Datenschutz-Grundverordnung
VERORDNUNG Nr. 679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
(am 31. Oktober 2018 stand die Tat im Zusammenhang mit der Entscheidung 174/2018)
(am 25. Mai 2018, siehe Anwendungsreferenzen aus Entscheidung 743/16-Mai-2018) (am 06. Oktober 2016 war das Gesetz im Zusammenhang mit der Richtlinie 1629/14-Sep-2016)
(am 05. Mai 2016 stand das Gesetz im Zusammenhang mit der Richtlinie 680/27-Apr-2016)
(Text mit Relevanz für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –
unter Hinweis auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,
unter Berücksichtigung des Vorschlags der Europäischen Kommission,
nach Vorlage des Gesetzesentwurfs an die nationalen Parlamente,
unter Berücksichtigung der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
(1) ABl. C 229 vom 31.7.2012, S. 90.
unter Berücksichtigung der Stellungnahme des Ausschusses der Regionen (2),
(2) ABl. C 391 vom 18.12.2012, S. 127.
Beschlussfassung nach dem ordentlichen Gesetzgebungsverfahren (3),
(3) Standpunkt des Europäischen Parlaments vom 12. März 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt veröffentlicht). Die Position des Europäischen Parlaments vom 14. April 2016.
wohingegen:
(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union („Charta“) und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) sehen das Recht jeder Person auf Schutz vor personenbezogene Daten über ihn.
(2) Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten unabhängig von der Staatsangehörigkeit oder dem Wohnort der natürlichen Personen deren Grundrechte und Grundfreiheiten, insbesondere das Recht auf Schutz, achten Persönliche Daten. Ziel dieser Verordnung ist es, zur Verwirklichung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Konsolidierung und Konvergenz der Volkswirtschaften im Binnenmarkt und zum Wohlergehen natürlicher Personen beizutragen . (3) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (4) zielt darauf ab, das Schutzniveau der Grundrechte und Grundfreiheiten natürlicher Personen im Hinblick auf Verarbeitungstätigkeiten zu harmonisieren und den freien Verkehr personenbezogener Daten zwischen ihnen zu gewährleisten Mitgliedstaaten. (4) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995). , S. 31 ).
(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Bürger erfolgen. Das Recht auf Schutz personenbezogener Daten ist kein absolutes Recht; Es muss im Hinblick auf die Funktion, die es in der Gesellschaft erfüllt, berücksichtigt und im Einklang mit dem Grundsatz der Verhältnismäßigkeit mit anderen Grundrechten in Einklang gebracht werden. Diese Verordnung respektiert alle in der Charta anerkannten Grundrechte und -freiheiten sowie die in den Verträgen verankerten Grundsätze, insbesondere die Achtung des Privat- und Familienlebens, des Aufenthalts und der Kommunikation, den Schutz personenbezogener Daten, die Gedanken-, Gewissens- und Religionsfreiheit sowie die Freiheit der Meinungsäußerung und Information, Freiheit zur Ausübung einer kommerziellen Tätigkeit, das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren sowie kulturelle, religiöse und sprachliche Vielfalt.
(5) Die wirtschaftliche und soziale Integration, die sich aus dem Funktionieren des Binnenmarkts ergibt, hat zu einem erheblichen Anstieg des grenzüberschreitenden Flusses personenbezogener Daten geführt. Der Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren, darunter natürliche Personen, Vereine und Unternehmen, hat sich in der gesamten Union intensiviert. Nach dem Unionsrecht sind die nationalen Behörden der Mitgliedsstaaten dazu aufgerufen, zusammenzuarbeiten und personenbezogene Daten auszutauschen, um ihre Aufgaben erfüllen oder Aufgaben im Auftrag einer Behörde eines anderen Mitgliedsstaats wahrnehmen zu können.
(6) Die rasanten technologischen Entwicklungen und die Globalisierung haben neue Herausforderungen für den Schutz personenbezogener Daten geschaffen. Der Umfang der Erhebung und des Austauschs personenbezogener Daten hat deutlich zugenommen. Die Technologie ermöglicht es sowohl privaten Unternehmen als auch öffentlichen Behörden, personenbezogene Daten in einem noch nie dagewesenen Ausmaß bei ihren Aktivitäten zu nutzen. Immer mehr natürliche Personen veröffentlichen weltweit personenbezogene Daten. Die Technologie hat sowohl die Wirtschaft als auch das gesellschaftliche Leben verändert und sollte den freien Verkehr personenbezogener Daten innerhalb der Union und die Übermittlung an Drittländer und internationale Organisationen weiter erleichtern und gleichzeitig ein hohes Maß an Schutz personenbezogener Daten gewährleisten.
(7) Diese Entwicklungen erfordern einen soliden und kohärenteren Rahmen für den Datenschutz in der Union, begleitet von einer strikten Anwendung der Vorschriften, wobei zu berücksichtigen ist, wie wichtig es ist, ein Klima des Vertrauens zu schaffen, das die Weiterentwicklung der digitalen Wirtschaft ermöglicht Der Binnenmarkt. Einzelpersonen sollten die Kontrolle über ihre personenbezogenen Daten haben und die rechtliche und praktische Sicherheit für Einzelpersonen, Wirtschaftsteilnehmer und Behörden sollte gestärkt werden.
(8) Soweit diese Verordnung durch innerstaatliches Recht Präzisierungen oder Beschränkungen ihrer Regelungen vorsieht, können die Mitgliedstaaten, soweit dies zur Kohärenz und zur Sicherstellung des Verständnisses der innerstaatlichen Vorschriften durch die Personen, auf die sie Anwendung finden, erforderlich ist Elemente dieser Verordnung in ihr innerstaatliches Recht übernehmen.
(9) Die Ziele und Grundsätze der Richtlinie 95/46/EG sind nach wie vor solide, doch hat dies weder die Fragmentierung der Art und Weise, wie der Datenschutz in der Union umgesetzt wird, noch die Rechtsunsicherheit oder die weitverbreitete öffentliche Wahrnehmung verhindert, dass erhebliche Risiken für den Datenschutz bestehen Schutz natürlicher Personen, insbesondere im Zusammenhang mit Online-Aktivitäten. Die Unterschiede im Schutzniveau der Rechte und Freiheiten natürlicher Personen, insbesondere des Rechts auf Schutz personenbezogener Daten, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten können den freien Verkehr personenbezogener Daten in der gesamten Union behindern . Diese Unterschiede können daher ein Hindernis für die Ausübung wirtschaftlicher Tätigkeiten auf der Ebene der Union darstellen, den Wettbewerb verzerren und die Behörden daran hindern, ihren Verpflichtungen nach dem Unionsrecht nachzukommen. Dieser Unterschied zwischen den Schutzniveaus ist darauf zurückzuführen, dass es einige Unterschiede bei der Umsetzung und Anwendung der Richtlinie 95/46/EG gibt.
(10) Um ein einheitliches und hohes Schutzniveau natürlicher Personen zu gewährleisten und Hindernisse für die Verbreitung personenbezogener Daten innerhalb der Union zu beseitigen, muss das Schutzniveau der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung dieser Daten erhöht werden Daten sollten in allen Mitgliedstaaten gleichwertig sein. Die einheitliche und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten sollte in der gesamten Union sichergestellt werden. Im Hinblick auf die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung, zur Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt oder sich aus der Ausübung öffentlicher Gewalt ergibt, mit der der Betreiber ausgestattet ist, sollte es den Mitgliedstaaten gestattet sein, Folgendes beizubehalten: Bestimmungen des innerstaatlichen Rechts einführen, um die Anwendung der Regeln dieser Verordnung besser zu klären. In Verbindung mit den allgemeinen und horizontalen Datenschutzgesetzen, die die Richtlinie 95/46/EG umsetzen, verfügen die Mitgliedstaaten über mehrere spezifische Fachgesetze in Bereichen, die einer genaueren Regelung bedürfen. Diese Verordnung gibt den Mitgliedstaaten auch einen Handlungsspielraum bei der Konkretisierung ihrer Regeln, auch im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“). In diesem Sinne schließt diese Verordnung das Recht der Mitgliedstaaten nicht aus, das die Umstände im Zusammenhang mit bestimmten Verarbeitungssituationen regelt, einschließlich der genaueren Festlegung der Bedingungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.
(11) Der wirksame Schutz personenbezogener Daten in der gesamten Union erfordert nicht nur die Konsolidierung und detaillierte Festlegung der Rechte der betroffenen Personen und der Pflichten derjenigen, die personenbezogene Daten verarbeiten und über die Verarbeitung entscheiden, sondern auch gleichwertige Befugnisse für
Überwachung und Sicherstellung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten und gleichwertiger Sanktionen für Straftaten in den Mitgliedstaaten.
(12) Artikel 16 Absatz 2 AEUV verpflichtet das Europäische Parlament und den Rat, Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie Vorschriften zum freien Datenverkehr festzulegen.
(13) Um ein einheitliches Schutzniveau für natürliche Personen in der gesamten Union zu gewährleisten und Unstimmigkeiten vorzubeugen, die den freien Datenverkehr im Binnenmarkt behindern, ist eine Verordnung erforderlich, die für Rechtssicherheit und Transparenz für Wirtschaftsakteure sorgt. einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, sowie natürlichen Personen in allen Mitgliedstaaten das gleiche Maß an rechtlich durchsetzbaren Rechten, Pflichten und Verantwortlichkeiten für Betreiber und ihre autorisierten Personen zu bieten, um eine kohärente Datenüberwachung sicherzustellen Verarbeitung personenbezogener Art, gleichwertige Sanktionen in allen Mitgliedsstaaten sowie die wirksame Zusammenarbeit der Aufsichtsbehörden der verschiedenen Mitgliedsstaaten. Für das reibungslose Funktionieren des Binnenmarktes ist es erforderlich, dass der freie Verkehr personenbezogener Daten innerhalb der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. Um der besonderen Situation von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung zu tragen, sieht diese Verordnung eine Ausnahmeregelung für Organisationen mit weniger als 250 Mitarbeitern in Bezug auf die Führung von Aufzeichnungen vor. Darüber hinaus werden die Organe und Einrichtungen der Union und der Mitgliedstaaten sowie ihre Aufsichtsbehörden aufgefordert, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen und kleinen und mittleren Unternehmen zu berücksichtigen. Der Begriff „Kleinstunternehmen“ und „kleine und mittlere Unternehmen“ sollte auf Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission (1) basieren. (1) Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 zur Definition von Kleinstunternehmen und kleinen und mittleren Unternehmen [K(2003) 1422] (ABl. L 124 vom 20.5.2003, S. 36).
(14) Der durch diese Verordnung gewährte Schutz sollte natürliche Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnort bei der Verarbeitung ihrer personenbezogenen Daten betreffen. Diese Regelung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere Unternehmen mit Rechtspersönlichkeit, einschließlich des Namens und der Art der juristischen Person sowie der Kontaktdaten der juristischen Person.
(15) Um das Entstehen eines erheblichen Umgehungsrisikos zu verhindern, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Technologien abhängen. Der Schutz natürlicher Personen sollte für die Verarbeitung personenbezogener Daten mit automatisierten Mitteln gelten, ebenso wie für die manuelle Verarbeitung, wenn die personenbezogenen Daten in ein Aufzeichnungssystem aufgenommen werden oder aufgenommen werden sollen. Nicht nach bestimmten Kriterien gegliederte Akten oder Aktensätze sowie deren Umschläge sollen nicht in den Anwendungsbereich dieser Regelung fallen.
(16) Diese Verordnung gilt nicht für Fragen des Schutzes der Grundrechte und Grundfreiheiten oder für den freien Verkehr personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, beispielsweise Tätigkeiten im Zusammenhang mit der nationalen Sicherheit. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten bei der Durchführung von Tätigkeiten im Zusammenhang mit der Außenpolitik und der gemeinsamen Sicherheit der Union. (17) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (2) gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union. Verordnung (EG) Nr. 45/2001 und andere Rechtsakte der Union, die auf eine solche Verarbeitung personenbezogener Daten anwendbar sind, sollten an die in dieser Verordnung festgelegten Grundsätze und Regeln angepasst und gemäß dieser Verordnung angewendet werden. Um einen soliden und kohärenten Rahmen für den Datenschutz in der Union zu gewährleisten, wurde nach der Verabschiedung dieser Verordnung die Verordnung (EG) Nr. 45/2001 die notwendigen Anpassungen, damit sie zusammen mit dieser Verordnung angewendet werden können.
(2) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001). , S. 1 ).
(18) Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten durch eine natürliche Person im Rahmen einer ausschließlich persönlichen oder häuslichen Tätigkeit, die daher nicht im Zusammenhang mit einer beruflichen oder gewerblichen Tätigkeit steht. Zu den persönlichen oder häuslichen Aktivitäten können die Korrespondenz und das Verzeichnis von Adressen oder Aktivitäten innerhalb sozialer Netzwerke und im Zusammenhang mit diesen Aktivitäten durchgeführte Online-Aktivitäten gehören. Diese Regelung gilt jedoch für Betreiber oder von Betreibern autorisierte Personen, die Mittel zur Verarbeitung personenbezogener Daten für solche persönlichen oder häuslichen Aktivitäten bereitstellen.
(19) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufklärung, Aufdeckung oder Strafverfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und deren Abwehr sowie der freie Datenverkehr sind Gegenstand eines besonderen Rechtsakts der Union. Daher sollte diese Verordnung nicht für Verarbeitungstätigkeiten zu diesen Zwecken gelten. Allerdings sollten personenbezogene Daten, die von Behörden im Rahmen dieser Verordnung verarbeitet werden, wenn sie für diese Zwecke verwendet werden, durch einen spezifischeren Rechtsakt der Union geregelt werden, nämlich die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (1). Die Mitgliedstaaten können den zuständigen Behörden im Sinne der Richtlinie (EU) 2016/680 Aufgaben übertragen, die nicht unbedingt der Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung dienen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und deren Verhinderung, so dass die Verarbeitung personenbezogener Daten zu anderen Zwecken, soweit sie in den Anwendungsbereich des Unionsrechts fällt, in den Anwendungsbereich dieser Verordnung fällt.
(1) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Strafverfolgung Straftaten oder die Vollstreckung von Strafen sowie zum freien Verkehr dieser Daten und zur Aufhebung des Rahmenbeschlusses 2008/977/JAI des Rates (siehe Seite 89 dieses Amtsblatts).
Was die Verarbeitung personenbezogener Daten durch diese zuständigen Behörden für Zwecke betrifft, die in den Geltungsbereich dieser Verordnung fallen, sollten die Mitgliedstaaten die Möglichkeit haben, detailliertere Bestimmungen beizubehalten oder einzuführen, um die Anwendung der Vorschriften dieser Verordnung anzupassen. Diese Bestimmungen können unter Berücksichtigung der Verfassungs-, Organisations- und Verwaltungsstruktur des jeweiligen Mitgliedstaats konkrete Anforderungen an die Verarbeitung personenbezogener Daten durch die jeweils zuständigen Behörden zu diesen anderen Zwecken konkretisieren. Wenn die Verarbeitung personenbezogener Daten durch private Stellen Gegenstand dieser Verordnung ist, sollte diese Verordnung den Mitgliedstaaten unter bestimmten Voraussetzungen die Möglichkeit vorsehen, durch Gesetz Beschränkungen bestimmter Pflichten und Rechte vorzuschreiben, wenn solche Beschränkungen notwendig und verhältnismäßig sind Maßnahme in einer demokratischen Gesellschaft zur Wahrung wichtiger Einzelinteressen, zu denen die öffentliche Sicherheit sowie die Verhütung, Aufklärung, Aufdeckung und Verfolgung von Straftaten oder Strafvollstreckungen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und deren Abwehr, gehören. Dies ist beispielsweise bei der Bekämpfung der Geldwäsche oder der Tätigkeit forensischer Labore relevant.
(20) Obwohl diese Verordnung unter anderem für die Tätigkeit von Gerichten und anderen Justizbehörden gilt, könnte das Recht der Union oder der Mitgliedstaaten die Verarbeitungsvorgänge und -verfahren im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden festlegen . Die Verarbeitung personenbezogener Daten sollte nicht in die Zuständigkeit der Aufsichtsbehörden fallen, wenn die Gerichte ihre Rechtsprechungsbefugnisse ausüben, um die Unabhängigkeit des Justizsystems bei der Erfüllung seiner Rechtsprechungsaufgaben, einschließlich der Entscheidungsfindung, zu gewährleisten. Die Überwachung solcher Datenverarbeitungsvorgänge sollte bestimmten Stellen innerhalb des Justizsystems des Mitgliedstaats übertragen werden können, die insbesondere die Einhaltung der in dieser Verordnung vorgesehenen Regeln sicherstellen und die Mitglieder des Justizsystems für die damit verbundenen Pflichten sensibilisieren sollten unter diese Verordnung fallen und sich mit Beschwerden im Zusammenhang mit solchen Datenverarbeitungsvorgängen befassen.
(21) Diese Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates (2), insbesondere die in den Artikeln 12 bis 15 dieser Richtlinie vorgesehenen Regelungen zur Haftung von Zwischendienstleistern Richtlinie. Die entsprechende Richtlinie soll zum reibungslosen Funktionieren des Binnenmarktes beitragen, indem sie den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten gewährleistet.
(2) Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr) (ABl. L 178 vom 17.7.2000). . 1, S. XNUMX).
(22) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit eines Büros eines Betreibers oder einer von ihm autorisierten Person in der Union sollte im Einklang mit dieser Verordnung erfolgen, unabhängig davon, ob die Verarbeitung selbst innerhalb der Union erfolgt oder nicht . Der Hauptsitz impliziert die effektive und tatsächliche Ausübung einer Tätigkeit im Rahmen stabiler Vereinbarungen. Die Rechtsform solcher Vereinbarungen durch eine Zweigniederlassung oder eine Tochtergesellschaft mit Rechtspersönlichkeit ist dabei nicht ausschlaggebend.
(23) Um sicherzustellen, dass natürlichen Personen der Schutz, auf den sie nach dieser Verordnung Anspruch haben, nicht entzogen wird, ist die Verarbeitung personenbezogener Daten der betroffenen Personen, die sich im Gebiet der Union aufhalten, durch einen Betreiber oder eine autorisierte Person zulässig von ihm, der nicht in der Union ansässig ist und seinen Sitz hat, dieser Verordnung unterliegen, wenn die Verarbeitungstätigkeiten im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen für diese betroffenen Personen stehen, unabhängig davon, ob sie mit einer Zahlung im Zusammenhang stehen oder nicht. Um festzustellen, ob ein solcher Betreiber oder eine von ihm beauftragte Person Waren oder Dienstleistungen für im Gebiet der Union ansässige betroffene Personen anbietet, sollte festgestellt werden, ob es den Anschein hat, dass der Betreiber oder die von ihm beauftragte Person dies beabsichtigt Erbringung von Dienstleistungen für betroffene Personen aus einem oder mehreren Mitgliedstaaten der Union. Denn die einfache Tatsache, dass ein Zugriff auf eine Website des Betreibers, einer von ihm beauftragten Person oder eines Vermittlers in der Union besteht, dass eine E-Mail-Adresse und andere Kontaktdaten verfügbar sind oder dass eine in der Union allgemein verwendete Sprache vorliegt Die Verwendung eines Drittlandes, in dem der Betreiber seinen Sitz hat, reicht zur Bestätigung einer solchen Absicht nicht aus, Faktoren wie die Verwendung einer in einem oder mehreren Mitgliedstaaten allgemein gebräuchlichen Sprache oder Währung mit der Möglichkeit, Waren und Dienstleistungen in dieser Sprache zu bestellen oder Die Erwähnung einiger im Gebiet der Union ansässiger Kunden oder Nutzer kann zu der Schlussfolgerung führen, dass der Betreiber beabsichtigt, Waren oder Dienstleistungen Zielpersonen in der Union anzubieten.
(24) Die Verarbeitung personenbezogener Daten der betroffenen Personen, die sich im Gebiet der Union aufhalten, durch einen Betreiber oder eine von ihm bevollmächtigte Person, die nicht in der Union ansässig ist, sollte ebenfalls dieser Verordnung unterliegen, wenn sie im Zusammenhang mit der Überwachung des Verhaltens dieser Zielpersonen, sofern sich dieses Verhalten auf dem Gebiet der Union manifestiert. Um festzustellen, ob eine Verarbeitungstätigkeit als „Verhaltensüberwachung“ der betroffenen Personen angesehen werden kann, sollte festgestellt werden, ob die natürlichen Personen im Internet verfolgt werden, einschließlich der möglichen anschließenden Verwendung einiger Techniken zur Verarbeitung personenbezogener Daten, die in der Erstellung bestehen ein Profil einer natürlichen Person, insbesondere um Entscheidungen über sie zu treffen oder ihre persönlichen Vorlieben, Verhaltensweisen und Einstellungen zu analysieren oder Vorhersagen darüber zu treffen.
(25) Wenn nach dem Völkerrecht das Recht eines Mitgliedstaats gilt, sollte diese Verordnung auch für einen Betreiber gelten, der nicht in der Union, sondern beispielsweise in einer diplomatischen Vertretung oder in einem Konsularbüro eines Mitgliedstaats ansässig ist . (26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Pseudonymisierte personenbezogene Daten, die durch die Verwendung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen gelten, die sich auf eine identifizierbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel, wie z. B. die Individualisierung, berücksichtigt werden, die entweder der Verantwortliche oder eine andere Person mit großer Wahrscheinlichkeit direkt oder indirekt zum Zweck der Identifizierung der jeweiligen natürlichen Person nutzen wird . Um festzustellen, ob es hinreichend wahrscheinlich ist, dass Mittel zur Identifizierung der natürlichen Person verwendet werden, sollten Überlegungen angestellt werden
unter Berücksichtigung aller objektiven Faktoren, wie der Kosten und des für die Identifizierung erforderlichen Zeitintervalls, unter Berücksichtigung sowohl der zum Zeitpunkt der Verarbeitung verfügbaren Technologie als auch der technologischen Entwicklung. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, also für Informationen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürlichen Person haben, oder für personenbezogene Daten, die so anonymisiert sind, dass die betroffene Person nicht oder nicht mehr identifizierbar ist. Daher gilt diese Regelung nicht für die Verarbeitung solcher anonymer Informationen, auch wenn diese für statistische oder Forschungszwecke verwendet werden. (27) Diese Verordnung gilt nicht für personenbezogene Daten verstorbener Personen. Die Mitgliedstaaten können Vorschriften für die Verarbeitung personenbezogener Daten verstorbener Personen erlassen.
(28) Die Anwendung der Pseudonymisierung personenbezogener Daten kann die Risiken für die betroffenen Personen verringern und den Betreibern und den von ihnen bevollmächtigten Personen helfen, ihren Datenschutzpflichten nachzukommen. Die explizite Einführung des Begriffs „Pseudonymisierung“ in dieser Verordnung soll nicht dazu dienen, andere mögliche Datenschutzmaßnahmen zu verhindern.
(29) Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen möglich sein und gleichzeitig eine allgemeine Analyse innerhalb desselben Betreibers ermöglichen, wenn der Betreiber die erforderlichen technischen und organisatorischen Maßnahmen ergriffen hat, um die Einhaltung dieser Verordnung sicherzustellen im Hinblick auf die jeweilige Datenverarbeitung durchgeführt wird und weitere Informationen zur Zuordnung personenbezogener Daten zu einer bestimmten betroffenen Person gesondert aufbewahrt werden. Der Betreiber, der personenbezogene Daten verarbeitet, sollte die autorisierten Personen innerhalb desselben Betreibers angeben. (30) Natürliche Personen können mit Online-Identifikatoren verknüpft werden, die von ihren Geräten, Anwendungen, Tools und Protokollen bereitgestellt werden, wie z. B. IP-Adressen, Cookie-Identifikatoren oder anderen Identifikatoren Radiofrequenz-Identifikationsetiketten. Sie können Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Identifikatoren und anderen von Servern empfangenen Informationen dazu verwendet werden können, Profile natürlicher Personen zu erstellen und diese zu identifizieren.
(31) Öffentliche Stellen, an die personenbezogene Daten aufgrund einer gesetzlichen Verpflichtung zur Ausübung ihrer Amtsaufgabe weitergegeben werden, wie z. B. Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Überwachung zuständig sind Wertpapiermärkte, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung einer bestimmten, im öffentlichen Interesse liegenden Untersuchung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich sind. Offenlegungsanfragen von Behörden sollten immer schriftlich erfolgen, begründet und gelegentlich erfolgen und sich nicht auf ein Aufzeichnungssystem in seiner Gesamtheit beziehen oder zu einer Verknüpfung von Aufzeichnungssystemen führen. Die Verarbeitung personenbezogener Daten durch die jeweiligen Behörden sollte im Einklang mit den geltenden Datenschutzvorschriften entsprechend den Zwecken der Verarbeitung erfolgen.
(32) Die Einwilligung sollte durch eine eindeutige Handlung erteilt werden, die eine frei geäußerte, konkrete, wissentliche und klare Bekundung der Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten darstellt, beispielsweise durch eine schriftliche Erklärung, auch in elektronischer oder mündlicher Form . Dazu kann das Ankreuzen eines Kästchens gehören, wenn die Person eine Website besucht, die Auswahl technischer Parameter für Dienste der Informationsgesellschaft oder jede andere Erklärung oder Handlung, die in diesem Zusammenhang eindeutig zum Ausdruck bringt, dass die betroffene Person der vorgeschlagenen Verarbeitung ihrer personenbezogenen Daten zustimmt. Daher sollte das Ausbleiben einer Antwort, das Ausbleiben vorab angekreuzter Kästchen oder das Ausbleiben einer Aktion keine Einwilligung darstellen. Die Einwilligung sollte alle Verarbeitungstätigkeiten umfassen, die zum gleichen Zweck oder zu denselben Zwecken durchgeführt werden. Erfolgt die Datenverarbeitung zu mehreren Zwecken, sollte für alle Verarbeitungszwecke eine Einwilligung erteilt werden. Wenn die Einwilligung der betroffenen Person aufgrund einer auf elektronischem Weg übermittelten Anfrage erteilt werden muss, muss diese Anfrage klar und prägnant sein und darf die Nutzung des Dienstes, für den die Einwilligung erteilt wird, nicht unnötig beeinträchtigen.
(33) Oft ist es zum Zeitpunkt der Erhebung personenbezogener Daten nicht möglich, den Zweck der Datenverarbeitung für wissenschaftliche Forschungszwecke vollständig zu erkennen. Aus diesem Grund würden die betroffenen Personen
es sollte ihnen gestattet sein, ihre Zustimmung für bestimmte Bereiche der wissenschaftlichen Forschung auszudrücken, sofern die anerkannten ethischen Standards für die wissenschaftliche Forschung respektiert werden. Betroffene Personen sollen die Möglichkeit haben, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten zu äußern, sofern die Zweckbestimmung dies zulässt.
(34) Als genetische Daten sollten personenbezogene Daten gelten, die sich auf die vererbten oder erworbenen genetischen Merkmale einer natürlichen Person beziehen und aus einer Analyse einer Probe biologischen Materials der betreffenden natürlichen Person, insbesondere einer Chromosomenanalyse, einer Analyse resultieren von Desoxyribonukleinsäure (DNA) oder Ribonukleinsäure (RNA) oder einer Analyse eines anderen Elements, die den Erhalt gleichwertiger Informationen ermöglicht.
(35) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten im Zusammenhang mit der Gesundheit der betroffenen Person gehören, die Aufschluss über die frühere, gegenwärtige oder zukünftige körperliche oder geistige Gesundheit der betroffenen Person geben. Dazu gehören Informationen über die natürliche Person, die im Rahmen ihrer Registrierung für medizinische Assistenzdienste oder im Rahmen der Erbringung der jeweiligen Dienste für die betreffende natürliche Person gemäß der Richtlinie 2011/24/EU des Europäischen Parlaments und des Europäischen Parlaments erhoben werden Rat (1); eine einer natürlichen Person zugewiesene Nummer, ein Symbol oder ein Unterscheidungszeichen zur eindeutigen Identifizierung dieser Person für medizinische Zwecke; Informationen, die sich aus der Untersuchung oder Untersuchung eines Körperteils oder einer Körpersubstanz ergeben, einschließlich genetischer Daten und Proben biologischen Materials; sowie alle Informationen, die sich beispielsweise auf eine Krankheit, eine Behinderung, ein Krankheitsrisiko, eine Krankengeschichte, eine klinische Behandlung oder einen physiologischen oder biomedizinischen Zustand der betroffenen Person beziehen, unabhängig von ihrer Quelle, beispielsweise einem Arzt oder anderem medizinischen Personal, einem Krankenhaus , ein Medizinprodukt oder ein In-vitro-Diagnosetest.
(1) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden medizinischen Versorgung (ABl. L 88 vom 4.4.2011, S. 45). (36) Der Hauptsitz eines Betreibers in der Union sollte der Ort sein, an dem sich seine Hauptverwaltung in der Union befindet, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden an einem anderen Hauptsitz des Betreibers in der Union getroffen. Letztere ist in diesem Fall als Hauptniederlassung anzusehen. Der Hauptsitz eines Betreibers in der Union sollte nach objektiven Kriterien bestimmt werden und die tatsächliche und tatsächliche Ausübung von Verwaltungstätigkeiten umfassen, die die wichtigsten Entscheidungen über die Zwecke und Mittel der Verarbeitung im Rahmen stabiler Vereinbarungen bestimmen. Dieses Kriterium sollte nicht von der Verarbeitung personenbezogener Daten an diesem Ort abhängen. Das Vorhandensein und der Einsatz technischer Mittel und Technologien zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten stellen keine Hauptniederlassung dar und sind daher insoweit nicht das entscheidende Kriterium. Der Hauptsitz der vom Betreiber bevollmächtigten Person sollte der Ort sein, an dem sich ihre Hauptverwaltung in der Union befindet, oder, wenn sie keine Zentralverwaltung in der Union hat, der Ort, an dem die Hauptverarbeitungstätigkeiten in der Union durchgeführt werden . In Fällen, in denen sowohl der Betreiber als auch die vom Betreiber bevollmächtigte Person betroffen sind, sollte die zuständige Hauptaufsichtsbehörde weiterhin die Aufsichtsbehörde des Mitgliedstaats sein, in dem der Betreiber seinen Hauptgeschäftssitz hat, jedoch die Aufsichtsbehörde der vom Betreiber bevollmächtigten Person sollte als gezielte Aufsichtsbehörde betrachtet werden und diese Aufsichtsbehörde sollte an dem in dieser Verordnung vorgesehenen Kooperationsverfahren teilnehmen. In jedem Fall sollten die Aufsichtsbehörden des Mitgliedstaats oder der Mitgliedstaaten, in denen die vom Betreiber bevollmächtigte Person eine oder mehrere Niederlassungen hat, nicht als betroffene Aufsichtsbehörden gelten, wenn sich der Entscheidungsentwurf nur auf den Betreiber bezieht. Erfolgt die Verarbeitung durch eine Unternehmensgruppe, ist der Hauptsitz des die Kontrolle ausübenden Unternehmens als Hauptsitz der Unternehmensgruppe anzusehen, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.
(37) Eine Unternehmensgruppe sollte ein Unternehmen umfassen, das die Kontrolle ausübt, und die von ihm kontrollierten Unternehmen, wobei das Unternehmen, das die Kontrolle ausübt, das Unternehmen sein sollte, das beispielsweise aufgrund des Eigentums einen beherrschenden Einfluss auf die anderen Unternehmen ausüben kann die finanzielle Beteiligung oder die Regeln, die sie regeln, oder die Zuständigkeit, Regeln zum Schutz personenbezogener Daten umzusetzen. Ein Unternehmen, das
die Verarbeitung personenbezogener Daten in seinen verbundenen Unternehmen kontrolliert, sollte zusammen mit diesen als „Unternehmensgruppe“ betrachtet werden.
(38) Kinder benötigen einen besonderen Schutz ihrer personenbezogenen Daten, da sie sich der Risiken, Folgen, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Dieser besondere Schutz sollte insbesondere für die Verwendung personenbezogener Daten von Kindern zu Marketingzwecken oder zur Erstellung von Persönlichkeits- oder Nutzerprofilen sowie für die Erhebung personenbezogener Daten von Kindern bei der Nutzung von Diensten gelten, die sich direkt an Kinder richten. Die Zustimmung des Trägers der elterlichen Verantwortung sollte im Rahmen von Präventions- oder Beratungsdiensten, die direkt für Kinder angeboten werden, nicht erforderlich sein.
(39) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und fair erfolgen. Für natürliche Personen sollte transparent sein, dass die sie betreffenden personenbezogenen Daten erhoben, genutzt, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden oder werden. Der Grundsatz der Transparenz sieht vor, dass alle Informationen und Mitteilungen im Zusammenhang mit der Verarbeitung der jeweiligen personenbezogenen Daten leicht zugänglich und leicht verständlich sind und eine einfache und klare Sprache verwendet wird. Dieser Grundsatz bezieht sich insbesondere auf die Information der betroffenen Personen über die Identität des Betreibers und die Zwecke der Verarbeitung sowie auf die Bereitstellung zusätzlicher Informationen, um eine faire und transparente Verarbeitung gegenüber den betroffenen natürlichen Personen zu gewährleisten ihr Recht auf Bestätigung und Mitteilung der sie betreffenden personenbezogenen Daten, die verarbeitet werden. Einzelpersonen sollten über die Risiken, Regeln, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten und darüber informiert werden, wie sie ihre Rechte im Zusammenhang mit der Verarbeitung ausüben können. Insbesondere sollten die spezifischen Zwecke, für die personenbezogene Daten verarbeitet werden, eindeutig und legitim sein und zum Zeitpunkt der Erhebung der jeweiligen Daten festgelegt werden. Personenbezogene Daten sollten angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein. Hierzu ist insbesondere darauf zu achten, dass die Dauer der Speicherung personenbezogener Daten strikt auf das Mindestmaß beschränkt wird. Personenbezogene Daten sollten nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht auf andere Weise angemessen erfüllt werden kann. Um sicherzustellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden, sollte der Betreiber Fristen für die Löschung oder regelmäßige Überprüfung festlegen. Es sollten alle angemessenen Schritte unternommen werden, um sicherzustellen, dass unrichtige personenbezogene Daten berichtigt oder gelöscht werden. Personenbezogene Daten sollten in einer Weise verarbeitet werden, die ihre Sicherheit und Vertraulichkeit angemessen gewährleistet, auch um den unbefugten Zugriff auf sie oder die unbefugte Nutzung personenbezogener Daten und der für die Verarbeitung verwendeten Geräte zu verhindern.
(40) Damit die Verarbeitung personenbezogener Daten rechtmäßig ist, sollte sie auf der Grundlage der Einwilligung der betroffenen Person oder auf der Grundlage eines anderen legitimen Grundes erfolgen, der gesetzlich entweder in dieser Verordnung oder in einem anderen Rechtsakt vorgesehen ist Unionsrecht oder internes Recht, wie in dieser Verordnung vorgesehen, einschließlich der Notwendigkeit, den gesetzlichen Verpflichtungen nachzukommen, denen der Betreiber unterliegt, oder der Notwendigkeit, einen Vertrag auszuführen, dessen Vertragspartei die betroffene Person ist, oder die Schritte durchzuführen vor Vertragsschluss auf Anfrage der betroffenen Person.
(41) Soweit in dieser Verordnung auf eine Rechtsgrundlage oder eine gesetzgeberische Maßnahme Bezug genommen wird, ist hierfür nicht unbedingt ein von einem Parlament beschlossener Gesetzgebungsakt erforderlich, unbeschadet der Anforderungen, die sich aus der Verfassungsordnung des betreffenden Mitgliedstaats ergeben. Eine solche Rechtsgrundlage oder eine solche gesetzgeberische Maßnahme sollte jedoch im Einklang mit der Rechtsprechung des Gerichtshofs der Europäischen Union („Gerichtshof“) klar und eindeutig sein und ihre Anwendung für die von ihr betroffenen Personen vorhersehbar sein ") und dem Europäischen Gerichtshof für Menschenrechte.
(42) Wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, sollte der Betreiber nachweisen können, dass die betroffene Person ihre Einwilligung für den Verarbeitungsvorgang gegeben hat. Insbesondere im Rahmen einer schriftlichen Stellungnahme zu einem anderen Sachverhalt sollen Schutzmaßnahmen sicherstellen, dass die betroffene Person sich darüber im Klaren ist, dass sie ihre Einwilligung gegeben hat und in welchem Umfang sie diese erteilt hat. Gemäß der Richtlinie 93/13/EWG des Rates (1) sollte eine vorab vom Betreiber formulierte Einwilligungserklärung in verständlicher Form vorgelegt werden
und leicht zugänglich sein, eine klare und einfache Sprache verwenden und diese Erklärung sollte keine missbräuchlichen Klauseln enthalten. Damit die Erteilung der Einwilligung in Kenntnis des Grundes erfolgen kann, muss die betroffene Person zumindest Kenntnis von der Identität des Verantwortlichen und den Zwecken der Verarbeitung haben, für die die personenbezogenen Daten bestimmt sind. Eine Einwilligung sollte nicht als freiwillig gegeben gelten, wenn die betroffene Person nicht wirklich über die Wahlfreiheit verfügt oder nicht in der Lage ist, die Einwilligung unbeschadet zu verweigern oder zu widerrufen.
(1) Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29).
(43) Um sicherzustellen, dass die Einwilligung freiwillig erteilt wurde, sollte sie in dem Einzelfall, in dem ein offensichtliches Ungleichgewicht zwischen der betroffenen Person und dem Betreiber besteht, insbesondere in dem Fall, keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen bei dem es sich bei dem Betreiber um eine Behörde handelt, und dies macht es unwahrscheinlich, dass unter allen mit dieser besonderen Situation zusammenhängenden Umständen eine freiwillige Einwilligung erteilt wird. Eine nicht freiwillig erteilte Einwilligung liegt vor, wenn sie es nicht ermöglicht, für die einzelnen Verarbeitungsvorgänge personenbezogener Daten eine gesonderte Einwilligung zu erteilen, obwohl dies im Einzelfall angemessen ist, oder wenn die Durchführung eines Vertrages einschließlich der Erbringung einer Dienstleistung, Voraussetzung ist eine Einwilligung, auch wenn die Einwilligung nicht für die Vertragsdurchführung erforderlich ist.
(44) Die Verarbeitung sollte als rechtmäßig angesehen werden, wenn sie im Rahmen eines Vertrags oder zum Abschluss eines Vertrags erforderlich ist.
(45) Erfolgt die Verarbeitung aufgrund einer rechtlichen Verpflichtung des Betreibers oder ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die einem öffentlichen Interesse dient oder im Rahmen der Ausübung öffentlicher Gewalt erfolgt, so soll die Verarbeitung a Grundlage im Unionsrecht oder im innerstaatlichen Recht. Diese Regelung erfordert nicht, dass für jede einzelne Verarbeitung ein bestimmtes Gesetz vorliegt. Ein einziges Gesetz kann als Grundlage für mehrere Verarbeitungsvorgänge ausreichen, die aufgrund einer rechtlichen Verpflichtung des Betreibers erfolgen oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die einem öffentlichen Interesse dient oder zur Ausübung öffentlicher Gewalt gehört . Außerdem sollte der Zweck der Verarbeitung im Unionsrecht oder im innerstaatlichen Recht festgelegt sein. Darüber hinaus könnte das jeweilige Recht die allgemeinen Bedingungen dieser Verordnung präzisieren, die die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regeln, die Spezifikationen für die Festlegung des Betreibers, die Art der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, die betroffenen Personen und die Stellen, an die sie gerichtet sind, festlegen Die personenbezogenen Daten können weitergegeben werden, wobei die Einschränkungen vom Zweck, der Speicherdauer und anderen Maßnahmen zur Gewährleistung einer rechtmäßigen und fairen Verarbeitung abhängen. Es sollte auch im Unionsrecht oder im nationalen Recht festgelegt werden, ob der Betreiber, der eine Aufgabe wahrnimmt, die einem öffentlichen Interesse dient oder Teil der Ausübung hoheitlicher Gewalt ist, eine Behörde oder eine andere natürliche oder juristische Person des öffentlichen Rechts sein sollte, oder aus welchen Gründen öffentliches Interesse rechtfertigen dies, auch für medizinische Zwecke, etwa die öffentliche Gesundheit und den sozialen Schutz, sowie die Verwaltung medizinischer Hilfsdienste, durch privates Recht, etwa einen Berufsverband.
(46) Die Verarbeitung personenbezogener Daten sollte auch dann als rechtmäßig angesehen werden, wenn sie zum Schutz eines lebenswichtigen Interesses der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Die Verarbeitung personenbezogener Daten aufgrund lebenswichtiger Interessen einer anderen natürlichen Person sollte nur dann erfolgen, wenn die Verarbeitung offensichtlich nicht auf einer anderen Rechtsgrundlage beruhen kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch den lebenswichtigen Interessen der betroffenen Person dienen, beispielsweise wenn die Verarbeitung für humanitäre Zwecke erforderlich ist, einschließlich der Überwachung einer Epidemie und ihrer Ausbreitung, oder in humanitären Notsituationen, insbesondere in Situationen von Naturkatastrophen oder von Menschen verursachten Katastrophen.
(47) Die berechtigten Interessen eines Betreibers, einschließlich derjenigen eines Betreibers, dem personenbezogene Daten offengelegt werden können, oder eines Dritten können eine Rechtsgrundlage für die Verarbeitung darstellen, sofern dies nicht auf die Interessen oder Grundrechte und Grundfreiheiten der Person zurückzuführen ist gezielt durchsetzen, einnehmend
unter Berücksichtigung der angemessenen Erwartungen der betroffenen Personen aufgrund ihrer Beziehung zum Betreiber. Dieses berechtigte Interesse könnte beispielsweise dann vorliegen, wenn zwischen der betroffenen Person und dem Betreiber eine relevante und angemessene Beziehung besteht, etwa wenn die betroffene Person Kunde des Betreibers ist oder in dessen Diensten steht. Das Vorliegen eines berechtigten Interesses erfordert in jedem Fall eine sorgfältige Prüfung, bei der unter anderem festgestellt wird, ob eine betroffene Person zum Zeitpunkt und im Kontext der Erhebung personenbezogener Daten vernünftigerweise vorhersehen kann, dass eine Verarbeitung zu diesem Zweck möglich ist. Die Interessen und Grundrechte der betroffenen Person könnten insbesondere gegenüber den Interessen des für die Verarbeitung Verantwortlichen Vorrang haben, wenn die personenbezogenen Daten unter Umständen verarbeitet werden, bei denen die betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss. Da der Gesetzgeber die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden schaffen muss, sollte die jeweilige Rechtsgrundlage nicht für die Verarbeitung durch die Behörden im Rahmen der Wahrnehmung ihrer Aufgaben gelten. Auch die Verarbeitung personenbezogener Daten, die zur Betrugsprävention unbedingt erforderlich sind, stellt ein berechtigtes Interesse des jeweiligen Datenverwalters dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als berechtigtes Interesse angesehen werden.
(48) Betreiber, die Teil einer einer zentralen Stelle angeschlossenen Unternehmens- oder Institutionengruppe sind, können ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb der Unternehmensgruppe zu internen Verwaltungszwecken, einschließlich der Verarbeitung personenbezogener Daten von Kunden, zu übermitteln Mitarbeiter. Die allgemeinen Grundsätze der Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe an ein Unternehmen mit Sitz in einem Drittland bleiben unverändert.
(49) Die Verarbeitung personenbezogener Daten in dem Umfang, der unbedingt erforderlich und verhältnismäßig ist, um die Sicherheit von Netzwerken und Informationen zu gewährleisten, insbesondere die Fähigkeit eines Netzwerks oder eines Informationssystems, mit einem bestimmten Maß an Sicherheit zufälligen Ereignissen oder Handlungen zu begegnen illegal oder böswillig, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der gespeicherten oder übertragenen personenbezogenen Daten sowie die Sicherheit der damit verbundenen Dienste, die von diesen Netzwerken und Systemen angeboten werden, gefährden, oder durch sie zugänglich gemacht werden, durch Behörden, Interventionsteams bei Computernotfällen, Interventionsteams bei Vorfällen, die die IT-Sicherheit beeinträchtigen, Anbieter elektronischer Kommunikationsnetze und -dienste sowie Anbieter von Diensten und Technologien der Sicherheit, stellt eine dar berechtigtes Interesse des jeweiligen Datenverwalters. Dazu könnte beispielsweise gehören, den unbefugten Zugriff auf elektronische Kommunikationsnetze und die Verbreitung von Schadcode zu verhindern, „Denial-of-Service“-Angriffe zu stoppen und Schäden an Computern und elektronischen Kommunikationssystemen zu verhindern.
(50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die Zwecke, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den jeweiligen Zwecken vereinbar ist, für die die personenbezogenen Daten ursprünglich erhoben wurden. In diesem Fall ist eine andere Rechtsgrundlage als diejenige, auf deren Grundlage die Erhebung personenbezogener Daten zulässig war, nicht erforderlich. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die einem öffentlichen Interesse dient oder sich aus der Ausübung öffentlicher Gewalt ergibt, die dem Betreiber zusteht, kann das Unionsrecht oder das innerstaatliche Recht die Aufgaben und Zwecke festlegen und festlegen, für die die weitere Verarbeitung erfolgen soll als kompatibel und legal angesehen werden. Eine spätere Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollte als vereinbare rechtmäßige Verarbeitung angesehen werden. Auch die im Unionsrecht oder im innerstaatlichen Recht vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann eine Rechtsgrundlage für die weitere Verarbeitung darstellen. Um festzustellen, ob der Zweck der Folgeverarbeitung mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, sollte der Betreiber nach Erfüllung aller Anforderungen an die Rechtmäßigkeit der Erstverarbeitung unter anderem Folgendes berücksichtigen: jeglicher Zusammenhang zwischen diesen Zwecken und den beabsichtigten Weiterverarbeitungszwecken, der Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere die berechtigten Erwartungen der betroffenen Personen aufgrund ihrer Beziehung zum Betreiber hinsichtlich der späteren Verwendung der Daten, die Art der personenbezogenen Daten, über die Folgen der weiteren Verarbeitung
von den betroffenen Personen erwartet wird, sowie das Vorliegen entsprechender Garantien sowohl im Rahmen der Erstverarbeitungsvorgänge als auch im Rahmen der voraussichtlichen Folgeverarbeitungsvorgänge.
Wenn die betroffene Person ihre Einwilligung erteilt hat oder die Verarbeitung auf Unionsrecht oder innerstaatlichem Recht beruht, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses darstellt, sollte der Betreiber die Möglichkeit haben die Verarbeitung personenbezogener Daten fortzusetzen, unabhängig von der Vereinbarkeit der Zwecke. In jedem Fall sollte die Anwendung der in dieser Verordnung festgelegten Grundsätze und insbesondere die Information der betroffenen Person über diese anderen Zwecke und ihre Rechte, einschließlich des Rechts auf Widerspruch, gewährleistet sein. Der Hinweis auf mögliche Straftaten oder Gefahren für die öffentliche Sicherheit durch den Betreiber und die Übermittlung relevanter personenbezogener Daten an eine zuständige Behörde im Einzelfall oder in mehreren Fällen im Zusammenhang mit derselben Straftat oder mit denselben Gefahren für die öffentliche Sicherheit sollten als in Betracht gezogen werden berechtigtes Interesse des Betreibers. Allerdings sollte eine solche Übermittlung im berechtigten Interesse des Betreibers oder die anschließende Verarbeitung personenbezogener Daten verboten sein, wenn die Verarbeitung nicht mit einer gesetzlichen, beruflichen oder sonstigen Geheimhaltungspflicht vereinbar ist.
