DSGVO (Ver­ord­nung 2016/679)

Der Text der DSGVO. Die Tex­te wur­den auto­ma­ti­siert kon­ver­tiert – wir dan­ken für Hin­wei­se auf Fehler.

Die Zuord­nung der Erwä­gungs­grün­de zu ein­zel­nen Arti­keln ist nicht offi­zi­ell und nicht trenn­scharf. Als PDF fin­det sich die DSGVO mit Erwä­gungs­grün­den hier, und die eng­li­sche Fas­sung ist hier zu finden.

aus­klap­pen | ein­klap­pen

Kapi­tel I All­ge­mei­ne Bestimmungen

Arti­kel 1 Gegen­stand und Ziele

(1) Die­se Ver­ord­nung ent­hält Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr sol­cher Daten.

(2) Die­se Ver­ord­nung schützt die Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen und ins­be­son­de­re deren Recht auf Schutz per­so­nen­be­zo­ge­ner Daten.

(3) Der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on darf aus Grün­den des Schut­zes natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten weder ein­ge­schränkt noch ver­bo­ten werden.

Erwä­gungs­grün­de

(1) Der Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist ein Grund­recht. Gemäß Arti­kel 8 Absatz 1 der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on (im Fol­gen­den “Char­ta”) sowie Arti­kel 16 Absatz 1 des Ver­trags über die Arbeits­wei­se der Euro­päi­schen Uni­on (AEUV) hat jede Per­son das Recht auf Schutz der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten.

(2) Die Grund­sät­ze und Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten soll­ten gewähr­lei­sten, dass ihre Grund­rech­te und Grund­frei­hei­ten und ins­be­son­de­re ihr Recht auf Schutz per­so­nen­be­zo­ge­ner Daten unge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts gewahrt blei­ben. Die­se Ver­ord­nung soll zur Voll­endung eines Raums der Frei­heit, der Sicher­heit und des Rechts und einer Wirt­schafts­uni­on, zum wirt­schaft­li­chen und sozia­len Fort­schritt, zur Stär­kung und zum Zusam­men­wach­sen der Volks­wirt­schaf­ten inner­halb des Bin­nen­markts sowie zum Wohl­erge­hen natür­li­cher Per­so­nen beitragen.

(3) Zweck der Richt­li­nie 95/46/EG des Euro­päi­schen Par­la­ments und des Rates (4) ist die Har­mo­ni­sie­rung der Vor­schrif­ten zum Schutz der Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen bei der Daten­ver­ar­bei­tung sowie die Gewähr­lei­stung des frei­en Ver­kehrs per­so­nen­be­zo­ge­ner Daten zwi­schen den Mitgliedstaaten.

(4) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te im Dien­ste der Mensch­heit ste­hen. Das Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten ist kein unein­ge­schränk­tes Recht; es muss im Hin­blick auf sei­ne gesell­schaft­li­che Funk­ti­on gese­hen und unter Wah­rung des Ver­hält­nis­mä­ßig­keits­prin­zips gegen ande­re Grund­rech­te abge­wo­gen wer­den. Die­se Ver­ord­nung steht im Ein­klang mit allen Grund­rech­ten und ach­tet alle Frei­hei­ten und Grund­sät­ze, die mit der Char­ta aner­kannt wur­den und in den Euro­päi­schen Ver­trä­gen ver­an­kert sind, ins­be­son­de­re Ach­tung des Pri­vat- und Fami­li­en­le­bens, der Woh­nung und der Kom­mu­ni­ka­ti­on, Schutz per­so­nen­be­zo­ge­ner Daten, Gedanken‑, Gewis­sens- und Reli­gi­ons­frei­heit, Frei­heit der Mei­nungs­äu­ße­rung und Infor­ma­ti­ons­frei­heit, unter­neh­me­ri­sche Frei­heit, Recht auf einen wirk­sa­men Rechts­be­helf und ein fai­res Ver­fah­ren und Viel­falt der Kul­tu­ren, Reli­gio­nen und Sprachen.

(5) Die wirt­schaft­li­che und sozia­le Inte­gra­ti­on als Fol­ge eines funk­tio­nie­ren­den Bin­nen­markts hat zu einem deut­li­chen Anstieg des grenz­über­schrei­ten­den Ver­kehrs per­so­nen­be­zo­ge­ner Daten geführt. Der uni­ons­wei­te Aus­tausch per­so­nen­be­zo­ge­ner Daten zwi­schen öffent­li­chen und pri­va­ten Akteu­ren ein­schließ­lich natür­li­chen Per­so­nen, Ver­ei­ni­gun­gen und Unter­neh­men hat zuge­nom­men. Das Uni­ons­recht ver­pflich­tet die Ver­wal­tun­gen der Mit­glied­staa­ten, zusam­men­zu­ar­bei­ten und per­so­nen­be­zo­ge­ne Daten aus­zu­tau­schen, damit sie ihren Pflich­ten nach­kom­men oder für eine Behör­de eines ande­ren Mit­glied­staats Auf­ga­ben durch­füh­ren können.

(6) Rasche tech­no­lo­gi­sche Ent­wick­lun­gen und die Glo­ba­li­sie­rung haben den Daten­schutz vor neue Her­aus­for­de­run­gen gestellt. Das Aus­maß der Erhe­bung und des Aus­tauschs per­so­nen­be­zo­ge­ner Daten hat ein­drucks­voll zuge­nom­men. Die Tech­nik macht es mög­lich, dass pri­va­te Unter­neh­men und Behör­den im Rah­men ihrer Tätig­kei­ten in einem noch nie dage­we­se­nen Umfang auf per­so­nen­be­zo­ge­ne Daten zurück­grei­fen. Zuneh­mend machen auch natür­li­che Per­so­nen Infor­ma­tio­nen öffent­lich welt­weit zugäng­lich. Die Tech­nik hat das wirt­schaft­li­che und gesell­schaft­li­che Leben ver­än­dert und dürf­te den Ver­kehr per­so­nen­be­zo­ge­ner Daten inner­halb der Uni­on sowie die Daten­über­mitt­lung an Dritt­län­der und inter­na­tio­na­le Orga­ni­sa­tio­nen noch wei­ter erleich­tern, wobei ein hohes Daten­schutz­ni­veau zu gewähr­lei­sten ist.

(7) Die­se Ent­wick­lun­gen erfor­dern einen soli­den, kohä­ren­te­ren und klar durch­setz­ba­ren Rechts­rah­men im Bereich des Daten­schut­zes in der Uni­on, da es von gro­ßer Wich­tig­keit ist, eine Ver­trau­ens­ba­sis zu schaf­fen, die die digi­ta­le Wirt­schaft drin­gend benö­tigt, um im Bin­nen­markt wei­ter wach­sen zu kön­nen. Natür­li­che Per­so­nen soll­ten die Kon­trol­le über ihre eige­nen Daten besit­zen. Natür­li­che Per­so­nen, Wirt­schaft und Staat soll­ten in recht­li­cher und prak­ti­scher Hin­sicht über mehr Sicher­heit verfügen.

(8) Wenn in die­ser Ver­ord­nung Prä­zi­sie­run­gen oder Ein­schrän­kun­gen ihrer Vor­schrif­ten durch das Recht der Mit­glied­staa­ten vor­ge­se­hen sind, kön­nen die Mit­glied­staa­ten Tei­le die­ser Ver­ord­nung in ihr natio­na­les Recht auf­neh­men, soweit dies erfor­der­lich ist, um die Kohä­renz zu wah­ren und die natio­na­len Rechts­vor­schrif­ten für die Per­so­nen, für die sie gel­ten, ver­ständ­li­cher zu machen.

(9) Die Zie­le und Grund­sät­ze der Richt­li­nie 95/46/EG besit­zen nach wie vor Gül­tig­keit, doch hat die Richt­li­nie nicht ver­hin­dern kön­nen, dass der Daten­schutz in der Uni­on unter­schied­lich gehand­habt wird, Rechts­un­si­cher­heit besteht oder in der Öffent­lich­keit die Mei­nung weit ver­brei­tet ist, dass erheb­li­che Risi­ken für den Schutz natür­li­cher Per­so­nen bestehen, ins­be­son­de­re im Zusam­men­hang mit der Benut­zung des Inter­nets. Unter­schie­de beim Schutz­ni­veau für die Rech­te und Frei­hei­ten von natür­li­chen Per­so­nen im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in den Mit­glied­staa­ten, vor allem beim Recht auf Schutz die­ser Daten, kön­nen den uni­ons­wei­ten frei­en Ver­kehr sol­cher Daten behin­dern. Die­se Unter­schie­de im Schutz­ni­veau kön­nen daher ein Hemm­nis für die uni­ons­wei­te Aus­übung von Wirt­schafts­tä­tig­kei­ten dar­stel­len, den Wett­be­werb ver­zer­ren und die Behör­den an der Erfül­lung der ihnen nach dem Uni­ons­recht oblie­gen­den Pflich­ten hin­dern. Sie erklä­ren sich aus den Unter­schie­den bei der Umset­zung und Anwen­dung der Richt­li­nie 95/46/EG.

(10) Um ein gleich­mä­ßi­ges und hohes Daten­schutz­ni­veau für natür­li­che Per­so­nen zu gewähr­lei­sten und die Hemm­nis­se für den Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on zu besei­ti­gen, soll­te das Schutz­ni­veau für die Rech­te und Frei­hei­ten von natür­li­chen Per­so­nen bei der Ver­ar­bei­tung die­ser Daten in allen Mit­glied­staa­ten gleich­wer­tig sein. Die Vor­schrif­ten zum Schutz der Grund­rech­te und Grund­frei­hei­ten von natür­li­chen Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­ten uni­ons­weit gleich­mä­ßig und ein­heit­lich ange­wandt wer­den. Hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zur Erfül­lung einer recht­li­chen Ver­pflich­tung oder zur Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, soll­ten die Mit­glied­staa­ten die Mög­lich­keit haben, natio­na­le Bestim­mun­gen, mit denen die Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung genau­er fest­ge­legt wird, bei­zu­be­hal­ten oder ein­zu­füh­ren. In Ver­bin­dung mit den all­ge­mei­nen und hori­zon­ta­len Rechts­vor­schrif­ten über den Daten­schutz zur Umset­zung der Richt­li­nie 95/46/EG gibt es in den Mit­glied­staa­ten meh­re­re sek­tor­spe­zi­fi­sche Rechts­vor­schrif­ten in Berei­chen, die spe­zi­fi­sche­re Bestim­mun­gen erfor­dern. Die­se Ver­ord­nung bie­tet den Mit­glied­staa­ten zudem einen Spiel­raum für die Spe­zi­fi­zie­rung ihrer Vor­schrif­ten, auch für die Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten (im Fol­gen­den “sen­si­ble Daten”). Dies­be­züg­lich schließt die­se Ver­ord­nung nicht Rechts­vor­schrif­ten der Mit­glied­staa­ten aus, in denen die Umstän­de beson­de­rer Ver­ar­bei­tungs­si­tua­tio­nen fest­ge­legt wer­den, ein­schließ­lich einer genaue­ren Bestim­mung der Vor­aus­set­zun­gen, unter denen die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig ist.

