftragten mit nationalen Aufsichtsbehörden ein.
Artikel 62 regelt die Pflichten des Europäischen Datenschutzbeauftragten im Rahmen der mit den nationalen Aufsichtsbehörden koordinierten Aufsicht in Fällen, in denen in anderen Rechtsakten der Union auf diesen Artikel verwiesen wird. Ziel ist eine koordinierte Aufsicht nach einem einheitlichen Modell. Dieses Modell könnte für die koordinierte Aufsicht über IT-Großsysteme wie Eurodac, das Schengener Informationssystem der zweiten Generation, das Visa-Informationssystem, das Zollinformationssystem oder das Binnenmarktinformationssystem genutzt werden, aber auch für die Aufsicht über einige Agenturen der Union wie beispielsweise Europol, für die ein spezielles Modell der Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Behörden geschaffen wird. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht umfassend zu gewährleisten.
Kapitel VIII - Rechtsbehelfe, Haftung und Sanktionen
Artikel 63 sieht in Anlehnung an Artikel 77 der Verordnung (EU) Nr. 2016/679 und Artikel 32 der Verordnung (EG) Nr. 45/2001 das Recht einer jeden betroffenen Person vor, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Er enthält auch die Verpflichtung des Europäischen Datenschutzbeauftragten, sich mit der Beschwerde zu befassen und die betroffene Person über den Fortgang und das Ergebnis der Prüfung der Beschwerde innerhalb von drei Monaten zu unterrichten. Nach Ablauf dieser Frist gilt die Beschwerde als zurückgewiesen.
Artikel 64 entspricht Artikel 32 Absatz 1 der Verordnung (EG) Nr. 45/2001 . Demnach ist der Gerichtshof der Europäischen Union für alle Streitigkeiten im Zusammenhang mit den Bestimmungen dieser Verordnung, einschließlich Schadenersatzansprüchen, zuständig.
Artikel 65 gewährleistet den Anspruch auf Schadenersatz sowohl für materielle als auch für immaterielle Schäden unter den in den Verträgen vorgesehenen Voraussetzungen, auch in Bezug auf die Haftung.
Artikel 66 basiert auf Artikel 83 der Verordnung (EU) Nr. 2016/679 und verleiht dem Europäischen Datenschutzbeauftragten die Befugnis, als letztes Mittel Geldbußen gegen Organe und Einrichtungen der Union zu verhängen, wenn das Organ oder die Einrichtung der Union einer Anordnung des Europäischen Datenschutzbeauftragten nach Artikel 59 Absatz 2 Buchstaben a bis h und j nicht nachkommt. In dem Artikel werden auch die Kriterien für die Festsetzung der Höhe der Geldbuße in jedem Einzelfall genannt, wohingegen sich die jährlichen Höchstbeträge an den in einigen Mitgliedstaaten geltenden Geldbußen orientieren.
Artikel 67 ermöglicht im Einklang mit Artikel 80 Absatz 1 der Verordnung (EU) Nr. 2016/679 bestimmten Einrichtungen, Organisationen und Vereinigungen, im Namen einer betroffenen Person Beschwerde einzulegen.
Artikel 68 sieht im Einklang mit Artikel 33 der Verordnung (EG) Nr. 45/2001 spezifische Bestimmungen zum Schutz von Unionsbeschäftigten vor, die beim Europäischen Datenschutzbeauftragten eine Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, ohne den Dienstweg zu beschreiten.
Artikel 69 basiert auf Artikel 49 der Verordnung (EG) Nr. 45/2001 und sieht Sanktionen gegen Beamte oder sonstige Bedienstete der Europäischen Union vor, die die in dieser Verordnung festgelegten Pflichten verletzen.
Kapitel IX - Durchführungsrechtsakte
Artikel 70 regelt das Ausschussverfahren für die Übertragung von Durchführungsbefugnissen auf die Kommission in Fällen, in denen es nach Artikel 291 AEUV einheitlicher Bedingungen für die Durchführung der verbindlichen Rechtsakte der Union bedarf. Es gilt das Prüfverfahren.
Kapitel X - Schlussbestimmungen
Artikel 71 hebt die Verordnung (EG) Nr. 45/2001 und den Beschluss Nr. 1247/2002/EG auf und legt fest, dass Bezugnahmen auf die beiden aufgehobenen Rechtsakte als Bezugnahmen auf die vorliegende Verordnung gelten.
In Artikel 72 wird klargestellt, dass die laufende Amtszeit des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten von dieser Verordnung unberührt bleiben und dass Artikel 54 Absätze 4, 5 und 7 sowie die Artikel 56 und 57 der Verordnung für den derzeitigen stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit am 5. Dezember 2019 gelten.
Gemäß Artikel 73 soll diese Verordnung ab dem 25. Mai 2018 gelten, sodass ihre Anwendung zum gleichen Zeitpunkt beginnt wie die der Verordnung (EU) Nr. 2016/679 . 2017/0002 (COD) Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG
Das Europäische Parlament und der Rat der Europäischen Union - gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2, auf Vorschlag der Europäischen Kommission, nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses10, gemäß dem ordentlichen Gesetzgebungsverfahren, in Erwägung nachstehender Gründe:
- (1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Nach Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden "Charta") sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
- (2) Mit der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates11 werden durchsetzbare Rechte für natürliche Personen vorgesehen, die Pflichten hinsichtlich der Datenverarbeitung durch die Verantwortlichen der Organe und Einrichtungen der Gemeinschaft festgelegt und der Europäische Datenschutzbeauftragte als unabhängige Aufsichtsbehörde eingerichtet, der für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zuständig ist. Sie gilt jedoch nicht für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten der Organe und Einrichtungen der Union, die nicht in den Anwendungsbereich des Unionsrechts fallen.
- (3) Die Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates12 und die Richtlinie (EU) Nr. 2016/680 des Europäischen Parlaments und des Rates13 wurden am
- (4) In der Verordnung (EU) Nr. 2016/679 wird betont, dass Anpassungen der Verordnung (EG) Nr. 45/2001 notwendig sind, um einen solideren und kohärenten Datenschutzrahmen in der Union zu gewährleisten und zu ermöglichen, dass diese Verordnung gleichzeitig mit der Verordnung (EU) Nr. 2016/679 angewandt werden kann.
- (5) Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union sollten die Datenschutzbestimmungen für die Organe und Einrichtungen der Union so weit als möglich an die in den Mitgliedstaaten für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen werden. Soweit die Bestimmungen dieser Verordnung auf demselben Konzept beruhen wie die der Verordnung (EU) Nr. 2016/679 , sollten beide Bestimmungen einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) Nr. 2016/679 gleichwertig verstanden werden sollte.
- (6) Personen, deren personenbezogene Daten in einem beliebigen Kontext von den Organen oder Einrichtungen der Union verarbeitet werden, z.B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind, sollten geschützt werden. Diese Verordnung sollte nicht für die Verarbeitung der personenbezogenen Daten Verstorbener gelten. Sie gilt ferner nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
- (7) Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
- (8) In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm, erkannte die Regierungskonferenz an, dass es sich aufgrund der 13 Richtlinie (EU) Nr. 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89). Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte besondere Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen. Diese Verordnung sollte daher für Agenturen der Union gelten, die Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ausführen, soweit das für diese Agenturen geltende Unionsrecht keine besonderen Vorschriften für die Verarbeitung von personenbezogenen Daten enthält.
- (9) Die Richtlinie (EU) Nr. 2016/680 enthält harmonisierte Vorschriften zum Schutz und zum freien Verkehr personenbezogener Daten, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden. Um zu fördern, dass natürliche Personen in der Union auf der Grundlage unionsweit durchsetzbarer Rechte das gleiche Maß an Schutz genießen, und um zu verhindern, dass Unterschiede, die den Austausch personenbezogener Daten zwischen den Agenturen der Union, die im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit tätig sind, und den zuständigen Behörden in den Mitgliedstaaten behindern, sollten sich die Vorschriften für den Schutz und den freien Verkehr operativer personenbezogener Daten, die von diesen Agenturen der Union verarbeitet werden, auf die dieser Verordnung zugrunde liegenden Grundsätze stützen und im Einklang mit der Richtlinie (EU) Nr. 2016/680 stehen.
- (10) Wird im Gründungsrechtsakt einer Agentur der Union, deren Tätigkeiten in den Anwendungsbereich von Titel V Kapitel 4 und 5 des Vertrags fallen, eine eigenständige Datenschutzregelung für die Verarbeitung operativer personenbezogener Daten festgelegt, sollte diese Regelung von dieser Verordnung unberührt bleiben. Bis zum 6. Mai 2019 sollte die Kommission jedoch nach Artikel 62 der Richtlinie (EU) Nr. 2016/680 Rechtsakte der Union über die Verarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, überprüfen und gegebenenfalls die erforderlichen Vorschläge zur Änderung dieser Rechtsakte unterbreiten, damit ein einheitliches Vorgehen beim Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit gewährleistet ist.
- (11) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
- (12) Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der "Pseudonymisierung" in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.
- (13) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die ihre Geräte oder Software-Anwendungen und -Tools oder -Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
- (14) Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen.
- (15) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und fair erfolgen. Für natürliche Personen sollte Transparenz dahin gehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer, einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Minimum beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
- (16) Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Organe und Einrichtungen der Union bei der Übermittlung personenbezogener Daten innerhalb der Organe und Einrichtungen der Union bzw. an andere Organe und Einrichtungen der Union prüfen, ob diese personenbezogenen Daten für die rechtmäßige Erfüllung der Aufgaben erforderlich sind, die in den Zuständigkeitsbereich des Empfängers - der nicht zum Verantwortlichen gehört - fallen. Insbesondere sollte der Verantwortliche im Falle eines Antrags des Empfängers auf Übermittlung personenbezogener Daten das Vorliegen einschlägiger Gründe für die rechtmäßige Verarbeitung personenbezogener Daten sowie die Zuständigkeit des Empfängers überprüfen und die Notwendigkeit der Übermittlung dieser Daten vorläufig bewerten. Bestehen Zweifel an der Notwendigkeit, holt der Verantwortliche weitere Auskünfte vom Empfänger ein. Der Empfänger sollte sicherstellen, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann.
- (17) Damit die Verarbeitung rechtmäßig ist, sollten personenbezogene Daten auf der Grundlage verarbeitet werden, dass die Verarbeitung für die Wahrnehmung einer Aufgabe durch die Organe und Einrichtungen der Union im öffentlichen Interesse oder in Ausübung ihrer öffentlichen Gewalt, für die Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, bzw. auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, auf die in dieser Verordnung Bezug genommen wird - einschließlich der Einwilligung der betroffenen Person - oder auf der Grundlage, dass sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich ist. Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und das Funktionieren dieser Organe und Einrichtungen erforderlich ist. Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.
- (18) Das Unionsrecht einschließlich der internen Vorschriften, auf die in dieser Verordnung Bezug genommen wird, sollten klar und präzise sein und ihre Anwendung sollte für diejenigen, die ihr unterliegen, im Einklang mit der Rechtsprechung des Gerichtshofs der Europäischen Union und des Europäischen Gerichtshofs für Menschenrechte klar und vorhersehbar sein.
- (19) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten. Die im Unionsrecht vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.
- (20) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Nach der Richtlinie 93/13/EWG /EWG des Rates14 sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren, einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
- (21) Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solch besonderer Schutz sollte insbesondere die Erstellung von Persönlichkeitsprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten betreffen, die Kindern auf Websites der Organe und Einrichtungen der Union direkt angeboten werden, wie beispielsweise interpersonelle Kommunikationsdienste oder Online-Ticketverkauf, und wenn die Verarbeitung personenbezogener Daten mit Einwilligung erfolgt.
- (22) Bitten Empfänger, die in der Union niedergelassen sind und der Verordnung (EU) Nr. 2016/679 oder der Richtlinie (EU) Nr. 2016/680 unterliegen, die Organe und Einrichtungen der Union um Übermittlung personenbezogener Daten, sollten sie nachweisen, dass diese Übermittlung zur Erreichung ihres Ziels erforderlich und angemessen ist und nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinausgeht. Erfolgt die Übermittlung auf eigene Veranlassung der Organe und Einrichtungen der Union, so sollten diese unter Beachtung des Grundsatzes der Transparenz nachweisen, dass die Übermittlung erforderlich ist.
- (23) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs "rassische Herkunft" in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs "biometrische Daten" erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Zusätzlich zu den speziellen Anforderungen an die Verarbeitung sensibler Daten sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.
- (24) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und besonderen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff "öffentliche Gesundheit" im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates15 ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte solche personenbezogenen Daten zu anderen Zwecken verarbeiten.
- (25) Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person - beispielsweise durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden - einschließen.
- (26) Die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollte geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person nach dieser Verordnung unterliegen. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Garantien bestehen (wie z.B. die Pseudonymisierung von personenbezogenen Daten). Die Organe und Einrichtungen der Union sollten im Unionsrecht, gegebenenfalls auch in internen Vorschriften, geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorsehen.
- (27) Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt.
- (28) Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.
- (29) Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.
- (30) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
- (31) Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein "Recht auf Vergessenwerden", wenn die Speicherung ihrer Daten gegen diese Verordnung oder gegen das Unionsrecht, dem der Verantwortliche unterliegt, verstößt. Betroffene Personen sollten Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen diese Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die personenbezogenen Daten - insbesondere die im Internet gespeicherten - später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn sie für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
- (32) Um dem "Recht auf Vergessenwerden" im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen - auch technischer Art - treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.
- (33) Methoden zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.
- (34) Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung ihm übertragener öffentlicher Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Ist im Fall eines bestimmten Satzes personenbezogener Daten mehr als eine betroffene Person tangiert, so sollte das Recht auf Empfang der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts nach dieser Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden.
- (35) Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt - die dem Verantwortlichen übertragen wurde - erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.
- (36) Die betroffene Person sollte das Recht haben, keiner Entscheidung - was eine Maßnahme einschließen kann - zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt wie Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das "Profiling", das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten in Bezug auf Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte erlaubt sein, wenn dies nach dem Unionsrecht ausdrücklich zulässig ist. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.