(51) Personenbezogene Daten, die ihrer Natur nach besonders sensibel im Hinblick auf die Grundrechte und Grundfreiheiten sind, bedürfen eines besonderen Schutzes, da der Kontext ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen könnte. Zu diesen personenbezogenen Daten sollten personenbezogene Daten gehören, aus denen die Rasse oder ethnische Herkunft hervorgeht. Die Verwendung des Begriffs „Rassenherkunft“ in dieser Verordnung bedeutet nicht, dass die Union Theorien akzeptiert, die die Existenz getrennter menschlicher Rassen belegen sollen. Die Verarbeitung von Fotos sollte nicht systematisch als Verarbeitung besonderer Kategorien personenbezogener Daten betrachtet werden, da Fotos nur dann unter die Definition biometrischer Daten fallen, wenn sie mit spezifischen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen . Solche personenbezogenen Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in bestimmten, in dieser Verordnung vorgesehenen Fällen zulässig, wobei zu berücksichtigen ist, dass das Recht der Mitgliedstaaten besondere Bestimmungen zum Datenschutz vorsehen kann, um die Anwendung der Vorschriften anzupassen dieser Verordnung zur Erfüllung einer gesetzlichen Verpflichtung oder zur Erfüllung einer Aufgabe, die einem öffentlichen Interesse dient oder sich aus der Ausübung öffentlicher Gewalt ergibt, mit der der Betreiber ausgestattet ist. Zusätzlich zu den spezifischen Anforderungen für eine solche Verarbeitung sollten die allgemeinen Grundsätze und sonstigen Regeln dieser Verordnung gelten, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung. Ausnahmen vom allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem dann, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt oder im Hinblick auf besondere Bedürfnisse, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Aktivitäten bestimmter Personen erfolgt Vereine oder Stiftungen, deren Zweck es ist, die Ausübung der Grundfreiheiten zu ermöglichen.
(52) Eine Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sollte auch dann zulässig sein, wenn das Unionsrecht oder das nationale Recht dies vorsieht, und sollte angemessenen Garantien unterliegen, damit personenbezogene Daten und andere Grundrechte geschützt werden, wenn dies der Fall ist aus Gründen des öffentlichen Interesses gerechtfertigt ist, insbesondere im Fall der Verarbeitung personenbezogener Daten im Bereich des Arbeitsrechts, des Sozialschutzes, einschließlich Renten, sowie zu Sicherheits-, Überwachungs- und Gesundheitswarnzwecken, zur Vorbeugung oder Bekämpfung übertragbarer Krankheiten und andere schwerwiegende Gesundheitsgefahren. Diese Ausnahmeregelung kann für medizinische Zwecke, einschließlich der öffentlichen Gesundheit und der Verwaltung medizinischer Hilfsdienste, gewährt werden, insbesondere um die Qualität und Kostenwirksamkeit der Verfahren zur Bearbeitung von Leistungs- und Leistungsanträgen innerhalb des Krankenversicherungssystems sicherzustellen, oder für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke. Außerdem sollte die Verarbeitung solcher personenbezogener Daten im Rahmen einer Ausnahmeregelung zulässig sein, wenn sie für die Geltendmachung, Ausübung oder Verteidigung eines Rechts vor Gericht erforderlich ist, unabhängig davon, ob sie innerhalb eines bestimmten Zeitraums erfolgt
Verfahren vor einem Gericht oder im Rahmen eines behördlichen oder außergerichtlichen Verfahrens.
(53) Besondere Kategorien personenbezogener Daten, die ein höheres Schutzniveau erfordern, sollten für gesundheitsbezogene Zwecke nur dann verarbeitet werden, wenn dies zur Erreichung dieser Zwecke zum Nutzen natürlicher Personen und der Gesellschaft im Allgemeinen erforderlich ist, insbesondere im Rahmen der Verwaltung die Gesundheits- oder Sozialhilfedienste und -systeme, einschließlich der Verarbeitung dieser Daten durch die Verwaltungsbehörden und durch die nationalen Zentralbehörden im Gesundheitsbereich zum Zweck der Qualitätskontrolle, der Bereitstellung von Managementinformationen und der allgemeinen Überwachung des Gesundheits- oder Gesundheitssektors Sozialhilfesystem auf nationaler und lokaler Ebene sowie im Zusammenhang mit der Gewährleistung der Kontinuität der medizinischen oder sozialen Hilfe und der grenzüberschreitenden medizinischen Hilfe oder für Sicherheits-, Überwachungs- und Gesundheitswarnzwecke oder für Archivierungszwecke im öffentlichen Interesse, für wissenschaftliche Zwecke oder für historische Forschungszwecke oder für statistische Zwecke auf der Grundlage des Unionsrechts oder des innerstaatlichen Rechts, die ein Ziel von öffentlichem Interesse verfolgen müssen, sowie im Fall von Studien, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Daher sollte diese Verordnung harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf besondere Bedürfnisse vorsehen, insbesondere wenn die Verarbeitung dieser Daten für bestimmte gesundheitsbezogene Zwecke durch Personen erfolgt, die einer gesetzlichen Verpflichtung unterliegen Verpflichtung zur Wahrung des Berufsgeheimnisses. Das Unionsrecht oder das nationale Recht sollten spezifische und geeignete Maßnahmen zum Schutz der Grundrechte und personenbezogenen Daten natürlicher Personen vorsehen. Die Mitgliedstaaten sollten in der Lage sein, zusätzliche Bedingungen, einschließlich Beschränkungen, für die Verarbeitung genetischer Daten, biometrischer Daten oder Gesundheitsdaten beizubehalten oder einzuführen. Dies sollte jedoch den freien Verkehr personenbezogener Daten innerhalb der Union nicht behindern, wenn diese Bedingungen für die grenzüberschreitende Verarbeitung dieser Daten gelten.
(54) Die Verarbeitung besonderer Kategorien personenbezogener Daten kann aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit ohne Einwilligung der betroffenen Person erforderlich sein. Voraussetzung für eine solche Verarbeitung sind geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen. In diesem Zusammenhang ist der Begriff „öffentliche Gesundheit“ so auszulegen, wie er in der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates (1), nämlich alle Elemente im Zusammenhang mit der Gesundheit und insbesondere den Gesundheitszustand, einschließlich Morbidität oder Behinderung, die bestimmenden Faktoren, die sich auf den Gesundheitszustand auswirken, die Bedürfnisse in den Bereich der medizinischen Hilfe, die für die medizinische Hilfe bereitgestellten Ressourcen, die Bereitstellung medizinischer Hilfe und die Gewährleistung des allgemeinen Zugangs dazu sowie die Ausgaben und Finanzierungsquellen im Gesundheitsbereich und die Todesursachen. Diese Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses sollte nicht dazu führen, dass Dritte, wie Arbeitgeber oder Versicherungen und Banken, diese Daten für andere Zwecke verarbeiten.
(1) Verordnung (EG) Nr. Verordnung Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 über Gemeinschaftsstatistiken zur öffentlichen Gesundheit sowie zu Gesundheit und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70).
(55) Darüber hinaus erfolgt die Verarbeitung personenbezogener Daten durch Behörden zur Erreichung verfassungsrechtlicher oder völkerrechtlicher Ziele staatlich anerkannter Religionsgemeinschaften aus Gründen des öffentlichen Interesses.
(56) Wenn es das Funktionieren des demokratischen Systems in einem Mitgliedstaat erfordert, dass politische Parteien personenbezogene Daten über die politische Meinung von Einzelpersonen sammeln, kann die Verarbeitung dieser Daten aus Gründen des öffentlichen Interesses zulässig sein. sofern entsprechende Garantien gegeben sind.
(57) Wenn die von einem Betreiber verarbeiteten personenbezogenen Daten es ihm nicht ermöglichen, eine natürliche Person zu identifizieren, sollte der Datenverwalter nicht verpflichtet sein, zusätzliche Informationen einzuholen, um die betroffene Person zu identifizieren, und zwar ausschließlich zum Zweck der Einhaltung einer dieser Bestimmungen die Bestimmungen dieser Verordnung. Der Betreiber sollte sich jedoch nicht weigern, die von der betroffenen Person bereitgestellten zusätzlichen Informationen einzuholen, um die Ausübung ihrer Rechte zu unterstützen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person umfassen, beispielsweise durch Mechanismen von
Authentifizierung wie etwa dieselben Anmeldeinformationen, die die betroffene Person für den Zugriff auf die vom Datenbetreiber angebotenen Online-Dienste verwendet.
(58) Der Grundsatz der Transparenz erfordert, dass alle an die Öffentlichkeit oder die betroffene Person gerichteten Informationen prägnant, leicht zugänglich und leicht verständlich sind und dass eine einfache und klare Sprache sowie gegebenenfalls eine Visualisierung verwendet werden. Diese Informationen könnten in elektronischer Form bereitgestellt werden, beispielsweise wenn sie über eine Website an die Öffentlichkeit gerichtet werden. Dies ist besonders wichtig in Situationen, in denen es für die betroffene Person aufgrund der Vielzahl von Akteuren und der Komplexität der Praxis aus technologischer Sicht schwierig ist, zu wissen und zu verstehen, ob die sie betreffenden personenbezogenen Daten erhoben werden wem und zu welchem Zweck, wie im Fall von Online-Werbung. Da Kinder besonderen Schutz benötigen, sollten alle Informationen und jegliche Kommunikation, wenn die Verarbeitung an ein Kind gerichtet ist, in einer einfachen und klaren Sprache erfolgen, damit das Kind sie leicht verstehen kann.
(59) Es sollten Modalitäten vorgesehen werden, um der betroffenen Person die Ausübung der ihr durch diese Verordnung verliehenen Rechte zu erleichtern, einschließlich der Mechanismen, mit denen sie insbesondere Zugang zu personenbezogenen Daten beantragen und gegebenenfalls unentgeltlich erhalten kann Daten sowie deren Berichtigung oder Löschung und Ausübung des Rechts auf Widerspruch. Der Betreiber sollte auch Möglichkeiten zur elektronischen Übermittlung von Anfragen anbieten, insbesondere wenn personenbezogene Daten auf elektronischem Wege verarbeitet werden. Der Betreiber sollte verpflichtet sein, unverzüglich und spätestens innerhalb eines Monats auf die Anfragen der betroffenen Personen zu reagieren und, falls er diesen Anfragen nicht nachzukommen beabsichtigt, die Gründe für diese Ablehnung anzugeben (60). ) Im Einklang mit den Grundsätzen der fairen Verarbeitung und transparent wird die betroffene Person über das Vorliegen eines Verarbeitungsvorgangs und dessen Zwecke informiert. Der Betreiber sollte der betroffenen Person alle zusätzlichen Informationen zur Verfügung stellen, die erforderlich sind, um eine faire und transparente Verarbeitung unter Berücksichtigung der besonderen Umstände und des Kontexts, in dem die personenbezogenen Daten verarbeitet werden, zu gewährleisten. Darüber hinaus sollte die betroffene Person über die Erstellung von Profilen sowie deren Folgen informiert werden. Wenn personenbezogene Daten von der betroffenen Person erhoben werden, sollte diese auch darüber informiert werden, ob sie zur Bereitstellung personenbezogener Daten verpflichtet ist und welche Folgen eine Verweigerung hat. Diese Informationen können in Kombination mit standardisierten Symbolen bereitgestellt werden, um auf leicht sichtbare, verständliche und klar lesbare Weise einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu geben. Wenn die Symbole in elektronischer Form vorliegen, sollten sie automatisch lesbar sein.
(61) Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten der betroffenen Person sollten ihr zum Zeitpunkt der Erhebung bei der betroffenen Person oder, wenn die personenbezogenen Daten aus einer anderen Quelle stammen, innerhalb einer angemessenen Frist zur Verfügung gestellt werden, je nachdem Umstände des Falles. Wenn die personenbezogenen Daten berechtigterweise an einen anderen Empfänger weitergegeben werden können, sollte die betroffene Person darüber informiert werden, wenn die personenbezogenen Daten zum ersten Mal an den Empfänger weitergegeben werden. Beabsichtigt der Betreiber, personenbezogene Daten für einen anderen Zweck als den, für den sie erhoben wurden, zu verarbeiten, sollte der Betreiber der betroffenen Person vor dieser Weiterverarbeitung Informationen über den jeweiligen Nebenzweck und weitere notwendige Informationen zur Verfügung stellen. Konnte die Herkunft der personenbezogenen Daten dem Betroffenen nicht mitgeteilt werden, da unterschiedliche Quellen genutzt wurden, sind allgemeine Informationen bereitzustellen. (62) Einer Verpflichtung zur Auskunftserteilung bedarf es jedoch nicht, wenn die betroffene Person bereits über die Auskunft verfügt, die Erhebung oder Weitergabe personenbezogener Daten gesetzlich ausdrücklich vorgesehen ist oder sich die Auskunftspflicht gegenüber der betroffenen Person als unzulänglich erweist unmöglich oder wäre mit unverhältnismäßigem Aufwand verbunden. Letzteres könnte insbesondere dann der Fall sein, wenn die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt. In diesem Zusammenhang sollten die Anzahl der betroffenen Personen, das Alter der Daten und etwaige geeignete Schutzmaßnahmen berücksichtigt werden.
(63) Eine betroffene Person sollte das Recht auf Zugang zu den sie betreffenden erfassten personenbezogenen Daten haben und dieses Recht einfach und in angemessenen Zeitabständen ausüben, um über die Verarbeitung informiert zu werden und deren Rechtmäßigkeit zu überprüfen. Dazu gehört auch das Recht der betroffenen Personen auf Zugang zu ihren Gesundheitsdaten, beispielsweise Daten aus ihren Akten
Krankenakten, die Informationen wie Diagnosen, Untersuchungsergebnisse, Beurteilungen behandelnder Ärzte und durchgeführte Behandlungen oder Eingriffe enthalten. Jede betroffene Person sollte daher das Recht haben, insbesondere die Zwecke, für die die Daten verarbeitet werden, möglichst den Zeitraum, für den die personenbezogenen Daten verarbeitet werden, die Empfänger der personenbezogenen Daten und die Logik der automatischen Datenverarbeitung zu erfahren und darüber informiert zu werden Verarbeitung personenbezogener Daten und, zumindest wenn sie auf der Erstellung von Profilen beruht, die Folgen einer solchen Verarbeitung. Wenn dies möglich ist, sollte der für die Datenverarbeitung Verantwortliche in der Lage sein, einen Fernzugriff auf ein sicheres System bereitzustellen, das der betroffenen Person direkten Zugriff auf ihre personenbezogenen Daten ermöglicht. Dieses Recht sollte die Rechte und Freiheiten anderer nicht beeinträchtigen, einschließlich Geschäftsgeheimnissen oder geistigem Eigentum und insbesondere Urheberrechten, die den Schutz von Softwareprogrammen gewährleisten. Die oben genannten Überlegungen sollten jedoch nicht dazu führen, dass der betroffenen Person die Bereitstellung sämtlicher Informationen verweigert wird. Wenn der Betreiber eine große Menge an Informationen über die betroffene Person verarbeitet, sollte der Betreiber verlangen können, dass die betroffene Person vor der Bereitstellung der Informationen angibt, auf welche Informationen oder Verarbeitungstätigkeiten sich ihre Anfrage bezieht. (64) Der Betreiber sollte alle angemessenen Maßnahmen ergreifen, um die Identität einer betroffenen Person zu überprüfen, die Zugriff auf Daten beantragt, insbesondere im Zusammenhang mit Online-Diensten und Online-Identifikatoren. Ein Betreiber sollte personenbezogene Daten nicht ausschließlich zu dem Zweck aufbewahren, auf mögliche Anfragen reagieren zu können.
(65) Eine betroffene Person sollte das Recht auf Berichtigung der sie betreffenden personenbezogenen Daten und das „Recht auf Vergessenwerden“ haben, wenn die Speicherung dieser Daten gegen diese Verordnung oder das Unionsrecht oder das interne Recht, dem der Betreiber unterliegt, verstößt. Insbesondere sollten betroffene Personen das Recht haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder verarbeitet werden, nicht mehr erforderlich sind und die betroffenen Personen ihre Einwilligung widerrufen haben für die Verarbeitung oder für den Fall, dass sie der Verarbeitung ihrer personenbezogenen Daten widersprechen oder für den Fall, dass die Verarbeitung ihrer personenbezogenen Daten nicht im Einklang mit dieser Verordnung steht. Dieses Recht ist insbesondere dann relevant, wenn die betroffene Person als Kind ihre Einwilligung erteilt hat, sich der mit der Verarbeitung verbundenen Risiken nicht vollständig bewusst war und diese personenbezogenen Daten später, insbesondere aus dem Internet, entfernen möchte. Der Betroffene soll die Möglichkeit haben, dieses Recht auch dann auszuüben, wenn er kein Kind mehr ist. Die weitere Speicherung personenbezogener Daten sollte jedoch rechtmäßig sein, wenn sie zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, zur Erfüllung einer Aufgabe, die einem öffentlichen Interesse dient oder sich aus der Ausübung des Rechts ergibt, erforderlich ist öffentliche Gewalt, die dem Betreiber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder zur Feststellung übertragen wird, Ausübung oder Verteidigung eines Rechts vor Gericht.
(66) Um das „Recht auf Vergessenwerden“ im Online-Umfeld zu stärken, sollte das Recht auf Löschung dahingehend ausgeweitet werden, dass ein Betreiber, der personenbezogene Daten öffentlich gemacht hat, verpflichtet sein sollte, die Betreiber, die diese Daten verarbeiten, über personenbezogene Daten zu informieren jegliche Links zu den betreffenden Daten oder Kopien oder Reproduktionen davon zu löschen. Zu diesem Zweck sollte der betreffende Betreiber unter Berücksichtigung der verfügbaren Technologie und der ihm zur Verfügung stehenden Mittel, einschließlich technischer Maßnahmen, angemessene Maßnahmen ergreifen, um die Betreiber, die die personenbezogenen Daten verarbeiten, über die Anfrage der betroffenen Person zu informieren.
(67) Zu den Methoden zur Einschränkung der Verarbeitung personenbezogener Daten könnten unter anderem die vorübergehende Verschiebung ausgewählter personenbezogener Daten in ein anderes Verarbeitungssystem oder die Sperrung des Benutzerzugriffs auf die ausgewählten Daten oder die vorübergehende Entfernung der von am veröffentlichten Daten gehören eine Website. Bei den automatisierten Datenerfassungssystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel derart sichergestellt werden, dass die personenbezogenen Daten keinen weiteren Verarbeitungsvorgängen unterliegen und nicht verändert werden können. Auf die Einschränkung der Verarbeitung personenbezogener Daten sollte im System deutlich hingewiesen werden.
(68) Um die Kontrolle über die eigenen Daten zusätzlich zu erhöhen, sollte die betroffene Person im Falle einer automatisierten Verarbeitung personenbezogener Daten die Möglichkeit haben, die sie betreffenden personenbezogenen Daten, die sie einem Betreiber bereitgestellt hat, zu erhalten ein strukturiertes Format, aktuell verwendet, automatisch verarbeitet und interoperabel und um sie an einen anderen Betreiber übertragen zu können. Datenbetreiber sollten ermutigt werden, interoperable Formate zu entwickeln, die die Datenportabilität ermöglichen. Dieses Recht soll gelten, wenn die betroffene Person die personenbezogenen Daten auf Grundlage ihrer eigenen Einwilligung bereitgestellt hat oder wenn die Datenverarbeitung für die Durchführung eines Vertrags erforderlich ist. Dieses Recht sollte nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als der Einwilligung oder dem Vertrag beruht. Naturgemäß sollte dieses Recht nicht gegenüber Betreibern ausgeübt werden, die personenbezogene Daten in Ausübung ihrer öffentlichen Aufgaben verarbeiten. Dies gilt insbesondere dann nicht, wenn die Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Betreiber unterliegt, erforderlich ist oder wenn es sich um die Wahrnehmung einer Aufgabe handelt, die einem öffentlichen Interesse dient oder sich aus der Ausübung einer Aufgabe ergibt Behörde öffentliche, mit der der Betreiber investiert ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für die Betreiber nicht die Verpflichtung begründen, technisch kompatible Verarbeitungssysteme einzuführen oder aufrechtzuerhalten. Wenn an einem bestimmten Satz personenbezogener Daten mehrere betroffene Personen beteiligt sind, sollte das Recht auf Erhalt personenbezogener Daten gemäß dieser Verordnung die Rechte und Freiheiten anderer betroffener Personen nicht beeinträchtigen. Außerdem sollte dieses Recht das Recht der betroffenen Person auf Löschung personenbezogener Daten und die in dieser Verordnung vorgesehenen Beschränkungen dieses Rechts nicht beeinträchtigen und insbesondere nicht die Löschung personenbezogener Daten im Zusammenhang mit der betroffenen Person umfassen Betroffener verarbeitet die von ihm im Rahmen der Vertragsabwicklung bereitgestellten Daten in dem Umfang und der Dauer, wie die jeweiligen Daten für die Vertragsabwicklung erforderlich sind. Die betroffene Person sollte das Recht haben, dass personenbezogene Daten direkt von einem Betreiber an einen anderen übermittelt werden, sofern dies technisch machbar ist.
(69) In Fällen, in denen personenbezogene Daten rechtmäßig verarbeitet werden könnten, weil die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die einem öffentlichen Interesse dient oder sich aus der Ausübung öffentlicher Gewalt ergibt, mit der der Betreiber ausgestattet ist, oder auf der Grundlage der berechtigten Interessen von Ein Datensubjekt, das ein Betreiber oder ein Dritter ist, sollte weiterhin das Recht haben, der Verarbeitung personenbezogener Daten im Zusammenhang mit seiner besonderen Situation zu widersprechen. Es sollte in der Verantwortung des Betreibers liegen, nachzuweisen, dass seine berechtigten und zwingenden Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.
(70) Wenn personenbezogene Daten für Direktmarketingzwecke verarbeitet werden, sollte die betroffene Person das Recht haben, dieser Verarbeitung zu widersprechen, einschließlich der Erstellung von Profilen, soweit diese mit Direktmarketing in Zusammenhang stehen, unabhängig davon, ob es sich bei der betreffenden Verarbeitung um die Verarbeitung handelt jederzeit und kostenlos einen Erst- oder Folgetermin vereinbaren. Dieses Recht sollte der betroffenen Person ausdrücklich zur Kenntnis gebracht und klar und getrennt von allen anderen Informationen dargestellt werden.
(71) Die betroffene Person sollte das Recht haben, nicht einer Entscheidung unterworfen zu werden, die eine Maßnahme zur Bewertung persönlicher Aspekte der betroffenen Person umfassen kann, die ausschließlich auf dieser Entscheidung beruht
Die Verarbeitung erfolgt automatisch und erzeugt Rechtswirkungen, die die betroffene Person betreffen oder sie in ähnlicher Weise erheblich beeinträchtigen, wie etwa die automatische Ablehnung eines Online-Kreditantrags oder elektronische Einstellungspraktiken, ohne dass ein menschliches Eingreifen erforderlich ist. Zu dieser Verarbeitung gehört auch das „Profiling“, das jede Form der automatischen Verarbeitung personenbezogener Daten umfasst
durch die Bewertung persönlicher Aspekte einer natürlichen Person, insbesondere um bestimmte Aspekte hinsichtlich der Leistungsfähigkeit der betroffenen Person am Arbeitsplatz, der wirtschaftlichen Lage, des Gesundheitszustands, persönlicher Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten zu analysieren oder vorherzusagen,
der Aufenthaltsort oder Bewegungen, wenn dadurch Rechtswirkungen entstehen, die den Betroffenen betreffen oder ihn in ähnlicher Weise erheblich beeinträchtigen. Allerdings sollte die Entscheidungsfindung auf der Grundlage einer solchen Verarbeitung, einschließlich Profiling, zulässig sein, wenn dies ausdrücklich durch das Unionsrecht oder das für den Betreiber geltende nationale Recht, auch für diesen Zweck, gestattet ist
die Überwachung und Verhinderung von Betrug und Steuerhinterziehung, die gemäß den Vorschriften durchgeführt wird,
den Standards und Empfehlungen von Unionsinstitutionen oder nationalen Aufsichtsbehörden sowie zur Gewährleistung der Sicherheit und Zuverlässigkeit eines vom Betreiber angebotenen Dienstes oder gegebenenfalls eines solchen
für den Abschluss oder die Durchführung eines Vertrags zwischen der betroffenen Person und einem Betreiber erforderlich ist oder die betroffene Person ausdrücklich ihre Einwilligung erteilt hat. In jedem Fall sollte eine solche Verarbeitung angemessenen Garantien unterliegen, zu denen eine spezifische Information der betroffenen Person und ihr Recht auf menschliches Eingreifen gehören sollten
den Standpunkt darlegen, eine Erklärung zu der im Anschluss an eine solche Bewertung getroffenen Entscheidung erhalten,
sowie das Recht, gegen die Entscheidung Berufung einzulegen. Eine solche Maßnahme sollte sich nicht auf ein Kind beziehen.
Um eine faire und transparente Verarbeitung gegenüber der betroffenen Person zu gewährleisten, haben wir in
Angesichts der besonderen Umstände und des Kontexts, in dem die personenbezogenen Daten verarbeitet werden, sollte der Betreiber geeignete mathematische oder statistische Verfahren zur Erstellung von Profilen verwenden und geeignete technische und organisatorische Maßnahmen ergreifen, um insbesondere sicherzustellen, dass die Faktoren, die zu Ungenauigkeiten in den personenbezogenen Daten führen, berücksichtigt werden Natur korrigiert werden und dass das Risiko von Fehlern besteht
auf ein Minimum zu reduzieren sowie personenbezogene Daten in einer Weise zu schützen, die den potenziellen Gefahren für die Interessen und Rechte der betroffenen Person Rechnung trägt und unter anderem diskriminierende Wirkungen gegenüber Menschen aufgrund der Rasse oder ethnischen Zugehörigkeit verhindert Herkunft, Meinungen, Politik, Religion
oder Überzeugungen, Gewerkschaftszugehörigkeit, genetische Merkmale, Gesundheitszustand oder sexuelle Orientierung oder Verarbeitung, die zu Maßnahmen führt, die solche Auswirkungen haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien personenbezogener Daten sollten erlaubt sein
nur unter bestimmten Voraussetzungen.
(am 23. Mai 2018, Absatz (71
) korrigiert durch Punkt 1. der Berichtigung vom 23. Mai 2018 )
(72) Für die Erstellung von Profilen gelten die Regelungen dieser Verordnung, die die Verarbeitung personenbezogener Daten regeln, etwa die Rechtsgrundlagen der Verarbeitung oder die Grundsätze des Datenschutzes. Der durch diese Verordnung eingerichtete Europäische Datenschutzausschuss („der Ausschuss“) sollte in diesem Zusammenhang Leitlinien herausgeben können.
(73) Das Unionsrecht oder das innerstaatliche Recht können Einschränkungen in Bezug auf bestimmte Grundsätze vorsehen, etwa in Bezug auf das Recht auf Information, das Recht auf Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung, in Bezug auf das Recht auf Datenübertragbarkeit, das Recht auf Widerspruch oder auf Entscheidungen, die auf dieser Grundlage getroffen werden die Erstellung von Profilen sowie die Mitteilung einer Verletzung der Sicherheit personenbezogener Daten an die betroffene Person und bestimmte damit verbundene Pflichten der Betreiber, soweit dies in einer demokratischen Gesellschaft zum Schutz der öffentlichen Sicherheit erforderlich und verhältnismäßig ist gewährleistet ist, einschließlich des Schutzes menschlichen Lebens, insbesondere bei Naturkatastrophen oder von Menschen verursachten Katastrophen, der Verhütung, Aufklärung und Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit oder vor ethischen Verstößen im Falle von reglementierter Berufe und deren Verhinderung, sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, die Führung öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses , die anschließende Verarbeitung archivierter personenbezogener Daten zur Übermittlung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten während der Regime ehemaliger totalitärer Staaten, dem Schutz der betroffenen Person oder den Rechten und Freiheiten Dritter, einschließlich sozialer Schutz, öffentliche Gesundheit und humanitärer Zwecke. Diese Beschränkungen sollten den Anforderungen der Charta und der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten entsprechen.
(74) Die Verantwortung und Haftung des Betreibers sollte für jede von ihm oder in seinem Namen durchgeführte Verarbeitung personenbezogener Daten festgelegt werden. Insbesondere sollte der Betreiber verpflichtet sein, angemessene und wirksame Maßnahmen umzusetzen und die Übereinstimmung der Verarbeitungstätigkeiten mit dieser Verordnung, einschließlich der Wirksamkeit der Maßnahmen, nachweisen zu können. Diese Maßnahmen sollten Art, Umfang, Kontext und Zwecke der Verarbeitung sowie das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
(75) Das Risiko für die Rechte und Freiheiten natürlicher Personen mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere kann sich aus einer Verarbeitung personenbezogener Daten ergeben, die insbesondere in bestimmten Fällen zu Schäden physischer, materieller oder moralischer Art führen kann Dabei kann die Verarbeitung zu Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten oder Kompromissen führen
Ruf, Verlust der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, unbefugte Aufhebung der Pseudonymisierung oder sonstige erhebliche Nachteile wirtschaftlicher oder sozialer Art; Betroffene Personen könnten ihrer Rechte und Freiheiten beraubt oder daran gehindert werden, die Kontrolle über ihre personenbezogenen Daten auszuüben; Bei den verarbeiteten personenbezogenen Daten handelt es sich um Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, Religion oder philosophische Überzeugungen sowie die Mitgliedschaft in einer Gewerkschaft hervorgehen. genetische Daten, Gesundheitsdaten oder Sexuallebensdaten oder strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen verarbeitet werden; Aspekte persönlicher Natur werden ausgewertet, insbesondere die Analyse oder Prognose von Aspekten der Arbeitsleistung, der wirtschaftlichen Situation, des Gesundheitszustands, persönlicher Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Standort oder Reisen, um persönliche Profile zu erstellen oder zu nutzen ; Es werden personenbezogene Daten schutzbedürftiger Personen, insbesondere von Kindern, verarbeitet. oder die Verarbeitung umfasst eine große Menge personenbezogener Daten und betrifft eine große Anzahl betroffener Personen.
(76) Die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten je nach Art, Umfang, Kontext und Zweck der Verarbeitung personenbezogener Daten bestimmt werden. Die Risikobewertung sollte auf der Grundlage einer objektiven Beurteilung erfolgen, bei der festgestellt wird, ob die Datenverarbeitungsvorgänge ein Risiko oder ein hohes Risiko darstellen. (77) Leitlinien für die Umsetzung geeigneter Maßnahmen und für den Nachweis der Einhaltung durch den Betreiber oder die von ihm beauftragte Person, insbesondere hinsichtlich der Identifizierung des mit der Verarbeitung verbundenen Risikos und seiner Bewertung unter dem Gesichtspunkt der Herkunft und Art , Eintrittswahrscheinlichkeit und Schwere sowie die Ermittlung bewährter Verfahren zur Risikominderung könnten insbesondere durch genehmigte Verhaltenskodizes, genehmigte Zertifizierungen, Ausschussrichtlinien oder durch Hinweise eines Datenschutzbeauftragten erfolgen. Der Ausschuss kann auch Leitlinien zu Verarbeitungsvorgängen herausgeben, bei denen es unwahrscheinlich ist, dass sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, und die Maßnahmen angeben, die sich in solchen Fällen als ausreichend erweisen können, um einem solchen Risiko zu begegnen.
(78) Der Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten erfordert die Ergreifung geeigneter technischer und organisatorischer Maßnahmen, um die Erfüllung der Anforderungen dieser Verordnung sicherzustellen. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Betreiber interne Richtlinien erlassen und Maßnahmen umsetzen, die insbesondere den Grundsatz des Datenschutzes ab dem Zeitpunkt der Konzeption und den Grundsatz des impliziten Datenschutzes respektieren. Solche Maßnahmen könnten unter anderem darin bestehen, die Verarbeitung personenbezogener Daten zu minimieren, diese Daten so schnell wie möglich zu pseudonymisieren, Transparenz über die Funktionen und Verarbeitung personenbezogener Daten zu schaffen, dem Betroffenen die Möglichkeit zu geben, die Datenverarbeitung zu überwachen, und dem Betreiber die Möglichkeit zu geben, Sicherheitsmaßnahmen zu schaffen und sie verbessern. Bei der Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die auf die Verarbeitung personenbezogener Daten angewiesen sind oder die zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller dieser Produkte und die Anbieter dieser Dienste und Anwendungen dazu angehalten werden, dies zu berücksichtigen Das Recht auf Datenschutz zum Zeitpunkt der Entwicklung und Gestaltung solcher Produkte, Dienstleistungen und Anwendungen zu berücksichtigen und unter Berücksichtigung des aktuellen Entwicklungsstands sicherzustellen, dass die Betreiber und von den Betreibern autorisierten Personen ihren Pflichten in Bezug auf Datenschutz nachkommen können zum Datenschutz. Der Grundsatz des Datenschutzes bereits bei der Konzeption und des impliziten Datenschutzes sollte auch im Rahmen öffentlicher Ausschreibungen berücksichtigt werden.
(79) Der Schutz der Rechte und Freiheiten der betroffenen Personen sowie die Verantwortung und Haftung der Betreiber und von ihnen beauftragten Personen, auch im Hinblick auf die Kontrolle durch die Aufsichtsbehörden und die von ihnen getroffenen Maßnahmen, bedarf einer eindeutigen Zuordnung der Verantwortlichkeiten gemäß dieser Verordnung, auch wenn ein Betreiber gemeinsam mit anderen Betreibern die Zwecke und Mittel der Verarbeitung festlegt oder wenn ein Verarbeitungsvorgang im Auftrag eines Betreibers durchgeführt wird.
(80) Wenn ein Betreiber oder eine von ihm beauftragte Person, die nicht in der Union ansässig ist, personenbezogene Daten von betroffenen Personen verarbeitet, die sich im Gebiet der Union befinden, und
seine Verarbeitungstätigkeiten stehen im Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen für betroffene Personen in der Union, unabhängig davon, ob die betroffene Person eine Zahlung verlangt oder nicht, oder mit der Überwachung des Verhaltens betroffener Personen, wenn dieses innerhalb der Union erfolgt , sollte der Betreiber oder die von ihm bevollmächtigte Person einen Vertreter ernennen, es sei denn, die Verarbeitung ist gelegentlicher Natur und umfasst nicht die groß angelegte Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten und es ist unwahrscheinlich, dass sie ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, wenn man die Art, den Kontext, den Umfang und die Zwecke der Verarbeitung sowie den Fall berücksichtigt, dass der Betreiber eine Behörde oder eine öffentliche Einrichtung ist. Der Vertreter sollte im Namen des Betreibers oder einer vom Betreiber bevollmächtigten Person handeln und für jede Aufsichtsbehörde erreichbar sein. Der Vertreter sollte ausdrücklich durch eine schriftliche Vollmacht des Betreibers oder einer vom Betreiber bevollmächtigten Person benannt werden, in seinem/ihrem Namen im Hinblick auf seine Pflichten gemäß dieser Verordnung zu handeln. Durch die Bestellung eines solchen Vertreters wird die Verantwortung oder Haftung des Betreibers oder der von ihm gemäß dieser Verordnung Bevollmächtigten nicht berührt. Ein solcher Vertreter sollte seine Pflichten im Einklang mit dem Auftrag erfüllen, den er vom Betreiber oder der von ihm bevollmächtigten Person erhalten hat, einschließlich der Zusammenarbeit mit den zuständigen Aufsichtsbehörden bei allen Maßnahmen, die zur Gewährleistung der Einhaltung dieser Verordnung ergriffen werden. Der benannte Vertreter sollte Verfahren unterliegen, um die Einhaltung der Gesetze im Falle einer Nichteinhaltung dieser Verordnung durch den Betreiber oder eine vom Betreiber bevollmächtigte Person sicherzustellen.
(81) Um die Einhaltung der in dieser Verordnung festgelegten Anforderungen an die Verarbeitung zu gewährleisten, die im Namen des Betreibers durch die vom Betreiber bevollmächtigte Person durchgeführt werden muss, wird bei der Übertragung von Verarbeitungstätigkeiten an eine vom Betreiber bevollmächtigte Person letzterer verpflichtet Für die Umsetzung technischer und organisatorischer Maßnahmen, die den Anforderungen dieser Verordnung, auch an die Verarbeitungssicherheit, genügen, sollten ausschließlich autorisierte Personen eingesetzt werden, die ausreichende Garantien insbesondere hinsichtlich Fachkenntnis, Zuverlässigkeit und Ressourcen bieten. Die Einhaltung eines genehmigten Verhaltenskodex oder eines genehmigten Zertifizierungsmechanismus durch die vom Betreiber autorisierte Person kann als Element zum Nachweis der Einhaltung der Verpflichtungen des Betreibers herangezogen werden. Die Durchführung der Verarbeitung durch eine von einem Betreiber autorisierte Person sollte durch einen Vertrag oder einen anderen Rechtsakt auf der Grundlage des Unionsrechts oder des innerstaatlichen Rechts geregelt werden, der Pflichten für die vom Betreiber autorisierte Person gegenüber dem Betreiber begründet die den Gegenstand und die Dauer der Verarbeitung, die Art und die Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen festlegt und die spezifischen Aufgaben und Verantwortlichkeiten der vom Betreiber in diesem Zusammenhang autorisierten Person berücksichtigen sollte der durchzuführenden Verarbeitung sowie das Risiko für die Rechte und Freiheiten der betroffenen Person. Der Betreiber und die von ihm bevollmächtigte Person können sich für die Verwendung eines Einzelvertrags oder von Standardvertragsklauseln entscheiden, die entweder direkt von der Kommission oder von einer Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren angenommen und dann von der Kommission angenommen werden. Nach Abschluss der Verarbeitung im Auftrag des Betreibers muss die vom Betreiber bevollmächtigte Person die personenbezogenen Daten zurückgeben oder je nach Wahl des Betreibers löschen, es sei denn, es besteht eine Verpflichtung zur Speicherung personenbezogener Daten nach dem Unionsrecht oder dem internen Recht, das dies vorsieht Pflichten der vom Betreiber beauftragten Person.
(82) Um die Einhaltung dieser Verordnung nachzuweisen, sollte der Betreiber oder die von ihm bevollmächtigte Person Aufzeichnungen über die Verarbeitungstätigkeiten unter seiner Verantwortung führen. Jeder Betreiber und jede von ihm beauftragte Person sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage diese Aufzeichnungen zur Verfügung zu stellen, damit sie zum Zweck der Überwachung der jeweiligen Verarbeitungsvorgänge verwendet werden können. (83) Um die Sicherheit zu gewährleisten und eine Verarbeitung zu verhindern, die gegen diese Verordnung verstößt, sollte der Betreiber oder die von ihm bevollmächtigte Person die mit der Verarbeitung verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen, beispielsweise Verschlüsselung. Diese Maßnahmen sollten ein angemessenes Maß an Sicherheit, einschließlich Vertraulichkeit, unter Berücksichtigung des aktuellen Entwicklungsstands und der Implementierungskosten im Verhältnis zu den Risiken und der Art der Daten gewährleisten
persönlicher Charakter, dessen Schutz gewährleistet sein muss. Bei der Bewertung des Risikos für die Sicherheit personenbezogener Daten sollte auf die mit der Datenverarbeitung verbundenen Risiken geachtet werden, wie z. B. Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugter Zugriff auf personenbezogene Daten, die auf andere Weise versehentlich oder versehentlich übermittelt, gespeichert oder verarbeitet werden rechtswidrig handeln, was insbesondere zu körperlichen, materiellen oder moralischen Schäden führen kann.
(84) Um die Einhaltung der Bestimmungen dieser Verordnung in Fällen zu fördern, in denen Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, sollte der Betreiber für die Durchführung einer Folgenabschätzung zum Datenschutz verantwortlich sein. die insbesondere den Ursprung, die Art, die Spezifität und die Schwere dieses Risikos abschätzt. Das Ergebnis der Bewertung sollte bei der Festlegung der geeigneten Maßnahmen zum Nachweis, dass die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung erfolgt, berücksichtigt werden. Ergibt die Abschätzung der Auswirkungen auf den Datenschutz, dass die Verarbeitungsvorgänge mit einem hohen Risiko verbunden sind, das der Betreiber nicht mit geeigneten Maßnahmen im Hinblick auf die verfügbare Technologie und den Implementierungsaufwand abmildern kann, sollte vor der Verarbeitung eine Konsultation mit der Datenschutzbehörde stattfinden .
(85) Wenn die Verletzung der Sicherheit personenbezogener Daten nicht rechtzeitig und in angemessener Weise behoben wird, kann sie zu physischen, materiellen oder moralischen Schäden für natürliche Personen führen, beispielsweise zum Verlust der Kontrolle über ihre personenbezogenen Daten oder zur Einschränkung Verletzung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, unbefugte Umkehrung der Pseudonymisierung, Beeinträchtigung des Rufs, Verlust der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, oder jeder andere erhebliche Nachteil wirtschaftlicher oder sozialer Art für die betreffende natürliche Person. Daher sollte der Betreiber, sobald ihm eine Verletzung der Sicherheit personenbezogener Daten bekannt wird, die Aufsichtsbehörde unverzüglich und, wenn möglich, spätestens 72 Stunden, nachdem er von der Verletzung Kenntnis erlangt hat, über diese Verletzung informieren, es sei denn, der Betreiber ist selbst davon betroffen im Einklang mit dem Grundsatz der Verantwortlichkeit nachweisen können, dass die Verletzung der Sicherheit personenbezogener Daten voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Wenn die Benachrichtigung nicht innerhalb von 72 Stunden erfolgen kann, sollte sie die Gründe für die Verzögerung enthalten und die Informationen können schrittweise und ohne weitere Verzögerung bereitgestellt werden.
(86) Der Betreiber sollte der betroffenen Person einen Verstoß gegen die Sicherheit personenbezogener Daten unverzüglich mitteilen, wenn der Verstoß voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Person mit sich bringt, damit dieser die entsprechenden Maßnahmen ergreifen kann notwendigen Vorsichtsmaßnahmen. Die Mitteilung sollte die Art der Verletzung der Sicherheit personenbezogener Daten beschreiben und Empfehlungen für die betreffende natürliche Person enthalten, um etwaige negative Auswirkungen abzumildern. Mitteilungen an betroffene Personen sollten so bald wie möglich und in enger Zusammenarbeit mit der Aufsichtsbehörde unter Einhaltung der von ihr oder anderen zuständigen Behörden, wie etwa Strafverfolgungsbehörden, bereitgestellten Richtlinien erfolgen. Beispielsweise würde die Notwendigkeit, ein unmittelbares Schadensrisiko zu mindern, eine unverzügliche Kommunikation mit den betroffenen Personen erfordern, während die Notwendigkeit, geeignete Maßnahmen gegen weitere Verstöße gegen die Sicherheit personenbezogener Daten oder ähnliche Verstöße gegen die Sicherheit personenbezogener Daten zu ergreifen, eine längere Frist für die Kommunikation rechtfertigen könnte. (87) Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- und Organisationsmaßnahmen umgesetzt wurden, um sofort festzustellen, ob eine Verletzung der Sicherheit personenbezogener Daten vorliegt, und um die Aufsichtsbehörde und die betroffene Person unverzüglich zu informieren. Die Tatsache, dass die Meldung unverzüglich erfolgte, sollte unter Berücksichtigung insbesondere der Art und Schwere der Verletzung der Sicherheit personenbezogener Daten sowie ihrer Folgen und negativen Auswirkungen auf die betroffene Person festgestellt werden. Diese Meldung kann zu einem Eingreifen der Aufsichtsbehörde gemäß den in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.
(88) Bei der Festlegung detaillierter Regeln für das Format und die Verfahren, die für die Meldung von Verstößen gegen die Sicherheit personenbezogener Daten gelten, sollten die Umstände, unter denen der Verstoß aufgetreten ist, gebührend berücksichtigt werden, einschließlich der Feststellung, ob der Schutz personenbezogener Daten gewährleistet ist
Die personenbezogenen Daten wurden nicht durch geeignete technische Schutzmaßnahmen gewährleistet, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen missbräuchlicher Nutzung wirksam begrenzen würden. Darüber hinaus sollten solche Regeln und Verfahren die berechtigten Interessen der Strafverfolgungsbehörden in Fällen berücksichtigen, in denen eine vorzeitige Offenlegung die Untersuchung der Umstände, unter denen es zu einer Verletzung des Schutzes personenbezogener Daten kam, unnötig erschweren könnte.
(89) Die Richtlinie 95/46/EG sah eine allgemeine Verpflichtung vor, die Verarbeitung personenbezogener Daten den Aufsichtsbehörden zu melden. Obwohl die entsprechende Verpflichtung administrativen und finanziellen Aufwand mit sich bringt, hat sie nicht immer zur Verbesserung des Schutzes personenbezogener Daten beigetragen. Daher sollten solche undifferenzierten allgemeinen Meldepflichten aufgehoben und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen auf diejenigen Arten von Verarbeitungsvorgängen konzentrieren, die aufgrund ihrer Natur, ihres Umfangs und ihres Umfangs voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen ihrem Kontext und ihren Zielen. Bei solchen Verarbeitungsvorgängen kann es sich um solche handeln, die insbesondere den Einsatz neuer Technologien voraussetzen oder eine neue Art von Vorgängen darstellen, für die zuvor keine Datenschutz-Folgeabschätzung durch den Betreiber durchgeführt wurde oder die zum jetzigen Zeitpunkt erforderlich werden Zeitspanne, die seit der Erstverarbeitung vergangen ist.
(90) In solchen Fällen sollte der Betreiber vor der Verarbeitung eine Bewertung der Auswirkungen auf den Datenschutz durchführen, um den konkreten Grad der Wahrscheinlichkeit des Eintritts des hohen Risikos und seine Schwere unter Berücksichtigung der Art und des Umfangs zu bewerten , den Kontext und die Zwecke der Verarbeitung sowie die Risikoquellen. Die jeweilige Folgenabschätzung sollte insbesondere die Maßnahmen, Garantien und Mechanismen umfassen, die zur Minderung des jeweiligen Risikos, zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung dieser Verordnung in Betracht gezogen werden.
(91) Dies sollte insbesondere für groß angelegte Verarbeitungsvorgänge gelten, die darauf abzielen, eine erhebliche Menge personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, von denen eine große Zahl von Zielpersonen betroffen sein könnte und dies wahrscheinlich auch tun wird ein hohes Risiko erzeugen, beispielsweise aufgrund ihrer Sensibilität, wenn entsprechend dem erreichten technischen Kenntnisstand eine neue Technologie in großem Umfang eingesetzt wird, sowie andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte erzeugen und Freiheiten der betroffenen Personen, insbesondere wenn die jeweiligen Vorgänge die Möglichkeiten der betroffenen Personen zur Ausübung ihrer Rechte einschränken. Eine Bewertung der Auswirkungen auf den Datenschutz sollte auch in Situationen durchgeführt werden, in denen personenbezogene Daten zum Zwecke der Entscheidungsfindung gegenüber bestimmten natürlichen Personen verarbeitet werden, und zwar nach einer systematischen und umfassenden Bewertung der persönlichen Aspekte natürlicher Personen auf der Grundlage der Erstellung von Daten Profile für die jeweiligen Daten oder im Anschluss an die Verarbeitung besonderer Kategorien personenbezogener Daten, biometrischer Daten oder Daten über strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen. Eine Abschätzung der datenschutzrechtlichen Auswirkungen ist auch bei der großflächigen Überwachung öffentlich zugänglicher Bereiche erforderlich, insbesondere beim Einsatz optoelektronischer Geräte oder bei sonstigen Vorgängen, bei denen die zuständige Aufsichtsbehörde die Verarbeitung als wahrscheinlich erachtet ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, insbesondere weil sie betroffene Personen daran hindern, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag in Anspruch zu nehmen, oder weil sie systematisch und in großem Umfang durchgeführt werden. Die Verarbeitung personenbezogener Daten sollte nicht als groß angelegt angesehen werden, wenn sich die Verarbeitung auf personenbezogene Daten von Patienten oder Klienten durch einen bestimmten Arzt, eine andere medizinische Fachkraft oder einen Anwalt bezieht. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht verpflichtend sein.
(92) Unter bestimmten Umständen kann es sinnvoll und wirtschaftlich sinnvoll sein, dass eine Datenschutz-Folgenabschätzung eine breitere Perspektive als die eines einzelnen Projekts hat, beispielsweise wenn Behörden oder öffentliche Stellen beabsichtigen, eine gemeinsame Anwendungs- oder Verarbeitungsplattform einzurichten oder in bestimmten Fällen Mehrere Betreiber beabsichtigen, eine gemeinsame Anwendung oder eine gemeinsame Verarbeitungsumgebung innerhalb eines Industriesektors oder -segments oder für eine horizontale Tätigkeit in großem Maßstab einzuführen.