(11) Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten erfor­dert die Stär­kung und prä­zi­se Fest­le­gung der Rech­te der betrof­fe­nen Per­so­nen sowie eine Ver­schär­fung der Ver­pflich­tun­gen für die­je­ni­gen, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten und dar­über ent­schei­den, eben­so wie — in den Mit­glied­staa­ten — glei­che Befug­nis­se bei der Über­wa­chung und Gewähr­lei­stung der Ein­hal­tung der Vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten sowie glei­che Sank­tio­nen im Fal­le ihrer Verletzung.

(12) Arti­kel 16 Absatz 2 AEUV ermäch­tigt das Euro­päi­sche Par­la­ment und den Rat, Vor­schrif­ten über den Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr sol­cher Daten zu erlassen.

(13) Damit in der Uni­on ein gleich­mä­ßi­ges Daten­schutz­ni­veau für natür­li­che Per­so­nen gewähr­lei­stet ist und Unter­schie­de, die den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten im Bin­nen­markt behin­dern könn­ten, besei­tigt wer­den, ist eine Ver­ord­nung erfor­der­lich, die für die Wirt­schafts­teil­neh­mer ein­schließ­lich Kleinst­un­ter­neh­men sowie klei­ner und mitt­le­rer Unter­neh­men Rechts­si­cher­heit und Trans­pa­renz schafft, natür­li­che Per­so­nen in allen Mit­glied­staa­ten mit dem­sel­ben Niveau an durch­setz­ba­ren Rech­ten aus­stat­tet, die­sel­ben Pflich­ten und Zustän­dig­kei­ten für die Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­ter vor­sieht und eine gleich­mä­ßi­ge Kon­trol­le der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und gleich­wer­ti­ge Sank­tio­nen in allen Mit­glied­staa­ten sowie eine wirk­sa­me Zusam­men­ar­beit zwi­schen den Auf­sichts­be­hör­den der ein­zel­nen Mit­glied­staa­ten gewähr­lei­stet. Das rei­bungs­lo­se Funk­tio­nie­ren des Bin­nen­markts erfor­dert, dass der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on nicht aus Grün­den des Schut­zes natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein­ge­schränkt oder ver­bo­ten wird. Um der beson­de­ren Situa­ti­on der Kleinst­un­ter­neh­men sowie der klei­nen und mitt­le­ren Unter­neh­men Rech­nung zu tra­gen, ent­hält die­se Ver­ord­nung eine abwei­chen­de Rege­lung hin­sicht­lich des Füh­rens eines Ver­zeich­nis­ses für Ein­rich­tun­gen, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen. Außer­dem wer­den die Orga­ne und Ein­rich­tun­gen der Uni­on sowie die Mit­glied­staa­ten und deren Auf­sichts­be­hör­den dazu ange­hal­ten, bei der Anwen­dung die­ser Ver­ord­nung die beson­de­ren Bedürf­nis­se von Kleinst­un­ter­neh­men sowie von klei­nen und mitt­le­ren Unter­neh­men zu berück­sich­ti­gen. Für die Defi­ni­ti­on des Begriffs “Kleinst­un­ter­neh­men sowie klei­ne und mitt­le­re Unter­neh­men” soll­te Arti­kel 2 des Anhangs zur Emp­feh­lung 2003/361/EG der Kom­mis­si­on (5) maß­ge­bend sein.

Arti­kel 2 Sach­li­cher Anwendungsbereich

(1) Die­se Ver­ord­nung gilt für die ganz oder teil­wei­se auto­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie für die nicht­au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die in einem Datei­sy­stem gespei­chert sind oder gespei­chert wer­den sollen.

(2) Die­se Ver­ord­nung fin­det kei­ne Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten

a) im Rah­men einer Tätig­keit, die nicht in den Anwen­dungs­be­reich des Uni­ons­rechts fällt,
b) durch die Mit­glied­staa­ten im Rah­men von Tätig­kei­ten, die in den Anwen­dungs­be­reich von Titel V Kapi­tel 2 EUV fallen,
c) durch natür­li­che Per­so­nen zur Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätigkeiten,
d) durch die zustän­di­gen Behör­den zum Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicherheit.

(3) Für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Orga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Uni­on gilt die Ver­ord­nung (EG) Nr. 45/2001. Die Ver­ord­nung (EG) Nr. 45/2001 und son­sti­ge Rechts­ak­te der Uni­on, die die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten regeln, wer­den im Ein­klang mit Arti­kel 98 an die Grund­sät­ze und Vor­schrif­ten der vor­lie­gen­den Ver­ord­nung angepasst.

(4) Die vor­lie­gen­de Ver­ord­nung lässt die Anwen­dung der Richt­li­nie 2000/31/EG und spe­zi­ell die Vor­schrif­ten der Arti­kel 12 bis 15 die­ser Richt­li­nie zur Ver­ant­wort­lich­keit der Ver­mitt­ler unberührt.

Erwä­gungs­grün­de

(14) Der durch die­se Ver­ord­nung gewähr­te Schutz soll­te für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten natür­li­cher Per­so­nen unge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts gel­ten. Die­se Ver­ord­nung gilt nicht für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten juri­sti­scher Per­so­nen und ins­be­son­de­re als juri­sti­sche Per­son gegrün­de­ter Unter­neh­men, ein­schließ­lich Name, Rechts­form oder Kon­takt­da­ten der juri­sti­schen Person.

(15) Um ein ernst­haf­tes Risi­ko einer Umge­hung der Vor­schrif­ten zu ver­mei­den, soll­te der Schutz natür­li­cher Per­so­nen tech­no­lo­gie­neu­tral sein und nicht von den ver­wen­de­ten Tech­ni­ken abhän­gen. Der Schutz natür­li­cher Per­so­nen soll­te für die auto­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten eben­so gel­ten wie für die manu­el­le Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, wenn die per­so­nen­be­zo­ge­nen Daten in einem Datei­sy­stem gespei­chert sind oder gespei­chert wer­den sol­len. Akten oder uuAk­ten­samm­lun­gen sowie ihre Deck­blät­ter, die nicht nach bestimm­ten Kri­te­ri­en geord­net sind, soll­ten nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fallen.

(16) Die­se Ver­ord­nung gilt nicht für Fra­gen des Schut­zes von Grund­rech­ten und Grund­frei­hei­ten und des frei­en Ver­kehrs per­so­nen­be­zo­ge­ner Daten im Zusam­men­hang mit Tätig­kei­ten, die nicht in den Anwen­dungs­be­reich des Uni­ons­rechts fal­len, wie etwa die natio­na­le Sicher­heit betref­fen­de Tätig­kei­ten. Die­se Ver­ord­nung gilt nicht für die von den Mit­glied­staa­ten im Rah­men der Gemein­sa­men Außen- und Sicher­heits­po­li­tik der Uni­on durch­ge­führ­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.

(17) Die Ver­ord­nung (EG) Nr. 45/2001 des Euro­päi­schen Par­la­ments und des Rates (6) gilt für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Orga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Uni­on. Die Ver­ord­nung (EG) Nr. 45/2001 und son­sti­ge Rechts­ak­te der Uni­on, die die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten regeln, soll­ten an die Grund­sät­ze und Vor­schrif­ten der vor­lie­gen­den Ver­ord­nung ange­passt und im Lich­te der vor­lie­gen­den Ver­ord­nung ange­wandt wer­den. Um einen soli­den und kohä­ren­ten Rechts­rah­men im Bereich des Daten­schut­zes in der Uni­on zu gewähr­lei­sten, soll­ten die erfor­der­li­chen Anpas­sun­gen der Ver­ord­nung (EG) Nr. 45/2001 im Anschluss an den Erlass der vor­lie­gen­den Ver­ord­nung vor­ge­nom­men wer­den, damit sie gleich­zei­tig mit der vor­lie­gen­den Ver­ord­nung ange­wandt wer­den können.

(18) Die­se Ver­ord­nung gilt nicht für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, die von einer natür­li­chen Per­son zur Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätig­kei­ten und somit ohne Bezug zu einer beruf­li­chen oder wirt­schaft­li­chen Tätig­keit vor­ge­nom­men wird. Als per­sön­li­che oder fami­liä­re Tätig­kei­ten könn­te auch das Füh­ren eines Schrift­ver­kehrs oder von Anschrif­ten­ver­zeich­nis­sen oder die Nut­zung sozia­ler Net­ze und Online-Tätig­kei­ten im Rah­men sol­cher Tätig­kei­ten gel­ten. Die­se Ver­ord­nung gilt jedoch für die Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, die die Instru­men­te für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für sol­che per­sön­li­chen oder fami­liä­ren Tätig­kei­ten bereitstellen.

(19) Der Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zustän­di­gen Behör­den zum Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicher­heit, sowie der freie Ver­kehr die­ser Daten sind in einem eige­nen Uni­ons­rechts­akt gere­gelt. Des­halb soll­te die­se Ver­ord­nung auf Ver­ar­bei­tungs­tä­tig­kei­ten die­ser Art kei­ne Anwen­dung fin­den. Per­so­nen­be­zo­ge­ne Daten, die von Behör­den nach die­ser Ver­ord­nung ver­ar­bei­tet wer­den, soll­ten jedoch, wenn sie zu den vor­ste­hen­den Zwecken ver­wen­det wer­den, einem spe­zi­fi­sche­ren Uni­ons­rechts­akt, näm­lich der Richt­li­nie (EU) 2016/680 des Euro­päi­schen Par­la­ments und des Rates (7) unter­lie­gen. Die Mit­glied­staa­ten kön­nen die zustän­di­gen Behör­den im Sin­ne der Richt­li­nie (EU) 2016/680 mit Auf­ga­ben betrau­en, die nicht zwangs­läu­fig für die Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicher­heit, aus­ge­führt wer­den, so dass die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten für die­se ande­ren Zwecke inso­weit in den Anwen­dungs­be­reich die­ser Ver­ord­nung fällt, als sie in den Anwen­dungs­be­reich des Uni­ons­rechts fällt. In Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die­se Behör­den für Zwecke, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, soll­ten die Mit­glied­staa­ten spe­zi­fi­sche­re Bestim­mun­gen bei­be­hal­ten oder ein­füh­ren kön­nen, um die Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung anzu­pas­sen. In den betref­fen­den Bestim­mun­gen kön­nen die Auf­la­gen für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die­se zustän­di­gen Behör­den für jene ande­ren Zwecke prä­zi­ser fest­ge­legt wer­den, wobei der ver­fas­sungs­mä­ßi­gen, orga­ni­sa­to­ri­schen und admi­ni­stra­ti­ven Struk­tur des betref­fen­den Mit­glied­staats Rech­nung zu tra­gen ist. Soweit die­se Ver­ord­nung für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch pri­va­te Stel­len gilt, soll­te sie vor­se­hen, dass die Mit­glied­staa­ten eini­ge Pflich­ten und Rech­te unter bestimm­ten Vor­aus­set­zun­gen mit­tels Rechts­vor­schrif­ten beschrän­ken kön­nen, wenn die­se Beschrän­kung in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me zum Schutz bestimm­ter wich­ti­ger Inter­es­sen dar­stellt, wozu auch die öffent­li­che Sicher­heit und die Ver­hü­tung, Ermitt­lung, Auf­deckung und Ver­fol­gung von Straf­ta­ten oder die Straf­voll­streckung zäh­len, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicher­heit. Dies ist bei­spiels­wei­se im Rah­men der Bekämp­fung der Geld­wä­sche oder der Arbeit kri­mi­nal­tech­ni­scher Labors von Bedeutung.