- (37) In auf der Grundlage der Verträge oder interner Vorschriften der Organe und Einrichtungen der Union erlassenen Rechtsakten können Beschränkungen hinsichtlich bestimmter Grundsätze und des Rechts auf Unterrichtung, Zugang zu und Berichtigung oder Löschung von personenbezogenen Daten, des Rechts auf Datenübertragbarkeit, Vertraulichkeit der elektronischen Kommunikation sowie Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft erforderlich und angemessen ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem die Verhütung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung - was auch den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit einschließt - wozu unter anderem der Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, der Schutz der inneren Sicherheit der Organe und Einrichtungen der Union und sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, vor allem wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaates, das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses oder etwa der Schutz betroffener Personen und der Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen Sozialschutz, öffentliche Gesundheit und humanitäre Hilfe, gehören. Wenn die Beschränkung nicht in einem auf der Grundlage der Verträge oder ihrer internen Vorschriften erlassenen Rechtsakt vorgesehen ist, können die Organe und Einrichtungen der Union in einem konkreten Fall eine Adhoc-Beschränkung hinsichtlich bestimmter Grundsätze und Rechte der betroffenen Person geltend machen, sofern die Beschränkung in Bezug auf einen bestimmten Verarbeitungsvorgang den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme darstellt, mit der eines oder mehrere der in Absatz 1 genannten Ziele gewahrt werden. Diese Beschränkung sollte dem Datenschutzbeauftragten gemeldet werden. Sämtliche Beschränkungen sollten mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.
- (38) Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Die Risiken für die Rechte und Freiheiten natürlicher Personen - mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere - können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft. Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.
- (39) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.
- (40) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, insbesondere für Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.
- (41) Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die - insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen - hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen - auch für die Sicherheit der Verarbeitung - getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter sollte auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter sollten entscheiden können, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber vom Datenschutzbeauftragten angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
- (42) Zum Nachweis der Einhaltung dieser Verordnung sollten Verantwortliche eine Liste der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten und Auftragsverarbeiter eine Liste der Kategorien der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten führen. Die Organe und Einrichtungen der Union sollten verpflichtet sein, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten und diesem auf Anfrage die entsprechende Liste vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Liste kontrolliert werden können. Den Organen und Einrichtungen der Union sollte es möglich sein, ein zentrales Register einzurichten, in dem sie ihre Verarbeitungstätigkeiten verzeichnen. Aus Gründen der Transparenz sollte es ihnen zudem möglich sei, dieses Register öffentlich zugänglich zu machen.
- (43) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau - auch hinsichtlich der Vertraulichkeit - gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.
- (44) Die Organe und Einrichtungen der Union sollten die Vertraulichkeit der elektronischen Kommunikation nach Artikel 7 der Charta sicherstellen. Insbesondere sollten die Organe und Einrichtungen der Union die Sicherheit ihrer elektronischen Kommunikationsnetze sicherstellen sowie die sich auf die Endeinrichtungen der Endnutzer beziehenden Informationen bei deren Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen nach der Verordnung (EU) XXXX/XX [neue Verordnung über Privatsphäre und elektronische Kommunikation] schützen und die personenbezogenen Daten in den Nutzerverzeichnissen schützen.
- (45) Eine Verletzung des Schutzes personenbezogener Daten kann - wenn nicht rechtzeitig und angemessen reagiert wird - einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, den Europäischen Datenschutzbeauftragten von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden. Sind solche Verzögerungen gerechtfertigt, sollten weniger sensible oder weniger konkrete Informationen über die Verletzung so schnell wie möglich veröffentlicht werden, anstatt mit der Benachrichtigung zu warten, bis das zugrunde liegende Ereignis beseitigt wurde.
- (46) Der Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen treffen können. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit dem Europäischen Datenschutzbeauftragen und nach Maßgabe der von ihm oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen.
- (47) Mit der Verordnung (EG) Nr. 45/2001 wird er Verantwortliche generell verpflichtet, dem Datenschutzbeauftragten die Verarbeitung personenbezogener Daten zu melden, der wiederum ein Register über die ihm gemeldeten Verarbeitungen führt. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Zu solchen Arten von Verarbeitungsvorgängen gehören insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist. In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.
- (48) Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte der Europäische Datenschutzbeauftragte vor Beginn der Verarbeitung konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Der Europäische Datenschutzbeauftragte sollte das Ersuchen um Konsultation innerhalb einer bestimmten Frist beantworten. Allerdings kann der Europäische Datenschutzbeauftragte, auch wenn er nicht innerhalb dieser Frist reagiert hat, entsprechend seinen in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses sollte es möglich sein, dem Europäischen Datenschutzbeauftragten das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten DatenschutzFolgenabschätzung zu unterbreiten; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen.
- (49) Der Europäische Datenschutzbeauftragte sollte über administrative Maßnahmen und interne Vorschriften der Organe und Einrichtungen der Union unterrichtet werden, die die Verarbeitung personenbezogener Daten vorsehen, Bedingungen für Beschränkungen der Rechte betroffener Personen festlegen oder angemessene Garantien für die Rechte betroffener Personen bieten, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die Risiken zu mindern, welche für die betroffene Person bestehen.
- (50) Mit der Verordnung (EU) Nr. 2016/679 wurde der Europäische Datenschutzausschuss als unabhängige Einrichtung der Union mit eigener Rechtspersönlichkeit eingesetzt. Der Ausschuss soll zu einer einheitlichen Anwendung der Verordnung (EU) Nr. 2016/679 und der Richtlinie 2016/680 in der gesamten Union beitragen, unter anderem indem er die Kommission berät. Gleichzeitig soll der Europäische Datenschutzbeauftragte seine Aufsichts- und Beratungsaufgaben gegenüber allen Organen und Einrichtungen der Union weiterhin wahrnehmen - sowohl auf eigene Initiative als auch auf Antrag. Damit in der gesamten Union einheitliche Datenschutzvorschriften gewährleistet sind, sollte eine Anhörung durch die Kommission nach Annahme eines Rechtsakts oder bei der Ausarbeitung delegierter Rechtsakte und Durchführungsrechtsakte im Sinne der Artikel 289, 290 und 291 AEUV und nach der Annahme von Empfehlungen und Vorschlägen für Übereinkünfte mit Drittländern und internationalen Organisationen nach Artikel 218 AEUV verbindlich vorgeschrieben werden, wenn sich diese auf das Recht auf Schutz personenbezogener Daten auswirken. In diesen Fällen sollte die Kommission verpflichtet sein, den Europäischen Datenschutzbeauftragten zu konsultieren, es sei denn, die Verordnung (EU) Nr. 2016/679 sieht eine obligatorische Konsultation des Europäischen Datenschutzausschusses vor - beispielsweise zu Angemessenheitsbeschlüssen oder delegierten Rechtsakten in Bezug auf standardisierte Bildsymbole und die Anforderungen für Zertifizierungsverfahren. Ist der betreffende Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, so sollte es der Kommission zudem möglich sein, den Europäischen Datenschutzausschuss zu konsultieren. In diesen Fällen sollte der Europäische Datenschutzbeauftragte als Mitglied des Europäischen Datenschutzausschusses seine Arbeit mit Letztgenanntem im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Der Europäische Datenschutzbeauftragte und gegebenenfalls der Europäische Datenschutzausschuss sollten ihre schriftliche Stellungnahme binnen acht Wochen vorlegen. Diese Frist sollte in dringenden Fällen kürzer bzw. in sonstiger Weise zweckmäßig sein, zum Beispiel wenn die Kommission delegierte Rechtsakte und Durchführungsrechtsakte ausarbeitet.
- (51) In jedem Organ bzw. jeder Einrichtung der Union sollte ein Datenschutzbeauftragter für die Anwendung der Bestimmungen dieser Verordnung Sorge tragen und die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung ihrer Pflichten beraten. Dieser Beauftragte sollte über das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen, das sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten sollte. Diese Datenschutzbeauftragten sollten ihren Auftrag und ihre Aufgaben auf unabhängige Weise wahrnehmen können.
- (52) Das durch diese Verordnung unionsweit gewährleistete Schutzniveau für natürliche Personen sollte bei der Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht untergraben werden, und zwar auch dann nicht, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur unter strikter Einhaltung dieser Verordnung zulässig. Eine Datenübermittlung könnte nur stattfinden, wenn die in dieser Verordnung festgelegten Voraussetzungen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erfüllt werden.
- (53) Die Kommission kann nach Artikel 45 der Verordnung (EU) Nr. 2016/679 feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet. In derartigen Fällen dürfen personenbezogene Daten durch ein Organ oder eine Einrichtung der Union ohne weitere Genehmigung an dieses Drittland oder diese internationale Organisation übermittelt werden.
- (54) Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese geeigneten Garantien können darin bestehen, dass auf von der Kommission oder von dem Europäischen Datenschutzbeauftragten festgelegte Standarddatenschutzklauseln oder vom Europäischen Datenschutzbeauftragten genehmigte Vertragsklauseln zurückgegriffen wird. Ist der Auftragsverarbeiter kein Organ und keine Einrichtung der Union, so können auch die für internationale Datenübermittlungen nach der Verordnung (EU) Nr. 2016/679 geltenden verbindlichen internen Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsverfahren geeignete Garantien darstellen. Diese Garantien sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten und von wirksamen Rechtsbehelfen für die betroffenen Personen, einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen beziehen. Datenübermittlungen dürfen auch von Organen und Einrichtungen der Union an Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen - wie beispielsweise einer gemeinsamen Absichtserklärung -, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung des Europäischen Datenschutzbeauftragten sollte eingeholt werden, wenn die Garantien in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind.
- (55) Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder dem Europäischen Datenschutzbeauftragten festgelegten Standard-Datenschutzklauseln zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die StandardDatenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch daran hindern, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder dem Europäischen Datenschutzbeauftragten erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die StandardDatenschutzklauseln ergänzen, zusätzliche Garantien zu bieten.
- (56) Manche Drittländer erlassen Gesetze, Verordnungen und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten der Organe und Einrichtungen der Union unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Union gestützt sind. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht anerkannt ist.
- (57) Datenübermittlungen sollten in bestimmten Situationen unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen, es sei denn, sie ist nach dem Recht der Union zulässig; ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.
- (58) Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen Datenaustausch zwischen Organen und Einrichtungen der Union und Wettbewerbs-, Steuer- oder Zollbehörden, Finanzaufsichtsbehörden und Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständig sind, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung und/oder Beseitigung des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen - einschließlich der körperlichen Unversehrtheit oder des Lebens - der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen vorgesehen werden. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden.
- (59) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin die Grundrechte und Garantien genießen können.
- (60) Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, kann dies dazu führen, dass natürliche Personen weniger Möglichkeiten haben, ihre Datenschutzrechte wahrzunehmen und sich insbesondere gegen eine unrechtmäßige Nutzung oder Offenlegung dieser Daten zu schützen. Ebenso kann es vorkommen, dass Aufsichtsbehörden in der Union, einschließlich des Europäischen Datenschutzbeauftragten, Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb ihres Zuständigkeitsbereichs haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche rechtliche Regelungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Daher sollte eine engere Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und anderen Datenschutzaufsichtsbehörden gefördert werden, damit sie Informationen mit den Aufsichtsbehörden in anderen Ländern austauschen können.
- (61) Die Errichtung des Europäischen Datenschutzbeauftragten mit der Verordnung (EG) Nr. 45/2001 , der befugt ist, seine Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Mit dieser Verordnung sollte seine Rolle und Unabhängigkeit weiter gestärkt und präzisiert werden.
- (62) Damit in der gesamten Union eine einheitliche Überwachung und Durchsetzung der Datenschutzvorschriften gewährleistet ist, sollte der Europäische Datenschutzbeauftragte dieselben Aufgaben und wirksamen Befugnisse wie die Aufsichtbehörden in den Mitgliedstaaten haben, darunter - insbesondere im Fall von Beschwerden natürlicher Personen - Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungs- und Beratungsbefugnisse, und die Befugnis, Verstöße gegen diese Verordnung dem Gerichtshof der Europäischen Union zur Kenntnis zu bringen und Gerichtsverfahren im Einklang mit dem Primärrecht anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Um überflüssige Kosten und übermäßige Unannehmlichkeiten mit gegebenenfalls nachteiligen Auswirkungen für die betroffenen Personen zu vermeiden, sollte jede Maßnahme des Europäischen Datenschutzbeauftragten im Hinblick auf die Einhaltung dieser Verordnung geeignet, erforderlich und angemessen sein, wobei die Umstände des jeweiligen Einzelfalls und das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, zu berücksichtigen sind. Jede rechtsverbindliche Maßnahme des Europäischen Datenschutzbeauftragten sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Europäischen Datenschutzbeauftragten unterzeichnet sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten.
- (63) Die Entscheidungen des Europäischen Datenschutzbeauftragten über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann der Europäische Datenschutzbeauftragte Berichte über besondere Themen veröffentlichen.
- (64) Die nationalen Aufsichtsbehörden überwachen die Anwendung der Verordnung (EU) Nr. 2016/679 und tragen zu ihrer einheitlichen Anwendung in der gesamten Union bei, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Um die einheitliche Anwendung der in den Mitgliedstaaten anwendbaren Datenschutzvorschriften und der für die Organe und Einrichtungen der Union anwendbaren Datenschutzvorschriften zu verbessern, sollte der Europäische Datenschutzbeauftragte mit den nationalen Aufsichtsbehörden wirksam zusammenarbeiten.
- (65) In bestimmten Fällen ist im Unionsrecht ein Modell für eine koordinierte Aufsicht vorgesehen, bei dem die Aufsicht auf den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden aufgeteilt ist. Darüber hinaus fungiert der Europäische Datenschutzbeauftragte als Aufsichtsbehörde von Europol; ein spezielles Modell für die Zusammenarbeit mit den nationalen Aufsichtsbehörden wird im Wege eines Beirats für die Zusammenarbeit, dem auch eine Beratungsfunktion zukommt, geschaffen. Zur besseren wirksamen Aufsicht und Durchsetzung des materiellen Datenschutzrechts sollte in der Union ein einheitliches, kohärentes Modell für eine koordinierte Aufsicht eingeführt werden. Die Kommission sollte daher erforderlichenfalls Legislativvorschläge im Hinblick auf die Änderung von Unionsrechtsakten, die ein Modell für eine koordinierte Aufsicht vorsehen, unterbreiten, um diese an das in dieser Verordnung festgelegte Modell für eine koordinierte Aufsicht anzupassen. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht umfassend zu gewährleisten.