(93) Im Rahmen der Verabschiedung der nationalen Rechtsvorschriften, auf denen die Erfüllung der Aufgaben der Behörde oder öffentlichen Stelle beruht und die den betreffenden Vorgang oder die Reihe von Verarbeitungsvorgängen regeln, können die Mitgliedstaaten dies für erforderlich halten Führen Sie eine solche Beurteilung durch, bevor Sie die Verarbeitungstätigkeiten durchführen.
(94) Wenn eine Folgenabschätzung zum Datenschutz ergibt, dass die Verarbeitung ohne Garantien, Sicherheitsmaßnahmen und Risikominderungsmechanismen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde und der Betreiber der Ansicht ist, dass dieses Risiko besteht Wenn dies im Hinblick auf verfügbare Technologien und Implementierungskosten nicht mit angemessenen Mitteln abgemildert werden kann, sollte die Aufsichtsbehörde vor Beginn der Verarbeitungstätigkeiten konsultiert werden. Ein derart hohes Risiko kann durch bestimmte Arten der Verarbeitung sowie durch den Umfang und die Häufigkeit der Verarbeitung entstehen, was auch zu Schäden führen oder die Rechte und Freiheiten natürlicher Personen beeinträchtigen kann. Die Aufsichtsbehörde sollte innerhalb einer bestimmten Frist auf das Konsultationsersuchen reagieren. Das Ausbleiben einer Reaktion der Aufsichtsbehörde innerhalb der jeweiligen Frist sollte jedoch keine Auswirkungen auf ein Eingreifen der Aufsichtsbehörde gemäß ihren in dieser Verordnung vorgesehenen Aufgaben und Befugnissen haben, einschließlich der Befugnis, Verarbeitungsvorgänge zu verbieten. Im Rahmen dieses Konsultationsverfahrens kann der Aufsichtsbehörde das Ergebnis einer im Hinblick auf die jeweilige Verarbeitung durchgeführten Datenschutz-Folgenabschätzung übermittelt werden, insbesondere welche Maßnahmen zur Minderung des Risikos für die Rechte und Freiheiten natürlicher Personen vorgesehen sind.
(95) Die vom Betreiber bevollmächtigte Person sollte den Betreiber bei Bedarf und auf Anfrage dabei unterstützen, die Einhaltung der Pflichten sicherzustellen, die sich aus der Durchführung von Datenschutz-Folgeabschätzungen und der vorherigen Konsultation der Aufsichtsbehörde ergeben.
(96) Bei der Ausarbeitung einer Rechts- oder Verwaltungsmaßnahme, die die Verarbeitung personenbezogener Daten vorsieht, sollte auch eine Konsultation der Aufsichtsbehörde stattfinden, um die Übereinstimmung der in Betracht gezogenen Verarbeitung mit dieser Verordnung zu gewährleisten und insbesondere die Folgen zu mildern dem Risiko, dem die betroffene Person ausgesetzt ist.
(97) Erfolgt die Verarbeitung durch eine Behörde, mit Ausnahme von Gerichten oder unabhängigen Justizbehörden, die in ihrer gerichtlichen Funktion handeln, erfolgt die Verarbeitung im privaten Sektor durch einen Betreiber, dessen Haupttätigkeit darin besteht Verarbeitungsvorgänge, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Haupttätigkeit des Betreibers oder der von ihm beauftragten Person in der groß angelegten Verarbeitung besonderer Kategorien personenbezogener Daten und Daten zu Straftaten besteht Bei Verurteilungen und Straftaten sollte eine Person mit Fachkenntnissen in der Gesetzgebung und Praxis des Datenschutzes den Betreiber oder die von ihm beauftragte Person dabei unterstützen, die interne Einhaltung dieser Verordnung zu überwachen. Im privaten Sektor beziehen sich die Haupttätigkeiten eines Betreibers auf seine Kerntätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeiten. Das erforderliche Maß an Fachkenntnissen soll insbesondere in Abhängigkeit von den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutzniveau für die vom Betreiber oder von ihm beauftragten Personen verarbeiteten personenbezogenen Daten ermittelt werden. Diese Datenschutzbeauftragten sollen, unabhängig davon, ob sie Mitarbeiter des Betreibers sind oder nicht, in der Lage sein, ihre Aufgaben und Aufgaben selbstständig wahrzunehmen.
(98) Verbände oder andere Gremien, die Kategorien von Betreibern oder von Betreibern autorisierte Personen vertreten, sollten ermutigt werden, innerhalb der Grenzen dieser Verordnung Verhaltenskodizes zu entwickeln, um die wirksame Anwendung dieser Verordnung unter Berücksichtigung der spezifischen Merkmale zu erleichtern die in bestimmten Sektoren durchgeführten Verarbeitungen und die spezifischen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen. Solche Verhaltenskodizes könnten insbesondere die Pflichten der Betreiber und der von ihnen beauftragten Personen unter Berücksichtigung des mit der Verarbeitung verbundenen Risikos, das für die Rechte und Freiheiten natürlicher Personen entstehen könnte, anpassen.
(99) Bei der Ausarbeitung eines Verhaltenskodex oder bei der Änderung oder Erweiterung eines solchen Kodex können die Verbände und andere Gremien, die Kategorien von Betreibern oder von ihnen bevollmächtigte Personen vertreten
Betreiber sollten relevante Interessenträger, einschließlich betroffener Personen, wenn möglich, konsultieren und die eingereichten Beiträge und die in solchen Konsultationen geäußerten Ansichten berücksichtigen. (100) Um die Transparenz und die Einhaltung dieser Verordnung zu verbessern, sollte die Einrichtung von Zertifizierungsmechanismen sowie Datenschutzsiegeln und -zeichen gefördert werden, die es betroffenen Personen ermöglichen, das Datenschutzniveau in Bezug auf relevante Produkte und Dienstleistungen schnell zu beurteilen.
(101) Der Fluss personenbezogener Daten in und aus Ländern außerhalb der Union und internationalen Organisationen ist für die Entwicklung des internationalen Handels und der internationalen Zusammenarbeit erforderlich. Die Zunahme dieser Ströme hat neue Herausforderungen und Bedenken hinsichtlich des Schutzes personenbezogener Daten hervorgerufen. Wenn jedoch personenbezogene Daten aus der Union an Betreiber, von Betreibern autorisierte Personen oder andere Empfänger aus Drittländern oder internationalen Organisationen übermittelt werden, sollte das in der Union durch diese Verordnung gewährleistete Schutzniveau natürlicher Personen nicht verringert werden, auch nicht in Fällen von Nachfolgende Übermittlungen personenbezogener Daten aus dem Drittland oder der internationalen Organisation an Betreiber oder von Betreibern aus demselben oder einem anderen Drittland oder einer anderen internationalen Organisation autorisierte Personen. In jedem Fall können Übermittlungen an Drittländer und internationale Organisationen nur unter vollständiger Einhaltung dieser Regelung durchgeführt werden. Eine Übermittlung kann nur dann erfolgen, wenn unter Beachtung der übrigen Bestimmungen dieser Verordnung der Betreiber oder die von ihm beauftragte Person die in den Bestimmungen dieser Verordnung festgelegten Voraussetzungen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen erfüllt .
(102) Diese Verordnung berührt nicht die zwischen der Union und Drittländern geschlossenen internationalen Abkommen zur Regelung der Übermittlung personenbezogener Daten, einschließlich angemessener Garantien für die betroffenen Personen. Die Mitgliedstaaten können internationale Abkommen über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen schließen, sofern diese Abkommen diese Verordnung oder andere Bestimmungen des Unionsrechts nicht berühren und ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen beinhalten.
(103) Die Kommission kann mit Wirkung für die gesamte Union entscheiden, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlandes oder einer internationalen Organisation ein angemessenes Datenschutzniveau bietet und so Rechtssicherheit und Einheitlichkeit in der Union gewährleistet in Bezug auf das Drittland oder die internationale Organisation, von dem angenommen wird, dass es ein solches Schutzniveau bietet. In diesen Fällen kann eine Übermittlung personenbezogener Daten an das jeweilige Drittland oder die internationale Organisation erfolgen, ohne dass dafür zusätzliche Genehmigungen eingeholt werden müssen. Außerdem kann die Kommission nach Übermittlung einer Mitteilung und einer vollständigen Begründung an das Drittland oder die internationale Organisation beschließen, eine solche Entscheidung aufzuheben.
(104) Im Einklang mit den Grundwerten, auf denen die Union beruht, insbesondere dem Schutz der Menschenrechte, sollte die Kommission bei ihrer Beurteilung des Drittstaats oder eines bestimmten Gebiets oder Sektors eines Drittstaats Folgendes berücksichtigen Berücksichtigen Sie, wie es die Rechtsstaatlichkeit, den Zugang zur Justiz sowie internationale Menschenrechtsnormen und -standards sowie seine allgemeine und sektorale Gesetzgebung respektiert, einschließlich der Gesetzgebung zur öffentlichen Sicherheit, Verteidigung und nationalen Sicherheit sowie zur öffentlichen Ordnung und zum Strafrecht. Bei der Entscheidung über die Angemessenheit des Schutzniveaus für ein bestimmtes Gebiet oder einen bestimmten Sektor in einem Drittland sollten klare und objektive Kriterien berücksichtigt werden, wie etwa die spezifischen Verarbeitungstätigkeiten und der Umfang der im jeweiligen Land geltenden Rechtsnormen und Rechtsvorschriften Drittland. Das Drittland sollte Garantien bieten, die ein angemessenes Schutzniveau gewährleisten, das im Wesentlichen dem in der Union gebotenen entspricht, insbesondere wenn personenbezogene Daten in einem oder mehreren bestimmten Sektoren verarbeitet werden. Insbesondere sollte das Drittland eine wirksame unabhängige Datenschutzaufsicht gewährleisten und Kooperationsmechanismen mit den Datenschutzbehörden der Mitgliedstaaten bereitstellen, und den betroffenen Personen sollten wirksame und durchsetzbare Rechte sowie wirksame Rechtsbehelfe auf Verwaltungs- und Justizebene zugute kommen.
(105) Zusätzlich zu den internationalen Verpflichtungen, die das Drittland oder die internationale Organisation eingeht, sollte die Kommission die Verpflichtungen berücksichtigen, die sich aus der Beteiligung des Drittlandes oder der internationalen Organisation an multilateralen oder regionalen Systemen ergeben, insbesondere im Hinblick auf den Datenschutz mit
persönlichen Charakter sowie die Umsetzung solcher Verpflichtungen. Dabei ist insbesondere der Beitritt des Drittstaates zum Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz natürlicher Personen vor der automatisierten Verarbeitung personenbezogener Daten und dem Zusatzprotokoll zu berücksichtigen. Die Kommission sollte den Ausschuss konsultieren, wenn sie das Schutzniveau in Drittländern oder internationalen Organisationen bewertet.
(106) Die Kommission sollte die Umsetzung von Entscheidungen über das Schutzniveau in einem Drittland oder einem Gebiet oder einem bestimmten Sektor in einem Drittland oder in einer internationalen Organisation überwachen und die Umsetzung von Entscheidungen überwachen, die gemäß Artikel 25 Absatz 6 angenommen wurden. ) oder des Artikels 26 Absatz (4) der Richtlinie 95/46/EG. In ihren Entscheidungen über die Angemessenheit des Schutzniveaus sollte die Kommission einen Mechanismus zur regelmäßigen Überprüfung ihrer Funktionsweise vorsehen. Diese regelmäßige Überprüfung sollte in Absprache mit dem betreffenden Drittland oder der betreffenden internationalen Organisation durchgeführt werden und alle relevanten Entwicklungen im Drittland oder in der internationalen Organisation berücksichtigen. Zur Überwachung und Durchführung regelmäßiger Überprüfungen sollte die Kommission die Stellungnahmen und Erkenntnisse des Europäischen Parlaments und des Rates sowie anderer relevanter Gremien und Quellen berücksichtigen. Die Kommission sollte innerhalb einer angemessenen Zeit die Wirksamkeit der Entscheidungen aus der Vergangenheit bewerten und alle relevanten Ergebnisse dem Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (1), wie durch diese Verordnung festgelegt, des Europäischen Parlaments und des Rates.
(1) Verordnung (EU) Nr. Verordnung Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der Regeln und allgemeinen Grundsätze für die Kontrollmechanismen der Mitgliedstaaten bei der Ausübung von Durchsetzungsbefugnissen durch die Kommission (ABl. L 55 vom 28.2.2011, S. 13). ).
(107) Die Kommission kann die Tatsache anerkennen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlandes oder einer internationalen Organisation kein angemessenes Datenschutzniveau mehr gewährleistet. Folglich sollte die Übermittlung personenbezogener Daten an das betreffende Drittland oder die betreffende internationale Organisation verboten sein, es sei denn, die in dieser Verordnung festgelegten Anforderungen an die Übermittlung werden durch geeignete Schutzmaßnahmen, einschließlich verbindlicher Unternehmensvorschriften und Ausnahmen für bestimmte Situationen, erfüllt. In diesem Fall sollten Konsultationen zwischen der Kommission und diesen Drittländern oder internationalen Organisationen vorgesehen werden. Die Kommission sollte das Drittland oder die internationale Organisation rechtzeitig über diese Gründe informieren und Konsultationen mit ihnen einleiten, um Abhilfe zu schaffen.
(108) Liegt keine Entscheidung über die Angemessenheit des Schutzniveaus vor, sollte der Betreiber oder die von ihm beauftragte Person Maßnahmen ergreifen, um den fehlenden Datenschutz in einem Drittland durch angemessene Garantien für die Daten auszugleichen Thema. Solche angemessenen Schutzmaßnahmen können in der Verwendung verbindlicher Unternehmensvorschriften, von der Kommission angenommener Standarddatenschutzklauseln, von einer Aufsichtsbehörde angenommener Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigter Vertragsklauseln bestehen. Diese Garantien sollten die Einhaltung der Datenschutzanforderungen und Rechte der betroffenen Personen im Zusammenhang mit der Verarbeitung innerhalb der Union gewährleisten, einschließlich der Verfügbarkeit anfechtbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, einschließlich des Rechts auf Zugang zu wirksamen Wiedergutmachungen auf administrativem oder gerichtlichem Wege und das Recht, eine Entschädigung in der Union oder in einem Drittland zu verlangen. Diese sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze bei der Verarbeitung personenbezogener Daten beziehen: den Grundsatz des Datenschutzes ab dem Zeitpunkt der Empfängnis und den Grundsatz des impliziten Datenschutzes. Übermittlungen können von Behörden oder öffentlichen Stellen auch an Behörden oder öffentliche Stellen in Drittstaaten oder an internationale Organisationen mit entsprechenden Befugnissen und Funktionen erfolgen, auch auf der Grundlage der Bestimmungen, die den betroffenen Personen wirksame und anfechtbare Rechte verleihen, die vorliegen müssen in den Verwaltungsvereinbarungen eingeführt werden, beispielsweise in einem Memorandum of Understanding. Bei der Bereitstellung von Garantien im Rahmen nicht rechtsverbindlicher Verwaltungsvereinbarungen sollte die Genehmigung der zuständigen Aufsichtsbehörde eingeholt werden.
(109) Die Möglichkeit für den Betreiber oder die von ihm ermächtigte Person, von der Kommission oder einer Aufsichtsbehörde erlassene Standardklauseln zum Thema Datenschutz zu verwenden, sollte die Betreiber oder die von ihnen ermächtigten Personen nicht daran hindern, die Norm einzubeziehen Klauseln in der Sache
des Datenschutzes in einem größeren Vertrag, beispielsweise einem Vertrag zwischen der vom Betreiber beauftragten Person und einer anderen vom Betreiber beauftragten Person, zu berücksichtigen, noch andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zum Vertrag stehen Klauseln, die von der Kommission oder einer Aufsichtsbehörde erlassen wurden, oder die Rechte oder Grundfreiheiten der betroffenen Personen nicht beeinträchtigen. Betreiber und von Betreibern autorisierte Personen sollten ermutigt werden, durch vertragliche Verpflichtungen, die die Standardschutzklauseln ergänzen, zusätzliche Garantien anzubieten.
(110) Eine Gruppe von Unternehmen oder eine Gruppe von Unternehmen, die an einer gemeinsamen Wirtschaftstätigkeit beteiligt sind, sollte in der Lage sein, die verbindlichen unternehmensinternen Vorschriften anzuwenden, die für ihre internationalen Übertragungen aus der Union an Organisationen innerhalb derselben Unternehmensgruppe oder Gruppe von Unternehmen, die an einer gemeinsamen Wirtschaftstätigkeit beteiligt sind, gelten können gemeinsame Wirtschaftstätigkeit, vorausgesetzt, dass diese Unternehmensregeln alle wesentlichen Grundsätze und anfechtbaren Rechte umfassen, um angemessene Schutzmaßnahmen für Übermittlungen oder Kategorien von Übermittlungen personenbezogener Daten zu gewährleisten.
(111) Es sollte die Möglichkeit vorgesehen werden, unter bestimmten Umständen Übermittlungen durchzuführen, wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich und im Zusammenhang mit einem Vertrag oder einer rechtlichen Maßnahme erforderlich ist, unabhängig davon, ob sie in der EU erfolgt im Rahmen eines gerichtlichen Verfahrens oder im Rahmen eines verwaltungsrechtlichen oder außergerichtlichen Verfahrens, einschließlich der den Regulierungsbehörden vorgelegten Verfahren. Außerdem sollte die Möglichkeit zur Durchführung von Übermittlungen vorgesehen werden, wenn wichtige, im Unionsrecht oder im innerstaatlichen Recht festgelegte Gründe des öffentlichen Interesses dies erfordern oder wenn die Übermittlung aus einem gesetzlich eingerichteten Register erfolgt, das für die Einsichtnahme in die Öffentlichkeit bestimmt ist oder durch Personen, die ein berechtigtes Interesse haben. Im letzteren Fall sollte eine solche Übermittlung nicht die Gesamtheit der personenbezogenen Daten oder alle im Register enthaltenen Datenkategorien betreffen, und wenn das Register von Personen mit einem berechtigten Interesse eingesehen werden soll, sollte die Übermittlung durchgeführt werden nur auf Anfrage der jeweiligen Personen oder wenn diese die Empfänger sind, unter vollständiger Berücksichtigung der Interessen und Grundrechte der betroffenen Person.
(112) Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses angefordert und erforderlich sind, beispielsweise im Fall des internationalen Datenaustauschs zwischen Wettbewerbsbehörden, Steuer- oder Zollverwaltungen, zwischen Finanzaufsichtsbehörden und zwischen den zuständigen Behörden Dienstleistungen im Bereich der sozialen Sicherheit oder der öffentlichen Gesundheit, beispielsweise bei der Aufdeckung von Anlaufstellen für ansteckende Krankheiten oder zur Reduzierung bzw. Beseitigung von Doping im Sport. Eine Übermittlung personenbezogener Daten sollte auch dann als rechtmäßig angesehen werden, wenn sie zum Schutz eines Interesses erforderlich ist, das für die lebenswichtigen Interessen der betroffenen Person oder einer anderen Person, einschließlich der körperlichen Unversehrtheit oder des Lebens, im Falle der betroffenen Person, von wesentlicher Bedeutung ist nicht in der Lage ist, seine Einwilligung zu erteilen. Liegt keine Entscheidung über die Angemessenheit des Schutzniveaus vor, kann das Unionsrecht oder das innerstaatliche Recht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen für die Übermittlung bestimmter Kategorien von Daten an ein Drittland oder eine internationale Organisation vorsehen. Die Mitgliedstaaten sollten der Kommission diese Bestimmungen mitteilen. Jede Übermittlung personenbezogener Daten einer betroffenen Person an eine internationale humanitäre Organisation, die aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu erteilen, zur Erfüllung einer Aufgabe, die sich aus den Genfer Konventionen ergibt, oder zur Einhaltung des in bewaffneten Konflikten geltenden humanitären Völkerrechts, aus einem wichtigen Grund des öffentlichen Interesses oder weil es im lebenswichtigen Interesse der betroffenen Person liegt, als notwendig erachtet werden könnte.
(113) Übermittlungen, die als nicht wiederkehrend angesehen werden können und sich nur auf eine begrenzte Anzahl betroffener Personen beziehen, könnten auch zur Wahrung der berechtigten Interessen des Betreibers durchgeführt werden, wenn diese Interessen oder Rechte nicht überwiegen und Freiheiten der betroffenen Person und wenn der Betreiber alle mit der Datenübermittlung verbundenen Umstände beurteilt hat. Der Betreiber sollte der Art der personenbezogenen Daten, dem Zweck und der Dauer der vorgeschlagenen Verarbeitung(en) sowie der Situation im Herkunftsland, im Drittland und im Endbestimmungsland besondere Aufmerksamkeit schenken und angemessene Maßnahmen ergreifen Garantien für den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
bezüglich der Verarbeitung ihrer personenbezogenen Daten. Solche Übermittlungen sollten nur in Restfällen möglich sein, in denen keiner der anderen Übermittlungsgründe geltend gemacht werden kann. Bei wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken sind die berechtigten Erwartungen der Gesellschaft an die Steigerung des Wissensstandes zu berücksichtigen. Der Betreiber sollte die Aufsichtsbehörde und die betroffene Person über die Übermittlung informieren.
(114) Wenn die Kommission noch keine Entscheidung über das angemessene Datenschutzniveau in einem Drittland getroffen hat, sollte der Betreiber oder die von ihm beauftragte Person auf jeden Fall Lösungen nutzen, die den betroffenen Personen einklagbare und wirksame Rechte in Bezug auf das Datenschutzniveau bieten Verarbeitung ihrer Daten in der Union nach der Übermittlung dieser Daten, so dass die betroffenen Personen weiterhin in den Genuss der Grundrechte und Garantien kommen.
(115) Einige Drittländer haben Gesetze, Verordnungen und andere Rechtsakte erlassen, deren Ziel es ist, die Datenverarbeitungsaktivitäten natürlicher und juristischer Personen im Zuständigkeitsbereich der Mitgliedstaaten direkt zu regeln. Dabei kann es sich um Gerichtsbeschlüsse oder Entscheidungen von Verwaltungsbehörden in Drittstaaten handeln, die einen Betreiber oder eine von ihm bevollmächtigte Person zur Übermittlung oder Offenlegung personenbezogener Daten verpflichten und die nicht auf einem geltenden internationalen Abkommen, etwa einem Rechtshilfevertrag, beruhen zwischen dem ersuchenden Drittstaat und der Union oder einem Mitgliedstaat. Die extraterritoriale Anwendung dieser Gesetze, Verordnungen und anderen Rechtsakte kann gegen das Völkerrecht verstoßen und den durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen beeinträchtigen. Übermittlungen sollten nur zulässig sein, wenn die in dieser Verordnung festgelegten Voraussetzungen für eine Übermittlung in Drittländer erfüllt sind. Dies könnte unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen Grund des öffentlichen Interesses erforderlich ist, der im Unionsrecht oder im für den Betreiber geltenden innerstaatlichen Recht anerkannt ist.
(116) Durch den grenzüberschreitenden Fluss personenbezogener Daten außerhalb der Union kann die Fähigkeit natürlicher Personen, ihre Datenschutzrechte auszuüben, insbesondere zur Gewährleistung ihres Schutzes vor der rechtswidrigen Nutzung oder Offenlegung dieser Informationen, einem erhöhten Risiko ausgesetzt sein. Gleichzeitig könnten die Aufsichtsbehörden feststellen, dass sie nicht in der Lage sind, Beschwerden zu bearbeiten oder Untersuchungen zu den außerhalb ihrer Grenzen durchgeführten Aktivitäten durchzuführen. Ihre Bemühungen zur Zusammenarbeit in einem grenzüberschreitenden Kontext können auch durch unzureichende Präventions- oder Abhilfebefugnisse, die Heterogenität der Rechtsordnungen und das Vorhandensein praktischer Hindernisse wie Ressourcenbeschränkungen behindert werden. Daher ist es notwendig, eine engere Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden zu fördern, um gemeinsam mit ihren internationalen Kollegen Informationen austauschen und Untersuchungen durchführen zu können. Um Mechanismen der internationalen Zusammenarbeit zu entwickeln, um die Anwendung der Rechtsvorschriften im Bereich des Schutzes personenbezogener Daten zu erleichtern und gegenseitige internationale Unterstützung zu leisten, sollten die Kommission und die Aufsichtsbehörden Informationen austauschen und bei Aktivitäten im Zusammenhang mit der Ausübung ihrer Zuständigkeiten mit den zuständigen Behörden zusammenarbeiten Behörden von Drittländern auf der Grundlage der Gegenseitigkeit und im Einklang mit dieser Verordnung.
(117) Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben und Befugnisse in völliger Unabhängigkeit wahrzunehmen, ist ein wesentliches Element des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die Mitgliedstaaten sollten in der Lage sein, mehrere Aufsichtsbehörden einzurichten, die ihrer Verfassungs-, Organisations- und Verwaltungsstruktur entsprechen.
(118) Die Unabhängigkeit der Aufsichtsbehörden sollte nicht bedeuten, dass die Aufsichtsbehörden hinsichtlich ihrer Ausgaben keinen Kontroll- oder Überwachungsmechanismen oder einer gerichtlichen Kontrolle unterliegen können.
(119) Wenn ein Mitgliedstaat mehrere Aufsichtsbehörden einrichtet, sollte er gesetzlich Mechanismen einrichten, um eine wirksame Beteiligung der jeweiligen Aufsichtsbehörden an dem Mechanismus zur Gewährleistung der Kohärenz sicherzustellen. Der jeweilige Mitgliedstaat sollte insbesondere die Aufsichtsbehörde benennen, die die Funktion einer zentralen Anlaufstelle für die wirksame Beteiligung dieser Behörden an dem Mechanismus wahrnimmt, um eine schnelle und harmonische Zusammenarbeit mit anderen Aufsichtsbehörden sicherzustellen Ausschuss und mit der Kommission.
(120) Jede Aufsichtsbehörde sollte über die finanziellen und personellen Ressourcen, Räumlichkeiten und Infrastruktur verfügen, die für die wirksame Wahrnehmung ihrer Aufgaben erforderlich sind, einschließlich derjenigen im Zusammenhang mit der gegenseitigen Unterstützung und Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union. Jede Aufsichtsbehörde sollte über einen separaten jährlichen öffentlichen Haushalt verfügen, der Teil des allgemeinen Staats- oder Bundeshaushalts sein kann.
(121) Die allgemeinen Bedingungen für das oder die Mitglieder der Aufsichtsbehörde sollten in jedem Mitgliedstaat gesetzlich festgelegt werden und insbesondere vorsehen, dass die jeweiligen Mitglieder in einem transparenten Verfahren entweder durch das Parlament, die Regierung oder die Regierung ernannt werden Staatsoberhaupt des Mitgliedstaats auf Vorschlag der Regierung, eines Regierungsmitglieds, des Parlaments oder einer Kammer des Parlaments oder einer unabhängigen, durch innerstaatliches Recht ermächtigten Stelle. Um die Unabhängigkeit der Aufsichtsbehörde zu gewährleisten, sollten ihr Mitglied oder ihre Mitglieder mit Integrität handeln, keine mit ihren Pflichten unvereinbaren Handlungen vornehmen und während der Amtszeit keine unvereinbaren Tätigkeiten ausüben, unabhängig davon, ob sie vergütet werden oder nicht. Die Aufsichtsbehörde sollte über eigenes Personal verfügen, das von der Aufsichtsbehörde oder einer nach innerstaatlichem Recht eingerichteten unabhängigen Stelle ausgewählt wird und ausschließlich dem oder den Mitgliedern der Aufsichtsbehörde unterstellt sein sollte.
(122) Jede Aufsichtsbehörde sollte im Hoheitsgebiet des Mitgliedstaats, dem sie angehört, die Befugnis haben, die Befugnisse auszuüben und die Aufgaben zu erfüllen, mit denen sie gemäß dieser Verordnung ausgestattet ist.
Dies sollte insbesondere die Verarbeitung im Rahmen der Tätigkeit eines Sitzes des Betreibers oder der von ihm beauftragten Person im Hoheitsgebiet des eigenen Mitgliedstaats umfassen, die Verarbeitung personenbezogener Daten durch öffentliche Behörden oder private Stellen, die dort tätig werden das öffentliche Interesse, die Verarbeitung, die betroffene Personen aus ihrem Hoheitsgebiet betrifft, oder die Verarbeitung durch einen Betreiber oder eine von ihm bevollmächtigte Person, die nicht in der Union ansässig ist, wenn es sich um betroffene Personen handelt, die ihren Wohnsitz in ihrem Hoheitsgebiet haben. Dies sollte die Bearbeitung von Beschwerden einer betroffenen Person, die Durchführung von Untersuchungen zur Anwendung dieser Verordnung und die Förderung der Information der Öffentlichkeit über die Risiken, Regeln, Garantien und Rechte im Bereich der Verarbeitung personenbezogener Daten umfassen.
(123) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten und den freien Verkehr zu erleichtern personenbezogener Daten im Binnenmarkt. In diesem Sinne sollten die Aufsichtsbehörden sowohl untereinander als auch mit der Kommission zusammenarbeiten, ohne dass es einer Vereinbarung zwischen den Mitgliedstaaten über die Gewährung gegenseitiger Amtshilfe oder über diese Zusammenarbeit bedarf.
(124) Wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit eines Büros eines Betreibers oder einer von ihm autorisierten Person in der Union erfolgt und der Betreiber oder die von ihm autorisierte Person Niederlassungen in mehreren Mitgliedstaaten hat, oder in diesem Fall wenn die Verarbeitung, die im Rahmen der Tätigkeit einer einzigen Stelle eines Betreibers oder einer von ihm beauftragten Person in der Union erfolgt, betroffene Personen aus mehreren Mitgliedstaaten beeinträchtigt oder erheblich beeinträchtigen könnte, ist die Aufsichtsbehörde des Hauptsitzes zuständig Als Hauptbehörde sollte die Geschäftsstelle des Betreibers oder einer von ihm bevollmächtigten Person oder der alleinige Sitz des Betreibers oder einer von ihm bevollmächtigten Person fungieren. Sie sollte mit den anderen betroffenen Behörden zusammenarbeiten, weil der Betreiber oder die von ihm bevollmächtigte Person eine Niederlassung im Hoheitsgebiet ihres Mitgliedstaats hat, weil die betroffenen Personen, die ihren Wohnsitz in ihrem Hoheitsgebiet haben, erheblich betroffen sind oder weil sie angezeigt wurden eine Beschwerde. Auch wenn eine betroffene Person, die nicht im jeweiligen Mitgliedstaat ansässig ist, eine Beschwerde eingereicht hat, sollte die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, auch eine betroffene Aufsichtsbehörde sein. Im Rahmen seiner Aufgabe, Leitlinien zu allen Fragen im Zusammenhang mit der Umsetzung dieser Verordnung herauszugeben, sollte der Ausschuss in der Lage sein, Leitlinien insbesondere zu den Kriterien herauszugeben, die bei der Feststellung zu berücksichtigen sind, ob
die betreffende Verarbeitung erhebliche Auswirkungen auf betroffene Personen aus mehreren Mitgliedstaaten hat und hinsichtlich des Inhalts ein relevanter und begründeter Widerspruch vorliegt.
(125) Die Hauptbehörde sollte befugt sein, verbindliche Entscheidungen über die Maßnahmen zur Anwendung der ihr gemäß dieser Verordnung übertragenen Befugnisse zu treffen. Als oberste Behörde soll die Aufsichtsbehörde die Tätigkeit der betroffenen Aufsichtsbehörden eng in den Entscheidungsprozess einbinden und koordinieren. In Fällen, in denen es sich bei der Entscheidung um eine teilweise oder vollständige Ablehnung der Beschwerde der betroffenen Person handelt, sollte eine solche Entscheidung von der Aufsichtsbehörde getroffen werden, bei der die Beschwerde eingereicht wurde. (126) Die Entscheidung sollte von der Hauptaufsichtsbehörde und den betroffenen Aufsichtsbehörden gemeinsam vereinbart werden und den Hauptsitz oder die einzige Niederlassung des Betreibers oder der von ihm bevollmächtigten Person betreffen und für den Betreiber und die von ihm bevollmächtigte Person verbindlich sein der Betreiber. Der Betreiber oder die von ihm bevollmächtigte Person sollte die erforderlichen Maßnahmen ergreifen, um die Einhaltung dieser Verordnung und die Umsetzung der von der Hauptaufsichtsbehörde am Hauptsitz des Betreibers oder der von ihm bevollmächtigten Person mitgeteilten Entscheidung in Bezug auf sicherzustellen Verarbeitungstätigkeiten in der Union.
(127) Jede Aufsichtsbehörde, die nicht als Hauptaufsichtsbehörde fungiert, sollte für die Bearbeitung lokaler Fälle zuständig sein, in denen der Betreiber oder die von ihm bevollmächtigte Person Niederlassungen in mehreren Mitgliedstaaten hat, der Gegenstand der jeweiligen Verarbeitung jedoch ein Anliegen ist nur die Verarbeitung, die in einem einzigen Mitgliedsstaat erfolgt und nur betroffene Personen aus diesem einzigen Mitgliedsstaat betrifft, beispielsweise wenn es sich bei dem Gegenstand um die Verarbeitung personenbezogener Daten von Arbeitnehmern im spezifischen arbeitsbezogenen Kontext handelt aus einem Mitgliedsstaat. In solchen Fällen sollte die Aufsichtsbehörde die federführende Aufsichtsbehörde unverzüglich über die Angelegenheit informieren. Nach der Unterrichtung sollte die federführende Aufsichtsbehörde entscheiden, ob sie den Fall im Rahmen der Bestimmung über die Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden (dem „One-Stop-Shop-Mechanismus“) selbst bearbeitet oder ob die Aufsichtsbehörde, die informiert hat, zuständig ist dass sie den Fall auf lokaler Ebene bearbeiten solle. Bei der Entscheidung über die Bearbeitung des Falles sollte die federführende Aufsichtsbehörde berücksichtigen, ob im Mitgliedstaat der meldenden Aufsichtsbehörde eine Niederlassung des Verantwortlichen oder der von ihm bevollmächtigten Person besteht, um eine wirksame Einhaltung von a zu gewährleisten Entscheidungen bezüglich des Betreibers oder der von ihm beauftragten Person. Wenn die Hauptaufsichtsbehörde beschließt, sich mit dem Fall zu befassen, sollte die Aufsichtsbehörde, die sie informiert hat, die Möglichkeit haben, einen Entscheidungsentwurf vorzulegen, den die Hauptaufsichtsbehörde bei der Ausarbeitung ihres Entscheidungsentwurfs so weit wie möglich berücksichtigen sollte innerhalb des jeweiligen One-Stop-Shop-Mechanismus.
(128) Die Vorschriften zur Hauptaufsichtsbehörde und zum Single-Window-Mechanismus sollten nicht gelten, wenn die Verarbeitung durch öffentliche Behörden oder private Stellen im öffentlichen Interesse erfolgt. In solchen Fällen sollte die einzige Aufsichtsbehörde, die für die Ausübung der ihr gemäß dieser Verordnung übertragenen Befugnisse zuständig ist, die Aufsichtsbehörde des Mitgliedstaats sein, in dem die Behörde oder private Einrichtung ihren Sitz hat.
(129) Um die Kohärenz der Überwachung und Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat über dieselben wirksamen Aufgaben und Befugnisse verfügen, einschließlich Untersuchungsbefugnissen, Korrekturbefugnissen und Sanktionen sowie Genehmigungen Befugnisse und Beratung, insbesondere bei Beschwerden natürlicher Personen, sowie, unbeschadet der Befugnisse der Strafverfolgungsbehörden aufgrund des innerstaatlichen Rechts, Fälle von Verstößen gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und sich an Gerichtsverfahren beteiligen. Zu diesen Befugnissen sollte auch die Befugnis gehören, die Verarbeitung vorübergehend oder endgültig einzuschränken, einschließlich eines Verbots. Die Mitgliedstaaten können im Rahmen dieser Verordnung weitere Pflichten im Zusammenhang mit dem Schutz personenbezogener Daten festlegen. Die Befugnisse der Aufsichtsbehörden sollten im Einklang mit angemessenen Verfahrensgarantien, die im Unionsrecht und im innerstaatlichen Recht vorgesehen sind, unparteiisch, fair und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme angemessen, notwendig und verhältnismäßig sein
Gewährleistung der Einhaltung der Bestimmungen dieser Verordnung unter Berücksichtigung der Umstände jedes Einzelfalls, um das Recht jeder Person auf Anhörung vor der Ergreifung individueller Maßnahmen, die sie beeinträchtigen könnten, zu respektieren und um unnötige Kosten und übermäßige Unannehmlichkeiten für die betroffenen Personen zu vermeiden Frage . Ermittlungsbefugnisse in Bezug auf den Zugang zu Räumlichkeiten sollten im Einklang mit den spezifischen Anforderungen des nationalen Verfahrensrechts ausgeübt werden, beispielsweise der Verpflichtung, eine vorherige gerichtliche Genehmigung einzuholen. Jede von der Aufsichtsbehörde getroffene rechtsverbindliche Maßnahme sollte schriftlich erfolgen, klar und eindeutig sein, die Aufsichtsbehörde, die die Maßnahme erlassen hat, das Datum der Erteilung der Maßnahme angeben und die Unterschrift des Leiters oder eines bevollmächtigten Mitglieds der Aufsichtsbehörde tragen von ihm die Gründe für die getroffene Maßnahme anzugeben und auf das Recht auf einen wirksamen Rechtsbehelf hinzuweisen. Dies sollte zusätzliche Anforderungen nach nationalem Verfahrensrecht nicht ausschließen. Der Erlass solcher rechtsverbindlichen Entscheidungen impliziert die Tatsache, dass eine gerichtliche Kontrolle in dem Mitgliedstaat der Aufsichtsbehörde entstehen kann, die die Entscheidung getroffen hat.
(130) Handelt es sich bei der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, nicht um die Hauptaufsichtsbehörde, sollte die Hauptaufsichtsbehörde eng mit der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, im Einklang mit den darin enthaltenen Bestimmungen zur Zusammenarbeit und Kohärenz zusammenarbeiten Verordnung. In solchen Fällen sollte die federführende Aufsichtsbehörde bei der Ergreifung rechtswirksamer Maßnahmen, einschließlich der Verhängung von Geldbußen, die Meinung der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, so weit wie möglich berücksichtigen und beibehalten seine Zuständigkeit, in Zusammenarbeit mit der Hauptaufsichtsbehörde jede Untersuchung im Hoheitsgebiet seines eigenen Mitgliedstaats durchzuführen.
(131) In Fällen, in denen eine andere Aufsichtsbehörde als Hauptaufsichtsbehörde für die Verarbeitungstätigkeiten des Betreibers oder einer von ihm beauftragten Person fungieren sollte, der konkrete Gegenstand einer Beschwerde oder eines möglichen Verstoßes jedoch nur die Verarbeitungstätigkeiten des Betreibers betrifft oder die vom Betreiber bevollmächtigte Person in dem Mitgliedstaat, in dem die Beschwerde eingereicht oder der mögliche Verstoß festgestellt wurde, und die Angelegenheit betroffene Personen aus anderen Mitgliedstaaten nicht erheblich beeinträchtigt oder voraussichtlich erheblich beeinträchtigen wird, ist die Aufsichtsbehörde zuständig, die a Beschwerde eingelegt oder festgestellt oder auf andere Weise über mögliche Verstöße gegen diese Verordnung informiert wurde, sollte versuchen, mit dem Betreiber eine gütliche Lösung zu finden und, falls dies fehlschlägt, sämtliche Befugnisse auszuüben. Dies sollte spezifische Verarbeitungstätigkeiten umfassen, die im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder in Bezug auf betroffene Personen aus dem Hoheitsgebiet dieses Mitgliedstaats durchgeführt werden, Verarbeitungstätigkeiten, die im Zusammenhang mit einem speziell dafür vorgesehenen Angebot von Waren oder Dienstleistungen erfolgen für auf das Hoheitsgebiet des Mitgliedsstaates der Aufsichtsbehörde gerichtete Personen oder Verarbeitungstätigkeiten, die unter Berücksichtigung der einschlägigen rechtlichen Verpflichtungen nach innerstaatlichem Recht zu evaluieren sind.
(132) Von Aufsichtsbehörden für die Öffentlichkeit organisierte Sensibilisierungsmaßnahmen sollten spezifische Maßnahmen umfassen, die sich an Betreiber und von Betreibern autorisierte Personen richten, einschließlich Kleinst-, Klein- und Mittelunternehmen, sowie an natürliche Personen, insbesondere im Bildungsbereich.
(133) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen, um die Kohärenz der Anwendung dieser Verordnung im Binnenmarkt sicherzustellen. Eine um Rechtshilfe ersuchende Aufsichtsbehörde kann eine einstweilige Maßnahme treffen, wenn sie nicht innerhalb eines Monats nach Eingang des Ersuchens bei der anderen Aufsichtsbehörde eine Antwort auf ein Rechtshilfeersuchen erhält.
(134) Jede Aufsichtsbehörde sollte sich gegebenenfalls an gemeinsamen Maßnahmen der Aufsichtsbehörden beteiligen. Die Aufsichtsbehörde, an die die Anfrage gerichtet ist, sollte verpflichtet sein, innerhalb einer bestimmten Frist auf die Anfrage zu antworten.
(135) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Mechanismus eingerichtet werden, um die Kohärenz zwischen den Aufsichtsbehörden sicherzustellen
zusammenarbeiten. Dieser Mechanismus sollte insbesondere dann zur Anwendung kommen, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme zu ergreifen, die Rechtswirkungen in Bezug auf Verarbeitungsvorgänge entfalten soll, die erhebliche Auswirkungen auf eine erhebliche Anzahl betroffener Personen aus mehr als einem Mitgliedstaat haben. Der Mechanismus sollte auch dann Anwendung finden, wenn eine betroffene Aufsichtsbehörde oder die Kommission verlangt, dass der jeweilige Aspekt im Rahmen des Kohärenzmechanismus behandelt wird. Dieser Mechanismus sollte die Maßnahmen, die die Kommission im Rahmen der Ausübung ihrer Befugnisse gemäß den Verträgen ergreifen kann, nicht beeinträchtigen.
(136) Bei der Anwendung des Mechanismus zur Gewährleistung der Kohärenz sollte der Ausschuss innerhalb einer bestimmten Frist eine Stellungnahme abgeben, wenn die Mehrheit seiner Mitglieder dies beschließt oder wenn eine betroffene Aufsichtsbehörde oder die Kommission dies verlangt. Der Ausschuss sollte auch befugt sein, bei Streitigkeiten zwischen Aufsichtsbehörden rechtsverbindliche Entscheidungen zu treffen. Zu diesem Zweck soll es grundsätzlich mit einer Zweidrittelmehrheit seiner Mitglieder rechtsverbindliche Entscheidungen treffen, wenn es in bestimmten Fällen zu unterschiedlichen Meinungen zwischen den Aufsichtsbehörden kommt, insbesondere im Rahmen des Kooperationsmechanismus zwischen den Aufsichtsbehörden die Hauptaufsichtsbehörde und die betroffenen Aufsichtsbehörden über die Begründetheit des Falles, insbesondere über das Vorliegen oder Nichtvorliegen eines Verstoßes gegen diese Verordnung. (137) Möglicherweise besteht dringender Handlungsbedarf, um den Schutz der Rechte und Freiheiten der betroffenen Personen zu gewährleisten, insbesondere wenn die Gefahr besteht, dass die Ausübung eines Rechts einer betroffenen Person erheblich behindert wird. Daher sollte eine Aufsichtsbehörde in ihrem Hoheitsgebiet vorläufige Maßnahmen ergreifen können, die hinreichend begründet sind und deren Gültigkeitsdauer drei Monate nicht überschreiten sollte.
(138) Die Anwendung eines solchen Mechanismus sollte eine Voraussetzung für die Rechtmäßigkeit einer von einer Aufsichtsbehörde getroffenen Maßnahme zur Erzielung rechtlicher Wirkungen sein, wenn ihre Anwendung zwingend vorgeschrieben ist. In anderen Fällen mit grenzüberschreitender Relevanz sollte ein Kooperationsmechanismus zwischen der Hauptaufsichtsbehörde und den Zielaufsichtsbehörden eingerichtet werden, und die Zielaufsichtsbehörden könnten sich gegenseitig unterstützen und gemeinsame Operationen auf bilateraler oder multilateraler Basis durchführen Auslösen des Mechanismus zur Gewährleistung der Kohärenz.
(139) Um die kohärente Anwendung dieser Verordnung zu fördern, sollte der Ausschuss als unabhängiges Gremium der Union eingerichtet werden. Um seine Ziele zu erreichen, sollte der Ausschuss Rechtspersönlichkeit besitzen. Der Ausschuss sollte durch seinen Präsidenten vertreten werden. Sie soll die durch die Richtlinie 95/46/EG eingerichtete Arbeitsgruppe zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ersetzen. Es sollte sich aus den Leitern der Aufsichtsbehörden der einzelnen Mitgliedstaaten und der Europäischen Datenschutzbehörde oder deren Vertretern zusammensetzen. Die Kommission sollte an der Arbeit des Ausschusses ohne Stimmrecht teilnehmen, und die Europäische Datenschutzbehörde sollte über besondere Stimmrechte verfügen. Der Ausschuss sollte zur kohärenten Anwendung dieser Verordnung in der gesamten Union beitragen, unter anderem durch Beratung der Kommission, insbesondere in Bezug auf das Schutzniveau in Drittländern und innerhalb internationaler Organisationen, und durch die Förderung der Zusammenarbeit von Aufsichtsbehörden in der gesamten Union. Der Ausschuss sollte bei der Wahrnehmung seiner Aufgaben unabhängig handeln. (140) Der Ausschuss sollte von einem Sekretariat der Europäischen Datenschutzbehörde unterstützt werden. Das Personal der Europäischen Datenschutzbehörde, das an der Wahrnehmung der dem Ausschuss nach dieser Verordnung übertragenen Aufgaben beteiligt ist, sollte seine Aufgaben ausschließlich nach den Weisungen des Ausschussvorsitzenden wahrnehmen und ihm Bericht erstatten.
(141) Jede betroffene Person sollte das Recht haben, eine Beschwerde bei einer einzigen Aufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt hat, sowie das Recht auf einen wirksamen Rechtsbehelf gemäß Artikel 47 der Charta. wenn die betroffene Person der Ansicht ist, dass ihre Rechte aus dieser Verordnung verletzt werden oder wenn die Aufsichtsbehörde auf eine Beschwerde nicht reagiert, eine Beschwerde ganz oder teilweise ablehnt oder ablehnt oder nicht tätig wird, wenn eine solche Maßnahme zur Gewährleistung des Schutzes erforderlich ist die Rechte der betroffenen Person. Die Untersuchung im Anschluss an eine Beschwerde sollte unter gerichtlicher Kontrolle erfolgen, soweit dies je nach Fall erforderlich ist. Die Aufsichtsbehörde sollte informieren
die betroffene Person über die Entwicklung und Lösung der Beschwerde innerhalb einer angemessenen Frist zu informieren. Für den Fall, dass der Fall weitere Untersuchungen oder eine Koordinierung mit einer anderen Aufsichtsbehörde erfordert, sollten der betroffenen Person Zwischeninformationen zur Verfügung gestellt werden. Um die Einreichung von Beschwerden zu erleichtern, sollte jede Aufsichtsbehörde Maßnahmen wie die Bereitstellung eines Beschwerdeformulars ergreifen, das auch in elektronischer Form ausgefüllt werden kann, ohne andere Kommunikationswege auszuschließen.