(20) Die­se Ver­ord­nung gilt zwar unter ande­rem für die Tätig­kei­ten der Gerich­te und ande­rer Justiz­be­hör­den, doch könn­te im Uni­ons­recht oder im Recht der Mit­glied­staa­ten fest­ge­legt wer­den, wie die Ver­ar­bei­tungs­vor­gän­ge und Ver­ar­bei­tungs­ver­fah­ren bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Gerich­te und ande­re Justiz­be­hör­den im Ein­zel­nen aus­zu­se­hen haben. Damit die Unab­hän­gig­keit der Justiz bei der Aus­übung ihrer gericht­li­chen Auf­ga­ben ein­schließ­lich ihrer Beschluss­fas­sung unan­ge­ta­stet bleibt, soll­ten die Auf­sichts­be­hör­den nicht für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Gerich­te im Rah­men ihrer justi­zi­el­len Tätig­keit zustän­dig sein. Mit der Auf­sicht über die­se Daten­ver­ar­bei­tungs­vor­gän­ge soll­ten beson­de­re Stel­len im Justiz­sy­stem des Mit­glied­staats betraut wer­den kön­nen, die ins­be­son­de­re die Ein­hal­tung der Vor­schrif­ten die­ser Ver­ord­nung sicher­stel­len, Rich­ter und Staats­an­wäl­te bes­ser für ihre Pflich­ten aus die­ser Ver­ord­nung sen­si­bi­li­sie­ren und Beschwer­den in Bezug auf der­ar­ti­ge Daten­ver­ar­bei­tungs­vor­gän­ge bear­bei­ten sollten.

(21) Die vor­lie­gen­de Ver­ord­nung berührt nicht die Anwen­dung der Richt­li­nie 2000/31/EG des Euro­päi­schen Par­la­ments und des Rates (8) und ins­be­son­de­re die der Vor­schrif­ten der Arti­kel 12 bis 15 jener Richt­li­nie zur Ver­ant­wort­lich­keit von Anbie­tern rei­ner Ver­mitt­lungs­dien­ste. Die genann­te Richt­li­nie soll dazu bei­tra­gen, dass der Bin­nen­markt ein­wand­frei funk­tio­niert, indem sie den frei­en Ver­kehr von Dien­sten der Infor­ma­ti­ons­ge­sell­schaft zwi­schen den Mit­glied­staa­ten sicherstellt.

Arti­kel 3 Räum­li­cher Anwendungsbereich

(1) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, soweit die­se im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on erfolgt, unab­hän­gig davon, ob die Ver­ar­bei­tung in der Uni­on stattfindet.

(2) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, wenn die Daten­ver­ar­bei­tung im Zusam­men­hang damit steht

a) betrof­fe­nen Per­so­nen in der Uni­on Waren oder Dienst­lei­stun­gen anzu­bie­ten, unab­hän­gig davon, ob von die­sen betrof­fe­nen Per­so­nen eine Zah­lung zu lei­sten ist;
b) das Ver­hal­ten betrof­fe­ner Per­so­nen zu beob­ach­ten, soweit ihr Ver­hal­ten in der Uni­on erfolgt.

(3) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen an einem Ort, der auf­grund Völ­ker­rechts dem Recht eines Mit­glied­staats unterliegt.

Erwä­gungs­grün­de

(22) Jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines im Auf­trags­ver­ar­bei­ters in der Uni­on soll­te gemäß die­ser Ver­ord­nung erfol­gen, gleich, ob die Ver­ar­bei­tung in oder außer­halb der Uni­on statt­fin­det. Eine Nie­der­las­sung setzt die effek­ti­ve und tat­säch­li­che Aus­übung einer Tätig­keit durch eine feste Ein­rich­tung vor­aus. Die Rechts­form einer sol­chen Ein­rich­tung, gleich, ob es sich um eine Zweig­stel­le oder eine Toch­ter­ge­sell­schaft mit eige­ner Rechts­per­sön­lich­keit han­delt, ist dabei nicht ausschlaggebend.

(23) Damit einer natür­li­chen Per­son der gemäß die­ser Ver­ord­nung gewähr­lei­ste­te Schutz nicht vor­ent­hal­ten wird, soll­te die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter die­ser Ver­ord­nung unter­lie­gen, wenn die Ver­ar­bei­tung dazu dient, die­sen betrof­fe­nen Per­so­nen gegen Ent­gelt oder unent­gelt­lich Waren oder Dienst­lei­stun­gen anzu­bie­ten. Um fest­zu­stel­len, ob die­ser Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, Waren oder Dienst­lei­stun­gen anbie­tet, soll­te fest­ge­stellt wer­den, ob der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter offen­sicht­lich beab­sich­tigt, betrof­fe­nen Per­so­nen in einem oder meh­re­ren Mit­glied­staa­ten der Uni­on Dienst­lei­stun­gen anzu­bie­ten. Wäh­rend die blo­ße Zugäng­lich­keit der Web­site des Ver­ant­wort­li­chen, des Auf­trags­ver­ar­bei­ters oder eines Ver­mitt­lers in der Uni­on, einer E‑Mail-Adres­se oder ande­rer Kon­takt­da­ten oder die Ver­wen­dung einer Spra­che, die in dem Dritt­land, in dem der Ver­ant­wort­li­che nie­der­ge­las­sen ist, all­ge­mein gebräuch­lich ist, hier­für kein aus­rei­chen­der Anhalts­punkt ist, kön­nen ande­re Fak­to­ren wie die Ver­wen­dung einer Spra­che oder Wäh­rung, die in einem oder meh­re­ren Mit­glied­staa­ten gebräuch­lich ist, in Ver­bin­dung mit der Mög­lich­keit, Waren und Dienst­lei­stun­gen in die­ser ande­ren Spra­che zu bestel­len, oder die Erwäh­nung von Kun­den oder Nut­zern, die sich in der Uni­on befin­den, dar­auf hin­deu­ten, dass der Ver­ant­wort­li­che beab­sich­tigt, den Per­so­nen in der Uni­on Waren oder Dienst­lei­stun­gen anzubieten.

(24) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter soll­te auch dann die­ser Ver­ord­nung unter­lie­gen, wenn sie dazu dient, das Ver­hal­ten die­ser betrof­fe­nen Per­so­nen zu beob­ach­ten, soweit ihr Ver­hal­ten in der Uni­on erfolgt. Ob eine Ver­ar­bei­tungs­tä­tig­keit der Beob­ach­tung des Ver­hal­tens von betrof­fe­nen Per­so­nen gilt, soll­te dar­an fest­ge­macht wer­den, ob ihre Inter­net­ak­ti­vi­tä­ten nach­voll­zo­gen wer­den, ein­schließ­lich der mög­li­chen nach­fol­gen­den Ver­wen­dung von Tech­ni­ken zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, durch die von einer natür­li­chen Per­son ein Pro­fil erstellt wird, das ins­be­son­de­re die Grund­la­ge für sie betref­fen­de Ent­schei­dun­gen bil­det oder anhand des­sen ihre per­sön­li­chen Vor­lie­ben, Ver­hal­tens­wei­sen oder Gepflo­gen­hei­ten ana­ly­siert oder vor­aus­ge­sagt wer­den sollen.

(25) Ist nach Völ­ker­recht das Recht eines Mit­glied­staats anwend­bar, z. B. in einer diplo­ma­ti­schen oder kon­su­la­ri­schen Ver­tre­tung eines Mit­glied­staats, so soll­te die Ver­ord­nung auch auf einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen Anwen­dung finden.

Arti­kel 4 Begriffsbestimmungen

Im Sin­ne die­ser Ver­ord­nung bezeich­net der Ausdruck:

1.per­so­nen­be­zo­ge­ne Daten” alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den “betrof­fe­ne Per­son”) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann;

Erwä­gungs­grün­de

(26) Die Grund­sät­ze des Daten­schut­zes soll­ten für alle Infor­ma­tio­nen gel­ten, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen. Einer Pseud­ony­mi­sie­rung unter­zo­ge­ne per­so­nen­be­zo­ge­ne Daten, die durch Her­an­zie­hung zusätz­li­cher Infor­ma­tio­nen einer natür­li­chen Per­son zuge­ord­net wer­den könn­ten, soll­ten als Infor­ma­tio­nen über eine iden­ti­fi­zier­ba­re natür­li­che Per­son betrach­tet wer­den. Um fest­zu­stel­len, ob eine natür­li­che Per­son iden­ti­fi­zier­bar ist, soll­ten alle Mit­tel berück­sich­tigt wer­den, die von dem Ver­ant­wort­li­chen oder einer ande­ren Per­son nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren, wie bei­spiels­wei­se das Aus­son­dern. Bei der Fest­stel­lung, ob Mit­tel nach all­ge­mei­nem Ermes­sen wahr­schein­lich zur Iden­ti­fi­zie­rung der natür­li­chen Per­son genutzt wer­den, soll­ten alle objek­ti­ven Fak­to­ren, wie die Kosten der Iden­ti­fi­zie­rung und der dafür erfor­der­li­che Zeit­auf­wand, her­an­ge­zo­gen wer­den, wobei die zum Zeit­punkt der Ver­ar­bei­tung ver­füg­ba­re Tech­no­lo­gie und tech­no­lo­gi­sche Ent­wick­lun­gen zu berück­sich­ti­gen sind. Die Grund­sät­ze des Daten­schut­zes soll­ten daher nicht für anony­me Infor­ma­tio­nen gel­ten, d.h. für Infor­ma­tio­nen, die sich nicht auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen, oder per­so­nen­be­zo­ge­ne Daten, die in einer Wei­se anony­mi­siert wor­den sind, dass die betrof­fe­ne Per­son nicht oder nicht mehr iden­ti­fi­ziert wer­den kann. Die­se Ver­ord­nung betrifft somit nicht die Ver­ar­bei­tung sol­cher anony­mer Daten, auch für sta­ti­sti­sche oder für Forschungszwecke.