- (66) Jede betroffene Person sollte das Recht haben, bei dem Europäischen Datenschutzbeauftragten eine Beschwerde einzureichen und im Einklang mit den Verträgen einen wirksamen gerichtlichen Rechtsbehelf vor dem Gerichtshof der Europäischen Union einzulegen, wenn sich die betroffene Person in ihren Rechten nach dieser Verordnung verletzt sieht oder wenn der Europäische Datenschutzbeauftragte auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz verwirft oder zurückweist oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich einer gerichtlichen Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Der Europäische Datenschutzbeauftragte sollte die betroffene Person innerhalb einer angemessenen Frist über den Stand und die Ergebnisse der Beschwerde unterrichten. Sollte eine weitere Abstimmung mit einer nationalen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Der Europäische Datenschutzbeauftragte sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
- (67) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat - vorbehaltlich der im Vertrag vorgesehenen Voraussetzungen - Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- (68) Um die Aufsichtsfunktion des Europäischen Datenschutzbeauftragten und die wirksame Durchsetzung dieser Verordnung zu stärken, sollte der Europäische Datenschutzbeauftragte als letztes Mittel die Befugnis haben, Geldbußen zu verhängen. Mit diesen Geldbußen sollten keine Einzelpersonen, sondern vielmehr die Organe oder Einrichtungen für Verstöße gegen diese Verordnung sanktioniert werden, um künftigen Verstößen gegen diese Verordnung vorzubeugen und eine Kultur des Schutzes personenbezogener Daten innerhalb der Organe und Einrichtungen der Union zu fördern. In dieser Verordnung sollten die Verstöße sowie die Obergrenzen der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden. Der Europäische Datenschutzbeauftragte sollte die Höhe der Geldbuße in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festsetzen. Wenn er eine Geldbuße gegen ein Organ der Union verhängt, sollte der Europäische Datenschutzbeauftragte die Verhältnismäßigkeit der Höhe der Geldbuße prüfen. Das Verwaltungsverfahren für das Verhängen von Geldbußen gegen die Organe und Einrichtungen der Union sollte im Einklang mit den allgemeinen Grundsätzen des Unionsrechts in der Auslegung des Gerichtshofs der Europäischen Union erfolgen.
- (69) Betroffene Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, nach Unionsrecht oder nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Diese Einrichtungen, Organisationen oder Vereinigungen sollten ferner das Recht haben, einen gerichtlichen Rechtsbehelf im Namen der betroffenen Person einzulegen oder das Recht auf Schadenersatz im Namen der betroffenen Person in Anspruch zu nehmen.
- (70) Verstoßen Beamte oder sonstige Bedienstete der Union gegen die Verpflichtungen aus dieser Verordnung, so sollte dies für sie disziplinarische oder anderweitige Maßnahmen nach sich ziehen, die im Statut der Beamten der Europäischen Union oder in den Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union niedergelegt sind.
- (71) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden, wenn dies in dieser Verordnung vorgesehen ist. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden16. Das Prüfverfahren sollte für die Festlegung von Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern, für die Annahme einer Liste der Verarbeitungsvorgänge, die eine vorherige Konsultation des Europäischen Datenschutzbeauftragten durch den Verantwortlichen für eine Verarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erfordert, und für die Festlegung von Standardvertragsklauseln, die geeignete Garantien für internationale Datenübermittlungen vorsehen, angewendet werden.
- (72) Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates17 enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken.
- (73) Die Verordnung Nr. 45/2001 /EG und der Beschluss 1247/2002/EG sollten aufgehoben werden. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss sollten als Bezugnahmen auf die vorliegende Verordnung gelten.
- (74) Um die uneingeschränkte Unabhängigkeit der Mitglieder der unabhängigen Aufsichtsbehörde zu gewährleisten, sollte die Amtszeit des derzeitigen Europäischen Datenschutzbeauftragten und des derzeitigen stellvertretenden Datenschutzbeauftragten von dieser Verordnung unberührt bleiben. Der derzeitige stellvertretende Datenschutzbeauftragte sollte sein Amt bis zum Ende seiner Amtszeit ausüben, es sei denn, eine der in dieser Verordnung vorgesehenen Bedingungen für ein vorzeitiges Ende der Amtszeit des Europäischen Datenschutzbeauftragten tritt ein. Die entsprechenden Bestimmungen dieser Verordnung sollten für den stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit gelten.
- (75) Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 des Vertrags über die Europäische Union nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.
- (76) Der Europäische Datenschutzbeauftragte wurde nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat seine Stellungnahme am XX/XX/XXXX abgegeben - Haben folgende Verordnung Erlassen:
Kapitel I
Allgemeine Bestimmungen
Artikel 1
Gegenstand und Ziele
- (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie Vorschriften zum freien Verkehr personenbezogener Daten untereinander oder mit Empfängern, die in der Union niedergelassen sind und der Verordnung (EU) Nr. 2016/67918 oder den nach der Richtlinie (EU) Nr. 2016/68019 erlassenen Bestimmungen des nationalen Rechts unterliegen.
- (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
- (3) Der Europäische Datenschutzbeauftragte überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Union.
Artikel 2
Anwendungsbereich
- (1) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Unionsrechts fallen.
- (2) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Artikel 3
Begriffsbestimmungen
- (1) Für die Zwecke dieser Verordnung gelten folgende Begriffsbestimmungen:
- a) die Begriffsbestimmungen der Verordnung (EU) Nr. 2016/679 , ausgenommen die Bestimmung des Begriffs "Verantwortlicher" in Artikel 4 Nummer 7 der genannten Verordnung,
- b) die Bestimmung des Begriffs "elektronische Kommunikation" in Artikel 4 Absatz 2 Buchstabe a der Verordnung (EU) XX/XXXX [Verordnung über Privatsphäre und elektronische Kommunikation],
- c) die Bestimmung der Begriffe "elektronisches Kommunikationsnetz" und "Endnutzer" in Artikel 2 Nummer 1 bzw. 14 der Richtlinie 000/0000/EU [Richtlinie über den europäischen Kodex für die elektronische Kommunikation],
- d) die Bestimmung des Begriffs "Endeinrichtungen" in Artikel 1 Nummer 1 der Richtlinie 2008/63 /EG der Kommission20.
- (2) Für die Zwecke dieser Verordnung gelten zusätzlich folgende Begriffsbestimmungen:
- a) "Organe und Einrichtungen der Union" sind die Organe, Einrichtungen und sonstigen Stellen der Union, die durch den Vertrag über die Europäische Union, den Vertrag über die Arbeitsweise der Europäischen Union oder den Vertrag zur Gründung der Europäischen Atomgemeinschaft oder auf deren Grundlage geschaffen wurden,
- b) "Verantwortlicher" ist das Organ, die Einrichtung oder die sonstige Stelle der Union oder die Generaldirektion oder sonstige Organisationseinheit, das bzw. die allein oder gemeinsam mit anderen die Zwecke und die Mittel der Verarbeitung personenbezogener Daten bestimmt; sind die Zwecke und die Mittel der Verarbeitung durch einen besonderen Rechtsakt der Union bestimmt, so können der Verantwortliche oder die besonderen Kriterien für seine Benennung durch Unionsrecht festgelegt werden,
- c) "Nutzer" ist jede natürliche Person, die ein Netz oder eine Endeinrichtung nutzt, das bzw. die unter der Kontrolle eines Organs oder einer Einrichtung der Union betrieben wird,
- d) "Verzeichnis" ist ein öffentlich zugängliches Nutzerverzeichnis oder ein internes Nutzerverzeichnis in gedruckter oder elektronischer Form, das innerhalb eines Organs oder einer Einrichtung der Union zugänglich ist oder das von Organen und Einrichtungen der Union gemeinsam genutzt wird.
Kapitel II
Grundsätze
Artikel 4
Grundsätze für die Verarbeitung personenbezogener Daten
- (1) Personenbezogene Daten müssen
- a) auf rechtmäßige, faire und für die betroffene Person transparente Weise verarbeitet werden ("Rechtmäßigkeit, Fairness und Transparenz"),
- b) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht auf eine mit diesen Zwecken unvereinbare Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nach Artikel 13 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung"),
- c) den Zwecken ihrer Verarbeitung angemessen, für diese Zwecke erheblich und auf das für diese Zwecke erforderliche Maß beschränkt sein ("Datenminimierung"),
- d) sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand gehalten werden; es sind alle angemessenen Maßnahmen zu treffen, damit Daten, die im Hinblick auf die Zwecke ihrer Erhebung oder Weiterverarbeitung unrichtig oder unvollständig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit"),
- e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie dies für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit sie unter Anwendung der geeigneten technischen und organisatorischen Maßnahmen, die in dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person vorgeschrieben sind, ausschließlich nach Artikel 13 für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden ("Speicherbegrenzung"),
- f) auf eine Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Vernichtung und unbeabsichtigtem Schaden durch Einsatz geeigneter technischer und organisatorischer Maßnahmen ("Integrität und Vertraulichkeit").
- (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").
Artikel 5
Rechtmäßigkeit der Verarbeitung
- (1) Die Verarbeitung ist nur rechtmäßig, sofern und soweit mindestens eine der folgenden Voraussetzungen erfüllt ist:
- a) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse auf der Grundlage oder in Ausübung öffentlicher Gewalt erfolgt, die dem Organ oder der Einrichtung der Union übertragen wurde,
- b) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt,
- c) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich,
- d) die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben,
- e) die Verarbeitung ist für den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.
- (2) Die in Absatz 1 Buchstabe a genannte Aufgabe muss im Unionsrecht festgelegt sein.
Artikel 6
Verarbeitung für einen anderen konformen Zweck
Beruht die Verarbeitung für einen anderen Zweck als denjenigen, für den die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Vorschrift des Unionsrechts, die in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme zur Wahrung der in Artikel 25 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche bei der Prüfung, ob die Verarbeitung für einen anderen Zweck mit demjenigen, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, unter anderem
- a) Verbindungen zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
- b) die Umstände, unter denen die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
- c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten nach Artikel 10 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 11 verarbeitet werden,
- d) die möglichen Auswirkungen der beabsichtigten Weiterverarbeitung auf die betroffenen Personen,
- e) das Vorhandensein geeigneter Garantien, zu denen Verschlüsselung oder Pseudonymisierung gehören kann.
Artikel 7
Voraussetzungen für die Einwilligung
- (1) Beruht die Verarbeitung auf einer Einwilligung, so muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
- (2) Wird die Einwilligung der betroffenen Person in einer schriftlichen Erklärung gegeben, die auch andere Angelegenheiten betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren, einfachen Sprache so dargestellt sein, dass es von den anderen Angelegenheiten klar zu unterscheiden ist. Teile einer solchen Erklärung, die gegen diese Verordnung verstoßen, sind nicht bindend.
- (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung. Die betroffene Person wird vor Erteilung der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss ebenso einfach sein wie ihre Erteilung.
- (4) Bei der Prüfung, ob die Einwilligung freiwillig gegeben wurde, muss in größtmöglichem Umfang dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Artikel 8
Voraussetzungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
- (1) Gilt Artikel 5 Absatz 1 Buchstabe d bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das 13. Lebensjahr vollendet hat. Hat das Kind noch nicht das 13. Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit die Einwilligung vom Träger der elterlichen Verantwortung für das Kind oder mit seiner Zustimmung erteilt wird.
- (2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technologie angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung vom Träger der elterlichen Verantwortung für das Kind oder mit seiner Zustimmung erteilt wurde.
- (3) Absatz 1 berührt nicht das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind.
Artikel 9
Übermittlung personenbezogener Daten an in der Union niedergelassene und der Verordnung (EU) Nr. 2016/679
oder der Richtlinie (EU) Nr. 2016/680
unterliegende Empfänger, die nicht Organe oder Einrichtungen der Union sind
- (1) Unbeschadet der Artikel 4, 5, 6 und 10 werden personenbezogene Daten an Empfänger, die in der Union niedergelassen sind und der Verordnung (EU) Nr. 2016/679
oder den nach der Richtlinie (EU) Nr. 2016/680
erlassenen nationalen Rechtsvorschriften unterliegen, nur übermittelt, wenn der Empfänger nachweist,
- a) dass die Daten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse erfolgt oder Gegenstand der Ausübung öffentlicher Gewalt ist, erforderlich sind oder
- b) dass die Übermittlung der Daten erforderlich und ihren Zwecken angemessen ist und wenn kein Grund zu der Annahme besteht, dass die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten.
- (2) Erfolgt die Übermittlung nach diesem Artikel auf Veranlassung des Verantwortlichen, so muss dieser anhand der Kriterien nach Absatz 1 Buchstabe a oder b nachweisen, dass die Übermittlung personenbezogener Daten erforderlich und ihren Zwecken angemessen ist.
Artikel 10
Verarbeitung besonderer Kategorien personenbezogener Daten
- (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person sind untersagt.
- (2) Absatz 1 findet in folgenden Fällen keine Anwendung:
- a) die betroffene Person hat in die Verarbeitung der genannten Daten für einen oder mehrere bestimmte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
- b) die Verarbeitung ist für die Erfüllung der Pflichten des Verantwortlichen oder der betroffenen Person auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit und des Sozialschutzes und für die Ausübung ihrer besonderen Rechte auf diesem Gebiet erforderlich, soweit dies nach Vorschriften des Unionsrechts, die geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsehen, zulässig ist,
- c) die Verarbeitung ist für den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich, die betroffene Person ist jedoch aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
- d) die Verarbeitung erfolgt durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Gewinnerzielungsabsicht, die in ein Organ oder eine Einrichtung der Union integriert ist, im Rahmen ihrer rechtmäßigen Tätigkeiten mit geeigneten Garantien und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder dieser Organisation oder auf Personen, die im Zusammenhang mit ihren Zwecken regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
- e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
- f) die Verarbeitung ist für die Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen oder für Handlungen des Gerichtshofs der Europäischen Union im Rahmen seiner Rechtsprechungstätigkeit erforderlich,
- g) die Verarbeitung ist aus Gründen eines wichtigen öffentlichen Interesses auf der Grundlage von Vorschriften des Unionsrechts erforderlich, die dem verfolgten Ziel angemessen sind, den Wesensgehalt des Rechts auf Datenschutz achten und geeignete besondere Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsehen,
- h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Voraussetzungen und Garantien erforderlich,
- i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder der Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage von Vorschriften des Unionsrechts erforderlich, die geeignete besondere Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsehen,
- j) die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke auf der Grundlage von Vorschriften des Unionsrechts erforderlich, die dem verfolgten Ziel angemessen sind, den Wesensgehalt des Rechts auf Datenschutz achten und geeignete besondere Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsehen.
- (3) Die in Absatz 1 genannten personenbezogenen Daten dürfen für die in Absatz 2 Buchstabe h genannten Zwecke verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach Unionsrecht dem Berufsgeheimnis unterliegt.
Artikel 11
Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln nach Artikel 5 Absatz 1 darf nur vorgenommen werden, wenn dies nach Vorschriften des Unionsrechts, zu denen auch interne Vorschriften gehören können und die geeignete besondere Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen, zulässig ist.
Artikel 12
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
- (1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, ausschließlich zum Zweck der Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person identifizieren zu können.
- (2) Kann der Verantwortliche in Fällen nach Absatz 1 nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 17 bis 22 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
Artikel 13
Garantien in Bezug auf die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke
Die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke unterliegt im Einklang mit dieser Verordnung geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird.
Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, die betreffenden Zwecke auf diese Weise zu erfüllen. Können diese Zwecke durch eine Weiterverarbeitung, bei der die Identifizierung der betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden, so werden die Zwecke auf diese Weise erfüllt.