(142) Wenn die betroffene Person der Ansicht ist, dass ihre Rechte aus dieser Verordnung verletzt werden, sollte sie das Recht haben, eine gemeinnützige Einrichtung, Organisation oder Vereinigung zu beauftragen, die im Einklang mit dem internen Recht gegründet wurde und deren (deren) satzungsgemäße Ziele darin bestehen im öffentlichen Interesse liegt und seine Tätigkeit im Bereich der Gewährleistung des Schutzes personenbezogener Daten ausübt, in seinem Namen eine Beschwerde bei einer Aufsichtsbehörde einzureichen, in seinem Namen das Recht auf einen Rechtsbehelf gegenüber den betroffenen Personen auszuüben oder, in in dem im innerstaatlichen Recht vorgesehenen Fall das Recht auf Schadensersatz im Namen der betroffenen Personen auszuüben. Ein Mitgliedstaat kann vorsehen, dass eine solche Einrichtung, Organisation oder Vereinigung das Recht hat, in diesem Mitgliedstaat eine Beschwerde einzureichen, unabhängig von dem von einer betroffenen Person erteilten Auftrag, und dass sie das Recht auf einen wirksamen Rechtsbehelf hat, wenn Grund zur Überlegung besteht dass durch eine gegen diese Verordnung verstoßende Verarbeitung personenbezogener Daten die Rechte einer betroffenen Person verletzt wurden. Die betreffende Körperschaft, Organisation oder Vereinigung kann im Namen einer betroffenen Person keinen Schadensersatz verlangen, ungeachtet des von der betroffenen Person erteilten Mandats. (143) Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV vorgesehenen Bedingungen beim Gerichtshof eine Nichtigkeitsklage gegen die Entscheidungen des Ausschusses einzureichen. Als Adressaten dieser Entscheidungen müssen die betroffenen Aufsichtsbehörden, die diese anfechten wollen, gemäß Artikel 263 AEUV innerhalb von zwei Monaten nach ihrer Bekanntgabe Klage gegen die jeweiligen Entscheidungen erheben. Richten sich die Entscheidungen des Ausschusses direkt und individuell an einen Betreiber, eine vom Betreiber bevollmächtigte Person oder den Beschwerdeführer, kann dieser gemäß Artikel 263 binnen zwei Monaten nach Veröffentlichung auf der Website des Ausschusses eine Nichtigkeitsklage gegen die jeweiligen Entscheidungen einreichen der AEUV. Unbeschadet dieses Rechts gemäß Artikel 263 AEUV sollte jede natürliche oder juristische Person das Recht auf einen wirksamen Rechtsbehelf vor dem zuständigen nationalen Gericht gegen eine Entscheidung einer Aufsichtsbehörde haben, die für sie rechtliche Wirkung entfaltet. Eine solche Entscheidung bezieht sich insbesondere auf die Ausübung von Untersuchungs-, Korrektur- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder auf die Zurückweisung oder Zurückweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf erstreckt sich jedoch nicht auf Maßnahmen der Aufsichtsbehörden, die nicht rechtsverbindlich sind, wie etwa Stellungnahmen der Aufsichtsbehörde oder von ihr erteilte Ratschläge. Klagen gegen eine Aufsichtsbehörde sollten vor den Gerichten des Mitgliedstaats erhoben werden, in dem die Aufsichtsbehörde ihren Sitz hat, und im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten ihre volle richterliche Zuständigkeit ausüben, wozu auch die Befugnis gehören sollte, alle Tatsachen- oder Rechtsfragen zu prüfen, die für den vorliegenden Streitfall relevant sind.
Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder abgelehnt, kann der Beschwerdeführer Klage bei den Gerichten desselben Mitgliedsstaats einreichen. Im Rahmen gerichtlicher Rechtsbehelfe gegen die Anwendung dieser Verordnung können die nationalen Gerichte, die eine Entscheidung in der betreffenden Angelegenheit für erforderlich halten, um eine Entscheidung treffen zu können, einen Antrag stellen bzw. müssen dies in dem in Artikel 267 AEUV vorgesehenen Fall beantragen den Gerichtshof dazu auffordern, eine vorläufige Entscheidung über die Auslegung des Unionsrechts, einschließlich dieser Verordnung, zu treffen. Darüber hinaus ist das nationale Gericht nicht befugt, die Entscheidung des Ausschusses für nichtig zu erklären, wenn eine Entscheidung einer Aufsichtsbehörde, die eine Entscheidung des Ausschusses umsetzt, vor einem nationalen Gericht angefochten wird und die Gültigkeit der Entscheidung des Ausschusses in Frage gestellt wird. Sie muss jedoch gemäß Artikel 267 AEUV in der Auslegung durch den Gerichtshof die Frage der Gültigkeit immer dann dem Gerichtshof vorlegen, wenn das nationale Gericht die Entscheidung für nichtig hält. Allerdings darf ein nationales Gericht auf Antrag einer Person keine Frage zur Gültigkeit der Entscheidung des Ausschusses stellen
natürliche oder juristische Personen, die die Möglichkeit hatten, eine Nichtigkeitsklage gegen diese Entscheidung zu erheben, insbesondere wenn sie von der betreffenden Entscheidung unmittelbar und individuell betroffen waren, dies jedoch nicht innerhalb der in Artikel 263 AEUV vorgesehenen Frist getan haben.
(144) Wenn ein Gericht, das mit einem Verfahren gegen eine Entscheidung einer Aufsichtsbehörde befasst ist, Grund zu der Annahme hat, dass bei einem zuständigen Gericht in einem anderen Mitgliedstaat ein Verfahren wegen derselben Verarbeitung, beispielsweise desselben Verarbeitungsgegenstands, durch dieselbe eingeleitet wurde Wenn ein Betreiber oder dieselbe vom Betreiber bevollmächtigte Person oder aus demselben Grund vorliegt, sollte sich das zuständige Gericht an das zweite Gericht wenden, um die Existenz solcher damit zusammenhängender Verfahren zu bestätigen. Wenn diese damit zusammenhängenden Verfahren vor einem Gericht in einem anderen Mitgliedstaat anhängig sind, kann jedes Gericht mit Ausnahme des ursprünglich genannten Gerichts sein Verfahren aussetzen oder auf Antrag einer der Parteien zunächst die Zuständigkeit zugunsten des angerufenen Gerichts verweigern, sofern dies der Fall ist dass dieser über die Zuständigkeit für die Beilegung des betreffenden Verfahrens verfügt und dass das auf ihn angewandte Recht es ihm ermöglicht, diese damit zusammenhängenden Verfahren zu konsolidieren. Als zusammenhängend gelten Verfahren dann, wenn sie in einem so engen Zusammenhang zueinander stehen, dass es zweckmäßig ist, sie gleichzeitig durchzuführen und zu beurteilen, um bei getrennter Beurteilung die Gefahr der Verkündung unvereinbarer Entscheidungen zu vermeiden.
(145) Im Hinblick auf Klagen gegen einen Betreiber oder eine von ihm bevollmächtigte Person sollte der Kläger die Möglichkeit haben, die Klage vor den Gerichten der Mitgliedstaaten zu erheben, in denen der Betreiber oder eine von ihm bevollmächtigte Person einen Sitz hat oder in dem die betroffene Person ihren Wohnsitz hat, es sei denn, der Betreiber ist eine Behörde eines Mitgliedstaats, die in Ausübung hoheitlicher Befugnisse handelt.
(146) Der Betreiber oder die von ihm beauftragte Person sollte für jeden Schaden entschädigt werden, der einer Person durch eine Verarbeitung entsteht, die gegen diese Verordnung verstößt. Der Betreiber oder die von ihm beauftragte Person soll von der Haftung befreit werden, wenn er nachweist, dass er für den Schaden in keiner Weise verantwortlich ist. Der Begriff des Schadens sollte aus Sicht der Rechtsprechung des Gerichtshofs in einem weiten Sinne ausgelegt werden, sodass er die Ziele dieser Verordnung vollständig widerspiegelt. Schadensersatzansprüche wegen Verstoßes gegen sonstige Vorschriften des Unionsrechts oder des innerstaatlichen Rechts bleiben von dieser Regelung unberührt. Eine Verarbeitung, die gegen diese Verordnung verstößt, umfasst auch eine Verarbeitung, die gegen die gemäß dieser Verordnung erlassenen delegierten Rechtsakte und Durchführungsrechtsakte sowie gegen das innerstaatliche Recht verstößt, das die Regeln dieser Verordnung festlegt. Die betroffenen Personen sollen eine vollständige und wirksame Entschädigung für den erlittenen Schaden erhalten. Wenn die Betreiber oder die von den Betreibern autorisierten Personen an derselben Verarbeitung beteiligt sind, sollte jeder Betreiber oder jede von dem Betreiber autorisierte Person für den gesamten Schaden verantwortlich gemacht werden. Wenn jedoch die sie betreffenden rechtlichen Verfahren miteinander verbunden sind, kann die Entschädigung gemäß innerstaatlichem Recht entsprechend der Verantwortung jedes Betreibers oder jeder von ihm beauftragten Person verteilt werden, vorausgesetzt, dass die betroffene Person vollständig und wirksam entschädigt wird sichergestellt, wer den Schaden erlitten hat. Jeder Betreiber oder von ihm Bevollmächtigte, der den vollen Schadensersatz gezahlt hat, kann anschließend eine Regressklage gegen andere an der gleichen Verarbeitung beteiligte Betreiber oder von Betreibern Bevollmächtigte einreichen.
(147) Für den Fall, dass diese Verordnung spezifische Regelungen zur gerichtlichen Zuständigkeit, insbesondere zu gerichtlichen Rechtsbehelfen, einschließlich Schadensersatzklagen, gegen einen Betreiber oder eine von ihm bevollmächtigte Person enthält, gelten die allgemeinen Regelungen zur richterlichen Zuständigkeit wie etwa diejenigen aus der Verordnung (EU). ) NEIN. Die Verordnung Nr. 1215/2012 des Europäischen Parlaments und des Rates (1) sollte die Anwendung dieser spezifischen Vorschriften nicht beeinträchtigen.
(1) Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die richterliche Zuständigkeit, die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. L 351 vom 20.12.2012, S. 1).
(148) Um die Einhaltung der in dieser Verordnung vorgesehenen Vorschriften zu stärken, sollten für jeden Verstoß gegen diese Verordnung Sanktionen, einschließlich Verwaltungsstrafen, verhängt werden, zusätzlich zu oder anstelle der geeigneten Maßnahmen, die von der Aufsichtsbehörde gemäß festgelegt werden dieser Verordnung. Im Falle eines geringfügigen Verstoßes oder für den Fall, dass die Verhängung einer Geldbuße wahrscheinlich wäre
eine unverhältnismäßige Belastung für eine natürliche Person darstellt, kann anstelle einer Geldbuße eine Verwarnung ausgesprochen werden. Allerdings sollten die Art, die Schwere und die Dauer des Verstoßes, die vorsätzliche Natur des Verstoßes, die Maßnahmen zur Minderung des verursachten Schadens, das Ausmaß der Haftung oder etwaige relevante frühere Verstöße und die Art und Weise des Verstoßes gebührend berücksichtigt werden nach Kenntnis der Aufsichtsbehörde herbeigeführt wurde, die Einhaltung der gegen den Betreiber oder die von ihm beauftragte Person getroffenen Maßnahmen, die Einhaltung eines Verhaltenskodex und sonstige erschwerende oder mildernde Umstände. Die Verhängung von Sanktionen, einschließlich Verwaltungsstrafen, sollte im Einklang mit den allgemeinen Grundsätzen des Unionsrechts und der Charta angemessenen Verfahrensgarantien unterliegen, einschließlich eines wirksamen Rechtsschutzes und eines fairen Verfahrens.
(149) Die Mitgliedstaaten sollten die Möglichkeit haben, Regeln für strafrechtliche Sanktionen bei Verstößen gegen diese Verordnung festzulegen, einschließlich Verstößen gegen innerstaatliches Recht, das auf der Grundlage dieser Verordnung und innerhalb der Grenzen dieser Verordnung erlassen wurde. Die jeweiligen strafrechtlichen Sanktionen können auch den Entzug der durch Verstöße gegen diese Regelung erzielten Gewinne zulassen. Die Verhängung strafrechtlicher Sanktionen für Verstöße gegen solche Vorschriften des innerstaatlichen Rechts und verwaltungsrechtlicher Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes ne bis in idem in der Auslegung des Gerichtshofs führen.
(150) Um die Verwaltungssanktionen bei Verstößen gegen diese Verordnung zu konsolidieren und zu harmonisieren, sollte jede Aufsichtsbehörde befugt sein, Verwaltungsstrafen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Höchstgrenzen und Kriterien für die Festsetzung der damit verbundenen Bußgelder angegeben werden, die von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller relevanten Umstände der konkreten Situation festgelegt werden sollten gebührende Berücksichtigung insbesondere der Art, Schwere und Dauer des Verstoßes sowie seiner Folgen und der Maßnahmen, die ergriffen werden, um die Einhaltung der Verpflichtungen aus dieser Verordnung sicherzustellen und die Folgen des Verstoßes zu verhindern oder abzumildern. Werden gegen ein Unternehmen Bußgelder verhängt, ist in diesem Sinne unter einem Unternehmen ein Unternehmen im Sinne der Artikel 101 und 102 AEUV zu verstehen. Werden Bußgelder gegen Personen verhängt, die keine Unternehmer sind, sollte die Aufsichtsbehörde bei der Bemessung der angemessenen Höhe des Bußgeldes die allgemeine Höhe des Einkommens aus dem jeweiligen Mitgliedstaat sowie die wirtschaftliche Lage der Person berücksichtigen. Der Konsistenzmechanismus kann auch genutzt werden, um die einheitliche Anwendung von Bußgeldern zu fördern. Die Zuständigkeit darüber, ob und in welchem Umfang gegen Behörden Bußgelder verhängt werden, sollte bei den Mitgliedstaaten liegen. Die Verhängung eines Bußgeldes oder die Zusendung einer Verwarnung lässt die Anwendung weiterer Befugnisse der Aufsichtsbehörden oder sonstiger Sanktionen nach dieser Verordnung unberührt. (151) Die Rechtssysteme Dänemarks und Estlands erlauben keine Geldbußen im Sinne dieser Verordnung. Die Vorschriften über Verwaltungsstrafen können so angewendet werden, dass in Dänemark die Geldbuße von den zuständigen nationalen Gerichten als strafrechtliche Sanktion verhängt wird und in Estland die Geldbuße von der Aufsichtsbehörde im Rahmen eines Deliktsverfahrens verhängt wird, sofern eine solche Anwendung der dass die Regelungen in den jeweiligen Mitgliedstaaten die gleiche Wirkung haben wie die von den Aufsichtsbehörden verhängten Bußgelder. Daher sollten die zuständigen nationalen Gerichte die Empfehlung der Aufsichtsbehörde berücksichtigen, die die Geldbuße verhängt hat. In jedem Fall sollten die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. (152) Wenn diese Verordnung Verwaltungssanktionen nicht harmonisiert oder in anderen Fällen erforderlich ist, beispielsweise bei schwerwiegenden Verstößen gegen diese Verordnung, sollten die Mitgliedstaaten ein System einführen, das wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht. Die Art solcher Sanktionen, ob strafrechtlicher oder verwaltungsrechtlicher Natur, sollte durch nationales Recht bestimmt werden.
(153) Die Rechtsvorschriften der Mitgliedstaaten sollten ein Gleichgewicht zwischen den Regeln der Meinungs- und Informationsfreiheit, einschließlich journalistischer, akademischer, künstlerischer und/oder literarischer Meinungsäußerung, und dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung herstellen. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zum Zweck der wissenschaftlichen, künstlerischen oder literarischen Ausdrucksweise sollten Ausnahmen oder Ausnahmen gelten
Einige Bestimmungen dieser Verordnung gelten für den Fall, dass ein Gleichgewicht zwischen dem Recht auf Schutz personenbezogener Daten und dem Recht auf freie Meinungsäußerung und Information gemäß Artikel 11 der Charta hergestellt werden muss. Dies soll insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichtenarchiven und Zeitungsbibliotheken gelten. Daher sollten die Mitgliedstaaten gesetzgeberische Maßnahmen ergreifen, die die notwendigen Ausnahmen und Abweichungen vorsehen, um das Gleichgewicht zwischen diesen Grundrechten sicherzustellen. Die Mitgliedstaaten sollten solche Ausnahmen und Abweichungen im Hinblick auf die allgemeinen Grundsätze, die Rechte der betroffenen Personen, des Betreibers und der von ihm bevollmächtigten Person, die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, unabhängige Aufsichtsbehörden, Zusammenarbeit und Kohärenz erlassen sowie im Hinblick auf konkrete Datenverarbeitungssituationen. Wenn diese Ausnahmen oder Befreiungen von einem Mitgliedstaat zum anderen unterschiedlich sind, sollte das Recht des Mitgliedstaats gelten, dem der Betreiber unterliegt. Um der Bedeutung des Rechts auf freie Meinungsäußerung in jeder demokratischen Gesellschaft Rechnung zu tragen, ist es notwendig, mit dieser Freiheit verbundene Begriffe wie Journalismus in einem weiten Sinne zu interpretieren.
(154) Diese Verordnung ermöglicht die Berücksichtigung des Grundsatzes des Zugangs der Öffentlichkeit zu amtlichen Dokumenten bei der Anwendung dieser Verordnung. Es kann davon ausgegangen werden, dass der öffentliche Zugang zu amtlichen Dokumenten im öffentlichen Interesse liegt. Personenbezogene Daten aus Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden, sollten von dieser Behörde oder dieser Stelle offengelegt werden können, wenn das Unionsrecht oder das innerstaatliche Recht, dem die Behörde oder die öffentliche Stelle unterliegt, dies vorsieht. Das Unionsrecht und das nationale Recht sollten ein Gleichgewicht zwischen dem Zugang der Öffentlichkeit zu amtlichen Dokumenten und der Weiterverwendung von Informationen des öffentlichen Sektors einerseits und dem Recht auf Schutz personenbezogener Daten andererseits gewährleisten und könnten daher das Notwendige vorsehen Abwägung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung. Der Verweis auf öffentliche Behörden und Stellen sollte in diesem Zusammenhang alle Behörden oder anderen Stellen umfassen, die durch innerstaatliches Recht in Bezug auf den Zugang der Öffentlichkeit zu Dokumenten geregelt sind. Die Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates (1) lässt das Schutzniveau natürlicher Personen bei der Verarbeitung personenbezogener Daten im Einklang mit dem Unionsrecht und dem innerstaatlichen Recht unberührt und beeinträchtigt es in keiner Weise. insbesondere werden dadurch die Rechte und Pflichten aus dieser Verordnung nicht geändert. Insbesondere gilt die oben genannte Richtlinie nicht für Dokumente, zu denen der Zugang im Rahmen der Zugangsregelungen aus Gründen des Schutzes personenbezogener Daten ausgeschlossen oder eingeschränkt ist, noch für Teile von Dokumenten, die im Rahmen dieser Regelungen zugänglich sind und personenbezogene Daten enthalten, deren Weiterverwendung festgelegt wurde gesetzlich als unvereinbar mit dem Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten eingestuft.
(1) Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. L 345 vom 31.12.2003, S. 90).
(155) Internes Recht oder Tarifverträge, einschließlich „Arbeitsverträge“, können spezifische Regeln zur Regelung der Verarbeitung personenbezogener Daten von Arbeitnehmern im Rahmen des Beschäftigungsverhältnisses vorsehen, insbesondere die Bedingungen, unter denen personenbezogene Daten im Rahmen des Beschäftigungsverhältnisses an einem Arbeitsplatz verarbeitet werden dürfen auf der Grundlage der Einwilligung des Arbeitnehmers verarbeitet werden, zum Zwecke der Einstellung, der Einhaltung der Bedingungen des Arbeitsvertrags, einschließlich der Erfüllung gesetzlicher oder tarifvertraglicher Verpflichtungen, der Geschäftsführung, Planung und Organisation der Arbeit, Gleichheit und Vielfalt am Arbeitsplatz, Gewährleistung von Gesundheit und Sicherheit am Arbeitsplatz sowie zum Zweck der individuellen oder kollektiven Ausübung der Rechte und Vorteile im Zusammenhang mit der Beschäftigung sowie zu diesem Zweck der Beendigung des Arbeitsverhältnisses.
(156) Die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivierungszwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollte angemessenen Garantien für die Rechte und Freiheiten der betroffenen Person nach dieser Verordnung unterliegen. Die jeweiligen Garantien sollen sicherstellen, dass die erforderlichen technischen und organisatorischen Maßnahmen getroffen wurden, um insbesondere den Grundsatz der Datenminimierung sicherzustellen. Die anschließende Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt dann, wenn der Betreiber die Durchführbarkeit der Erfüllung beurteilt hat
Verwirklichung dieser Ziele durch Verarbeitung personenbezogener Daten, die eine Identifizierung der betroffenen Personen nicht oder nicht mehr zulassen, sofern angemessene Garantien bestehen (z. B. Pseudonymisierung personenbezogener Daten). Die Mitgliedstaaten sollten angemessene Garantien für die Verarbeitung personenbezogener Daten zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken bieten. Die Mitgliedstaaten sollten befugt sein, unter bestimmten Bedingungen und vorbehaltlich angemessener Garantien für betroffene Personen Klarstellungen und Ausnahmen in Bezug auf Informationsanfragen und das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Vergessenwerden und das Recht auf Einschränkung der Verarbeitung vorzusehen , das Recht auf Datenübertragbarkeit sowie das Recht auf Widerspruch im Falle der Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken. Die betreffenden Bedingungen und Garantien können spezifische Verfahren zur Ausübung der jeweiligen Rechte durch die betroffenen Personen nach sich ziehen, wenn dies im Rahmen der mit der jeweiligen Verarbeitung verfolgten Zwecke angemessen ist, sowie technische und organisatorische Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten im Einklang mit den Grundsätzen der Verhältnismäßigkeit und Notwendigkeit. Die Verarbeitung personenbezogener Daten für wissenschaftliche Zwecke sollte auch im Einklang mit anderen relevanten Rechtsvorschriften erfolgen, beispielsweise denen zu klinischen Studien.
(157) Durch die Kombination von Informationen aus Registern können Forscher wertvolle neue Erkenntnisse über weit verbreitete Krankheiten wie Herz-Kreislauf-Erkrankungen, Krebs und Depressionen gewinnen. Basierend auf Registern können Forschungsergebnisse gestärkt werden, da diese auf einer größeren Population basieren. In den Sozialwissenschaften ermöglicht die registerbasierte Forschung den Forschern, wesentliche Informationen über den langfristigen Zusammenhang verschiedener sozialer Bedingungen wie Arbeitslosigkeit oder Bildung mit anderen Lebensbedingungen zu gewinnen. Die auf der Grundlage von Registern gewonnenen Forschungsergebnisse liefern fundiertes und qualitativ hochwertiges Wissen, das die Grundlage für die Entwicklung und Umsetzung wissensbasierter Politiken bilden und die Lebensqualität einer Reihe von Menschen sowie die Effizienz des Sozialwesens verbessern kann Dienstleistungen. Um die wissenschaftliche Forschung zu erleichtern, können personenbezogene Daten für wissenschaftliche Forschungszwecke verarbeitet werden, vorbehaltlich der im Unionsrecht oder im innerstaatlichen Recht festgelegten Bedingungen und entsprechenden Garantien.
(158) Wenn personenbezogene Daten zu Archivierungszwecken verarbeitet werden, sollte diese Verordnung auch für diese Verarbeitung gelten, wobei zu berücksichtigen ist, dass diese Verordnung nicht für verstorbene Personen gelten sollte. Öffentliche Behörden oder öffentliche oder private Stellen, die über Aufzeichnungen von öffentlichem Interesse verfügen, sollten nach Unionsrecht oder nationalem Recht gesetzlich verpflichtet sein, Aufzeichnungen von bleibendem Wert zu erwerben, aufzubewahren, auszuwerten, vorzubereiten, zu beschreiben, zu kommunizieren, zu fördern, zu verbreiten und den Zugang zu ihnen sicherzustellen von allgemeinem öffentlichem Interesse. Die Mitgliedstaaten sollten auch eine Weiterverarbeitung personenbezogener Daten zu Archivierungszwecken vorsehen können, beispielsweise um spezifische Informationen über politisches Verhalten während früherer totalitärer Staatsregime, Völkermorde, Verbrechen gegen die Menschlichkeit, insbesondere den Holocaust, oder Kriegsverbrechen bereitzustellen.
(159) Werden personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet, sollte diese Verordnung auch für diese Verarbeitung gelten. Für die Zwecke dieser Verordnung sollte die Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke im weitesten Sinne ausgelegt werden und umfasst beispielsweise technologische Entwicklungs- und Demonstrationsaktivitäten, Grundlagenforschung, angewandte Forschung und aus privaten Quellen finanzierte Forschung. Darüber hinaus sollte das in Artikel 179 Absatz 1 AEUV genannte Ziel der Union, einen Europäischen Forschungsraum zu schaffen, berücksichtigt werden. Zu den Zielen der wissenschaftlichen Forschung sollten auch im öffentlichen Interesse durchgeführte Studien im Bereich der öffentlichen Gesundheit gehören. Um den besonderen Merkmalen der Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung gerecht zu werden, sollten besondere Bedingungen gelten, insbesondere im Hinblick auf die Veröffentlichung oder Weitergabe personenbezogener Daten auf andere Weise im Rahmen der Zwecke der wissenschaftlichen Forschung. Stellt das Ergebnis wissenschaftlicher Forschung, insbesondere im Gesundheitskontext, einen Anlass für zusätzliche Maßnahmen im Interesse der betroffenen Person dar, sind die allgemeinen Regelungen dieser Verordnung im Hinblick auf diese Maßnahmen anzuwenden.
(160) Werden personenbezogene Daten zu historischen Forschungszwecken verarbeitet, sollte diese Verordnung auch für diese Verarbeitung gelten. Dies sollte auch historische Forschung und Forschung zu genealogischen Zwecken umfassen, wobei zu berücksichtigen ist, dass diese Regelung nicht für verstorbene Personen gelten sollte.
(161) Für die Erteilung der Einwilligung zur Teilnahme an wissenschaftlichen Forschungstätigkeiten im Rahmen klinischer Prüfungen gelten die einschlägigen Bestimmungen der Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates (1).
(1) Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über interventionelle klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG (ABl. L 158 vom 27.5.2014, S. 1).
(162) Werden personenbezogene Daten zu statistischen Zwecken verarbeitet, sollte diese Verordnung für diese Verarbeitung gelten. Das Unionsrecht oder das nationale Recht sollen im Rahmen dieser Verordnung den statistischen Inhalt, die Zugriffskontrolle, die Spezifikationen für die Verarbeitung personenbezogener Daten für statistische Zwecke und die geeigneten Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen und zur Gewährleistung der Vertraulichkeit festlegen statistischer Daten. Diese statistischen Ergebnisse können später für verschiedene Zwecke verwendet werden, unter anderem für wissenschaftliche Forschungszwecke. Zu statistischen Zwecken zählen alle Erhebungen und Verarbeitungen personenbezogener Daten, die für statistische Erhebungen oder die Erstellung statistischer Ergebnisse erforderlich sind. Die statistischen Zwecke gehen davon aus, dass es sich bei dem Ergebnis der Verarbeitung zu statistischen Zwecken nicht um personenbezogene Daten, sondern um aggregierte Daten handelt und dass dieses Ergebnis oder diese personenbezogenen Daten nicht zur Unterstützung von Maßnahmen oder Entscheidungen bezüglich einer bestimmten natürlichen Person verwendet werden.
(163) Die vertraulichen Informationen, die die Statistikämter auf Unions- und nationaler Ebene sammeln, um amtliche europäische und nationale Statistiken zu erstellen, sollten geschützt werden. Europäische Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV festgelegten statistischen Grundsätzen konzipiert, entwickelt und verbreitet werden, während nationale Statistiken auch im Einklang mit innerstaatlichem Recht stehen sollten. Verordnung (EG) Nr. Die Verordnung 223/2009 des Europäischen Parlaments und des Rates (2) enthält zusätzliche Vorgaben zur Vertraulichkeit statistischer Daten für europäische Statistiken.
(2) Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung vertraulicher statistischer Daten an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über Gemeinschaftsstatistiken und Beschluss 89/382/EWG, Euratom des Rates zur Einrichtung des Ausschusses für statistische Programme der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).
(164) Hinsichtlich der Befugnisse der Aufsichtsbehörden, vom Betreiber oder von der vom Betreiber autorisierten Person Zugang zu personenbezogenen Daten und Zugang zu ihren Gebäuden zu erhalten, können die Mitgliedstaaten durch Gesetzgebung und in den durch diese Verordnung festgelegten Grenzen Folgendes erlassen: besondere Regeln zum Schutz des Berufsgeheimnisses oder andere gleichwertige Verpflichtungen, soweit dies erforderlich ist, um ein Gleichgewicht zwischen dem Recht auf den Schutz personenbezogener Daten und der Verpflichtung zur Wahrung des Berufsgeheimnisses sicherzustellen. Die bestehenden Pflichten der Mitgliedstaaten, in den vom Unionsrecht geforderten Situationen Regelungen zum Berufsgeheimnis zu erlassen, bleiben hiervon unberührt.
(165) Diese Verordnung respektiert und berührt nicht den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten auf der Grundlage des bestehenden Verfassungsrechts genießen, wie in Artikel 17 AEUV anerkannt.
(166) Um die Ziele dieser Verordnung zu erreichen, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz personenbezogener Daten zu schützen und den freien Verkehr personenbezogener Daten im Hoheitsgebiet zu gewährleisten der Union sollte die Befugnis zum Erlass von Rechtsakten gemäß Artikel 290 AEUV der Kommission übertragen werden. Insbesondere sollten delegierte Rechtsakte zu den Kriterien und Anforderungen an Zertifizierungsmechanismen, den durch standardisierte Piktogramme darzustellenden Informationen und den Verfahren zur Bereitstellung solcher Piktogramme erlassen werden. Es ist besonders wichtig, dass innerhalb
Im Rahmen ihrer vorbereitenden Tätigkeiten ist die Kommission verpflichtet, entsprechende Konsultationen, auch auf Expertenebene, zu organisieren. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission die gleichzeitige, rechtzeitige und angemessene Übermittlung relevanter Dokumente an das Europäische Parlament und den Rat sicherstellen.
(167) Um einheitliche Bedingungen für die Umsetzung dieser Verordnung sicherzustellen, sollte die Kommission in den in dieser Verordnung festgelegten Situationen mit Durchsetzungsbefugnissen ausgestattet werden. Die jeweiligen Kompetenzen sollen im Einklang mit der Verordnung (EU) Nr. 182/2011. In diesem Zusammenhang sollte die Kommission spezifische Maßnahmen für Kleinstunternehmen sowie für kleine und mittlere Unternehmen in Betracht ziehen.
(168) Das Prüfverfahren sollte für den Erlass von Durchführungsrechtsakten in Bezug auf Folgendes genutzt werden: Standardvertragsklauseln zwischen Betreibern und von Betreibern autorisierten Personen sowie zwischen von Betreibern autorisierten Personen; Verhaltenskodizes; technische Standards und Zertifizierungsmechanismen; das angemessene Schutzniveau, das ein Drittland, ein Gebiet oder ein bestimmter Verarbeitungssektor in diesem Drittland oder eine internationale Organisation bietet; Standarddatenschutzklauseln; Formate und Verfahren für den elektronischen Informationsaustausch zwischen Betreibern, von Betreibern autorisierten Personen und Aufsichtsbehörden für verbindliche Unternehmensvorschriften; gegenseitige Hilfe; sowie die Modalitäten des elektronischen Informationsaustausches zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Gremium.
(169) Die Kommission sollte sofort geltende Durchführungsrechtsakte erlassen, wenn die verfügbaren Beweise zeigen, dass ein Drittland, ein Gebiet oder ein bestimmter Verarbeitungssektor in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau gewährleistet zwingende Gründe der Dringlichkeit.
(170) Da das Ziel dieser Verordnung, nämlich die Gewährleistung eines gleichwertigen Schutzniveaus natürlicher Personen und des freien Verkehrs personenbezogener Daten in der gesamten Union, von den Mitgliedstaaten nicht zufriedenstellend erreicht werden kann, kann dies angesichts des Anwendungsbereichs oder der Wirkungen der Maßnahme jedoch durchaus erreicht werden Um diese Ziele besser auf der Ebene der Union erreichen zu können, kann sie im Einklang mit dem Subsidiaritätsprinzip, wie es in Artikel 5 des Vertrags über die Europäische Union („EU-Vertrag“) definiert ist, Maßnahmen ergreifen. Gemäß dem Grundsatz der Verhältnismäßigkeit, wie er im jeweiligen Artikel definiert ist, geht diese Verordnung nicht über das zur Erreichung der genannten Ziele erforderliche Maß hinaus.
(171) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Die zum Zeitpunkt der Anwendung dieser Verordnung laufende Verarbeitung sollte innerhalb von zwei Jahren nach Inkrafttreten dieser Verordnung mit dieser Verordnung in Einklang gebracht werden. Wenn die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG beruht, ist es nicht erforderlich, dass die betroffene Person ihre Einwilligung erneut erteilt, wenn die Art und Weise, in der die Einwilligung erteilt wurde, mit den Bedingungen dieser Verordnung übereinstimmt, so dass die Der Betreiber ist berechtigt, diese Verarbeitung nach dem Geltungsbeginn dieser Verordnung fortzusetzen. Die auf der Grundlage der Richtlinie 95/46/EG erlassenen Beschlüsse der Kommission und die Ermächtigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.
(172) Die Europäische Datenschutzbehörde wurde gemäß Artikel 28 Absatz (2) der Verordnung (EG) Nr. 45/2001 und gab am 7. März 2012 eine Stellungnahme ab (1).
(1) ABl. C 192 vom 30.6.2012, S. 7.
(173) Diese Verordnung sollte für alle Aspekte im Zusammenhang mit dem Schutz der Rechte und Grundfreiheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten gelten, für die keine spezifischen Verpflichtungen mit dem gleichen Ziel wie dem in der Richtlinie 2002/58/EG festgelegten gelten Europäischen Parlaments und des Rates (2), einschließlich der Verpflichtungen gegenüber dem Betreiber und der Rechte natürlicher Personen. Um den Zusammenhang zwischen dieser Verordnung und der Richtlinie 2002/58/EG zu klären, sollte diese Richtlinie entsprechend geändert werden. Nach der Annahme dieser Verordnung sollte die Richtlinie 2002/58/EG überarbeitet werden, insbesondere um die Kohärenz mit dieser Verordnung sicherzustellen.
(2) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Vertraulichkeit im Bereich der öffentlichen Kommunikation (Richtlinie über Vertraulichkeit und elektronische Kommunikation) (ABl. L 201, S. 31.7.2002). 37, S. XNUMX).
AKZEPTIEREN SIE DIESE BESTIMMUNGEN:
- **** -
KAPITEL I: Allgemeine Bestimmungen
Art. 1: Gegenstand und Ziele
(1) Diese Verordnung legt die Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie die Regeln zum freien Verkehr personenbezogener Daten fest.
(2) Diese Verordnung gewährleistet den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten innerhalb der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten nicht eingeschränkt oder verboten werden.
Art. 2: Materieller Anwendungsbereich
(1) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten, die ganz oder teilweise automatisiert erfolgt, sowie für die Verarbeitung personenbezogener Daten, die Teil eines Datenerfassungssystems sind oder dazu bestimmt sind, auf andere als automatisierte Weise Teil eines Datenaufzeichnungssystems sein.
(2) Diese Regelung gilt nicht für die Verarbeitung personenbezogener Daten:
a) im Rahmen einer Tätigkeit, die nicht unter das Unionsrecht fällt;
b) von den Mitgliedstaaten bei der Durchführung von Tätigkeiten, die unter Titel V Kapitel 2 des EU-Vertrags fallen;
c) durch eine natürliche Person in einer ausschließlich persönlichen oder häuslichen Tätigkeit;
d) von den zuständigen Behörden zum Zweck der Verhütung, Aufklärung, Aufdeckung oder Verfolgung von Straftaten oder der Durchsetzung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und deren Abwehr.
(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union gilt die Verordnung (EG) Nr. 45/2001. Verordnung (EG) Nr. 45/2001 und andere Rechtsakte der Union, die auf eine solche Verarbeitung personenbezogener Daten anwendbar sind, werden gemäß Artikel 98 an die Grundsätze und Regeln dieser Verordnung angepasst.
(4) Diese Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG, insbesondere die Regelungen zur Haftung von Vermittlungsdienstleistern gemäß den Artikeln 12-15 der genannten Richtlinie.
Art. 3: Räumlicher Geltungsbereich
(1) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer Geschäftsstelle eines Betreibers oder einer von ihm beauftragten Person im Gebiet der Union, unabhängig davon, ob die Verarbeitung im Gebiet der Union erfolgt oder nicht .
(2) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen Betreiber oder eine von ihm bevollmächtigte Person, die nicht in der Union ansässig ist, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit:
a) den betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob die betroffene Person eine Zahlung verlangt oder nicht; oder
b) Überwachung ihres Verhaltens, wenn es sich innerhalb der Union manifestiert.
(3) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen Betreiber, der nicht in der Union, sondern an einem Ort ansässig ist, an dem auf der Grundlage des Völkerrechts nationales Recht Anwendung findet.
Art. 4: Definitionen
Im Sinne dieser Verordnung:
1.„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; Eine identifizierbare natürliche Person ist eine Person, die es sein kann
direkt oder indirekt identifiziert werden, insbesondere durch Bezugnahme auf ein Identifikationselement wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf ein oder mehrere spezifische Elemente, die eigene physische, physiologische Identität, genetische, psychologische, wirtschaftlich, kulturell oder sozial; 2. „Verarbeitung“ ist jeder mit oder ohne Verwendung automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Extrahieren oder das Abfragen , Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung 3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ ist jede Art der automatischen Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung oder der wirtschaftlichen Lage zu analysieren oder vorherzusagen , Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, der Aufenthaltsort der jeweiligen natürlichen Person oder ihre Bewegungen;
5. „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und bestimmten technischen und organisatorischen Maßnahmen unterliegen sicherzustellen, dass die betreffenden personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Datensatzsystem“: jeder strukturierte Satz personenbezogener Daten, der nach bestimmten Kriterien zugänglich ist, sei es zentralisiert, dezentral oder nach funktionalen oder geografischen Kriterien verteilt;
7. „Betreiber“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; Wenn die Zwecke und Mittel der Verarbeitung im Unionsrecht oder im innerstaatlichen Recht festgelegt sind, können der Betreiber oder die spezifischen Kriterien für seine Benennung im Unionsrecht oder im innerstaatlichen Recht vorgesehen sein;
8. „Vom Betreiber autorisierte Person“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Betreibers verarbeitet; 9. „Empfänger“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, denen im Rahmen einer bestimmten Untersuchung nach Unionsrecht oder innerstaatlichem Recht ggf. personenbezogene Daten übermittelt werden, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die jeweiligen Behörden erfolgt im Einklang mit den geltenden Datenschutzbestimmungen und entsprechend den Zwecken der Verarbeitung;
10. „Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Betreiber, der vom Betreiber beauftragten Person und den Personen, die unter der unmittelbaren Weisungsbefugnis des Betreibers oder der beauftragten Person stehen vom Betreiber zur Verarbeitung personenbezogener Daten berechtigt sind;
11. „Einwilligung“ der betroffenen Person jede Äußerung des freien, konkreten, informierten und eindeutigen Willens der betroffenen Person, mit der sie durch eine Erklärung oder eine eindeutige Handlung damit einverstanden ist, dass die sie betreffenden personenbezogenen Daten verarbeitet werden; 12. „Verletzung der Sicherheit personenbezogener Daten“ bezeichnet eine Sicherheitsverletzung, die versehentlich oder rechtswidrig zur Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung personenbezogener Daten führt, die auf andere Weise übermittelt, gespeichert oder verarbeitet werden, oder zum unbefugten Zugriff darauf;
13. „Genetische Daten“ sind personenbezogene Daten im Zusammenhang mit den vererbten oder erworbenen genetischen Merkmalen einer natürlichen Person, die eindeutige Informationen über die Physiologie oder Gesundheit der betreffenden Person liefern und insbesondere aus einer Analyse einer biologischen Probe resultieren von der betreffenden Person gesammeltes Material;
14. „biometrische Daten“ sind personenbezogene Daten, die aus bestimmten Verarbeitungstechniken im Zusammenhang mit den physischen, physiologischen oder Verhaltensmerkmalen einer natürlichen Person stammen und die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie z. B. Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ sind personenbezogene Daten im Zusammenhang mit der körperlichen oder geistigen Gesundheit einer natürlichen Person, einschließlich der Erbringung medizinischer Hilfsleistungen, die Auskunft über ihren Gesundheitszustand geben;
16. „Hauptsitz“ bedeutet:
(a) im Falle eines Betreibers mit Niederlassungen in mindestens zwei Mitgliedstaaten der Ort, an dem sich seine Hauptverwaltung in der Union befindet, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden an einem anderen Sitz des Unternehmens getroffen Betreiber in der Union, Sitz, der befugt ist, die Umsetzung dieser Entscheidungen anzuordnen; in diesem Fall gilt der Sitz, der die jeweiligen Entscheidungen getroffen hat, als Hauptsitz;
(b) im Falle einer vom Betreiber autorisierten Person mit Sitz in mindestens zwei Mitgliedstaaten der Ort, an dem sich ihre Hauptverwaltung in der Union befindet, oder, wenn die vom Betreiber autorisierte Person keine Zentralverwaltung in hat der Union, der Sitz aus der Union der vom Betreiber bevollmächtigten Person, in der die Hauptverarbeitungstätigkeiten stattfinden, im Rahmen der Tätigkeit eines Büros der vom Betreiber bevollmächtigten Person, sofern hierfür besondere Bestimmungen gelten Verpflichtungen aus dieser Verordnung;
17. „Vertreter“ eine natürliche oder juristische Person mit Sitz in der Union, die vom Betreiber oder der von ihm gemäß Artikel 27 bevollmächtigten Person schriftlich benannt wurde und die den Betreiber oder die bevollmächtigte Person im Hinblick auf ihre jeweiligen Pflichten aus diesem Vertrag vertritt Vorschriften;
18. „Unternehmen“ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Personenvereinigungen, die regelmäßig eine wirtschaftliche Tätigkeit ausüben;
19. „Unternehmensgruppe“ ein Unternehmen, das die Kontrolle ausübt, und die von ihm kontrollierten Unternehmen;
20. „Zwingende Unternehmensvorschriften“ sind die Richtlinien zum Schutz personenbezogener Daten, die von einem Betreiber oder einer von ihm autorisierten Person mit Sitz im Hoheitsgebiet eines Mitgliedstaats in Bezug auf Übermittlungen oder Gruppen von Datenübertragungen mit personenbezogenem Charakter an einen eingehalten werden müssen Betreiber oder eine von ihm autorisierte Person in einem oder mehreren Drittländern innerhalb einer Unternehmensgruppe oder einer Unternehmensgruppe, die eine gemeinsame wirtschaftliche Tätigkeit ausübt;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige öffentliche Behörde;
22. „Zielaufsichtsbehörde“ bezeichnet eine Aufsichtsbehörde, die Ziel der Verarbeitung personenbezogener Daten ist, weil:
(a) der Betreiber oder die von ihm beauftragte Person ihren Sitz im Hoheitsgebiet des Mitgliedstaats der jeweiligen Aufsichtsbehörde hat;
(b) die betroffenen Personen mit Wohnsitz in dem Mitgliedstaat, in dem die jeweilige Aufsichtsbehörde ihren Sitz hat, von der Verarbeitung erheblich betroffen sind oder voraussichtlich erheblich betroffen sein werden; oder
(c) eine Beschwerde bei der zuständigen Aufsichtsbehörde eingereicht wurde;
23. „grenzüberschreitende Verarbeitung“ bedeutet:
(a) entweder die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeit des Hauptsitzes in mehreren Mitgliedstaaten eines Betreibers oder einer von ihm bevollmächtigten Person auf dem Gebiet der Union erfolgt, wenn der Betreiber oder eine von ihm bevollmächtigte Person der Betreiber hat seinen Sitz in mindestens zwei Mitgliedstaaten; oder
(b) entweder die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Betreibers oder einer von diesem beauftragten Person im Gebiet der Union erfolgt, sich jedoch auf Folgendes auswirkt
betroffene Personen aus mindestens zwei Mitgliedstaaten erheblich beeinträchtigen oder voraussichtlich erheblich beeinträchtigen werden;
24. „Maßgeblicher und begründeter Einspruch“ ist ein Einspruch gegen einen Entscheidungsentwurf, um festzustellen, ob ein Verstoß gegen diese Verordnung vorliegt oder ob die geplanten Maßnahmen gegenüber dem Betreiber oder der von ihm beauftragten Person mit dieser Verordnung im Einklang stehen macht deutlich, wie groß die Risiken sind, die der Entscheidungsentwurf für die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls für den freien Verkehr personenbezogener Daten innerhalb der Union mit sich bringt;
25. „Dienste der Informationsgesellschaft“ bezeichnet einen Dienst im Sinne von Artikel 1
Absatz (1) Buchstabe (b) der Richtlinie 2015/1535/EG des Europäischen Parlaments und des Rates (1);
(1) Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über das Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S . 1 ).
(ab 23. Mai 2018, Art. 4, Punkt 25. des Kapitels I berichtigt durch Punkt 2. der Berichtigung vom 23. Mai 2018)
26. „Internationale Organisation“ bezeichnet eine Organisation und ihre nachgeordneten Organe, die dem Völkerrecht unterliegen, oder jede andere Körperschaft, die durch eine Vereinbarung zwischen zwei oder mehr Ländern oder auf der Grundlage einer solchen Vereinbarung gegründet wurde.
KAPITEL II: Grundsätze
Art. 5: Grundsätze zur Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten sind:
a) rechtmäßig, fair und für die betroffene Person transparent verarbeitet werden („Rechtmäßigkeit, Fairness und Transparenz“);
b) für bestimmte, eindeutige und legitime Zwecke erhoben und anschließend nicht in einer mit diesen Zwecken unvereinbaren Weise verarbeitet werden; Eine spätere Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz (1) („Zweckbeschränkungen“) nicht als mit den ursprünglichen Zwecken unvereinbar.
c) angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt („Datenminimierung“);
d) korrekt und gegebenenfalls zu aktualisieren; Es müssen alle erforderlichen Maßnahmen ergriffen werden, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen für einen Zeitraum ermöglicht, der den zur Erfüllung der Zwecke, für die die Daten verarbeitet werden, erforderlichen Zeitraum nicht überschreitet; Eine längere Speicherung personenbezogener Daten ist zulässig, soweit diese ausschließlich für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden, vorbehaltlich der Umsetzung der in dieser Verordnung vorgesehenen geeigneten technischen und organisatorischen Maßnahmen zur Gewährleistung der Rechte und Freiheiten der betroffenen Person („Speicherungsbeschränkungen“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit personenbezogener Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, durch Ergreifen geeigneter technischer oder organisatorischer Maßnahmen („Integrität und Vertraulichkeit“).
(2) Der Betreiber ist für die Einhaltung von Absatz (1) verantwortlich und kann diese Einhaltung nachweisen („Verantwortung“).
Art. 6: Rechtmäßigkeit der Verarbeitung
(1) Eine Verarbeitung ist nur dann rechtmäßig, wenn und soweit mindestens eine der folgenden Voraussetzungen zutrifft:
a) die betroffene Person hat ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Betreibers erforderlich;
d) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich;
e) die Verarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder sich aus der Ausübung öffentlicher Gewalt ergibt, die dem Betreiber übertragen wurde;
f) die Verarbeitung zur Wahrung berechtigter Interessen des Betreibers oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern, insbesondere wenn die betroffene Person dies tut ein Kind.
Buchstabe f des ersten Absatzes gilt nicht für Verarbeitungen, die von Behörden in Erfüllung ihrer Aufgaben vorgenommen werden.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen beibehalten oder einführen, um die Anwendung der Regeln dieser Verordnung in Bezug auf die Verarbeitung anzupassen, um Absatz (1) Buchstaben (c) und (e) einzuhalten, indem sie genauere spezifische Anforderungen an die Verarbeitung festlegen andere Maßnahmen zur Gewährleistung einer rechtmäßigen und fairen Verarbeitung, auch für andere spezifische Verarbeitungssituationen, wie in Kapitel IX vorgesehen.
(3) Die Grundlage für die in Absatz (1) Buchstaben (c) und (e) genannte Verarbeitung muss bereitgestellt werden in: a) Unionsrecht; oder
b) das für den Betreiber geltende nationale Recht.
Der Zweck der Verarbeitung ergibt sich aus der jeweiligen Rechtsgrundlage oder ist, soweit es sich um die in Absatz (1) Buchstabe (e) genannte Verarbeitung handelt, für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder im öffentlichen Interesse liegt die Ausübung einer dem Betreiber übertragenen öffentlichen Aufgabe. Die jeweilige Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Regeln dieser Verordnung enthalten, unter anderem: die allgemeinen Bedingungen, die die Rechtmäßigkeit der Verarbeitung durch den Betreiber regeln; die Arten von Daten, die Gegenstand der Verarbeitung sind; die betroffenen Personen; die Stellen, an die die Daten weitergegeben werden dürfen und der Zweck, zu dem die jeweiligen personenbezogenen Daten weitergegeben werden dürfen; Zweckbeschränkungen; Speicherfristen; und Verarbeitungsvorgänge und -verfahren, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßigen und fairen Verarbeitung, wie etwa diejenigen für andere spezifische Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das innerstaatliche Recht verfolgt ein Ziel von öffentlichem Interesse und steht in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel.