(27) Die­se Ver­ord­nung gilt nicht für die per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner. Die Mit­glied­staa­ten kön­nen Vor­schrif­ten für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner vorsehen.

(28) Die Anwen­dung der Pseud­ony­mi­sie­rung auf per­so­nen­be­zo­ge­ne Daten kann die Risi­ken für die betrof­fe­nen Per­so­nen sen­ken und die Ver­ant­wort­li­chen und die Auf­trags­ver­ar­bei­ter bei der Ein­hal­tung ihrer Daten­schutz­pflich­ten unter­stüt­zen. Durch die aus­drück­li­che Ein­füh­rung der “Pseud­ony­mi­sie­rung” in die­ser Ver­ord­nung ist nicht beab­sich­tigt, ande­re Daten­schutz­maß­nah­men auszuschließen.

(29) Um Anrei­ze für die Anwen­dung der Pseud­ony­mi­sie­rung bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu schaf­fen, soll­ten Pseud­ony­mi­sie­rungs­maß­nah­men, die jedoch eine all­ge­mei­ne Ana­ly­se zulas­sen, bei dem­sel­ben Ver­ant­wort­li­chen mög­lich sein, wenn die­ser die erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men getrof­fen hat, um — für die jewei­li­ge Ver­ar­bei­tung — die Umset­zung die­ser Ver­ord­nung zu gewähr­lei­sten, wobei sicher­zu­stel­len ist, dass zusätz­li­che Infor­ma­tio­nen, mit denen die per­so­nen­be­zo­ge­nen Daten einer spe­zi­el­len betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen, geson­dert auf­be­wahrt wer­den. Der für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­ant­wort­li­che, soll­te die befug­ten Per­so­nen bei die­sem Ver­ant­wort­li­chen angeben.

(30) Natür­li­chen Per­so­nen wer­den unter Umstän­den Online-Ken­nun­gen wie IP-Adres­sen und Coo­kie-Ken­nun­gen, die sein Gerät oder Soft­ware-Anwen­dun­gen und ‑Tools oder Pro­to­kol­le lie­fern, oder son­sti­ge Ken­nun­gen wie Funk­fre­quenz­kenn­zeich­nun­gen zuge­ord­net. Dies kann Spu­ren hin­ter­las­sen, die ins­be­son­de­re in Kom­bi­na­ti­on mit ein­deu­ti­gen Ken­nun­gen und ande­ren beim Ser­ver ein­ge­hen­den Infor­ma­tio­nen dazu benutzt wer­den kön­nen, um Pro­fi­le der natür­li­chen Per­so­nen zu erstel­len und sie zu identifizieren.

2.Ver­ar­bei­tung” jeden mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang oder jede sol­che Vor­gangs­rei­he im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Erhe­ben, das Erfas­sen, die Orga­ni­sa­ti­on, das Ord­nen, die Spei­che­rung, die Anpas­sung oder Ver­än­de­rung, das Aus­le­sen, das Abfra­gen, die Ver­wen­dung, die Offen­le­gung durch Über­mitt­lung, Ver­brei­tung oder eine ande­re Form der Bereit­stel­lung, den Abgleich oder die Ver­knüp­fung, die Ein­schrän­kung, das Löschen oder die Vernichtung;

3.Ein­schrän­kung der Ver­ar­bei­tung” die Mar­kie­rung gespei­cher­ter per­so­nen­be­zo­ge­ner Daten mit dem Ziel, ihre künf­ti­ge Ver­ar­bei­tung einzuschränken;

4.Pro­filing” jede Art der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die dar­in besteht, dass die­se per­so­nen­be­zo­ge­nen Daten ver­wen­det wer­den, um bestimm­te per­sön­li­che Aspek­te, die sich auf eine natür­li­che Per­son bezie­hen, zu bewer­ten, ins­be­son­de­re um Aspek­te bezüg­lich Arbeits­lei­stung, wirt­schaft­li­che Lage, Gesund­heit, per­sön­li­che Vor­lie­ben, Inter­es­sen, Zuver­läs­sig­keit, Ver­hal­ten, Auf­ent­halts­ort oder Orts­wech­sel die­ser natür­li­chen Per­son zu ana­ly­sie­ren oder vorherzusagen;

5.Pseud­ony­mi­sie­rung” die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in einer Wei­se, dass die per­so­nen­be­zo­ge­nen Daten ohne Hin­zu­zie­hung zusätz­li­cher Infor­ma­tio­nen nicht mehr einer spe­zi­fi­schen betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen, sofern die­se zusätz­li­chen Infor­ma­tio­nen geson­dert auf­be­wahrt wer­den und tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men unter­lie­gen, die gewähr­lei­sten, dass die per­so­nen­be­zo­ge­nen Daten nicht einer iden­ti­fi­zier­ten oder iden­ti­fi­zier­ba­ren natür­li­chen Per­son zuge­wie­sen werden;

6.Datei­sy­stem” jede struk­tu­rier­te Samm­lung per­so­nen­be­zo­ge­ner Daten, die nach bestimm­ten Kri­te­ri­en zugäng­lich sind, unab­hän­gig davon, ob die­se Samm­lung zen­tral, dezen­tral oder nach funk­tio­na­len oder geo­gra­fi­schen Gesichts­punk­ten geord­net geführt wird;

7.Ver­ant­wort­li­cher” die natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwecke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det; sind die Zwecke und Mit­tel die­ser Ver­ar­bei­tung durch das Uni­ons­recht oder das Recht der Mit­glied­staa­ten vor­ge­ge­ben, so kann der Ver­ant­wort­li­che bezie­hungs­wei­se kön­nen die bestimm­ten Kri­te­ri­en sei­ner Benen­nung nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten vor­ge­se­hen werden;

8.Auf­trags­ver­ar­bei­ter” eine natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die per­so­nen­be­zo­ge­ne Daten im Auf­trag des Ver­ant­wort­li­chen verarbeitet;

9.Emp­fän­ger” eine natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, der per­so­nen­be­zo­ge­ne Daten offen­ge­legt wer­den, unab­hän­gig davon, ob es sich bei ihr um einen Drit­ten han­delt oder nicht. Behör­den, die im Rah­men eines bestimm­ten Unter­su­chungs­auf­trags nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten mög­li­cher­wei­se per­so­nen­be­zo­ge­ne Daten erhal­ten, gel­ten jedoch nicht als Emp­fän­ger; die Ver­ar­bei­tung die­ser Daten durch die genann­ten Behör­den erfolgt im Ein­klang mit den gel­ten­den Daten­schutz­vor­schrif­ten gemäß den Zwecken der Verarbeitung;

10.Drit­ter” eine natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, außer der betrof­fe­nen Per­son, dem Ver­ant­wort­li­chen, dem Auf­trags­ver­ar­bei­ter und den Per­so­nen, die unter der unmit­tel­ba­ren Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters befugt sind, die per­so­nen­be­zo­ge­nen Daten zu verarbeiten;

11.Ein­wil­li­gung” der betrof­fe­nen Per­son jede frei­wil­lig für den bestimm­ten Fall, in infor­mier­ter Wei­se und unmiss­ver­ständ­lich abge­ge­be­ne Wil­lens­be­kun­dung in Form einer Erklä­rung oder einer son­sti­gen ein­deu­ti­gen bestä­ti­gen­den Hand­lung, mit der die betrof­fe­ne Per­son zu ver­ste­hen gibt, dass sie mit der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist;

Erwä­gungs­grün­de

(32) Die Ein­wil­li­gung soll­te durch eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung erfol­gen, mit der frei­wil­lig, für den kon­kre­ten Fall, in infor­mier­ter Wei­se und unmiss­ver­ständ­lich bekun­det wird, dass die betrof­fe­ne Per­son mit der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist, etwa in Form einer schrift­li­chen Erklä­rung, die auch elek­tro­nisch erfol­gen kann, oder einer münd­li­chen Erklä­rung. Dies könn­te etwa durch Anklicken eines Käst­chens beim Besuch einer Inter­net­sei­te, durch die Aus­wahl tech­ni­scher Ein­stel­lun­gen für Dien­ste der Infor­ma­ti­ons­ge­sell­schaft oder durch eine ande­re Erklä­rung oder Ver­hal­tens­wei­se gesche­hen, mit der die betrof­fe­ne Per­son in dem jewei­li­gen Kon­text ein­deu­tig ihr Ein­ver­ständ­nis mit der beab­sich­tig­ten Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten signa­li­siert. Still­schwei­gen, bereits ange­kreuz­te Käst­chen oder Untä­tig­keit der betrof­fe­nen Per­son soll­ten daher kei­ne Ein­wil­li­gung dar­stel­len. Die Ein­wil­li­gung soll­te sich auf alle zu dem­sel­ben Zweck oder den­sel­ben Zwecken vor­ge­nom­me­nen Ver­ar­bei­tungs­vor­gän­ge bezie­hen. Wenn die Ver­ar­bei­tung meh­re­ren Zwecken dient, soll­te für alle die­se Ver­ar­bei­tungs­zwecke eine Ein­wil­li­gung gege­ben wer­den. Wird die betrof­fe­ne Per­son auf elek­tro­ni­schem Weg zur Ein­wil­li­gung auf­ge­for­dert, so muss die Auf­for­de­rung in kla­rer und knap­per Form und ohne unnö­ti­ge Unter­bre­chung des Dien­stes, für den die Ein­wil­li­gung gege­ben wird, erfolgen.

(33) Oft­mals kann der Zweck der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke der wis­sen­schaft­li­chen For­schung zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten nicht voll­stän­dig ange­ge­ben wer­den. Daher soll­te es betrof­fe­nen Per­so­nen erlaubt sein, ihre Ein­wil­li­gung für bestimm­te Berei­che wis­sen­schaft­li­cher For­schung zu geben, wenn dies unter Ein­hal­tung der aner­kann­ten ethi­schen Stan­dards der wis­sen­schaft­li­chen For­schung geschieht. Die betrof­fe­nen Per­so­nen soll­ten Gele­gen­heit erhal­ten, ihre Ein­wil­li­gung nur für bestim­me For­schungs­be­rei­che oder Tei­le von For­schungs­pro­jek­ten in dem vom ver­folg­ten Zweck zuge­las­se­nen Maße zu ertei­len. zu geben, wenn dies unter Ein­hal­tung der aner­kann­ten ethi­schen Stan­dards der wis­sen­schaft­li­chen For­schung geschieht. Die betrof­fe­nen Per­so­nen soll­ten Gele­gen­heit erhal­ten, ihre Ein­wil­li­gung nur für bestim­me For­schungs­be­rei­che oder Tei­le von For­schungs­pro­jek­ten in dem vom ver­folg­ten Zweck zuge­las­se­nen Maße zu erteilen.