Kapitel III
Rechte der Betroffenen Person Abschnitt 1 Transparenz und MODALITÄTEN
Artikel 14
Transparente Informationen, Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person
- (1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person Informationen nach den Artikeln 15 und 16 und Mitteilungen nach den Artikeln 17 bis 24 und Artikel 38, die sich auf die Verarbeitung beziehen, in prägnanter, transparenter, verständlicher und leicht zugänglicher Form in einer klaren, einfachen Sprache bereitzustellen; dies gilt insbesondere für Informationen, die sich eigens an ein Kind richten. Die Bereitstellung der Informationen erfolgt schriftlich oder in anderer Form, falls angezeigt auch elektronisch. Auf Wunsch der betroffenen Person kann die Information mündlich bereitgestellt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
- (2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte nach den Artikeln 17 bis 24. In den in Artikel 12 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Ausübung ihrer Rechte nach den Artikeln 17 bis 24 tätig zu werden, wenn er nachweist, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
- (3) Der Verantwortliche stellt der betroffenen Person Informationen über die aufgrund eines Antrags nach den Artikeln 17 bis 24 getroffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags bereit. Diese Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Zahl der Anträge notwendig ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine solche Fristverlängerung und über die Gründe für die Verzögerung. Hat die betroffene Person den Antrag elektronisch gestellt, so sind die Informationen in elektronischer Form bereitzustellen, sofern die betroffene Person nichts anderes angegeben hat.
- (4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten und einen gerichtlichen Rechtsbehelf einzulegen.
- (5) Informationen nach den Artikeln 15 und 16 sowie Mitteilungen und Maßnahmen nach den Artikeln 17 bis 24 und Artikel 38 werden unentgeltlich bereitgestellt. Bei offensichtlich unbegründeten oder - insbesondere wegen ihres repetitiven Charakters - überzogenen Anträgen einer betroffenen Person kann sich der Verantwortliche weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offensichtlich unbegründeten oder überzogenen Charakter des Antrags zu erbringen.
- (6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag nach den Artikeln 17 bis 23 stellt, so kann er unbeschadet des Artikels 12 zusätzliche Informationen verlangen, die für die Bestätigung der Identität der betroffenen Person erforderlich sind.
- (7) Die Informationen, die betroffenen Personen nach den Artikeln 15 und 16 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so müssen sie maschinenlesbar sein.
- (8) Erlässt die Kommission nach Artikel 12 Absatz 8 der Verordnung (EU) Nr. 2016/679 delegierte Rechtsakte, in denen sie die durch Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung standardisierter Bildsymbole festlegt, so stellen die Organe und Einrichtungen der Union, falls angezeigt, die Informationen nach den Artikeln 15 und 16 in Kombination mit diesen standardisierten Bildsymbolen bereit.
Abschnitt 2
INFORMATIONSPFLICHT und Recht auf Auskunft über PERSONENBEZOGENE Daten
Artikel 15
Informationspflicht, wenn personenbezogene Daten bei der betroffenen Person erhoben werden
- (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erlangung dieser Daten sämtliche folgenden Informationen bereit:
- a) den Namen und die Kontaktdaten des Verantwortlichen,
- b) die Kontaktdaten des Datenschutzbeauftragten,
- c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- d) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- e) gegebenenfalls die Absicht des Verantwortlichen, personenbezogene Daten einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Bestehen oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder - im Falle von Übermittlungen nach Artikel 49 - die geeigneten oder angemessenen Garantien und einen Hinweis darauf, wie eine Kopie von ihnen zu erhalten ist oder wo sie zur Verfügung stehen.
- (2) Zusätzlich zu den Informationen nach Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erlangung dieser Daten die folgenden weiteren Informationen bereit, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
- a) die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- b) das Bestehen des Rechts, vom Verantwortlichen Auskunft über personenbezogene Daten, die Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung ihrer Verarbeitung in Bezug auf die betroffene Person zu verlangen, oder gegebenenfalls des Rechts, der Verarbeitung zu widersprechen, oder des Rechts auf Datenübertragbarkeit,
- c) wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass dies die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt,
- d) das Recht, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen,
- e) ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen es haben könnte, diese Daten nicht bereitzustellen,
- f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die verwendete Logik sowie die Tragweite und die vorgesehenen Auswirkungen einer solchen Verarbeitung auf die betroffene Person.
- (3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als denjenigen, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und weitere maßgebliche Informationen nach Absatz 2 bereit.
- (4) Die Absätze 1, 2 und 3 finden keine Anwendung, sofern und soweit die betroffene Person bereits über die Informationen verfügt.
Artikel 16
Informationspflicht, wenn personenbezogene Daten nicht von der betroffenen Person erlangt wurden
- (1) Wurden personenbezogene Daten nicht von der betroffenen Person erlangt, so stellt der Verantwortliche der betroffenen Person folgende Informationen bereit:
- a) den Namen und die Kontaktdaten des Verantwortlichen,
- b) die Kontaktdaten des Datenschutzbeauftragten,
- c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- d) die Kategorien personenbezogener Daten, die verarbeitet werden,
- e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- f) gegebenenfalls die Absicht des Verantwortlichen, personenbezogene Daten einem Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Bestehen oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder - im Falle von Übermittlungen nach Artikel 49 - die geeigneten oder angemessenen Garantien und einen Hinweis darauf, wie eine Kopie von ihnen zu erhalten ist oder wo sie zur Verfügung stehen.
- (2) Zusätzlich zu den Informationen nach Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden weiteren Informationen zur Verfügung, die notwendig sind, um gegenüber der betroffenen Person eine faire und transparente Verarbeitung zu gewährleisten:
- a) die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- b) das Bestehen des Rechts, vom Verantwortlichen Auskunft über personenbezogene Daten, die Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung ihrer Verarbeitung in Bezug auf die betroffene Person zu verlangen, oder gegebenenfalls des Rechts, der Verarbeitung zu widersprechen, oder des Rechts auf Datenübertragbarkeit,
- c) wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass dies die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt,
- d) das Recht, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen,
- e) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen,
- f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die verwendete Logik sowie die Tragweite und die vorgesehenen Auswirkungen einer solchen Verarbeitung auf die betroffene Person.
- (3) Der Verantwortliche stellt die Informationen nach den Absätzen 1 und 2 bereit:
- a) unter Berücksichtigung der besonderen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, in jedem Fall aber innerhalb eines Monats,
- b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie oder
- c) falls die Offenlegung gegenüber einem anderen Empfänger vorgesehen ist, spätestens zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.
- (4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als denjenigen, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und weitere maßgebliche Informationen nach Absatz 2 bereit.
- (5) Die Absätze 1 bis 4 finden keine Anwendung, sofern und soweit
- a) die betroffene Person bereits über die Informationen verfügt,
- b) die Bereitstellung dieser Informationen sich als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden wäre; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder soweit die Pflicht nach Absatz 1 die Verwirklichung der Ziele dieser Verarbeitung voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt,
- c) die Erlangung oder Offenlegung nach Unionsrecht ausdrücklich vorgesehen ist oder
- d) die personenbezogenen Daten nach Unionsrecht dem Berufsgeheimnis unterliegen und daher vertraulich behandelt werden müssen.
Artikel 17
Auskunftsrecht der betroffenen Person
- (1) Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über die personenbezogenen Daten und auf folgende Informationen:
- a) die Zwecke der Verarbeitung,
- b) die Kategorien personenbezogener Daten, die verarbeitet werden,
- c) die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder internationalen Organisationen,
- d) falls möglich, die vorgesehene Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- e) das Bestehen des Rechts, vom Verantwortlichen die Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung ihrer Verarbeitung in Bezug auf die betroffene Person zu verlangen oder einer solchen Verarbeitung zu widersprechen,
- f) das Recht, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen,
- g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, verfügbare Informationen über die Herkunft der Daten,
- h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und - zumindest in diesen Fällen - aussagekräftige Informationen über die verwendete Logik sowie die Tragweite und die vorgesehenen Auswirkungen einer solchen Verarbeitung auf die betroffene Person.
- (2) Werden personenbezogene Daten einem Drittland oder einer internationalen Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien nach Artikel 49 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
- (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Hat die betroffene Person den Antrag elektronisch gestellt, so sind die Informationen in einem gängigen elektronischen Format bereitzustellen, sofern die betroffene Person nichts anderes angegeben hat.
- (4) Das Recht auf Erhalt einer Kopie nach Absatz 3 darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
Abschnitt 3
BERICHTIGUNG und LÖSCHUNG
Artikel 18
Recht auf Berichtigung
Die betroffene Person hat das Recht, bei dem Verantwortlichen die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu erwirken. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu erwirken.
Artikel 19
Recht auf Löschung ("Recht auf Vergessenwerden")
- (1) Die betroffene Person hat das Recht, bei dem Verantwortlichen die unverzügliche Löschung sie betreffender personenbezogener Daten zu erwirken, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:
- a) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich,
- b) die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung nach Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderen Rechtsgrundlage für die Verarbeitung,
- c) die betroffene Person widerspricht der Verarbeitung nach Artikel 23 Absatz 1, und es liegen keine überwiegenden rechtmäßigen Gründe für die Verarbeitung vor,
- d) die personenbezogenen Daten wurden rechtswidrig verarbeitet,
- e) die Löschung der personenbezogenen Daten ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt,
- f) die personenbezogenen Daten wurden in Bezug auf das Angebot von Diensten der Informationsgesellschaft nach Artikel 8 Absatz 1 erhoben.
- (2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er nach Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen - auch technischer Art -, um die Verantwortlichen, die die personenbezogenen Daten verarbeiten, zu unterrichten, dass die betroffene Person von ihnen die Löschung von Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
- (3) Die Absätze 1 und 2 finden keine Anwendung, soweit die Verarbeitung erforderlich ist
- a) für die Ausübung des Rechts auf freie Meinungsäußerung und Information,
- b) für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
- c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit nach Artikel 10 Absatz 2 Buchstaben h und i sowie Absatz 3,
- d) für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das Recht nach Absatz 1 die Verwirklichung der Ziele dieser Verarbeitung voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt, oder
- e) für die Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen.
Artikel 20
Recht auf Einschränkung der Verarbeitung
- (1) Die betroffene Person hat das Recht, bei dem Verantwortlichen eine Einschränkung der Verarbeitung zu erwirken, wenn eine der folgenden Voraussetzungen erfüllt ist:
- a) die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit einschließlich der Vollständigkeit der personenbezogenen Daten zu überprüfen,
- b) die Verarbeitung ist rechtswidrig, die betroffene Person lehnt jedoch die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung ihrer Nutzung,
- c) der Verantwortliche benötigt die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung, die betroffene Person benötigt sie jedoch für die Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen,
- d) die betroffene Person hat der Verarbeitung nach Artikel 23 Absatz 1 widersprochen, solange noch nicht feststeht, ob die rechtmäßigen Gründe des Verantwortlichen diejenigen der betroffenen Person überwiegen.
- (2) Wurde die Verarbeitung nach Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten - von ihrer Speicherung abgesehen - nur mit Einwilligung der betroffenen Person oder zur Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
- (3) Eine betroffene Person, die eine Einschränkung der Verarbeitung nach Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung der Verarbeitung aufgehoben wird.
- (4) In automatisierten Dateisystemen erfolgt die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel. Die Tatsache, dass die Verarbeitung der personenbezogenen Daten eingeschränkt ist, wird in dem System auf eine Weise angegeben, die deutlich macht, dass die personenbezogenen Daten nicht genutzt werden dürfen.
Artikel 21
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung ihrer Verarbeitung
Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung ihrer Verarbeitung nach Artikel 18, Artikel 19 Absatz 1 und Artikel 20 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Artikel 22
Recht auf Datenübertragbarkeit
- (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, wenn
- a) die Verarbeitung auf einer Einwilligung nach Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a oder auf einem Vertrag nach Artikel 5 Absatz 1 Buchstabe c beruht und
- b) die Verarbeitung mittels automatisierter Verfahren erfolgt.
- (2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit nach Absatz 1 hat die betroffene Person das Recht, die personenbezogenen Daten direkt von einem Verantwortlichen zu einem anderen Verantwortlichen übermitteln zu lassen, wenn dies technisch machbar ist.
- (3) Artikel 19 wird von der Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels nicht berührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- (4) Das Recht nach Absatz 1 darf die Rechte und Freiheiten anderer nicht beeinträchtigen.
Abschnitt 4
WIDERSPRUCHSRECHT und AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG IM EINZELFALL
Artikel 23
Widerspruchsrecht
- (1) Die betroffene Person hat das Recht, einer auf Artikel 5 Absatz 1 Buchstabe a gestützten Verarbeitung sie betreffender personenbezogener Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit zu widersprechen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Der Verantwortliche darf die personenbezogenen Daten nicht mehr verarbeiten, es sei denn, er weist zwingende rechtmäßige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen.
- (2) Die betroffene Person wird spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Recht nach Absatz 1 hingewiesen; dieser Hinweis muss in einer klaren und von anderen Informationen getrennten Form erfolgen.
- (3) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ihr Widerspruchsrecht unbeschadet der Artikel 34 und 35 mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
- (4) Die betroffene Person hat das Recht, einer Verarbeitung sie betreffender personenbezogener Daten für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke aus Gründen, die sich aus ihrer besonderen Situation ergeben, zu widersprechen, es sei denn, die Verarbeitung ist für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Artikel 24
Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling
- (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- (2) Absatz 1 findet keine Anwendung, wenn die Entscheidung
- a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
- b) nach Vorschriften des Unionsrecht zulässig ist, in denen auch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person festgelegt sind, oder
- c) auf einer ausdrücklichen Einwilligung der betroffenen Person beruht.
- (3) In den Fällen nach Absatz 2 Buchstaben a und c trifft der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, zu denen mindestens das Recht gehört, das Eingreifen eines Menschen aufseiten des Verantwortlichen zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten.
- (4) Entscheidungen nach Absatz 2 dürfen nicht auf besondere Kategorien personenbezogener Daten nach Artikel 10 Absatz 1 gestützt werden, es sei denn, Artikel 10 Absatz 2 Buchstabe a oder g findet Anwendung und es bestehen geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person.
Abschnitt 5
BESCHRÄNKUNGEN
Artikel 25
Beschränkungen
- (1) Die Anwendung der Artikel 14 bis 22, 34 und 38 sowie des Artikels 4, soweit dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, kann durch auf der Grundlage der Verträge erlassene Rechtsakte bzw. in Angelegenheiten, die die Tätigkeit der Organe und Einrichtungen der Union betreffen, durch von diesen festgelegte interne Vorschriften beschränkt werden, sofern die Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme darstellt, mit der Folgendes gewahrt wird:
- (a) die nationale Sicherheit, die öffentliche Sicherheit oder die Landesverteidigung der Mitgliedstaaten,
- (b) die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit,
- (c) sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa in den Bereichen Währung, Haushalt und Steuern, öffentliche Gesundheit oder soziale Sicherheit,
- (d) die innere Sicherheit der Organe und Einrichtungen der Union einschließlich ihrer elektronischen Kommunikationsnetze,
- (e) der Schutz der Unabhängigkeit der Justiz und der Schutz von Gerichtsverfahren,
- (f) die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe,
- (g) Überwachungs-, Kontroll- und Regulierungsaufgaben, die in den unter den Buchstaben a bis c genannten Fällen dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt verbunden sind,
- (h) der Schutz der betroffenen Person oder die Rechte und Freiheiten anderer Personen,
- (i) die Durchsetzung zivilrechtlicher Ansprüche.
