DSGVO

Der Text der DSGVO. Die Tex­te wur­den auto­ma­ti­siert kon­ver­tiert – wir dan­ken für Hin­wei­se auf Feh­ler. Die Zuord­nung der Erwä­gungs­grün­de zu ein­zel­nen Arti­keln ist nicht offi­zi­ell und nicht trenn­scharf. Als PDF fin­det sich die DSGVO mit Erwä­gungs­grün­den hier, und die eng­li­sche Fas­sung ist hier zu finden. 
aus­klap­pen | ein­klap­pen

Kapi­tel I All­ge­mei­ne Bestimmungen

Arti­kel 1 Gegen­stand und Ziele

(1) Die­se Ver­ord­nung ent­hält Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr sol­cher Daten.
(2) Die­se Ver­ord­nung schützt die Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen und ins­be­son­de­re deren Recht auf Schutz per­so­nen­be­zo­ge­ner Daten.
(3) Der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on darf aus Grün­den des Schut­zes natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten weder ein­ge­schränkt noch ver­bo­ten werden.
Erwä­gungs­grün­de
(1) Der Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist ein Grund­recht. Gemäß Arti­kel 8 Absatz 1 der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on (im Fol­gen­den “Char­ta”) sowie Arti­kel 16 Absatz 1 des Ver­trags über die Arbeits­wei­se der Euro­päi­schen Uni­on (AEUV) hat jede Per­son das Recht auf Schutz der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten.
(2) Die Grund­sät­ze und Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten soll­ten gewähr­lei­sten, dass ihre Grund­rech­te und Grund­frei­hei­ten und ins­be­son­de­re ihr Recht auf Schutz per­so­nen­be­zo­ge­ner Daten unge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts gewahrt blei­ben. Die­se Ver­ord­nung soll zur Voll­endung eines Raums der Frei­heit, der Sicher­heit und des Rechts und einer Wirt­schafts­uni­on, zum wirt­schaft­li­chen und sozia­len Fort­schritt, zur Stär­kung und zum Zusam­men­wach­sen der Volks­wirt­schaf­ten inner­halb des Bin­nen­markts sowie zum Wohl­erge­hen natür­li­cher Per­so­nen beitragen.
(3) Zweck der Richt­li­nie 95/46/EG des Euro­päi­schen Par­la­ments und des Rates (4) ist die Har­mo­ni­sie­rung der Vor­schrif­ten zum Schutz der Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen bei der Daten­ver­ar­bei­tung sowie die Gewähr­lei­stung des frei­en Ver­kehrs per­so­nen­be­zo­ge­ner Daten zwi­schen den Mitgliedstaaten.
(4) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te im Dien­ste der Mensch­heit ste­hen. Das Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten ist kein unein­ge­schränk­tes Recht; es muss im Hin­blick auf sei­ne gesell­schaft­li­che Funk­ti­on gese­hen und unter Wah­rung des Ver­hält­nis­mä­ßig­keits­prin­zips gegen ande­re Grund­rech­te abge­wo­gen wer­den. Die­se Ver­ord­nung steht im Ein­klang mit allen Grund­rech­ten und ach­tet alle Frei­hei­ten und Grund­sät­ze, die mit der Char­ta aner­kannt wur­den und in den Euro­päi­schen Ver­trä­gen ver­an­kert sind, ins­be­son­de­re Ach­tung des Pri­vat- und Fami­li­en­le­bens, der Woh­nung und der Kom­mu­ni­ka­ti­on, Schutz per­so­nen­be­zo­ge­ner Daten, Gedanken‑, Gewis­sens- und Reli­gi­ons­frei­heit, Frei­heit der Mei­nungs­äu­ße­rung und Infor­ma­ti­ons­frei­heit, unter­neh­me­ri­sche Frei­heit, Recht auf einen wirk­sa­men Rechts­be­helf und ein fai­res Ver­fah­ren und Viel­falt der Kul­tu­ren, Reli­gio­nen und Sprachen.
(5) Die wirt­schaft­li­che und sozia­le Inte­gra­ti­on als Fol­ge eines funk­tio­nie­ren­den Bin­nen­markts hat zu einem deut­li­chen Anstieg des grenz­über­schrei­ten­den Ver­kehrs per­so­nen­be­zo­ge­ner Daten geführt. Der uni­ons­wei­te Aus­tausch per­so­nen­be­zo­ge­ner Daten zwi­schen öffent­li­chen und pri­va­ten Akteu­ren ein­schließ­lich natür­li­chen Per­so­nen, Ver­ei­ni­gun­gen und Unter­neh­men hat zuge­nom­men. Das Uni­ons­recht ver­pflich­tet die Ver­wal­tun­gen der Mit­glied­staa­ten, zusam­men­zu­ar­bei­ten und per­so­nen­be­zo­ge­ne Daten aus­zu­tau­schen, damit sie ihren Pflich­ten nach­kom­men oder für eine Behör­de eines ande­ren Mit­glied­staats Auf­ga­ben durch­füh­ren können.
(6) Rasche tech­no­lo­gi­sche Ent­wick­lun­gen und die Glo­ba­li­sie­rung haben den Daten­schutz vor neue Her­aus­for­de­run­gen gestellt. Das Aus­maß der Erhe­bung und des Aus­tauschs per­so­nen­be­zo­ge­ner Daten hat ein­drucks­voll zuge­nom­men. Die Tech­nik macht es mög­lich, dass pri­va­te Unter­neh­men und Behör­den im Rah­men ihrer Tätig­kei­ten in einem noch nie dage­we­se­nen Umfang auf per­so­nen­be­zo­ge­ne Daten zurück­grei­fen. Zuneh­mend machen auch natür­li­che Per­so­nen Infor­ma­tio­nen öffent­lich welt­weit zugäng­lich. Die Tech­nik hat das wirt­schaft­li­che und gesell­schaft­li­che Leben ver­än­dert und dürf­te den Ver­kehr per­so­nen­be­zo­ge­ner Daten inner­halb der Uni­on sowie die Daten­über­mitt­lung an Dritt­län­der und inter­na­tio­na­le Orga­ni­sa­tio­nen noch wei­ter erleich­tern, wobei ein hohes Daten­schutz­ni­veau zu gewähr­lei­sten ist.
(7) Die­se Ent­wick­lun­gen erfor­dern einen soli­den, kohä­ren­te­ren und klar durch­setz­ba­ren Rechts­rah­men im Bereich des Daten­schut­zes in der Uni­on, da es von gro­ßer Wich­tig­keit ist, eine Ver­trau­ens­ba­sis zu schaf­fen, die die digi­ta­le Wirt­schaft drin­gend benö­tigt, um im Bin­nen­markt wei­ter wach­sen zu kön­nen. Natür­li­che Per­so­nen soll­ten die Kon­trol­le über ihre eige­nen Daten besit­zen. Natür­li­che Per­so­nen, Wirt­schaft und Staat soll­ten in recht­li­cher und prak­ti­scher Hin­sicht über mehr Sicher­heit verfügen.
(8) Wenn in die­ser Ver­ord­nung Prä­zi­sie­run­gen oder Ein­schrän­kun­gen ihrer Vor­schrif­ten durch das Recht der Mit­glied­staa­ten vor­ge­se­hen sind, kön­nen die Mit­glied­staa­ten Tei­le die­ser Ver­ord­nung in ihr natio­na­les Recht auf­neh­men, soweit dies erfor­der­lich ist, um die Kohä­renz zu wah­ren und die natio­na­len Rechts­vor­schrif­ten für die Per­so­nen, für die sie gel­ten, ver­ständ­li­cher zu machen.
(9) Die Zie­le und Grund­sät­ze der Richt­li­nie 95/46/EG besit­zen nach wie vor Gül­tig­keit, doch hat die Richt­li­nie nicht ver­hin­dern kön­nen, dass der Daten­schutz in der Uni­on unter­schied­lich gehand­habt wird, Rechts­un­si­cher­heit besteht oder in der Öffent­lich­keit die Mei­nung weit ver­brei­tet ist, dass erheb­li­che Risi­ken für den Schutz natür­li­cher Per­so­nen bestehen, ins­be­son­de­re im Zusam­men­hang mit der Benut­zung des Inter­nets. Unter­schie­de beim Schutz­ni­veau für die Rech­te und Frei­hei­ten von natür­li­chen Per­so­nen im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in den Mit­glied­staa­ten, vor allem beim Recht auf Schutz die­ser Daten, kön­nen den uni­ons­wei­ten frei­en Ver­kehr sol­cher Daten behin­dern. Die­se Unter­schie­de im Schutz­ni­veau kön­nen daher ein Hemm­nis für die uni­ons­wei­te Aus­übung von Wirt­schafts­tä­tig­kei­ten dar­stel­len, den Wett­be­werb ver­zer­ren und die Behör­den an der Erfül­lung der ihnen nach dem Uni­ons­recht oblie­gen­den Pflich­ten hin­dern. Sie erklä­ren sich aus den Unter­schie­den bei der Umset­zung und Anwen­dung der Richt­li­nie 95/46/EG.
(10) Um ein gleich­mä­ßi­ges und hohes Daten­schutz­ni­veau für natür­li­che Per­so­nen zu gewähr­lei­sten und die Hemm­nis­se für den Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on zu besei­ti­gen, soll­te das Schutz­ni­veau für die Rech­te und Frei­hei­ten von natür­li­chen Per­so­nen bei der Ver­ar­bei­tung die­ser Daten in allen Mit­glied­staa­ten gleich­wer­tig sein. Die Vor­schrif­ten zum Schutz der Grund­rech­te und Grund­frei­hei­ten von natür­li­chen Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­ten uni­ons­weit gleich­mä­ßig und ein­heit­lich ange­wandt wer­den. Hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zur Erfül­lung einer recht­li­chen Ver­pflich­tung oder zur Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, soll­ten die Mit­glied­staa­ten die Mög­lich­keit haben, natio­na­le Bestim­mun­gen, mit denen die Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung genau­er fest­ge­legt wird, bei­zu­be­hal­ten oder ein­zu­füh­ren. In Ver­bin­dung mit den all­ge­mei­nen und hori­zon­ta­len Rechts­vor­schrif­ten über den Daten­schutz zur Umset­zung der Richt­li­nie 95/46/EG gibt es in den Mit­glied­staa­ten meh­re­re sek­tor­spe­zi­fi­sche Rechts­vor­schrif­ten in Berei­chen, die spe­zi­fi­sche­re Bestim­mun­gen erfor­dern. Die­se Ver­ord­nung bie­tet den Mit­glied­staa­ten zudem einen Spiel­raum für die Spe­zi­fi­zie­rung ihrer Vor­schrif­ten, auch für die Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten (im Fol­gen­den “sen­si­ble Daten”). Dies­be­züg­lich schließt die­se Ver­ord­nung nicht Rechts­vor­schrif­ten der Mit­glied­staa­ten aus, in denen die Umstän­de beson­de­rer Ver­ar­bei­tungs­si­tua­tio­nen fest­ge­legt wer­den, ein­schließ­lich einer genaue­ren Bestim­mung der Vor­aus­set­zun­gen, unter denen die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig ist.
(11) Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten erfor­dert die Stär­kung und prä­zi­se Fest­le­gung der Rech­te der betrof­fe­nen Per­so­nen sowie eine Ver­schär­fung der Ver­pflich­tun­gen für die­je­ni­gen, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten und dar­über ent­schei­den, eben­so wie — in den Mit­glied­staa­ten — glei­che Befug­nis­se bei der Über­wa­chung und Gewähr­lei­stung der Ein­hal­tung der Vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten sowie glei­che Sank­tio­nen im Fal­le ihrer Verletzung.
(12) Arti­kel 16 Absatz 2 AEUV ermäch­tigt das Euro­päi­sche Par­la­ment und den Rat, Vor­schrif­ten über den Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr sol­cher Daten zu erlassen.
(13) Damit in der Uni­on ein gleich­mä­ßi­ges Daten­schutz­ni­veau für natür­li­che Per­so­nen gewähr­lei­stet ist und Unter­schie­de, die den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten im Bin­nen­markt behin­dern könn­ten, besei­tigt wer­den, ist eine Ver­ord­nung erfor­der­lich, die für die Wirt­schafts­teil­neh­mer ein­schließ­lich Kleinst­un­ter­neh­men sowie klei­ner und mitt­le­rer Unter­neh­men Rechts­si­cher­heit und Trans­pa­renz schafft, natür­li­che Per­so­nen in allen Mit­glied­staa­ten mit dem­sel­ben Niveau an durch­setz­ba­ren Rech­ten aus­stat­tet, die­sel­ben Pflich­ten und Zustän­dig­kei­ten für die Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­ter vor­sieht und eine gleich­mä­ßi­ge Kon­trol­le der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und gleich­wer­ti­ge Sank­tio­nen in allen Mit­glied­staa­ten sowie eine wirk­sa­me Zusam­men­ar­beit zwi­schen den Auf­sichts­be­hör­den der ein­zel­nen Mit­glied­staa­ten gewähr­lei­stet. Das rei­bungs­lo­se Funk­tio­nie­ren des Bin­nen­markts erfor­dert, dass der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on nicht aus Grün­den des Schut­zes natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein­ge­schränkt oder ver­bo­ten wird. Um der beson­de­ren Situa­ti­on der Kleinst­un­ter­neh­men sowie der klei­nen und mitt­le­ren Unter­neh­men Rech­nung zu tra­gen, ent­hält die­se Ver­ord­nung eine abwei­chen­de Rege­lung hin­sicht­lich des Füh­rens eines Ver­zeich­nis­ses für Ein­rich­tun­gen, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen. Außer­dem wer­den die Orga­ne und Ein­rich­tun­gen der Uni­on sowie die Mit­glied­staa­ten und deren Auf­sichts­be­hör­den dazu ange­hal­ten, bei der Anwen­dung die­ser Ver­ord­nung die beson­de­ren Bedürf­nis­se von Kleinst­un­ter­neh­men sowie von klei­nen und mitt­le­ren Unter­neh­men zu berück­sich­ti­gen. Für die Defi­ni­ti­on des Begriffs “Kleinst­un­ter­neh­men sowie klei­ne und mitt­le­re Unter­neh­men” soll­te Arti­kel 2 des Anhangs zur Emp­feh­lung 2003/361/EG der Kom­mis­si­on (5) maß­ge­bend sein.

Arti­kel 2 Sach­li­cher Anwendungsbereich

(1) Die­se Ver­ord­nung gilt für die ganz oder teil­wei­se auto­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie für die nicht­au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die in einem Datei­sy­stem gespei­chert sind oder gespei­chert wer­den sollen.
(2) Die­se Ver­ord­nung fin­det kei­ne Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten
a) im Rah­men einer Tätig­keit, die nicht in den Anwen­dungs­be­reich des Uni­ons­rechts fällt,
b) durch die Mit­glied­staa­ten im Rah­men von Tätig­kei­ten, die in den Anwen­dungs­be­reich von Titel V Kapi­tel 2 EUV fallen,
c) durch natür­li­che Per­so­nen zur Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätigkeiten,
d) durch die zustän­di­gen Behör­den zum Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicherheit.
(3) Für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Orga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Uni­on gilt die Ver­ord­nung (EG) Nr. 45/2001. Die Ver­ord­nung (EG) Nr. 45/2001 und son­sti­ge Rechts­ak­te der Uni­on, die die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten regeln, wer­den im Ein­klang mit Arti­kel 98 an die Grund­sät­ze und Vor­schrif­ten der vor­lie­gen­den Ver­ord­nung angepasst.
(4) Die vor­lie­gen­de Ver­ord­nung lässt die Anwen­dung der Richt­li­nie 2000/31/EG und spe­zi­ell die Vor­schrif­ten der Arti­kel 12 bis 15 die­ser Richt­li­nie zur Ver­ant­wort­lich­keit der Ver­mitt­ler unberührt.
Erwä­gungs­grün­de
(14) Der durch die­se Ver­ord­nung gewähr­te Schutz soll­te für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten natür­li­cher Per­so­nen unge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts gel­ten. Die­se Ver­ord­nung gilt nicht für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten juri­sti­scher Per­so­nen und ins­be­son­de­re als juri­sti­sche Per­son gegrün­de­ter Unter­neh­men, ein­schließ­lich Name, Rechts­form oder Kon­takt­da­ten der juri­sti­schen Person.
(15) Um ein ernst­haf­tes Risi­ko einer Umge­hung der Vor­schrif­ten zu ver­mei­den, soll­te der Schutz natür­li­cher Per­so­nen tech­no­lo­gie­neu­tral sein und nicht von den ver­wen­de­ten Tech­ni­ken abhän­gen. Der Schutz natür­li­cher Per­so­nen soll­te für die auto­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten eben­so gel­ten wie für die manu­el­le Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, wenn die per­so­nen­be­zo­ge­nen Daten in einem Datei­sy­stem gespei­chert sind oder gespei­chert wer­den sol­len. Akten oder uuAk­ten­samm­lun­gen sowie ihre Deck­blät­ter, die nicht nach bestimm­ten Kri­te­ri­en geord­net sind, soll­ten nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fallen.
(16) Die­se Ver­ord­nung gilt nicht für Fra­gen des Schut­zes von Grund­rech­ten und Grund­frei­hei­ten und des frei­en Ver­kehrs per­so­nen­be­zo­ge­ner Daten im Zusam­men­hang mit Tätig­kei­ten, die nicht in den Anwen­dungs­be­reich des Uni­ons­rechts fal­len, wie etwa die natio­na­le Sicher­heit betref­fen­de Tätig­kei­ten. Die­se Ver­ord­nung gilt nicht für die von den Mit­glied­staa­ten im Rah­men der Gemein­sa­men Außen- und Sicher­heits­po­li­tik der Uni­on durch­ge­führ­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.
(17) Die Ver­ord­nung (EG) Nr. 45/2001 des Euro­päi­schen Par­la­ments und des Rates (6) gilt für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Orga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Uni­on. Die Ver­ord­nung (EG) Nr. 45/2001 und son­sti­ge Rechts­ak­te der Uni­on, die die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten regeln, soll­ten an die Grund­sät­ze und Vor­schrif­ten der vor­lie­gen­den Ver­ord­nung ange­passt und im Lich­te der vor­lie­gen­den Ver­ord­nung ange­wandt wer­den. Um einen soli­den und kohä­ren­ten Rechts­rah­men im Bereich des Daten­schut­zes in der Uni­on zu gewähr­lei­sten, soll­ten die erfor­der­li­chen Anpas­sun­gen der Ver­ord­nung (EG) Nr. 45/2001 im Anschluss an den Erlass der vor­lie­gen­den Ver­ord­nung vor­ge­nom­men wer­den, damit sie gleich­zei­tig mit der vor­lie­gen­den Ver­ord­nung ange­wandt wer­den können.
(18) Die­se Ver­ord­nung gilt nicht für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, die von einer natür­li­chen Per­son zur Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätig­kei­ten und somit ohne Bezug zu einer beruf­li­chen oder wirt­schaft­li­chen Tätig­keit vor­ge­nom­men wird. Als per­sön­li­che oder fami­liä­re Tätig­kei­ten könn­te auch das Füh­ren eines Schrift­ver­kehrs oder von Anschrif­ten­ver­zeich­nis­sen oder die Nut­zung sozia­ler Net­ze und Online-Tätig­kei­ten im Rah­men sol­cher Tätig­kei­ten gel­ten. Die­se Ver­ord­nung gilt jedoch für die Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, die die Instru­men­te für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für sol­che per­sön­li­chen oder fami­liä­ren Tätig­kei­ten bereitstellen.
(19) Der Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zustän­di­gen Behör­den zum Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicher­heit, sowie der freie Ver­kehr die­ser Daten sind in einem eige­nen Uni­ons­rechts­akt gere­gelt. Des­halb soll­te die­se Ver­ord­nung auf Ver­ar­bei­tungs­tä­tig­kei­ten die­ser Art kei­ne Anwen­dung fin­den. Per­so­nen­be­zo­ge­ne Daten, die von Behör­den nach die­ser Ver­ord­nung ver­ar­bei­tet wer­den, soll­ten jedoch, wenn sie zu den vor­ste­hen­den Zwecken ver­wen­det wer­den, einem spe­zi­fi­sche­ren Uni­ons­rechts­akt, näm­lich der Richt­li­nie (EU) 2016/680 des Euro­päi­schen Par­la­ments und des Rates (7) unter­lie­gen. Die Mit­glied­staa­ten kön­nen die zustän­di­gen Behör­den im Sin­ne der Richt­li­nie (EU) 2016/680 mit Auf­ga­ben betrau­en, die nicht zwangs­läu­fig für die Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicher­heit, aus­ge­führt wer­den, so dass die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten für die­se ande­ren Zwecke inso­weit in den Anwen­dungs­be­reich die­ser Ver­ord­nung fällt, als sie in den Anwen­dungs­be­reich des Uni­ons­rechts fällt. In Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die­se Behör­den für Zwecke, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, soll­ten die Mit­glied­staa­ten spe­zi­fi­sche­re Bestim­mun­gen bei­be­hal­ten oder ein­füh­ren kön­nen, um die Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung anzu­pas­sen. In den betref­fen­den Bestim­mun­gen kön­nen die Auf­la­gen für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die­se zustän­di­gen Behör­den für jene ande­ren Zwecke prä­zi­ser fest­ge­legt wer­den, wobei der ver­fas­sungs­mä­ßi­gen, orga­ni­sa­to­ri­schen und admi­ni­stra­ti­ven Struk­tur des betref­fen­den Mit­glied­staats Rech­nung zu tra­gen ist. Soweit die­se Ver­ord­nung für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch pri­va­te Stel­len gilt, soll­te sie vor­se­hen, dass die Mit­glied­staa­ten eini­ge Pflich­ten und Rech­te unter bestimm­ten Vor­aus­set­zun­gen mit­tels Rechts­vor­schrif­ten beschrän­ken kön­nen, wenn die­se Beschrän­kung in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me zum Schutz bestimm­ter wich­ti­ger Inter­es­sen dar­stellt, wozu auch die öffent­li­che Sicher­heit und die Ver­hü­tung, Ermitt­lung, Auf­deckung und Ver­fol­gung von Straf­ta­ten oder die Straf­voll­streckung zäh­len, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicher­heit. Dies ist bei­spiels­wei­se im Rah­men der Bekämp­fung der Geld­wä­sche oder der Arbeit kri­mi­nal­tech­ni­scher Labors von Bedeutung.
(20) Die­se Ver­ord­nung gilt zwar unter ande­rem für die Tätig­kei­ten der Gerich­te und ande­rer Justiz­be­hör­den, doch könn­te im Uni­ons­recht oder im Recht der Mit­glied­staa­ten fest­ge­legt wer­den, wie die Ver­ar­bei­tungs­vor­gän­ge und Ver­ar­bei­tungs­ver­fah­ren bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Gerich­te und ande­re Justiz­be­hör­den im Ein­zel­nen aus­zu­se­hen haben. Damit die Unab­hän­gig­keit der Justiz bei der Aus­übung ihrer gericht­li­chen Auf­ga­ben ein­schließ­lich ihrer Beschluss­fas­sung unan­ge­ta­stet bleibt, soll­ten die Auf­sichts­be­hör­den nicht für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Gerich­te im Rah­men ihrer justi­zi­el­len Tätig­keit zustän­dig sein. Mit der Auf­sicht über die­se Daten­ver­ar­bei­tungs­vor­gän­ge soll­ten beson­de­re Stel­len im Justiz­sy­stem des Mit­glied­staats betraut wer­den kön­nen, die ins­be­son­de­re die Ein­hal­tung der Vor­schrif­ten die­ser Ver­ord­nung sicher­stel­len, Rich­ter und Staats­an­wäl­te bes­ser für ihre Pflich­ten aus die­ser Ver­ord­nung sen­si­bi­li­sie­ren und Beschwer­den in Bezug auf der­ar­ti­ge Daten­ver­ar­bei­tungs­vor­gän­ge bear­bei­ten sollten.
(21) Die vor­lie­gen­de Ver­ord­nung berührt nicht die Anwen­dung der Richt­li­nie 2000/31/EG des Euro­päi­schen Par­la­ments und des Rates (8) und ins­be­son­de­re die der Vor­schrif­ten der Arti­kel 12 bis 15 jener Richt­li­nie zur Ver­ant­wort­lich­keit von Anbie­tern rei­ner Ver­mitt­lungs­dien­ste. Die genann­te Richt­li­nie soll dazu bei­tra­gen, dass der Bin­nen­markt ein­wand­frei funk­tio­niert, indem sie den frei­en Ver­kehr von Dien­sten der Infor­ma­ti­ons­ge­sell­schaft zwi­schen den Mit­glied­staa­ten sicherstellt.