12.Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten” eine Ver­let­zung der Sicher­heit, die, ob unbe­ab­sich­tigt oder unrecht­mä­ßig, zur Ver­nich­tung, zum Ver­lust, zur Ver­än­de­rung, oder zur unbe­fug­ten Offen­le­gung von bezie­hungs­wei­se zum unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten führt, die über­mit­telt, gespei­chert oder auf son­sti­ge Wei­se ver­ar­bei­tet wurden;

13.gene­ti­sche Daten” per­so­nen­be­zo­ge­ne Daten zu den ererb­ten oder erwor­be­nen gene­ti­schen Eigen­schaf­ten einer natür­li­chen Per­son, die ein­deu­ti­ge Infor­ma­tio­nen über die Phy­sio­lo­gie oder die Gesund­heit die­ser natür­li­chen Per­son lie­fern und ins­be­son­de­re aus der Ana­ly­se einer bio­lo­gi­schen Pro­be der betref­fen­den natür­li­chen Per­son gewon­nen wurden;

Erwä­gungs­grün­de

(34) Gene­ti­sche Daten soll­ten als per­so­nen­be­zo­ge­ne Daten über die ererb­ten oder erwor­be­nen gene­ti­schen Eigen­schaf­ten einer natür­li­chen Per­son defi­niert wer­den, die aus der Ana­ly­se einer bio­lo­gi­schen Pro­be der betref­fen­den natür­li­chen Per­son, ins­be­son­de­re durch eine Chro­mo­so­men, Des­oxy­ri­bo­nu­kle­in­säu­re (DNS)- oder Ribo­nu­kle­in­säu­re (RNS)-Analyse oder der Ana­ly­se eines ande­ren Ele­ments, durch die gleich­wer­ti­ge Infor­ma­tio­nen erlangt wer­den kön­nen, gewon­nen werden.

14.bio­me­tri­sche Daten” mit spe­zi­el­len tech­ni­schen Ver­fah­ren gewon­ne­ne per­so­nen­be­zo­ge­ne Daten zu den phy­si­schen, phy­sio­lo­gi­schen oder ver­hal­tens­ty­pi­schen Merk­ma­len einer natür­li­chen Per­son, die die ein­deu­ti­ge Iden­ti­fi­zie­rung die­ser natür­li­chen Per­son ermög­li­chen oder bestä­ti­gen, wie Gesichts­bil­der oder dak­ty­lo­sko­pi­sche Daten;

15.Gesund­heits­da­ten” per­so­nen­be­zo­ge­ne Daten, die sich auf die kör­per­li­che oder gei­sti­ge Gesund­heit einer natür­li­chen Per­son, ein­schließ­lich der Erbrin­gung von Gesund­heits­dienst­lei­stun­gen, bezie­hen und aus denen Infor­ma­tio­nen über deren Gesund­heits­zu­stand hervorgehen;

Erwä­gungs­grün­de

(35) Zu den per­so­nen­be­zo­ge­nen Gesund­heits­da­ten soll­ten alle Daten zäh­len, die sich auf den Gesund­heits­zu­stand einer betrof­fe­nen Per­son bezie­hen und aus denen Infor­ma­tio­nen über den frü­he­ren, gegen­wär­ti­gen und künf­ti­gen kör­per­li­chen oder gei­sti­gen Gesund­heits­zu­stand der betrof­fe­nen Per­son her­vor­ge­hen. Dazu gehö­ren auch Infor­ma­tio­nen über die natür­li­che Per­son, die im Zuge der Anmel­dung für sowie der Erbrin­gung von Gesund­heits­dienst­lei­stun­gen im Sin­ne der Richt­li­nie 2011/24/EU des Euro­päi­schen Par­la­ments und des Rates (9) für die natür­li­che Per­son erho­ben wer­den, Num­mern, Sym­bo­le oder Kenn­zei­chen, die einer natür­li­chen Per­son zuge­teilt wur­den, um die­se natür­li­che Per­son für gesund­heit­li­che Zwecke ein­deu­tig zu iden­ti­fi­zie­ren, Infor­ma­tio­nen, die von der Prü­fung oder Unter­su­chung eines Kör­per­teils oder einer kör­per­ei­ge­nen Sub­stanz, auch aus gene­ti­schen Daten und bio­lo­gi­schen Pro­ben, abge­lei­tet wur­den, und Infor­ma­tio­nen etwa über Krank­hei­ten, Behin­de­run­gen, Krank­heits­ri­si­ken, Vor­er­kran­kun­gen, kli­ni­sche Behand­lun­gen oder den phy­sio­lo­gi­schen oder bio­me­di­zi­ni­schen Zustand der betrof­fe­nen Per­son unab­hän­gig von der Her­kunft der Daten, ob sie nun von einem Arzt oder son­sti­gem Ange­hö­ri­gen eines Gesund­heits­be­ru­fes, einem Kran­ken­haus, einem Medi­zin­pro­dukt oder einem In-Vitro-Dia­gno­sti­kum stammen.

16.Haupt­nie­der­las­sung

a) im Fal­le eines Ver­ant­wort­li­chen mit Nie­der­las­sun­gen in mehr als einem Mit­glied­staat den Ort sei­ner Haupt­ver­wal­tung in der Uni­on, es sei denn, die Ent­schei­dun­gen hin­sicht­lich der Zwecke und Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten wer­den in einer ande­ren Nie­der­las­sung des Ver­ant­wort­li­chen in der Uni­on getrof­fen und die­se Nie­der­las­sung ist befugt, die­se Ent­schei­dun­gen umset­zen zu las­sen; in die­sem Fall gilt die Nie­der­las­sung, die der­ar­ti­ge Ent­schei­dun­gen trifft, als Hauptniederlassung;
b) im Fal­le eines Auf­trags­ver­ar­bei­ters mit Nie­der­las­sun­gen in mehr als einem Mit­glied­staat den Ort sei­ner Haupt­ver­wal­tung in der Uni­on oder, sofern der Auf­trags­ver­ar­bei­ter kei­ne Haupt­ver­wal­tung in der Uni­on hat, die Nie­der­las­sung des Auf­trags­ver­ar­bei­ters in der Uni­on, in der die Ver­ar­bei­tungs­tä­tig­kei­ten im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Auf­trags­ver­ar­bei­ters haupt­säch­lich statt­fin­den, soweit der Auf­trags­ver­ar­bei­ter spe­zi­fi­schen Pflich­ten aus die­ser Ver­ord­nung unterliegt;
Erwä­gungs­grün­de

(36) Die Haupt­nie­der­las­sung des Ver­ant­wort­li­chen in der Uni­on soll­te der Ort sei­ner Haupt­ver­wal­tung in der Uni­on sein, es sei denn, dass Ent­schei­dun­gen über die Zwecke und Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in einer ande­ren Nie­der­las­sung des Ver­ant­wort­li­chen in der Uni­on getrof­fen wer­den; in die­sem Fall soll­te die letzt­ge­nann­te als Haupt­nie­der­las­sung gel­ten. Zur Bestim­mung der Haupt­nie­der­las­sung eines Ver­ant­wort­li­chen in der Uni­on soll­ten objek­ti­ve Kri­te­ri­en her­an­ge­zo­gen wer­den; ein Kri­te­ri­um soll­te dabei die effek­ti­ve und tat­säch­li­che Aus­übung von Manage­ment­tä­tig­kei­ten durch eine feste Ein­rich­tung sein, in deren Rah­men die Grund­satz­ent­schei­dun­gen zur Fest­le­gung der Zwecke und Mit­tel der Ver­ar­bei­tung getrof­fen wer­den. Dabei soll­te nicht aus­schlag­ge­bend sein, ob die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten tat­säch­lich an die­sem Ort aus­ge­führt wird. Das Vor­han­den­sein und die Ver­wen­dung tech­ni­scher Mit­tel und Ver­fah­ren zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten oder Ver­ar­bei­tungs­tä­tig­kei­ten begrün­den an sich noch kei­ne Haupt­nie­der­las­sung und sind daher kein aus­schlag­ge­ben­der Fak­tor für das Bestehen einer Haupt­nie­der­las­sung. Die Haupt­nie­der­las­sung des Auf­trags­ver­ar­bei­ters soll­te der Ort sein, an dem der Auf­trags­ver­ar­bei­ter sei­ne Haupt­ver­wal­tung in der Uni­on hat, oder — wenn er kei­ne Haupt­ver­wal­tung in der Uni­on hat — der Ort, an dem die wesent­li­chen Ver­ar­bei­tungs­tä­tig­kei­ten in der Uni­on statt­fin­den. Sind sowohl der Ver­ant­wort­li­che als auch der Auf­trags­ver­ar­bei­ter betrof­fen, so soll­te die Auf­sichts­be­hör­de des Mit­glied­staats, in dem der Ver­ant­wort­li­che sei­ne Haupt­nie­der­las­sung hat, die zustän­di­ge feder­füh­ren­de Auf­sichts­be­hör­de blei­ben, doch soll­te die Auf­sichts­be­hör­de des Auf­trags­ver­ar­bei­ters als betrof­fe­ne Auf­sichts­be­hör­de betrach­tet wer­den und die­se Auf­sichts­be­hör­de soll­te sich an dem in die­ser Ver­ord­nung vor­ge­se­he­nen Ver­fah­ren der Zusam­men­ar­beit betei­li­gen. Auf jeden Fall soll­ten die Auf­sichts­be­hör­den des Mit­glied­staats oder der Mit­glied­staa­ten, in dem bzw. denen der Auf­trags­ver­ar­bei­ter eine oder meh­re­re Nie­der­las­sun­gen hat, nicht als betrof­fe­ne Auf­sichts­be­hör­den betrach­tet wer­den, wenn sich der Beschlus­s­ent­wurf nur auf den Ver­ant­wort­li­chen bezieht. Wird die Ver­ar­bei­tung durch eine Unter­neh­mens­grup­pe vor­ge­nom­men, so soll­te die Haupt­nie­der­las­sung des herr­schen­den Unter­neh­mens als Haupt­nie­der­las­sung der Unter­neh­mens­grup­pe gel­ten, es sei denn, die Zwecke und Mit­tel der Ver­ar­bei­tung wer­den von einem ande­ren Unter­neh­men festgelegt.