- (2) Ist die Beschränkung nicht im Einklang mit Absatz 1 in einem auf der Grundlage der Verträge erlassenen Rechtsakt oder in einer internen Vorschrift vorgesehen, so können die Organe und Einrichtungen der Union die Anwendung der Artikel 14 bis 22, 34 und 38 sowie des Artikels 4, soweit dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, beschränken, sofern die Beschränkung in Bezug auf einen bestimmten Verarbeitungsvorgang den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme darstellt, mit der eines oder mehrere der in Absatz 1 genannten Ziele gewahrt werden. Die Beschränkung wird dem zuständigen Datenschutzbeauftragten mitgeteilt.
- (3) In Bezug auf die Verarbeitung personenbezogener Daten für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke können in Vorschriften des Unionsrechts, zu denen auch interne Vorschriften gehören können, vorbehaltlich der in Artikel 13 genannten Voraussetzungen und Garantien Ausnahmeregelungen zu den in den Artikeln 17, 18, 20 und 23 genannten Rechten vorgesehen werden, soweit diese Rechte die Verwirklichung der bestimmten Zwecke voraussichtlich unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmeregelungen für die Erfüllung dieser Zwecke erforderlich sind.
- (4) In Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke können in Vorschriften des Unionsrechts, zu denen auch interne Vorschriften gehören können, vorbehaltlich der in Artikel 13 genannten Voraussetzungen und Garantien Ausnahmeregelungen zu den in den Artikeln 17, 18, 20, 21, 22 und 23 genannten Rechten vorgesehen werden, soweit diese Rechte die Verwirklichung der bestimmten Zwecke voraussichtlich unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmeregelungen für die Erfüllung dieser Zwecke erforderlich sind.
- (5) Die in den Absätzen 1, 3 und 4 genannten internen Vorschriften müssen hinreichend klar und präzise sein und in geeigneter Weise veröffentlicht werden.
- (6) Wird eine Beschränkung nach Absatz 1 oder 2 festgelegt, so ist die betroffene Person nach Unionsrecht über die wesentlichen Gründe für diese Beschränkung sowie darüber zu unterrichten, dass sie das Recht hat, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen.
- (7) Wird eine nach Absatz 1 oder 2 festgelegte Beschränkung angeführt, um der betroffenen Person die Auskunft zu verweigern, so teilt der Europäische Datenschutzbeauftragte bei Prüfung der Beschwerde der betroffenen Person nur mit, ob die Daten ordnungsgemäß verarbeitet wurden und, falls dies nicht der Fall ist, ob die notwendigen Korrekturen vorgenommen wurden.
- (8) Die Bereitstellung der in den Absätzen 6 und 7 sowie in Artikel 46 Absatz 2 genannten Informationen kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der nach Absatz 1 oder 2 festgelegten Beschränkung zunichtemachen würde.
Kapitel IV
VERANTWORTLICHER und AUFTRAGSVERARBEITER Abschnitt 1 Allgemeine Pflichten
Artikel 26
Verantwortung des Verantwortlichen
- (1) Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
- (2) Die Maßnahmen nach Absatz 1 müssen die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, sofern dies in einem angemessenen Verhältnis zu den Verarbeitungen steht.
Artikel 27
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
- (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Bestimmung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, zum Beispiel Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze, zum Beispiel Datenminimierung, wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung einzubeziehen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
- (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Pflicht gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellung nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden.
Artikel 28
Gemeinsam Verantwortliche
- (1) Bestimmen ein Organ oder eine Einrichtung der Union und ein oder mehrere Verantwortliche, bei denen es sich um Organe oder Einrichtungen der Union handeln kann, zusammen die Zwecke und die Mittel der Verarbeitung, so sind sie gemeinsam Verantwortliche. Sie treffen eine Regelung, in der sie in transparenter Form ihre jeweiligen Zuständigkeiten für die Einhaltung ihrer Datenschutzpflichten festlegen, insbesondere was die Ausübung der Rechte der betroffenen Person und ihre jeweiligen Informationspflichten nach den Artikeln 15 und 16 angeht, sofern und soweit die jeweiligen Zuständigkeiten der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Regelung kann eine Kontaktstelle für betroffene Personen benannt werden.
- (2) Die Regelung nach Absatz 1 muss die jeweiligen Aufgaben und das jeweilige Verhältnis der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Der wesentliche Inhalt der Regelung wird der betroffenen Person zur Verfügung gestellt.
- (3) Die betroffene Person kann ihre Rechte nach dieser Verordnung bei und gegenüber einem oder mehreren der gemeinsam Verantwortlichen unter Berücksichtigung von deren in der Regelung nach Absatz 1 festgelegten Aufgaben ausüben.
Artikel 29
Auftragsverarbeiter
- (1) Soll eine Verarbeitung im Namen eines Verantwortlichen vorgenommen werden, so arbeitet dieser nur mit Auftragsverarbeitern zusammen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so angewandt werden, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und den Schutz der Rechte der betroffenen Person gewährleistet.
- (2) Der Auftragsverarbeiter nimmt die Dienste eines anderen Auftragsverarbeiters nicht ohne vorherige besondere oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Falle einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter und gibt dem Verantwortlichen damit Gelegenheit, solchen Änderungen zu widersprechen.
- (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage von Verträgen oder anderen Rechtsinstrumenten nach dem Recht der Union oder der Mitgliedstaaten, die den Auftragsverarbeiter in Bezug auf den Verantwortlichen binden und in denen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Diese Verträge oder anderen Rechtsinstrumente sehen insbesondere vor, dass der Auftragsverarbeiter
- a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen - auch in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation - verarbeitet, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Verpflichtung vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses,
- b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer geeigneten gesetzlichen Verschwiegenheitspflicht unterliegen,
- c) alle nach Artikel 33 notwendigen Maßnahmen trifft,
- d) die in den Absätzen 2 und 4 genannten Voraussetzungen für die Inanspruchnahme der Dienste eines anderen Auftragsverarbeiters einhält,
- e) unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen, soweit möglich, mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht zur Beantwortung von Anträgen auf Ausübung der in Kapitel III festgelegten Rechte der betroffenen Person unterstützt,
- f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Erfüllung der Pflichten nach den Artikeln 33 bis 40 unterstützt,
- g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und bestehende Kopien vernichtet, es sei denn, nach dem Recht der Union oder der Mitgliedstaaten besteht eine Pflicht zur Speicherung der personenbezogenen Daten,
- h) dem Verantwortlichen alle Informationen zur Verfügung stellt, die für den Nachweis der Erfüllung der Pflichten nach diesem Artikel erforderlich sind, und Prüfungen einschließlich Kontrollen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer vorgenommen werden, gestattet und dabei mitwirkt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter umgehend den Verantwortlichen, wenn eine Weisung seines Erachtens gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
- (4) Nimmt der Auftragsverarbeiter die Dienste eines anderen Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungen im Namen des Verantwortlichen auszuführen, so werden diesem anderen Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder dem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Absatz 3 festgelegt sind; insbesondere müssen hinreichende Garantien dafür geboten werden, dass geeignete technische und organisatorische Maßnahmen so angewandt werden, dass die Verarbeitung den Anforderungen dieser Verordnung genügt. Kommt der andere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter dem Verantwortlichen gegenüber weiterhin in vollem Umfang für die Erfüllung der Pflichten des anderen Auftragsverarbeiters.
- (5) Wenn es sich bei einem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt, kann die Einhaltung genehmigter Verhaltensregeln nach Artikel 40 Absatz 5 der Verordnung (EU) Nr. 2016/679 oder eines genehmigten Zertifizierungsverfahrens nach Artikel 42 der Verordnung (EU) Nr. 2016/679 herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
- (6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument nach den Absätzen 3 und 4 des vorliegenden Artikels ganz oder teilweise auf Standardvertragsklauseln nach den Absätzen 7 und 8 des vorliegenden Artikels beruhen, auch wenn diese Bestandteil einer Zertifizierung sind, die einem Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, nach Artikel 42 der Verordnung (EU) Nr. 2016/679 erteilt wurde.
- (7) Die Kommission kann nach dem in Artikel 70 Absatz 2 genannten Prüfverfahren Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Angelegenheiten festlegen.
- (8) Der Europäische Datenschutzbeauftragte kann Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 genannten Angelegenheiten festlegen.
- (9) Der Vertrag oder das andere Rechtsinstrument nach den Absätzen 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
- (10) Unbeschadet der Artikel 65 und 66 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und die Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
Artikel 30
Verarbeitung unter der Aufsicht des Verantwortlichen und des Auftragsverarbeiters
Der Auftragsverarbeiter und dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten nur auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet.
Artikel 31
Liste der Verarbeitungen
- (1) Jeder Verantwortliche führt eine Liste der Verarbeitungen, für die er die Verantwortung trägt. Diese Liste enthält alle folgenden Angaben:
- a) den Namen und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten und gegebenenfalls des Auftragsverarbeiters und des gemeinsam mit ihm Verantwortlichen,
- b) die Zwecke der Verarbeitung,
- c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- d) die Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Mitgliedstaaten, Drittländern oder internationalen Organisationen,
- e) gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unter Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentation angemessener Garantien,
- f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
- g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.
- (2) Jeder Auftragsverarbeiter führt eine Liste aller Kategorien von im Namen eines Verantwortlichen durchgeführten Verarbeitungen, die folgende Angaben enthält:
- a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Namen der Auftragsverarbeiter tätig ist, sowie des Datenschutzbeauftragten,
- b) die Kategorien von Verarbeitungen, die im Namen jedes Verantwortlichen durchgeführt werden,
- c) gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unter Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentation angemessener Garantien,
- d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.
- (3) Die Liste nach den Absätzen 1 und 2 ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
- (4) Die Organe und Einrichtungen der Union stellen die Liste auf Ersuchen dem Europäischen Datenschutzbeauftragten zur Verfügung.
- (5) Die Organe und Einrichtungen der Union können beschließen, ihre Listen der Verarbeitungen in einem zentralen Register zu führen. In diesem Fall können sie auch beschließen, das Register öffentlich zugänglich zu machen.
Artikel 32
Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten
Die Organe und Einrichtungen der Union arbeiten auf Ersuchen mit dem Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben zusammen.
Abschnitt 2
Sicherheit PERSONENBEZOGENER Daten und Vertraulichkeit der elektronischen Kommunikation
Artikel 33
Sicherheit der Verarbeitung
- (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
- a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung laufend sicherzustellen,
- c) die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- (2) Bei der Prüfung des angemessenen Sicherheitsniveaus werden insbesondere die Risiken berücksichtigt, die sich aus der Verarbeitung ergeben, insbesondere durch unbeabsichtigte oder rechtswidrige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
- (3) Der Verantwortliche und der Auftragsverarbeiter treffen Maßnahmen, um sicherzustellen, dass unter ihrer Aufsicht tätige natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht dazu verpflichtet.
Artikel 34
Vertraulichkeit der elektronischen Kommunikation
Die Organe und Einrichtungen der Union gewährleisten die Vertraulichkeit der elektronischen Kommunikation, insbesondere durch Sicherung ihrer elektronischen Kommunikationsnetze.
Artikel 35
Schutz der sich auf Endeinrichtungen der Endnutzer beziehenden Informationen
Die Organe und Einrichtungen der Union schützen die sich auf Endeinrichtungen der Endnutzer beziehenden Informationen beim Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen im Einklang mit der Verordnung (EU) XX/XXXX [neue Verordnung über Privatsphäre und elektronische Kommunikation], insbesondere Artikel 8.
Artikel 36
Nutzerverzeichnisse
- (1) Personenbezogene Daten in Nutzerverzeichnissen und der Zugang zu solchen Verzeichnissen sind auf das für die besonderen Zwecke des Nutzerverzeichnisses absolut Notwendige zu beschränken.
- (2) Die Organe und Einrichtungen der Union treffen alle notwendigen Maßnahmen, um zu verhindern, dass in diesen Verzeichnissen enthaltene personenbezogene Daten unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke der Direktwerbung verwendet werden.
Artikel 37
Meldung einer Verletzung des Schutzes personenbezogener Daten beim Europäischen Datenschutzbeauftragten
- (1) Der Verantwortliche meldet eine Verletzung des Schutzes personenbezogener Daten unverzüglich, wenn machbar, innerhalb von 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dem Europäischen Datenschutzbeauftragten, es sei denn, die Verletzung des Schutzes personenbezogener Daten hat voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge. Erfolgt die Meldung beim Europäischen Datenschutzbeauftragten nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
- (2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese unverzüglich dem Verantwortlichen.
- (3) Die Meldung nach Absatz 1 enthält mindestens folgende Informationen:
- a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, wenn möglich, unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,
- b) den Namen und die Kontaktdaten des Datenschutzbeauftragten,
- c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
- d) eine Beschreibung der vom Verantwortlichen getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Begrenzung ihrer möglichen nachteiligen Folgen.
- (4) Sofern und soweit es nicht möglich ist, die Informationen gleichzeitig bereitzustellen, können sie ohne unangemessene weitere Verzögerung nach und nach bereitgestellt werden.
- (5) Der Verantwortliche unterrichtet den Datenschutzbeauftragten über die Verletzung des Schutzes personenbezogener Daten.
- (6) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich der Umstände der Verletzung des Schutzes personenbezogener Daten, ihrer Folgen und der getroffenen Abhilfemaßnahmen. Anhand dieser Dokumentation muss der Europäische Datenschutzbeauftragte die Einhaltung dieses Artikels überprüfen können.
Artikel 38
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
- (1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
- (2) In der Nachricht an die betroffene Person nach Absatz 1 des vorliegenden Artikels, die mindestens die in Artikel 37 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen enthält, wird in einer klaren, einfachen Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschrieben.
- (3) Die Nachricht an die betroffene Person nach Absatz 1 ist nicht erforderlich, wenn eine der folgenden Voraussetzungen erfüllt ist:
- a) der Verantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen getroffen, und diese Maßnahmen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, mit denen die personenbezogenen Daten für Personen, die nicht zum Zugang zu diesen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
- b) der Verantwortliche hat durch Folgemaßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nach Absatz 1 voraussichtlich nicht eintritt,
- c) die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall werden die betroffenen Personen stattdessen durch eine öffentliche Bekanntmachung oder auf ähnlich wirksame Weise informiert.