Arti­kel 3 Räum­li­cher Anwendungsbereich

(1) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, soweit die­se im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on erfolgt, unab­hän­gig davon, ob die Ver­ar­bei­tung in der Uni­on stattfindet.
(2) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, wenn die Daten­ver­ar­bei­tung im Zusam­men­hang damit steht
a) betrof­fe­nen Per­so­nen in der Uni­on Waren oder Dienst­lei­stun­gen anzu­bie­ten, unab­hän­gig davon, ob von die­sen betrof­fe­nen Per­so­nen eine Zah­lung zu lei­sten ist;
b) das Ver­hal­ten betrof­fe­ner Per­so­nen zu beob­ach­ten, soweit ihr Ver­hal­ten in der Uni­on erfolgt.
(3) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen an einem Ort, der auf­grund Völ­ker­rechts dem Recht eines Mit­glied­staats unterliegt.
Erwä­gungs­grün­de
(22) Jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines im Auf­trags­ver­ar­bei­ters in der Uni­on soll­te gemäß die­ser Ver­ord­nung erfol­gen, gleich, ob die Ver­ar­bei­tung in oder außer­halb der Uni­on statt­fin­det. Eine Nie­der­las­sung setzt die effek­ti­ve und tat­säch­li­che Aus­übung einer Tätig­keit durch eine feste Ein­rich­tung vor­aus. Die Rechts­form einer sol­chen Ein­rich­tung, gleich, ob es sich um eine Zweig­stel­le oder eine Toch­ter­ge­sell­schaft mit eige­ner Rechts­per­sön­lich­keit han­delt, ist dabei nicht ausschlaggebend.
(23) Damit einer natür­li­chen Per­son der gemäß die­ser Ver­ord­nung gewähr­lei­ste­te Schutz nicht vor­ent­hal­ten wird, soll­te die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter die­ser Ver­ord­nung unter­lie­gen, wenn die Ver­ar­bei­tung dazu dient, die­sen betrof­fe­nen Per­so­nen gegen Ent­gelt oder unent­gelt­lich Waren oder Dienst­lei­stun­gen anzu­bie­ten. Um fest­zu­stel­len, ob die­ser Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, Waren oder Dienst­lei­stun­gen anbie­tet, soll­te fest­ge­stellt wer­den, ob der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter offen­sicht­lich beab­sich­tigt, betrof­fe­nen Per­so­nen in einem oder meh­re­ren Mit­glied­staa­ten der Uni­on Dienst­lei­stun­gen anzu­bie­ten. Wäh­rend die blo­ße Zugäng­lich­keit der Web­site des Ver­ant­wort­li­chen, des Auf­trags­ver­ar­bei­ters oder eines Ver­mitt­lers in der Uni­on, einer E‑Mail-Adres­se oder ande­rer Kon­takt­da­ten oder die Ver­wen­dung einer Spra­che, die in dem Dritt­land, in dem der Ver­ant­wort­li­che nie­der­ge­las­sen ist, all­ge­mein gebräuch­lich ist, hier­für kein aus­rei­chen­der Anhalts­punkt ist, kön­nen ande­re Fak­to­ren wie die Ver­wen­dung einer Spra­che oder Wäh­rung, die in einem oder meh­re­ren Mit­glied­staa­ten gebräuch­lich ist, in Ver­bin­dung mit der Mög­lich­keit, Waren und Dienst­lei­stun­gen in die­ser ande­ren Spra­che zu bestel­len, oder die Erwäh­nung von Kun­den oder Nut­zern, die sich in der Uni­on befin­den, dar­auf hin­deu­ten, dass der Ver­ant­wort­li­che beab­sich­tigt, den Per­so­nen in der Uni­on Waren oder Dienst­lei­stun­gen anzubieten.
(24) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter soll­te auch dann die­ser Ver­ord­nung unter­lie­gen, wenn sie dazu dient, das Ver­hal­ten die­ser betrof­fe­nen Per­so­nen zu beob­ach­ten, soweit ihr Ver­hal­ten in der Uni­on erfolgt. Ob eine Ver­ar­bei­tungs­tä­tig­keit der Beob­ach­tung des Ver­hal­tens von betrof­fe­nen Per­so­nen gilt, soll­te dar­an fest­ge­macht wer­den, ob ihre Inter­net­ak­ti­vi­tä­ten nach­voll­zo­gen wer­den, ein­schließ­lich der mög­li­chen nach­fol­gen­den Ver­wen­dung von Tech­ni­ken zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, durch die von einer natür­li­chen Per­son ein Pro­fil erstellt wird, das ins­be­son­de­re die Grund­la­ge für sie betref­fen­de Ent­schei­dun­gen bil­det oder anhand des­sen ihre per­sön­li­chen Vor­lie­ben, Ver­hal­tens­wei­sen oder Gepflo­gen­hei­ten ana­ly­siert oder vor­aus­ge­sagt wer­den sollen.
(25) Ist nach Völ­ker­recht das Recht eines Mit­glied­staats anwend­bar, z. B. in einer diplo­ma­ti­schen oder kon­su­la­ri­schen Ver­tre­tung eines Mit­glied­staats, so soll­te die Ver­ord­nung auch auf einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen Anwen­dung finden.