(4) Wenn die Verarbeitung zu einem anderen Zweck als dem, für den die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf Unionsrecht oder innerstaatlichem Recht beruht, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt Um die in Artikel 23 Absatz (1) genannten Ziele zu schützen, berücksichtigt der Betreiber bei der Feststellung, ob die Verarbeitung für einen anderen Zweck mit dem Zweck vereinbar ist, für den die personenbezogenen Daten ursprünglich erhoben wurden, unter anderem Folgendes:
a) jeglicher Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der geplanten späteren Verarbeitung;
b) den Kontext, in dem die personenbezogenen Daten erhoben wurden, insbesondere im Hinblick auf die Beziehung zwischen den betroffenen Personen und dem Betreiber;
c) die Art der personenbezogenen Daten, insbesondere im Falle der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 oder für den Fall, dass personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden;
d) die möglichen Folgen der erwarteten weiteren Verarbeitung für die betroffenen Personen;
e) das Vorhandensein angemessener Garantien, die Verschlüsselung oder Pseudonymisierung beinhalten können.
Art. 7: Bedingungen bezüglich der Einwilligung
(1) Sofern die Verarbeitung auf einer Einwilligung beruht, muss der Betreiber nachweisen können, dass der Betroffene seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten erteilt hat.
(2) Erfolgt die Einwilligung des Betroffenen im Rahmen einer schriftlichen Stellungnahme, die sich auch auf andere Aspekte bezieht, muss das Einwilligungsersuchen in einer Form dargelegt werden, die es von den übrigen Aspekten deutlich abgrenzt, in einer verständlichen und verständlichen Form leicht zugänglich, mit einem
klare und einfache Sprache. Jeder Teil dieser Aussage, der einen Verstoß gegen diese Regelung darstellt, ist nicht zwingend.
(3) Der Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Vor Erteilung der Einwilligung wird die betroffene Person hierüber informiert. Der Widerruf der Einwilligung ist so einfach wie die Erteilung einer Einwilligung.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, wird so weit wie möglich berücksichtigt, dass unter anderem die Durchführung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung hinsichtlich des Vertrags abhängig ist oder nicht Verarbeitung personenbezogener Daten, die für die Durchführung dieses Vertrages nicht erforderlich sind.
Art. 8: Anwendbare Bedingungen für die Einwilligung von Kindern in Bezug auf Dienste der Informationsgesellschaft
(1) Bei Anwendung von Artikel 6 Absatz (1) Buchstabe (a) in Bezug auf die Bereitstellung von Diensten der Informationsgesellschaft direkt an ein Kind ist die Verarbeitung personenbezogener Daten eines Kindes rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind unter 16 Jahre alt, ist die jeweilige Verarbeitung nur dann rechtmäßig, wenn und soweit die entsprechende Einwilligung vom Träger der elterlichen Verantwortung für das Kind erteilt oder genehmigt wird.
Die Mitgliedstaaten können für diese Zwecke gesetzlich ein niedrigeres Alter vorsehen, sofern das niedrigere Alter nicht weniger als 13 Jahre beträgt.
(2) Der Betreiber unternimmt in solchen Fällen alle zumutbaren Anstrengungen, um unter Berücksichtigung der verfügbaren Technologien zu überprüfen, ob der Träger der elterlichen Verantwortung eine Einwilligung erteilt oder genehmigt hat.
(3) Absatz 1 berührt nicht das in den Mitgliedstaaten geltende allgemeine Vertragsrecht, etwa die Regelungen über die Gültigkeit, den Abschluss oder die Wirkungen eines Vertrags im Verhältnis zu einem Kind.
Art. 9: Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse Bekenntnisse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung genetischer Daten, biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder ähnliches ist untersagt Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.
(2) Absatz (1) gilt nicht in den folgenden Situationen:
a) Die betroffene Person hat ihre ausdrückliche Einwilligung zur Verarbeitung dieser personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben, es sei denn, das Unionsrecht oder das innerstaatliche Recht sehen vor, dass das in Absatz (1) vorgesehene Verbot nicht durch Einwilligung der betroffenen Person aufgehoben werden kann ;
b) die Verarbeitung ist zum Zweck der Erfüllung der Pflichten und der Ausübung spezifischer Rechte des Betreibers oder der betroffenen Person im Bereich Beschäftigung und soziale Sicherheit und Sozialschutz erforderlich, sofern dies nach Unionsrecht oder innerstaatlichem Recht zulässig ist oder ein nach innerstaatlichem Recht geschlossener Tarifvertrag, der angemessene Garantien für die Grundrechte und Interessen der betroffenen Person bietet;
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich, wenn die betroffene Person aus physischen oder rechtlichen Gründen nicht in der Lage ist, ihre Einwilligung zu erteilen;
d) die Verarbeitung erfolgt im Rahmen ihrer rechtmäßigen Tätigkeit und mit angemessenen Garantien durch eine Stiftung, einen Verein oder eine andere gemeinnützige Organisation mit politischen, philosophischen, religiösen oder gewerkschaftlichen Besonderheiten, sofern sich die Verarbeitung nur auf deren Mitglieder oder auf diese bezieht die ehemaligen Mitglieder des jeweiligen Gremiums oder an Personen, mit denen es im Zusammenhang mit seinen Zwecken in ständigem Kontakt steht und dass personenbezogene Daten nicht ohne Zustimmung der betroffenen Personen an Dritte weitergegeben werden; e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offen öffentlich gemacht hat;
f) die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung eines Rechts vor Gericht oder immer dann erforderlich, wenn die Gerichte in Ausübung ihrer Rechtsprechungsfunktion tätig werden;
g) die Verarbeitung ist aus Gründen eines wichtigen öffentlichen Interesses erforderlich, basiert auf Unionsrecht oder innerstaatlichem Recht, steht in einem angemessenen Verhältnis zu dem verfolgten Ziel, respektiert den Wesensgehalt des Rechts auf Datenschutz und sieht geeignete und spezifische Maßnahmen zum Schutz der Grundrechte vor Interessen der betroffenen Person;
h) die Verarbeitung ist für Zwecke der Prävention oder Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Arbeitnehmers, der Erstellung einer medizinischen Diagnose, der Bereitstellung medizinischer oder sozialer Hilfe oder medizinischer Behandlung oder der Verwaltung von Gesundheitssystemen und -diensten erforderlich Sozialhilfe, die auf Unionsrecht oder innerstaatlichem Recht oder auf einem mit einem medizinischen Personal geschlossenen Vertrag beruht und vorbehaltlich der Einhaltung der in Absatz (3) vorgesehenen Bedingungen und Garantien;
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich, beispielsweise zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitätsstandards und der Sicherheit der medizinischen Versorgung und von Arzneimitteln oder Medizinprodukten, auf der Grundlage des Unionsrechts oder des innerstaatlichen Rechts, das geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht; oder j) die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz (1) auf der Grundlage von Unionsrecht oder innerstaatlichem Recht erforderlich, das in einem angemessenen Verhältnis zum Ziel steht befolgt, den Wesensgehalt des Rechts auf Datenschutz respektiert und geeignete und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsieht.
(3) Die in Absatz (1) genannten personenbezogenen Daten können zu den in Absatz (2) Buchstabe (h) genannten Zwecken verarbeitet werden, wenn die jeweiligen Daten von einer Berufsperson verarbeitet werden, die der Verpflichtung zur Wahrung des Berufsgeheimnisses unterliegt oder im Rahmen der Verantwortlichkeit dafür, nach Unionsrecht oder innerstaatlichem Recht oder nach den von zuständigen nationalen Stellen festgelegten Regeln oder durch eine andere Person, die ebenfalls einer Vertraulichkeitspflicht nach Unionsrecht oder innerstaatlichem Recht oder nach den von zuständigen nationalen Stellen festgelegten Regeln unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Einschränkungen, für die Verarbeitung genetischer Daten, biometrischer Daten oder Gesundheitsdaten beibehalten oder einführen.
Art. 10: Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder damit verbundenen Sicherheitsmaßnahmen gemäß Artikel 6 Absatz (1) erfolgt nur unter der Kontrolle einer staatlichen Behörde oder wenn die Verarbeitung durch das Unionsrecht oder ein nationales Recht, das dies vorsieht, zulässig ist angemessene Garantien für die Rechte und Freiheiten der betroffenen Personen. Ein umfassendes Register strafrechtlicher Verurteilungen wird nur unter der Kontrolle einer staatlichen Behörde geführt.
Art. 11: Verarbeitung, die keiner Identifizierung bedarf
(1) Wenn die Zwecke, für die ein Betreiber personenbezogene Daten verarbeitet, die Identifizierung einer betroffenen Person durch den Betreiber nicht oder nicht mehr erfordern, ist der Betreiber nicht verpflichtet, zusätzliche Informationen zur Identifizierung der betroffenen Person aufzubewahren, einzuholen oder zu verarbeiten Der alleinige Zweck besteht darin, dieser Verordnung nachzukommen.
(2) Kann der Betreiber in den in Absatz (1) dieses Artikels genannten Fällen nachweisen, dass er die betroffene Person nicht identifizieren kann, teilt er dies der betroffenen Person nach Möglichkeit mit. In solchen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer Rechte gemäß den jeweiligen Artikeln zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
KAPITEL III: Rechte der betroffenen Person
Abschnitt 1: Transparenz und Modalitäten
Art. 12: Transparenz der Informationen, Kommunikation und Methoden zur Ausübung der Rechte der betroffenen Person
(1) Der Betreiber ergreift geeignete Maßnahmen, um der betroffenen Person alle in den Artikeln 13 und 14 genannten Informationen und alle auf den Artikeln 15-22 und 34 basierenden Mitteilungen über die Verarbeitung in einer prägnanten, transparenten, verständlichen und leicht zugänglichen Form zur Verfügung zu stellen insbesondere eine klare und einfache Sprache
für alle Informationen, die speziell an ein Kind gerichtet sind. Die Informationen werden schriftlich oder auf andere Weise bereitgestellt, gegebenenfalls auch in elektronischer Form. Auf Wunsch der betroffenen Person kann die Auskunft mündlich erteilt werden, sofern die Identität der betroffenen Person auf andere Weise nachgewiesen wird.
(2) Der Betreiber erleichtert der betroffenen Person die Ausübung der Rechte gemäß Artikel 15-22. In den in Artikel 11 Absatz (2) genannten Fällen weigert sich der Betreiber nicht, dem Antrag der betroffenen Person auf Ausübung ihrer Rechte gemäß den Artikeln 15-22 nachzukommen, es sei denn, der Betreiber weist nach, dass er die Person nicht identifizieren kann betroffene Person.
(3) Der Betreiber informiert die betroffene Person unverzüglich und in jedem Fall spätestens einen Monat nach Eingang der Anfrage über die Maßnahmen, die aufgrund einer Anfrage gemäß Artikel 15-22 ergriffen wurden. Diese Frist kann bei Bedarf unter Berücksichtigung der Komplexität und Anzahl der Anfragen um zwei Monate verlängert werden. Der Betreiber informiert den Betroffenen innerhalb eines Monats nach Eingang des Antrags über eine solche Verlängerung unter Angabe der Gründe für die Verzögerung. Wenn die betroffene Person eine Anfrage in elektronischer Form stellt, werden die Informationen nach Möglichkeit in elektronischer Form bereitgestellt, es sei denn, die betroffene Person wünscht ein anderes Format. (4) Ergreift der Betreiber keine Maßnahmen in Bezug auf den Antrag der betroffenen Person, teilt er dem Betroffenen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, die Gründe für die Nichtergreifung von Maßnahmen und die Umstände mit Möglichkeit, eine Beschwerde bei einer Aufsichtsbehörde einzureichen und einen gerichtlichen Rechtsbehelf einzulegen.
(5) Die Bereitstellung der gemäß den Artikeln 13 und 14 bereitgestellten Informationen sowie der Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und 34 erfolgt unentgeltlich. Wenn die Anfragen einer betroffenen Person offensichtlich unbegründet oder übertrieben sind, insbesondere weil sie sich wiederholen, kann der Betreiber:
a) entweder eine angemessene Gebühr zu erheben, die den Verwaltungsaufwand für die Bereitstellung der Informationen oder Kommunikation oder für die Ergreifung der angeforderten Maßnahmen berücksichtigt;
b) oder sich weigern, der Aufforderung nachzukommen.
In diesen Fällen obliegt dem Betreiber die Beweislast dafür, dass der Antrag offensichtlich unbegründet oder übertrieben ist.
(6) Unbeschadet des Artikels 11 kann der Betreiber bei begründeten Zweifeln an der Identität der natürlichen Person, die den in den Artikeln 15 bis 21 genannten Antrag stellt, die Bereitstellung zusätzlicher Informationen verlangen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. (7) Die den betroffenen Personen gemäß Artikel 13 und 14 zur Verfügung zu stellenden Informationen können in Kombination mit standardisierten Symbolen bereitgestellt werden, um auf leicht sichtbare, verständliche und klar lesbare Weise einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu geben. Sofern die Icons in elektronischer Form vorliegen, müssen diese automatisch lesbar sein. (8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die durch die Piktogramme darzustellenden Informationen und die Verfahren zur Bereitstellung standardisierter Piktogramme festzulegen.
Abschnitt 2: Information und Zugang zu personenbezogenen Daten
Art. 13: Informationspflicht, wenn personenbezogene Daten bei der betroffenen Person erhoben werden
(1) Werden bei einer betroffenen Person personenbezogene Daten erhoben, stellt der Betreiber der betroffenen Person zum Zeitpunkt der Erhebung dieser personenbezogenen Daten alle folgenden Informationen zur Verfügung:
a) die Identität und Kontaktdaten des Betreibers und gegebenenfalls seines Vertreters;
b) ggf. die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage der Verarbeitung; d) sofern die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe f erfolgt, die berechtigten Interessen des Betreibers oder eines Dritten;
e) Empfänger oder Kategorien von Empfängern personenbezogener Daten;
f) gegebenenfalls die Absicht des Betreibers, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und das Vorliegen oder Fehlen einer Entscheidung der Kommission über die Angemessenheit
oder, im Fall von Übermittlungen gemäß Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz XNUMX, ein Hinweis auf die geeigneten Garantien und auf die Möglichkeit, eine Kopie davon zu erhalten, sofern diese hinterlegt wurden Anordnung.
(2) Zusätzlich zu den in Absatz (1) genannten Informationen stellt der Betreiber der betroffenen Person bei der Erhebung personenbezogener Daten die folgenden zusätzlichen Informationen zur Verfügung, die zur Gewährleistung einer fairen und transparenten Verarbeitung erforderlich sind:
a) den Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums;
b) das Bestehen des Rechts, vom Betreiber die Auskunft über die personenbezogenen Daten der betroffenen Person, deren Berichtigung oder Löschung oder die Einschränkung der Verarbeitung zu verlangen, oder das Recht, der Verarbeitung zu widersprechen, sowie das Recht darauf Datenportabilität; c) wenn die Verarbeitung auf Artikel 6 Absatz (1) Buchstabe a) oder auf Artikel 9 Absatz (2) Buchstabe a) beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung berührt wird auf der Grundlage der Einwilligung vor ihrem Widerruf durchgeführt werden;
d) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
e) ob die Bereitstellung personenbezogener Daten eine gesetzliche oder vertragliche Verpflichtung darstellt oder für den Vertragsabschluss erforderlich ist, ob die betroffene Person zur Bereitstellung dieser personenbezogenen Daten verpflichtet ist und welche Folgen die Nichteinhaltung dieser Daten haben kann Verpflichtung;
f) das Bestehen eines automatisierten Entscheidungsprozesses einschließlich der Erstellung von Profilen gemäß Artikel 22 Absätze (1) und (4) sowie, zumindest in den jeweiligen Fällen, sachdienliche Informationen über die verwendete Logik und darüber die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
(3) Beabsichtigt der Betreiber, die personenbezogenen Daten anschließend für einen anderen Zweck als den, für den sie erhoben wurden, zu verarbeiten, wird er dem Betroffenen vor der Weiterverarbeitung Auskunft über den jeweiligen Nebenzweck und ggf. weitere Informationen erteilen relevant, gemäß Absatz (2).
(4) Die Absätze (1), (2) und (3) gelten nicht, wenn und soweit die betroffene Person bereits über die entsprechenden Informationen verfügt.
Art. 14: Auskunftspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
(1) Sofern die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, stellt der Betreiber der betroffenen Person folgende Informationen zur Verfügung:
a) die Identität und Kontaktdaten des Betreibers und gegebenenfalls seines Vertreters;
b) ggf. die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage der Verarbeitung; d) Kategorien der betroffenen personenbezogenen Daten;
e) Empfänger bzw. Kategorien von Empfängern personenbezogener Daten;
f) gegebenenfalls die Absicht des Betreibers, personenbezogene Daten an einen Empfänger aus einem Drittland oder einer internationalen Organisation zu übermitteln, und das Vorliegen oder Fehlen einer Entscheidung der Kommission über die Angemessenheit bzw. im Falle der in Abschnitt genannten Übermittlungen Art. 46 oder 47 oder in Art. 49 Abs. 1 zweiter Unterabsatz einen Hinweis auf angemessene oder angemessene Garantien und auf die Möglichkeit, eine Kopie davon zu erhalten, sofern diese zur Verfügung gestellt wurden.
(2) Zusätzlich zu den in Absatz (1) genannten Informationen stellt der Betreiber der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Verarbeitung gegenüber der betroffenen Person sicherzustellen:
a) den Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums;
b) wenn die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe f erfolgt, die berechtigten Interessen des Betreibers oder eines Dritten;
c) das Bestehen des Rechts, vom Betreiber den Zugang zu den personenbezogenen Daten der betroffenen Person, deren Berichtigung oder Löschung oder die Einschränkung der Verarbeitung zu verlangen und das Recht, der Verarbeitung zu widersprechen, sowie das Recht darauf Datenportabilität; d) wenn die Verarbeitung auf Artikel 6 Absatz (1) Buchstabe (a) oder auf Artikel 9 Absatz (2) Buchstabe (a) beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung berührt wird auf der Grundlage der Einwilligung vor ihrem Widerruf durchgeführt werden;
e) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
f) die Quelle der personenbezogenen Daten und gegebenenfalls, ob diese aus öffentlich zugänglichen Quellen stammen;
g) das Bestehen eines automatisierten Entscheidungsprozesses einschließlich der Erstellung von Profilen gemäß Artikel 22 Absätze (1) und (4) sowie, zumindest in den jeweiligen Fällen, relevante Informationen über die verwendete Logik und darüber die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
(3) Der Betreiber stellt die in den Absätzen (1) und (2) genannten Informationen zur Verfügung:
a) innerhalb einer angemessenen Zeit nach Erhalt der personenbezogenen Daten, jedoch nicht länger als einen Monat, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden; b) wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person; oder
c) wenn die Weitergabe personenbezogener Daten an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der erstmaligen Weitergabe.
(4) Beabsichtigt der Betreiber, die personenbezogenen Daten anschließend für einen anderen Zweck als den, für den sie erhoben wurden, zu verarbeiten, wird er dem Betroffenen vor der Weiterverarbeitung Auskunft über den jeweiligen Nebenzweck und ggf. weitere Informationen erteilen relevant, gemäß Absatz (2).
(5) Die Absätze (1)–(4) gelten nicht, wenn und soweit:
a) die betroffene Person bereits Eigentümer der Informationen ist;
b) sich die Bereitstellung dieser Informationen als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden wäre, insbesondere im Fall der Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken, vorbehaltlich der vorgesehenen Voraussetzungen und Garantien in Artikel 89 Absatz (1) oder soweit die in Absatz (1) dieses Artikels genannte Verpflichtung voraussichtlich die Verwirklichung der Ziele der jeweiligen Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In solchen Fällen ergreift der Betreiber angemessene Maßnahmen Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung von Informationen für die Öffentlichkeit;
c) die Erhebung oder Weitergabe von Daten ist ausdrücklich durch Unionsrecht oder interne Rechtsvorschriften vorgesehen, denen der Betreiber unterliegt und die angemessene Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen; oder
d) wenn die personenbezogenen Daten aufgrund einer gesetzlichen Verpflichtung zur beruflichen Verschwiegenheit, die durch Unionsrecht oder innerstaatliches Recht geregelt ist, einschließlich einer gesetzlichen Verpflichtung zur Verschwiegenheit, vertraulich bleiben müssen.
Art. 15: Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, vom Betreiber eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die sie betreffen, verarbeitet werden und, wenn ja, auf Auskunft über die betreffenden Daten und auf folgende Informationen:
a) die Zwecke der Verarbeitung;
b) die betroffenen Kategorien personenbezogener Daten;
c) Empfänger oder Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt wurden oder noch offengelegt werden, insbesondere Empfänger aus Drittländern oder internationalen Organisationen;
d) sofern möglich, den Zeitraum, für den die personenbezogenen Daten voraussichtlich gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums; e) das Bestehen des Rechts, vom Betreiber die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung personenbezogener Daten der betroffenen Person zu verlangen oder das Recht, der Verarbeitung zu widersprechen;
f) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
g) sofern die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über deren Herkunft;
h) das Bestehen eines automatisierten Entscheidungsprozesses einschließlich der Erstellung von Profilen gemäß Artikel 22 Absätze (1) und (4) sowie, zumindest in den jeweiligen Fällen, sachdienliche Informationen über die verwendete Logik und darüber die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 für die Übermittlung unterrichtet zu werden.
(3) Der Betreiber stellt eine Kopie der personenbezogenen Daten zur Verfügung, die Gegenstand der Verarbeitung sind. Für alle anderen von der betroffenen Person angeforderten Kopien kann der Betreiber eine angemessene Gebühr erheben, die sich an den Verwaltungskosten orientiert. Reicht die betroffene Person den Antrag in elektronischer Form ein und wünscht die betroffene Person kein anderes Format, werden die Informationen in einem derzeit verwendeten elektronischen Format bereitgestellt.
(4) Das in Absatz (3) genannte Recht auf Erhalt einer Kopie berührt nicht die Rechte und Freiheiten anderer.
Abschnitt 3: Berichtigung und Löschung
Art. 16: Das Recht auf Berichtigung
Die betroffene Person hat das Recht, vom Betreiber unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke, für die die Daten verarbeitet werden, hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Kunst. 17: Recht auf Datenlöschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, vom Betreiber die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, und der Betreiber ist verpflichtet, die personenbezogenen Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft: a ) Personenbezogene Daten sind für die Erfüllung der Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr erforderlich.
b) Die betroffene Person widerruft die Einwilligung, auf deren Grundlage die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a erfolgt, und es fehlt an einer anderen Rechtsgrundlage für die Verarbeitung;
c) die betroffene Person legt gemäß Artikel 21 Absatz (1) Widerspruch gegen die Verarbeitung ein und es liegen keine berechtigten Gründe vor, die gegen die Verarbeitung sprechen, oder die betroffene Person legt gemäß Artikel 21 Absatz (2) Widerspruch gegen die Verarbeitung ein;
d) personenbezogene Daten wurden rechtswidrig verarbeitet;
e) Die Löschung personenbezogener Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, die dem Betreiber aufgrund des Unionsrechts oder des internen Rechts, dem der Betreiber unterliegt, obliegt; f) Personenbezogene Daten wurden im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz (1) erhoben.
(2) Wenn der Betreiber personenbezogene Daten öffentlich gemacht hat und gemäß Absatz (1) zu deren Löschung verpflichtet ist, ergreift der Betreiber unter Berücksichtigung der verfügbaren Technologie und der Kosten der Umsetzung angemessene Maßnahmen, auch technische, um diese zu löschen Informieren Sie die Betreiber, die die personenbezogenen Daten verarbeiten, darüber, dass die betroffene Person von diesen Betreibern die Löschung aller Links zu den jeweiligen Daten oder von Kopien oder Reproduktionen dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze (1) und (2) gelten nicht, soweit die Verarbeitung erforderlich ist:
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die eine Verarbeitung auf der Grundlage des Unionsrechts oder des für den Betreiber geltenden internen Rechts vorsieht, oder zur Erfüllung einer im Interesse des Betreibers wahrgenommenen Aufgabe
öffentlich oder in Ausübung öffentlicher Gewalt, die dem Betreiber zusteht;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz (2)
Buchstaben (h) und (i) und mit Artikel 9 Absatz (3);
d) für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz (1), soweit das in Absatz (1) genannte Recht voraussichtlich unmöglich macht oder die Erreichung der Verarbeitungsziele ernsthaft beeinträchtigen
bzw; oder
e) zur Feststellung, Ausübung oder Verteidigung eines Rechts vor Gericht. (am 23. Mai 2018 Art. 17, Absatz (3) von Kapitel III, Abschnitt 3, berichtigt durch Punkt 3. der Berichtigung vom 23. Mai
2018)
Art. 18: Das Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, vom Betreiber die Einschränkung der Verarbeitung zu verlangen, wenn einer der folgenden Fälle vorliegt:
a) die betroffene Person bestreitet die Richtigkeit der Daten für eine Dauer, die es dem Betreiber ermöglicht, die Richtigkeit der Daten zu überprüfen;
b) die Verarbeitung rechtswidrig ist und die betroffene Person die Löschung personenbezogener Daten ablehnt und stattdessen die Einschränkung ihrer Nutzung verlangt;
c) Der Betreiber benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr, die betroffene Person fordert sie jedoch zur Geltendmachung, Ausübung oder Verteidigung eines Rechts vor Gericht an; oder
d) die betroffene Person hat gemäß Artikel 21 Absatz (1) Widerspruch gegen die Verarbeitung eingelegt, und zwar für den Zeitraum, in dem geprüft wird, ob die berechtigten Rechte des Betreibers Vorrang vor denen der betroffenen Person haben.
(2) Wurde die Verarbeitung gemäß Absatz (1) eingeschränkt, dürfen diese personenbezogenen Daten mit Ausnahme der Speicherung nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung eines Rechts vor Gericht oder für die Verarbeitung verarbeitet werden Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats.
(3) Eine betroffene Person, die eine Verarbeitungseinschränkung gemäß Absatz (1) erwirkt hat, wird vom Betreiber vor der Aufhebung der Verarbeitungseinschränkung informiert.
Art. 19: Mitteilungspflicht bezüglich der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung
Der Betreiber teilt jedem Empfänger, dem personenbezogene Daten mitgeteilt wurden, jede Berichtigung oder Löschung personenbezogener Daten oder eine Einschränkung der Verarbeitung gemäß Artikel 16, Artikel 17 Absatz (1) und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist unverhältnismäßig Bemühungen. Der Betreiber unterrichtet die betroffene Person über die jeweiligen Empfänger, sofern die betroffene Person dies verlangt.
Art. 20: Das Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Betreiber bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie hat das Recht, diese Daten einem anderen Betreiber ohne Hindernisse zu übermitteln von dem Betreiber, dem die personenbezogenen Daten bereitgestellt wurden, für den Fall, dass:
a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht; und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
(2) Bei der Ausübung des Rechts auf Datenübertragbarkeit gemäß Absatz (1) hat die betroffene Person das Recht, personenbezogene Daten direkt von einem Betreiber an einen anderen übertragen zu lassen, sofern dies technisch machbar ist.
(3) Die Ausübung des in Absatz (1) dieses Artikels genannten Rechts berührt nicht Artikel 17. Dieses Recht gilt nicht für die Verarbeitung, die zur Erfüllung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt die dem Betreiber zusteht.
(4) Das in Absatz (1) genannte Recht berührt nicht die Rechte und Freiheiten anderer.
Abschnitt 4: Das Widerspruchsrecht und die automatisierte Entscheidungsfindung im Einzelfall
Art. 21: Das Widerspruchsrecht
(1) Die betroffene Person hat jederzeit das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz (1) Buchstabe (e) oder (f) zu widersprechen
Personal, das sie betrifft, einschließlich der Erstellung von Profilen auf der Grundlage dieser Bestimmungen. Der Betreiber verarbeitet personenbezogene Daten nicht mehr, es sei denn, er weist nach, dass er berechtigte und zwingende Gründe hat, die die Verarbeitung rechtfertigen und Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person haben, oder dass der Zweck in der Feststellung, Ausübung oder Verteidigung eines Rechts besteht In
Beispiel.
(das Datum
23. Mai 2018 Art. 21 Abs. 1 lit. (4) aus Kapitel III, Abschnitt 4 berichtigt durch Punkt 23. der Berichtigung vom 2018. Mai XNUMX)
(2) Zielt die Verarbeitung personenbezogener Daten auf Direktmarketing ab, hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zu diesem Zweck einzulegen, einschließlich der Erstellung von Profilen, soweit dies der Fall ist steht im Zusammenhang mit dem jeweiligen Direktmarketing.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diesen Zweck verarbeitet.
(4) Spätestens bei der ersten Kommunikation mit der betroffenen Person wird die betroffene Person ausdrücklich auf das in den Absätzen (1) und (2) genannte Recht hingewiesen und klar und deutlich getrennt von allen anderen Informationen dargestellt .
(5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
(6) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 verarbeitet, hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung personenbezogener Daten einzulegen die sie betreffenden personenbezogenen Daten verarbeiten, es sei denn, die Verarbeitung ist zur Erfüllung einer Aufgabe aus Gründen des öffentlichen Interesses erforderlich.
Art. 22: Der automatisierte individuelle Entscheidungsfindungsprozess, einschließlich der Erstellung von Profilen
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz (1) gilt nicht, wenn die Entscheidung:
a) für den Abschluss oder die Durchführung eines Vertrags zwischen der betroffenen Person und einem Datenverwalter erforderlich ist;
b) aufgrund von Unionsrecht oder innerstaatlichem Recht zulässig ist, das für den Betreiber gilt und das außerdem geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person vorsieht; oder
c) auf der ausdrücklichen Einwilligung der betroffenen Person beruht.
(3) In den in Absatz (2) Buchstaben (a) und (c) genannten Fällen ergreift der Datenverwalter geeignete Maßnahmen, um die Rechte, Freiheiten und berechtigten Interessen der betroffenen Person, zumindest ihr Recht auf menschliches Eingreifen, zu schützen seitens des Betreibers die Möglichkeit, seinen Standpunkt darzulegen und gegen die Entscheidung Berufung einzulegen.
(4) Die in Absatz (2) genannten Entscheidungen basieren nicht auf den in Artikel 9 Absatz (1) genannten besonderen Kategorien personenbezogener Daten, es sei denn, Artikel 9 Absatz (2) Buchstabe (a) oder (g) findet Anwendung) und in denen angemessene Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person getroffen wurden.
Abschnitt 5: Einschränkungen
Art. 23: Beschränkungen
(1) Unionsrecht oder innerstaatliches Recht, das für den Datenverwalter oder die von ihm bevollmächtigte Person gilt, kann durch eine gesetzgeberische Maßnahme den Umfang der in den Artikeln 12-22 und 34 sowie in Artikel 5 vorgesehenen Pflichten und Rechte einschränken soweit seine Bestimmungen den in den Artikeln 12-22 vorgesehenen Rechten und Pflichten entsprechen, wenn eine solche
Die Einschränkung respektiert den Wesensgehalt der Grundrechte und -freiheiten und ist eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft, um Folgendes sicherzustellen:
a) nationale Sicherheit;
b) Verteidigung;
c) öffentliche Sicherheit;
d) die Verhütung, Aufklärung, Aufdeckung oder strafrechtliche Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor Gefahren für die öffentliche Sicherheit und deren Abwehr; e) sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, auch im Währungs-, Haushalts- und Steuerbereich sowie im öffentlichen Bereich Gesundheit und soziale Sicherheit;
f) Schutz der richterlichen Unabhängigkeit und der Gerichtsverfahren;
g) Verhinderung, Untersuchung, Aufdeckung und Verfolgung ethischer Verstöße bei reglementierten Berufen;
h) die Überwachungs-, Inspektions- oder Regulierungsfunktion, die auch gelegentlich mit der Ausübung öffentlicher Gewalt in den in den Buchstaben (a) bis (e) und (g) genannten Fällen verbunden ist;
i) Schutz der betroffenen Person oder der Rechte und Freiheiten anderer; (j) Durchsetzung zivilrechtlicher Ansprüche.
(2) Insbesondere enthält jede in Absatz (1) genannte gesetzgeberische Maßnahme zumindest, soweit anwendbar, besondere Bestimmungen über:
a) die Verarbeitungszwecke oder Verarbeitungskategorien;
b) Kategorien personenbezogener Daten;
c) Umfang der eingeführten Beschränkungen;
d) Garantien zur Verhinderung von Missbrauch oder illegalem Zugriff oder Übertragung;
e) Nennung des Betreibers oder der Kategorien von Betreibern;
f) Speicherfristen und geltende Garantien hinsichtlich Art, Umfang und Zweck der Verarbeitung oder Verarbeitungskategorien;
g) die Risiken für die Rechte und Freiheiten der betroffenen Personen; Und
h) das Recht der betroffenen Personen, über die Einschränkung informiert zu werden, es sei denn, dass dadurch der Zweck der Einschränkung beeinträchtigt werden kann.
KAPITEL IV: Der Betreiber und die von ihm autorisierte Person
Abschnitt 1: Allgemeine Pflichten
Art. 24: Haftung des Betreibers
(1) Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen trifft der Betreiber geeignete technische und organisatorische Maßnahmen, um dies zu gewährleisten und erfolgen, um nachzuweisen, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Die jeweiligen Maßnahmen werden überprüft und gegebenenfalls aktualisiert.
(2) Die in Absatz (1) genannten Maßnahmen umfassen, sofern sie im Verhältnis zu den Verarbeitungsvorgängen verhältnismäßig sind, die Umsetzung angemessener Datenschutzrichtlinien durch den Betreiber. (3) Die Einhaltung genehmigter Verhaltenskodizes gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der Verpflichtungen durch den Betreiber herangezogen werden.
Art. 25: Gewährleistung des Datenschutzes ab dem Zeitpunkt der Konzeption und standardmäßig (1) Berücksichtigung des aktuellen Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken mit unterschiedlicher Wahrscheinlichkeit und der Schwere der Rechte und Freiheiten natürlicher Personen, die die Verarbeitung mit sich bringt, setzt der Betreiber sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen, wie z. B. Pseudonymisierung, um Ziel ist es, Datenschutzgrundsätze wie die Datenminimierung wirksam umzusetzen und die erforderlichen Garantien in die Verarbeitung zu integrieren, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.
(2) Der Betreiber setzt geeignete technische und organisatorische Maßnahmen ein, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Diese Verpflichtung betrifft den Umfang der erhobenen Daten, den Grad ihrer Verarbeitung, ihre Speicherdauer und ihre Zugänglichkeit. Insbesondere stellen solche Maßnahmen sicher, dass personenbezogene Daten standardmäßig nicht von einer unbegrenzten Anzahl von Personen ohne Zutun der Person abgerufen werden können.
(3) Ein gemäß Artikel 42 genehmigter Zertifizierungsmechanismus kann als Element zum Nachweis der Erfüllung der in den Absätzen (1) und (2) dieses Artikels vorgesehenen Anforderungen verwendet werden.
Art. 26: Verbundene Betreiber
(1) Legen zwei oder mehrere Betreiber gemeinsam die Zwecke und Mittel der Verarbeitung fest, handelt es sich um verbundene Betreiber. Sie legen auf transparente Weise die Verantwortlichkeiten jedes Einzelnen im Hinblick auf die Erfüllung seiner Verpflichtungen aus dieser Verordnung fest, insbesondere im Hinblick auf die Ausübung der Rechte der betroffenen Personen und die Pflichten jedes Einzelnen, die in den Artikeln 13 und 14 vorgesehenen Informationen bereitzustellen , durch eine Vereinbarung zwischen ihnen, außer in dem Fall und in dem Umfang, in dem die Verantwortlichkeiten der Betreiber im Unionsrecht oder im für sie geltenden innerstaatlichen Recht festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen benannt werden.
(2) Die in Absatz (1) genannte Vereinbarung spiegelt die jeweiligen Rollen und Beziehungen der angeschlossenen Betreiber gegenüber den betroffenen Personen angemessen wider. Der Inhalt dieser Vereinbarung wird der betroffenen Person bekannt gegeben.
(3) Ungeachtet der Bestimmungen der in Absatz (1) genannten Vereinbarung kann die betroffene Person ihre Rechte gemäß dieser Verordnung gegenüber und in Bezug auf jeden der Betreiber ausüben.
Art. 27: Vertreter von Betreibern oder von Betreibern bevollmächtigte Personen, die ihren Sitz nicht in der Union haben
(1) Im Falle der Anwendung von Artikel 3 Absatz 2 benennt der Betreiber oder die von ihm bevollmächtigte Person schriftlich einen Vertreter in der Union.
(2) Die in Absatz (1) dieses Artikels festgelegte Verpflichtung gilt nicht:
a) Verarbeitung, die gelegentlichen Charakter hat und nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz (1) in großem Umfang oder die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten umfasst im Sinne von Artikel 10 und die unter Berücksichtigung der Art, des Kontexts, des Umfangs und der Zwecke der Verarbeitung wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen; oder
b) eine Behörde oder eine öffentliche Einrichtung.
(3) Der Vertreter hat seinen Sitz in einem der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit der Erbringung von Waren und Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird.
(4) Der Vertreter erhält vom Betreiber oder der von ihm beauftragten Person ein Mandat, mit dem sich insbesondere die Aufsichtsbehörden und die betroffenen Personen neben dem Betreiber oder der von ihm beauftragten Person oder an dessen Stelle an den Vertreter wenden können von ihnen in Bezug auf alle Fragen im Zusammenhang mit der Verarbeitung, um die Einhaltung dieser Verordnung sicherzustellen.
(5) Die Bestellung eines Vertreters durch den Betreiber oder eine von ihm bevollmächtigte Person berührt nicht die rechtlichen Schritte, die gegen den Betreiber oder eine von ihm bevollmächtigte Person selbst erhoben werden können.
Art. 28: Die vom Betreiber bevollmächtigte Person
(1) Soll die Verarbeitung im Auftrag eines Betreibers durchgeführt werden, setzt der Betreiber nur autorisierte Personen ein, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, sodass die Verarbeitung den in dieser Verordnung festgelegten Anforderungen entspricht und um den Schutz der Rechte der betroffenen Person zu gewährleisten.
(2) Die vom Betreiber bevollmächtigte Person stellt keine andere vom Betreiber bevollmächtigte Person ein, ohne zuvor eine schriftliche, spezifische oder allgemeine Genehmigung des Betreibers einzuholen. Bei einer allgemeinen schriftlichen Vollmacht informiert die vom Betreiber bevollmächtigte Person den Betreiber über alles
zu erwartende Änderungen hinsichtlich der Ergänzung oder des Ersatzes weiterer vom Betreiber autorisierter Personen mitzuteilen und dem Betreiber die Möglichkeit zu geben, diesen Änderungen zu widersprechen.
(3) Die Verarbeitung durch eine von einem Betreiber autorisierte Person wird durch einen Vertrag oder einen anderen auf Unionsrecht oder innerstaatlichem Recht beruhenden Rechtsakt geregelt, der für die von dem Betreiber autorisierte Person im Verhältnis zum Betreiber verbindlich ist und den Gegenstand und die Dauer festlegt der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen sowie der Pflichten und Rechte des Betreibers. Der jeweilige Vertrag bzw. Rechtsakt sieht insbesondere vor, dass die vom Betreiber bevollmächtigte Person:
a) personenbezogene Daten nur auf der Grundlage dokumentierter Anweisungen des Betreibers verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, diese Verpflichtung obliegt der berechtigten Person nach dem Unionsrecht oder dem innerstaatlichen Recht gilt dafür; in diesem Fall diese gesetzliche Verpflichtung dem Betreiber vor der Verarbeitung mitzuteilen, es sei denn, das jeweilige Gesetz verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses;
b) sichergestellt ist, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Verschwiegenheit verpflichtet haben oder eine entsprechende gesetzliche Verschwiegenheitspflicht besteht;
c) alle erforderlichen Maßnahmen gemäß Artikel 32 ergreifen;
d) die in den Absätzen (2) und (4) genannten Bedingungen hinsichtlich der Einstellung einer anderen vom Betreiber autorisierten Person einhalten;
e) bietet dem Betreiber unter Berücksichtigung der Art der Verarbeitung im Rahmen des Möglichen Unterstützung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, auf Anfragen der betroffenen Person bezüglich der Ausübung zu reagieren die in Kapitel III vorgesehenen Rechte; f) dem Betreiber dabei helfen, die Einhaltung der in den Artikeln 32–36 festgelegten Pflichten sicherzustellen, unter Berücksichtigung der Art der Verarbeitung und der Informationen, die der vom Betreiber bevollmächtigten Person zur Verfügung stehen;
g) nach Wahl des Betreibers alle personenbezogenen Daten nach Beendigung der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung zu löschen oder an den Betreiber zurückzugeben und die vorhandenen Kopien zu vernichten, es sei denn, das Unionsrecht oder das innerstaatliche Recht erfordern die Speicherung personenbezogener Daten;
h) stellt dem Betreiber alle notwendigen Informationen zur Verfügung, um die Einhaltung der in diesem Artikel festgelegten Pflichten nachzuweisen, ermöglicht die vom Betreiber oder einem anderen autorisierten Prüfer durchgeführten Audits, einschließlich Inspektionen, und trägt dazu bei.
Bezüglich des ersten Absatzes Buchstabe (h) informiert der vom Betreiber Bevollmächtigte den Betreiber unverzüglich, wenn eine Weisung seiner Meinung nach gegen diese Verordnung oder andere Bestimmungen des internen oder Unionsrechts zum Datenschutz verstößt.
(4) Für den Fall, dass eine von einem Betreiber bevollmächtigte Person eine andere bevollmächtigte Person mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen des Betreibers beauftragt, gelten dieselben Datenschutzpflichten, die im Vertrag oder in einem anderen zwischen dem Betreiber und dem Betreiber geschlossenen Rechtsakt vorgesehen sind Die vom Betreiber gemäß Absatz (3) bevollmächtigte Person wird der zweiten bevollmächtigten Person durch einen Vertrag oder einen anderen Rechtsakt auf der Grundlage des Unionsrechts oder des innerstaatlichen Rechts übertragen, insbesondere durch die Bereitstellung ausreichender Garantien für die Umsetzung auf geeignete technische und organisatorische Maßnahmen, damit die Verarbeitung den Anforderungen dieser Verordnung entspricht. Für den Fall, dass dieser zweite Bevollmächtigte seinen datenschutzrechtlichen Pflichten nicht nachkommt, bleibt der erste Bevollmächtigte gegenüber dem Betreiber für die Erfüllung der Pflichten dieses zweiten Bevollmächtigten voll verantwortlich.
(5) Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 durch die vom Betreiber autorisierte Person kann als Beweiselement für das Vorhandensein ausreichender Anforderungen herangezogen werden Garantien gemäß den Absätzen (1) und (4) dieses Artikels.
(6) Unbeschadet eines individuellen Vertrags, der zwischen dem Betreiber und der vom Betreiber beauftragten Person geschlossen wird, kann der in den Absätzen (3) und (4) dieses Artikels genannte Vertrag oder sonstige Rechtsakt ganz oder teilweise zugrunde gelegt werden , über die in den Absätzen (7) und (8) dieses Artikels genannten Standardvertragsklauseln, auch wenn sie Teil einer Zertifizierung sind, die dem Betreiber oder der von ihm gemäß den Artikeln 42 und 43 bevollmächtigten Person erteilt wird.
(7) Die Kommission kann Standardvertragsklauseln für die in den Absätzen (3) und (4) dieses Artikels genannten Aspekte und gemäß dem in Artikel 93 Absatz (2) genannten Prüfverfahren bereitstellen.
(8) Eine Aufsichtsbehörde kann Standardvertragsklauseln für die in den Absätzen (3) und (4) dieses Artikels genannten Aspekte und im Einklang mit dem in Artikel 63 genannten Mechanismus zur Gewährleistung der Kohärenz erlassen.
(9) Der in den Absätzen (3) und (4) genannte Vertrag oder sonstige Rechtsakt muss schriftlich, auch in elektronischer Form, erfolgen.
(10) Unbeschadet der Artikel 82, 83 und 84 gilt die vom Betreiber autorisierte Person, wenn eine vom Betreiber autorisierte Person gegen diese Verordnung verstößt, indem sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, als Betreiber in Bezug auf die betreffende Person Verarbeitung.
Art. 29: Durchführung der Verarbeitungstätigkeit unter der Aufsicht des Betreibers oder einer von ihm beauftragten Person
Die vom Betreiber autorisierte Person und jede unter der Aufsicht des Betreibers handelnde Person oder die vom Betreiber autorisierte Person, die Zugriff auf personenbezogene Daten hat, verarbeiten diese nur auf Anfrage des Betreibers, es sei denn, das Unionsrecht oder das innerstaatliche Recht verpflichten ihn dazu tu es.
Art. 30: Aufzeichnungen über Verarbeitungstätigkeiten
(1) Jeder Betreiber und gegebenenfalls sein Vertreter führen ein Verzeichnis der in seiner Verantwortung durchgeführten Verarbeitungstätigkeiten. Der Datensatz enthält alle folgenden Informationen:
a) Name und Kontaktdaten des Betreibers und ggf. des angeschlossenen Betreibers, seines Vertreters und des Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten; d) die Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängern aus Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung des jeweiligen Drittlandes oder der jeweiligen internationalen Organisation und im Falle der Übermittlungen gemäß Artikel 49 Absatz (1) zweiter Unterabsatz, die Dokumentation, die das Vorliegen ausreichender Garantien nachweist;
f) soweit möglich die voraussichtlichen Fristen für die Löschung verschiedener Datenkategorien; g) soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Artikel 32 Absatz (1).
(2) Jede vom Betreiber bevollmächtigte Person und ggf. der Vertreter der vom Betreiber bevollmächtigten Person führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die in ihrem Namen durchgeführt werden
der Betreiber, darunter:
a) Name und Kontaktdaten der vom Betreiber bevollmächtigten Person(en) und jedes Betreibers, in dessen Namen diese Person (diese Personen) handelt, sowie ggf. von
der Vertreter des Betreibers oder der Vertreter der vom Betreiber beauftragten Person, und von
der Datenschutzbeauftragte;
b) die Kategorien der Verarbeitungstätigkeiten, die im Namen jedes Betreibers durchgeführt werden;
c) ggf. Übermittlung personenbezogener Daten an ein Drittland oder eine Organisation
international, einschließlich der Identifizierung des jeweiligen Drittstaats oder der internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz (1) zweiter Unterabsatz, der Dokumentation, die dies belegt
das Vorhandensein angemessener Garantien;
d) soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
gemäß Artikel 32 Absatz (1).
(ab 23. Mai 2018, Art. 30, Absatz (2) von c
Kapitel IV, Abschnitt 1, berichtigt durch Punkt 5. der Berichtigung vom 23. Mai – (3) Die in den Absätzen (1) und (2) genannten Aufzeichnungen werden schriftlich, auch in elektronischer Form, verfasst.
2018)
(4) Der Betreiber oder die von ihm bevollmächtigte Person sowie gegebenenfalls der Vertreter des Betreibers oder die von ihm bevollmächtigte Person stellen der Aufsichtsbehörde auf deren Verlangen die Aufzeichnungen zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für ein Unternehmen oder eine Organisation mit weniger als 250 Mitarbeitern, es sei denn, dass die von ihm durchgeführte Verarbeitung voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, die Verarbeitung jedoch nicht nicht gelegentlich erfolgt oder die Verarbeitung besondere Kategorien von Daten gemäß Artikel 9 Absatz (1) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 umfasst.
Art. 31: Zusammenarbeit mit der Aufsichtsbehörde
Der Betreiber und die vom Betreiber bevollmächtigte Person bzw. deren Vertreter wirken zusammen
Auf Wunsch mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.