- (4) Falls der Verantwortliche die betroffene Person nicht bereits von der Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Europäische Datenschutzbeauftragte nach Prüfung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko zur Folge hat, den Verantwortlichen auffordern, die Person zu benachrichtigen, oder er kann feststellen, dass eine der in Absatz 3 genannten Voraussetzungen erfüllt ist.
Abschnitt 3
DATENSCHUTZ-FOLGENABSCHÄTZUNG und VORHERIGE Konsultation
Artikel 39
Datenschutz-Folgenabschätzung
- (1) Hat eine Form der Verarbeitung, insbesondere wenn neue Technologien eingesetzt werden, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Folgenabschätzung vorgenommen werden.
- (2) Der Verantwortliche holt bei der Durchführung einer DatenschutzFolgenabschätzung den Rat des Datenschutzbeauftragten ein.
- (3) Eine Datenschutz-Folgenabschätzung nach Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
- a) systematische und umfassende Bewertung persönlicher Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruht und die ihrerseits als Grundlage für Entscheidungen dient, die der natürlichen Person gegenüber rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen,
- b) umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 10 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 11 oder
- c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
- (4) Der Europäische Datenschutzbeauftragte erstellt und veröffentlicht eine Liste der Arten von Verarbeitungsvorgängen, für die nach Absatz 1 eine DatenschutzFolgenabschätzung durchzuführen ist.
- (5) Die Aufsichtsbehörde kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.
- (6) Die Folgenabschätzung enthält mindestens Folgendes:
- a) eine systematische Beschreibung der vorgesehenen Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
- b) eine Bewertung der Erforderlichkeit und Angemessenheit der Verarbeitungsvorgänge in Bezug auf die Zwecke,
- c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen nach Absatz 1 und
- d) die zur Bewältigung der Risiken vorgesehenen Maßnahmen, einschließlich Garantien, Sicherheitsmaßnahmen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird; dabei ist den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung zu tragen.
- (7) Die Einhaltung genehmigter Verhaltensregeln nach Artikel 40 der Verordnung (EU) Nr. 2016/679 durch zuständige Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, ist bei der Bewertung der Auswirkungen der von diesen Auftragsverarbeitern durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
- (8) Unbeschadet des Schutzes öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge holt der Verantwortliche, falls angezeigt, eine Stellungnahme der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein.
- (9) Stützt sich eine Verarbeitung nach Artikel 5 Absatz 1 Buchstabe a oder b auf einen auf der Grundlage der Verträge erlassenen Rechtsakt, in dem der betreffende Verarbeitungsvorgang oder die betreffenden Verarbeitungsvorgänge geregelt sind, und wurde bereits im Rahmen einer allgemeinen Folgenabschätzung vor Erlass dieses Rechtsakts eine Datenschutz-Folgenabschätzung vorgenommen, so finden die Absätze 1 bis 6 keine Anwendung, sofern im Unionsrecht nichts anderes bestimmt ist.
- (10) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung durchgeführt wird, zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
Artikel 40
Vorherige Konsultation
- (1) Vor der Verarbeitung konsultiert der Verantwortliche den Europäischen Datenschutzbeauftragten, wenn aus einer Datenschutz-Folgenabschätzung nach Artikel 39 hervorgeht, dass eine Verarbeitung ohne Garantien, Sicherheitsmaßnahmen und Verfahren zur Risikominderung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte, und das Risiko nach Auffassung des Verantwortlichen nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel gemindert werden kann. Der Verantwortliche holt den Rat des Datenschutzbeauftragten zur Notwendigkeit einer vorherigen Konsultation ein.
- (2) Ist der Europäische Datenschutzbeauftragte der Auffassung, dass die in Absatz 1 genannte beabsichtigte Verarbeitung gegen diese Verordnung verstoßen würde, insbesondere wenn der Verantwortliche das Risiko unzureichend ermittelt oder gemindert hat, erteilt der Europäische Datenschutzbeauftragte dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation schriftlichen Rat und kann er seine Befugnisse nach Artikel 59 ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der beabsichtigten Verarbeitung um sechs Wochen verlängert werden. Der Europäische Datenschutzbeauftragte unterrichtet den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter innerhalb eines Monats nach Eingang des Ersuchens um Konsultation über eine solche Fristverlängerung und über die Gründe für die Verzögerung. Diese Fristen können ausgesetzt werden, bis der Europäische Datenschutzbeauftragte die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
- (3) Wenn der Verantwortliche den Europäischen Datenschutzbeauftragten nach Absatz 1 konsultiert, stellt er ihm folgende Informationen zur Verfügung:
- a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
- b) die Zwecke und die Mittel der beabsichtigten Verarbeitung,
- c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen nach dieser Verordnung vorgesehenen Maßnahmen und Garantien,
- d) die Kontaktdaten des Datenschutzbeauftragten,
- e) die Datenschutz-Folgenabschätzung nach Artikel 39 und
- f) sonstige Informationen, die der Europäische Datenschutzbeauftragte angefordert hat.
- (4) Die Kommission kann im Wege eines Durchführungsrechtsakts eine Liste der Fälle festlegen, in denen die Verantwortlichen den Europäischen Datenschutzbeauftragten zu einer Verarbeitung zur Erfüllung einer vom Verantwortlichen im öffentlichen Interesse wahrgenommenen Aufgabe, unter anderem zur Verarbeitung solcher Daten zu Zwecken des Sozialschutzes und der öffentlichen Gesundheit, konsultieren und seine vorherige Genehmigung einholen müssen.
Abschnitt 4
Unterrichtung und LEGISLATIVE Konsultation
Artikel 41
Unterrichtung
Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Union allein oder gemeinsam mit anderen beteiligt ist.
Artikel 42
Legislative Konsultation
- (1) Nach der Annahme von Vorschlägen für einen Gesetzgebungsakt und von an den Rat gerichteten Empfehlungen oder Vorschlägen nach Artikel 218 AEUV sowie bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten, die Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten haben, konsultiert die Kommission den Europäischen Datenschutzbeauftragten.
- (2) Ist ein in Absatz 1 genannter Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. In diesen Fällen koordinieren der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss ihre Arbeit im Hinblick auf eine gemeinsame Stellungnahme.
- (3) Der nach den Absätzen 1 und 2 eingeholte Rat wird innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation nach den Absätzen 1 und 2 schriftlich erteilt. In dringenden Fällen und in sonstigen Fällen, in denen dies angezeigt ist, kann die Kommission die Frist verkürzen.
- (4) Dieser Artikel findet keine Anwendung, wenn die Kommission nach der Verordnung (EU) Nr. 2016/679 verpflichtet ist, den Europäischen Datenschutzausschuss zu konsultieren.
Abschnitt 5
PFLICHT zur Stellungnahme zu MUTMASSLICHEN VERSTÖSSEN
Artikel 43
Pflicht zur Stellungnahme zu mutmaßlichen Verstößen
Wenn der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 59 Absatz 2 Buchstaben a, b und c ausübt, teilt der betroffene Verantwortliche oder Auftragsverarbeiter dem Europäischen Datenschutzbeauftragten innerhalb einer angemessenen Frist, die vom Europäischen Datenschutzbeauftragten unter Berücksichtigung der Umstände des Einzelfalls festzulegen ist, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.
Abschnitt 6
DATENSCHUTZBEAUFTRAGTER
Artikel 44
Benennung des Datenschutzbeauftragten
- (1) Jedes Organ und jede Einrichtung der Union benennt einen Datenschutzbeauftragten.
- (2) Die Organe und Einrichtungen der Union können einen Datenschutzbeauftragten für mehrere Organe oder Einrichtungen benennen; dabei sind deren Organisationsstruktur und Größe zu berücksichtigen.
- (3) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 46 genannten Aufgaben.
- (4) Der Datenschutzbeauftragte kann Bediensteter des Organs oder der Einrichtung der Union sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
- (5) Die Organe und Einrichtungen der Union veröffentlichen die Kontaktdaten des Datenschutzbeauftragten und teilen sie dem Europäischen Datenschutzbeauftragten mit.
Artikel 45
Stellung des Datenschutzbeauftragten
- (1) Die Organe und Einrichtungen der Union stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
- (2) Die Organe und Einrichtungen der Union unterstützen den Datenschutzbeauftragten bei der Wahrnehmung seiner in Artikel 46 genannten Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
- (3) Die Organe und Einrichtungen der Union stellen sicher, dass der Datenschutzbeauftragte keine Weisungen zur Erfüllung seiner Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Wahrnehmung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte erstattet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters Bericht.
- (4) Betroffene Personen können den Datenschutzbeauftragten zu allen Fragen zurate ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Ausübung ihrer Rechte nach dieser Verordnung im Zusammenhang stehen.
- (5) Der Datenschutzbeauftragte und sein Personal sind bei der Wahrnehmung ihrer Aufgaben nach Unionsrecht zur Geheimhaltung oder zur Wahrung der Vertraulichkeit verpflichtet.
- (6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten erfüllen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass solche Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
- (7) Der Verantwortliche und der Auftragsverarbeiter, der betreffende Personalausschuss sowie jede natürliche Person können den Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung dieser Verordnung zurate ziehen, ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er dem zuständigen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht und einen mutmaßlichen Verstoß gegen diese Verordnung dargelegt hat.
- (8) Der Datenschutzbeauftragte wird für eine Amtszeit von drei bis fünf Jahren benannt und kann wiederernannt werden. Der Datenschutzbeauftragte kann von dem Organ oder der Einrichtung der Union, das bzw. die ihn benannt hat, nur mit Zustimmung des Europäischen Datenschutzbeauftragten seines Amtes enthoben werden, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.
- (9) Nach seiner Benennung wird der Datenschutzbeauftragte durch das Organ oder die Einrichtung der Union, das bzw. die ihn benannt hat, beim Europäischen Datenschutzbeauftragten eingetragen.
Artikel 46
Aufgaben des Datenschutzbeauftragten
- (1) Der Datenschutzbeauftragte hat folgende Aufgaben:
- a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzbestimmungen der Union,
- b) Gewährleistung der internen Anwendung dieser Verordnung auf unabhängige Weise sowie Überwachung der Einhaltung dieser Verordnung, anderer geltender Vorschriften des Unionsrechts, die Datenschutzbestimmungen enthalten, und der Vorkehrungen des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung des an den Verarbeitungsvorgängen beteiligten Personals und der diesbezüglichen Prüfungen,
- c) Sicherstellung der Unterrichtung betroffener Personen über ihre Rechte und Pflichten nach dieser Verordnung,
- d) auf Anfrage Beratung im Zusammenhang mit der Notwendigkeit einer Meldung oder Benachrichtigung nach den Artikeln 37 und 38 im Falle einer Verletzung des Schutzes personenbezogener Daten,
- e) auf Anfrage Beratung im Zusammenhang mit der DatenschutzFolgenabschätzung und Überwachung ihrer Durchführung nach Artikel 39 und Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer Datenschutz-Folgenabschätzung bestehen,
- f) auf Anfrage Beratung im Zusammenhang mit der Notwendigkeit einer vorherigen Konsultation des Europäischen Datenschutzbeauftragten nach Artikel 40 und Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer vorherigen Konsultation bestehen,
- g) Beantwortung von Ersuchen des Europäischen Datenschutzbeauftragten sowie Zusammenarbeit und Abstimmung mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder aus eigener Initiative in seinem Kompetenzbereich.
- (2) Der Datenschutzbeauftragte kann Empfehlungen für die praktische Verbesserung des Datenschutzes an den Verantwortlichen und den Auftragsverarbeiter richten und sie in Fragen der Anwendung von Datenschutzbestimmungen beraten. Darüber hinaus kann er von sich aus oder auf Ersuchen des Verantwortlichen oder des Auftragsverarbeiters, des zuständigen Personalausschusses oder jeder natürlichen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gebracht werden, prüfen und der Person, die ihn mit der Prüfung beauftragt hat, oder dem Verantwortlichen oder dem Auftragsverarbeiter Bericht erstatten.
- (3) Jedes Organ und jede Einrichtung der Union erlässt weitere den Datenschutzbeauftragten betreffende Durchführungsvorschriften. Die Durchführungsbestimmungen betreffen insbesondere die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten.
Kapitel V
Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen
Artikel 47
Allgemeine Grundsätze für Übermittlungen
Übermittlungen personenbezogener Daten, die verarbeitet werden oder nach der Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, sind nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für Weiterübermittlungen personenbezogener Daten durch das Drittland oder die internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Artikel 48
Übermittlungen auf der Grundlage eines Angemessenheitsbeschlusses
- (1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission nach Artikel 45 Absatz 3 der Verordnung (EU) Nr. 2016/679 durch Beschluss festgestellt hat, dass in dem Drittland, einem Gebiet oder einem oder mehreren spezifischen Sektoren in diesem Drittland oder in einer internationalen Organisation ein angemessenes Schutzniveau gewährleistet ist, und wenn die personenbezogenen Daten ausschließlich übermittelt werden, um die Erfüllung von Aufgaben zu ermöglichen, die in die Kompetenz des Verantwortlichen fallen.
- (2) Die Organe und Einrichtungen der Union unterrichten die Kommission und den Europäischen Datenschutzbeauftragten über Fälle, in denen das betreffende Drittland oder die betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne des Absatzes 1 gewährleistet.
- (3) Die Organe und Einrichtungen der Union treffen die Maßnahmen, die notwendig sind, um Beschlüssen der Kommission nachzukommen, mit denen diese nach Artikel 45 Absätze 3 und 5 der Verordnung (EU) Nr. 2016/679 feststellt, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau gewährleistet bzw. nicht mehr gewährleistet.
Artikel 49
Übermittlungen vorbehaltlich geeigneter Garantien
- (1) Falls kein Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) Nr. 2016/679 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten einem Drittland oder einer internationalen Organisation nur übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und wenn den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
- (2) Als geeignete Garantien nach Absatz 1 können ohne besondere Genehmigung des Europäischen Datenschutzbeauftragten vorgesehen werden:
- a) ein rechtsverbindliches, durchsetzbares Instrument, das im Verhältnis zwischen Behörden oder öffentlichen Stellen gilt,
- b) Standarddatenschutzklauseln, die von der Kommission nach dem in Artikel 70 Absatz 2 genannten Prüfverfahren festgelegt wurden,
- c) Standarddatenschutzklauseln, die vom Europäischen Datenschutzbeauftragten festgelegt und von der Kommission nach dem in Artikel 70 Absatz 2 genannten Prüfverfahren genehmigt wurden,
- d) verbindliche interne Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsmechanismen nach Artikel 46 Absatz 2 Buchstaben b, e und f der Verordnung (EU) Nr. 2016/679 , wenn es sich bei dem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt.