17.Ver­tre­ter” eine in der Uni­on nie­der­ge­las­se­ne natür­li­che oder juri­sti­sche Per­son, die von dem Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter schrift­lich gemäß Arti­kel 27 bestellt wur­de und den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter in Bezug auf die ihnen jeweils nach die­ser Ver­ord­nung oblie­gen­den Pflich­ten vertritt;

18.Unter­neh­men” eine natür­li­che und juri­sti­sche Per­son, die eine wirt­schaft­li­che Tätig­keit aus­übt, unab­hän­gig von ihrer Rechts­form, ein­schließ­lich Per­so­nen­ge­sell­schaf­ten oder Ver­ei­ni­gun­gen, die regel­mä­ßig einer wirt­schaft­li­chen Tätig­keit nachgehen;

19.Unter­neh­mens­grup­pe” eine Grup­pe, die aus einem herr­schen­den Unter­neh­men und den von die­sem abhän­gi­gen Unter­neh­men besteht;

Erwä­gungs­grün­de

(37) Eine Unter­neh­mens­grup­pe soll­te aus einem herr­schen­den Unter­neh­men und den von die­sem abhän­gi­gen Unter­neh­men bestehen, wobei das herr­schen­de Unter­neh­men das­je­ni­ge sein soll­te, das zum Bei­spiel auf­grund der Eigen­tums­ver­hält­nis­se, der finan­zi­el­len Betei­li­gung oder der für das Unter­neh­men gel­ten­den Vor­schrif­ten oder der Befug­nis, Daten­schutz­vor­schrif­ten umset­zen zu las­sen, einen beherr­schen­den Ein­fluss auf die übri­gen Unter­neh­men aus­üben kann. Ein Unter­neh­men, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in ihm ange­schlos­se­nen Unter­neh­men kon­trol­liert, soll­te zusam­men mit die­sen als eine “Unter­neh­mens­grup­pe” betrach­tet werden.

20.ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten” Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten, zu deren Ein­hal­tung sich ein im Hoheits­ge­biet eines Mit­glied­staats nie­der­ge­las­se­ner Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter ver­pflich­tet im Hin­blick auf Daten­über­mitt­lun­gen oder eine Kate­go­rie von Daten­über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an einen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter der­sel­ben Unter­neh­mens­grup­pe oder der­sel­ben Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, in einem oder meh­re­ren Drittländern;

21.Auf­sichts­be­hör­de” eine von einem Mit­glied­staat gemäß Arti­kel 51 ein­ge­rich­te­te unab­hän­gi­ge staat­li­che Stelle;

22.betrof­fe­ne Auf­sichts­be­hör­de” eine Auf­sichts­be­hör­de, die von der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betrof­fen ist, weil

a) der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter im Hoheits­ge­biet des Mit­glied­staats die­ser Auf­sichts­be­hör­de nie­der­ge­las­sen ist,
b) die­se Ver­ar­bei­tung erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen mit Wohn­sitz im Mit­glied­staat die­ser Auf­sichts­be­hör­de hat oder haben kann oder
c) eine Beschwer­de bei die­ser Auf­sichts­be­hör­de ein­ge­reicht wurde;

23.grenz­über­schrei­ten­de Ver­ar­bei­tung” ent­we­der

a) eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die im Rah­men der Tätig­kei­ten von Nie­der­las­sun­gen eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on in mehr als einem Mit­glied­staat erfolgt, wenn der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter in mehr als einem Mit­glied­staat nie­der­ge­las­sen ist, oder
b) eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die im Rah­men der Tätig­kei­ten einer ein­zel­nen Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on erfolgt, die jedoch erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in mehr als einem Mit­glied­staat hat oder haben kann;

24.maß­geb­li­cher und begrün­de­ter Ein­spruch” einen Ein­spruch gegen einen Beschlus­s­ent­wurf im Hin­blick dar­auf, ob ein Ver­stoß gegen die­se Ver­ord­nung vor­liegt oder ob beab­sich­tig­te Maß­nah­men gegen den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter im Ein­klang mit die­ser Ver­ord­nung steht, wobei aus die­sem Ein­spruch die Trag­wei­te der Risi­ken klar her­vor­geht, die von dem Beschlus­s­ent­wurf in Bezug auf die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­so­nen und gege­be­nen­falls den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on ausgehen;

25.Dienst der Infor­ma­ti­ons­ge­sell­schaft” eine Dienst­lei­stung im Sin­ne des Arti­kels 1 Num­mer 1 Buch­sta­be b der Richt­li­nie (EU) 2015/1535 des Euro­päi­schen Par­la­ments und des Rates (19);

26.inter­na­tio­na­le Orga­ni­sa­ti­on” eine völ­ker­recht­li­che Orga­ni­sa­ti­on und ihre nach­ge­ord­ne­ten Stel­len oder jede son­sti­ge Ein­rich­tung, die durch eine zwi­schen zwei oder mehr Län­dern geschlos­se­ne Über­ein­kunft oder auf der Grund­la­ge einer sol­chen Über­ein­kunft geschaf­fen wurde.

Erwä­gungs­grün­de

(31) Behör­den, gegen­über denen per­so­nen­be­zo­ge­ne Daten auf­grund einer recht­li­chen Ver­pflich­tung für die Aus­übung ihres offi­zi­el­len Auf­trags offen­ge­legt wer­den, wie Steu­er- und Zoll­be­hör­den, Finan­zer­mitt­lungs­stel­len, unab­hän­gi­ge Ver­wal­tungs­be­hör­den oder Finanz­markt­be­hör­den, die für die Regu­lie­rung und Auf­sicht von Wert­pa­pier­märk­ten zustän­dig sind, soll­ten nicht als Emp­fän­ger gel­ten, wenn sie per­so­nen­be­zo­ge­ne Daten erhal­ten, die für die Durch­füh­rung — gemäß dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten — eines ein­zel­nen Unter­su­chungs­auf­trags im Inter­es­se der All­ge­mein­heit erfor­der­lich sind. Anträ­ge auf Offen­le­gung, die von Behör­den aus­ge­hen, soll­ten immer schrift­lich erfol­gen, mit Grün­den ver­se­hen sein und gele­gent­li­chen Cha­rak­ter haben, und sie soll­ten nicht voll­stän­di­ge Datei­sy­ste­me betref­fen oder zur Ver­knüp­fung von Datei­sy­ste­men füh­ren. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die genann­ten Behör­den soll­te den für die Zwecke der Ver­ar­bei­tung gel­ten­den Daten­schutz­vor­schrif­ten entsprechen.

Kapi­tel II Grundsätze

Arti­kel 5 Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten

(1) Per­so­nen­be­zo­ge­ne Daten müssen
a) auf recht­mä­ßi­ge Wei­se, nach Treu und Glau­ben und in einer für die betrof­fe­ne Per­son nach­voll­zieh­ba­ren Wei­se ver­ar­bei­tet wer­den (“Recht­mä­ssig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Trans­pa­renz und Infor­ma­ti­on”);
b) für fest­ge­leg­te, ein­deu­ti­ge und legi­ti­me Zwecke erho­ben wer­den und dür­fen nicht in einer mit die­sen Zwecken nicht zu ver­ein­ba­ren­den Wei­se wei­ter­ver­ar­bei­tet wer­den; eine Wei­ter­ver­ar­bei­tung für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, für wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke gilt gemäß Arti­kel 89 Absatz 1 nicht als unver­ein­bar mit den ursprüng­li­chen Zwecken (“Zweck­bin­dung”);
c) dem Zweck ange­mes­sen und erheb­lich sowie auf das für die Zwecke der Ver­ar­bei­tung not­wen­di­ge Maß beschränkt sein (Daten­mi­ni­mie­rung);
d) sach­lich rich­tig und erfor­der­li­chen­falls auf dem neue­sten Stand sein; es sind alle ange­mes­se­nen Maß­nah­men zu tref­fen, damit per­so­nen­be­zo­ge­ne Daten, die im Hin­blick auf die Zwecke ihrer Ver­ar­bei­tung unrich­tig sind, unver­züg­lich gelöscht oder berich­tigt wer­den (“Rich­tig­keit”);
e) in einer Form gespei­chert wer­den, die die Iden­ti­fi­zie­rung der betrof­fe­nen Per­so­nen nur so lan­ge ermög­licht, wie es für die Zwecke, für die sie ver­ar­bei­tet wer­den, erfor­der­lich ist; per­so­nen­be­zo­ge­ne Daten dür­fen län­ger gespei­chert wer­den, soweit die per­so­nen­be­zo­ge­nen Daten vor­be­halt­lich der Durch­füh­rung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, die von die­ser Ver­ord­nung zum Schutz der Rech­te und Frei­hei­ten der betrof­fe­nen Per­son gefor­dert wer­den, aus­schließ­lich für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke oder für wis­sen­schaft­li­che und histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke gemäß Arti­kel 89 Absatz 1 ver­ar­bei­tet wer­den (“Spei­cher­be­gren­zung”);
f) in einer Wei­se ver­ar­bei­tet wer­den, die eine ange­mes­se­ne Sicher­heit der per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet, ein­schließ­lich Schutz vor unbe­fug­ter oder unrecht­mä­ßi­ger Ver­ar­bei­tung und vor unbe­ab­sich­tig­tem Ver­lust, unbe­ab­sich­tig­ter Zer­stö­rung oder unbe­ab­sich­tig­ter Schä­di­gung durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (“Inte­gri­tät und Ver­trau­lich­keit”);

(2) Der Ver­ant­wort­li­che ist für die Ein­hal­tung des Absat­zes 1 ver­ant­wort­lich und muss des­sen Ein­hal­tung nach­wei­sen kön­nen (“Rechen­schafts­pflicht”).