(am 23. Mai 2018, Art. 31 des Kapitels IV, Abschnitt 1, geändert durch Punkt 7. der Zul
Bestätigung vom 23. Mai 2018 )
Abschnitt 2: Sicherheit personenbezogener Daten
Art. 32: Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des aktuellen Entwicklungsstands, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen ist der Betreiber und Die von ihm bevollmächtigte Person trifft angemessene technische und organisatorische Maßnahmen, um ein diesem Risiko entsprechendes Sicherheitsniveau zu gewährleisten, darunter gegebenenfalls:
a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und kontinuierliche Widerstandsfähigkeit von Verarbeitungssystemen und -diensten sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugriff darauf im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;
d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Verarbeitungssicherheit.
(2) Bei der Beurteilung des angemessenen Sicherheitsniveaus werden insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, die insbesondere versehentlich oder unrechtmäßig durch Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff auf die übermittelten personenbezogenen Daten entstehen gespeichert, gespeichert oder auf andere Weise verarbeitet werden.
(3) Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Erfüllung der in Absatz (1) genannten Anforderungen verwendet werden. dieses Artikels.
(4) Der Betreiber und die von ihm bevollmächtigte Person treffen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die im Auftrag des Betreibers oder der von ihm bevollmächtigten Person handelt und Zugriff auf personenbezogene Daten hat, diese nur auf Anfrage des Betreibers verarbeitet , es sei denn, diese Verpflichtung obliegt ihm nach Unionsrecht oder innerstaatlichem Recht.
Art. 33: Benachrichtigung der Aufsichtsbehörde im Falle einer Verletzung der Sicherheit personenbezogener Daten
(1) Liegt eine Verletzung der Sicherheit personenbezogener Daten vor, ist der Betreiber verpflichtet, dies zu melden
dies unverzüglich und nach Möglichkeit innerhalb von höchstens 55 Stunden nach Kenntniserlangung den zuständigen Aufsichtsbehörden gemäß Artikel 72 mitzuteilen, es sei denn, es ist unwahrscheinlich, dass dadurch ein Risiko für Rechte und Freiheiten entsteht
natürliche Personen. Erfolgt die Meldung an die Aufsichtsbehörde nicht fristgerecht
von 72 Stunden ist eine begründete Begründung der Verspätung beizufügen.
(am 23. Mai 2018 Art. 33, Absatz (1) von Kapitel IV, Abschnitt 2 geändert durch Punkt
8. aus der Korrektur vom 23. Mai-
2018)
(2) Die vom Betreiber beauftragte Person benachrichtigt den Betreiber unverzüglich, wenn sie Kenntnis von einer Verletzung der Sicherheit personenbezogener Daten erlangt.
(3) Die in Absatz (1) genannte Mitteilung umfasst mindestens:
a) die Art der Verletzung der Sicherheit personenbezogener Daten beschreiben, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betreffenden personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle mitteilen, bei der weitere Informationen eingeholt werden können;
c) die wahrscheinlichen Folgen der Verletzung der Sicherheit personenbezogener Daten beschreiben;
d) die Maßnahmen beschreiben, die der Betreiber ergriffen hat oder ergreifen will, um das Problem der Verletzung der Sicherheit personenbezogener Daten zu beheben, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung seiner möglichen negativen Auswirkungen.
(4) Wenn und soweit eine gleichzeitige Bereitstellung der Informationen nicht möglich ist, kann die Bereitstellung in mehreren Schritten erfolgen, ohne dass es zu ungerechtfertigten Verzögerungen kommt.
(5) Der Betreiber führt über alle Fälle von Verstößen gegen den Schutz personenbezogener Daten Unterlagen, die eine Beschreibung der tatsächlichen Situation, in der der Verstoß gegen den Schutz personenbezogener Daten stattgefunden hat, seine Auswirkungen und die ergriffenen Abhilfemaßnahmen enthalten. Mithilfe dieser Dokumentation kann die Aufsichtsbehörde die Einhaltung dieses Artikels überprüfen.
Art. 34: Benachrichtigung der betroffenen Person über die Verletzung der Sicherheit personenbezogener Daten
(1) Wenn die Verletzung der Sicherheit personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Betreiber die betroffene Person unverzüglich über diese Verletzung informieren.
(2) Die an die betroffene Person gemäß Absatz (1) dieses Artikels übermittelten Informationen umfassen eine Beschreibung der Art der Verletzung der Sicherheit personenbezogener Daten in klarer und einfacher Sprache sowie mindestens die in Artikel genannten Informationen und Maßnahmen 33 Absatz (3) Buchstaben (b), (c) und (d).
(3) Die Unterrichtung der betroffenen Person gemäß Absatz (1) ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) Der Betreiber hat angemessene technische und organisatorische Schutzmaßnahmen getroffen und diese Maßnahmen wurden im Fall von personenbezogenen Daten, die von der Verletzung der Sicherheit personenbezogener Daten betroffen sind, angewendet, insbesondere Maßnahmen, um sicherzustellen, dass personenbezogene Daten für jede Person, die dies nicht ist, unleserlich werden berechtigt, darauf zuzugreifen, wie z. B. Verschlüsselung;
b) der Betreiber hat weitere Maßnahmen getroffen, um sicherzustellen, dass das in Absatz (1) genannte hohe Risiko für die Rechte und Freiheiten der betroffenen Personen voraussichtlich nicht mehr eintritt;
c) einen unverhältnismäßigen Aufwand erfordern würde. In diesem Fall erfolgt stattdessen eine öffentliche Information oder eine vergleichbare Maßnahme, durch die die betroffenen Personen gleichermaßen wirksam informiert werden.
(4) Wenn der Betreiber der betroffenen Person die Verletzung der Sicherheit personenbezogener Daten nicht bereits mitgeteilt hat, kann die Aufsichtsbehörde ihn unter Berücksichtigung der Wahrscheinlichkeit, dass die Verletzung der Sicherheit personenbezogener Daten ein hohes Risiko darstellt, dazu auffordern oder dies tun entscheiden, dass eine der in Absatz (3) genannten Bedingungen erfüllt ist.
Abschnitt 3: Datenschutz-Folgenabschätzung und vorherige Konsultation
Art. 35: Bewertung der Auswirkungen auf den Datenschutz
(1) Wenn eine Art der Verarbeitung, insbesondere eine solche, die auf dem Einsatz neuer Technologien basiert, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist der Betreiber verantwortlich führt vor der Verarbeitung eine Bewertung der Auswirkungen der bereitgestellten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durch. Eine einzelne Bewertung kann sich auf eine Reihe ähnlicher Verarbeitungsvorgänge beziehen, die ähnlich hohe Risiken bergen.
(2) Bei der Prüfung der Auswirkungen auf den Datenschutz holt der Betreiber die Stellungnahme des Datenschutzbeauftragten ein, sofern dieser bestellt ist.
(3) Die Abschätzung der Auswirkungen auf den Datenschutz gemäß Absatz (1) ist insbesondere erforderlich bei:
a) eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, die auf einer automatischen Verarbeitung, einschließlich der Erstellung von Profilen, basiert und die Grundlage für Entscheidungen ist, die rechtliche Wirkung gegenüber der natürlichen Person entfalten oder diese betreffen in erheblichem Maße ähnlich;
b) umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Absatz (1) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10; oder
c) systematische großflächige Überwachung eines öffentlich zugänglichen Bereichs.
(4) Die Aufsichtsbehörde erstellt und veröffentlicht eine Liste der Arten von Verarbeitungsvorgängen, die der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Absatz (1) unterliegen. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
(5) Die Aufsichtsbehörde kann außerdem eine Liste der Arten von Verarbeitungsvorgängen erstellen und der Öffentlichkeit zugänglich machen, bei denen eine Abschätzung der Auswirkungen auf den Datenschutz nicht erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Gremium.
(6) Vor der Annahme der in den Absätzen (4) und (5) genannten Listen wendet die zuständige Aufsichtsbehörde den in Artikel 63 genannten Mechanismus zur Gewährleistung der Kohärenz an, falls diese aktiven Listen an Verarbeitungen beteiligt sind, die die Bereitstellung von erfordern Waren oder Dienstleistungen für die betroffenen Personen oder die Überwachung ihres Verhaltens in mehreren Mitgliedstaaten beeinträchtigen oder den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen können. (7) Die Beurteilung enthält mindestens:
a) eine systematische Beschreibung der voraussichtlichen Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich des vom Betreiber verfolgten berechtigten Interesses;
b) eine Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf diese Zwecke; c) eine Bewertung der Risiken für die Rechte und Freiheiten der in Absatz (1) betroffenen Personen; und d) die voraussichtlichen Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen, die den Schutz personenbezogener Daten gewährleisten und die Einhaltung der Bestimmungen dieser Verordnung nachweisen sollen, unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer interessierte Personen.
(8) Bei der Bewertung der Auswirkungen der von den Betreibern oder den von den jeweiligen Betreibern autorisierten Personen durchgeführten Verarbeitungsvorgänge ist die Einhaltung der in Artikel 40 genannten genehmigten Verhaltenskodizes durch die jeweiligen Betreiber oder autorisierten Personen, insbesondere mit a Blick auf eine Datenschutz-Folgenabschätzung.
(9) Der Betreiber bittet gegebenenfalls um die Zustimmung der betroffenen Personen oder ihrer Vertreter zu der vorgesehenen Verarbeitung, unbeschadet des Schutzes kommerzieller oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge.
(10) Wenn die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e eine Rechtsgrundlage im Recht der Union oder eines Mitgliedstaats hat, dem der Betreiber unterliegt, und dieses Recht die konkrete Verarbeitung regelt Ist der betreffende Vorgang bzw. die Gesamtheit konkreter Vorgänge bereits im Rahmen einer allgemeinen Folgenabschätzung im Rahmen der Verabschiedung der jeweiligen Rechtsgrundlage einer Datenschutz-Folgenabschätzung unterzogen worden, so finden die Absätze (1)–(7) keine Anwendung , es sei denn, die Mitgliedstaaten sind der Ansicht, dass eine solche Bewertung vor der Durchführung der Verarbeitungstätigkeiten erforderlich ist.
(11) Sofern erforderlich, führt der Betreiber eine Analyse durch, um zu beurteilen, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung erfolgt, zumindest wenn sich das von den Verarbeitungsvorgängen ausgehende Risiko ändert.
Art. 36: Vorherige Konsultation
(1) Der Betreiber konsultiert die Aufsichtsbehörde vor der Verarbeitung, wenn die Bewertung der Auswirkungen auf den Datenschutz gemäß Artikel 35 ergibt, dass die Verarbeitung ein hohes Risiko darstellen würde, wenn der Betreiber keine Maßnahmen zur Risikominderung ergreift.
(2) Wenn er der Ansicht ist, dass die in Absatz (1) genannte Verarbeitung gegen diese Verordnung verstoßen würde, insbesondere wenn das Risiko nicht ausreichend erkannt oder gemindert wurde
Die Aufsichtsbehörde erteilt dem Betreiber und gegebenenfalls der von ihm beauftragten Person spätestens acht Wochen nach Eingang des Beratungsersuchens eine schriftliche Stellungnahme und kann von allen genannten Befugnissen Gebrauch machen in Artikel 58. Diese Frist kann unter Berücksichtigung der Komplexität der vorgesehenen Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde informiert den Betreiber und ggf. die von ihm bevollmächtigte Person innerhalb eines Monats nach Eingang des Antrags über eine solche Verlängerung unter Angabe der Gründe für die Verzögerung. Diese Fristen können gehemmt werden, bis die Aufsichtsbehörde die für die Konsultation angeforderten Informationen eingeholt hat.
(3) Im Rahmen der Anhörung der Aufsichtsbehörde nach Absatz 1 übermittelt der Betreiber dieser:
a) ggf. die jeweiligen Verantwortlichkeiten des Betreibers, verbundener Betreiber und von ihm beauftragter Personen, die an Verarbeitungstätigkeiten beteiligt sind, insbesondere bei Verarbeitung innerhalb einer Unternehmensgruppe;
b) die Zwecke und Mittel der beabsichtigten Verarbeitung;
c) die Maßnahmen und Garantien, die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehen sind;
d) ggf. die Kontaktdaten des Datenschutzbeauftragten;
e) die Bewertung der Auswirkungen auf den Datenschutz gemäß Artikel 35; Und
f) alle anderen von der Aufsichtsbehörde angeforderten Informationen.
(4) Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für eine gesetzgeberische Maßnahme, die von einem nationalen Parlament angenommen werden soll, oder für eine auf einer solchen gesetzgeberischen Maßnahme basierende Regulierungsmaßnahme, die sich auf die Verarbeitung bezieht. (5) Ungeachtet des Absatzes (1) kann das innerstaatliche Recht von Betreibern verlangen, dass sie sich im Zusammenhang mit der Verarbeitung durch einen Betreiber zur Erfüllung einer von ihm im öffentlichen Interesse ausgeübten Aufgabe mit der Aufsichtsbehörde in Verbindung setzen und eine vorherige Genehmigung einholen Verarbeitung im Zusammenhang mit Sozialschutz und öffentlicher Gesundheit.
Abschnitt 4: Datenschutzbeauftragter
Art. 37: Benennung des Datenschutzbeauftragten
(1) Der Betreiber und der von ihm Beauftragte benennen einen Datenschutzbeauftragten, wenn:
a) die Verarbeitung durch eine öffentliche Behörde oder Einrichtung erfolgt, mit Ausnahme von Gerichten, die in Ausübung ihrer Rechtsprechungsfunktion tätig werden;
b) die Haupttätigkeit des Betreibers oder der von ihm beauftragten Person besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
c) die Haupttätigkeiten des Betreibers oder der von ihm beauftragten Person bestehen aus
Massenhafte Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von Daten mit
Persönlicher Charakter im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
(ab 23. Mai 2018, Art. 37, Absatz (1), Buchstabe C. des Kapitels IV, Abschnitt 4, geändert durch Punkt 9. der Berichtigung vom 23.-
Mai-2018 )
(2) Eine Unternehmensgruppe kann einen einzigen Datenschutzbeauftragten bestellen, sofern der Datenschutzbeauftragte von jedem Unternehmen aus leicht erreichbar ist.
(3) Handelt es sich bei dem Betreiber oder dem von ihm Beauftragten um eine Behörde oder eine öffentliche Einrichtung, so kann für mehrere dieser Behörden oder Einrichtungen unter Berücksichtigung ihrer Organisationsstruktur und Größe ein einziger Datenschutzbeauftragter bestellt werden. (4) In anderen als den in Absatz (1) genannten Fällen können der Betreiber oder die von ihm bevollmächtigte Person oder die Verbände und sonstigen Gremien, die Kategorien von Betreibern vertreten, oder von Betreibern bevollmächtigte Personen ernennen oder, sofern das Unionsrecht oder das innerstaatliche Recht dies erfordern Für diese Arbeit benennt er einen Datenschutzbeauftragten. Der Datenschutzbeauftragte kann zugunsten solcher Verbände und anderer Gremien tätig werden, die Betreiber oder von Betreibern bevollmächtigte Personen vertreten.
(5) Die Bestellung des Datenschutzbeauftragten erfolgt aufgrund seiner fachlichen Eignung, insbesondere seiner Fachkenntnisse in Recht und Praxis auf dem Gebiet des Datenschutzes sowie aufgrund seiner Befähigung zur Wahrnehmung der vorgesehenen Aufgaben in Artikel 39.
(6) Der Datenschutzbeauftragte kann ein Mitarbeiter des Betreibers oder eine vom Betreiber beauftragte Person sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages wahrnehmen. (7) Der Betreiber oder die von ihm beauftragte Person veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese den Aufsichtsbehörden mit.
Art. 38: Funktion des Datenschutzbeauftragten
(1) Der Betreiber und der von ihm Beauftragte stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle Aspekte des Schutzes personenbezogener Daten eingebunden wird.
(2) Der Betreiber und die von ihm bevollmächtigte Person unterstützen den Datenschutzbeauftragten bei der Erfüllung der in § 39 genannten Aufgaben und stellen ihm die für die Wahrnehmung dieser Aufgaben erforderlichen Ressourcen sowie den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sicher und um sein Fachwissen aufrechtzuerhalten.
(3) Der Betreiber und der von ihm Beauftragte stellen sicher, dass der Datenschutzbeauftragte hinsichtlich der Wahrnehmung dieser Aufgaben keine Weisungen erhält. Er wird weder vom Betreiber noch von der vom Betreiber zur Erfüllung seiner Pflichten bevollmächtigten Person entlassen oder bestraft. Der Datenschutzbeauftragte ist der obersten Leitungsebene des Betreibers bzw. der von ihm beauftragten Person direkt verantwortlich.
(4) Betroffene Personen können sich in allen Fragen im Zusammenhang mit der Verarbeitung ihrer Daten und der Ausübung ihrer Rechte nach dieser Verordnung an den Datenschutzbeauftragten wenden. (5) Der Datenschutzbeauftragte ist bei der Wahrnehmung seiner Aufgaben gemäß dem Unionsrecht oder dem innerstaatlichen Recht zur Geheimhaltung oder Vertraulichkeit verpflichtet. (6) Der Datenschutzbeauftragte kann weitere Aufgaben und Zuständigkeiten wahrnehmen. Der Betreiber bzw. die von ihm beauftragte Person stellt sicher, dass durch diese Aufgaben und Pflichten kein Interessenkonflikt entsteht.
Art. 39: Pflichten des Datenschutzbeauftragten
(1) Der Datenschutzbeauftragte hat mindestens folgende Aufgaben:
a) Information und Beratung des Betreibers oder der von ihm beauftragten Person sowie der mit der Verarbeitung befassten Mitarbeiter über ihre Pflichten gemäß dieser Verordnung und anderen Bestimmungen des Unionsrechts oder des innerstaatlichen Rechts zum Datenschutz; b) Überwachung der Einhaltung dieser Verordnung, anderer Bestimmungen des Unionsrechts oder des internen Rechts zum Datenschutz sowie der Richtlinien des Betreibers oder der von ihm beauftragten Person zum Schutz personenbezogener Daten, einschließlich der Zuweisung von Verantwortlichkeiten und Sensibilisierungsmaßnahmen und Schulung des an Verarbeitungsvorgängen beteiligten Personals sowie damit verbundene Audits;
c) die Beratung auf Anfrage hinsichtlich der Bewertung der Auswirkungen auf den Datenschutz und der Überwachung seiner Funktionsweise gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Übernahme der Rolle der Kontaktstelle für die Aufsichtsbehörde in Bezug auf Fragen im Zusammenhang mit der Verarbeitung, einschließlich der vorherigen Konsultation gemäß Artikel 36 sowie, falls erforderlich, der Konsultation zu anderen Angelegenheiten.
(2) Der Datenschutzbeauftragte berücksichtigt bei der Erfüllung seiner Aufgaben das mit den Verarbeitungsvorgängen verbundene Risiko unter Berücksichtigung von Art, Umfang, Kontext und Zwecken der Verarbeitung.
Abschnitt 5: Verhaltenskodizes und Zertifizierung
Art. 40: Verhaltenskodizes
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Entwicklung von Verhaltenskodizes, die zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen und dabei die Besonderheiten der verschiedenen Verarbeitungssektoren und deren spezifische Bedürfnisse berücksichtigen Kleinstunternehmen und kleine Unternehmen sowie mittlere Unternehmen.
(2) Verbände und andere Gremien, die Kategorien von Betreibern oder von Betreibern autorisierte Personen vertreten, können Verhaltenskodizes erstellen oder die bestehenden ändern oder erweitern, um die Art und Weise der Anwendung dieser Verordnung festzulegen, beispielsweise in Bezug auf:
a) faire und transparente Verarbeitung;
b) die berechtigten Interessen, die die Betreiber in bestimmten Kontexten verfolgen; c) Erhebung personenbezogener Daten;
d) Pseudonymisierung personenbezogener Daten;
e) Information der Öffentlichkeit und der betroffenen Personen;
f) Ausübung der Rechte der betroffenen Personen;
g) Information und Schutz von Kindern und die Art und Weise, wie die Zustimmung der Träger der elterlichen Verantwortung für die Kinder eingeholt werden muss;
h) die in den Artikeln 24 und 25 genannten Maßnahmen und Verfahren sowie die in Artikel 32 genannten Maßnahmen zur Gewährleistung der Verarbeitungssicherheit;
i) Benachrichtigung der Aufsichtsbehörden über Verstöße gegen die Sicherheit personenbezogener Daten und Information der betroffenen Personen über diese Verstöße;
j) die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen; oder
k) außergerichtliche Verfahren und andere Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Betreibern und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte der betroffenen Personen gemäß den Artikeln 77 und 79.
(3) Die gemäß Absatz (5) dieses Artikels genehmigten Verhaltenskodizes, die gemäß Absatz (9) dieses Artikels allgemeine Gültigkeit haben, können nicht nur von Betreibern oder von Betreibern autorisierten Personen eingehalten werden, die Gegenstand dieser Verordnung sind , aber auch Betreiber oder von Betreibern autorisierte Personen, die nicht dieser Verordnung gemäß Artikel 3 unterliegen, um angemessene Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen unter den in Artikel 46 Absatz genannten Bedingungen zu bieten (2) Buchstabe (e). Diese Betreiber oder von ihnen beauftragte Personen gehen durch vertragliche oder andere rechtsverbindliche Instrumente verbindliche und durchsetzbare Verpflichtungen ein, um die jeweils geeigneten Garantien, auch im Hinblick auf die Rechte der betroffenen Personen, anzuwenden.
(4) Der in Absatz (2) dieses Artikels vorgesehene Verhaltenskodex umfasst Mechanismen, die es der in Artikel 41 Absatz (1) genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch Betreiber oder von ihr autorisierte Personen durchzuführen Betreiber, die sich zur Anwendung verpflichten, unbeschadet der Pflichten und Befugnisse der nach Artikel 55 oder 56 zuständigen Aufsichtsbehörden.
(5) Die in Absatz (2) dieses Artikels genannten Verbände und sonstigen Einrichtungen, die beabsichtigen, einen Verhaltenskodex zu erstellen oder einen bestehenden Kodex zu ändern oder zu erweitern, müssen den Kodexentwurf, die Änderung oder Erweiterung der zuständigen Aufsichtsbehörde vorlegen gemäß Artikel 55. Die Aufsichtsbehörde gibt eine Stellungnahme zur Übereinstimmung des Kodexentwurfs, der Änderung oder Erweiterung mit dieser Verordnung ab und genehmigt ihn, wenn festgestellt wird, dass er ausreichende und angemessene Garantien bietet.
(6) Wird der Kodexentwurf, die Änderung oder Erweiterung gemäß Absatz (5) genehmigt und steht der betreffende Verhaltenskodex nicht im Zusammenhang mit Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so hat die Aufsichtsbehörde den Kodex auch zu registrieren und zu veröffentlichen.
(7) Bezieht sich ein Entwurf eines Verhaltenskodex, einer Änderung oder Erweiterung auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, übermittelt ihn die zuständige Aufsichtsbehörde gemäß Artikel 55 vor seiner Genehmigung im Verfahren des Artikels 63 dem Ausschuss. die eine Stellungnahme zur Einhaltung dieser Regelung des jeweiligen Projekts abgibt oder in dem in Absatz (3) dieses Artikels genannten Fall angemessene Garantien bietet.
(8) Bestätigt die in Absatz (7) genannte Stellungnahme die Einhaltung dieser Regelung des Gesetzentwurfs, der Änderung oder Erweiterung oder bietet sie in der in Absatz (3) genannten Situation ausreichende Garantien, übermittelt der Ausschuss die Stellungnahme der Kommission.
(9) Die Kommission kann Durchführungsrechtsakte erlassen, um zu entscheiden, dass der genehmigte Verhaltenskodex, die ihr gemäß Absatz (8) dieses Artikels vorgelegten Änderungen oder Erweiterungen in der Union allgemeine Gültigkeit haben. Die jeweiligen Durchführungsrechtsakte werden nach dem in Artikel 93 Absatz 2 vorgesehenen Prüfverfahren erlassen.
(10) Die Kommission sorgt für eine angemessene Publizität der genehmigten Kodizes, denen gemäß Absatz (9) allgemeine Gültigkeit zuerkannt wurde.
(11) Der Ausschuss fasst alle genehmigten Verhaltenskodizes, Änderungen und Erweiterungen in einem Register zusammen und macht sie auf geeignete Weise der Öffentlichkeit zugänglich.
Art. 41: Überwachung genehmigter Verhaltenskodizes
(1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß §§ 57 und 58 kann die Überwachung der Einhaltung eines Verhaltenskodex gemäß § 40 durch eine Stelle erfolgen, die über ausreichende Fachkenntnisse verfügt im Zusammenhang mit dem Kodexgegenstand steht und hierfür von der zuständigen Aufsichtsbehörde akkreditiert ist.
(2) Eine in Absatz (1) genannte Stelle kann für die Überwachung der Einhaltung eines Verhaltenskodex akkreditiert werden, wenn:
a) gegenüber den zuständigen Aufsichtsbehörden in zufriedenstellender Weise seine Unabhängigkeit und Sachkenntnis im Hinblick auf den Gegenstand des Kodex nachgewiesen hat;
b) Verfahren eingeführt, die es ihm ermöglichen, die Eignung von Betreibern und von Betreibern autorisierten Personen zur Anwendung des Kodex zu bewerten, deren Einhaltung der Bestimmungen des Kodex zu überwachen und seine Funktionsweise regelmäßig zu überprüfen;
c) etablierte Verfahren und Strukturen für den Umgang mit Beschwerden über Verstöße gegen den Kodex oder darüber, wie der Kodex durch einen Betreiber oder eine von ihm autorisierte Person umgesetzt wurde oder wird, sowie zur Gewährleistung der Transparenz dieser Verfahren und Strukturen für den Betroffenen und der Öffentlichkeit; Und
d) gegenüber den zuständigen Aufsichtsbehörden in zufriedenstellender Weise nachgewiesen hat, dass seine Aufgaben und Zuweisungen keine Interessenkonflikte hervorrufen.
(3) Die zuständige Aufsichtsbehörde legt dem Ausschuss gemäß dem Verfahren den Entwurf der Anforderungen für die Akkreditierung einer in Absatz (1) dieses Artikels genannten Stelle vor
um die in Artikel 63 genannte Kohärenz zu gewährleisten.
(ab 23. Mai 2018, Art. 41, Absatz (3) des Kapitels IV, Abschnitt
nea 5 berichtigt durch Punkt 10. der Berichtigung vom 23. Mai-
2018)
(4) Unbeschadet der Aufgaben und Zuständigkeiten der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine in Absatz (1) dieses Artikels genannte Stelle im Falle eines Verstoßes gegen den Kodex geeignete Maßnahmen, vorbehaltlich angemessener Garantien durch einen Betreiber oder eine von ihm autorisierte Person, einschließlich durch Suspendierung oder Ausschluss dieses Betreibers oder dieser Person vom Kodex. Die betreffende Stelle informiert die zuständige Aufsichtsbehörde über diese Maßnahmen und die Gründe, die sie veranlasst haben.
(5) Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer im Absatz genannten Stelle
(1) wenn die Voraussetzungen für die Akkreditierung oder die von der Stelle getroffenen Maßnahmen nicht mehr erfüllt sind
gegen diese Regelung verstößt.
(ab 23. Mai 2018, Art. 41, Absatz (5) von c
Kapitel IV, Abschnitt 5, berichtigt durch Punkt 11. der Berichtigung vom 23. Mai-
2018)
(6) Dieser Artikel gilt nicht für die Verarbeitung durch Behörden und öffentliche Stellen.
Art. 42: Beglaubigung
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, das Gremium und die Kommission fördern insbesondere auf Unionsebene die Einrichtung von Zertifizierungsmechanismen im Bereich des Datenschutzes sowie von Siegeln und Prüfzeichen in diesem Bereich, die den Nachweis ermöglichen die Tatsache, dass die von den Betreibern und den von ihnen autorisierten Personen durchgeführten Verarbeitungsvorgänge dieser Verordnung entsprechen. Dabei werden die spezifischen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen berücksichtigt. (2) Die gemäß Absatz (5) dieses Artikels genehmigten Datenschutzzertifizierungsmechanismen, Siegel oder Marken werden nicht nur zur Einhaltung durch die Betreiber oder die von den Betreibern autorisierten Personen, die Gegenstand dieser Verordnung sind, sondern auch für die Einhaltung dieser Vorschriften eingerichtet das Vorhandensein angemessener Garantien nachweisen, die von den Betreibern oder den von ihnen beauftragten Personen angeboten werden
Betreiber, die dieser Verordnung gemäß Artikel 3 nicht unterliegen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen unter den in Artikel 46 Absatz (2) Buchstabe f genannten Bedingungen. Diese Betreiber oder von ihnen beauftragte Personen gehen durch vertragliche oder andere rechtsverbindliche Instrumente verbindliche und durchsetzbare Verpflichtungen ein, um die jeweils geeigneten Garantien, auch im Hinblick auf die Rechte der betroffenen Personen, anzuwenden.
(3) Die Zertifizierung ist freiwillig und durch ein transparentes Verfahren möglich.
(4) Die Zertifizierung nach diesem Artikel mindert nicht die Verantwortung des Betreibers oder der von ihm beauftragten Person zur Einhaltung dieser Verordnung und berührt nicht die Pflichten und Befugnisse der nach Artikel 55 oder 56 zuständigen Aufsichtsbehörden. (5) Zertifizierungsstellen gemäß Artikel 43 oder die zuständige Aufsichtsbehörde stellen eine Zertifizierung gemäß diesem Artikel auf der Grundlage der von der jeweils zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz (3) oder vom Ausschuss gemäß Artikel 63 genehmigten Kriterien aus. Wenn Werden die Kriterien vom Gremium genehmigt, kann dies zu einer gemeinsamen Zertifizierung, nämlich dem Europäischen Datenschutzsiegel, führen.
(6) Der Betreiber oder die von ihm beauftragte Person, die seine Verarbeitungstätigkeiten dem Zertifizierungsmechanismus unterwirft, stellt der in § 43 genannten Zertifizierungsstelle bzw. den zuständigen Aufsichtsbehörden alle für die Durchführung erforderlichen Informationen zur Verfügung das Zertifizierungsverfahren sowie den Zugang zu den Tätigkeiten bzw. Verarbeitungen.
(7) Die Zertifizierung wird einem Betreiber oder einer von ihm beauftragten Person für a
Die maximale Laufzeit beträgt drei Jahre und kann unter den gleichen Bedingungen verlängert werden, sofern die entsprechenden Kriterien weiterhin erfüllt sind. Die Zertifizierung wird gegebenenfalls von den in Artikel 43 genannten Zertifizierungsstellen oder bei Nicht mehr von der zuständigen Aufsichtsbehörde entzogen
die Kriterien für die Zertifizierung erfüllt sind.
(ab 23. Mai 2018, Art. 42, Abs. (7) Kap
IV, Abschnitt 5, berichtigt durch Punkt 12. der Berichtigung vom 23. Mai
2018)
(8) Der Ausschuss fasst alle Zertifizierungsmechanismen und Datenschutzsiegel und -zeichen in einem Register zusammen und macht sie auf geeignete Weise der Öffentlichkeit zugänglich.
Art. 43: Zertifizierungsstellen
(1) Unbeschadet der in den Artikeln 57 und 58 vorgesehenen Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde können die Zertifizierungsstellen, die über ein angemessenes Maß an Kompetenz im Bereich des Datenschutzes verfügen, dies nach Unterrichtung der Aufsichtsbehörde zulassen die Befugnisse nach Artikel 58 Absatz 2 Buchstabe h ausüben, die Zertifizierung ausstellen und erneuern. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert sind:
a) die nach § 55 oder 56 zuständige Aufsichtsbehörde;
b) die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (1) gemäß der Norm EN-ISO/IEC 17065/2012 und den zusätzlichen Anforderungen der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde.
(1) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 zur Festlegung der Anforderungen an die Akkreditierung und Marktüberwachung bei der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 (ABl. L 218 vom 13.8.2008, S. 30)
(2) Eine in Absatz (1) genannte Zertifizierungsstelle ist gemäß diesem Absatz nur dann akkreditiert, wenn:
a) gegenüber den zuständigen Aufsichtsbehörden in zufriedenstellender Weise seine Unabhängigkeit und Fachkompetenz in Bezug auf den Zertifizierungsgegenstand nachgewiesen hat;
b) sich zur Einhaltung der in Artikel 42 Absatz 5 genannten und von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder vom Ausschuss gemäß Artikel 63 genehmigten Kriterien verpflichten;
c) Verfahren für die Erteilung, regelmäßige Überprüfung und den Entzug von Zertifizierungen, Siegeln und Prüfzeichen im Bereich Datenschutz eingeführt;
d) etablierte Verfahren und Strukturen zur Bearbeitung von Beschwerden über Verstöße gegen die Zertifizierung oder über die Art und Weise, wie die Zertifizierung durch einen Betreiber oder eine von ihm autorisierte Person durchgeführt wurde oder wird, sowie zur Sicherstellung der Transparenz dieser Verfahren und Strukturen für für die betroffenen Personen und für die Öffentlichkeit; Und
e) gegenüber den zuständigen Aufsichtsbehörden in zufriedenstellender Weise nachgewiesen hat, dass seine Aufgaben und Zuweisungen keine Interessenkonflikte hervorrufen.
(3) Die Akkreditierung der in den Absätzen (1) und (2) dieses Artikels genannten Zertifizierungsstellen erfolgt auf der Grundlage der von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder vom Ausschuss gemäß Artikel 63 genehmigten Anforderungen . Im Falle einer Akkreditierung in
Gemäß Absatz (1) Buchstabe (b) dieses Artikels ergänzen diese Anforderungen diejenigen der Verordnung (EG) Nr. 765/2008 und die technischen Normen, die die Methoden und Verfahren der Gremien beschreiben
zu zertifizieren.
(am 23
i-2018 Art. 43, Abs. 3 (5) aus Kapitel IV, Abschnitt 13, berichtigt durch Punkt 23. der Berichtigung vom XNUMX. Mai –
2018)
(4) Die in Absatz (1) genannten Zertifizierungsstellen sind dafür verantwortlich, eine entsprechende Bewertung zur Zertifizierung oder zum Entzug dieser Zertifizierung durchzuführen, ohne dass die Verantwortung des Betreibers oder der von ihm beauftragten Person zur Einhaltung dieser Verordnung berührt wird. Die Akkreditierung wird für einen Zeitraum von maximal fünf Jahren erteilt und kann unter den gleichen Bedingungen verlängert werden, sofern die Zertifizierungsstelle die in diesem Artikel festgelegten Anforderungen erfüllt.
(5) Die in Absatz (1) genannten Zertifizierungsstellen übermitteln den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Entzug der beantragten Zertifizierung.
(6) Die in Absatz (3) dieses Artikels genannten Anforderungen und die in § 42 Absatz (5) genannten Kriterien werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Behörde
Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch an das Gremium.
(am 23. Mai 2018 Art. 43, Absatz (6) des Kapitels IV, Abschnitt 5 geändert durch Punkt 1
4. aus der Korrektur vom 23. Mai-
2018)
(7) Unbeschadet der Bestimmungen des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die einer Zertifizierungsstelle gemäß Absatz (1) dieses Artikels erteilte Akkreditierung, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder die Maßnahmen der Akkreditierungsstelle gegen diese Regelung verstoßen.
(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die bei den Datenschutzzertifizierungsmechanismen gemäß Artikel 42 Absatz (1) berücksichtigt werden müssen.
(9) Die Kommission kann Durchführungsrechtsakte erlassen, um technische Standards für Zertifizierungsmechanismen und Siegel und Prüfzeichen im Bereich des Datenschutzes sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsmechanismen, Siegel und Prüfzeichen festzulegen. Die jeweiligen Durchführungsrechtsakte werden nach dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
KAPITEL V: Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
Art. 44: Das allgemeine Prinzip der Übermittlung
Personenbezogene Daten, die Gegenstand der Verarbeitung sind oder nach der Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, können vorbehaltlich der übrigen Bestimmungen dieser Verordnung nur dann übermittelt werden, wenn die in diesem Kapitel genannten Voraussetzungen erfüllt sind vom Betreiber und der von ihm beauftragten Person eingehalten werden, auch im Hinblick auf spätere Übermittlungen personenbezogener Daten aus dem Drittland oder von der internationalen Organisation in ein anderes Drittland oder an eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels werden angewendet, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau natürlicher Personen nicht beeinträchtigt wird.
Art. 45: Übermittlungen aufgrund einer Entscheidung über die Angemessenheit des Schutzniveaus
(1) Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation kann erfolgen, wenn die Kommission entschieden hat, dass das Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren betroffen sind
aus dem betreffenden Drittland oder der betreffenden internationalen Organisation gewährleistet ein angemessenes Schutzniveau. Für Überweisungen unter diesen Bedingungen sind keine besonderen Genehmigungen erforderlich.
(2) Bei der Beurteilung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission insbesondere folgende Elemente:
a) Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, sowohl allgemeiner als auch sektoraler Art, einschließlich der öffentlichen Sicherheit, der Verteidigung, der nationalen Sicherheit und des Strafrechts sowie des Zugriffs staatlicher Stellen auf personenbezogene Daten sowie die Umsetzung dieser Rechtsvorschriften, Datenschutzregeln, Berufsregeln und Sicherheitsmaßnahmen, einschließlich der Regeln für die spätere Übermittlung personenbezogener Daten an ein anderes Drittland oder eine internationale Organisation, die in dem jeweiligen Drittland bzw. der jeweiligen internationalen Organisation beachtet werden, der Rechtsprechung, sowie das Bestehen wirksamer und anfechtbarer Rechte der betroffenen Personen und wirksamer administrativer und gerichtlicher Wiedergutmachungen für die betroffenen Personen, deren personenbezogene Daten übermittelt werden;
b) die Existenz und das effiziente Funktionieren einer oder mehrerer unabhängiger Aufsichtsbehörden in dem Drittland oder in dessen Zuständigkeitsbereich eine internationale Organisation fällt und die dafür verantwortlich sind, die Einhaltung der Datenschutzvorschriften sicherzustellen und durchzusetzen, einschließlich angemessener Befugnisse, um die Einhaltung des Antrags sicherzustellen, z Unterstützung und Beratung der betroffenen Personen bei der Wahrnehmung ihrer Rechte und bei der Zusammenarbeit mit den Aufsichtsbehörden in den Mitgliedstaaten; Und
c) die internationalen Verpflichtungen, denen das betreffende Drittland oder die betreffende internationale Organisation beigetreten ist, oder sonstige Verpflichtungen, die sich aus rechtsverbindlichen Übereinkommen oder Instrumenten sowie aus seiner Beteiligung an multilateralen oder regionalen Systemen, insbesondere im Bereich des Schutzes personenbezogener Daten, ergeben.
(3) Die Kommission kann nach Bewertung der Angemessenheit des Schutzniveaus durch einen Durchführungsrechtsakt entscheiden, dass ein Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren eines Drittlandes oder einer internationalen Organisation ein angemessenes Schutzniveau gewährleisten Schutz im Sinne von Absatz (2) dieses Artikels. Der Durchführungsrechtsakt sieht einen regelmäßigen Überprüfungsmechanismus, mindestens alle vier Jahre, vor, der alle relevanten Entwicklungen im Drittland oder der internationalen Organisation berücksichtigt. Im Durchführungsrechtsakt wird der geografische und sektorale Geltungsbereich genannt und gegebenenfalls die in Absatz (2) Buchstabe (b) dieses Artikels genannte(n) Aufsichtsbehörde(n) benannt. Der Durchführungsrechtsakt wird nach dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
(4) Die Kommission überwacht kontinuierlich die Entwicklungen in Drittländern und auf der Ebene internationaler Organisationen, die sich auf die Durchführung der gemäß Absatz (3) dieses Artikels und der gemäß Artikel 25 Absatz (6) angenommenen Entscheidungen auswirken könnten Richtlinie 95/46/ WAS.
(5) Wenn die verfügbaren Informationen ergeben, insbesondere nach der in Absatz (3) dieses Artikels genannten Überprüfung, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor dieses Drittlandes oder eine internationale Organisation ein Niveau von nicht mehr gewährleistet Um einen angemessenen Schutz im Sinne von Absatz (2) dieses Artikels zu gewährleisten, hebt die Kommission erforderlichenfalls die in Absatz (3) dieses Artikels genannte Entscheidung im Wege eines Durchführungsrechtsakts ohne Rückwirkung auf, ändert oder setzt sie aus. Die jeweiligen Durchführungsrechtsakte werden nach dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
Aus Gründen äußerster Dringlichkeit erlässt die Kommission unmittelbar geltende Durchführungsrechtsakte nach dem in Artikel 93 Absatz 3 genannten Verfahren.
(6) Die Kommission leitet Konsultationen mit dem Drittstaat oder der internationalen Organisation ein, um die Situation zu beheben, die der Entscheidung gemäß Absatz (5) zugrunde lag.
(7) Eine gemäß Absatz (5) dieses Artikels getroffene Entscheidung berührt nicht die Übermittlung personenbezogener Daten an das Drittland, ein Hoheitsgebiet oder einen oder mehrere bestimmte Sektoren dieses Drittlandes oder an die betreffende internationale Organisation gemäß den Artikeln 46-49. (8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste von Drittländern, bestimmten Gebieten und Sektoren eines Drittlandes und internationalen Organisationen, für die sie entschieden hat, dass das Schutzniveau angemessen ist versichert oder nicht mehr versichert ist.
(9) Entscheidungen der Kommission gemäß Artikel 25 Absatz (6) der Richtlinie 95/46/EG bleiben in Kraft, bis sie durch eine Entscheidung der Kommission gemäß Absatz (3) oder (5) geändert, ersetzt oder aufgehoben werden. aus diesem Artikel.
Art. 46: Übertragungen auf der Grundlage angemessener Garantien
(1) In Ermangelung einer Entscheidung auf der Grundlage von Artikel 45 Absatz (3) darf der Betreiber oder die von ihm bevollmächtigte Person personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übermitteln, wenn der Betreiber oder die von ihm bevollmächtigte Person hat angemessene Garantien geboten und unter der Bedingung, dass den betroffenen Personen anfechtbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
(2) Die in Absatz 1 genannten geeigneten Garantien können ohne die Notwendigkeit einer besonderen Genehmigung einer Aufsichtsbehörde bereitgestellt werden durch:
a) ein rechtsverbindliches und durchsetzbares Instrument zwischen Behörden oder Stellen;
b) verbindliche Unternehmensregeln gemäß Artikel 47;
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem in Artikel 93 Absatz (2) genannten Prüfverfahren angenommen werden;
d) Standarddatenschutzklauseln, die von einer Aufsichtsbehörde angenommen und von der Kommission gemäß dem in Artikel 93 Absatz (2) genannten Prüfverfahren genehmigt wurden;
e) ein gemäß Artikel 40 genehmigter Verhaltenskodex, begleitet von einer verbindlichen und durchsetzbaren Verpflichtung des Betreibers oder der von ihm im Drittland bevollmächtigten Person, angemessene Garantien anzuwenden, auch in Bezug auf die Rechte der betroffenen Personen; oder
f) ein gemäß Artikel 42 genehmigter Zertifizierungsmechanismus, begleitet von einer verbindlichen und durchsetzbaren Verpflichtung des Betreibers oder der von ihm im Drittland autorisierten Person, angemessene Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(3) Die geeigneten Garantien gemäß Absatz 1 können mit Genehmigung der zuständigen Aufsichtsbehörde insbesondere auch gewährleistet werden durch:
a) Vertragsklauseln zwischen dem Betreiber oder der vom Betreiber beauftragten Person und dem Betreiber, der vom Betreiber beauftragten Person oder dem Empfänger personenbezogener Daten aus dem Drittland oder der internationalen Organisation; oder
b) Bestimmungen, die in die Verwaltungsvereinbarungen zwischen den Behörden oder öffentlichen Stellen aufzunehmen sind und anfechtbare und wirksame Rechte für die betroffenen Personen umfassen.
(4) Die Aufsichtsbehörde wendet in den in Absatz (63) dieses Artikels genannten Fällen den in Artikel 3 genannten Mechanismus zur Gewährleistung der Kohärenz an.
(5) Die von einem Mitgliedstaat oder einer Aufsichtsbehörde gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen gelten bis zu dem Zeitpunkt, an dem sie von dem jeweiligen Mitgliedstaat geändert, ersetzt oder gegebenenfalls aufgehoben werden Aufsichtsbehörde. Von der Kommission gemäß Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Entscheidungen bleiben in Kraft, bis sie erforderlichenfalls durch einen gemäß Absatz (2) dieses Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
Art. 47: Zwingende Unternehmensregeln
(1) Im Einklang mit dem in Artikel 63 vorgesehenen Mechanismus zur Gewährleistung der Kohärenz genehmigt die zuständige Aufsichtsbehörde verbindliche Unternehmensvorschriften, sofern sie:
a) rechtsverbindlich sein und für jedes betroffene Mitglied der Unternehmensgruppe oder der an einer gemeinsamen Wirtschaftstätigkeit beteiligten Unternehmensgruppe einschließlich ihrer Arbeitnehmer gelten sowie von den betreffenden Mitgliedern umgesetzt werden;
b) den betroffenen Personen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten ausdrücklich Widerspruchsrechte einzuräumen; Und
c) zur Erfüllung der in Absatz (2) genannten Anforderungen.
(2) Die in Absatz (1) genannten verbindlichen Unternehmensregeln legen mindestens Folgendes fest:
a) die Struktur und Kontaktdaten der Unternehmensgruppe oder der an einer gemeinsamen Wirtschaftstätigkeit beteiligten Unternehmensgruppe und jedes ihrer Mitglieder;
b) die Datenübermittlungen oder die Reihe von Übermittlungen, einschließlich der Kategorien personenbezogener Daten, der Art der Verarbeitung und der Zwecke der Verarbeitung, der Arten der betroffenen Personen und der Identifizierung des betreffenden Drittlandes bzw. der betreffenden Drittländer;
c) ihren zwingenden Rechtscharakter nach innen und außen;
d) Anwendung allgemeiner Grundsätze des Datenschutzes, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz ab dem Zeitpunkt der Konzeption und stillschweigender Schutz, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Datenkategorien personenbezogener Daten , Maßnahmen zur Gewährleistung der Datensicherheit sowie Anforderungen an spätere Übermittlungen an Stellen, die nicht zwingenden Unternehmensregeln unterliegen;
e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die Mittel zur Ausübung dieser Rechte, einschließlich des Rechts, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf automatischer Verarbeitung, einschließlich der Erstellung von Profilen, gemäß Artikel 22 beruhen, das Recht auf Einreichung von a Beschwerde bei der zuständigen Aufsichtsbehörde und vor den zuständigen Gerichten der Mitgliedstaaten gemäß Artikel 79 sowie das Recht auf Wiedergutmachung und gegebenenfalls Entschädigung für den Verstoß gegen die zwingenden Unternehmensvorschriften;
f) die Übernahme der Verantwortung des Betreibers oder der von ihm bevollmächtigten Person, die ihren Sitz im Hoheitsgebiet eines Mitgliedsstaates hat, für etwaige Verstöße gegen die verbindlichen Unternehmensregeln durch ein Mitglied, das nicht im Hoheitsgebiet eines Mitgliedsstaates ansässig ist Union; von dieser Haftung ist der Betreiber oder die von ihm beauftragte Person nur dann ganz oder teilweise befreit, wenn er nachweist, dass das jeweilige Mitglied für das schadenverursachende Ereignis nicht verantwortlich ist;
g) die Art und Weise, in der den betroffenen Personen zusätzlich zu den in Abschnitt genannten Informationen Informationen über die zwingenden Unternehmensregeln, insbesondere über die in den Buchstaben (d), (e) und (f) dieses Absatzes genannten Bestimmungen, zur Verfügung gestellt werden Artikel 13 und 14;
h) die Aufgaben eines gemäß Artikel 37 benannten Datenschutzbeauftragten oder einer anderen natürlichen oder juristischen Person, die mit der Überwachung der Einhaltung verbindlicher Unternehmensvorschriften innerhalb der Unternehmensgruppe oder der Unternehmensgruppe, die an einer gemeinsamen Wirtschaftstätigkeit, Schulungsaktivitäten usw. beteiligt ist, beauftragt ist Beschwerdemanagement;
i) Verfahren zur Formulierung von Beschwerden;
j) die Mechanismen innerhalb der Unternehmensgruppe oder der an einer gemeinsamen Wirtschaftstätigkeit beteiligten Unternehmensgruppe, die die Einhaltung der verbindlichen Unternehmensregeln sicherstellen sollen. Zu diesen Mechanismen gehören Datenschutzprüfungen und Methoden zur Sicherstellung von Korrekturmaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse dieser Kontrollen sollten der in Buchstabe (h) genannten Person oder Organisation und dem Vorstand des Unternehmens, das die Kontrolle über die Unternehmensgruppe oder die an einer gemeinsamen Wirtschaftstätigkeit beteiligte Unternehmensgruppe ausübt, mitgeteilt werden der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
k) die Mechanismen zur Meldung und Aufzeichnung der an den Regeln vorgenommenen Änderungen und zur Meldung dieser Änderungen an die Aufsichtsbehörde;
l) den Mechanismus der Zusammenarbeit mit der Aufsichtsbehörde, um die Einhaltung der Regeln durch jedes Mitglied der Unternehmensgruppe oder der an einer gemeinsamen Wirtschaftstätigkeit beteiligten Unternehmensgruppe sicherzustellen, insbesondere durch die Bereitstellung der Ergebnisse der Aufsichtsbehörde die Kontrollen hinsichtlich der unter Buchstabe j genannten Maßnahmen;
m) Meldemechanismen an die zuständige Aufsichtsbehörde über alle rechtlichen Anforderungen, die einem Mitglied der Unternehmensgruppe oder der an einer gemeinsamen Wirtschaftstätigkeit beteiligten Unternehmen in einem Drittland auferlegt werden und die sich erheblich nachteilig auf die von der Gesellschaft gewährten Garantien auswirken können die Regeln verpflichtender Korporatisten; Und
n) angemessene Schulung im Bereich Datenschutz für Personal, das ständigen oder regelmäßigen Zugriff auf personenbezogene Daten hat.