Arti­kel 4 Begriffsbestimmungen

Im Sin­ne die­ser Ver­ord­nung bezeich­net der Aus­druck: 1.per­so­nen­be­zo­ge­ne Daten” alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den “betrof­fe­ne Per­son”) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann;
Erwä­gungs­grün­de
(26) Die Grund­sät­ze des Daten­schut­zes soll­ten für alle Infor­ma­tio­nen gel­ten, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen. Einer Pseud­ony­mi­sie­rung unter­zo­ge­ne per­so­nen­be­zo­ge­ne Daten, die durch Her­an­zie­hung zusätz­li­cher Infor­ma­tio­nen einer natür­li­chen Per­son zuge­ord­net wer­den könn­ten, soll­ten als Infor­ma­tio­nen über eine iden­ti­fi­zier­ba­re natür­li­che Per­son betrach­tet wer­den. Um fest­zu­stel­len, ob eine natür­li­che Per­son iden­ti­fi­zier­bar ist, soll­ten alle Mit­tel berück­sich­tigt wer­den, die von dem Ver­ant­wort­li­chen oder einer ande­ren Per­son nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren, wie bei­spiels­wei­se das Aus­son­dern. Bei der Fest­stel­lung, ob Mit­tel nach all­ge­mei­nem Ermes­sen wahr­schein­lich zur Iden­ti­fi­zie­rung der natür­li­chen Per­son genutzt wer­den, soll­ten alle objek­ti­ven Fak­to­ren, wie die Kosten der Iden­ti­fi­zie­rung und der dafür erfor­der­li­che Zeit­auf­wand, her­an­ge­zo­gen wer­den, wobei die zum Zeit­punkt der Ver­ar­bei­tung ver­füg­ba­re Tech­no­lo­gie und tech­no­lo­gi­sche Ent­wick­lun­gen zu berück­sich­ti­gen sind. Die Grund­sät­ze des Daten­schut­zes soll­ten daher nicht für anony­me Infor­ma­tio­nen gel­ten, d.h. für Infor­ma­tio­nen, die sich nicht auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen, oder per­so­nen­be­zo­ge­ne Daten, die in einer Wei­se anony­mi­siert wor­den sind, dass die betrof­fe­ne Per­son nicht oder nicht mehr iden­ti­fi­ziert wer­den kann. Die­se Ver­ord­nung betrifft somit nicht die Ver­ar­bei­tung sol­cher anony­mer Daten, auch für sta­ti­sti­sche oder für Forschungszwecke.
(27) Die­se Ver­ord­nung gilt nicht für die per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner. Die Mit­glied­staa­ten kön­nen Vor­schrif­ten für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner vorsehen.
(28) Die Anwen­dung der Pseud­ony­mi­sie­rung auf per­so­nen­be­zo­ge­ne Daten kann die Risi­ken für die betrof­fe­nen Per­so­nen sen­ken und die Ver­ant­wort­li­chen und die Auf­trags­ver­ar­bei­ter bei der Ein­hal­tung ihrer Daten­schutz­pflich­ten unter­stüt­zen. Durch die aus­drück­li­che Ein­füh­rung der “Pseud­ony­mi­sie­rung” in die­ser Ver­ord­nung ist nicht beab­sich­tigt, ande­re Daten­schutz­maß­nah­men auszuschließen.
(29) Um Anrei­ze für die Anwen­dung der Pseud­ony­mi­sie­rung bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu schaf­fen, soll­ten Pseud­ony­mi­sie­rungs­maß­nah­men, die jedoch eine all­ge­mei­ne Ana­ly­se zulas­sen, bei dem­sel­ben Ver­ant­wort­li­chen mög­lich sein, wenn die­ser die erfor­der­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men getrof­fen hat, um — für die jewei­li­ge Ver­ar­bei­tung — die Umset­zung die­ser Ver­ord­nung zu gewähr­lei­sten, wobei sicher­zu­stel­len ist, dass zusätz­li­che Infor­ma­tio­nen, mit denen die per­so­nen­be­zo­ge­nen Daten einer spe­zi­el­len betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen, geson­dert auf­be­wahrt wer­den. Der für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­ant­wort­li­che, soll­te die befug­ten Per­so­nen bei die­sem Ver­ant­wort­li­chen angeben.
(30) Natür­li­chen Per­so­nen wer­den unter Umstän­den Online-Ken­nun­gen wie IP-Adres­sen und Coo­kie-Ken­nun­gen, die sein Gerät oder Soft­ware-Anwen­dun­gen und ‑Tools oder Pro­to­kol­le lie­fern, oder son­sti­ge Ken­nun­gen wie Funk­fre­quenz­kenn­zeich­nun­gen zuge­ord­net. Dies kann Spu­ren hin­ter­las­sen, die ins­be­son­de­re in Kom­bi­na­ti­on mit ein­deu­ti­gen Ken­nun­gen und ande­ren beim Ser­ver ein­ge­hen­den Infor­ma­tio­nen dazu benutzt wer­den kön­nen, um Pro­fi­le der natür­li­chen Per­so­nen zu erstel­len und sie zu identifizieren.
2.Ver­ar­bei­tung” jeden mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang oder jede sol­che Vor­gangs­rei­he im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Erhe­ben, das Erfas­sen, die Orga­ni­sa­ti­on, das Ord­nen, die Spei­che­rung, die Anpas­sung oder Ver­än­de­rung, das Aus­le­sen, das Abfra­gen, die Ver­wen­dung, die Offen­le­gung durch Über­mitt­lung, Ver­brei­tung oder eine ande­re Form der Bereit­stel­lung, den Abgleich oder die Ver­knüp­fung, die Ein­schrän­kung, das Löschen oder die Ver­nich­tung; 3.Ein­schrän­kung der Ver­ar­bei­tung” die Mar­kie­rung gespei­cher­ter per­so­nen­be­zo­ge­ner Daten mit dem Ziel, ihre künf­ti­ge Ver­ar­bei­tung ein­zu­schrän­ken; 4.Pro­fil­ing” jede Art der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die dar­in besteht, dass die­se per­so­nen­be­zo­ge­nen Daten ver­wen­det wer­den, um bestimm­te per­sön­li­che Aspek­te, die sich auf eine natür­li­che Per­son bezie­hen, zu bewer­ten, ins­be­son­de­re um Aspek­te bezüg­lich Arbeits­lei­stung, wirt­schaft­li­che Lage, Gesund­heit, per­sön­li­che Vor­lie­ben, Inter­es­sen, Zuver­läs­sig­keit, Ver­hal­ten, Auf­ent­halts­ort oder Orts­wech­sel die­ser natür­li­chen Per­son zu ana­ly­sie­ren oder vor­her­zu­sa­gen; 5.Pseud­ony­mi­sie­rung” die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in einer Wei­se, dass die per­so­nen­be­zo­ge­nen Daten ohne Hin­zu­zie­hung zusätz­li­cher Infor­ma­tio­nen nicht mehr einer spe­zi­fi­schen betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen, sofern die­se zusätz­li­chen Infor­ma­tio­nen geson­dert auf­be­wahrt wer­den und tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men unter­lie­gen, die gewähr­lei­sten, dass die per­so­nen­be­zo­ge­nen Daten nicht einer iden­ti­fi­zier­ten oder iden­ti­fi­zier­ba­ren natür­li­chen Per­son zuge­wie­sen wer­den; 6.Datei­sy­stem” jede struk­tu­rier­te Samm­lung per­so­nen­be­zo­ge­ner Daten, die nach bestimm­ten Kri­te­ri­en zugäng­lich sind, unab­hän­gig davon, ob die­se Samm­lung zen­tral, dezen­tral oder nach funk­tio­na­len oder geo­gra­fi­schen Gesichts­punk­ten geord­net geführt wird; 7.Ver­ant­wort­li­cher” die natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwecke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det; sind die Zwecke und Mit­tel die­ser Ver­ar­bei­tung durch das Uni­ons­recht oder das Recht der Mit­glied­staa­ten vor­ge­ge­ben, so kann der Ver­ant­wort­li­che bezie­hungs­wei­se kön­nen die bestimm­ten Kri­te­ri­en sei­ner Benen­nung nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten vor­ge­se­hen wer­den; 8.Auf­trags­ver­ar­bei­ter” eine natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die per­so­nen­be­zo­ge­ne Daten im Auf­trag des Ver­ant­wort­li­chen ver­ar­bei­tet; 9.Emp­fän­ger” eine natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, der per­so­nen­be­zo­ge­ne Daten offen­ge­legt wer­den, unab­hän­gig davon, ob es sich bei ihr um einen Drit­ten han­delt oder nicht. Behör­den, die im Rah­men eines bestimm­ten Unter­su­chungs­auf­trags nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten mög­li­cher­wei­se per­so­nen­be­zo­ge­ne Daten erhal­ten, gel­ten jedoch nicht als Emp­fän­ger; die Ver­ar­bei­tung die­ser Daten durch die genann­ten Behör­den erfolgt im Ein­klang mit den gel­ten­den Daten­schutz­vor­schrif­ten gemäß den Zwecken der Ver­ar­bei­tung; 10.Drit­ter” eine natür­li­che oder juri­sti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, außer der betrof­fe­nen Per­son, dem Ver­ant­wort­li­chen, dem Auf­trags­ver­ar­bei­ter und den Per­so­nen, die unter der unmit­tel­ba­ren Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters befugt sind, die per­so­nen­be­zo­ge­nen Daten zu ver­ar­bei­ten; 11.Ein­wil­li­gung” der betrof­fe­nen Per­son jede frei­wil­lig für den bestimm­ten Fall, in infor­mier­ter Wei­se und unmiss­ver­ständ­lich abge­ge­be­ne Wil­lens­be­kun­dung in Form einer Erklä­rung oder einer son­sti­gen ein­deu­ti­gen bestä­ti­gen­den Hand­lung, mit der die betrof­fe­ne Per­son zu ver­ste­hen gibt, dass sie mit der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist;
Erwä­gungs­grün­de
(32) Die Ein­wil­li­gung soll­te durch eine ein­deu­ti­ge bestä­ti­gen­de Hand­lung erfol­gen, mit der frei­wil­lig, für den kon­kre­ten Fall, in infor­mier­ter Wei­se und unmiss­ver­ständ­lich bekun­det wird, dass die betrof­fe­ne Per­son mit der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ver­stan­den ist, etwa in Form einer schrift­li­chen Erklä­rung, die auch elek­tro­nisch erfol­gen kann, oder einer münd­li­chen Erklä­rung. Dies könn­te etwa durch Anklicken eines Käst­chens beim Besuch einer Inter­net­sei­te, durch die Aus­wahl tech­ni­scher Ein­stel­lun­gen für Dien­ste der Infor­ma­ti­ons­ge­sell­schaft oder durch eine ande­re Erklä­rung oder Ver­hal­tens­wei­se gesche­hen, mit der die betrof­fe­ne Per­son in dem jewei­li­gen Kon­text ein­deu­tig ihr Ein­ver­ständ­nis mit der beab­sich­tig­ten Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten signa­li­siert. Still­schwei­gen, bereits ange­kreuz­te Käst­chen oder Untä­tig­keit der betrof­fe­nen Per­son soll­ten daher kei­ne Ein­wil­li­gung dar­stel­len. Die Ein­wil­li­gung soll­te sich auf alle zu dem­sel­ben Zweck oder den­sel­ben Zwecken vor­ge­nom­me­nen Ver­ar­bei­tungs­vor­gän­ge bezie­hen. Wenn die Ver­ar­bei­tung meh­re­ren Zwecken dient, soll­te für alle die­se Ver­ar­bei­tungs­zwecke eine Ein­wil­li­gung gege­ben wer­den. Wird die betrof­fe­ne Per­son auf elek­tro­ni­schem Weg zur Ein­wil­li­gung auf­ge­for­dert, so muss die Auf­for­de­rung in kla­rer und knap­per Form und ohne unnö­ti­ge Unter­bre­chung des Dien­stes, für den die Ein­wil­li­gung gege­ben wird, erfolgen.
(33) Oft­mals kann der Zweck der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke der wis­sen­schaft­li­chen For­schung zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten nicht voll­stän­dig ange­ge­ben wer­den. Daher soll­te es betrof­fe­nen Per­so­nen erlaubt sein, ihre Ein­wil­li­gung für bestimm­te Berei­che wis­sen­schaft­li­cher For­schung zu geben, wenn dies unter Ein­hal­tung der aner­kann­ten ethi­schen Stan­dards der wis­sen­schaft­li­chen For­schung geschieht. Die betrof­fe­nen Per­so­nen soll­ten Gele­gen­heit erhal­ten, ihre Ein­wil­li­gung nur für bestim­me For­schungs­be­rei­che oder Tei­le von For­schungs­pro­jek­ten in dem vom ver­folg­ten Zweck zuge­las­se­nen Maße zu ertei­len. zu geben, wenn dies unter Ein­hal­tung der aner­kann­ten ethi­schen Stan­dards der wis­sen­schaft­li­chen For­schung geschieht. Die betrof­fe­nen Per­so­nen soll­ten Gele­gen­heit erhal­ten, ihre Ein­wil­li­gung nur für bestim­me For­schungs­be­rei­che oder Tei­le von For­schungs­pro­jek­ten in dem vom ver­folg­ten Zweck zuge­las­se­nen Maße zu erteilen.
12.Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten” eine Ver­let­zung der Sicher­heit, die, ob unbe­ab­sich­tigt oder unrecht­mä­ßig, zur Ver­nich­tung, zum Ver­lust, zur Ver­än­de­rung, oder zur unbe­fug­ten Offen­le­gung von bezie­hungs­wei­se zum unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten führt, die über­mit­telt, gespei­chert oder auf son­sti­ge Wei­se ver­ar­bei­tet wur­den; 13.gene­ti­sche Daten” per­so­nen­be­zo­ge­ne Daten zu den ererb­ten oder erwor­be­nen gene­ti­schen Eigen­schaf­ten einer natür­li­chen Per­son, die ein­deu­ti­ge Infor­ma­tio­nen über die Phy­sio­lo­gie oder die Gesund­heit die­ser natür­li­chen Per­son lie­fern und ins­be­son­de­re aus der Ana­ly­se einer bio­lo­gi­schen Pro­be der betref­fen­den natür­li­chen Per­son gewon­nen wur­den;
Erwä­gungs­grün­de
(34) Gene­ti­sche Daten soll­ten als per­so­nen­be­zo­ge­ne Daten über die ererb­ten oder erwor­be­nen gene­ti­schen Eigen­schaf­ten einer natür­li­chen Per­son defi­niert wer­den, die aus der Ana­ly­se einer bio­lo­gi­schen Pro­be der betref­fen­den natür­li­chen Per­son, ins­be­son­de­re durch eine Chro­mo­so­men, Des­oxy­ri­bo­nu­kle­in­säu­re (DNS)- oder Ribo­nu­kle­in­säu­re (RNS)-Analyse oder der Ana­ly­se eines ande­ren Ele­ments, durch die gleich­wer­ti­ge Infor­ma­tio­nen erlangt wer­den kön­nen, gewon­nen werden.
14.bio­me­tri­sche Daten” mit spe­zi­el­len tech­ni­schen Ver­fah­ren gewon­ne­ne per­so­nen­be­zo­ge­ne Daten zu den phy­si­schen, phy­sio­lo­gi­schen oder ver­hal­tens­ty­pi­schen Merk­ma­len einer natür­li­chen Per­son, die die ein­deu­ti­ge Iden­ti­fi­zie­rung die­ser natür­li­chen Per­son ermög­li­chen oder bestä­ti­gen, wie Gesichts­bil­der oder dak­ty­lo­sko­pi­sche Daten; 15.Gesund­heits­da­ten” per­so­nen­be­zo­ge­ne Daten, die sich auf die kör­per­li­che oder gei­sti­ge Gesund­heit einer natür­li­chen Per­son, ein­schließ­lich der Erbrin­gung von Gesund­heits­dienst­lei­stun­gen, bezie­hen und aus denen Infor­ma­tio­nen über deren Gesund­heits­zu­stand her­vor­ge­hen;
Erwä­gungs­grün­de
(35) Zu den per­so­nen­be­zo­ge­nen Gesund­heits­da­ten soll­ten alle Daten zäh­len, die sich auf den Gesund­heits­zu­stand einer betrof­fe­nen Per­son bezie­hen und aus denen Infor­ma­tio­nen über den frü­he­ren, gegen­wär­ti­gen und künf­ti­gen kör­per­li­chen oder gei­sti­gen Gesund­heits­zu­stand der betrof­fe­nen Per­son her­vor­ge­hen. Dazu gehö­ren auch Infor­ma­tio­nen über die natür­li­che Per­son, die im Zuge der Anmel­dung für sowie der Erbrin­gung von Gesund­heits­dienst­lei­stun­gen im Sin­ne der Richt­li­nie 2011/24/EU des Euro­päi­schen Par­la­ments und des Rates (9) für die natür­li­che Per­son erho­ben wer­den, Num­mern, Sym­bo­le oder Kenn­zei­chen, die einer natür­li­chen Per­son zuge­teilt wur­den, um die­se natür­li­che Per­son für gesund­heit­li­che Zwecke ein­deu­tig zu iden­ti­fi­zie­ren, Infor­ma­tio­nen, die von der Prü­fung oder Unter­su­chung eines Kör­per­teils oder einer kör­per­ei­ge­nen Sub­stanz, auch aus gene­ti­schen Daten und bio­lo­gi­schen Pro­ben, abge­lei­tet wur­den, und Infor­ma­tio­nen etwa über Krank­hei­ten, Behin­de­run­gen, Krank­heits­ri­si­ken, Vor­er­kran­kun­gen, kli­ni­sche Behand­lun­gen oder den phy­sio­lo­gi­schen oder bio­me­di­zi­ni­schen Zustand der betrof­fe­nen Per­son unab­hän­gig von der Her­kunft der Daten, ob sie nun von einem Arzt oder son­sti­gem Ange­hö­ri­gen eines Gesund­heits­be­ru­fes, einem Kran­ken­haus, einem Medi­zin­pro­dukt oder einem In-Vitro-Dia­gno­sti­kum stammen.
16.Haupt­nie­der­las­sung
a) im Fal­le eines Ver­ant­wort­li­chen mit Nie­der­las­sun­gen in mehr als einem Mit­glied­staat den Ort sei­ner Haupt­ver­wal­tung in der Uni­on, es sei denn, die Ent­schei­dun­gen hin­sicht­lich der Zwecke und Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten wer­den in einer ande­ren Nie­der­las­sung des Ver­ant­wort­li­chen in der Uni­on getrof­fen und die­se Nie­der­las­sung ist befugt, die­se Ent­schei­dun­gen umset­zen zu las­sen; in die­sem Fall gilt die Nie­der­las­sung, die der­ar­ti­ge Ent­schei­dun­gen trifft, als Hauptniederlassung;
b) im Fal­le eines Auf­trags­ver­ar­bei­ters mit Nie­der­las­sun­gen in mehr als einem Mit­glied­staat den Ort sei­ner Haupt­ver­wal­tung in der Uni­on oder, sofern der Auf­trags­ver­ar­bei­ter kei­ne Haupt­ver­wal­tung in der Uni­on hat, die Nie­der­las­sung des Auf­trags­ver­ar­bei­ters in der Uni­on, in der die Ver­ar­bei­tungs­tä­tig­kei­ten im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Auf­trags­ver­ar­bei­ters haupt­säch­lich statt­fin­den, soweit der Auf­trags­ver­ar­bei­ter spe­zi­fi­schen Pflich­ten aus die­ser Ver­ord­nung unterliegt;
Erwä­gungs­grün­de
(36) Die Haupt­nie­der­las­sung des Ver­ant­wort­li­chen in der Uni­on soll­te der Ort sei­ner Haupt­ver­wal­tung in der Uni­on sein, es sei denn, dass Ent­schei­dun­gen über die Zwecke und Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in einer ande­ren Nie­der­las­sung des Ver­ant­wort­li­chen in der Uni­on getrof­fen wer­den; in die­sem Fall soll­te die letzt­ge­nann­te als Haupt­nie­der­las­sung gel­ten. Zur Bestim­mung der Haupt­nie­der­las­sung eines Ver­ant­wort­li­chen in der Uni­on soll­ten objek­ti­ve Kri­te­ri­en her­an­ge­zo­gen wer­den; ein Kri­te­ri­um soll­te dabei die effek­ti­ve und tat­säch­li­che Aus­übung von Manage­ment­tä­tig­kei­ten durch eine feste Ein­rich­tung sein, in deren Rah­men die Grund­satz­ent­schei­dun­gen zur Fest­le­gung der Zwecke und Mit­tel der Ver­ar­bei­tung getrof­fen wer­den. Dabei soll­te nicht aus­schlag­ge­bend sein, ob die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten tat­säch­lich an die­sem Ort aus­ge­führt wird. Das Vor­han­den­sein und die Ver­wen­dung tech­ni­scher Mit­tel und Ver­fah­ren zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten oder Ver­ar­bei­tungs­tä­tig­kei­ten begrün­den an sich noch kei­ne Haupt­nie­der­las­sung und sind daher kein aus­schlag­ge­ben­der Fak­tor für das Bestehen einer Haupt­nie­der­las­sung. Die Haupt­nie­der­las­sung des Auf­trags­ver­ar­bei­ters soll­te der Ort sein, an dem der Auf­trags­ver­ar­bei­ter sei­ne Haupt­ver­wal­tung in der Uni­on hat, oder — wenn er kei­ne Haupt­ver­wal­tung in der Uni­on hat — der Ort, an dem die wesent­li­chen Ver­ar­bei­tungs­tä­tig­kei­ten in der Uni­on statt­fin­den. Sind sowohl der Ver­ant­wort­li­che als auch der Auf­trags­ver­ar­bei­ter betrof­fen, so soll­te die Auf­sichts­be­hör­de des Mit­glied­staats, in dem der Ver­ant­wort­li­che sei­ne Haupt­nie­der­las­sung hat, die zustän­di­ge feder­füh­ren­de Auf­sichts­be­hör­de blei­ben, doch soll­te die Auf­sichts­be­hör­de des Auf­trags­ver­ar­bei­ters als betrof­fe­ne Auf­sichts­be­hör­de betrach­tet wer­den und die­se Auf­sichts­be­hör­de soll­te sich an dem in die­ser Ver­ord­nung vor­ge­se­he­nen Ver­fah­ren der Zusam­men­ar­beit betei­li­gen. Auf jeden Fall soll­ten die Auf­sichts­be­hör­den des Mit­glied­staats oder der Mit­glied­staa­ten, in dem bzw. denen der Auf­trags­ver­ar­bei­ter eine oder meh­re­re Nie­der­las­sun­gen hat, nicht als betrof­fe­ne Auf­sichts­be­hör­den betrach­tet wer­den, wenn sich der Beschluss­ent­wurf nur auf den Ver­ant­wort­li­chen bezieht. Wird die Ver­ar­bei­tung durch eine Unter­neh­mens­grup­pe vor­ge­nom­men, so soll­te die Haupt­nie­der­las­sung des herr­schen­den Unter­neh­mens als Haupt­nie­der­las­sung der Unter­neh­mens­grup­pe gel­ten, es sei denn, die Zwecke und Mit­tel der Ver­ar­bei­tung wer­den von einem ande­ren Unter­neh­men festgelegt.
17.Ver­tre­ter” eine in der Uni­on nie­der­ge­las­se­ne natür­li­che oder juri­sti­sche Per­son, die von dem Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter schrift­lich gemäß Arti­kel 27 bestellt wur­de und den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter in Bezug auf die ihnen jeweils nach die­ser Ver­ord­nung oblie­gen­den Pflich­ten ver­tritt; 18.Unter­neh­men” eine natür­li­che und juri­sti­sche Per­son, die eine wirt­schaft­li­che Tätig­keit aus­übt, unab­hän­gig von ihrer Rechts­form, ein­schließ­lich Per­so­nen­ge­sell­schaf­ten oder Ver­ei­ni­gun­gen, die regel­mä­ßig einer wirt­schaft­li­chen Tätig­keit nach­ge­hen; 19.Unter­neh­mens­grup­pe” eine Grup­pe, die aus einem herr­schen­den Unter­neh­men und den von die­sem abhän­gi­gen Unter­neh­men besteht;
Erwä­gungs­grün­de
(37) Eine Unter­neh­mens­grup­pe soll­te aus einem herr­schen­den Unter­neh­men und den von die­sem abhän­gi­gen Unter­neh­men bestehen, wobei das herr­schen­de Unter­neh­men das­je­ni­ge sein soll­te, das zum Bei­spiel auf­grund der Eigen­tums­ver­hält­nis­se, der finan­zi­el­len Betei­li­gung oder der für das Unter­neh­men gel­ten­den Vor­schrif­ten oder der Befug­nis, Daten­schutz­vor­schrif­ten umset­zen zu las­sen, einen beherr­schen­den Ein­fluss auf die übri­gen Unter­neh­men aus­üben kann. Ein Unter­neh­men, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in ihm ange­schlos­se­nen Unter­neh­men kon­trol­liert, soll­te zusam­men mit die­sen als eine “Unter­neh­mens­grup­pe” betrach­tet werden.
20.ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten” Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten, zu deren Ein­hal­tung sich ein im Hoheits­ge­biet eines Mit­glied­staats nie­der­ge­las­se­ner Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter ver­pflich­tet im Hin­blick auf Daten­über­mitt­lun­gen oder eine Kate­go­rie von Daten­über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an einen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter der­sel­ben Unter­neh­mens­grup­pe oder der­sel­ben Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, in einem oder meh­re­ren Dritt­län­dern; 21.Auf­sichts­be­hör­de” eine von einem Mit­glied­staat gemäß Arti­kel 51 ein­ge­rich­te­te unab­hän­gi­ge staat­li­che Stel­le; 22.betrof­fe­ne Auf­sichts­be­hör­de” eine Auf­sichts­be­hör­de, die von der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betrof­fen ist, weil
a) der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter im Hoheits­ge­biet des Mit­glied­staats die­ser Auf­sichts­be­hör­de nie­der­ge­las­sen ist,
b) die­se Ver­ar­bei­tung erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen mit Wohn­sitz im Mit­glied­staat die­ser Auf­sichts­be­hör­de hat oder haben kann oder
c) eine Beschwer­de bei die­ser Auf­sichts­be­hör­de ein­ge­reicht wurde;
23.grenz­über­schrei­ten­de Ver­ar­bei­tung” ent­we­der
a) eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die im Rah­men der Tätig­kei­ten von Nie­der­las­sun­gen eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on in mehr als einem Mit­glied­staat erfolgt, wenn der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter in mehr als einem Mit­glied­staat nie­der­ge­las­sen ist, oder
b) eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die im Rah­men der Tätig­kei­ten einer ein­zel­nen Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on erfolgt, die jedoch erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in mehr als einem Mit­glied­staat hat oder haben kann;
24.maß­geb­li­cher und begrün­de­ter Ein­spruch” einen Ein­spruch gegen einen Beschluss­ent­wurf im Hin­blick dar­auf, ob ein Ver­stoß gegen die­se Ver­ord­nung vor­liegt oder ob beab­sich­tig­te Maß­nah­men gegen den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter im Ein­klang mit die­ser Ver­ord­nung steht, wobei aus die­sem Ein­spruch die Trag­wei­te der Risi­ken klar her­vor­geht, die von dem Beschluss­ent­wurf in Bezug auf die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­so­nen und gege­be­nen­falls den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on aus­ge­hen; 25.Dienst der Infor­ma­ti­ons­ge­sell­schaft” eine Dienst­lei­stung im Sin­ne des Arti­kels 1 Num­mer 1 Buch­sta­be b der Richt­li­nie (EU) 2015/1535 des Euro­päi­schen Par­la­ments und des Rates (19); 26.inter­na­tio­na­le Orga­ni­sa­ti­on” eine völ­ker­recht­li­che Orga­ni­sa­ti­on und ihre nach­ge­ord­ne­ten Stel­len oder jede son­sti­ge Ein­rich­tung, die durch eine zwi­schen zwei oder mehr Län­dern geschlos­se­ne Über­ein­kunft oder auf der Grund­la­ge einer sol­chen Über­ein­kunft geschaf­fen wur­de.
Erwä­gungs­grün­de
(31) Behör­den, gegen­über denen per­so­nen­be­zo­ge­ne Daten auf­grund einer recht­li­chen Ver­pflich­tung für die Aus­übung ihres offi­zi­el­len Auf­trags offen­ge­legt wer­den, wie Steu­er- und Zoll­be­hör­den, Finanz­ermitt­lungs­stel­len, unab­hän­gi­ge Ver­wal­tungs­be­hör­den oder Finanz­markt­be­hör­den, die für die Regu­lie­rung und Auf­sicht von Wert­pa­pier­märk­ten zustän­dig sind, soll­ten nicht als Emp­fän­ger gel­ten, wenn sie per­so­nen­be­zo­ge­ne Daten erhal­ten, die für die Durch­füh­rung — gemäß dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten — eines ein­zel­nen Unter­su­chungs­auf­trags im Inter­es­se der All­ge­mein­heit erfor­der­lich sind. Anträ­ge auf Offen­le­gung, die von Behör­den aus­ge­hen, soll­ten immer schrift­lich erfol­gen, mit Grün­den ver­se­hen sein und gele­gent­li­chen Cha­rak­ter haben, und sie soll­ten nicht voll­stän­di­ge Datei­sy­ste­me betref­fen oder zur Ver­knüp­fung von Datei­sy­ste­men füh­ren. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die genann­ten Behör­den soll­te den für die Zwecke der Ver­ar­bei­tung gel­ten­den Daten­schutz­vor­schrif­ten entsprechen.