Erwä­gungs­grün­de

39 Jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te recht­mä­ßig und nach Treu und Glau­ben erfol­gen. Für natür­li­che Per­so­nen soll­te Trans­pa­renz dahin­ge­hend bestehen, dass sie betref­fen­de per­so­nen­be­zo­ge­ne Daten erho­ben, ver­wen­det, ein­ge­se­hen oder ander­wei­tig ver­ar­bei­tet wer­den und in wel­chem Umfang die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den und künf­tig noch ver­ar­bei­tet wer­den. Der Grund­satz der Trans­pa­renz setzt vor­aus, dass alle Infor­ma­tio­nen und Mit­tei­lun­gen zur Ver­ar­bei­tung die­ser per­so­nen­be­zo­ge­nen Daten leicht zugäng­lich und ver­ständ­lich und in kla­rer und ein­fa­cher Spra­che abge­fasst sind. Die­ser Grund­satz betrifft ins­be­son­de­re die Infor­ma­tio­nen über die Iden­ti­tät des Ver­ant­wort­li­chen und die Zwecke der Ver­ar­bei­tung und son­sti­ge Infor­ma­tio­nen, die eine fai­re und trans­pa­ren­te Ver­ar­bei­tung im Hin­blick auf die betrof­fe­nen natür­li­chen Per­so­nen gewähr­lei­sten, sowie deren Recht, eine Bestä­ti­gung und Aus­kunft dar­über zu erhal­ten, wel­che sie betref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Natür­li­che Per­so­nen soll­ten über die Risi­ken, Vor­schrif­ten, Garan­tien und Rech­te im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten infor­miert und dar­über auf­ge­klärt wer­den, wie sie ihre dies­be­züg­li­chen Rech­te gel­tend machen kön­nen. Ins­be­son­de­re soll­ten die bestimm­ten Zwecke, zu denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, ein­deu­tig und recht­mä­ßig sein und zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten fest­ste­hen. Die per­so­nen­be­zo­ge­nen Daten soll­ten für die Zwecke, zu denen sie ver­ar­bei­tet wer­den, ange­mes­sen und erheb­lich sowie auf das für die Zwecke ihrer Ver­ar­bei­tung not­wen­di­ge Maß beschränkt sein. Dies erfor­dert ins­be­son­de­re, dass die Spei­cher­frist für per­so­nen­be­zo­ge­ne Daten auf das unbe­dingt erfor­der­li­che Min­dest­maß beschränkt bleibt. Per­so­nen­be­zo­ge­ne Daten soll­ten nur ver­ar­bei­tet wer­den dür­fen, wenn der Zweck der Ver­ar­bei­tung nicht in zumut­ba­rer Wei­se durch ande­re Mit­tel erreicht wer­den kann. Um sicher­zu­stel­len, dass die per­so­nen­be­zo­ge­nen Daten nicht län­ger als nötig gespei­chert wer­den, soll­te der Ver­ant­wort­li­che Fri­sten für ihre Löschung oder regel­mä­ßi­ge Über­prü­fung vor­se­hen. Es soll­ten alle ver­tret­ba­ren Schrit­te unter­nom­men wer­den, damit unrich­ti­ge per­so­nen­be­zo­ge­ne Daten gelöscht oder berich­tigt wer­den. Per­so­nen­be­zo­ge­ne Daten soll­ten so ver­ar­bei­tet wer­den, dass ihre Sicher­heit und Ver­trau­lich­keit hin­rei­chend gewähr­lei­stet ist, wozu auch gehört, dass Unbe­fug­te kei­nen Zugang zu den Daten haben und weder die Daten noch die Gerä­te, mit denen die­se ver­ar­bei­tet wer­den, benut­zen können.

Arti­kel 6 Recht­mä­ßig­keit der Verarbeitung

(1) Die Ver­ar­bei­tung ist nur recht­mä­ßig, wenn min­de­stens eine der nach­ste­hen­den Bedin­gun­gen erfüllt ist:

a) Die betrof­fe­ne Per­son hat ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re bestimm­te Zwecke gegeben;
b) die Ver­ar­bei­tung ist für die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erfor­der­lich, die auf Anfra­ge der betrof­fe­nen Per­son erfolgen;
c) die Ver­ar­bei­tung ist zur Erfül­lung einer recht­li­chen Ver­pflich­tung erfor­der­lich, der der Ver­ant­wort­li­che unterliegt;
d) die Ver­ar­bei­tung ist erfor­der­lich, um lebens­wich­ti­ge Inter­es­sen der betrof­fe­nen Per­son oder einer ande­ren natür­li­chen Per­son zu schützen;
e) die Ver­ar­bei­tung ist für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde;
f) die Ver­ar­bei­tung ist zur Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen oder eines Drit­ten erfor­der­lich, sofern nicht die Inter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son, die den Schutz per­so­nen­be­zo­ge­ner Daten erfor­dern, über­wie­gen, ins­be­son­de­re dann, wenn es sich bei der betrof­fe­nen Per­son um ein Kind handelt.

Unter­ab­satz 1 Buch­sta­be f gilt nicht für die von Behör­den in Erfül­lung ihrer Auf­ga­ben vor­ge­nom­me­ne Verarbeitung.

(2) Die Mit­glied­staa­ten kön­nen spe­zi­fi­sche­re Bestim­mun­gen zur Anpas­sung der Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung in Bezug auf die Ver­ar­bei­tung zur Erfül­lung von Absatz 1 Buch­sta­ben c und e bei­be­hal­ten oder ein­füh­ren, indem sie spe­zi­fi­sche Anfor­de­run­gen für die Ver­ar­bei­tung sowie son­sti­ge Maß­nah­men prä­zi­ser bestim­men, um eine recht­mä­ßig und nach Treu und Glau­ben erfol­gen­de Ver­ar­bei­tung zu gewähr­lei­sten, ein­schließ­lich für ande­re beson­de­re Ver­ar­bei­tungs­si­tua­tio­nen gemäß Kapi­tel IX.

(3) Die Rechts­grund­la­ge für die Ver­ar­bei­tun­gen gemäß Absatz 1 Buch­sta­ben c und e wird fest­ge­legt durch

a) Uni­ons­recht oder
b) das Recht der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unterliegt.

Der Zweck der Ver­ar­bei­tung muss in die­ser Rechts­grund­la­ge fest­ge­legt oder hin­sicht­lich der Ver­ar­bei­tung gemäß Absatz 1 Buch­sta­be e für die Erfül­lung einer Auf­ga­be erfor­der­lich sein, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de. Die­se Rechts­grund­la­ge kann spe­zi­fi­sche Bestim­mun­gen zur Anpas­sung der Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung ent­hal­ten, unter ande­rem Bestim­mun­gen dar­über, wel­che all­ge­mei­nen Bedin­gun­gen für die Rege­lung der Recht­mä­ßig­keit der Ver­ar­bei­tung durch den Ver­ant­wort­li­chen gel­ten, wel­che Arten von Daten ver­ar­bei­tet wer­den, wel­che Per­so­nen betrof­fen sind, an wel­che Ein­rich­tun­gen und für wel­che Zwecke die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wer­den dür­fen, wel­cher Zweck­bin­dung sie unter­lie­gen, wie lan­ge sie gespei­chert wer­den dür­fen und wel­che Ver­ar­bei­tungs­vor­gän­ge und ‑ver­fah­ren ange­wandt wer­den dür­fen, ein­schließ­lich Maß­nah­men zur Gewähr­lei­stung einer recht­mä­ßig und nach Treu und Glau­ben erfol­gen­den Ver­ar­bei­tung, wie sol­che für son­sti­ge beson­de­re Ver­ar­bei­tungs­si­tua­tio­nen gemäß Kapi­tel IX. Das Uni­ons­recht oder das Recht der Mit­glied­staa­ten müs­sen ein im öffent­li­chen Inter­es­se lie­gen­des Ziel ver­fol­gen und in einem ange­mes­se­nen Ver­hält­nis zu dem ver­folg­ten legi­ti­men Zweck stehen.

(4) Beruht die Ver­ar­bei­tung zu einem ande­ren Zweck als zu dem­je­ni­gen, zu dem die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, nicht auf der Ein­wil­li­gung der betrof­fe­nen Per­son oder auf einer Rechts­vor­schrift der Uni­on oder der Mit­glied­staa­ten, die in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me zum Schutz der in Arti­kel 23 Absatz 1 genann­ten Zie­le dar­stellt, so berück­sich­tigt der Ver­ant­wort­li­che — um fest­zu­stel­len, ob die Ver­ar­bei­tung zu einem ande­ren Zweck mit dem­je­ni­gen, zu dem die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, ver­ein­bar ist — unter anderem

a) jede Ver­bin­dung zwi­schen den Zwecken, für die die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, und den Zwecken der beab­sich­tig­ten Weiterverarbeitung,
b) den Zusam­men­hang, in dem die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, ins­be­son­de­re hin­sicht­lich des Ver­hält­nis­ses zwi­schen den betrof­fe­nen Per­so­nen und dem Verantwortlichen,
c) die Art der per­so­nen­be­zo­ge­nen Daten, ins­be­son­de­re ob Beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten gemäß Arti­kel 9 ver­ar­bei­tet wer­den oder ob per­so­nen­be­zo­ge­ne Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gemäß Arti­kel 10 ver­ar­bei­tet werden,
d) die mög­li­chen Fol­gen der beab­sich­tig­ten Wei­ter­ver­ar­bei­tung für die betrof­fe­nen Personen,
e) das Vor­han­den­sein geeig­ne­ter Garan­tien, wozu Ver­schlüs­se­lung oder Pseud­ony­mi­sie­rung gehö­ren kann.
Erwä­gungs­grün­de

(40) Damit die Ver­ar­bei­tung recht­mä­ßig ist, müs­sen per­so­nen­be­zo­ge­ne Daten mit Ein­wil­li­gung der betrof­fe­nen Per­son oder auf einer son­sti­gen zuläs­si­gen Rechts­grund­la­ge ver­ar­bei­tet wer­den, die sich aus die­ser Ver­ord­nung oder — wann immer in die­ser Ver­ord­nung dar­auf Bezug genom­men wird — aus dem son­sti­gen Uni­ons­recht oder dem Recht der Mit­glied­staa­ten ergibt, so unter ande­rem auf der Grund­la­ge, dass sie zur Erfül­lung der recht­li­chen Ver­pflich­tung, der der Ver­ant­wort­li­che unter­liegt, oder zur Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder für die Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men, die auf Anfra­ge der betrof­fe­nen Per­son erfol­gen, erfor­der­lich ist.

(41) Wenn in die­ser Ver­ord­nung auf eine Rechts­grund­la­ge oder eine Gesetz­ge­bungs­maß­nah­me Bezug genom­men wird, erfor­dert dies nicht not­wen­di­ger­wei­se einen von einem Par­la­ment ange­nom­me­nen Gesetz­ge­bungs­akt; davon unbe­rührt blei­ben Anfor­de­run­gen gemäß der Ver­fas­sungs­ord­nung des betref­fen­den Mit­glied­staats. Die ent­spre­chen­de Rechts­grund­la­ge oder Gesetz­ge­bungs­maß­nah­me soll­te jedoch klar und prä­zi­se sein und ihre Anwen­dung soll­te für die Rechts­un­ter­wor­fe­nen gemäß der Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on (im Fol­gen­den “Gerichts­hof”) und des Euro­päi­schen Gerichts­hofs für Men­schen­rech­te vor­her­seh­bar sein.

(44) Die Ver­ar­bei­tung von Daten soll­te als recht­mä­ßig gel­ten, wenn sie für die Erfül­lung oder den geplan­ten Abschluss eines Ver­trags erfor­der­lich ist.