- (3) Mit Genehmigung des Europäischen Datenschutzbeauftragten können als geeignete Garantien nach Absatz 1 insbesondere auch vorgesehen werden:
- a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten in dem Drittland oder der internationalen Organisation vereinbart wurden, oder
- b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare, wirksame Rechte für die betroffenen Personen enthalten.
- (4) Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen dieser Artikel angewandt wurde.
- (5) Genehmigungen, die vom Europäischen Datenschutzbeauftragten auf der Grundlage des Artikels 9 Absatz 7 der Verordnung (EG) Nr. 45/2001 erteilt wurden, bleiben so lange gültig, bis sie erforderlichenfalls vom Europäischen Datenschutzbeauftragten geändert, ersetzt oder aufgehoben werden.
Artikel 50
Nach Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung nach diesem Kapitel nur anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.
Artikel 51
Ausnahmeregelungen für bestimmte Fälle
- (1) Falls weder ein Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) Nr. 2016/679
vorliegt noch geeignete Garantien nach Artikel 49 bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation nur zulässig, wenn eine der folgenden Voraussetzungen erfüllt ist:
- a) die betroffene Person hat in die geplante Übermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken solcher Übermittlungen ohne Angemessenheitsbeschluss und ohne geeignete Garantien unterrichtet worden war,
- b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich,
- c) die Übermittlung ist für den Abschluss oder die Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags zwischen dem Verantwortlichen und einer anderen natürlichen oder juristischen Person erforderlich,
- d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich,
- e) die Übermittlung ist für die Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich, oder
- f) die Übermittlung ist für den Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, die betroffene Person ist jedoch aus physischen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, oder
- g) die Übermittlung erfolgt aus einem Register, das nach Unionsrecht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, jedoch nur soweit die im Unionsrecht festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall erfüllt sind.
- (2) Eine Übermittlung nach Absatz 1 Buchstabe g darf nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen, es sei denn, dies ist nach Unionsrecht zulässig. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn sie die Empfänger sein sollen.
- (3) Das in Absatz 1 Buchstabe d genannte öffentliche Interesse muss im Unionsrecht anerkannt sein.
- (4) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen für die Übermittlung bestimmter Kategorien personenbezogener Daten an Drittländer oder internationale Organisationen festgelegt werden.
- (5) Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen dieser Artikel angewandt wurde.
Artikel 52
Internationale Zusammenarbeit zum Schutz personenbezogener Daten
In Bezug auf Drittländer und internationale Organisationen trifft der Europäische Datenschutzbeauftragte in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss geeignete Maßnahmen zur
- a) Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,
- b) gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,
- c) Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,
- d) Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praxis zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.
Kapitel VI
der Europäische DATENSCHUTZBEAUFTRAGTE
Artikel 53
Der Europäische Datenschutzbeauftragte
- (1) Es wird das Amt des Europäischen Datenschutzbeauftragten geschaffen.
- (2) In Bezug auf die Verarbeitung personenbezogener Daten hat der Europäische Datenschutzbeauftragte sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Datenschutz, von den Organen und Einrichtungen der Union geachtet werden.
- (3) Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung und Gewährleistung der Anwendung der Bestimmungen dieser Verordnung und anderer Rechtsakte der Union, die den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Union betreffen, sowie für die Beratung der Organe und Einrichtungen der Union und der betroffenen Personen in allen Fragen der Verarbeitung personenbezogener Daten.
Zu diesem Zweck erfüllt der Europäische Datenschutzbeauftragte die Aufgaben nach Artikel 58 und übt die Befugnisse nach Artikel 59 aus.
Artikel 54
Ernennung des Europäischen Datenschutzbeauftragten
- (1) Das Europäische Parlament und der Rat ernennen den Europäischen Datenschutzbeauftragten im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren; sie treffen ihre Entscheidung auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Einreichung von Bewerbungen aufgestellten Liste. Aufgrund dieser Aufforderung zur Einreichung von Bewerbungen können alle Interessenten in der gesamten Union ihre Bewerbung einreichen. Die von der Kommission aufgestellte Liste der Bewerber ist öffentlich. Der zuständige Ausschuss des Europäischen Parlaments kann auf der Grundlage der von der Kommission aufgestellten Liste beschließen, eine Anhörung abzuhalten, um eine Präferenz kundtun zu können.
- (2) Die von der Kommission aufgestellte Liste, aus der der Europäische Datenschutzbeauftragte ausgewählt wird, muss sich aus Personen zusammensetzen, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über die für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Erfahrung und Sachkunde verfügen, zum Beispiel weil sie einer nach Artikel 41 der Verordnung (EU) Nr. 2016/679 errichteten Aufsichtsbehörde angehören oder angehört haben.
- (3) Die Amtszeit des Europäischen Datenschutzbeauftragten kann einmal verlängert werden.
- (4) Die Aufgaben des Europäischen Datenschutzbeauftragten enden,
- a) wenn das Amt des Europäischen Datenschutzbeauftragten neubesetzt wird,
- b) wenn der Europäische Datenschutzbeauftragte sein Amt niederlegt,
- c) wenn der Europäische Datenschutzbeauftragte seines Amtes enthoben wird oder in den Ruhestand versetzt wird.
- (5) Auf Antrag des Europäischen Parlaments, des Rates oder der Kommission kann der Gerichtshof der Europäischen Union den Europäischen Datenschutzbeauftragten seines Amtes entheben oder ihm seine Ruhegehaltsansprüche oder andere an ihrer Stelle gewährten Vergünstigungen aberkennen, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.
- (6) Im Falle einer regelmäßigen Neubesetzung oder einer freiwilligen Amtsniederlegung bleibt der Europäische Datenschutzbeauftragte bis zu seiner Ersetzung im Amt.
- (7) Auf den Europäischen Datenschutzbeauftragten finden die Artikel 11 bis 14 sowie Artikel 17 des Protokolls über die Vorrechte und Befreiungen der Europäischen Union Anwendung.
Artikel 55
Regelungen und allgemeine Bedingungen für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und Finanzmittel
- (1) Der Europäische Datenschutzbeauftragte ist hinsichtlich seiner Dienstbezüge, seiner Zulagen, seines Ruhegehalts und sonstiger Vergütungen, die anstelle von Dienstbezügen gewährt werden, einem Richter am Gerichtshof der Europäischen Union gleichgestellt.
- (2) Die Haushaltsbehörde gewährleistet, dass der Europäische Datenschutzbeauftragte mit den für die Wahrnehmung seiner Aufgaben erforderlichen personellen und finanziellen Ressourcen ausgestattet wird.
- (3) Der Haushalt des Europäischen Datenschutzbeauftragten wird in einer eigenen Haushaltslinie des Einzelplans IX des Gesamthaushaltplans der Europäischen Union ausgewiesen.
- (4) Der Europäische Datenschutzbeauftragte wird von einem Sekretariat unterstützt. Die Beamten und sonstigen Bediensteten des Sekretariats werden vom Europäischen Datenschutzbeauftragten ernannt, der ihr Vorgesetzter ist. Sie unterstehen ausschließlich seinen Weisungen. Ihre Zahl wird jährlich im Rahmen des Haushaltsverfahrens festgelegt.
- (5) Die Beamten und sonstigen Bediensteten des Sekretariats des Europäischen Datenschutzbeauftragten unterliegen den Vorschriften und Regelungen für die Beamten und sonstigen Bediensteten der Europäischen Union.
- (6) Der Europäische Datenschutzbeauftragte hat seinen Sitz in Brüssel.
Artikel 56
Unabhängigkeit
- (1) Der Europäische Datenschutzbeauftragte handelt bei der Wahrnehmung seiner Aufgaben und der Ausübung seiner Befugnisse nach dieser Verordnung völlig unabhängig.
- (2) Der Europäische Datenschutzbeauftragte unterliegt bei der Wahrnehmung seiner Aufgaben und der Ausübung seiner Befugnisse nach dieser Verordnung weder direkten noch indirekten äußeren Einflüssen und ersucht weder um Weisungen noch nimmt er Weisungen entgegen.
- (3) Der Europäische Datenschutzbeauftragte unterlässt mit seinen Aufgaben unvereinbare Handlungen und übt während seiner Amtszeit keine andere entgeltliche oder unentgeltliche Tätigkeit aus.
- (4) Der Europäische Datenschutzbeauftragte verhält sich nach Ablauf seiner Amtszeit im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend.
Artikel 57
Berufsgeheimnis
Der Europäische Datenschutzbeauftragte und sein Personal sind während und nach Ablauf ihrer Amtszeit verpflichtet, über vertrauliche Informationen, die ihnen bei der Wahrnehmung ihrer dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.
Artikel 58
Aufgaben
- (1) Unbeschadet anderer Aufgaben nach dieser Verordnung hat der Europäische Datenschutzbeauftragte die Aufgabe,
- a) die Anwendung dieser Verordnung und anderer Rechtsakte der Union zu überwachen und durchzusetzen, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Union betreffen, mit Ausnahme der Verarbeitung personenbezogener Daten durch den Gerichtshof der Europäischen Union im Rahmen seiner Rechtsprechungstätigkeit,
- b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären; besondere Beachtung finden dabei eigens an Kinder gerichtete Maßnahmen,
- c) die Verantwortlichen und die Auftragsverarbeiter für ihre Pflichten nach dieser Verordnung zu sensibilisieren,
- d) auf Antrag betroffenen Personen Informationen über die Ausübung ihrer Rechte nach dieser Verordnung zur bereitzustellen und zu diesem Zweck, falls angezeigt, mit den Aufsichtsbehörden in den Mitgliedstaaten zusammenzuarbeiten,
- e) sich mit Beschwerden einer betroffenen Person oder einer Einrichtung, Organisation oder Vereinigung nach Artikel 67 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder eine Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,
- f) Untersuchungen über die Anwendung dieser Verordnung durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder sonstigen Behörde,
- g) alle Organe und Einrichtungen der Union bei legislativen und administrativen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zu beraten,
- h) relevante Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,
- i) die in Artikel 29 Absatz 8 und Artikel 49 Absatz 2 Buchstabe c genannten Standardvertragsklauseln festzulegen,
- j) eine Liste der Arten von Verarbeitungsvorgängen zu erstellen und zu führen, für die nach Artikel 39 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist,
- k) an den Arbeiten des mit Artikel 68 der Verordnung (EU) Nr. 2016/679 eingesetzten Europäischen Datenschutzausschusses teilzunehmen,
- l) nach Artikel 75 der Verordnung (EU) Nr. 2016/679 das Sekretariat für den Europäischen Datenschutzausschuss bereitzustellen,
- m) Rat zu der in Artikel 40 Absatz 2 genannten Verarbeitung zu erteilen,
- n) die in Artikel 49 Absatz 3 genannten Vertragsklauseln und Bestimmungen zu genehmigen,
- o) interne Unterlagen über Verstöße gegen diese Verordnung und nach Artikel 59 Absatz 2 getroffene Maßnahmen zu führen,
- p) sonstige Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten zu erfüllen und
- q) sich eine Geschäftsordnung zu geben.
- (2) Der Europäische Datenschutzbeauftragte erleichtert die Einreichung von Beschwerden nach Absatz 1 Buchstabe e durch Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
- (3) Die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten ist für die betroffene Person unentgeltlich.
- (4) Bei offensichtlich unbegründeten oder - insbesondere wegen ihres repetitiven Charakters - überzogenen Anträgen kann sich der Europäische Datenschutzbeauftragte weigern, aufgrund des Antrags tätig zu werden. Der Europäische Datenschutzbeauftragte hat den Nachweis für den offensichtlich unbegründeten oder überzogenen Charakter des Antrags zu erbringen.
Artikel 59
Befugnisse
- (1) Der Europäische Datenschutzbeauftragte verfügt über folgende Untersuchungsbefugnisse, die es ihm gestatten,
- a) den Verantwortlichen und den Auftragsverarbeiter anzuweisen, Informationen bereitzustellen, die er für die Wahrnehmung seiner Aufgaben benötigt,
- b) Untersuchungen in Form von Datenschutzprüfungen durchzuführen,
- c) den Verantwortlichen oder den Auftragsverarbeiter auf einen mutmaßlichen Verstoß gegen diese Verordnung hinzuweisen,
- d) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und zu allen Informationen, die für die Wahrnehmung seiner Aufgaben erforderlich sind, zu erhalten,
- e) nach dem Verfahrensrecht der Union oder der Mitgliedstaaten Zugang zu den Geschäftsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
- (2) Der Europäische Datenschutzbeauftragte verfügt über folgende Abhilfebefugnisse, die es ihm gestatten,
- a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass die beabsichtigten Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
- b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn Verarbeitungsvorgänge gegen diese Verordnung verstoßen haben,
- c) den betroffenen Verantwortlichen oder Auftragsverarbeiter und erforderlichenfalls das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit zu befassen,
- d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung ihrer Rechte nach dieser Verordnung stattzugeben,
- e) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge - falls angezeigt, auf bestimmte Weise und innerhalb einer bestimmten Frist - mit dieser Verordnung in Einklang zu bringen,
- f) den Verantwortlichen anzuweisen, die betroffene Person von einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen,
- g) die Verarbeitung vorübergehend oder endgültig zu beschränken oder auch zu verbieten,
- h) die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung nach den Artikeln 18, 19 und 20 und eine entsprechende Mitteilung an Empfänger, denen die personenbezogenen Daten offengelegt wurden, nach Artikel 19 Absatz 2 und Artikel 21 anzuordnen,
- i) bei Nichtbefolgung einer der in diesem Absatz genannten Maßnahmen durch das Organ oder die Einrichtung der Union je nach den Umständen des Einzelfalls eine Geldbuße nach Artikel 66 zu verhängen,
- j) die Aussetzung der Datenübermittlung an einen Empfänger in einem Mitgliedstaat, ein Drittland oder eine internationale Organisation anzuordnen.
- (3) Der Europäische Datenschutzbeauftragte verfügt über folgende Genehmigungs- und Beratungsbefugnisse, die es ihm gestatten,
- a) betroffene Personen bei der Ausübung ihrer Rechte zu beraten,
- b) den Verantwortlichen im Verfahren der vorherigen Konsultation nach Artikel 40 zu beraten,
- c) zu Fragen, die mit dem Schutz personenbezogener Daten im Zusammenhang stehen, von sich aus oder auf Anfrage Stellungnahmen an die Organe und Einrichtungen der Union und an die Öffentlichkeit zu richten,
- d) die in Artikel 29 Absatz 8 und Artikel 49 Absatz 2 Buchstabe c genannten Standarddatenschutzklauseln festzulegen,
- e) die in Artikel 49 Absatz 3 Buchstabe a genannten Vertragsklauseln zu genehmigen,
- f) die in Artikel 49 Absatz 3 Buchstabe b genannten Verwaltungsvereinbarungen zu genehmigen.