Kapi­tel II Grundsätze

Arti­kel 5 Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten

(1) Per­so­nen­be­zo­ge­ne Daten müssen
a) auf recht­mä­ßi­ge Wei­se, nach Treu und Glau­ben und in einer für die betrof­fe­ne Per­son nach­voll­zieh­ba­ren Wei­se ver­ar­bei­tet wer­den (“Recht­mä­ssig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Trans­pa­renz und Infor­ma­ti­on”);
b) für fest­ge­leg­te, ein­deu­ti­ge und legi­ti­me Zwecke erho­ben wer­den und dür­fen nicht in einer mit die­sen Zwecken nicht zu ver­ein­ba­ren­den Wei­se wei­ter­ver­ar­bei­tet wer­den; eine Wei­ter­ver­ar­bei­tung für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, für wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke gilt gemäß Arti­kel 89 Absatz 1 nicht als unver­ein­bar mit den ursprüng­li­chen Zwecken (“Zweck­bin­dung”);
c) dem Zweck ange­mes­sen und erheb­lich sowie auf das für die Zwecke der Ver­ar­bei­tung not­wen­di­ge Maß beschränkt sein (Daten­mi­ni­mie­rung);
d) sach­lich rich­tig und erfor­der­li­chen­falls auf dem neue­sten Stand sein; es sind alle ange­mes­se­nen Maß­nah­men zu tref­fen, damit per­so­nen­be­zo­ge­ne Daten, die im Hin­blick auf die Zwecke ihrer Ver­ar­bei­tung unrich­tig sind, unver­züg­lich gelöscht oder berich­tigt wer­den (“Rich­tig­keit”);
e) in einer Form gespei­chert wer­den, die die Iden­ti­fi­zie­rung der betrof­fe­nen Per­so­nen nur so lan­ge ermög­licht, wie es für die Zwecke, für die sie ver­ar­bei­tet wer­den, erfor­der­lich ist; per­so­nen­be­zo­ge­ne Daten dür­fen län­ger gespei­chert wer­den, soweit die per­so­nen­be­zo­ge­nen Daten vor­be­halt­lich der Durch­füh­rung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, die von die­ser Ver­ord­nung zum Schutz der Rech­te und Frei­hei­ten der betrof­fe­nen Per­son gefor­dert wer­den, aus­schließ­lich für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke oder für wis­sen­schaft­li­che und histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke gemäß Arti­kel 89 Absatz 1 ver­ar­bei­tet wer­den (“Spei­cher­be­gren­zung”);
f) in einer Wei­se ver­ar­bei­tet wer­den, die eine ange­mes­se­ne Sicher­heit der per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet, ein­schließ­lich Schutz vor unbe­fug­ter oder unrecht­mä­ßi­ger Ver­ar­bei­tung und vor unbe­ab­sich­tig­tem Ver­lust, unbe­ab­sich­tig­ter Zer­stö­rung oder unbe­ab­sich­tig­ter Schä­di­gung durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (“Inte­gri­tät und Ver­trau­lich­keit”);
(2) Der Ver­ant­wort­li­che ist für die Ein­hal­tung des Absat­zes 1 ver­ant­wort­lich und muss des­sen Ein­hal­tung nach­wei­sen kön­nen (“Rechen­schafts­pflicht”).
Erwä­gungs­grün­de
39 Jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te recht­mä­ßig und nach Treu und Glau­ben erfol­gen. Für natür­li­che Per­so­nen soll­te Trans­pa­renz dahin­ge­hend bestehen, dass sie betref­fen­de per­so­nen­be­zo­ge­ne Daten erho­ben, ver­wen­det, ein­ge­se­hen oder ander­wei­tig ver­ar­bei­tet wer­den und in wel­chem Umfang die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den und künf­tig noch ver­ar­bei­tet wer­den. Der Grund­satz der Trans­pa­renz setzt vor­aus, dass alle Infor­ma­tio­nen und Mit­tei­lun­gen zur Ver­ar­bei­tung die­ser per­so­nen­be­zo­ge­nen Daten leicht zugäng­lich und ver­ständ­lich und in kla­rer und ein­fa­cher Spra­che abge­fasst sind. Die­ser Grund­satz betrifft ins­be­son­de­re die Infor­ma­tio­nen über die Iden­ti­tät des Ver­ant­wort­li­chen und die Zwecke der Ver­ar­bei­tung und son­sti­ge Infor­ma­tio­nen, die eine fai­re und trans­pa­ren­te Ver­ar­bei­tung im Hin­blick auf die betrof­fe­nen natür­li­chen Per­so­nen gewähr­lei­sten, sowie deren Recht, eine Bestä­ti­gung und Aus­kunft dar­über zu erhal­ten, wel­che sie betref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Natür­li­che Per­so­nen soll­ten über die Risi­ken, Vor­schrif­ten, Garan­tien und Rech­te im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten infor­miert und dar­über auf­ge­klärt wer­den, wie sie ihre dies­be­züg­li­chen Rech­te gel­tend machen kön­nen. Ins­be­son­de­re soll­ten die bestimm­ten Zwecke, zu denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, ein­deu­tig und recht­mä­ßig sein und zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten fest­ste­hen. Die per­so­nen­be­zo­ge­nen Daten soll­ten für die Zwecke, zu denen sie ver­ar­bei­tet wer­den, ange­mes­sen und erheb­lich sowie auf das für die Zwecke ihrer Ver­ar­bei­tung not­wen­di­ge Maß beschränkt sein. Dies erfor­dert ins­be­son­de­re, dass die Spei­cher­frist für per­so­nen­be­zo­ge­ne Daten auf das unbe­dingt erfor­der­li­che Min­dest­maß beschränkt bleibt. Per­so­nen­be­zo­ge­ne Daten soll­ten nur ver­ar­bei­tet wer­den dür­fen, wenn der Zweck der Ver­ar­bei­tung nicht in zumut­ba­rer Wei­se durch ande­re Mit­tel erreicht wer­den kann. Um sicher­zu­stel­len, dass die per­so­nen­be­zo­ge­nen Daten nicht län­ger als nötig gespei­chert wer­den, soll­te der Ver­ant­wort­li­che Fri­sten für ihre Löschung oder regel­mä­ßi­ge Über­prü­fung vor­se­hen. Es soll­ten alle ver­tret­ba­ren Schrit­te unter­nom­men wer­den, damit unrich­ti­ge per­so­nen­be­zo­ge­ne Daten gelöscht oder berich­tigt wer­den. Per­so­nen­be­zo­ge­ne Daten soll­ten so ver­ar­bei­tet wer­den, dass ihre Sicher­heit und Ver­trau­lich­keit hin­rei­chend gewähr­lei­stet ist, wozu auch gehört, dass Unbe­fug­te kei­nen Zugang zu den Daten haben und weder die Daten noch die Gerä­te, mit denen die­se ver­ar­bei­tet wer­den, benut­zen können. 

Arti­kel 6 Recht­mä­ßig­keit der Verarbeitung

(1) Die Ver­ar­bei­tung ist nur recht­mä­ßig, wenn min­de­stens eine der nach­ste­hen­den Bedin­gun­gen erfüllt ist:
a) Die betrof­fe­ne Per­son hat ihre Ein­wil­li­gung zu der Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re bestimm­te Zwecke gegeben;
b) die Ver­ar­bei­tung ist für die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erfor­der­lich, die auf Anfra­ge der betrof­fe­nen Per­son erfolgen;
c) die Ver­ar­bei­tung ist zur Erfül­lung einer recht­li­chen Ver­pflich­tung erfor­der­lich, der der Ver­ant­wort­li­che unterliegt;
d) die Ver­ar­bei­tung ist erfor­der­lich, um lebens­wich­ti­ge Inter­es­sen der betrof­fe­nen Per­son oder einer ande­ren natür­li­chen Per­son zu schützen;
e) die Ver­ar­bei­tung ist für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde;
f) die Ver­ar­bei­tung ist zur Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen oder eines Drit­ten erfor­der­lich, sofern nicht die Inter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son, die den Schutz per­so­nen­be­zo­ge­ner Daten erfor­dern, über­wie­gen, ins­be­son­de­re dann, wenn es sich bei der betrof­fe­nen Per­son um ein Kind handelt.
Unter­ab­satz 1 Buch­sta­be f gilt nicht für die von Behör­den in Erfül­lung ihrer Auf­ga­ben vor­ge­nom­me­ne Ver­ar­bei­tung.
(2) Die Mit­glied­staa­ten kön­nen spe­zi­fi­sche­re Bestim­mun­gen zur Anpas­sung der Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung in Bezug auf die Ver­ar­bei­tung zur Erfül­lung von Absatz 1 Buch­sta­ben c und e bei­be­hal­ten oder ein­füh­ren, indem sie spe­zi­fi­sche Anfor­de­run­gen für die Ver­ar­bei­tung sowie son­sti­ge Maß­nah­men prä­zi­ser bestim­men, um eine recht­mä­ßig und nach Treu und Glau­ben erfol­gen­de Ver­ar­bei­tung zu gewähr­lei­sten, ein­schließ­lich für ande­re beson­de­re Ver­ar­bei­tungs­si­tua­tio­nen gemäß Kapi­tel IX.
(3) Die Rechts­grund­la­ge für die Ver­ar­bei­tun­gen gemäß Absatz 1 Buch­sta­ben c und e wird fest­ge­legt durch
a) Uni­ons­recht oder
b) das Recht der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unterliegt.
Der Zweck der Ver­ar­bei­tung muss in die­ser Rechts­grund­la­ge fest­ge­legt oder hin­sicht­lich der Ver­ar­bei­tung gemäß Absatz 1 Buch­sta­be e für die Erfül­lung einer Auf­ga­be erfor­der­lich sein, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de. Die­se Rechts­grund­la­ge kann spe­zi­fi­sche Bestim­mun­gen zur Anpas­sung der Anwen­dung der Vor­schrif­ten die­ser Ver­ord­nung ent­hal­ten, unter ande­rem Bestim­mun­gen dar­über, wel­che all­ge­mei­nen Bedin­gun­gen für die Rege­lung der Recht­mä­ßig­keit der Ver­ar­bei­tung durch den Ver­ant­wort­li­chen gel­ten, wel­che Arten von Daten ver­ar­bei­tet wer­den, wel­che Per­so­nen betrof­fen sind, an wel­che Ein­rich­tun­gen und für wel­che Zwecke die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wer­den dür­fen, wel­cher Zweck­bin­dung sie unter­lie­gen, wie lan­ge sie gespei­chert wer­den dür­fen und wel­che Ver­ar­bei­tungs­vor­gän­ge und ‑ver­fah­ren ange­wandt wer­den dür­fen, ein­schließ­lich Maß­nah­men zur Gewähr­lei­stung einer recht­mä­ßig und nach Treu und Glau­ben erfol­gen­den Ver­ar­bei­tung, wie sol­che für son­sti­ge beson­de­re Ver­ar­bei­tungs­si­tua­tio­nen gemäß Kapi­tel IX. Das Uni­ons­recht oder das Recht der Mit­glied­staa­ten müs­sen ein im öffent­li­chen Inter­es­se lie­gen­des Ziel ver­fol­gen und in einem ange­mes­se­nen Ver­hält­nis zu dem ver­folg­ten legi­ti­men Zweck ste­hen.
(4) Beruht die Ver­ar­bei­tung zu einem ande­ren Zweck als zu dem­je­ni­gen, zu dem die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, nicht auf der Ein­wil­li­gung der betrof­fe­nen Per­son oder auf einer Rechts­vor­schrift der Uni­on oder der Mit­glied­staa­ten, die in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me zum Schutz der in Arti­kel 23 Absatz 1 genann­ten Zie­le dar­stellt, so berück­sich­tigt der Ver­ant­wort­li­che — um fest­zu­stel­len, ob die Ver­ar­bei­tung zu einem ande­ren Zweck mit dem­je­ni­gen, zu dem die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, ver­ein­bar ist — unter anderem
a) jede Ver­bin­dung zwi­schen den Zwecken, für die die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, und den Zwecken der beab­sich­tig­ten Weiterverarbeitung,
b) den Zusam­men­hang, in dem die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, ins­be­son­de­re hin­sicht­lich des Ver­hält­nis­ses zwi­schen den betrof­fe­nen Per­so­nen und dem Verantwortlichen,
c) die Art der per­so­nen­be­zo­ge­nen Daten, ins­be­son­de­re ob Beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten gemäß Arti­kel 9 ver­ar­bei­tet wer­den oder ob per­so­nen­be­zo­ge­ne Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gemäß Arti­kel 10 ver­ar­bei­tet werden,
d) die mög­li­chen Fol­gen der beab­sich­tig­ten Wei­ter­ver­ar­bei­tung für die betrof­fe­nen Personen,
e) das Vor­han­den­sein geeig­ne­ter Garan­tien, wozu Ver­schlüs­se­lung oder Pseud­ony­mi­sie­rung gehö­ren kann.
Erwä­gungs­grün­de
(40) Damit die Ver­ar­bei­tung recht­mä­ßig ist, müs­sen per­so­nen­be­zo­ge­ne Daten mit Ein­wil­li­gung der betrof­fe­nen Per­son oder auf einer son­sti­gen zuläs­si­gen Rechts­grund­la­ge ver­ar­bei­tet wer­den, die sich aus die­ser Ver­ord­nung oder — wann immer in die­ser Ver­ord­nung dar­auf Bezug genom­men wird — aus dem son­sti­gen Uni­ons­recht oder dem Recht der Mit­glied­staa­ten ergibt, so unter ande­rem auf der Grund­la­ge, dass sie zur Erfül­lung der recht­li­chen Ver­pflich­tung, der der Ver­ant­wort­li­che unter­liegt, oder zur Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist, oder für die Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men, die auf Anfra­ge der betrof­fe­nen Per­son erfol­gen, erfor­der­lich ist.
(41) Wenn in die­ser Ver­ord­nung auf eine Rechts­grund­la­ge oder eine Gesetz­ge­bungs­maß­nah­me Bezug genom­men wird, erfor­dert dies nicht not­wen­di­ger­wei­se einen von einem Par­la­ment ange­nom­me­nen Gesetz­ge­bungs­akt; davon unbe­rührt blei­ben Anfor­de­run­gen gemäß der Ver­fas­sungs­ord­nung des betref­fen­den Mit­glied­staats. Die ent­spre­chen­de Rechts­grund­la­ge oder Gesetz­ge­bungs­maß­nah­me soll­te jedoch klar und prä­zi­se sein und ihre Anwen­dung soll­te für die Rechts­un­ter­wor­fe­nen gemäß der Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on (im Fol­gen­den “Gerichts­hof”) und des Euro­päi­schen Gerichts­hofs für Men­schen­rech­te vor­her­seh­bar sein.
(44) Die Ver­ar­bei­tung von Daten soll­te als recht­mä­ßig gel­ten, wenn sie für die Erfül­lung oder den geplan­ten Abschluss eines Ver­trags erfor­der­lich ist.
(45) Erfolgt die Ver­ar­bei­tung durch den Ver­ant­wort­li­chen auf­grund einer ihm oblie­gen­den recht­li­chen Ver­pflich­tung oder ist die Ver­ar­bei­tung zur Wahr­neh­mung einer Auf­ga­be im öffent­li­chen Inter­es­se oder in Aus­übung öffent­li­cher Gewalt erfor­der­lich, muss hier­für eine Grund­la­ge im Uni­ons­frak­ti­on nsrecht oder im Recht eines Mit­glied­staats bestehen. Mit die­ser Ver­ord­nung wird nicht für jede ein­zel­ne Ver­ar­bei­tung ein spe­zi­fi­sches Gesetz ver­langt. Ein Gesetz als Grund­la­ge für meh­re­re Ver­ar­bei­tungs­vor­gän­ge kann aus­rei­chend sein, wenn die Ver­ar­bei­tung auf­grund einer dem Ver­ant­wort­li­chen oblie­gen­den recht­li­chen Ver­pflich­tung erfolgt oder wenn die Ver­ar­bei­tung zur Wahr­neh­mung einer Auf­ga­be im öffent­li­chen Inter­es­se oder in Aus­übung öffent­li­cher Gewalt erfor­der­lich ist. Des­glei­chen soll­te im Uni­ons­recht oder im Recht der Mit­glied­staa­ten gere­gelt wer­den, für wel­che Zwecke die Daten ver­ar­bei­tet wer­den dür­fen. Fer­ner könn­ten in die­sem Recht die all­ge­mei­nen Bedin­gun­gen die­ser Ver­ord­nung zur Rege­lung der Recht­mä­ßig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten prä­zi­siert und es könn­te dar­in fest­ge­legt wer­den, wie der Ver­ant­wort­li­che zu bestim­men ist, wel­che Art von per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, wel­che Per­so­nen betrof­fen sind, wel­chen Ein­rich­tun­gen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt, für wel­che Zwecke und wie lan­ge sie gespei­chert wer­den dür­fen und wel­che ande­ren Maß­nah­men ergrif­fen wer­den, um zu gewähr­lei­sten, dass die Ver­ar­bei­tung recht­mä­ßig und nach Treu und Glau­ben erfolgt. Des­glei­chen soll­te im Uni­ons­recht oder im Recht der Mit­glied­staa­ten gere­gelt wer­den, ob es sich bei dem Ver­ant­wort­li­chen, der eine Auf­ga­be wahr­nimmt, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, um eine Behör­de oder um eine ande­re unter das öffent­li­che Recht fal­len­de natür­li­che oder juri­sti­sche Per­son oder, sofern dies durch das öffent­li­che Inter­es­se ein­schließ­lich gesund­heit­li­cher Zwecke, wie die öffent­li­che Gesund­heit oder die sozia­le Sicher­heit oder die Ver­wal­tung von Lei­stun­gen der Gesund­heits­für­sor­ge, gerecht­fer­tigt ist, eine natür­li­che oder juri­sti­sche Per­son des Pri­vat­rechts, wie bei­spiels­wei­se eine Berufs­ver­ei­ni­gung, han­deln sollte.
(46) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te eben­falls als recht­mä­ßig ange­se­hen wer­den, wenn sie erfor­der­lich ist, um ein lebens­wich­ti­ges Inter­es­se der betrof­fe­nen Per­son oder einer ande­ren natür­li­chen Per­son zu schüt­zen. Per­so­nen­be­zo­ge­ne Daten soll­ten grund­sätz­lich nur dann auf­grund eines lebens­wich­ti­gen Inter­es­ses einer ande­ren natür­li­chen Per­son ver­ar­bei­tet wer­den, wenn die Ver­ar­bei­tung offen­sicht­lich nicht auf eine ande­re Rechts­grund­la­ge gestützt wer­den kann. Eini­ge Arten der Ver­ar­bei­tung kön­nen sowohl wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses als auch lebens­wich­ti­gen Inter­es­sen der betrof­fe­nen Per­son die­nen; so kann bei­spiels­wei­se die Ver­ar­bei­tung für huma­ni­tä­re Zwecke ein­schließ­lich der Über­wa­chung von Epi­de­mien und deren Aus­brei­tung oder in huma­ni­tä­ren Not­fäl­len ins­be­son­de­re bei Natur­ka­ta­stro­phen oder vom Men­schen ver­ur­sach­ten Kata­stro­phen erfor­der­lich sein.
(47) Die Recht­mä­ßig­keit der Ver­ar­bei­tung kann durch die berech­tig­ten Inter­es­sen eines Ver­ant­wort­li­chen, auch eines Ver­ant­wort­li­chen, dem die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wer­den dür­fen, oder eines Drit­ten begrün­det sein, sofern die Inter­es­sen oder die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen; dabei sind die ver­nünf­ti­gen Erwar­tun­gen der betrof­fe­nen Per­son, die auf ihrer Bezie­hung zu dem Ver­ant­wort­li­chen beru­hen, zu berück­sich­ti­gen. Ein berech­tig­tes Inter­es­se könn­te bei­spiels­wei­se vor­lie­gen, wenn eine maß­geb­li­che und ange­mes­se­ne Bezie­hung zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen besteht, z. B. wenn die betrof­fe­ne Per­son ein Kun­de des Ver­ant­wort­li­chen ist oder in sei­nen Dien­sten steht. Auf jeden Fall wäre das Bestehen eines berech­tig­ten Inter­es­ses beson­ders sorg­fäl­tig abzu­wä­gen, wobei auch zu prü­fen ist, ob eine betrof­fe­ne Per­son zum Zeit­punkt der Erhe­bung der per­so­nen­be­zo­ge­nen Daten und ange­sichts der Umstän­de, unter denen sie erfolgt, ver­nünf­ti­ger­wei­se abse­hen kann, dass mög­li­cher­wei­se eine Ver­ar­bei­tung für die­sen Zweck erfol­gen wird. Ins­be­son­de­re dann, wenn per­so­nen­be­zo­ge­ne Daten in Situa­tio­nen ver­ar­bei­tet wer­den, in denen eine betrof­fe­ne Per­son ver­nünf­ti­ger­wei­se nicht mit einer wei­te­ren Ver­ar­bei­tung rech­nen muss, könn­ten die Inter­es­sen und Grund­rech­te der betrof­fe­nen Per­son das Inter­es­se des Ver­ant­wort­li­chen über­wie­gen. Da es dem Gesetz­ge­ber obliegt, per Rechts­vor­schrift die Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Behör­den zu schaf­fen, soll­te die­se Rechts­grund­la­ge nicht für Ver­ar­bei­tun­gen durch Behör­den gel­ten, die die­se in Erfül­lung ihrer Auf­ga­ben vor­neh­men. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im für die Ver­hin­de­rung von Betrug unbe­dingt erfor­der­li­chen Umfang stellt eben­falls ein berech­tig­tes Inter­es­se des jewei­li­gen Ver­ant­wort­li­chen dar.
Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum Zwecke der Direkt­wer­bung kann als eine einem berech­tig­ten Inter­es­se die­nen­de Ver­ar­bei­tung betrach­tet wer­den.
(48) Ver­ant­wort­li­che, die Teil einer Unter­neh­mens­grup­pe oder einer Grup­pe von Ein­rich­tun­gen sind, die einer zen­tra­len Stel­le zuge­ord­net sind kön­nen ein berech­tig­tes Inter­es­se haben, per­so­nen­be­zo­ge­ne Daten inner­halb der Unter­neh­mens­grup­pe für inter­ne Ver­wal­tungs­zwecke ein­schließ­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Kun­den und Beschäf­tig­ten, zu über­mit­teln. Die Grund­prin­zi­pi­en für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten inner­halb von Unter­neh­mens­grup­pen an ein Unter­neh­men in einem Dritt­land blei­ben unberührt.
(49) Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten durch Behör­den, Com­pu­ter-Not­dien­ste (Com­pu­ter Emer­gen­cy Respon­se Teams — CERT, bezie­hungs­wei­se Com­pu­ter Secu­ri­ty Inci­dent Respon­se Teams — CSIRT), Betrei­ber von elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­net­zen und ‑dien­sten sowie durch Anbie­ter von Sicher­heits­tech­no­lo­gien und ‑dien­sten stellt in dem Maße ein berech­tig­tes Inter­es­se des jewei­li­gen Ver­ant­wort­li­chen dar, wie dies für die Gewähr­lei­stung der Netz- und Infor­ma­ti­ons­si­cher­heit unbe­dingt not­wen­dig und ver­hält­nis­mä­ßig ist, d.h. soweit dadurch die Fähig­keit eines Net­zes oder Infor­ma­ti­ons­sy­stems gewähr­lei­stet wird, mit einem vor­ge­ge­be­nen Grad der Zuver­läs­sig­keit Stö­run­gen oder wider­recht­li­che oder mut­wil­li­ge Ein­grif­fe abzu­weh­ren, die die Ver­füg­bar­keit, Authen­ti­zi­tät, Voll­stän­dig­keit und Ver­trau­lich­keit von gespei­cher­ten oder über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten sowie die Sicher­heit damit zusam­men­hän­gen­der Dien­ste, die über die­se Net­ze oder Infor­ma­ti­ons­sy­ste­me ange­bo­ten wer­den bzw. zugäng­lich sind, beein­träch­ti­gen. Ein sol­ches berech­tig­tes Inter­es­se könn­te bei­spiels­wei­se dar­in bestehen, den Zugang Unbe­fug­ter zu elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­net­zen und die Ver­brei­tung schäd­li­cher Pro­gramm­codes zu ver­hin­dern sowie Angrif­fe in Form der geziel­ten Über­la­stung von Ser­vern (“Deni­al of ser­vice”-Angrif­fe) und Schä­di­gun­gen von Com­pu­ter- und elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­sy­ste­men abzuwehren.
(50) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für ande­re Zwecke als die, für die die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, soll­te nur zuläs­sig sein, wenn die Ver­ar­bei­tung mit den Zwecken, für die die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, ver­ein­bar ist. In die­sem Fall ist kei­ne ande­re geson­der­te Rechts­grund­la­ge erfor­der­lich als die­je­ni­ge für die Erhe­bung der per­so­nen­be­zo­ge­nen Daten. Ist die Ver­ar­bei­tung für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, so kön­nen im Uni­ons­recht oder im Recht der Mit­glied­staa­ten die Auf­ga­ben und Zwecke bestimmt und kon­kre­ti­siert wer­den, für die eine Wei­ter­ver­ar­bei­tung als ver­ein­bar und recht­mä­ßig erach­tet wird. Die Wei­ter­ver­ar­bei­tung für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, für wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke soll­te als ver­ein­ba­rer und recht­mä­ßi­ger Ver­ar­bei­tungs­vor­gang gel­ten. Die im Uni­ons­recht oder im Recht der Mit­glied­staa­ten vor­ge­se­he­ne Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kann auch als Rechts­grund­la­ge für eine Wei­ter­ver­ar­bei­tung die­nen. Um fest­zu­stel­len, ob ein Zweck der Wei­ter­ver­ar­bei­tung mit dem Zweck, für den die per­so­nen­be­zo­ge­nen Daten ursprüng­lich erho­ben wur­den, ver­ein­bar ist, soll­te der Ver­ant­wort­li­che nach Ein­hal­tung aller Anfor­de­run­gen für die Recht­mä­ßig­keit der ursprüng­li­chen Ver­ar­bei­tung unter ande­rem prü­fen, ob ein Zusam­men­hang zwi­schen den Zwecken, für die die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, und den Zwecken der beab­sich­tig­ten Wei­ter­ver­ar­bei­tung besteht, in wel­chem Kon­text die Daten erho­ben wur­den, ins­be­son­de­re die ver­nünf­ti­gen Erwar­tun­gen der betrof­fe­nen Per­son, die auf ihrer Bezie­hung zu dem Ver­ant­wort­li­chen beru­hen, in Bezug auf die wei­te­re Ver­wen­dung die­ser Daten, um wel­che Art von per­so­nen­be­zo­ge­nen Daten es sich han­delt, wel­che Fol­gen die beab­sich­tig­te Wei­ter­ver­ar­bei­tung für die betrof­fe­nen Per­so­nen hat und ob sowohl beim ursprüng­li­chen als auch beim beab­sich­tig­ten Wei­ter­ver­ar­bei­tungs­vor­gang geeig­ne­te Garan­tien bestehen.
Hat die betrof­fe­ne Per­son ihre Ein­wil­li­gung erteilt oder beruht die Ver­ar­bei­tung auf Uni­ons­recht oder dem Recht der Mit­glied­staa­ten, was in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me zum Schutz ins­be­son­de­re wich­ti­ger Zie­le des all­ge­mei­nen öffent­li­chen Inter­es­ses dar­stellt, so soll­te der Ver­ant­wort­li­che die per­so­nen­be­zo­ge­nen Daten unge­ach­tet der Ver­ein­bar­keit der Zwecke wei­ter­ver­ar­bei­ten dür­fen. In jedem Fall soll­te gewähr­lei­stet sein, dass die in die­ser Ver­ord­nung nie­der­ge­leg­ten Grund­sät­ze ange­wandt wer­den und ins­be­son­de­re die betrof­fe­ne Per­son über die­se ande­ren Zwecke und über ihre Rech­te ein­schließ­lich des Wider­spruchs­rechts unter­rich­tet wird. Der Hin­weis des Ver­ant­wort­li­chen auf mög­li­che Straf­ta­ten oder Bedro­hun­gen der öffent­li­chen Sicher­heit und die Über­mitt­lung der maß­geb­li­chen per­so­nen­be­zo­ge­nen Daten in Ein­zel­fäl­len oder in meh­re­ren Fäl­len, die im Zusam­men­hang mit der­sel­ben Straf­tat oder der­sel­ben Bedro­hung der öffent­li­chen Sicher­heit ste­hen, an eine zustän­di­ge Behör­de soll­ten als berech­tig­tes Inter­es­se des Ver­ant­wort­li­chen gel­ten. Eine der­ar­ti­ge Über­mitt­lung per­so­nen­be­zo­ge­ner Daten im berech­tig­ten Inter­es­se des Ver­ant­wort­li­chen oder deren Wei­ter­ver­ar­bei­tung soll­te jedoch unzu­läs­sig sein, wenn die Ver­ar­bei­tung mit einer recht­li­chen, beruf­li­chen oder son­sti­gen ver­bind­li­chen Pflicht zur Geheim­hal­tung unver­ein­bar ist. 