(3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch zwischen Betreibern, von Betreibern autorisierten Personen und Aufsichtsbehörden für Unternehmensregeln festlegen
zwingend im Sinne dieses Artikels. Die jeweiligen Durchführungsrechtsakte werden nach dem in Artikel 93 Absatz 2 vorgesehenen Prüfverfahren erlassen.
Art. 48: Übermittlung oder Offenlegung von Informationen, die nicht nach Unionsrecht zulässig sind
Jede Entscheidung eines Gerichts oder einer Verwaltungsbehörde eines Drittstaats, die einen Betreiber oder die von ihm bevollmächtigte Person zur Übermittlung oder Offenlegung personenbezogener Daten verpflichtet, kann nur dann anerkannt oder in irgendeiner Weise durchgesetzt werden, wenn sie auf einem internationalen Gesetz beruht B. eines Rechtshilfeabkommens, das zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat in Kraft ist, unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel.
Art. 49: Ausnahmen für bestimmte Situationen
(1) In Ermangelung einer Entscheidung über die Angemessenheit des Schutzniveaus gemäß Artikel 45 Absatz 3 oder angemessener Garantien gemäß Artikel 46, einschließlich zwingender Unternehmensvorschriften, erfolgt eine Übermittlung oder eine Reihe von Datenübermittlungen mit personenbezogener Übermittlung in ein Drittland oder eine internationale Organisation kann nur unter einer der folgenden Bedingungen erfolgen: a) Die betroffene Person hat ausdrücklich ihr Einverständnis mit der geplanten Übermittlung erklärt, nachdem sie über die möglichen Risiken informiert wurde, die eine solche Übermittlung für sie mit sich bringen kann Person aufgrund fehlender Entscheidung über die Angemessenheit des Schutzniveaus und angemessener Garantien;
b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Betreiber oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Wunsch der betroffenen Person getroffen werden;
c) die Übermittlung für den Abschluss eines Vertrages oder die Durchführung eines im Interesse der betroffenen Person zwischen dem Betreiber und einer anderen natürlichen oder juristischen Person geschlossenen Vertrages erforderlich ist;
d) die Übermittlung aus wichtigen Gründen des öffentlichen Interesses erforderlich ist;
e) die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung eines Rechts vor Gericht erforderlich ist;
f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, wenn die betroffene Person nicht über die körperliche oder rechtliche Fähigkeit verfügt, ihre Einwilligung auszudrücken; g) die Übermittlung erfolgt aus einem Register, das nach Unionsrecht oder innerstaatlichem Recht der Information der Öffentlichkeit dient und entweder von der Öffentlichkeit oder von jeder Person, die ein berechtigtes Interesse nachweisen kann, eingesehen werden kann, aber nur insoweit, als die im Unionsrecht oder innerstaatlichen Recht im konkreten Fall vorgesehenen Voraussetzungen für eine Konsultation erfüllt sind. Wenn eine Übermittlung nicht auf einer in Artikel 45 oder 46 vorgesehenen Bestimmung, einschließlich Bestimmungen zu zwingenden Unternehmensvorschriften, beruhen kann und keine der im ersten Absatz dieses Absatzes vorgesehenen Ausnahmeregelungen für bestimmte Situationen anwendbar ist, erfolgt eine Übermittlung in ein Drittland oder eine internationale Organisation kann nur erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, sich nur auf eine begrenzte Anzahl betroffener Personen bezieht, für die Wahrung der wesentlichen berechtigten Interessen des Betreibers erforderlich ist, über die die Interessen oder Rechte nicht überwiegen, und Die Freiheiten der betroffenen Person und des Betreibers haben alle Umstände im Zusammenhang mit der Datenübertragung bewertet und auf der Grundlage dieser Bewertung geeignete Garantien für den Schutz personenbezogener Daten vorgelegt. Der Betreiber informiert die Aufsichtsbehörde über die Übermittlung. Der Betreiber informiert den Betroffenen zusätzlich zu den in den Artikeln 13 und 14 genannten Informationen über die Übermittlung und die damit verbundenen wesentlichen berechtigten Interessen.
(2) Die Übermittlung gemäß Absatz (1), erster Absatz, Buchstabe (g) umfasst nicht alle personenbezogenen Daten oder alle Kategorien personenbezogener Daten, die im Register erfasst sind. Wenn das Register von Personen mit berechtigtem Interesse eingesehen werden soll, erfolgt die Übermittlung nur auf Antrag der betreffenden Personen oder wenn diese die Empfänger sind. (3) Absatz 1 Satz XNUMX Buchstaben a, b und c sowie Absatz XNUMX gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
(4) Das in Absatz (1) Absatz XNUMX Buchstabe (d) vorgesehene öffentliche Interesse wird im Unionsrecht oder im Recht des Mitgliedstaats, dem der Betreiber unterliegt, anerkannt.
(5) Liegt keine Entscheidung über die Angemessenheit des Schutzniveaus vor, kann das Unionsrecht oder das innerstaatliche Recht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Grenzen festlegen
über die Übermittlung bestimmter Kategorien personenbezogener Daten an ein Drittland oder eine internationale Organisation. Die Mitgliedstaaten teilen der Kommission diese Bestimmungen mit.
(6) Der Betreiber oder die von ihm bevollmächtigte Person protokolliert die Bewertung sowie die entsprechenden Garantien gemäß Absatz (1) Absatz 30 dieses Artikels in den in Artikel XNUMX genannten Aufzeichnungen.
Art. 50: Internationale Zusammenarbeit im Bereich des Schutzes personenbezogener Daten
Im Hinblick auf Drittländer und internationale Organisationen ergreifen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen, um:
(a) die Entwicklung internationaler Kooperationsmechanismen, um die wirksame Anwendung der Rechtsvorschriften zum Schutz personenbezogener Daten zu erleichtern;
(b) Gewährung gegenseitiger internationaler Unterstützung bei der Gewährleistung der Anwendung der Rechtsvorschriften im Bereich des Schutzes personenbezogener Daten, unter anderem durch Benachrichtigung, Übermittlung von Beschwerden, Unterstützung bei Ermittlungen und Informationsaustausch, vorbehaltlich angemessener Garantien für den Schutz personenbezogener Daten und anderer Rechte und Grundfreiheiten;
(c) die Einbeziehung relevanter interessierter Parteien in die Diskussionen und Aktivitäten zur Intensivierung der internationalen Zusammenarbeit im Bereich der Anwendung der Rechtsvorschriften zum Schutz personenbezogener Daten; (d) Förderung des gegenseitigen Austauschs und der Dokumentation über die Gesetzgebung und Praxis zum Schutz personenbezogener Daten, auch im Hinblick auf Zuständigkeitskonflikte mit Drittländern.
KAPITEL VI: Unabhängige Aufsichtsbehörden
Abschnitt 1: Unabhängiger Status
Art. 51: Die Aufsichtsbehörde
(1) Jeder Mitgliedstaat stellt sicher, dass eine oder mehrere unabhängige staatliche Stellen für die Überwachung der Anwendung dieser Verordnung zuständig sind, um die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung zu schützen und den freien Personenverkehr zu erleichtern Daten innerhalb der Union („Aufsichtsbehörde“). (2) Jede Aufsichtsbehörde trägt zur einheitlichen Anwendung dieser Verordnung in der gesamten Union bei. Zu diesem Zweck arbeiten die Aufsichtsbehörden gemäß Kapitel VII untereinander und mit der Kommission zusammen.
(3) Sind in einem Mitgliedstaat mehrere Aufsichtsbehörden eingerichtet, so bestimmt er die Aufsichtsbehörde, die die jeweiligen Behörden im Gremium vertritt, und richtet einen Mechanismus ein, der die Einhaltung der Vorschriften über den Mechanismus zur Gewährleistung der vorgesehenen Kohärenz durch die anderen Behörden sicherstellt in Artikel 63.
(4) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die er gemäß diesem Kapitel erlässt, sowie unverzüglich alle späteren Änderungen, die er an diesen Bestimmungen vornimmt.
Art. 52: Unabhängigkeit
(1) Jede Aufsichtsbehörde genießt bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse nach Maßgabe dieser Verordnung volle Unabhängigkeit.
(2) Das oder die Mitglieder jeder Aufsichtsbehörde bleiben bei der Wahrnehmung ihrer Aufgaben und Befugnisse nach dieser Verordnung unabhängig von jeder direkten oder indirekten äußeren Einflussnahme und holen Weisungen von außen weder ein noch nehmen sie diese entgegen.
(3) Das oder die Mitglieder jeder Aufsichtsbehörde unterlassen Handlungen, die mit ihren Aufgaben unvereinbar sind, und führen während der Amtszeit keine unvereinbaren Tätigkeiten aus, unabhängig davon, ob sie vergütet werden oder nicht.
(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde über personelle, technische und finanzielle Ressourcen, einen Sitz und die erforderliche Infrastruktur zur Erfüllung ihrer Aufgaben und zur wirksamen Ausübung ihrer Befugnisse, einschließlich derjenigen, die im Rahmen der gegenseitigen Amtshilfe anzuwenden sind, verfügt , Zusammenarbeit und Beteiligung im Gremium.
(5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und ihr eigenes Personal unter der ausschließlichen Leitung des oder der Mitglieder der jeweiligen Aufsichtsbehörde steht.
(6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer ihre Unabhängigkeit nicht beeinträchtigenden Finanzkontrolle unterliegt und über eigene, öffentliche Jahreshaushalte verfügt, die Teil des Gesamtstaats- oder Bundeshaushalts sein können.
Art. 53: Allgemeine Bedingungen für Mitglieder der Aufsichtsbehörde
(1) Die Mitgliedstaaten stellen sicher, dass jedes Mitglied ihrer Aufsichtsbehörde im Rahmen eines transparenten Verfahrens ernannt wird:
– vom Parlament;
- von der Regierung;
- vom Staatsoberhaupt; oder
- durch eine unabhängige Stelle, die nach innerstaatlichem Recht befugt ist, Ernennungen vorzunehmen.
(2) Jedes betroffene Mitglied verfügt über die erforderlichen Qualifikationen, Erfahrungen und Kompetenzen, insbesondere im Bereich des Schutzes personenbezogener Daten, um seine Aufgaben erfüllen und seine Kompetenzen ausüben zu können.
(3) Die Aufgaben eines Mitglieds enden mit Ablauf des Mandats, mit Rücktritt oder Amtsenthebung nach Maßgabe des jeweiligen innerstaatlichen Rechts.
(4) Ein Mitglied kann nur bei schwerwiegendem Fehlverhalten entlassen werden oder wenn es die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.
Art. 54: Regeln zur Einrichtung der Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht durch Gesetzgebung Folgendes vor:
a) die Einrichtung jeder Aufsichtsbehörde;
b) die Qualifikationen und Zulassungsbedingungen, die für die Ernennung zum Mitglied jeder Aufsichtsbehörde erforderlich sind;
c) die Regeln und Verfahren für die Ernennung des oder der Mitglieder jeder Aufsichtsbehörde;
d) die Amtszeit des oder der Mitglieder jeder Aufsichtsbehörde beträgt mindestens vier Jahre, mit Ausnahme der ersten Bestellung nach dem 24. Mai 2016, wovon ein Teil auch kürzer sein kann, wenn dies zum Schutz der Behörde erforderlich ist Unabhängigkeit der Aufsicht durch ein gestaffeltes Berufungsverfahren;
e) ob und wie oft das Mandat des oder der Mitglieder jeder Aufsichtsbehörde verlängert werden kann;
f) die Bedingungen, die die Pflichten des oder der Mitglieder und des Personals jeder Aufsichtsbehörde regeln, Verbote hinsichtlich der damit unvereinbaren Handlungen, Beschäftigungen und Leistungen während der Amtszeit und nach ihrer Beendigung sowie die Regeln, die die Beendigung regeln der Arbeitsvertrag.
(2) Das bzw. die Mitglieder und Mitarbeiter jeder Aufsichtsbehörde sind nach Maßgabe des Unionsrechts oder des innerstaatlichen Rechts verpflichtet, sowohl während der Amtszeit als auch nach deren Beendigung das Berufsgeheimnis hinsichtlich der ihnen bekannt gewordenen vertraulichen Informationen zu wahren im Rahmen der Erfüllung ihrer Pflichten oder der Ausübung ihrer Befugnisse. Diese Verpflichtung zur Wahrung des Berufsgeheimnisses gilt während ihrer Amtszeit insbesondere für die Meldung von Verstößen gegen diese Regelung durch natürliche Personen.
Abschnitt 2: Qualifikationen, Aufgaben und Kompetenzen
Art. 55: Zuständigkeit
(1) Jede Aufsichtsbehörde ist für die Wahrnehmung der ihr nach dieser Verordnung übertragenen Aufgaben und Befugnisse im Hoheitsgebiet des Mitgliedstaats, dem sie angehört, zuständig.
(2) Erfolgt die Verarbeitung durch öffentliche Stellen oder private Stellen, die auf Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e tätig werden, ist die Aufsichtsbehörde im Bundesland zuständig
Das jeweilige Mitglied verfügt über die Kompetenz. In solchen Fällen findet Artikel 56 keine Anwendung.
(ab 23. Mai 2018, Art. 55, Absatz (2) des Kapitels VI, Abschnitt 2, geändert durch Punkt 15 der Änderung vom 23. Mai 2018)
(3) Die Aufsichtsbehörden sind nicht dafür zuständig, die Verarbeitungsvorgänge der Gerichte zu überwachen, die in Ausübung ihrer Rechtsprechungsfunktion tätig werden.
Art. 56: Zuständigkeit der Hauptaufsichtsbehörde
(1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde am Hauptsitz oder am alleinigen Sitz des Betreibers oder der von ihm beauftragten Person als Hauptaufsichtsbehörde für die von ihm durchgeführte grenzüberschreitende Verarbeitung zuständig Betreiber oder die jeweils bevollmächtigte Person in dem Fall gemäß dem in Artikel 60 vorgesehenen Verfahren.
(2) Abweichend von Absatz (1) ist jede Aufsichtsbehörde für die Bearbeitung einer ihr zur Kenntnis gebrachten Beschwerde oder eines möglichen Verstoßes gegen diese Verordnung zuständig, wenn sich ihr Gegenstand nur auf eine im Landes- oder Mitgliedsstaat ansässige Stelle bezieht wirkt sich nur in seinem Mitgliedstaat erheblich auf die Zielpersonen aus.
(3) In den in Absatz (2) dieses Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die Hauptaufsichtsbehörde über diesen Sachverhalt. Innerhalb von drei Wochen ab dem Zeitpunkt der Information entscheidet die Hauptaufsichtsbehörde, ob der jeweilige Fall gemäß dem in Artikel 60 vorgesehenen Verfahren behandelt wird oder nicht, wobei zu berücksichtigen ist, ob der Betreiber oder die Person einen Sitz hat oder nicht vom Betreiber im Hoheitsgebiet des Mitgliedsstaates zugelassen, dessen Aufsichtsbehörde ihn darüber informiert hat.
(4) Beschließt die Hauptaufsichtsbehörde, sich mit dem Fall zu befassen, ist das in § 60 vorgesehene Verfahren anzuwenden. Die Aufsichtsbehörde, die die Hauptaufsichtsbehörde informiert hat, kann dieser einen Entscheidungsentwurf vorlegen. Die Hauptaufsichtsbehörde berücksichtigt den jeweiligen Entwurf bei der Ausarbeitung des Entscheidungsentwurfs nach § 60 Abs. 3 weitestgehend.
(5) Beschließt die Hauptaufsichtsbehörde, den Fall nicht zu bearbeiten, behandelt die Aufsichtsbehörde, die die Hauptaufsichtsbehörde informiert hat, den Fall gemäß den Artikeln 61 und 62.
(6) Die Hauptaufsichtsbehörde ist der einzige Ansprechpartner des Betreibers oder einer von ihm beauftragten Person für die grenzüberschreitende Verarbeitung, die von dem jeweiligen Betreiber oder einer von ihm beauftragten Person durchgeführt wird.
Art. 57: Aufgaben
(1) Unbeschadet anderer in dieser Verordnung festgelegter Aufgaben hat jede Aufsichtsbehörde in ihrem Hoheitsgebiet:
a) die Anwendung dieser Verordnung zu überwachen und sicherzustellen;
b) fördert Maßnahmen zur Sensibilisierung und zum Verständnis der Öffentlichkeit für Risiken, Regeln, Garantien und Rechte im Zusammenhang mit der Verarbeitung. Besonderes Augenmerk wird auf Aktivitäten gelegt, die sich speziell an Kinder richten;
c) berät im Einklang mit dem innerstaatlichen Recht das nationale Parlament, die Regierung und andere Institutionen und Gremien in Bezug auf gesetzgeberische und administrative Maßnahmen im Zusammenhang mit dem Schutz der Rechte und Freiheiten natürlicher Personen im Hinblick auf die Verarbeitung;
d) fördert Maßnahmen zur Sensibilisierung der Betreiber und der von ihnen bevollmächtigten Personen für ihre Pflichten aus dieser Verordnung;
e) erteilt jeder betroffenen Person auf Anfrage Auskunft im Zusammenhang mit der Ausübung ihrer Rechte nach dieser Verordnung und arbeitet zu diesem Zweck erforderlichenfalls mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammen;
f) sich mit Beschwerden zu befassen, die von einer betroffenen Person, einer Einrichtung, einer Organisation oder einem Verein gemäß Artikel 80 eingereicht wurden, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb von a über den Fortschritt und das Ergebnis der Untersuchung zu informieren angemessener Zeit, insbesondere wenn es erforderlich ist, eine eingehendere Untersuchung durchzuführen oder sich mit einer anderen Aufsichtsbehörde abzustimmen;
g) kooperiert, auch durch Informationsaustausch, mit anderen Aufsichtsbehörden und leistet gegenseitige Hilfe, um die einheitliche Anwendung und Einhaltung dieser Verordnung sicherzustellen;
h) führt Untersuchungen zur Anwendung dieser Verordnung durch, auch auf der Grundlage von Informationen, die er von einer anderen Aufsichtsbehörde oder einer anderen Behörde erhalten hat;
i) überwacht die relevanten Entwicklungen, soweit sie Auswirkungen auf den Schutz personenbezogener Daten haben, insbesondere die Entwicklung der Informations- und Kommunikationstechnologien und der Geschäftspraktiken;
j) die in Artikel 28 Absatz (8) und Artikel 46 Absatz (2) Buchstabe d genannten Standardvertragsklauseln übernehmen;
k) eine Liste im Zusammenhang mit der Anforderung zur Bewertung der Auswirkungen auf den Datenschutz gemäß Artikel 35 Absatz (4) zu erstellen und auf dem neuesten Stand zu halten;
l) bietet Beratung zu den in Artikel 36 Absatz (2) genannten Verarbeitungsvorgängen an; m) fördert die Entwicklung von Verhaltenskodizes gemäß Artikel 40 Absatz (1), gibt dazu Stellung und genehmigt diejenigen, die ausreichende Garantien bieten, gemäß Artikel 40 Absatz (5);
n) fördert die Einrichtung von Zertifizierungsmechanismen sowie Siegeln und Prüfzeichen im Bereich Datenschutz gemäß Artikel 42 Absatz (1) und genehmigt die Zertifizierungskriterien gemäß Artikel 42 Absatz (5);
o) gegebenenfalls eine regelmäßige Überprüfung der erteilten Zertifizierungen gemäß Artikel 42 Absatz (7) durchführen;
p) erarbeitet und veröffentlicht die Akkreditierungsanforderungen einer Verhaltenskodex-Überwachungsstelle
nach Artikel 41 und einer Zertifizierungsstelle nach Artikel 43;
(am 23. Mai 2018 Art. 57, Absatz (1), Buchstabe P. des Kapitels VI, Abschnitt 2, berichtigt durch Punkt 16. der Berichtigung vom 23.
Mai-2018 )
q) koordiniert das Akkreditierungsverfahren einer Verhaltenskodex-Überwachungsstelle gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43; r) genehmigt die in Artikel 46 Absatz (3) genannten Vertragsklauseln und Bestimmungen;
s) genehmigt die verbindlichen Unternehmensregeln gemäß Artikel 47;
t) trägt zu den Aktivitäten des Ausschusses bei;
u) über die Verstöße gegen diese Verordnung und die getroffenen Maßnahmen, insbesondere die gemäß Artikel 58 Absatz (2) ausgesprochenen Warnungen und verhängten Sanktionen, aktuelle interne Aufzeichnungen zu führen; und v) alle anderen Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten wahrnimmt.
(2) Jede Aufsichtsbehörde erleichtert die Einreichung der in Absatz (1) Buchstabe (f) genannten Beschwerden durch Maßnahmen wie die Bereitstellung eines Beschwerdeformulars, das auch in elektronischer Form ausgefüllt werden kann, ohne andere Kommunikationsmittel auszuschließen. (3) Die Wahrnehmung der Aufgaben der jeweiligen Aufsichtsbehörde ist für den Betroffenen und ggf. den Datenschutzbeauftragten kostenfrei.
(4) Sind die Anträge offensichtlich unbegründet oder unverhältnismäßig, insbesondere weil sie sich wiederholen, kann die Aufsichtsbehörde ein angemessenes, sich an den Verwaltungskosten orientierendes Entgelt erheben oder die Bearbeitung verweigern. Die Beweislast dafür, dass die Anfrage offensichtlich unbegründet oder übertrieben ist, liegt bei der Aufsichtsbehörde.
Art. 58: Befugnisse
(1) Jeder Aufsichtsbehörde stehen folgende Untersuchungsbefugnisse zu:
a) den Betreiber und die von ihm bevollmächtigte Person und gegebenenfalls den Vertreter des Betreibers oder die von ihm bevollmächtigte Person anzuweisen, alle Auskünfte zu erteilen, die die Aufsichtsbehörde zur Erfüllung ihrer Aufgaben verlangt;
b) Untersuchungen in Form von Datenschutzaudits durchzuführen;
c) eine Überprüfung der gemäß § 42 Abs. 7 erteilten Zertifizierungen durchzuführen;
d) den Betreiber oder die von ihm beauftragte Person über den angeblichen Verstoß gegen diese Regelung zu informieren;
e) vom Betreiber und der von ihm beauftragten Person Zugang zu allen personenbezogenen Daten und zu allen Informationen zu erhalten, die für die Erfüllung seiner Aufgaben erforderlich sind;
f) sich im Einklang mit dem Unionsrecht oder dem internen Verfahrensrecht Zutritt zu sämtlichen Räumlichkeiten des Betreibers und der von ihm bevollmächtigten Person, einschließlich aller Geräte und Datenverarbeitungsmittel, zu verschaffen.
(2) Jede Aufsichtsbehörde hat alle folgenden Korrekturbefugnisse:
a) einen Betreiber oder eine von ihm beauftragte Person vor der Möglichkeit zu warnen, dass die bereitgestellten Verarbeitungsvorgänge gegen die Bestimmungen dieser Verordnung verstoßen;
b) Warnungen an einen Betreiber oder eine von ihm in diesem Fall beauftragte Person auszusprechen
bei denen die Verarbeitungsvorgänge gegen die Bestimmungen dieser Verordnung verstoßen;
(am 23. Mai 2018 Art. 58, Absatz (2), Buchstabe B. von Kapitel VI, Abschnitt 2, berichtigt durch Punkt 17. der Berichtigung von 23-
Mai-2018 )
c) den Betreiber oder die von ihm bevollmächtigte Person anzuweisen, den Anträgen der betroffenen Person auf Ausübung ihrer Rechte gemäß dieser Verordnung nachzukommen;
d) den Betreiber oder die von ihm bevollmächtigte Person anzuweisen, die Einhaltung der Bestimmungen dieser Verordnung bei den Verarbeitungsvorgängen sicherzustellen, und dabei gegebenenfalls die Methode und die Frist hierfür anzugeben;
e) den Betreiber zu verpflichten, die betroffene Person über eine Verletzung des Schutzes personenbezogener Daten zu informieren;
f) eine vorübergehende oder endgültige Einschränkung, einschließlich eines Verarbeitungsverbots, zu verhängen;
g) die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß Artikel 16, 17 und 18 anzuordnen sowie die Mitteilung dieser Maßnahmen an die Empfänger, denen die personenbezogenen Daten gemäß Artikel 17 offengelegt wurden Absatz (2) und mit Artikel 19; h) eine Zertifizierung zu entziehen oder die Zertifizierungsstelle zu verpflichten, eine gemäß Artikel 42 und 43 erteilte Zertifizierung zu entziehen oder die Zertifizierungsstelle zu verpflichten, keine Zertifizierung auszustellen, wenn die Zertifizierungsanforderungen nicht oder nicht mehr erfüllt sind;
i) je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle der in diesem Absatz genannten Maßnahmen Verwaltungsstrafen gemäß Artikel 83 zu verhängen;
j) die Aussetzung der Datenübermittlung an einen Empfänger aus einem Drittland oder an eine internationale Organisation anzuordnen.
(3) Jede Aufsichtsbehörde verfügt über alle folgenden Befugnisse und Beratungsbefugnisse: a) Beratung des Betreibers nach dem in § 36 genannten Verfahren der vorherigen Konsultation;
b) aus eigener Initiative oder auf Anfrage Stellungnahmen gegenüber dem nationalen Parlament, der Regierung des Mitgliedstaats oder, im Einklang mit dem innerstaatlichen Recht, anderen Institutionen und Einrichtungen sowie der Öffentlichkeit zu allen damit zusammenhängenden Aspekten abzugeben zum Schutz personenbezogener Daten;
c) die in Artikel 36 Absatz (5) genannte Verarbeitung zu genehmigen, wenn das Recht des Mitgliedstaats eine solche vorherige Genehmigung vorsieht;
d) eine Stellungnahme abzugeben und Entwürfe von Verhaltenskodizes gemäß Artikel 40 Absatz (5) zu genehmigen;
e) die Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren;
f) Zertifizierungen auszustellen und Zertifizierungskriterien gemäß § 42 Abs. (5) zu genehmigen; g) die in Artikel 28 Absatz (8) und Artikel 46 Absatz (2) Buchstabe d genannten Standarddatenschutzklauseln zu übernehmen;
h) die in Artikel 46 Absatz (3) Buchstabe (a) genannten Vertragsklauseln zu genehmigen;
i) die Verwaltungsvereinbarungen nach Art. 46 Abs. 3 Bst. b zu genehmigen; Und
j) verbindliche Unternehmensregeln gemäß Artikel 47 zu genehmigen.
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse unterliegt angemessenen Garantien, einschließlich wirksamer Rechtsbehelfe und fairer Verfahren, die im Unionsrecht und im innerstaatlichen Recht gemäß der Charta vorgesehen sind.
(5) Jeder Mitgliedstaat sieht durch Gesetzgebung vor, dass seine Aufsichtsbehörde befugt ist, Fälle von Verstößen gegen diese Verordnung den Justizbehörden vorzulegen und
gegebenenfalls ein Gerichtsverfahren einzuleiten oder sich sonst daran zu beteiligen, um die Anwendung der Bestimmungen dieser Verordnung sicherzustellen.
(6) Jeder Mitgliedstaat kann in seinem Gesetz oder Gesetz vorsehen, dass seine Aufsichtsbehörde über die in den Absätzen (1), (2) und (3) genannten hinausgehende Befugnisse hat. Die Ausübung dieser Befugnisse hat keinen Einfluss auf die effiziente Durchführung von Kapitel VII.
Art. 59: Tätigkeitsberichte
Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der gemäß Artikel 58 Absatz 2 ergriffenen Maßnahmen enthalten kann. Die Berichte werden dem nationalen Parlament, der Regierung und anderen nach innerstaatlichem Recht benannten Behörden vorgelegt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht.
KAPITEL VII: Zusammenarbeit und Kohärenz
Abschnitt 1: Zusammenarbeit
Art. 60: Zusammenarbeit zwischen der Hauptaufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
(1) Die Hauptaufsichtsbehörde arbeitet nach Maßgabe dieses Artikels mit den anderen betroffenen Aufsichtsbehörden zusammen, um einen Konsens zu erzielen. Die Hauptaufsichtsbehörde und die betroffenen Aufsichtsbehörden übermitteln einander alle relevanten Informationen. (2) Die Hauptaufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um gegenseitige Amtshilfe gemäß § 61 ersuchen und gemeinsame Maßnahmen gemäß § 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung von a Maßnahmen im Zusammenhang mit einem Betreiber oder einer von ihm beauftragten Person mit Sitz in einem anderen Mitgliedstaat.
(3) Die Hauptaufsichtsbehörde übermittelt die relevanten Informationen zu diesem Sachverhalt unverzüglich den anderen betroffenen Aufsichtsbehörden. Die Hauptaufsichtsbehörde leitet unverzüglich einen Entscheidungsentwurf an die anderen betroffenen Aufsichtsbehörden weiter, um deren Stellungnahme einzuholen, und berücksichtigt deren Stellungnahmen gebührend.
(4) Wenn eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen nach Anhörung gemäß Absatz (3) dieses Artikels einen sachdienlichen und begründeten Einspruch gegen den Entscheidungsentwurf einlegt, ist die Aufsichtsbehörde die Hauptbehörde, sofern dies der Fall ist Kommt er dem relevanten und begründeten Einspruch nicht nach oder ist er der Ansicht, dass der Einspruch nicht relevant oder begründet ist, so benachrichtigt er den in Artikel 63 genannten Mechanismus zur Gewährleistung der Kohärenz.
(5) Will die Hauptaufsichtsbehörde dem entsprechenden und begründeten Einspruch nachkommen, übermittelt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Entscheidungsentwurf zur Einholung ihrer Stellungnahme. Dieser überarbeitete Entscheidungsentwurf unterliegt während einer Frist von zwei Wochen dem in Absatz (4) genannten Verfahren.
(6) Für den Fall, dass keine der anderen betroffenen Aufsichtsbehörden innerhalb der in den Absätzen (4) und (5) genannten Frist Einwände gegen den von der Hauptaufsichtsbehörde vorgelegten Entscheidungsentwurf erhoben hat, gilt dies als Hauptaufsichtsbehörde und die betroffenen Aufsichtsbehörden stimmen dem jeweiligen Entscheidungsentwurf zu, der für sie verbindlich wird.
(7) Die Hauptaufsichtsbehörde erlässt den Beschluss und erstattet eine Mitteilung an die Hauptniederlassung oder die Einzelniederlassung des Betreibers bzw. der von ihm beauftragten Person und informiert die anderen betroffenen Aufsichtsbehörden und den Ausschuss darüber die betreffende Entscheidung, einschließlich einer Zusammenfassung der Elemente und der relevanten Gründe. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über die Entscheidung.
(8) Abweichend von Absatz (7) trifft bei Ablehnung oder Ablehnung einer Beschwerde die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, die Entscheidung, teilt dies dem Beschwerdeführer mit und informiert den Betreiber hierüber.
(9) Vereinbaren die Hauptaufsichtsbehörde und die betroffenen Aufsichtsbehörden, bestimmte Teile einer Beschwerde abzulehnen oder abzulehnen und mit anderen Teilen der jeweiligen Beschwerde fortzufahren, wird für jeden dieser Teile ein gesonderter Beschluss gefasst. Die Hauptaufsichtsbehörde trifft die Entscheidung für den Betroffenen über Maßnahmen im Zusammenhang mit dem Betreiber, eine Mitteilung an die Zentrale
Haupt- oder Alleinsitz des Betreibers oder der von ihm beauftragten Person im Hoheitsgebiet des betreffenden Mitgliedstaats und informiert den Beschwerdeführer hierüber, während die Aufsichtsbehörde des Beschwerdeführers die Entscheidung für den Betroffenen über die Ablehnung oder Ablehnung trifft die jeweilige Beschwerde, erstattet dem Beschwerdeführer eine Mitteilung und informiert den Betreiber oder die von ihm beauftragte Person hierüber.
(10) Nach Bekanntgabe der Entscheidung der Hauptaufsichtsbehörde gemäß den Absätzen (7) und (9) ergreift der Betreiber oder die von ihm bevollmächtigte Person die erforderlichen Maßnahmen, um sicherzustellen, dass die Verarbeitungstätigkeiten mit der Entscheidung im Einklang stehen in allen seinen Räumlichkeiten in der Union. Der Betreiber oder die von ihm beauftragte Person teilt die Maßnahmen mit, die ergriffen wurden, um der Entscheidung der Hauptaufsichtsbehörde nachzukommen, die die anderen betroffenen Aufsichtsbehörden informiert.
(11) Hat eine betroffene Aufsichtsbehörde in Ausnahmefällen Grund zu der Annahme, dass ein dringender Handlungsbedarf zum Schutz der Interessen der betroffenen Personen besteht, ist das Dringlichkeitsverfahren gemäß Artikel 66 anzuwenden.
(12) Die Hauptaufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden erteilen einander die nach diesem Artikel angeforderten Informationen elektronisch und unter Verwendung eines Standardformulars.
Art. 61: Gegenseitige Hilfeleistung
(1) Die Aufsichtsbehörden stellen sich gegenseitig relevante Informationen und Hilfestellungen zur Verfügung, um diese Verordnung kohärent umzusetzen und wirksame Kooperationsmaßnahmen zwischen ihnen festzulegen. Unter gegenseitiger Amtshilfe versteht man insbesondere Auskunftsersuchen und Überwachungsmaßnahmen, etwa Genehmigungsanfragen sowie vorherige Konsultationen, Inspektionen und Ermittlungen.
(2) Jede Aufsichtsbehörde ergreift alle erforderlichen Maßnahmen, um auf eine Anfrage einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang der Anfrage zu reagieren. Zu diesen Maßnahmen kann insbesondere die Übermittlung relevanter Informationen zur Durchführung einer Untersuchung gehören.
(3) Hilfeersuchen umfassen alle erforderlichen Angaben, einschließlich des Zwecks des Ersuchens und der ihm zugrunde liegenden Gründe. Die Informationen, die Gegenstand des Austauschs sind, werden nur für den Zweck verwendet, für den sie angefordert wurden.
(4) Die ersuchte Aufsichtsbehörde kann die Befolgung des Ersuchens nicht verweigern, es sei denn:
a) nicht über die Zuständigkeit für den Gegenstand des Antrags oder die Maßnahmen verfügt, zu deren Durchführung er aufgefordert wird; oder
b) die Befolgung der Aufforderung gegen diese Verordnung oder das Unionsrecht oder das interne Recht verstoßen würde, dem die Aufsichtsbehörde, die die Aufforderung erhalten hat, unterliegt.
(5) Die Aufsichtsbehörde, an die das Ersuchen gerichtet ist, unterrichtet die Aufsichtsbehörde, die das Ersuchen gestellt hat, über die Ergebnisse bzw. den Fortschritt bzw. die zur Beantwortung des Ersuchens getroffenen Maßnahmen. Die ersuchte Aufsichtsbehörde hat jede Weigerung, dem Ersuchen gemäß Absatz (4) nachzukommen, zu begründen.
(6) Die ersuchten Aufsichtsbehörden erteilen die von anderen Aufsichtsbehörden angeforderten Auskünfte in der Regel auf elektronischem Wege unter Verwendung eines Standardformulars.
(7) Die ersuchten Aufsichtsbehörden erheben für die Maßnahmen, die sie aufgrund eines Rechtshilfeersuchens ergreifen, keine Gebühr. Für bestimmte Aufwendungen, die sich aus der Gewährung von Rechtshilfe in Ausnahmesituationen ergeben, können die Aufsichtsbehörden Regelungen zur gegenseitigen Vergütung vereinbaren.
(8) Wenn eine Aufsichtsbehörde die in Absatz (5) dieses Artikels genannten Informationen nicht innerhalb eines Monats nach Eingang der Anfrage einer anderen Aufsichtsbehörde bereitstellt, kann diese eine einstweilige Maßnahme im Hoheitsgebiet ihres eigenen Mitgliedstaats erlassen. gemäß Artikel 55 Absatz (1). In diesem Fall gilt der dringende Handlungsbedarf gemäß Artikel 66 Absatz 1 als gegeben und erfordert eine dringende verbindliche Entscheidung des Ausschusses gemäß Artikel 66 Absatz 2.
(9) Die Kommission kann durch Durchführungsgesetz die Form und Verfahren der in diesem Artikel genannten gegenseitigen Amtshilfe sowie insbesondere die Modalitäten des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden und zwischen den Aufsichtsbehörden und dem Ausschuss festlegen
das in Absatz (6) dieses Artikels genannte Standardformular. Die jeweiligen Durchführungsrechtsakte werden nach dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
Art. 62: Gemeinsame Tätigkeit der Aufsichtsbehörden
(1) Gegebenenfalls führen die Aufsichtsbehörden gemeinsame Einsätze, einschließlich gemeinsamer Ermittlungen und gemeinsamer Strafverfolgungsmaßnahmen, durch, an denen Angehörige oder Bedienstete von Aufsichtsbehörden anderer Mitgliedstaaten beteiligt sind.
(2) Hat der Betreiber oder der von ihm Beauftragte Niederlassungen in mehreren Mitgliedsstaaten oder ist eine erhebliche Anzahl betroffener Personen aus mehreren Mitgliedsstaaten von Verarbeitungsvorgängen voraussichtlich erheblich betroffen, so ist eine Aufsichtsbehörde des jeweiligen Mitgliedsstaates zuständig Staaten haben das Recht, sich an gemeinsamen Operationen zu beteiligen. Die gemäß Artikel 56 Absatz 1 oder 4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörden jedes dieser Mitgliedstaaten zur Teilnahme an diesen gemeinsamen Maßnahmen ein und reagiert unverzüglich auf den Antrag einer Aufsichtsbehörde auf Teilnahme . .
(3) Eine Aufsichtsbehörde kann im Einklang mit dem innerstaatlichen Recht und mit Zustimmung der Aufsichtsbehörde des Herkunftsmitgliedstaats den beteiligten Mitgliedern oder Mitarbeitern der Aufsichtsbehörde des Herkunftsmitgliedstaats Befugnisse, einschließlich Untersuchungsbefugnisse, erteilen gemeinsame Einsätze oder kann, soweit das Recht des Mitgliedstaats der Aufsichtsbehörde des Aufnahmemitgliedstaats dies zulässt, Mitglieder oder Mitarbeiter der Aufsichtsbehörde des Herkunftsmitgliedstaats ermächtigen, ihre Ermittlungsbefugnisse im Einklang mit dem auszuüben das Recht dieses Mitgliedstaats der folgenden Behörden. Solche Untersuchungsbefugnisse können nur unter Koordination und in Anwesenheit von Mitgliedern oder Mitarbeitern der Aufsichtsbehörde im Aufnahmemitgliedstaat ausgeübt werden. Die Mitglieder oder Mitarbeiter der Aufsichtsbehörde im Herkunftsmitgliedstaat unterliegen dem innerstaatlichen Recht, dem die Aufsichtsbehörde im Aufnahmemitgliedstaat unterliegt.
(4) Wenn gemäß Absatz 1 das Personal einer Aufsichtsbehörde aus dem Herkunftsmitgliedstaat seine Tätigkeit in einem anderen Mitgliedstaat ausübt, übernimmt der Aufnahmemitgliedstaat die Verantwortung für die Handlungen dieses Personals, einschließlich der Haftung für etwaige Schäden, die von den jeweiligen Mitarbeitern im Rahmen ihrer Tätigkeit verursacht werden, nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet sie ihre Tätigkeit ausüben.
(5) Der Mitgliedstaat, auf dessen Hoheitsgebiet der Schaden eingetreten ist, hat diesen Schaden unter den Bedingungen zu beheben, die für durch sein eigenes Personal verursachte Schäden gelten. Der Herkunftsmitgliedstaat der Aufsichtsbehörde, deren Personal einer Person im Hoheitsgebiet eines anderen Mitgliedstaats einen Schaden zugefügt hat, erstattet diesem anderen Mitgliedstaat alle Beträge, die er in ihrem Namen an die berechtigten Personen gezahlt hat.
(6) Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes (5) sieht jeder Mitgliedstaat in dem in Absatz (1) vorgesehenen Fall davon ab, Ansprüche gegenüber einem anderen Mitgliedstaat geltend zu machen die Erstattung des in Absatz (4) genannten Schadensersatzes.
(7) Ist eine gemeinsame Aktion geplant und kommt eine Aufsichtsbehörde ihrer Verpflichtung nach Absatz 2 Satz 55 dieses Artikels nicht innerhalb eines Monats nach, können die anderen Aufsichtsbehörden eine einstweilige Maßnahme treffen auf dem Hoheitsgebiet des Mitgliedstaats dieser Behörde gemäß Artikel 66. In diesem Fall gilt die dringende Handlungserfordernis gemäß Artikel 1 Absatz 66 als gegeben und erfordert eine dringende Mitteilung oder eine dringende verbindliche Entscheidung von Seiten des Ausschusses gemäß Artikel 2 Absatz (XNUMX).
Abschnitt 2: Gewährleistung der Konsistenz
Art. 63: Der Mechanismus zur Gewährleistung der Kohärenz
Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden untereinander und gegebenenfalls mit der Kommission über den in diesem Abschnitt vorgesehenen Mechanismus zur Gewährleistung der Kohärenz zusammen.
Art. 64: Die Stellungnahme des Ausschusses
(1) Der Ausschuss gibt jeweils dann eine Stellungnahme ab, wenn eine zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu ergreifen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entscheidungsentwurf, wenn:
a) zielt darauf ab, eine Liste von Verarbeitungsvorgängen zu verabschieden, die gemäß Artikel 35 Absatz (4) der Verpflichtung zur Durchführung einer Folgenabschätzung zum Datenschutz unterliegen;
b) gemäß § 40 Abs. 7 sich auf die Einhaltung dieser Verordnung eines Verhaltenskodexentwurfs oder einer Änderung oder Erweiterung eines Verhaltenskodex bezieht;
c) zielt darauf ab, die Anforderungen an die Akkreditierung einer Stelle gemäß Artikel 41 zu genehmigen
Absatz (3) einer Zertifizierungsstelle gemäß Artikel 43 Absatz (3) oder den Kriterien
der Zertifizierung nach Artikel 42 Absatz (5);
(ab 23. Mai 2018, Art. 64, Absatz (1), Buchstabe C. des Kapitels
VII, Abschnitt 2 berichtigt durch Punkt 18. der Berichtigung ab
23. Mai 2018 )
d) zielt darauf ab, die in Artikel 46 Absatz (2) Buchstabe (d) oder in Artikel 28 Absatz (8) genannten Standarddatenschutzklauseln festzulegen;
e) zielt darauf ab, die in Artikel 46 Absatz (3) Buchstabe (a) genannten Vertragsklauseln zu genehmigen; oder f) sich auf die Genehmigung verbindlicher Unternehmensvorschriften im Sinne von Artikel 47 bezieht.
(2) Jede Aufsichtsbehörde, der Vorsitzende des Ausschusses oder die Kommission können beantragen, dass eine Angelegenheit von allgemeiner Bedeutung oder mit Auswirkungen in mehr als einem Mitgliedstaat von dem Ausschuss geprüft wird, um eine Stellungnahme einzuholen, insbesondere wenn eine zuständige Behörde zuständig ist Die Aufsichtsbehörde kommt den Pflichten zur gegenseitigen Amtshilfe nach Artikel 61 oder zu gemeinsamen Einsätzen nach Artikel 62 nicht nach.
(3) In den Fällen der Absätze 1 und 2 gibt der Ausschuss eine Stellungnahme zu der ihm vorgelegten Frage ab, sofern nicht bereits eine Stellungnahme zu derselben Frage abgegeben wurde. Die jeweilige Stellungnahme wird innerhalb von acht Wochen mit einfacher Mehrheit der Ausschussmitglieder angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um sechs Wochen verlängert werden. Bezüglich des in Absatz (1) genannten Beschlussentwurfs, der den Mitgliedern des Ausschusses gemäß Absatz (5) übermittelt wird, wird davon ausgegangen, dass ein Mitglied, das innerhalb einer vom Präsidenten angegebenen angemessenen Frist keine Einwände erhoben hat, mit dem Beschlussentwurf einverstanden ist.
(4) Die Aufsichtsbehörden und die Kommission übermitteln dem Ausschuss auf elektronischem Weg und ohne unangemessene Verzögerung auf einem Standardformular alle relevanten Informationen, gegebenenfalls einschließlich einer Zusammenfassung des Sachverhalts, des Entscheidungsentwurfs und der Entscheidungsgründe es notwendig ist, solche Maßnahmen zu ergreifen, sowie die Stellungnahmen anderer betroffener Aufsichtsbehörden.
(5) Der Vorsitzende des Ausschusses teilt unverzüglich elektronisch mit:
a) Ausschussmitglieder und die Kommission über alle relevanten Informationen, die ihnen mitgeteilt wurden, unter Verwendung eines Standardformulars. Das Sekretariat des Ausschusses stellt bei Bedarf Übersetzungen relevanter Informationen zur Verfügung; Und
b) die gegebenenfalls in den Absätzen (1) und (2) genannte Aufsichtsbehörde und die Kommission über die Stellungnahme und veröffentlicht diese.
(6) Die in Absatz 1 genannte zuständige Aufsichtsbehörde verabschiedet ihren Entwurf nicht
Entscheidung gemäß Absatz (1) innerhalb der in Absatz (3) genannten Frist.
(am 23. Mai 2018 Art. 64, Absatz (6) von Kapitel VII, Abschnitt 2 geändert durch
(7) Die in Absatz 1 genannte zuständige Aufsichtsbehörde berücksichtigt die Stellungnahme in vollem Umfang
Punkt 19. der Berichtigung vom 23. Mai
2018)
den Ausschuss und teilt dem Vorsitzenden des Ausschusses innerhalb von zwei Wochen nach Erhalt der Stellungnahme auf elektronischem Wege mit, ob er seinen Beschlussentwurf beibehalten oder ändern wird und gegebenenfalls
den geänderten Entscheidungsentwurf unter Verwendung eines Standardformulars einreichen.