- (4) Die Ausübung der dem Europäischen Datenschutzbeauftragten mit diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien nach Unionsrecht, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren.
- (5) Der Europäische Datenschutzbeauftragte ist befugt, unter den im Vertrag vorgesehenen Voraussetzungen den Gerichtshof der Europäischen Union anzurufen und beim Gerichtshof der Europäischen Union anhängigen Verfahren beizutreten.
Artikel 60
Tätigkeitsbericht
- (1) Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament, dem Rat und der Kommission einen Jahresbericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.
- (2) Der Europäische Datenschutzbeauftragte übermittelt den Tätigkeitsbericht den übrigen Organen und Einrichtungen der Union, die im Hinblick auf eine etwaige Prüfung des Berichts im Europäischen Parlament Stellungnahmen abgeben können.
Kapitel VII
Zusammenarbeit und KOHÄRENZ
Artikel 61
Zusammenarbeit mit nationalen Aufsichtsbehörden
Der Europäische Datenschutzbeauftragte, die nach Artikel 41 der Verordnung (EU) Nr. 2016/679 und Artikel 51 der Richtlinie (EU) Nr. 2016/680 eingerichteten Aufsichtsbehörden (im Folgenden "nationale Aufsichtsbehörden") und die mit Artikel 25 des Beschlusses 2009/917/JI des Rates21 eingesetzte gemeinsame Aufsichtsbehörde arbeiten zusammen, soweit dies für die Wahrnehmung ihrer jeweiligen Aufgaben erforderlich ist, insbesondere, indem sie einander sachdienliche Informationen bereitstellen, nationale Aufsichtsbehörden um Ausübung ihrer Befugnisse ersuchen oder Ersuchen solcher Behörden beantworten.
Artikel 62
Koordinierte Aufsicht durch den Europäischen Datenschutzbeauftragten und die nationalen
Aufsichtsbehörden
- (1) Wenn in einem Rechtsakt der Union auf diesen Artikel verwiesen wird, arbeitet der Europäische Datenschutzbeauftragte aktiv mit den nationalen Aufsichtsbehörden zusammen, um eine wirksame Aufsicht über IT-Großsysteme oder Agenturen der Union zu gewährleisten.
- (2) Im Rahmen seiner jeweiligen Kompetenzen und seiner Zuständigkeiten und erforderlichenfalls gemeinsam mit den nationalen Aufsichtsbehörden tauscht der Europäische Datenschutzbeauftragte sachdienliche Informationen aus, hilft bei Prüfungen und Kontrollen, prüft Schwierigkeiten bei der Auslegung oder Anwendung dieser Verordnung und anderer anwendbarer Rechtsakte der Union, befasst sich mit Problemen mit der unabhängigen Aufsicht oder der Ausübung der Rechte betroffener Personen, entwirft harmonisierte Vorschläge für die Lösung von Problemen und fördert die Sensibilisierung für die Datenschutzrechte.
- (3) Für die Zwecke des Absatzes 2 kommt der Europäische Datenschutzbeauftragte mindestens zweimal jährlich im Rahmen des Europäischen Datenschutzausschusses mit den nationalen Aufsichtsbehörden zusammen. Die Kosten und die Ausrichtung dieser Zusammenkünfte übernimmt der Europäische Datenschutzausschuss. In der ersten Sitzung wird eine Geschäftsordnung verabschiedet. Weitere Arbeitsmethoden werden erforderlichenfalls gemeinsam entwickelt.
- (4) Der Europäische Datenschutzausschuss übermittelt dem Europäischen Parlament, dem Rat und der Kommission alle zwei Jahre einen gemeinsamen Tätigkeitsbericht über die koordinierte Aufsicht.
Kapitel VIII
Rechtsbehelfe, Haftung und Sanktionen
Artikel 63
Recht auf Einlegung einer Beschwerde beim Europäischen Datenschutzbeauftragten
- (1) Unbeschadet gerichtlicher, verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat jede betroffene Person das Recht, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen, wenn sie der Auffassung ist, dass die Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt.
- (2) Der Europäische Datenschutzbeauftragte unterrichtet die betroffene Person über den Fortgang und das Ergebnis der Prüfung der Beschwerde, einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 64.
- (3) Befasst sich der Europäische Datenschutzbeauftragte nicht mit einer Beschwerde oder unterrichtet er die betroffene Person nicht innerhalb von drei Monaten über den Fortgang oder das Ergebnis der Prüfung der Beschwerde, so gilt die Beschwerde als zurückgewiesen.
Artikel 64
Recht auf einen wirksamen gerichtlichen Rechtsbehelf
Der Gerichtshof der Europäischen Union ist für alle Streitigkeiten im Zusammenhang mit den Bestimmungen dieser Verordnung, einschließlich Schadenersatzansprüchen, zuständig.
Artikel 65
Anspruch auf Schadenersatz
Jede Person, der durch einen Verstoß gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat unter den in den Verträgen vorgesehenen Voraussetzungen einen Anspruch gegen den Verantwortlichen oder den Auftragsverarbeiter auf Ersatz des erlittenen Schadens.
Artikel 66
Geldbußen
- (1) Der Europäische Datenschutzbeauftragte kann je nach den Umständen des Einzelfalls Geldbußen über Organe und Einrichtungen der Union verhängen, wenn ein Organ oder eine Einrichtung der Union einer Anordnung des Europäischen Datenschutzbeauftragten nach Artikel 59 Absatz 2 Buchstaben d bis h und j nicht nachkommt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Höhe wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
- a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des ihnen entstandenen Schadens,
- b) Maßnahmen des Organs oder der Einrichtung der Union zur Begrenzung des den betroffenen Personen entstandenen Schadens,
- c) Grad der Verantwortung des Organs oder der Einrichtung der Union unter Berücksichtigung der von ihnen nach den Artikeln 27 und 33 getroffenen technischen und organisatorischen Maßnahmen,
- d) ähnliche frühere Verstöße des Organs oder der Einrichtung der Union,
- e) Umfang der Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Folgen zu begrenzen,
- f) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind,
- g) Art und Weise, wie der Verstoß dem Europäischen Datenschutzbeauftragten bekannt wurde, insbesondere ob und - wenn ja - in welchem Umfang das Organ oder die Einrichtung der Union den Verstoß gemeldet hat,
- h) wenn gegen das Organ oder die Einrichtung der Union bereits früher in Artikel 59 genannte Maßnahmen in Bezug auf denselben Gegenstand angeordnet wurden, Einhaltung dieser Maßnahmen.
Das zur Verhängung dieser Geldbußen führende Verfahren sollte innerhalb eines den Umständen des Falles angemessenen zeitlichen Rahmens unter Berücksichtigung der in Artikel 69 genannten Maßnahmen und Verfahren durchgeführt werden.
- (2) Bei Verstößen gegen Pflichten des Organs oder der Einrichtung der Union nach den Artikeln 8, 12 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 und 46 werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 25 000 EUR pro Verstoß und bis zu insgesamt 250 000 EUR pro Jahr verhängt.
- (3) Bei Verstößen des Organs oder der Einrichtung der Union gegen die folgenden Bestimmungen werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 50 000 EUR pro Verstoß und bis zu insgesamt 500 000 EUR pro Jahr verhängt:
- a) wesentliche Grundsätze für die Verarbeitung, einschließlich Voraussetzungen für die Einwilligung, nach den Artikeln 4, 5, 7 und 10,
- b) Rechte der betroffenen Personen nach den Artikeln 14 bis 24,
- c) Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder eine internationale Organisation nach den Artikeln 47 bis 51.
- (4) Verstößt ein Organ oder eine Einrichtung der Union bei gleichen oder miteinander verbundenen oder kontinuierlichen Verarbeitungsvorgängen gegen mehrere Bestimmungen dieser Verordnung oder mehrmals gegen dieselbe Bestimmung dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
- (5) Bevor der Europäische Datenschutzbeauftragte Entscheidungen nach diesem Artikel trifft, gibt er dem Organ oder der Einrichtung der Union, gegen das bzw. die sich das von ihm geführte Verfahren richtet, Gelegenheit, sich zu den von ihm erhobenen Einwänden zu äußern. Der Europäische Datenschutzbeauftragte stützt seine Entscheidungen nur auf die Einwände, zu denen sich die Parteien äußern konnten. Die Beschwerdeführer werden eng in das Verfahren einbezogen.
- (6) Die Verteidigungsrechte der Parteien werden während des Verfahrens in vollem Umfang gewahrt. Sie haben vorbehaltlich des berechtigten Interesses von natürlichen Personen oder Unternehmen am Schutz ihrer personenbezogenen Daten oder Geschäftsgeheimnisse das Recht, die Akte des Europäischen Datenschutzbeauftragten einzusehen.
- (7) Das Aufkommen aus den nach diesem Artikel verhängten Geldbußen zählt zu den Einnahmen des Gesamthaushalts der Europäischen Union.
Artikel 67
Vertretung betroffener Personen
Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die nach Unionsrecht oder dem Recht eines Mitgliedstaats ordnungsgemäß gegründet wurde, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten betroffener Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen, in ihrem Namen die in Artikel 63 genannten Rechte auszuüben und in ihrem Namen den in Artikel 65 genannten Anspruch auf Schadenersatz geltend zu machen.
Artikel 68
Beschwerden des Personals der Union
Beschäftigte eines Organs oder einer Einrichtung der Union können beim Europäischen Datenschutzbeauftragten Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er Beschwerde beim Europäischen Datenschutzbeauftragten eingereicht und einen solchen mutmaßlichen Verstoß dargelegt hat.
Artikel 69
Sanktionen
Über Beamte und sonstige Bedienstete der Europäischen Union, die vorsätzlich oder fahrlässig die in dieser Verordnung festgelegten Pflichten verletzen, können nach den Vorschriften und Verfahren des Statuts der Beamten der Europäischen Union bzw. der Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union Disziplinarstrafen und andere Maßnahmen verhängt werden.
Kapitel IX
Durchführungsrechtsakte
Artikel 70
Ausschussverfahren
- (1) Die Kommission wird von dem mit Artikel 93 der Verordnung (EU) Nr. 2016/679 eingesetzten Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011 .
- (2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011 .
Kapitel X
Schlussbestimmungen
Artikel 71
Aufhebung der Verordnung (EG) Nr. 45/2001
und des Beschlusses Nr. 1247/2002/EG
Die Verordnung (EG) Nr. 045/0122 und der Beschluss Nr. 1247/2002/EG23 werden mit Wirkung vom 25. Mai 2018 aufgehoben. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss gelten als Bezugnahmen auf die vorliegende Verordnung.
Artikel 72
Übergangsmaßnahmen
- (1) Der Beschluss 2014/886/EU des Europäischen Parlaments und des Rates24 und die laufende Amtszeit des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten bleiben von dieser Verordnung unberührt.
- (2) Der stellvertretende Datenschutzbeauftragte ist hinsichtlich seiner Dienstbezüge, seiner Zulagen, seines Ruhegehalts und sonstiger Vergütungen, die anstelle von Dienstbezügen gewährt werden, dem Kanzler des Gerichtshofs der Europäischen Union gleichgestellt.
- (3) Artikel 54 Absätze 4, 5 und 7 sowie die Artikel 56 und 57 gelten für den derzeitigen stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit am 5. Dezember 2019.
- (4) Der stellvertretende Datenschutzbeauftragte unterstützt den Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben und vertritt ihn im Falle seiner Abwesenheit oder Verhinderung bis zum Ende der Amtszeit des stellvertretenden Datenschutzbeauftragten am 5. Dezember 2019.
Artikel 73
Inkrafttreten und Anwendung
- (1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
- (2) Sie gilt ab dem 25. Mai 2018.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Brüssel am
Im Namen des Europäischen Parlaments
Der Präsident
Im Namen des Rates
Der Präsident
Finanzbogen zu Rechtsakten
- 1. Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
- 2. Beschluss Nr. 1247/2002/EG vom 1. Juli 2002 über die Regelungen und allgemeinen Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten (ABl. L 183 vom 12.7.2002, S. 1).
- 3. Siehe Verordnung (EU) Nr. 2016/679 , Artikel 98 und Erwägungsgrund 17.
- 4. Siehe Urteil des Gerichtshofs vom 9. März 2010, Kommission/Deutschland, C-518/07, ECLI:EU:C:2010:125, Rn. 26 und 28.
- 5. Siehe unter http://ec.europa.eu/justice/data-protection/reform/index_en.htm
- 6. Siehe den Bericht des Europäischen Datenschutzbeauftragten "Measuring compliance with Regulation (EG) Nr. 45/2001 in EU institutions ("Survey 2013")" und die Stellungnahme 3/2015 "Europe"s big opportunity: EDPS recommendations on the EU"s options for data protection reform".
- 7. JUST/2013/FRAC/FW/0157/A4 im Rahmen des Mehrfach-Rahmenvertrags JUST/2011/EVAL/01 (RS 2013/05) - "Evaluation Study on Regulation (EC) No 045/2001", Ernst and Young, abrufbar unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item id=51087
- 8. Urteil des Gerichtshofs vom 9. November 2010, Volker und Markus Schecke und Eifert, verbundene Rechtssachen C-92/09 und C-93/09, ECLI:EU:C:2009:284, Rn. 48.
- 9. Im Einklang mit Artikel 52 Absatz 1 der Charta kann die Ausübung der Datenschutzrechte eingeschränkt werden, sofern diese Einschränkungen gesetzlich vorgesehen sind, den Wesensgehalt
- 10. ABl. C [...] vom [...], S. [...].
- 11. Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
- 12. Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR) (ABl. L 119 vom 4.5.2016, S. 1). 27. April 2016 angenommen. Während die Verordnung allgemeine Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union enthält, sind in der Richtlinie besondere Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geregelt.
- 14. Richtlinie 93/13/EWG /EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29).
- 15. Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70).
- 16. Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
- 17. Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).
- 18. Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR) (ABl. L 119 vom 4.5.2016, S. 1).
- 19. Richtlinie (EU) Nr. 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
- 20. Richtlinie 2008/63 /EG der Kommission vom 20. Juni 2008 über den Wettbewerb auf dem Markt für Telekommunikationsendeinrichtungen (ABl. L 162 vom 21.6.2008, S. 20).
- 21. Beschluss 2009/917/JI des Rates vom 30. November 2009 über den Einsatz der Informationstechnologie im Zollbereich (ABl. L 323 vom 10.12.2009, S. 20).
- 22. Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
- 23. Beschluss Nr. 1247/2002/EG vom 1. Juli 2002 über die Regelungen und allgemeinen Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten (ABl. L 183 vom 12.7.2002, S. 1).
- 24. Beschluss 2014/886/EU des Europäischen Parlaments und des Rates vom 4. Dezember 2014 zur Ernennung des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten (ABl. L 351 vom 9.12.2014, S. 9).