Arti­kel 7 Bedin­gun­gen für die Einwilligung

(1) Beruht die Ver­ar­bei­tung auf einer Ein­wil­li­gung, muss der Ver­ant­wort­li­che nach­wei­sen kön­nen, dass die betrof­fe­ne Per­son in die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten ein­ge­wil­ligt hat.
(2) Erfolgt die Ein­wil­li­gung der betrof­fe­nen Per­son durch eine schrift­li­che Erklä­rung, die noch ande­re Sach­ver­hal­te betrifft, so muss das Ersu­chen um Ein­wil­li­gung in ver­ständ­li­cher und leicht zugäng­li­cher Form in einer kla­ren und ein­fa­chen Spra­che so erfol­gen, dass es von den ande­ren Sach­ver­hal­ten klar zu unter­schei­den ist. Tei­le der Erklä­rung sind dann nicht ver­bind­lich, wenn sie einen Ver­stoß gegen die­se Ver­ord­nung darstellen.
(3) Die betrof­fe­ne Per­son hat das Recht, ihre Ein­wil­li­gung jeder­zeit zu wider­ru­fen. Durch den Wider­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung nicht berührt. Die betrof­fe­ne Per­son wird vor Abga­be der Ein­wil­li­gung hier­von in Kennt­nis gesetzt. Der Wider­ruf der Ein­wil­li­gung muss so ein­fach wie die Ertei­lung der Ein­wil­li­gung sein.
(4) Bei der Beur­tei­lung, ob die Ein­wil­li­gung frei­wil­lig erteilt wur­de, muss dem Umstand in größt­mög­li­chem Umfang Rech­nung getra­gen wer­den, ob unter ande­rem die Erfül­lung eines Ver­trags, ein­schließ­lich der Erbrin­gung einer Dienst­lei­stung, von der Ein­wil­li­gung zu einer Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten abhän­gig ist, die für die Erfül­lung des Ver­trags nicht erfor­der­lich sind.
Erwä­gungs­grün­de
(42) Erfolgt die Ver­ar­bei­tung mit Ein­wil­li­gung der betrof­fe­nen Per­son, soll­te der Ver­ant­wort­li­che nach­wei­sen kön­nen, dass die betrof­fe­ne Per­son ihre Ein­wil­li­gung zu dem Ver­ar­bei­tungs­vor­gang gege­ben hat. Ins­be­son­de­re bei Abga­be einer schrift­li­chen Erklä­rung in ande­rer Sache soll­ten Garan­tien sicher­stel­len, dass die betrof­fe­ne Per­son weiß, dass und in wel­chem Umfang sie ihre Ein­wil­li­gung erteilt. Gemäß der Richt­li­nie 93/13/EWG des Rates (10) soll­te eine vom Ver­ant­wort­li­chen vor­for­mu­lier­te Ein­wil­li­gungs­er­klä­rung in ver­ständ­li­cher und leicht zugäng­li­cher Form in einer kla­ren und ein­fa­chen Spra­che zur Ver­fü­gung gestellt wer­den, und sie soll­te kei­ne miss­bräuch­li­chen Klau­seln beinhal­ten. Damit sie in Kennt­nis der Sach­la­ge ihre Ein­wil­li­gung geben kann, soll­te die betrof­fe­ne Per­son min­de­stens wis­sen, wer der Ver­ant­wort­li­che ist und für wel­che Zwecke ihre per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len. Es soll­te nur dann davon aus­ge­gan­gen wer­den, dass sie ihre Ein­wil­li­gung frei­wil­lig gege­ben hat, wenn sie eine ech­te oder freie Wahl hat und somit in der Lage ist, die Ein­wil­li­gung zu ver­wei­gern oder zurück­zu­zie­hen, ohne Nach­tei­le zu erleiden.
(43) Um sicher­zu­stel­len, dass die Ein­wil­li­gung frei­wil­lig erfolgt ist, soll­te die­se in beson­de­ren Fäl­len, wenn zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen ein kla­res Ungleich­ge­wicht besteht, ins­be­son­de­re wenn es sich bei dem Ver­ant­wort­li­chen um eine Behör­de han­delt, und es des­halb in Anbe­tracht aller Umstän­de in dem spe­zi­el­len Fall unwahr­schein­lich ist, dass die Ein­wil­li­gung frei­wil­lig gege­ben wur­de, kei­ne gül­ti­ge Rechts­grund­la­ge lie­fern. Die Ein­wil­li­gung gilt nicht als frei­wil­lig erteilt, wenn zu ver­schie­de­nen Ver­ar­bei­tungs­vor­gän­gen von per­so­nen­be­zo­ge­nen Daten nicht geson­dert eine Ein­wil­li­gung erteilt wer­den kann, obwohl dies im Ein­zel­fall ange­bracht ist, oder wenn die Erfül­lung eines Ver­trags, ein­schließ­lich der Erbrin­gung einer Dienst­lei­stung, von der Ein­wil­li­gung abhän­gig ist, obwohl die­se Ein­wil­li­gung für die Erfül­lung nicht erfor­der­lich ist.

Arti­kel 8 Bedin­gun­gen für die Ein­wil­li­gung eines Kin­des in Bezug auf Dien­ste der Informationsgesellschaft

(1) Gilt Arti­kel 6 Absatz 1 Buch­sta­be a bei einem Ange­bot von Dien­sten der Infor­ma­ti­ons­ge­sell­schaft, das einem Kind direkt gemacht wird, so ist die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten des Kin­des recht­mä­ßig, wenn das Kind das sech­zehn­te Lebens­jahr voll­endet hat. Hat das Kind noch nicht das sech­zehn­te Lebens­jahr voll­endet, so ist die­se Ver­ar­bei­tung nur recht­mä­ßig, sofern und soweit die­se Ein­wil­li­gung durch den Trä­ger der elter­li­chen Ver­ant­wor­tung für das Kind oder mit des­sen Zustim­mung erteilt wird. Die Mit­glied­staa­ten kön­nen durch Rechts­vor­schrif­ten zu die­sen Zwecken eine nied­ri­ge­re Alters­gren­ze vor­se­hen, die jedoch nicht unter dem voll­ende­ten drei­zehn­ten Lebens­jahr lie­gen darf.
(2) Der Ver­ant­wort­li­che unter­nimmt unter Berück­sich­ti­gung der ver­füg­ba­ren Tech­nik ange­mes­se­ne Anstren­gun­gen, um sich in sol­chen Fäl­len zu ver­ge­wis­sern, dass die Ein­wil­li­gung durch den Trä­ger der elter­li­chen Ver­ant­wor­tung für das Kind oder mit des­sen Zustim­mung erteilt wurde.
(3) Absatz 1 lässt das all­ge­mei­ne Ver­trags­recht der Mit­glied­staa­ten, wie etwa die Vor­schrif­ten zur Gül­tig­keit, zum Zustan­de­kom­men oder zu den Rechts­fol­gen eines Ver­trags in Bezug auf ein Kind, unberührt.
Erwä­gungs­grün­de
(38) Kin­der ver­die­nen bei ihren per­so­nen­be­zo­ge­nen Daten beson­de­ren Schutz, da Kin­der sich der betref­fen­den Risi­ken, Fol­gen und Garan­tien und ihrer Rech­te bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mög­li­cher­wei­se weni­ger bewusst sind. Ein sol­cher beson­de­rer Schutz soll­te ins­be­son­de­re die Ver­wen­dung per­so­nen­be­zo­ge­ner Daten von Kin­dern für Wer­be­zwecke oder für die Erstel­lung von Per­sön­lich­keits- oder Nut­zer­pro­fi­len und die Erhe­bung von per­so­nen­be­zo­ge­nen Daten von Kin­dern bei der Nut­zung von Dien­sten, die Kin­dern direkt ange­bo­ten wer­den, betref­fen. Die Ein­wil­li­gung des Trä­gers der elter­li­chen Ver­ant­wor­tung soll­te im Zusam­men­hang mit Prä­ven­ti­ons- oder Bera­tungs­dien­sten, die unmit­tel­bar einem Kind ange­bo­ten wer­den, nicht erfor­der­lich sein.