(am 23. Mai 2018 Art. 64, Absatz (7) von Kapitel VII, Abschnitt 2 geändert durch
(8) Wenn die in Absatz (1) genannte zuständige Aufsichtsbehörde dem Vorsitzenden des Ausschusses innerhalb der in Absatz (7) dieses Artikels genannten Frist mitteilt, dass sie beabsichtigt, der Stellungnahme des Ausschusses ganz oder teilweise nicht zu folgen Teilweise findet der Artikel unter Angabe der entsprechenden Gründe Anwendung
Punkt 19. der Berichtigung vom 23. Mai
2018)
65 Absatz (1).
(ab 23. Mai 2018, Art. 64, Absatz (8) des Kapitels VII, Abschnitt 2, geändert durch Punkt 19 der Änderung vom 23. Mai 2018)
Art. 65: Beilegung von Streitigkeiten durch den Ausschuss
(1) Um die korrekte und kohärente Anwendung dieser Verordnung im Einzelfall sicherzustellen, trifft der Ausschuss in folgenden Fällen eine verbindliche Entscheidung:
a) wenn in einem der in Artikel 60 Absatz 4 genannten Fälle eine betroffene Aufsichtsbehörde einen sachdienlichen und begründeten Einspruch gegen einen Entscheidungsentwurf der Behörde erhoben hat
Hauptaufsicht und die Hauptaufsichtsbehörde hat auf den Einspruch nicht reagiert oder einen solchen als nicht sachdienlich oder begründet zurückgewiesen. Die verbindliche Entscheidung bezieht sich auf alle Fragen, die Gegenstand des einschlägigen und begründeten Einspruchs sind, insbesondere auf die Frage, ob es sich um diese Regelung handelt
verletzt;
(das Datum
23. Mai 2018 Art. 65 Abs. 1 Bst. (2), Buchstabe A. des Kapitels VII, Abschnitt 20, berichtigt durch Punkt 23. der Berichtigung vom 2018. Mai XNUMX)
b) bei unterschiedlicher Meinung darüber, welche der betroffenen Aufsichtsbehörden die Zuständigkeit für die Hauptniederlassung innehat;
c) wenn eine zuständige Aufsichtsbehörde in den in § 64 Abs. 1 genannten Fällen die Stellungnahme des Ausschusses nicht einholt oder die gemäß § 64 abgegebene Stellungnahme des Ausschusses nicht berücksichtigt. In diesem Fall ist jede Aufsichtsbehörde zuständig Die zuständige Behörde oder die Kommission können die Angelegenheit dem Ausschuss mitteilen.
(2) Der in Absatz (1) genannte Beschluss wird innerhalb eines Monats nach Vorlage der Angelegenheit mit einer Zweidrittelmehrheit der Ausschussmitglieder gefasst. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um einen Monat verlängert werden. Die in Absatz (1) genannte Entscheidung ist begründet und an die Hauptaufsichtsbehörde und alle betroffenen Aufsichtsbehörden gerichtet und für diese bindend.
(3) Konnte der Ausschuss innerhalb der in Absatz (2) genannten Frist keinen Beschluss fassen, so fasst er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz (2) genannten zweiten Monats mit einfacher Mehrheit seiner Mitglieder. Sind die Mitglieder des Ausschusses zu gleichen Teilen unterschiedlicher Meinung, so wird die Entscheidung durch die Stimme des Präsidenten getroffen. (4) Die zuständigen Aufsichtsbehörden fassen die dem Ausschuss gemäß Absatz (1) vorgelegte Angelegenheit nicht innerhalb der in den Absätzen (2) und (3) genannten Fristen.
(5) Der Vorsitzende des Ausschusses teilt die in Absatz (1) genannte Entscheidung unverzüglich den zuständigen Aufsichtsbehörden mit. Der Ausschuss informiert die Kommission hierüber. Die Entscheidung wird unverzüglich nach Bekanntgabe der endgültigen Entscheidung gemäß Absatz (6) durch die Aufsichtsbehörde auf der Website des Ausschusses veröffentlicht.
(6) Die Hauptaufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft ihre endgültige Entscheidung auf der Grundlage der in Absatz (1) dieses Artikels genannten Entscheidung unverzüglich und spätestens innerhalb von a Monat nach der Mitteilung des Ausschusses über seine Entscheidung. Die Hauptaufsichtsbehörde oder ggf. die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, teilt dem Gremium den Tag mit, an dem ihre endgültige Entscheidung dem Betreiber bzw. der von ihm beauftragten Person bzw. dem Betroffenen mitgeteilt wird. Die endgültige Entscheidung der betroffenen Aufsichtsbehörden wird gemäß den in Artikel 60 Absätze (7), (8) und (9) festgelegten Bedingungen getroffen. Die endgültige Entscheidung bezieht sich auf die in Absatz (1) dieses Artikels genannte Entscheidung und besagt, dass die in diesem Absatz genannte Entscheidung gemäß Absatz (5) auf der Website des Ausschusses veröffentlicht wird. Die in Absatz (1) dieses Artikels genannte Entscheidung ist der endgültigen Entscheidung beigefügt.
Art. 66: Notfallverfahren
(1) In Ausnahmefällen kann eine betroffene Aufsichtsbehörde, wenn sie der Auffassung ist, dass zum Schutz der Rechte und Freiheiten der betroffenen Personen dringender Handlungsbedarf besteht, abweichend von dem Mechanismus zur Gewährleistung der Kohärenz nach 63, 64 und 65 oder aus dem in Artikel 60 genannten Verfahren unverzüglich einstweilige Maßnahmen zu ergreifen, die in seinem eigenen Hoheitsgebiet rechtliche Wirkung entfalten sollen und deren Gültigkeitsdauer drei Monate nicht überschreiten darf. Die Aufsichtsbehörde teilt diese Maßnahmen und die Gründe für ihre Annahme unverzüglich den anderen betroffenen Aufsichtsbehörden, dem Ausschuss und der Kommission mit.
(2) Hat eine Aufsichtsbehörde eine Maßnahme gemäß Absatz 1 erlassen und hält es für dringend erforderlich, endgültige Maßnahmen zu ergreifen, kann sie unter Angabe der Gründe eine dringende Stellungnahme oder eine dringende verbindliche Entscheidung des Ausschusses verlangen .
(3) Jede Aufsichtsbehörde kann von der Kommission eine dringliche Stellungnahme bzw. eine dringliche verbindliche Entscheidung verlangen, wenn eine zuständige Aufsichtsbehörde in einer Situation, in der ein dringender Schutzbedarf besteht, keine angemessene Maßnahme getroffen hat die Rechte und Freiheiten der betroffenen Personen unter Angabe der Gründe für die Anforderung einer solchen Stellungnahme oder einer solchen Entscheidung, einschließlich der dringenden Notwendigkeit, tätig zu werden.
(4) Abweichend von Artikel 64 Absatz (3) und Artikel 65 Absatz (2) wird eine dringende Mitteilung oder eine dringende verbindliche Entscheidung gemäß den Absätzen (2) und (3) dieses Artikels angenommen zwei Wochen mit einfacher Mehrheit der Ausschussmitglieder.
Art. 67: Informationsaustausch
Die Kommission kann Durchführungsrechtsakte mit allgemeinem Geltungsbereich erlassen, um die Modalitäten für den elektronischen Informationsaustausch zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere das in Artikel 64 genannte Standardformular, festzulegen nach dem in Artikel 93 Absatz 2 genannten Prüfungsverfahren angenommen.
Abschnitt 3: Europäischer Datenschutzausschuss
Art. 68: Europäisches Komitee für Datenschutz
(1) Der Europäische Ausschuss für Datenschutz (der „Ausschuss“) ist als Organ der Union eingerichtet und besitzt Rechtspersönlichkeit.
(2) Der Ausschuss wird durch seinen Präsidenten vertreten.
(3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedsstaates und der Europäischen Datenschutzbehörde oder deren jeweiligen Vertretern.
(4) Sind in einem Mitgliedstaat mehrere Aufsichtsbehörden für die Überwachung der Anwendung der nach dieser Verordnung erlassenen Vorschriften zuständig, so wird nach Maßgabe des Landesrechts des jeweiligen Mitgliedstaates ein gemeinsamer Vertreter bestellt.
(5) Die Kommission hat das Recht, an den Arbeiten und Sitzungen des Ausschusses ohne Stimmrecht teilzunehmen. Die Kommission ernennt einen Vertreter. Der Vorsitzende des Ausschusses teilt der Kommission die Aktivitäten des Ausschusses mit. (6) In den in Artikel 65 genannten Fällen hat die Europäische Datenschutzbehörde das Recht, nur über die Entscheidungen abzustimmen, die die Grundsätze und geltenden Regeln für die Organe, Einrichtungen, Ämter und Agenturen der Union betreffen, die im Wesentlichen denen entsprechen denen der vorliegenden Verordnung.
Art. 69: Unabhängigkeit
(1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben bzw. der Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig.
(2) Unbeschadet der in Artikel 70 Absätze 1 und 2 genannten Anträge der Kommission darf der Ausschuss bei der Wahrnehmung seiner Aufgaben oder Befugnisse keine Anträge stellen oder annehmen
Anweisungen von Dritten befolgen.
(am 23. Mai 2018, Art. 69, Absatz (2) des
Kapitel VII, Abschnitt 3 korrigiert durch Punkt 21. der Berichtigung vom 23. Mai
2018)
Art. 70: Aufgaben des Ausschusses
(1) Der Ausschuss sorgt für die einheitliche Anwendung dieser Verordnung. Zu diesem Zweck hat der Ausschuss aus eigener Initiative bzw. auf Antrag der Kommission insbesondere folgende Aufgaben:
a) die ordnungsgemäße Anwendung dieser Verordnung in den in den Artikeln 64 und 65 vorgesehenen Fällen zu überwachen und sicherzustellen, unbeschadet der Aufgaben der nationalen Aufsichtsbehörden;
b) Beratung der Kommission zu allen Aspekten im Zusammenhang mit dem Schutz personenbezogener Daten in der Union, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung;
c) Beratung der Kommission zu Format und Verfahren für den Informationsaustausch zwischen Betreibern, von Betreibern autorisierten Personen und Aufsichtsbehörden für verbindliche Unternehmensvorschriften;
d) Richtlinien, Empfehlungen und bewährte Verfahren in Bezug auf die Verfahren zum Löschen von Links zu personenbezogenen Daten, deren Kopien oder Reproduktionen, die für öffentlich zugängliche Kommunikationsdienste verfügbar sind, gemäß Artikel 17 Absatz (2) herauszugeben;
e) auf eigene Initiative, auf Antrag eines seiner Mitglieder oder auf Antrag der Kommission alle Fragen im Zusammenhang mit der Anwendung dieser Verordnung zu prüfen und Leitlinien, Empfehlungen und bewährte Verfahren herauszugeben, um die konsequente Anwendung dieser Verordnung zu fördern diese Verordnung;
f) Richtlinien, Empfehlungen und bewährte Verfahren gemäß diesem Absatz Buchstabe (e) herauszugeben, um die Kriterien und Bedingungen für Entscheidungen auf der Grundlage der Erstellung von Profilen gemäß Artikel 22 Absatz (2) im Detail zu präzisieren;
g) Richtlinien, Empfehlungen und bewährte Verfahren gemäß Buchstabe (e) dieses Absatzes zur Feststellung von Verstößen gegen die Sicherheit personenbezogener Daten und zur Feststellung ungerechtfertigter Verzögerungen gemäß Artikel 33 Absätze (1) und (2) herauszugeben in besonderen Fällen, in denen ein Betreiber oder eine von ihm beauftragte Person verpflichtet ist, die Verletzung der Sicherheit personenbezogener Daten zu melden;
h) Richtlinien, Empfehlungen und bewährte Verfahren gemäß Buchstabe (e) dieses Absatzes in Bezug auf die Umstände herauszugeben, unter denen eine Verletzung der Sicherheit personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der genannten natürlichen Personen darstellt in Artikel 34 Absatz (1);
i) Richtlinien, Empfehlungen und bewährte Verfahren gemäß Buchstabe (e) dieses Absatzes herauszugeben, um die Kriterien und Anforderungen für die Übermittlung personenbezogener Daten auf der Grundlage der verbindlichen Unternehmensregeln, die von den Betreibern eingehalten werden müssen, und derjenigen, die dies tun müssen, im Detail zu erläutern von den von den Betreibern autorisierten Personen respektiert werden, sowie im Hinblick auf die zusätzlichen Anforderungen, die erforderlich sind, um den Schutz der personenbezogenen Daten der in Artikel 47 genannten betroffenen Personen zu gewährleisten;
j) Richtlinien, Empfehlungen und bewährte Verfahren gemäß Buchstabe (e) dieses Absatzes herauszugeben, um die Kriterien und Anforderungen für die in Artikel 49 Absatz (1) genannte Übermittlung personenbezogener Daten im Detail zu erläutern;
k) Richtlinien für die Aufsichtsbehörden zur Anwendung der in § 58 Abs. 1, 2 und 3 genannten Maßnahmen zu entwickeln und Bußgelder gemäß § 83 festzulegen;
l 22. ab Korrektur ab
23. Mai 2018 )
m) Richtlinien, Empfehlungen und bewährte Verfahren gemäß Buchstabe (e) dieses Absatzes herauszugeben, um gemeinsame Verfahren zur Meldung von Verstößen gegen diese Verordnung durch natürliche Personen gemäß Artikel 54 Absatz (2) festzulegen;
n) die Entwicklung von Verhaltenskodizes und die Einrichtung von Zertifizierungsmechanismen sowie Siegeln und Prüfzeichen im Bereich Datenschutz gemäß Artikel 40 und 42 zu fördern;
l) die praktische Anwendung von Leitlinien, Empfehlungen und bewährten Verfahren zu überprüfen; (am 23. Mai 2018 Art. 70, Absatz (1), Buchstabe L. von Kapitel VII, Abschnitt 3 geändert durch Punkt
o) die Zertifizierungskriterien gemäß § 42 Abs. (5) zu genehmigen und ein öffentliches Register darüber zu führen
Zertifizierungsmechanismen und Datenschutzsiegel und -zeichen gemäß § 42 Abs. 8 sowie zertifizierte Betreiber oder von Betreibern autorisierte Personen
Zertifikate, die gemäß Artikel 42 Absatz (7) in Drittländern ansässig (niedergelassen) sind;
(am 23. Mai 2018 Art. 70, Absatz (1), Buchstabe O. des Kapitels VII, Abschnitt 3, berichtigt durch S
unctul 23. von Berichtigung von
23. Mai 2018 )
p) die in Artikel 43 Absatz (3) genannten Anforderungen zu genehmigen, um die Organe zu akkreditieren
Bescheinigung nach Artikel 43;
(ab 23. Mai 2018, Art. 70 Abs. (1) lit
ra P. aus Kapitel VII, Abschnitt 3 berichtigt um Punkt 24. ab Berichtigung ab
23. Mai 2018 )
q) der Kommission eine Stellungnahme zu den Zertifizierungsanforderungen gemäß Artikel 43 Absatz (8) vorzulegen; r) der Kommission eine Stellungnahme zu den in Artikel 12 Absatz (7) genannten Piktogrammen vorzulegen;
s) der Kommission eine Stellungnahme zur Beurteilung der Angemessenheit des Schutzniveaus in einem Drittland oder einer internationalen Organisation vorzulegen, einschließlich der Feststellung, ob es sich um ein Drittland, ein Gebiet oder einen oder mehrere bestimmte Sektoren dieses Drittlandes handelt, oder Eine internationale Organisation gewährleistet kein angemessenes Schutzniveau mehr. Zu diesem Zweck stellt die Kommission dem Ausschuss alle zur Verfügung
die erforderlichen Unterlagen, einschließlich der mit den Behörden des Drittlandes geführten Korrespondenz bezüglich dieses Drittlandes, dieses Gebiets oder dieses Sektors oder mit der internationalen Organisation;
t) Stellungnahmen zu den Entscheidungsentwürfen der Aufsichtsbehörden im Einklang mit dem in Artikel 64 Absatz (1) genannten Mechanismus zur Gewährleistung der Kohärenz zu den gemäß Artikel 64 Absatz (2) vorgelegten Angelegenheiten abzugeben und verbindliche Entscheidungen gemäß Artikel zu erlassen 65, auch in den in Artikel 66 genannten Fällen;
u) die Zusammenarbeit und den effizienten bilateralen und multilateralen Austausch von Informationen und bewährten Verfahren zwischen Aufsichtsbehörden zu fördern;
v) Förderung gemeinsamer Schulungsprogramme und Erleichterung des Personalaustauschs zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittstaaten oder internationalen Organisationen;
w) den Austausch von Wissen und Dokumenten über Datenschutzgesetze und -praktiken mit Datenschutzaufsichtsbehörden weltweit zu fördern;
x) Stellungnahmen zu den auf Unionsebene gemäß Artikel 40 Absatz (9) entwickelten Verhaltenskodizes abzugeben; Und
y) ein für die Öffentlichkeit zugängliches elektronisches Register mit den Entscheidungen der Aufsichtsbehörden und der Gerichte zu den im Rahmen des Mechanismus zur Gewährleistung der Kohärenz behandelten Angelegenheiten zu führen.
(2) Wenn die Kommission den Ausschuss anhört, kann sie unter Berücksichtigung der Dringlichkeit der Angelegenheit eine Frist festlegen.
(3) Der Ausschuss übermittelt seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und den in Artikel 93 genannten Ausschuss und veröffentlicht sie.
(4) Bei Bedarf konsultiert der Ausschuss die interessierten Kreise und gibt ihnen Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist. Unbeschadet der Bestimmungen des Artikels 76 veröffentlicht der Ausschuss die Ergebnisse des Konsultationsverfahrens.
Art. 71: Berichte
(1) Der Ausschuss erstellt jährlich einen Bericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird der Öffentlichkeit zugänglich gemacht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt.
(2) Der Jahresbericht enthält einen Überblick über die praktische Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Entscheidungen.
Art. 72: Verfahren
(1) Der Ausschuss fasst Beschlüsse mit einfacher Mehrheit seiner Mitglieder, soweit in dieser Ordnung nichts anderes bestimmt ist.
(2) Der Ausschuss gibt sich mit Zweidrittelmehrheit seiner Mitglieder eine eigene Geschäftsordnung und organisiert seine eigene Arbeitsweise.
Art. 73: Der Präsident
(1) Der Ausschuss wählt aus seiner Mitte mit einfacher Mehrheit einen Präsidenten und zwei Vizepräsidenten. (2) Die Amtszeit des Präsidenten und der Vizepräsidenten beträgt fünf Jahre und kann nur einmal verlängert werden.
Art. 74: Pflichten des Präsidenten
(1) Der Präsident hat folgende Aufgaben:
a) die Einberufung von Ausschusssitzungen und die Festlegung der Tagesordnung;
b) die vom Ausschuss gemäß Artikel 65 getroffenen Entscheidungen den Hauptaufsichtsbehörden und den betroffenen Aufsichtsbehörden mitzuteilen;
c) die rechtzeitige Erfüllung der Aufgaben des Ausschusses sicherzustellen, insbesondere im Hinblick auf den in Artikel 63 genannten Mechanismus zur Gewährleistung der Kohärenz.
(2) Der Ausschuss legt in seiner Geschäftsordnung die Aufgabenverteilung zwischen dem Präsidenten und den Vizepräsidenten fest.
Art. 75: Das Sekretariat
(1) Der Ausschuss verfügt über ein Sekretariat, das von der Europäischen Datenschutzbehörde sichergestellt wird.
(2) Das Sekretariat nimmt seine Aufgaben ausschließlich nach Weisung des Ausschussvorsitzenden wahr.
(3) Für die Mitarbeiter der Europäischen Datenschutzbehörde, die an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt sind, gelten gesonderte Berichtslinien im Verhältnis zu den Mitarbeitern, die an der Wahrnehmung der der Europäischen Datenschutzbehörde zugewiesenen Aufgaben beteiligt sind Behörde. (4) Gegebenenfalls erstellen und veröffentlichen der Ausschuss und die Europäische Datenschutzbehörde eine Absichtserklärung zur Umsetzung dieses Artikels, in der die Bedingungen der Zusammenarbeit festgelegt werden und die für die an der Erfüllung beteiligten Mitarbeiter der Europäischen Datenschutzbehörde gilt die dem Ausschuss nach dieser Verordnung übertragenen Aufgaben. (5) Das Sekretariat unterstützt den Ausschuss analytisch, administrativ und logistisch.
(6) Dem Sekretariat obliegen insbesondere:
a) die aktuelle Leitung der Ausschusstätigkeit;
b) Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Präsidenten und der Kommission;
c) Kommunikation mit anderen Institutionen und der Öffentlichkeit;
d) der Einsatz elektronischer Mittel zur internen und externen Kommunikation;
e) Übersetzung relevanter Informationen;
f) Vorbereitung und Überwachung der Maßnahmen im Anschluss an die Ausschusssitzungen;
g) Vorbereitung, Ausarbeitung und Veröffentlichung von Stellungnahmen, Beschlüssen zur Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und anderen vom Ausschuss angenommenen Texten.
Art. 76: Vertraulichkeit
(1) Beratungen im Ausschuss sind vertraulich, wenn der Ausschuss dies nach der Ordnung oder dem Verfahren für erforderlich hält.
(2) Der Zugang zu den den Ausschussmitgliedern, Sachverständigen und Vertretern Dritter vorgelegten Unterlagen regelt die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (1).
(1) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
KAPITEL VIII: Rechtsbehelfe, Haftung und Sanktionen
Art. 77: Das Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs hat jede betroffene Person das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt hat, in dem sich ihr Geschäftssitz befindet des Arbeitsplatzes oder des Ortes, an dem der mutmaßliche Verstoß stattgefunden hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs gemäß § 78.
Art. 78: Das Recht auf eine wirksame gerichtliche Beschwerde gegen eine Aufsichtsbehörde
(1) Unbeschadet anderweitiger verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat jede natürliche oder juristische Person das Recht, gegen eine sie betreffende rechtsverbindliche Entscheidung einer Aufsichtsbehörde einen wirksamen gerichtlichen Rechtsbehelf einzulegen.
(2) Unbeschadet anderweitiger verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat jede betroffene Person das Recht, einen wirksamen gerichtlichen Rechtsbehelf auszuüben, wenn die gemäß Artikel 55 und 56 zuständige Aufsichtsbehörde eine Beschwerde nicht bearbeitet oder sie nicht informiert innerhalb von drei Monaten über den Fortschritt oder die Lösung der gemäß Artikel 77 eingereichten Beschwerde.
(3) Für Klagen gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.
(4) Richten sich die Klagen gegen eine Entscheidung einer Aufsichtsbehörde, der eine Stellungnahme oder eine Entscheidung des Ausschusses im Rahmen des Kohärenzverfahrens vorausgegangen ist, übermittelt die Aufsichtsbehörde die entsprechende Stellungnahme oder Entscheidung dem Gericht.
Art. 79: Das Recht auf einen wirksamen Rechtsbehelf gegen einen Betreiber oder eine von ihm bevollmächtigte Person
(1) Unbeschadet aller verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfe, einschließlich des Rechts, eine Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 einzureichen, hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr zustehenden Rechte nicht zutreffen durch die Verarbeitung seiner personenbezogenen Daten unter Missachtung dieser Verordnung verletzt wurde.
(2) Klagen gegen einen Betreiber oder eine von ihm bevollmächtigte Person sind vor den Gerichten des Mitgliedstaats zu erheben, in dem der Betreiber oder eine von ihm bevollmächtigte Person seinen Sitz hat. Alternativ kann eine solche Klage auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, es sei denn, der Betreiber oder die von ihm bevollmächtigte Person ist eine Behörde eines Mitgliedstaats, die in Ausübung ihrer Befugnisse handelt öffentliche Befugnisse.
Art. 80: Vertretung der Betroffenen
(1) Der Betroffene hat das Recht, eine gemeinnützige Einrichtung, Organisation oder einen Verein zu beauftragen, die ordnungsgemäß nach innerstaatlichem Recht gegründet wurde, deren Satzungsziele im öffentlichen Interesse liegen und die auf dem Gebiet des Rechtsschutzes tätig sind und Freiheiten der betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten, die Beschwerde in ihrem Namen einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte auszuüben sowie das in Artikel 82, XNUMX und XNUMX genannte Recht auf Entschädigung auszuüben des Artikels XNUMX im Namen der betroffenen Person, sofern dies im innerstaatlichen Recht vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede in Absatz (1) dieses Artikels genannte Stelle, Organisation oder Vereinigung unabhängig vom Mandat einer betroffenen Person das Recht hat, in dem jeweiligen Mitgliedstaat eine Beschwerde bei der Aufsichtsbehörde einzureichen Behörde, die gemäß Artikel 77 zuständig ist, und die in den Artikeln 78 und 79 genannten Rechte auszuüben, wenn sie der Ansicht ist, dass die Rechte einer betroffenen Person gemäß dieser Verordnung durch die Verarbeitung verletzt wurden.
Art. 81: Aussetzung des Verfahrens
(1) Liegen einem zuständigen Gericht eines Mitgliedstaats Informationen darüber vor, dass bei einem Gericht eines anderen Mitgliedstaats ein Verfahren mit demselben Gegenstand wegen Verarbeitungstätigkeiten desselben Betreibers oder desselben Beauftragten anhängig ist, wendet es sich an das zuständige Gericht das Gericht im anderen Mitgliedstaat, um das Vorliegen solcher Klagen zu bestätigen.
(2) Ist bei einem Gericht eines anderen Mitgliedstaats eine Klage mit demselben Gegenstand anhängig, die sich auf Verarbeitungstätigkeiten desselben Betreibers oder derselben von ihm beauftragten Person bezieht, kann jedes andere zuständige Gericht als das ursprünglich benachrichtigte Gericht die Klage aussetzen bei ihr noch ausstehend.
(3) Wird eine solche Klage vor dem erstinstanzlichen Gericht verhandelt, so kann sich auch jedes später angerufene Gericht auf Antrag einer der Parteien für unzuständig erklären, vorausgesetzt, dass die betreffende Klage in die Zuständigkeit des zuerst angerufenen Gerichts fällt und dass das auf ihn anwendbare Recht erlaubt den Zusammenhang von Handlungen.
Art. 82: Das Recht auf Schadensersatz und Haftung
(1) Wer durch einen Verstoß gegen diese Vorschrift einen materiellen oder immateriellen Schaden erlitten hat, hat Anspruch auf Ersatz des erlittenen Schadens durch den Betreiber oder dessen Bevollmächtigten.
(2) Jeder an Verarbeitungsvorgängen beteiligte Betreiber ist für den Schaden verantwortlich, der durch seine Verarbeitungsvorgänge verursacht wird, die gegen diese Verordnung verstoßen. Die vom Betreiber beauftragte Person haftet für den durch die Verarbeitung verursachten Schaden nur, wenn sie den Pflichten dieser Verordnung, die speziell den vom Betreiber beauftragte Personen obliegen, nicht nachgekommen ist oder außerhalb oder im Widerspruch zu den gesetzlichen Weisungen des Betreibers gehandelt hat .
(3) Der Betreiber oder die von ihm beauftragte Person ist von der Haftung gemäß Absatz (2) befreit, wenn er nachweist, dass er für das schadenverursachende Ereignis in keiner Weise verantwortlich ist.
(4) Wenn mehrere Betreiber oder mehrere von dem Betreiber beauftragte Personen oder ein Betreiber und eine von dem Betreiber beauftragte Person an demselben Verarbeitungsvorgang beteiligt (beteiligt) sind und gemäß den Absätzen (2) und (3) für etwaige Verantwortlichkeiten verantwortlich sind Schäden, die durch die Verarbeitung entstehen, ist jeder Betreiber oder eine von ihm beauftragte Person für den gesamten Schaden verantwortlich (verantwortlich), um eine wirksame Entschädigung des Betroffenen sicherzustellen.
(5) Für den Fall, dass ein Betreiber oder eine von ihm beauftragte Person gemäß Absatz (4) den entstandenen Schaden in voller Höhe ersetzt hat, hat der jeweilige Betreiber oder die von ihm beauftragte Person Anspruch von den anderen Betreibern oder den anderen von dem Betreiber bevollmächtigten Personen, die an demselben Verarbeitungsvorgang beteiligt sind, die Rückforderung des Teils der Entschädigung zu verlangen, der ihrem Anteil an der Verantwortung für den Schaden entspricht, gemäß den in Absatz (2) festgelegten Bedingungen.
(6) Klagen zur Ausübung des Anspruchs auf Rückforderung der gezahlten Entschädigungen werden bei den zuständigen Gerichten nach dem Recht des in Artikel 79 Absatz (2) genannten Mitgliedstaats eingereicht.
Art. 83: Allgemeine Voraussetzungen für die Verhängung von Verwaltungsbussen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für die in den Absätzen (4), (5) und (6) genannten Verstöße gegen diese Verordnung in jedem Fall wirksam, verhältnismäßig und abschreckend ist .
(2) Je nach den Umständen des Einzelfalls werden zusätzlich oder anstelle der in § 58 Abs. 2 Buchstaben a bis h und j genannten Maßnahmen Bußgelder verhängt. Bei der Entscheidung über die Verhängung eines Bußgeldes und der Entscheidung über die Höhe des Bußgeldes im Einzelfall wird auf folgende Aspekte geachtet:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Anzahl der betroffenen Personen und der Höhe des ihnen entstandenen Schadens;
b) wenn der Verstoß vorsätzlich oder fahrlässig begangen wurde;
c) alle Maßnahmen des Betreibers oder der von ihm beauftragten Person zur Minderung des Schadens der betroffenen Person;
d) der Grad der Verantwortung des Betreibers oder der von ihm beauftragten Person unter Berücksichtigung der von ihm gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige frühere einschlägige Verstöße des Betreibers oder einer von ihm beauftragten Person;
f) der Grad der Zusammenarbeit mit der Aufsichtsbehörde zur Behebung des Verstoßes und zur Abmilderung möglicher negativer Auswirkungen des Verstoßes;
g) die Kategorien personenbezogener Daten, die von der Verletzung betroffen sind;
h) die Art und Weise, wie der Verstoß der Aufsichtsbehörde zur Kenntnis gebracht wurde, insbesondere ob und in welchem Umfang der Betreiber oder die von ihm beauftragte Person den Verstoß angezeigt hat;
i) wenn die in § 58 Abs. 2 genannten Maßnahmen zuvor gegen den Betreiber oder die von ihm in dem Fall beauftragte Person in Bezug auf denselben Gegenstand angeordnet wurden, die Einhaltung dieser Maßnahmen;
j) Einhaltung genehmigter Verhaltenskodizes gemäß Artikel 40 oder genehmigter Zertifizierungsmechanismen gemäß Artikel 42; Und
k) alle anderen erschwerenden oder mildernden Umstände, die auf die Umstände des Falles anwendbar sind, wie zum Beispiel erlangte finanzielle Vorteile oder vermiedene Verluste, die direkt oder indirekt infolge des Verstoßes entstehen.
(3) Verstößt ein Betreiber oder eine von ihm beauftragte Person vorsätzlich oder fahrlässig für denselben Verarbeitungsvorgang oder für damit verbundene Verarbeitungsvorgänge gegen mehrere Bestimmungen dieser Verordnung, so darf der Gesamtbetrag der Geldbuße den dafür vorgesehenen Betrag nicht überschreiten schwerster Verstoß.
(4) Bei Verstößen gegen die nachstehenden Bestimmungen sind gemäß Absatz (2) Geldbußen bis zu 10 Euro, bei Unternehmern bis zu 000 % des Betrages zu verhängen
Gesamtes weltweites Jahresgeschäft entsprechend dem vorangegangenen Geschäftsjahr unter Berücksichtigung des höchsten Wertes:
a) die Pflichten des Betreibers und der von ihm beauftragten Person gemäß den Artikeln 8, 11, 25-39, 42 und 43;
b) die Pflichten der Zertifizierungsstelle gemäß Artikel 42 und 43;
c) die Pflichten der Überwachungsstelle gemäß § 41 Abs. 4.
(5) Bei Verstößen gegen die nachstehenden Bestimmungen drohen gemäß Abs. (2) Bußgelder bis zu 20 Euro bzw. bei Unternehmen bis zu 000 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres werden unter Berücksichtigung des höchsten Wertes angewendet:
a) die Grundprinzipien der Verarbeitung, einschließlich der Bedingungen für die Einwilligung gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Personen gemäß den Artikeln 12–22;
c) Übermittlung personenbezogener Daten an einen Empfänger aus einem Drittland oder einer internationalen Organisation gemäß Artikel 44-49;
d) alle Verpflichtungen aus den gemäß Kapitel IX erlassenen nationalen Rechtsvorschriften;
e) Nichteinhaltung einer von der Aufsichtsbehörde gemäß Artikel 58 Absatz (2) erlassenen Anordnung oder einer vorübergehenden oder endgültigen Einschränkung der Verarbeitung oder Aussetzung des Datenflusses oder Nichtgewährung von Zugang unter Verstoß gegen Artikel 58 Absatz ( 1).
(6) Bei Verstößen gegen eine Anordnung der Aufsichtsbehörde gemäß § 58 Abs. 2 drohen gemäß Abs. 2 dieses Artikels Geldbußen bis zu 20 Euro, bzw eines Unternehmens bis zu 000 % des weltweiten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres unter Berücksichtigung des höchsten Wertes. (000) Unbeschadet der in Artikel 4 Absatz 7 genannten Korrekturbefugnisse der Aufsichtsbehörden kann jeder Mitgliedstaat regeln, ob und in welchem Umfang gegen in seinem Hoheitsgebiet ansässige Behörden und öffentliche Einrichtungen Geldbußen verhängt werden dürfen jeweiligen Mitgliedsstaat.
(8) Die Aufsichtsbehörde übt ihre Befugnisse gemäß diesem Artikel unter der Voraussetzung aus, dass angemessene Verfahrensgarantien im Einklang mit dem Unionsrecht und dem innerstaatlichen Recht bestehen, einschließlich wirksamer Rechtsbehelfe und des Rechts auf ein faires Verfahren.
(9) Wenn die Rechtsordnung des Mitgliedsstaats keine Verwaltungsstrafen vorsieht, kann dieser Artikel so angewendet werden, dass die Strafen von der zuständigen Aufsichtsbehörde eingeleitet und von den zuständigen nationalen Gerichten verhängt werden, wobei gleichzeitig die Einhaltung der Vorschriften gewährleistet wird dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung haben wie die von den Aufsichtsbehörden verhängten Bußgelder. In jedem Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die jeweiligen Mitgliedstaaten unterrichten die Kommission bis zum 25. Mai 2018 über die innerstaatlichen Rechtsvorschriften, die sie gemäß diesem Absatz erlassen, sowie unverzüglich über etwaige Änderungsgesetze oder spätere Änderungen derselben.
Art. 84: Sanktionen
(Am 29. Dez. 2017 bezog sich Art. 84 des Kapitels VIII auf die Verordnung 2226/30. Nov. 2017)
(1) Die Mitgliedstaaten legen die Regeln für sonstige Sanktionen fest, die bei Verstößen gegen diese Verordnung anzuwenden sind, insbesondere für Verstöße, die nicht mit Geldbußen nach Artikel 83 belegt sind, und treffen alle erforderlichen Maßnahmen, um deren Umsetzung zu gewährleisten. Die jeweiligen Sanktionen sind wirksam, verhältnismäßig und abschreckend.
(2) Jeder Mitgliedstaat informiert die Kommission über die innerstaatlichen Rechtsvorschriften, die er gemäß Absatz (1) bis zum 25. Mai 2018 erlässt, sowie unverzüglich über etwaige spätere Änderungen derselben.
KAPITEL IX: Bestimmungen zu besonderen Verarbeitungssituationen
Art. 85: Verarbeitung und Meinungs- und Informationsfreiheit
(1) Die Mitgliedstaaten stellen durch innerstaatliches Recht einen Ausgleich zwischen dem Recht auf den Schutz personenbezogener Daten nach dieser Verordnung und dem Recht auf freie Meinungsäußerung sicher
von Informationen, einschließlich der Verarbeitung zu journalistischen Zwecken oder zum Zweck des wissenschaftlichen, künstlerischen oder literarischen Ausdrucks.
(2) Für die Verarbeitung zu journalistischen Zwecken oder zum Zweck der wissenschaftlichen, künstlerischen oder literarischen Äußerung sehen die Mitgliedstaaten Ausnahmen oder Ausnahmen von den Bestimmungen des Kapitels II (Grundsätze) und des Kapitels III (Rechte der betroffenen Person) vor ), des Kapitels IV (der Betreiber und die von ihm bevollmächtigte Person), des Kapitels V (Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen), des Kapitels VI (unabhängige Kontrollbehörden), des Kapitels VII (Zusammenarbeit und Kohärenz) und des Kapitels IX (besondere Situationen der Datenverarbeitung), wenn sie erforderlich sind, um ein Gleichgewicht zwischen dem Recht auf Schutz personenbezogener Daten und der Meinungs- und Informationsfreiheit sicherzustellen.
(3) Jeder Mitgliedstaat unterrichtet die Kommission über die innerstaatlichen Rechtsvorschriften, die er gemäß Absatz (2) erlassen hat, sowie unverzüglich über etwaige Änderungsgesetze oder spätere Änderungen derselben.
Art. 86: Bearbeitung und öffentlicher Zugang zu amtlichen Dokumenten
Personenbezogene Daten aus amtlichen Dokumenten, die von einer Behörde oder einer öffentlichen oder privaten Stelle zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, aufbewahrt werden, können von dieser Behörde oder Stelle im Einklang mit dem Unionsrecht oder dem innerstaatlichen Recht, nach dem die Behörde oder Stelle zuständig ist, offengelegt werden der Stelle, um ein Gleichgewicht zwischen dem Zugang der Öffentlichkeit zu amtlichen Dokumenten und dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung herzustellen.
Art. 87: Verarbeitung einer nationalen Identifikationsnummer
Die Mitgliedstaaten können die spezifischen Bedingungen für die Verarbeitung einer nationalen Identifikationsnummer oder einer anderen allgemein anwendbaren Kennung näher erläutern. In diesem Fall wird die nationale Identifikationsnummer oder eine andere allgemeingültige Kennung nur auf der Grundlage angemessener Garantien für die Rechte und Freiheiten der betroffenen Person nach dieser Verordnung verwendet.
rt. 88: Verarbeitung im Rahmen der Beschäftigung
(1) Die Mitgliedstaaten können durch Gesetz oder durch Tarifverträge nähere Regelungen zur Gewährleistung des Schutzes der Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten von Arbeitnehmern im Rahmen eines Beschäftigungsverhältnisses, insbesondere zum Zwecke der Personalbeschaffung, zur Erfüllung eines Arbeitsverhältnisses vorsehen die Bestimmungen des Arbeitsvertrags, einschließlich der Erfüllung der gesetzlich oder kollektivvertraglich festgelegten Pflichten, der Führung, Planung und Organisation der Arbeit, der Gleichheit und Vielfalt am Arbeitsplatz, der Gewährleistung von Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes Eigentum des Arbeitgebers oder des Auftraggebers sowie zum Zwecke der individuellen oder kollektiven Ausübung und Nutzung der mit dem Arbeitsverhältnis verbundenen Rechte und Vorteile sowie zur Beendigung von Arbeitsverhältnissen.
(2) Diese Vorschriften umfassen geeignete und konkrete Maßnahmen zur Wahrung der Menschenwürde, berechtigter Interessen und Grundrechte der betroffenen Personen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, der Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen Unternehmen, die an einer gemeinsamen Wirtschaftstätigkeit beteiligt sind, und Überwachungssysteme am Arbeitsplatz.
(3) Jeder Mitgliedstaat informiert die Kommission über die innerstaatlichen Rechtsvorschriften, die er gemäß Absatz (1) bis zum 25. Mai 2018 erlässt, sowie unverzüglich über etwaige spätere Änderungen derselben.
Art. 89: Garantien und Verzichtserklärungen hinsichtlich der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke
(1) Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt unter der Voraussetzung des Vorliegens geeigneter Garantien für die Rechte und Freiheiten der betroffenen Personen nach Maßgabe dieser Verordnung. Die jeweiligen Garantien stellen sicher, dass die erforderlichen technischen und organisatorischen Maßnahmen getroffen wurden, um insbesondere die Einhaltung des Grundsatzes der Datensparsamkeit sicherzustellen. Zu diesen Maßnahmen kann auch eine Pseudonymisierung gehören, sofern auf diese Weise die jeweiligen Zwecke erfüllt werden. Wenn die jeweiligen Zwecke durch eine Folgeverarbeitung erfüllt werden können, die eine Identifizierung der betroffenen Personen nicht oder nicht mehr ermöglicht, sind die jeweiligen Zwecke auf diese Weise erfüllt.
(2) Für den Fall, dass personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden, kann das Unionsrecht oder das innerstaatliche Recht unter den Voraussetzungen Ausnahmen von den in den Artikeln 15, 16, 18 und 21 genannten Rechten vorsehen Garantien gemäß Absatz (1) dieses Artikels, soweit die jeweiligen Rechte geeignet sind, die Erreichung der spezifischen Ziele unmöglich zu machen oder ernsthaft zu beeinträchtigen, und die jeweiligen Ausnahmen für die Erreichung dieser Ziele erforderlich sind.
(3) Werden personenbezogene Daten zu im öffentlichen Interesse liegenden Archivierungszwecken verarbeitet, kann das Unionsrecht oder das innerstaatliche Recht vorbehaltlich der vorgesehenen Voraussetzungen und Garantien Ausnahmen von den in den Artikeln 15, 16, 18, 19, 20 und 21 genannten Rechten vorsehen in Absatz (1) dieses Artikels, soweit die jeweiligen Rechte geeignet sind, die Verwirklichung der spezifischen Ziele unmöglich zu machen oder ernsthaft zu beeinträchtigen, und die jeweiligen Ausnahmen für die Verwirklichung dieser Ziele erforderlich sind.
(4) Sofern die in den Absätzen (2) und (3) genannte Verarbeitung gleichzeitig einem anderen Zweck dient, gelten die Ausnahmeregelungen nur für die Verarbeitung zu den in den jeweiligen Absätzen genannten Zwecken.
Art. 90: Geheimhaltungspflichten
(1) Die Mitgliedstaaten können besondere Vorschriften erlassen, um die Befugnisse der in Artikel 58 Absatz 1 Buchstaben e und f vorgesehenen Aufsichtsbehörden in Bezug auf Betreiber oder von Betreibern autorisierte Personen festzulegen, die nach Unionsrecht tätig sind oder nach innerstaatlichem Recht oder nach den von den zuständigen nationalen Stellen festgelegten Vorschriften zur Wahrung des Berufsgeheimnisses oder einer anderen gleichwertigen Vertraulichkeitspflicht verpflichtet sind, sofern dies erforderlich und verhältnismäßig ist, um ein Gleichgewicht zwischen dem Recht auf Schutz personenbezogener Daten und personenbezogener Daten herzustellen die Verpflichtung zur Verschwiegenheit. Die jeweiligen Regelungen gelten nur im Hinblick auf die personenbezogenen Daten, die der Betreiber oder die von ihm beauftragte Person aufgrund oder im Rahmen einer unter diese Geheimhaltungsverpflichtung fallenden Tätigkeit erhalten hat. (2) Jeder Mitgliedstaat muss der Kommission bis zum 1. Mai 25 die gemäß Absatz (2018) erlassenen Vorschriften sowie unverzüglich alle späteren Änderungen derselben mitteilen.
Art. 91: Bestehende Normen im Bereich des Datenschutzes für Kirchen und Religionsgemeinschaften
(1) Wenden Kirchen und Religionsgemeinschaften oder -gemeinschaften in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regelungen zum Schutz natürlicher Personen bei der Verarbeitung an, so können diese Regelungen weiterhin gelten, sofern sie mit dieser Verordnung in Einklang stehen.
(2) Kirchen und Religionsgemeinschaften, die ein umfassendes Regelwerk gemäß Absatz (1) dieses Artikels anwenden, unterliegen der Aufsicht einer ggf. zu bestimmenden unabhängigen Aufsichtsbehörde, sofern sie die in Kapitel VI festgelegten Voraussetzungen erfüllen dieser Verordnung.
KAPITEL X: Delegierte Rechtsakte und Durchführungsrechtsakte
Art. 92: Ausübung der Delegation
(1) Die Zuständigkeit zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
(2) Die Befugnisübertragung gemäß Artikel 12 Absatz (8) und Artikel 43 Absatz (8) wird der Kommission ab dem 24. Mai 2016 auf unbestimmte Zeit übertragen.
(3) Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann jederzeit vom Europäischen Parlament oder vom Rat widerrufen werden. Eine Widerrufsentscheidung beendet die in der jeweiligen Entscheidung festgelegte Befugnisübertragung. Die Entscheidung wird ab dem Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union oder ab einem in der Entscheidung genannten späteren Zeitpunkt wirksam. Die Entscheidung berührt nicht die Gültigkeit der bereits in Kraft getretenen delegierten Rechtsakte.
(4) Sobald die Kommission einen delegierten Rechtsakt erlässt, unterrichtet sie gleichzeitig das Europäische Parlament und den Rat.
(5) Ein gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassener delegierter Rechtsakt tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von drei Monaten nach seiner Übermittlung an das Europäische Parlament und den Rat Einwände erhoben haben Rat, oder in
wenn das Europäische Parlament und der Rat der Kommission vor Ablauf der jeweiligen Amtszeit mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Initiative des Europäischen Parlaments oder des Rates verlängert sich die jeweilige Amtszeit um drei Monate.
Art. 93: Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt. Der jeweilige Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Sofern auf diesen Absatz Bezug genommen wird, gilt Art. 5 der Verordnung (EU) Nr. 182/2011.
(3) Sofern auf diesen Absatz Bezug genommen wird, gilt Art. 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit Artikel 5 dieser Verordnung.
KAPITEL XI: Schlussbestimmungen
Art. 94: Aufhebung der Richtlinie 95/46/EG
(1) Die Entscheidung 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Bezugnahmen auf die aufgehobene Richtlinie gelten als Bezugnahmen auf diese Verordnung. Verweise auf die Arbeitsgruppe zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gemäß Artikel 29 der Richtlinie 95/46/EG gelten als Verweise auf den durch diese Verordnung eingesetzten Europäischen Datenschutzausschuss.
Art. 95: Verhältnis zur Richtlinie 2002/58/EG
Diese Verordnung erlegt natürlichen oder juristischen Personen keine zusätzlichen Pflichten in Bezug auf die Verarbeitung im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste für die Öffentlichkeit in öffentlichen Kommunikationsnetzen in der Union auf, und zwar in Bezug auf die Aspekte, für die sie besondere Pflichten gegenüber dem haben verfolgt dasselbe Ziel wie die Richtlinie 2002/58/EG.
Art. 96: Verhältnis zu bereits abgeschlossenen Verträgen
Internationale Vereinbarungen über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, die von den Mitgliedstaaten vor dem 24. Mai 2016 geschlossen wurden und im Einklang mit dem vor diesem Datum geltenden Unionsrecht stehen, bleiben in Kraft, bis sie geändert oder ersetzt werden oder widerrufen.
Art. 97: Kommissionsberichte
(1) Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überarbeitung dieser Verordnung vor. Die Berichte werden veröffentlicht.
(2) Im Rahmen der in Absatz (1) genannten Bewertungen und Überarbeitungen prüft die Kommission insbesondere die Anwendung und Funktionsweise von:
a) Kapitel V über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen, insbesondere unter Berücksichtigung der Entscheidungen gemäß Artikel 45 Absatz (3) dieser Verordnung und der Entscheidungen gemäß Artikel 25 Absatz (6) der Richtlinie 95/46/CE;
b) Kapitel VII über Zusammenarbeit und Kohärenz.
(3) Für die Zwecke des Absatzes 1 kann die Kommission von den Mitgliedstaaten und den Aufsichtsbehörden Auskünfte einholen.
(4) Bei der Durchführung der in den Absätzen (1) und (2) genannten Bewertungen und Überarbeitungen berücksichtigt die Kommission die Standpunkte und Erkenntnisse des Europäischen Parlaments, des Rates sowie anderer relevanter Gremien oder Quellen.
(5) Die Kommission unterbreitet bei Bedarf geeignete Vorschläge zur Änderung dieser Verordnung, insbesondere unter Berücksichtigung der Entwicklungen auf dem Gebiet der Informationstechnologie und unter Berücksichtigung des Fortschritts der Informationsgesellschaft.
Art. 98: Überarbeitung anderer Rechtsakte der Union in Fragen des Datenschutzes
Bei Bedarf legt die Kommission Legislativvorschläge zur Änderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, um einen einheitlichen und kohärenten Schutz natürlicher Personen bei der Verarbeitung zu gewährleisten. Dies betrifft insbesondere die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung durch die Organe, Einrichtungen, Ämter und Agenturen der Union sowie die Vorschriften zum freien Verkehr dieser Daten.
Art. 99: Inkrafttreten und Anwendung
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Diese Regelung gilt ab dem 25. Mai 2018.
Diese Verordnung ist in allen ihren Bestandteilen verbindlich und gilt unmittelbar in allen Mitgliedsstaaten.
- **** -
Geschehen zu Brüssel am 27. April 2016.
JA HENNIS-PLASSCHAERT
Veröffentlicht im Amtsblatt Nr. 119L vom 4. Mai 2016
Für das Europäische Parlament der Präsident
M. SCHULZ
Für den Rat der Präsident