(45) Erfolgt die Ver­ar­bei­tung durch den Ver­ant­wort­li­chen auf­grund einer ihm oblie­gen­den recht­li­chen Ver­pflich­tung oder ist die Ver­ar­bei­tung zur Wahr­neh­mung einer Auf­ga­be im öffent­li­chen Inter­es­se oder in Aus­übung öffent­li­cher Gewalt erfor­der­lich, muss hier­für eine Grund­la­ge im Uni­ons­frak­ti­on nsrecht oder im Recht eines Mit­glied­staats bestehen. Mit die­ser Ver­ord­nung wird nicht für jede ein­zel­ne Ver­ar­bei­tung ein spe­zi­fi­sches Gesetz ver­langt. Ein Gesetz als Grund­la­ge für meh­re­re Ver­ar­bei­tungs­vor­gän­ge kann aus­rei­chend sein, wenn die Ver­ar­bei­tung auf­grund einer dem Ver­ant­wort­li­chen oblie­gen­den recht­li­chen Ver­pflich­tung erfolgt oder wenn die Ver­ar­bei­tung zur Wahr­neh­mung einer Auf­ga­be im öffent­li­chen Inter­es­se oder in Aus­übung öffent­li­cher Gewalt erfor­der­lich ist. Des­glei­chen soll­te im Uni­ons­recht oder im Recht der Mit­glied­staa­ten gere­gelt wer­den, für wel­che Zwecke die Daten ver­ar­bei­tet wer­den dür­fen. Fer­ner könn­ten in die­sem Recht die all­ge­mei­nen Bedin­gun­gen die­ser Ver­ord­nung zur Rege­lung der Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten prä­zi­siert und es könn­te dar­in fest­ge­legt wer­den, wie der Ver­ant­wort­li­che zu bestim­men ist, wel­che Art von per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, wel­che Per­so­nen betrof­fen sind, wel­chen Ein­rich­tun­gen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt, für wel­che Zwecke und wie lan­ge sie gespei­chert wer­den dür­fen und wel­che ande­ren Maß­nah­men ergrif­fen wer­den, um zu gewähr­lei­sten, dass die Ver­ar­bei­tung recht­mä­ßig und nach Treu und Glau­ben erfolgt. Des­glei­chen soll­te im Uni­ons­recht oder im Recht der Mit­glied­staa­ten gere­gelt wer­den, ob es sich bei dem Ver­ant­wort­li­chen, der eine Auf­ga­be wahr­nimmt, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, um eine Behör­de oder um eine ande­re unter das öffent­li­che Recht fal­len­de natür­li­che oder juri­sti­sche Per­son oder, sofern dies durch das öffent­li­che Inter­es­se ein­schließ­lich gesund­heit­li­cher Zwecke, wie die öffent­li­che Gesund­heit oder die sozia­le Sicher­heit oder die Ver­wal­tung von Lei­stun­gen der Gesund­heits­für­sor­ge, gerecht­fer­tigt ist, eine natür­li­che oder juri­sti­sche Per­son des Pri­vat­rechts, wie bei­spiels­wei­se eine Berufs­ver­ei­ni­gung, han­deln sollte.

(46) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te eben­falls als recht­mä­ßig ange­se­hen wer­den, wenn sie erfor­der­lich ist, um ein lebens­wich­ti­ges Inter­es­se der betrof­fe­nen Per­son oder einer ande­ren natür­li­chen Per­son zu schüt­zen. Per­so­nen­be­zo­ge­ne Daten soll­ten grund­sätz­lich nur dann auf­grund eines lebens­wich­ti­gen Inter­es­ses einer ande­ren natür­li­chen Per­son ver­ar­bei­tet wer­den, wenn die Ver­ar­bei­tung offen­sicht­lich nicht auf eine ande­re Rechts­grund­la­ge gestützt wer­den kann. Eini­ge Arten der Ver­ar­bei­tung kön­nen sowohl wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses als auch lebens­wich­ti­gen Inter­es­sen der betrof­fe­nen Per­son die­nen; so kann bei­spiels­wei­se die Ver­ar­bei­tung für huma­ni­tä­re Zwecke ein­schließ­lich der Über­wa­chung von Epi­de­mien und deren Aus­brei­tung oder in huma­ni­tä­ren Not­fäl­len ins­be­son­de­re bei Natur­ka­ta­stro­phen oder vom Men­schen ver­ur­sach­ten Kata­stro­phen erfor­der­lich sein.

(47) Die Recht­mä­ßig­keit der Ver­ar­bei­tung kann durch die berech­tig­ten Inter­es­sen eines Ver­ant­wort­li­chen, auch eines Ver­ant­wort­li­chen, dem die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wer­den dür­fen, oder eines Drit­ten begrün­det sein, sofern die Inter­es­sen oder die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen; dabei sind die ver­nünf­ti­gen Erwar­tun­gen der betrof­fe­nen Per­son, die auf ihrer Bezie­hung zu dem Ver­ant­wort­li­chen beru­hen, zu berück­sich­ti­gen. Ein berech­tig­tes Inter­es­se könn­te bei­spiels­wei­se vor­lie­gen, wenn eine maß­geb­li­che und ange­mes­se­ne Bezie­hung zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen besteht, z. B. wenn die betrof­fe­ne Per­son ein Kun­de des Ver­ant­wort­li­chen ist oder in sei­nen Dien­sten steht. Auf jeden Fall wäre das Bestehen eines berech­tig­ten Inter­es­ses beson­ders sorg­fäl­tig abzu­wä­gen, wobei auch zu prü­fen ist, ob eine betrof­fe­ne Per­son zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten und ange­sichts der Umstän­de, unter denen sie erfolgt, ver­nünf­ti­ger­wei­se abse­hen kann, dass mög­li­cher­wei­se eine Ver­ar­bei­tung für die­sen Zweck erfol­gen wird. Ins­be­son­de­re dann, wenn per­so­nen­be­zo­ge­ne Daten in Situa­tio­nen ver­ar­bei­tet wer­den, in denen eine betrof­fe­ne Per­son ver­nünf­ti­ger­wei­se nicht mit einer wei­te­ren Ver­ar­bei­tung rech­nen muss, könn­ten die Inter­es­sen und Grund­rech­te der betrof­fe­nen Per­son das Inter­es­se des Ver­ant­wort­li­chen über­wie­gen. Da es dem Gesetz­ge­ber obliegt, per Rechts­vor­schrift die Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Behör­den zu schaf­fen, soll­te die­se Rechts­grund­la­ge nicht für Ver­ar­bei­tun­gen durch Behör­den gel­ten, die die­se in Erfül­lung ihrer Auf­ga­ben vor­neh­men. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im für die Ver­hin­de­rung von Betrug unbe­dingt erfor­der­li­chen Umfang stellt eben­falls ein berech­tig­tes Inter­es­se des jewei­li­gen Ver­ant­wort­li­chen dar.

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum Zwecke der Direkt­wer­bung kann als eine einem berech­tig­ten Inter­es­se die­nen­de Ver­ar­bei­tung betrach­tet werden.

(48) Ver­ant­wort­li­che, die Teil einer Unter­neh­mens­grup­pe oder einer Grup­pe von Ein­rich­tun­gen sind, die einer zen­tra­len Stel­le zuge­ord­net sind kön­nen ein berech­tig­tes Inter­es­se haben, per­so­nen­be­zo­ge­ne Daten inner­halb der Unter­neh­mens­grup­pe für inter­ne Ver­wal­tungs­zwecke ein­schließ­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Kun­den und Beschäf­tig­ten, zu über­mit­teln. Die Grund­prin­zi­pi­en für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten inner­halb von Unter­neh­mens­grup­pen an ein Unter­neh­men in einem Dritt­land blei­ben unberührt.

(49) Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten durch Behör­den, Com­pu­ter-Not­dien­ste (Com­pu­ter Emer­gen­cy Respon­se Teams — CERT, bezie­hungs­wei­se Com­pu­ter Secu­ri­ty Inci­dent Respon­se Teams — CSIRT), Betrei­ber von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­net­zen und ‑dien­sten sowie durch Anbie­ter von Sicher­heits­tech­no­lo­gien und ‑dien­sten stellt in dem Maße ein berech­tig­tes Inter­es­se des jewei­li­gen Ver­ant­wort­li­chen dar, wie dies für die Gewähr­lei­stung der Netz- und Infor­ma­ti­ons­si­cher­heit unbe­dingt not­wen­dig und ver­hält­nis­mä­ßig ist, d.h. soweit dadurch die Fähig­keit eines Net­zes oder Infor­ma­ti­ons­sy­stems gewähr­lei­stet wird, mit einem vor­ge­ge­be­nen Grad der Zuver­läs­sig­keit Stö­run­gen oder wider­recht­li­che oder mut­wil­li­ge Ein­grif­fe abzu­weh­ren, die die Ver­füg­bar­keit, Authen­ti­zi­tät, Voll­stän­dig­keit und Ver­trau­lich­keit von gespei­cher­ten oder über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten sowie die Sicher­heit damit zusam­men­hän­gen­der Dien­ste, die über die­se Net­ze oder Infor­ma­ti­ons­sy­ste­me ange­bo­ten wer­den bzw. zugäng­lich sind, beein­träch­ti­gen. Ein sol­ches berech­tig­tes Inter­es­se könn­te bei­spiels­wei­se dar­in bestehen, den Zugang Unbe­fug­ter zu elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­net­zen und die Ver­brei­tung schäd­li­cher Pro­gramm­codes zu ver­hin­dern sowie Angrif­fe in Form der geziel­ten Über­la­stung von Ser­vern (“Deni­al of ser­vice”-Angrif­fe) und Schä­di­gun­gen von Com­pu­ter- und elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­sy­ste­men abzuwehren.

(50) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für ande­re Zwecke als die, für die die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, soll­te nur zuläs­sig sein, wenn die Ver­ar­bei­tung mit den Zwecken, für die die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, ver­ein­bar ist. In die­sem Fall ist kei­ne ande­re geson­der­te Rechts­grund­la­ge erfor­der­lich als die­je­ni­ge für die Erhe­bung der per­so­nen­be­zo­ge­nen Daten. Ist die Ver­ar­bei­tung für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, so kön­nen im Uni­ons­recht oder im Recht der Mit­glied­staa­ten die Auf­ga­ben und Zwecke bestimmt und kon­kre­ti­siert wer­den, für die eine Wei­ter­ver­ar­bei­tung als ver­ein­bar und recht­mä­ßig erach­tet wird. Die Wei­ter­ver­ar­bei­tung für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, für wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke soll­te als ver­ein­ba­rer und recht­mä­ßi­ger Ver­ar­bei­tungs­vor­gang gel­ten. Die im Uni­ons­recht oder im Recht der Mit­glied­staa­ten vor­ge­se­he­ne Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kann auch als Rechts­grund­la­ge für eine Wei­ter­ver­ar­bei­tung die­nen. Um fest­zu­stel­len, ob ein Zweck der Wei­ter­ver­ar­bei­tung mit dem Zweck, für den die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, ver­ein­bar ist, soll­te der Ver­ant­wort­li­che nach Ein­hal­tung aller Anfor­de­run­gen für die Recht­mä­ßig­keit der ursprüng­li­chen Ver­ar­bei­tung unter ande­rem prü­fen, ob ein Zusam­men­hang zwi­schen den Zwecken, für die die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, und den Zwecken der beab­sich­tig­ten Wei­ter­ver­ar­bei­tung besteht, in wel­chem Kon­text die Daten erho­ben wur­den, ins­be­son­de­re die ver­nünf­ti­gen Erwar­tun­gen der betrof­fe­nen Per­son, die auf ihrer Bezie­hung zu dem Ver­ant­wort­li­chen beru­hen, in Bezug auf die wei­te­re Ver­we