Arti­kel 9 Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten

(1) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, aus denen die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder welt­an­schau­li­che Über­zeu­gun­gen oder die Gewerk­schafts­zu­ge­hö­rig­keit her­vor­ge­hen, sowie die Ver­ar­bei­tung von gene­ti­schen Daten, bio­me­tri­schen Daten zur ein­deu­ti­gen Iden­ti­fi­zie­rung einer natür­li­chen Per­son, Gesund­heits­da­ten oder Daten zum Sexu­al­le­ben oder der sexu­el­len Ori­en­tie­rung einer natür­li­chen Per­son ist untersagt.
(2) Absatz 1 gilt nicht in fol­gen­den Fällen:
a) Die betrof­fe­ne Per­son hat in die Ver­ar­bei­tung der genann­ten per­so­nen­be­zo­ge­nen Daten für einen oder meh­re­re fest­ge­leg­te Zwecke aus­drück­lich ein­ge­wil­ligt, es sei denn, nach Uni­ons­recht oder dem Recht der Mit­glied­staa­ten kann das Ver­bot nach Absatz 1 durch die Ein­wil­li­gung der betrof­fe­nen Per­son nicht auf­ge­ho­ben werden,
b) die Ver­ar­bei­tung ist erfor­der­lich, damit der Ver­ant­wort­li­che oder die betrof­fe­ne Per­son die ihm bzw. ihr aus dem Arbeits­recht und dem Recht der sozia­len Sicher­heit und des Sozi­al­schut­zes erwach­sen­den Rech­te aus­üben und sei­nen bzw. ihren dies­be­züg­li­chen Pflich­ten nach­kom­men kann, soweit dies nach Uni­ons­recht oder dem Recht der Mit­glied­staa­ten oder einer Kol­lek­tiv­ver­ein­ba­rung nach dem Recht der Mit­glied­staa­ten, das geeig­ne­te Garan­tien für die Grund­rech­te und die Inter­es­sen der betrof­fe­nen Per­son vor­sieht, zuläs­sig ist,
c) die Ver­ar­bei­tung ist zum Schutz lebens­wich­ti­ger Inter­es­sen der betrof­fe­nen Per­son oder einer ande­ren natür­li­chen Per­son erfor­der­lich und die betrof­fe­ne Per­son ist aus kör­per­li­chen oder recht­li­chen Grün­den außer­stan­de, ihre Ein­wil­li­gung zu geben,
d) die Ver­ar­bei­tung erfolgt auf der Grund­la­ge geeig­ne­ter Garan­tien durch eine poli­tisch, welt­an­schau­lich, reli­gi­ös oder gewerk­schaft­lich aus­ge­rich­te­te Stif­tung, Ver­ei­ni­gung oder son­sti­ge Orga­ni­sa­ti­on ohne Gewinn­erzie­lungs­ab­sicht im Rah­men ihrer recht­mä­ßi­gen Tätig­kei­ten und unter der Vor­aus­set­zung, dass sich die Ver­ar­bei­tung aus­schließ­lich auf die Mit­glie­der oder ehe­ma­li­ge Mit­glie­der der Orga­ni­sa­ti­on oder auf Per­so­nen, die im Zusam­men­hang mit deren Tätig­keits­zweck regel­mä­ßi­ge Kon­tak­te mit ihr unter­hal­ten, bezieht und die per­so­nen­be­zo­ge­nen Daten nicht ohne Ein­wil­li­gung der betrof­fe­nen Per­so­nen nach außen offen­ge­legt werden,
e) die Ver­ar­bei­tung bezieht sich auf per­so­nen­be­zo­ge­ne Daten, die die betrof­fe­ne Per­son offen­sicht­lich öffent­lich gemacht hat,
f) die Ver­ar­bei­tung ist zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen oder bei Hand­lun­gen der Gerich­te im Rah­men ihrer justi­zi­el­len Tätig­keit erforderlich,
g) die Ver­ar­bei­tung ist auf der Grund­la­ge des Uni­ons­rechts oder des Rechts eines Mit­glied­staats, das in ange­mes­se­nem Ver­hält­nis zu dem ver­folg­ten Ziel steht, den Wesens­ge­halt des Rechts auf Daten­schutz wahrt und ange­mes­se­ne und spe­zi­fi­sche Maß­nah­men zur Wah­rung der Grund­rech­te und Inter­es­sen der betrof­fe­nen Per­son vor­sieht, aus Grün­den eines erheb­li­chen öffent­li­chen Inter­es­ses erforderlich,
h) die Ver­ar­bei­tung ist für Zwecke der Gesund­heits­vor­sor­ge oder der Arbeits­me­di­zin, für die Beur­tei­lung der Arbeits­fä­hig­keit des Beschäf­tig­ten, für die medi­zi­ni­sche Dia­gno­stik, die Ver­sor­gung oder Behand­lung im Gesund­heits- oder Sozi­al­be­reich oder für die Ver­wal­tung von Syste­men und Dien­sten im Gesund­heits- oder Sozi­al­be­reich auf der Grund­la­ge des Uni­ons­rechts oder des Rechts eines Mit­glied­staats oder auf­grund eines Ver­trags mit einem Ange­hö­ri­gen eines Gesund­heits­be­rufs und vor­be­halt­lich der in Absatz 3 genann­ten Bedin­gun­gen und Garan­tien erforderlich,
i) die Ver­ar­bei­tung ist aus Grün­den des öffent­li­chen Inter­es­ses im Bereich der öffent­li­chen Gesund­heit, wie dem Schutz vor schwer­wie­gen­den grenz­über­schrei­ten­den Gesund­heits­ge­fah­ren oder zur Gewähr­lei­stung hoher Qua­li­täts- und Sicher­heits­stan­dards bei der Gesund­heits­ver­sor­gung und bei Arz­nei­mit­teln und Medi­zin­pro­duk­ten, auf der Grund­la­ge des Uni­ons­rechts oder des Rechts eines Mit­glied­staats, das ange­mes­se­ne und spe­zi­fi­sche Maß­nah­men zur Wah­rung der Rech­te und Frei­hei­ten der betrof­fe­nen Per­son, ins­be­son­de­re des Berufs­ge­heim­nis­ses, vor­sieht, erfor­der­lich, oder
j) die Ver­ar­bei­tung ist auf der Grund­la­ge des Uni­ons­rechts oder des Rechts eines Mit­glied­staats, das in ange­mes­se­nem Ver­hält­nis zu dem ver­folg­ten Ziel steht, den Wesens­ge­halt des Rechts auf Daten­schutz wahrt und ange­mes­se­ne und spe­zi­fi­sche Maß­nah­men zur Wah­rung der Grund­rech­te und Inter­es­sen der betrof­fe­nen Per­son vor­sieht, für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, für wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke gemäß Arti­kel 89 Absatz 1 erforderlich.
(3) Die in Absatz 1 genann­ten per­so­nen­be­zo­ge­nen Daten dür­fen zu den in Absatz 2 Buch­sta­be h genann­ten Zwecken ver­ar­bei­tet wer­den, wenn die­se Daten von Fach­per­so­nal oder unter des­sen Ver­ant­wor­tung ver­ar­bei­tet wer­den und die­ses Fach­per­so­nal nach dem Uni­ons­recht oder dem Recht eines Mit­glied­staats oder den Vor­schrif­ten natio­na­ler zustän­di­ger Stel­len dem Berufs­ge­heim­nis unter­liegt, oder wenn die Ver­ar­bei­tung durch eine ande­re Per­son erfolgt, die eben­falls nach dem Uni­ons­recht oder dem Recht eines Mit­glied­staats oder den Vor­schrif­ten natio­na­ler zustän­di­ger Stel­len einer Geheim­hal­tungs­pflicht unterliegt.
(4) Die Mit­glied­staa­ten kön­nen zusätz­li­che Bedin­gun­gen, ein­schließ­lich Beschrän­kun­gen, ein­füh­ren oder auf­recht­erhal­ten, soweit die Ver­ar­bei­tung von gene­ti­schen, bio­me­tri­schen oder Gesund­heits­da­ten betrof­fen ist.
Erwä­gungs­grün­de
(51) Per­so­nen­be­zo­ge­ne Daten, die ihrem Wesen nach hin­sicht­lich der Grund­rech­te und Grund­frei­hei­ten beson­ders sen­si­bel sind, ver­die­nen einen beson­de­ren Schutz, da im Zusam­men­hang mit ihrer Ver­ar­bei­tung erheb­li­che Risi­ken für die Grund­rech­te und Grund­frei­hei­ten auf­tre­ten kön­nen. Die­se per­so­nen­be­zo­ge­nen Daten soll­ten per­so­nen­be­zo­ge­ne Daten umfas­sen, aus denen die ras­si­sche oder eth­ni­sche Her­kunft her­vor­geht, wobei die Ver­wen­dung des Begriffs “ras­si­sche Her­kunft” in die­ser Ver­ord­nung nicht bedeu­tet, dass die Uni­on Theo­rien, mit denen ver­sucht wird, die Exi­stenz ver­schie­de­ner mensch­li­cher Ras­sen zu bele­gen, gut­heißt. Die Ver­ar­bei­tung von Licht­bil­dern soll­te nicht grund­sätz­lich als Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten ange­se­hen wer­den, da Licht­bil­der nur dann von der Defi­ni­ti­on des Begriffs “bio­me­tri­sche Daten” erfasst wer­den, wenn sie mit spe­zi­el­len tech­ni­schen Mit­teln ver­ar­bei­tet wer­den, die die ein­deu­ti­ge Iden­ti­fi­zie­rung oder Authen­ti­fi­zie­rung einer natür­li­chen Per­son ermög­li­chen. Der­ar­ti­ge per­so­nen­be­zo­ge­ne Daten soll­ten nicht ver­ar­bei­tet wer­den, es sei denn, die Ver­ar­bei­tung ist in den in die­ser Ver­ord­nung dar­ge­leg­ten beson­de­ren Fäl­len zuläs­sig, wobei zu berück­sich­ti­gen ist, dass im Recht der Mit­glied­staa­ten beson­de­re Daten­schutz­be­stim­mun­gen fest­ge­legt sein kön­nen, um die Anwen­dung der Bestim­mun­gen die­ser Ver­ord­nung anzu­pas­sen, damit die Ein­hal­tung einer recht­li­chen Ver­pflich­tung oder die Wahr­neh­mung einer Auf­ga­be im öffent­li­chen Inter­es­se oder die Aus­übung öffent­li­cher Gewalt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, mög­lich ist. Zusätz­lich zu den spe­zi­el­len Anfor­de­run­gen an eine der­ar­ti­ge Ver­ar­bei­tung soll­ten die all­ge­mei­nen Grund­sät­ze und ande­re Bestim­mun­gen die­ser Ver­ord­nung, ins­be­son­de­re hin­sicht­lich der Bedin­gun­gen für eine recht­mä­ßi­ge Ver­ar­bei­tung, gel­ten. Aus­nah­men von dem all­ge­mei­nen Ver­bot der Ver­ar­bei­tung die­ser beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten soll­ten aus­drück­lich vor­ge­se­hen wer­den, unter ande­rem bei aus­drück­li­cher Ein­wil­li­gung der betrof­fe­nen Per­son oder bei bestimm­ten Not­wen­dig­kei­ten, ins­be­son­de­re wenn die Ver­ar­bei­tung im Rah­men recht­mä­ßi­ger Tätig­kei­ten bestimm­ter Ver­ei­ni­gun­gen oder Stif­tun­gen vor­ge­nom­men wird, die sich für die Aus­übung von Grund­frei­hei­ten einsetzen.
(52) Aus­nah­men vom Ver­bot der Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten soll­ten auch erlaubt sein, wenn sie im Uni­ons­recht oder dem Recht der Mit­glied­staa­ten vor­ge­se­hen sind, und — vor­be­halt­lich ange­mes­se­ner Garan­tien zum Schutz der per­so­nen­be­zo­ge­nen Daten und ande­rer Grund­rech­te — wenn dies durch das öffent­li­che Inter­es­se gerecht­fer­tigt ist, ins­be­son­de­re für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten auf dem Gebiet des Arbeits­rechts und des Rechts der sozia­len Sicher­heit ein­schließ­lich Ren­ten und zwecks Sicher­stel­lung und Über­wa­chung der Gesund­heit und Gesund­heits­war­nun­gen, Prä­ven­ti­on oder Kon­trol­le anstecken­der Krank­hei­ten und ande­rer schwer­wie­gen­der Gesund­heits­ge­fah­ren. Eine sol­che Aus­nah­me kann zu gesund­heit­li­chen Zwecken gemacht wer­den, wie der Gewähr­lei­stung der öffent­li­chen Gesund­heit und der Ver­wal­tung von Lei­stun­gen der Gesund­heits­ver­sor­gung, ins­be­son­de­re wenn dadurch die Qua­li­tät und Wirt­schaft­lich­keit der Ver­fah­ren zur Abrech­nung von Lei­stun­gen in den sozia­len Kran­ken­ver­si­che­rungs­sy­ste­men sicher­ge­stellt wer­den soll, oder wenn die Ver­ar­bei­tung im öffent­li­chen Inter­es­se lie­gen­den Archiv­zwecken, wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder sta­ti­sti­schen Zwecken dient. Die Ver­ar­bei­tung sol­cher per­so­nen­be­zo­ge­ner Daten soll­te zudem aus­nahms­wei­se erlaubt sein, wenn sie erfor­der­lich ist, um recht­li­che Ansprü­che, sei es in einem Gerichts­ver­fah­ren oder in einem Ver­wal­tungs­ver­fah­ren oder einem außer­ge­richt­li­chen Ver­fah­ren, gel­tend zu machen, aus­zu­üben oder zu verteidigen.
(53) Beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten, die eines höhe­ren Schut­zes ver­die­nen, soll­ten nur dann für gesund­heits­be­zo­ge­ne Zwecke ver­ar­bei­tet wer­den, wenn dies für das Errei­chen die­ser Zwecke im Inter­es­se ein­zel­ner natür­li­cher Per­so­nen und der Gesell­schaft ins­ge­samt erfor­der­lich ist, ins­be­son­de­re im Zusam­men­hang mit der Ver­wal­tung der Dien­ste und Syste­me des Gesund­heits- oder Sozi­al­be­reichs, ein­schließ­lich der Ver­ar­bei­tung die­ser Daten durch die Ver­wal­tung und die zen­tra­len natio­na­len Gesund­heits­be­hör­den zwecks Qua­li­täts­kon­trol­le, Ver­wal­tungs­in­for­ma­tio­nen und der all­ge­mei­nen natio­na­len und loka­len Über­wa­chung des Gesund­heits­sy­stems oder des Sozi­al­sy­stems und zwecks Gewähr­lei­stung der Kon­ti­nui­tät der Gesund­heits- und Sozi­al­für­sor­ge und der grenz­über­schrei­ten­den Gesund­heits­ver­sor­gung oder Sicher­stel­lung und Über­wa­chung der Gesund­heit und Gesund­heits­war­nun­gen oder für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder sta­ti­sti­schen Zwecken, die auf Rechts­vor­schrif­ten der Uni­on oder der Mit­glied­staa­ten beru­hen, die einem im öffent­li­chen Inter­es­se lie­gen­den Ziel die­nen müs­sen, sowie für Stu­di­en, die im öffent­li­chen Inter­es­se im Bereich der öffent­li­chen Gesund­heit durch­ge­führt wer­den. Die­se Ver­ord­nung soll­te daher har­mo­ni­sier­te Bedin­gun­gen für die Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Gesund­heits­da­ten im Hin­blick auf bestimm­te Erfor­der­nis­se har­mo­ni­sie­ren, ins­be­son­de­re wenn die Ver­ar­bei­tung die­ser Daten für gesund­heits­be­zo­ge­ne Zwecke von Per­so­nen durch­ge­führt wird, die gemäß einer recht­li­chen Ver­pflich­tung dem Berufs­ge­heim­nis unter­lie­gen. Im Recht der Uni­on oder der Mit­glied­staa­ten soll­ten beson­de­re und ange­mes­se­ne Maß­nah­men zum Schutz der Grund­rech­te und der per­so­nen­be­zo­ge­nen Daten natür­li­cher Per­so­nen vor­ge­se­hen wer­den. Den Mit­glied­staa­ten soll­te gestat­tet wer­den, wei­te­re Bedin­gun­gen — ein­schließ­lich Beschrän­kun­gen — in Bezug auf die Ver­ar­bei­tung von gene­ti­schen Daten, bio­me­tri­schen Daten oder Gesund­heits­da­ten bei­zu­be­hal­ten oder ein­zu­füh­ren. Dies soll­te jedoch den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten inner­halb der Uni­on nicht beein­träch­ti­gen, falls die betref­fen­den Bedin­gun­gen für die grenz­über­schrei­ten­de Ver­ar­bei­tung sol­cher Daten gelten.
(54) Aus Grün­den des öffent­li­chen Inter­es­ses in Berei­chen der öffent­li­chen Gesund­heit kann es not­wen­dig sein, beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten auch ohne Ein­wil­li­gung der betrof­fe­nen Per­son zu ver­ar­bei­ten. Die­se Ver­ar­bei­tung soll­te ange­mes­se­nen und beson­de­ren Maß­nah­men zum Schutz der Rech­te und Frei­hei­ten natür­li­cher Per­so­nen unter­lie­gen. In die­sem Zusam­men­hang soll­te der Begriff “öffent­li­che Gesund­heit” im Sin­ne der Ver­ord­nung (EG) Nr. 1338/2008 des Euro­päi­schen Par­la­ments und des Rates (11) aus­ge­legt wer­den und alle Ele­men­te im Zusam­men­hang mit der Gesund­heit wie den Gesund­heits­zu­stand ein­schließ­lich Mor­bi­di­tät und Behin­de­rung, die sich auf die­sen Gesund­heits­zu­stand aus­wir­ken­den Deter­mi­nan­ten, den Bedarf an Gesund­heits­ver­sor­gung, die der Gesund­heits­ver­sor­gung zuge­wie­se­nen Mit­tel, die Bereit­stel­lung von Gesund­heits­ver­sor­gungs­lei­stun­gen und den all­ge­mei­nen Zugang zu die­sen Lei­stun­gen sowie die ent­spre­chen­den Aus­ga­ben und die Finan­zie­rung und schließ­lich die Ursa­chen der Mor­ta­li­tät ein­schlie­ßen. Eine sol­che Ver­ar­bei­tung von Gesund­heits­da­ten aus Grün­den des öffent­li­chen Inter­es­ses darf nicht dazu füh­ren, dass Drit­te, unter ande­rem Arbeit­ge­ber oder Ver­si­che­rungs- und Finanz­un­ter­neh­men, sol­che per­so­nen­be­zo­ge­ne Daten zu ande­ren Zwecken verarbeiten.
(55) Auch die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch staat­li­che Stel­len zu ver­fas­sungs­recht­lich oder völ­ker­recht­lich ver­an­ker­ten Zie­len von staat­lich aner­kann­ten Reli­gi­ons­ge­mein­schaf­ten erfolgt aus Grün­den des öffent­li­chen Interesses.
(56) Wenn es in einem Mit­glied­staat das Funk­tio­nie­ren des demo­kra­ti­schen Systems erfor­dert, dass die poli­ti­schen Par­tei­en im Zusam­men­hang mit Wah­len per­so­nen­be­zo­ge­ne Daten über die poli­ti­sche Ein­stel­lung von Per­so­nen sam­meln, kann die Ver­ar­bei­tung der­ar­ti­ger Daten aus Grün­den des öffent­li­chen Inter­es­ses zuge­las­sen wer­den, sofern geeig­ne­te Garan­tien vor­ge­se­hen werden.

Arti­kel 10 Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straftaten

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten oder damit zusam­men­hän­gen­de Siche­rungs­maß­re­geln auf­grund von Arti­kel 6 Absatz 1 darf nur unter behörd­li­cher Auf­sicht vor­ge­nom­men wer­den oder wenn dies nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten, das geeig­ne­te Garan­tien für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen vor­sieht, zuläs­sig ist. Ein umfas­sen­des Regi­ster der straf­recht­li­chen Ver­ur­tei­lun­gen darf nur unter behörd­li­cher Auf­sicht geführt werden. 

Arti­kel 11 Ver­ar­bei­tung, für die eine Iden­ti­fi­zie­rung der betrof­fe­nen Per­son nicht erfor­der­lich ist

(1) Ist für die Zwecke, für die ein Ver­ant­wort­li­cher per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, die Iden­ti­fi­zie­rung der betrof­fe­nen Per­son durch den Ver­ant­wort­li­chen nicht oder nicht mehr erfor­der­lich, so ist die­ser nicht ver­pflich­tet, zur blo­ßen Ein­hal­tung die­ser Ver­ord­nung zusätz­li­che Infor­ma­tio­nen auf­zu­be­wah­ren, ein­zu­ho­len oder zu ver­ar­bei­ten, um die betrof­fe­ne Per­son zu identifizieren.
(2) Kann der Ver­ant­wort­li­che in Fäl­len gemäß Absatz 1 des vor­lie­gen­den Arti­kels nach­wei­sen, dass er nicht in der Lage ist, die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren, so unter­rich­tet er die betrof­fe­ne Per­son hier­über, sofern mög­lich. In die­sen Fäl­len fin­den die Arti­kel 15 bis 20 kei­ne Anwen­dung, es sei denn, die betrof­fe­ne Per­son stellt zur Aus­übung ihrer in die­sen Arti­keln nie­der­ge­leg­ten Rech­te zusätz­li­che Infor­ma­tio­nen bereit, die ihre Iden­ti­fi­zie­rung ermöglichen.
Erwä­gungs­grün­de
(57) Kann der Ver­ant­wort­li­che anhand der von ihm ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten eine natür­li­che Per­son nicht iden­ti­fi­zie­ren, so soll­te er nicht ver­pflich­tet sein, zur blo­ßen Ein­hal­tung einer Vor­schrift die­ser Ver­ord­nung zusätz­li­che Daten ein­zu­ho­len, um die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren. Aller­dings soll­te er sich nicht wei­gern, zusätz­li­che Infor­ma­tio­nen ent­ge­gen­zu­neh­men, die von der betrof­fe­nen Per­son bei­gebracht wer­den, um ihre Rech­te gel­tend zu machen. Die Iden­ti­fi­zie­rung soll­te die digi­ta­le Iden­ti­fi­zie­rung einer betrof­fe­nen Per­son — bei­spiels­wei­se durch Authen­ti­fi­zie­rungs­ver­fah­ren etwa mit den­sel­ben Berech­ti­gungs­nach­wei­sen, wie sie die betrof­fe­ne Per­son ver­wen­det, um sich bei dem von dem Ver­ant­wort­li­chen bereit­ge­stell­ten Online-Dienst anzu­mel­den — einschließen.
(64) Der Ver­ant­wort­li­che soll­te alle ver­tret­ba­ren Mit­tel nut­zen, um die Iden­ti­tät einer Aus­kunft suchen­den betrof­fe­nen Per­son zu über­prü­fen, ins­be­son­de­re im Rah­men von Online-Dien­sten und im Fall von Online-Ken­nun­gen. Ein Ver­ant­wort­li­cher soll­te per­so­nen­be­zo­ge­ne Daten nicht allein zu dem Zweck spei­chern, auf mög­li­che Aus­kunfts­er­su­chen reagie­ren zu können.

Kapi­tel III Rech­te der betrof­fe­nen Person

Abschnitt 1 Trans­pa­renz und Modalitäten

Arti­kel 12 Trans­pa­ren­te Infor­ma­ti­on, Kom­mu­ni­ka­ti­on und Moda­li­tä­ten für die Aus­übung der Rech­te der betrof­fe­nen Person

(1) Der Ver­ant­wort­li­che trifft geeig­ne­te Maß­nah­men, um der betrof­fe­nen Per­son alle Infor­ma­tio­nen gemäß den Arti­keln 13 und 14 und alle Mit­tei­lun­gen gemäß den Arti­keln 15 bis 22 und Arti­kel 34, die sich auf die Ver­ar­bei­tung bezie­hen, in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form in einer kla­ren und ein­fa­chen Spra­che zu über­mit­teln; dies gilt ins­be­son­de­re für Infor­ma­tio­nen, die sich spe­zi­ell an Kin­der rich­ten. Die Über­mitt­lung der Infor­ma­tio­nen erfolgt schrift­lich oder in ande­rer Form, gege­be­nen­falls auch elek­tro­nisch. Falls von der betrof­fe­nen Per­son ver­langt, kann die Infor­ma­ti­on münd­lich erteilt wer­den, sofern die Iden­ti­tät der betrof­fe­nen Per­son in ande­rer Form nach­ge­wie­sen wurde.
(2) Der Ver­ant­wort­li­che erleich­tert der betrof­fe­nen Per­son die Aus­übung ihrer Rech­te gemäß den Arti­keln 15 bis 22. In den in Arti­kel 11 Absatz 2 genann­ten Fäl­len darf sich der Ver­ant­wort­li­che nur dann wei­gern, auf­grund des Antrags der betrof­fe­nen Per­son auf Wahr­neh­mung ihrer Rech­te gemäß den Arti­keln 15 bis 22 tätig zu wer­den, wenn er glaub­haft macht, dass er nicht in der Lage ist, die betrof­fe­ne Per­son zu identifizieren.
(3) Der Ver­ant­wort­li­che stellt der betrof­fe­nen Per­son Infor­ma­tio­nen über die auf Antrag gemäß den Arti­keln 15 bis 22 ergrif­fe­nen Maß­nah­men unver­züg­lich, in jedem Fall aber inner­halb eines Monats nach Ein­gang des Antrags zur Ver­fü­gung. Die­se Frist kann um wei­te­re zwei Mona­te ver­län­gert wer­den, wenn dies unter Berück­sich­ti­gung der Kom­ple­xi­tät und der Anzahl von Anträ­gen erfor­der­lich ist. Der Ver­ant­wort­li­che unter­rich­tet die betrof­fe­ne Per­son inner­halb eines Monats nach Ein­gang des Antrags über eine Frist­ver­län­ge­rung, zusam­men mit den Grün­den für die Ver­zö­ge­rung. Stellt die betrof­fe­ne Per­son den Antrag elek­tro­nisch, so ist sie nach Mög­lich­keit auf elek­tro­ni­schem Weg zu unter­rich­ten, sofern sie nichts ande­res angibt.
(4) Wird der Ver­ant­wort­li­che auf den Antrag der betrof­fe­nen Per­son hin nicht tätig, so unter­rich­tet er die betrof­fe­ne Per­son ohne Ver­zö­ge­rung, spä­te­stens aber inner­halb eines Monats nach Ein­gang des Antrags über die Grün­de hier­für und über die Mög­lich­keit, bei einer Auf­sichts­be­hör­de Beschwer­de ein­zu­le­gen oder einen gericht­li­chen Rechts­be­helf einzulegen.
(5) Infor­ma­tio­nen gemäß den Arti­keln 13 und 14 sowie alle Mit­tei­lun­gen und Maß­nah­men gemäß den Arti­keln 15 bis 22 und Arti­kel 34 wer­den unent­gelt­lich zur Ver­fü­gung gestellt. Bei offen­kun­dig unbe­grün­de­ten oder — ins­be­son­de­re im Fall von häu­fi­ger Wie­der­ho­lung — exzes­si­ven Anträ­gen einer betrof­fe­nen Per­son kann der Ver­ant­wort­li­che entweder
a) ein ange­mes­se­nes Ent­gelt ver­lan­gen, bei dem die Ver­wal­tungs­ko­sten für die Unter­rich­tung oder die Mit­tei­lung oder die Durch­füh­rung der bean­trag­ten Maß­nah­me berück­sich­tigt wer­den, oder
b) sich wei­gern, auf­grund des Antrags tätig zu werden.
Der Ver­ant­wort­li­che hat den Nach­weis für den offen­kun­dig unbe­grün­de­ten oder exzes­si­ven Cha­rak­ter des Antrags zu erbrin­gen.
(6) Hat der Ver­ant­wort­li­che begrün­de­te Zwei­fel an der Iden­ti­tät der natür­li­chen Per­son, die den Antrag gemäß den Arti­keln 15 bis 21 stellt, so kann er unbe­scha­det des Arti­kels 11 zusätz­li­che Infor­ma­tio­nen anfor­dern, die zur Bestä­ti­gung der Iden­ti­tät der betrof­fe­nen Per­son erfor­der­lich sind.
(7) Die Infor­ma­tio­nen, die den betrof­fe­nen Per­so­nen gemäß den Arti­keln 13 und 14 bereit­zu­stel­len sind, kön­nen in Kom­bi­na­ti­on mit stan­dar­di­sier­ten Bild­sym­bo­len bereit­ge­stellt wer­den, um in leicht wahr­nehm­ba­rer, ver­ständ­li­cher und klar nach­voll­zieh­ba­rer Form einen aus­sa­ge­kräf­ti­gen Über­blick über die beab­sich­tig­te Ver­ar­bei­tung zu ver­mit­teln. Wer­den die Bild­sym­bo­le in elek­tro­ni­scher Form dar­ge­stellt, müs­sen sie maschi­nen­les­bar sein.
(8) Der Kom­mis­si­on wird die Befug­nis über­tra­gen, gemäß Arti­kel 92 dele­gier­te Rechts­ak­te zur Bestim­mung der Infor­ma­tio­nen, die durch Bild­sym­bo­le dar­zu­stel­len sind, und der Ver­fah­ren für die Bereit­stel­lung stan­dar­di­sier­ter Bild­sym­bo­le zu erlassen.
Erwä­gungs­grün­de
(58) Der Grund­satz der Trans­pa­renz setzt vor­aus, dass eine für die Öffent­lich­keit oder die betrof­fe­ne Per­son bestimm­te Infor­ma­ti­on prä­zi­se, leicht zugäng­lich und ver­ständ­lich sowie in kla­rer und ein­fa­cher Spra­che abge­fasst ist und gege­be­nen­falls zusätz­lich visu­el­le Ele­men­te ver­wen­det wer­den. Die­se Infor­ma­ti­on könn­te in elek­tro­ni­scher Form bereit­ge­stellt wer­den, bei­spiels­wei­se auf einer Web­site, wenn sie für die Öffent­lich­keit bestimmt ist. Dies gilt ins­be­son­de­re für Situa­tio­nen, wo die gro­ße Zahl der Betei­lig­ten und die Kom­ple­xi­tät der dazu benö­tig­ten Tech­nik es der betrof­fe­nen Per­son schwer machen, zu erken­nen und nach­zu­voll­zie­hen, ob, von wem und zu wel­chem Zweck sie betref­fen­de per­so­nen­be­zo­ge­ne Daten erfasst wer­den, wie etwa bei der Wer­bung im Inter­net. Wenn sich die Ver­ar­bei­tung an Kin­der rich­tet, soll­ten auf­grund der beson­de­ren Schutz­wür­dig­keit von Kin­dern Infor­ma­tio­nen und Hin­wei­se in einer der­ge­stalt kla­ren und ein­fa­chen Spra­che erfol­gen, dass ein Kind sie ver­ste­hen kann.
(59) Es soll­ten Moda­li­tä­ten fest­ge­legt wer­den, die einer betrof­fe­nen Per­son die Aus­übung der Rech­te, die ihr nach die­ser Ver­ord­nung zuste­hen, erleich­tern, dar­un­ter auch Mecha­nis­men, die dafür sor­gen, dass sie unent­gelt­lich ins­be­son­de­re Zugang zu per­so­nen­be­zo­ge­nen Daten und deren Berich­ti­gung oder Löschung bean­tra­gen und gege­be­nen­falls erhal­ten oder von ihrem Wider­spruchs­recht Gebrauch machen kann. So soll­te der Ver­ant­wort­li­che auch dafür sor­gen, dass Anträ­ge elek­tro­nisch gestellt wer­den kön­nen, ins­be­son­de­re wenn die per­so­nen­be­zo­ge­nen Daten elek­tro­nisch ver­ar­bei­tet wer­den. Der Ver­ant­wort­li­che soll­te ver­pflich­tet wer­den, den Antrag der betrof­fe­nen Per­son unver­züg­lich, spä­te­stens aber inner­halb eines Monats zu beant­wor­ten und gege­be­nen­falls zu begrün­den, war­um er den Antrag ablehnt.
(60) Die Grund­sät­ze einer fai­ren und trans­pa­ren­ten Ver­ar­bei­tung machen es erfor­der­lich, dass die betrof­fe­ne Per­son über die Exi­stenz des Ver­ar­bei­tungs­vor­gangs und sei­ne Zwecke unter­rich­tet wird. Der Ver­ant­wort­li­che soll­te der betrof­fe­nen Per­son alle wei­te­ren Infor­ma­tio­nen zur Ver­fü­gung stel­len, die unter Berück­sich­ti­gung der beson­de­ren Umstän­de und Rah­men­be­din­gun­gen, unter denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, not­wen­dig sind, um eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewähr­lei­sten. Dar­über hin­aus soll­te er die betrof­fe­ne Per­son dar­auf hin­wei­sen, dass Pro­fil­ing statt­fin­det und wel­che Fol­gen dies hat. Wer­den die per­so­nen­be­zo­ge­nen Daten bei der betrof­fe­nen Per­son erho­ben, so soll­te die­ser dar­über hin­aus mit­ge­teilt wer­den, ob sie ver­pflich­tet ist, die per­so­nen­be­zo­ge­nen Daten bereit­zu­stel­len, und wel­che Fol­gen eine Zurück­hal­tung der Daten nach sich zie­hen wür­de. Die betref­fen­den Infor­ma­tio­nen kön­nen in Kom­bi­na­ti­on mit stan­dar­di­sier­ten Bild­sym­bo­len bereit­ge­stellt wer­den, um in leicht wahr­nehm­ba­rer, ver­ständ­li­cher und klar nach­voll­zieh­ba­rer Form einen aus­sa­ge­kräf­ti­gen Über­blick über die beab­sich­tig­te Ver­ar­bei­tung zu ver­mit­teln. Wer­den die Bild­sym­bo­le in elek­tro­ni­scher Form dar­ge­stellt, so soll­ten sie maschi­nen­les­bar sein.

Abschnitt 2 Trans­pa­renz und Infor­ma­ti­on und Recht auf Aus­kunft zu per­so­nen­be­zo­ge­nen Daten

Arti­kel 13 Trans­pa­renz und Infor­ma­ti­on bei Erhe­bung von per­so­nen­be­zo­ge­nen Daten bei der betrof­fe­nen Person

(1) Wer­den per­so­nen­be­zo­ge­ne Daten bei der betrof­fe­nen Per­son erho­ben, so teilt der Ver­ant­wort­li­che der betrof­fe­nen Per­son zum Zeit­punkt der Erhe­bung die­ser Daten Fol­gen­des mit:
a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie gege­be­nen­falls sei­nes Vertreters;
b) gege­be­nen­falls die Kon­takt­da­ten des Datenschutzbeauftragten;
c) die Zwecke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len, sowie die Rechts­grund­la­ge für die Verarbeitung;
d) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be f beruht, die berech­tig­ten Inter­es­sen, die von dem Ver­ant­wort­li­chen oder einem Drit­ten ver­folgt werden;
e) gege­be­nen­falls die Emp­fän­ger oder Kate­go­rien von Emp­fän­gern der per­so­nen­be­zo­ge­nen Daten und
f) gege­be­nen­falls die Absicht des Ver­ant­wort­li­chen, die per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on zu über­mit­teln, sowie das Vor­han­den­sein oder das Feh­len eines Ange­mes­sen­heits­be­schlus­ses der Kom­mis­si­on oder im Fal­le von Über­mitt­lun­gen gemäß Arti­kel 46 oder Arti­kel 47 oder Arti­kel 49 Absatz 1 Unter­ab­satz 2 einen Ver­weis auf die geeig­ne­ten oder ange­mes­se­nen Garan­tien und die Mög­lich­keit, wie eine Kopie von ihnen zu erhal­ten ist, oder wo sie ver­füg­bar sind.
(2) Zusätz­lich zu den Infor­ma­tio­nen gemäß Absatz 1 stellt der Ver­ant­wort­li­che der betrof­fe­nen Per­son zum Zeit­punkt der Erhe­bung die­ser Daten fol­gen­de wei­te­re Infor­ma­tio­nen zur Ver­fü­gung, die not­wen­dig sind, um eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewährleisten:
a) die Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dauer;
b) das Bestehen eines Rechts auf Aus­kunft sei­tens des Ver­ant­wort­li­chen über die betref­fen­den per­so­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung oder eines Wider­spruchs­rechts gegen die Ver­ar­bei­tung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a beruht, das Bestehen eines Rechts, die Ein­wil­li­gung jeder­zeit zu wider­ru­fen, ohne dass die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung berührt wird;
d) das Bestehen eines Beschwer­de­rechts bei einer Aufsichtsbehörde;
e) ob die Bereit­stel­lung der per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben oder für einen Ver­trags­ab­schluss erfor­der­lich ist, ob die betrof­fe­ne Per­son ver­pflich­tet ist, die per­so­nen­be­zo­ge­nen Daten bereit­zu­stel­len, und wel­che mög­li­che Fol­gen die Nicht­be­reit­stel­lung hät­te und
f) das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing gemäß Arti­kel 22 Absät­ze 1 und 4 und — zumin­dest in die­sen Fäl­len — aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.
(3) Beab­sich­tigt der Ver­ant­wort­li­che, die per­so­nen­be­zo­ge­nen Daten für einen ande­ren Zweck wei­ter­zu­ver­ar­bei­ten als den, für den die per­so­nen­be­zo­ge­nen Daten erho­ben wur­den, so stellt er der betrof­fe­nen Per­son vor die­ser Wei­ter­ver­ar­bei­tung Infor­ma­tio­nen über die­sen ande­ren Zweck und alle ande­ren maß­geb­li­chen Infor­ma­tio­nen gemäß Absatz 2 zur Verfügung.
(4) Die Absät­ze 1, 2 und 3 fin­den kei­ne Anwen­dung, wenn und soweit die betrof­fe­ne Per­son bereits über die Infor­ma­tio­nen verfügt.
Erwä­gungs­grün­de
(61) Dass sie betref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, soll­te der betrof­fe­nen Per­son zum Zeit­punkt der Erhe­bung mit­ge­teilt wer­den oder, falls die Daten nicht von ihr, son­dern aus einer ande­ren Quel­le erlangt wer­den, inner­halb einer ange­mes­se­nen Frist, die sich nach dem kon­kre­ten Ein­zel­fall rich­tet. Wenn die per­so­nen­be­zo­ge­nen Daten recht­mä­ßig einem ande­ren Emp­fän­ger offen­ge­legt wer­den dür­fen, soll­te die betrof­fe­ne Per­son bei der erst­ma­li­gen Offen­le­gung der per­so­nen­be­zo­ge­nen Daten für die­sen Emp­fän­ger dar­über auf­ge­klärt wer­den. Beab­sich­tigt der Ver­ant­wort­li­che, die per­so­nen­be­zo­ge­nen Daten für einen ande­ren Zweck zu ver­ar­bei­ten als den, für den die Daten erho­ben wur­den, so soll­te er der betrof­fe­nen Per­son vor die­ser Wei­ter­ver­ar­bei­tung Infor­ma­tio­nen über die­sen ande­ren Zweck und ande­re erfor­der­li­che Infor­ma­tio­nen zur Ver­fü­gung stel­len. Konn­te der betrof­fe­nen Per­son nicht mit­ge­teilt wer­den, woher die per­so­nen­be­zo­ge­nen Daten stam­men, weil ver­schie­de­ne Quel­len benutzt wur­den, so soll­te die Unter­rich­tung all­ge­mein gehal­ten werden.

Arti­kel 14 Trans­pa­renz und Infor­ma­ti­on, wenn die per­so­nen­be­zo­ge­nen Daten nicht bei der betrof­fe­nen Per­son erho­ben wurden

(1) Wer­den per­so­nen­be­zo­ge­ne Daten nicht bei der betrof­fe­nen Per­son erho­ben, so teilt der Ver­ant­wort­li­che der betrof­fe­nen Per­son Fol­gen­des mit:
a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie gege­be­nen­falls sei­nes Vertreters;
b) zusätz­lich die Kon­takt­da­ten des Datenschutzbeauftragten;
c) die Zwecke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len, sowie die Rechts­grund­la­ge für die Verarbeitung;
d) die Kate­go­rien per­so­nen­be­zo­ge­ner Daten, die ver­ar­bei­tet werden;
e) gege­be­nen­falls die Emp­fän­ger oder Kate­go­rien von Emp­fän­gern der per­so­nen­be­zo­ge­nen Daten;
f) gege­be­nen­falls die Absicht des Ver­ant­wort­li­chen, die per­so­nen­be­zo­ge­nen Daten an einen Emp­fän­ger in einem Dritt­land oder einer inter­na­tio­na­len Orga­ni­sa­ti­on zu über­mit­teln, sowie das Vor­han­den­sein oder das Feh­len eines Ange­mes­sen­heits­be­schlus­ses der Kom­mis­si­on oder im Fal­le von Über­mitt­lun­gen gemäß Arti­kel 46 oder Arti­kel 47 oder Arti­kel 49 Absatz 1 Unter­ab­satz 2 einen Ver­weis auf die geeig­ne­ten oder ange­mes­se­nen Garan­tien und die Mög­lich­keit, eine Kopie von ihnen zu erhal­ten, oder wo sie ver­füg­bar sind.
(2) Zusätz­lich zu den Infor­ma­tio­nen gemäß Absatz 1 stellt der Ver­ant­wort­li­che der betrof­fe­nen Per­son die fol­gen­den Infor­ma­tio­nen zur Ver­fü­gung, die erfor­der­lich sind, um der betrof­fe­nen Per­son gegen­über eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewährleisten:
a) die Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dauer;
b) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be f beruht, die berech­tig­ten Inter­es­sen, die von dem Ver­ant­wort­li­chen oder einem Drit­ten ver­folgt werden;
c) das Bestehen eines Rechts auf Aus­kunft sei­tens des Ver­ant­wort­li­chen über die betref­fen­den per­so­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder = auf Ein­schrän­kung der Ver­ar­bei­tung und eines Wider­spruchs­rechts gegen die Ver­ar­bei­tung sowie des Rechts auf Datenübertragbarkeit;
d) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a beruht, das Bestehen eines Rechts, die Ein­wil­li­gung jeder­zeit zu wider­ru­fen, ohne dass die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung berührt wird;
e) das Bestehen eines Beschwer­de­rechts bei einer Aufsichtsbehörde;
f) aus wel­cher Quel­le die per­so­nen­be­zo­ge­nen Daten stam­men und gege­be­nen­falls ob sie aus öffent­lich zugäng­li­chen Quel­len stammen;
g) das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing gemäß Arti­kel 22 Absät­ze 1 und 4 und — zumin­dest in die­sen Fäl­len — aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.
(3) Der Ver­ant­wort­li­che erteilt die Infor­ma­tio­nen gemäß den Absät­zen 1 und 2
a) unter Berück­sich­ti­gung der spe­zi­fi­schen Umstän­de der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten inner­halb einer ange­mes­se­nen Frist nach Erlan­gung der per­so­nen­be­zo­ge­nen Daten, läng­stens jedoch inner­halb eines Monats,
b) falls die per­so­nen­be­zo­ge­nen Daten zur Kom­mu­ni­ka­ti­on mit der betrof­fe­nen Per­son ver­wen­det wer­den sol­len, spä­te­stens zum Zeit­punkt der ersten Mit­tei­lung an sie, oder,
c) falls die Offen­le­gung an einen ande­ren Emp­fän­ger beab­sich­tigt ist, spä­te­stens zum Zeit­punkt der ersten Offenlegung.
(4) Beab­sich­tigt der Ver­ant­wort­li­che, die per­so­nen­be­zo­ge­nen Daten für einen ande­ren Zweck wei­ter­zu­ver­ar­bei­ten als den, für den die per­so­nen­be­zo­ge­nen Daten erlangt wur­den, so stellt er der betrof­fe­nen Per­son vor die­ser Wei­ter­ver­ar­bei­tung Infor­ma­tio­nen über die­sen ande­ren Zweck und alle ande­ren maß­geb­li­chen Infor­ma­tio­nen gemäß Absatz 2 zur Verfügung.
(5) Die Absät­ze 1 bis 4 fin­den kei­ne Anwen­dung, wenn und soweit
a) die betrof­fe­ne Per­son bereits über die Infor­ma­tio­nen verfügt,
b) die Ertei­lung die­ser Infor­ma­tio­nen sich als unmög­lich erweist oder einen unver­hält­nis­mä­ßi­gen Auf­wand erfor­dern wür­de; dies gilt ins­be­son­de­re für die Ver­ar­bei­tung für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, für wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke vor­be­halt­lich der in Arti­kel 89 Absatz 1 genann­ten Bedin­gun­gen und Garan­tien oder soweit die in Absatz 1 des vor­lie­gen­den Arti­kels genann­te Pflicht vor­aus­sicht­lich die Ver­wirk­li­chung der Zie­le die­ser Ver­ar­bei­tung unmög­lich macht oder ernst­haft beein­träch­tigt. In die­sen Fäl­len ergreift der Ver­ant­wort­li­che geeig­ne­te Maß­nah­men zum Schutz der Rech­te und Frei­hei­ten sowie der berech­tig­ten Inter­es­sen der betrof­fe­nen Per­son, ein­schließ­lich der Bereit­stel­lung die­ser Infor­ma­tio­nen für die Öffentlichkeit,
c) die Erlan­gung oder Offen­le­gung durch Rechts­vor­schrif­ten der Uni­on oder der Mit­glied­staa­ten, denen der Ver­ant­wort­li­che unter­liegt und die geeig­ne­te Maß­nah­men zum Schutz der berech­tig­ten Inter­es­sen der betrof­fe­nen Per­son vor­se­hen, aus­drück­lich gere­gelt ist oder
d) die per­so­nen­be­zo­ge­nen Daten gemäß dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten dem Berufs­ge­heim­nis, ein­schließ­lich einer sat­zungs­mä­ßi­gen Geheim­hal­tungs­pflicht, unter­lie­gen und daher ver­trau­lich behan­delt wer­den müssen.
Erwä­gungs­grün­de
[s. auch ErwG 61]
(62) Die Pflicht, Infor­ma­tio­nen zur Ver­fü­gung zu stel­len, erüb­rigt sich jedoch, wenn die betrof­fe­ne Per­son die Infor­ma­ti­on bereits hat, wenn die Spei­che­rung oder Offen­le­gung der per­so­nen­be­zo­ge­nen Daten aus­drück­lich durch Rechts­vor­schrif­ten gere­gelt ist oder wenn sich die Unter­rich­tung der betrof­fe­nen Per­son als unmög­lich erweist oder mit unver­hält­nis­mä­ßig hohem Auf­wand ver­bun­den ist. Letz­te­res könn­te ins­be­son­de­re bei Ver­ar­bei­tun­gen für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken der Fall sein. Als Anhalts­punk­te soll­ten dabei die Zahl der betrof­fe­nen Per­so­nen, das Alter der Daten oder etwa­ige geeig­ne­te Garan­tien in Betracht gezo­gen werden.

Arti­kel 15 Aus­kunfts­recht der betrof­fe­nen Person

(1) Die betrof­fe­ne Per­son hat das Recht, von dem Ver­ant­wort­li­chen eine Bestä­ti­gung dar­über zu ver­lan­gen, ob sie betref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den; ist dies der Fall, so hat sie ein Recht auf Aus­kunft über die­se per­so­nen­be­zo­ge­nen Daten und auf fol­gen­de Informationen:
a) die Verarbeitungszwecke;
b) die Kate­go­rien per­so­nen­be­zo­ge­ner Daten, die ver­ar­bei­tet werden;
c) die Emp­fän­ger oder Kate­go­rien von Emp­fän­gern, gegen­über denen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wor­den sind oder noch offen­ge­legt wer­den, ins­be­son­de­re bei Emp­fän­gern in Dritt­län­dern oder bei inter­na­tio­na­len Organisationen;
d) falls mög­lich die geplan­te Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den, oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dauer;
e) das Bestehen eines Rechts auf Berich­ti­gung oder Löschung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten oder auf Ein­schrän­kung der Ver­ar­bei­tung durch den Ver­ant­wort­li­chen oder eines Wider­spruchs­rechts gegen die­se Verarbeitung;
f) das Bestehen eines Beschwer­de­rechts bei einer Aufsichtsbehörde;
g) wenn die per­so­nen­be­zo­ge­nen Daten nicht bei der betrof­fe­nen Per­son erho­ben wer­den, alle ver­füg­ba­ren Infor­ma­tio­nen über die Her­kunft der Daten;
h) das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing gemäß Arti­kel 22 Absät­ze 1 und 4 und — zumin­dest in die­sen Fäl­len — aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.
(2) Wer­den per­so­nen­be­zo­ge­ne Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on über­mit­telt, so hat die betrof­fe­ne Per­son das Recht, über die geeig­ne­ten Garan­tien gemäß Arti­kel 46 im Zusam­men­hang mit der Über­mitt­lung unter­rich­tet zu werden.
(3) Der Ver­ant­wort­li­che stellt eine Kopie der per­so­nen­be­zo­ge­nen Daten, die Gegen­stand der Ver­ar­bei­tung sind, zur Ver­fü­gung. Für alle wei­te­ren Kopien, die die betrof­fe­ne Per­son bean­tragt, kann der Ver­ant­wort­li­che ein ange­mes­se­nes Ent­gelt auf der Grund­la­ge der Ver­wal­tungs­ko­sten ver­lan­gen. Stellt die betrof­fe­ne Per­son den Antrag elek­tro­nisch, so sind die Infor­ma­tio­nen in einem gän­gi­gen elek­tro­ni­schen For­mat zur Ver­fü­gung zu stel­len, sofern sie nichts ande­res angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rech­te und Frei­hei­ten ande­rer Per­so­nen nicht beeinträchtigen.
Erwä­gungs­grün­de
(63) Eine betrof­fe­ne Per­son soll­te ein Aus­kunfts­recht hin­sicht­lich der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, die erho­ben wor­den sind, besit­zen und die­ses Recht pro­blem­los und in ange­mes­se­nen Abstän­den wahr­neh­men kön­nen, um sich der Ver­ar­bei­tung bewusst zu sein und deren Recht­mä­ßig­keit über­prü­fen zu kön­nen. Dies schließt das Recht betrof­fe­ne Per­so­nen auf Aus­kunft über ihre eige­nen gesund­heits­be­zo­ge­nen Daten ein, etwa Daten in ihren Pati­en­ten­ak­ten, die Infor­ma­tio­nen wie bei­spiels­wei­se Dia­gno­sen, Unter­su­chungs­er­geb­nis­se, Befun­de der behan­deln­den Ärz­te und Anga­ben zu Behand­lun­gen oder Ein­grif­fen ent­hal­ten. Jede betrof­fe­ne Per­son soll­te daher ein Anrecht dar­auf haben zu wis­sen und zu erfah­ren, ins­be­son­de­re zu wel­chen Zwecken die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den und, wenn mög­lich, wie lan­ge sie gespei­chert wer­den, wer die Emp­fän­ger der per­so­nen­be­zo­ge­nen Daten sind, nach wel­cher Logik die auto­ma­ti­sche Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten erfolgt und wel­che Fol­gen eine sol­che Ver­ar­bei­tung haben kann, zumin­dest in Fäl­len, in denen die Ver­ar­bei­tung auf Pro­fil­ing beruht. Nach Mög­lich­keit soll­te der Ver­ant­wort­li­che den Fern­zu­gang zu einem siche­ren System bereit­stel­len kön­nen, der der betrof­fe­nen Per­son direk­ten Zugang zu ihren per­so­nen­be­zo­ge­nen Daten ermög­li­chen wür­de. Die­ses Recht soll­te die Rech­te und Frei­hei­ten ande­rer Per­so­nen, etwa Geschäfts­ge­heim­nis­se oder Rech­te des gei­sti­gen Eigen­tums und ins­be­son­de­re das Urhe­ber­recht an Soft­ware, nicht beein­träch­ti­gen. Dies darf jedoch nicht dazu füh­ren, dass der betrof­fe­nen Per­son jeg­li­che Aus­kunft ver­wei­gert wird. Ver­ar­bei­tet der Ver­ant­wort­li­che eine gro­ße Men­ge von Infor­ma­tio­nen über die betrof­fe­ne Per­son, so soll­te er ver­lan­gen kön­nen, dass die betrof­fe­ne Per­son prä­zi­siert, auf wel­che Infor­ma­ti­on oder wel­che Ver­ar­bei­tungs­vor­gän­ge sich ihr Aus­kunfts­er­su­chen bezieht, bevor er ihr Aus­kunft erteilt.

Abschnitt 3 Berich­ti­gung und Löschung

Arti­kel 16 Recht auf Berichtigung

Die betrof­fe­ne Per­son hat das Recht, von dem Ver­ant­wort­li­chen unver­züg­lich die Berich­ti­gung sie betref­fen­der unrich­ti­ger per­so­nen­be­zo­ge­ner Daten zu ver­lan­gen. Unter Berück­sich­ti­gung der Zwecke der Ver­ar­bei­tung hat die betrof­fe­ne Per­son das Recht, die Ver­voll­stän­di­gung unvoll­stän­di­ger per­so­nen­be­zo­ge­ner Daten — auch mit­tels einer ergän­zen­den Erklä­rung — zu verlangen. 

Arti­kel 17 Recht auf Löschung (‘Recht auf Vergessenwerden‘)

(1) Die betrof­fe­ne Per­son hat das Recht, von dem Ver­ant­wort­li­chen zu ver­lan­gen, dass sie betref­fen­de per­so­nen­be­zo­ge­ne Daten unver­züg­lich gelöscht wer­den, und der Ver­ant­wort­li­che ist ver­pflich­tet, per­so­nen­be­zo­ge­ne Daten unver­züg­lich zu löschen, sofern einer der fol­gen­den Grün­de zutrifft:
a) Die per­so­nen­be­zo­ge­nen Daten sind für die Zwecke, für die sie erho­ben oder auf son­sti­ge Wei­se ver­ar­bei­tet wur­den, nicht mehr notwendig.
b) Die betrof­fe­ne Per­son wider­ruft ihre Ein­wil­li­gung, auf die sich die Ver­ar­bei­tung gemäß Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a stütz­te, und es fehlt an einer ander­wei­ti­gen Rechts­grund­la­ge für die Verarbeitung.
c) Die betrof­fe­ne Per­son legt gemäß Arti­kel 21 Absatz 1 Wider­spruch gegen die Ver­ar­bei­tung ein und es lie­gen kei­ne vor­ran­gi­gen berech­tig­ten Grün­de für die Ver­ar­bei­tung vor, oder die betrof­fe­ne Per­son legt gemäß Arti­kel 21 Absatz 2 Wider­spruch gegen die Ver­ar­bei­tung ein.
d) Die per­so­nen­be­zo­ge­nen Daten wur­den unrecht­mä­ßig verarbeitet.
e) Die Löschung der per­so­nen­be­zo­ge­nen Daten ist zur Erfül­lung einer recht­li­chen Ver­pflich­tung nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten erfor­der­lich, dem der Ver­ant­wort­li­che unterliegt.
f) Die per­so­nen­be­zo­ge­nen Daten wur­den in Bezug auf ange­bo­te­ne Dien­ste der Infor­ma­ti­ons­ge­sell­schaft gemäß Arti­kel 8 Absatz 1 erhoben.
(2) Hat der Ver­ant­wort­li­che die per­so­nen­be­zo­ge­nen Daten öffent­lich gemacht und ist er gemäß Absatz 1 zu deren Löschung ver­pflich­tet, so trifft er unter Berück­sich­ti­gung der ver­füg­ba­ren Tech­no­lo­gie und der Imple­men­tie­rungs­ko­sten ange­mes­se­ne Maß­nah­men, auch tech­ni­scher Art, um für die Daten­ver­ar­bei­tung Ver­ant­wort­li­che, die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten, dar­über zu infor­mie­ren, dass eine betrof­fe­ne Per­son von ihnen die Löschung aller Links zu die­sen per­so­nen­be­zo­ge­nen Daten oder von Kopien oder Repli­ka­tio­nen die­ser per­so­nen­be­zo­ge­nen Daten ver­langt hat.
(3) Die Absät­ze 1 und 2 gel­ten nicht, soweit die Ver­ar­bei­tung erfor­der­lich ist
a) zur Aus­übung des Rechts auf freie Mei­nungs­äu­ße­rung und Information;
b) zur Erfül­lung einer recht­li­chen Ver­pflich­tung, die die Ver­ar­bei­tung nach dem Recht der Uni­on oder der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unter­liegt, erfor­dert, oder zur Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde;
c) aus Grün­den des öffent­li­chen Inter­es­ses im Bereich der öffent­li­chen Gesund­heit gemäß Arti­kel 9 Absatz 2 Buch­sta­ben h und i sowie Arti­kel 9 Absatz 3;
d) für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, wis­sen­schaft­li­che oder histo­ri­sche For­schungs­zwecke oder für sta­ti­sti­sche Zwecke gemäß Arti­kel 89 Absatz 1, soweit das in Absatz 1 genann­te Recht vor­aus­sicht­lich die Ver­wirk­li­chung der Zie­le die­ser Ver­ar­bei­tung unmög­lich macht oder ernst­haft beein­träch­tigt, oder
e) zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechtsansprüchen.
Erwä­gungs­grün­de
(65) Eine betrof­fe­ne Per­son soll­te ein Recht auf Berich­ti­gung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten besit­zen sowie ein “Recht auf Ver­ges­sen­wer­den”, wenn die Spei­che­rung ihrer Daten gegen die­se Ver­ord­nung oder gegen das Uni­ons­recht oder das Recht der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unter­liegt, ver­stößt. Ins­be­son­de­re soll­ten betrof­fe­ne Per­so­nen Anspruch dar­auf haben, dass ihre per­so­nen­be­zo­ge­nen Daten gelöscht und nicht mehr ver­ar­bei­tet wer­den, wenn die per­so­nen­be­zo­ge­nen Daten hin­sicht­lich der Zwecke, für die sie erho­ben bzw. ander­wei­tig ver­ar­bei­tet wur­den, nicht mehr benö­tigt wer­den, wenn die betrof­fe­nen Per­so­nen ihre Ein­wil­li­gung in die Ver­ar­bei­tung wider­ru­fen oder Wider­spruch gegen die Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten ein­ge­legt haben oder wenn die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten aus ande­ren Grün­den gegen die­se Ver­ord­nung ver­stößt. Die­ses Recht ist ins­be­son­de­re wich­tig in Fäl­len, in denen die betrof­fe­ne Per­son ihre Ein­wil­li­gung noch im Kin­des­al­ter gege­ben hat und inso­fern die mit der Ver­ar­bei­tung ver­bun­de­nen Gefah­ren nicht in vol­lem Umfang abse­hen konn­te und die per­so­nen­be­zo­ge­nen Daten — ins­be­son­de­re die im Inter­net gespei­cher­ten — spä­ter löschen möch­te. Die betrof­fe­ne Per­son soll­te die­ses Recht auch dann aus­üben kön­nen, wenn sie kein Kind mehr ist. Die wei­te­re Spei­che­rung der per­so­nen­be­zo­ge­nen Daten soll­te jedoch recht­mä­ßig sein, wenn dies für die Aus­übung des Rechts auf freie Mei­nungs­äu­ße­rung und Infor­ma­ti­on, zur Erfül­lung einer recht­li­chen Ver­pflich­tung, für die Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wur­de, aus Grün­den des öffent­li­chen Inter­es­ses im Bereich der öffent­li­chen Gesund­heit, für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken oder zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen erfor­der­lich ist.
(66) Um dem “Recht auf Ver­ges­sen­wer­den” im Netz mehr Gel­tung zu ver­schaf­fen, soll­te das Recht auf Löschung aus­ge­wei­tet wer­den, indem ein Ver­ant­wort­li­cher, der die per­so­nen­be­zo­ge­nen Daten öffent­lich gemacht hat, ver­pflich­tet wird, den Ver­ant­wort­li­chen, die die­se per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten, mit­zu­tei­len, alle Links zu die­sen per­so­nen­be­zo­ge­nen Daten oder Kopien oder Repli­ka­tio­nen der per­so­nen­be­zo­ge­nen Daten zu löschen. Dabei soll­te der Ver­ant­wort­li­che, unter Berück­sich­ti­gung der ver­füg­ba­ren Tech­no­lo­gien und der ihm zur Ver­fü­gung ste­hen­den Mit­tel, ange­mes­se­ne Maß­nah­men — auch tech­ni­scher Art — tref­fen, um die Ver­ant­wort­li­chen, die die­se per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten, über den Antrag der betrof­fe­nen Per­son zu informieren.

Arti­kel 18 Recht auf Ein­schrän­kung der Verarbeitung

(1) Die betrof­fe­ne Per­son hat das Recht, von dem Ver­ant­wort­li­chen die Ein­schrän­kung der Ver­ar­bei­tung zu ver­lan­gen, wenn eine der fol­gen­den Vor­aus­set­zun­gen gege­ben ist:
a) die Rich­tig­keit der per­so­nen­be­zo­ge­nen Daten von der betrof­fe­nen Per­son bestrit­ten wird, und zwar für eine Dau­er, die es dem Ver­ant­wort­li­chen ermög­licht, die Rich­tig­keit der per­so­nen­be­zo­ge­nen Daten zu überprüfen,
b) die Ver­ar­bei­tung unrecht­mä­ßig ist und die betrof­fe­ne Per­son die Löschung der per­so­nen­be­zo­ge­nen Daten ablehnt und statt­des­sen die Ein­schrän­kung der Nut­zung der per­so­nen­be­zo­ge­nen Daten verlangt;
c) der Ver­ant­wort­li­che die per­so­nen­be­zo­ge­nen Daten für die Zwecke der Ver­ar­bei­tung nicht län­ger benö­tigt, die betrof­fe­ne Per­son sie jedoch zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen benö­tigt, oder
d) die betrof­fe­ne Per­son Wider­spruch gegen die Ver­ar­bei­tung gemäß Arti­kel 21 Absatz 1 ein­ge­legt hat, solan­ge noch nicht fest­steht, ob die berech­tig­ten Grün­de des Ver­ant­wort­li­chen gegen­über denen der betrof­fe­nen Per­son überwiegen.
(2) Wur­de die Ver­ar­bei­tung gemäß Absatz 1 ein­ge­schränkt, so dür­fen die­se per­so­nen­be­zo­ge­nen Daten — von ihrer Spei­che­rung abge­se­hen — nur mit Ein­wil­li­gung der betrof­fe­nen Per­son oder zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen oder zum Schutz der Rech­te einer ande­ren natür­li­chen oder juri­sti­schen Per­son oder aus Grün­den eines wich­ti­gen öffent­li­chen Inter­es­ses der Uni­on oder eines Mit­glied­staats ver­ar­bei­tet werden.
(3) Eine betrof­fe­ne Per­son, die eine Ein­schrän­kung der Ver­ar­bei­tung gemäß Absatz 1 erwirkt hat, wird von dem Ver­ant­wort­li­chen unter­rich­tet, bevor die Ein­schrän­kung auf­ge­ho­ben wird.
Erwä­gungs­grün­de
(67) Metho­den zur Beschrän­kung der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten könn­ten unter ande­rem dar­in bestehen, dass aus­ge­wähl­te per­so­nen­be­zo­ge­nen Daten vor­über­ge­hend auf ein ande­res Ver­ar­bei­tungs­sy­stem über­tra­gen wer­den, dass sie für Nut­zer gesperrt wer­den oder dass ver­öf­fent­li­che Daten vor­über­ge­hend von einer Web­site ent­fernt wer­den. In auto­ma­ti­sier­ten Datei­sy­ste­men soll­te die Ein­schrän­kung der Ver­ar­bei­tung grund­sätz­lich durch tech­ni­sche Mit­tel so erfol­gen, dass die per­so­nen­be­zo­ge­nen Daten in kei­ner Wei­se wei­ter­ver­ar­bei­tet wer­den und nicht ver­än­dert wer­den kön­nen. Auf die Tat­sa­che, dass die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten beschränkt wur­de, soll­te in dem System unmiss­ver­ständ­lich hin­ge­wie­sen werden.

Arti­kel 19 Mit­tei­lungs­pflicht im Zusam­men­hang mit der Berich­ti­gung oder Löschung per­so­nen­be­zo­ge­ner Daten oder der Ein­schrän­kung der Verarbeitung

Der Ver­ant­wort­li­che teilt allen Emp­fän­gern, denen per­so­nen­be­zo­ge­nen Daten offen­ge­legt wur­den, jede Berich­ti­gung oder Löschung der per­so­nen­be­zo­ge­nen Daten oder eine Ein­schrän­kung der Ver­ar­bei­tung nach Arti­kel 16, Arti­kel 17 Absatz 1 und Arti­kel 18 mit, es sei denn, dies erweist sich als unmög­lich oder ist mit einem unver­hält­nis­mä­ßi­gen Auf­wand ver­bun­den. Der Ver­ant­wort­li­che unter­rich­tet die betrof­fe­ne Per­son über die­se Emp­fän­ger, wenn die betrof­fe­ne Per­son dies verlangt. 

Arti­kel 20 Recht auf Datenübertragbarkeit

(1) Die betrof­fe­ne Per­son hat das Recht, die sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, die sie einem Ver­ant­wort­li­chen bereit­ge­stellt hat, in einem struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat zu erhal­ten, und sie hat das Recht, die­se Daten einem ande­ren Ver­ant­wort­li­chen ohne Behin­de­rung durch den Ver­ant­wort­li­chen, dem die per­so­nen­be­zo­ge­nen Daten bereit­ge­stellt wur­den, zu über­mit­teln, sofern
a) die Ver­ar­bei­tung auf einer Ein­wil­li­gung gemäß Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a oder auf einem Ver­trag gemäß Arti­kel 6 Absatz 1 Buch­sta­be b beruht und
b) die Ver­ar­bei­tung mit­hil­fe auto­ma­ti­sier­ter Ver­fah­ren erfolgt.
(2) Bei der Aus­übung ihres Rechts auf Daten­über­trag­bar­keit gemäß Absatz 1 hat die betrof­fe­ne Per­son das Recht, zu erwir­ken, dass die per­so­nen­be­zo­ge­nen Daten direkt von einem Ver­ant­wort­li­chen einem ande­ren Ver­ant­wort­li­chen über­mit­telt wer­den, soweit dies tech­nisch mach­bar ist.
(3) Die Aus­übung des Rechts nach Absatz 1 des vor­lie­gen­den Arti­kels lässt Arti­kel 17 unbe­rührt. Die­ses Recht gilt nicht für eine Ver­ar­bei­tung, die für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich ist, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde.
(4) Das Recht gemäß Absatz 2 darf die Rech­te und Frei­hei­ten ande­rer Per­so­nen nicht beeinträchtigen.
Erwä­gungs­grün­de
(68) Um im Fall der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mit auto­ma­ti­schen Mit­teln eine bes­se­re Kon­trol­le über die eige­nen Daten zu haben, soll­te die betrof­fe­ne Per­son außer­dem berech­tigt sein, die sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, die sie einem Ver­ant­wort­li­chen bereit­ge­stellt hat, in einem struk­tu­rier­ten, gän­gi­gen, maschi­nen­les­ba­ren und inter­ope­ra­blen For­mat zu erhal­ten und sie einem ande­ren Ver­ant­wort­li­chen zu über­mit­teln. Die Ver­ant­wort­li­chen soll­ten dazu auf­ge­for­dert wer­den, inter­ope­ra­ble For­ma­te zu ent­wickeln, die die Daten­über­trag­bar­keit ermög­li­chen. Die­ses Recht soll­te dann gel­ten, wenn die betrof­fe­ne Per­son die per­so­nen­be­zo­ge­nen Daten mit ihrer Ein­wil­li­gung zur Ver­fü­gung gestellt hat oder die Ver­ar­bei­tung zur Erfül­lung eines Ver­trags erfor­der­lich ist. Es soll­te nicht gel­ten, wenn die Ver­ar­bei­tung auf einer ande­ren Rechts­grund­la­ge als ihrer Ein­wil­li­gung oder eines Ver­trags erfolgt. Die­ses Recht soll­te natur­ge­mäß nicht gegen Ver­ant­wort­li­che aus­ge­übt wer­den, die per­so­nen­be­zo­ge­nen Daten in Erfül­lung ihrer öffent­li­chen Auf­ga­ben ver­ar­bei­ten. Es soll­te daher nicht gel­ten, wenn die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten zur Erfül­lung einer recht­li­chen Ver­pflich­tung, der der Ver­ant­wort­li­che unter­liegt, oder für die Wahr­neh­mung einer ihm über­tra­ge­nen Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung einer ihm über­tra­ge­nen öffent­li­chen Gewalt erfolgt, erfor­der­lich ist. Das Recht der betrof­fe­nen Per­son, sie betref­fen­de per­so­nen­be­zo­ge­ne Daten zu über­mit­teln oder zu emp­fan­gen, soll­te für den Ver­ant­wort­li­chen nicht die Pflicht begrün­den, tech­nisch kom­pa­ti­ble Daten­ver­ar­bei­tungs­sy­ste­me zu über­neh­men oder bei­zu­be­hal­ten. Ist im Fall eines bestimm­ten Sat­zes per­so­nen­be­zo­ge­ner Daten mehr als eine betrof­fe­ne Per­son tan­giert, so soll­te das Recht auf Emp­fang der Daten die Grund­rech­te und Grund­frei­hei­ten ande­rer betrof­fe­ner Per­so­nen nach die­ser Ver­ord­nung unbe­rührt las­sen. Die­ses Recht soll­te zudem das Recht der betrof­fe­nen Per­son auf Löschung ihrer per­so­nen­be­zo­ge­nen Daten und die Beschrän­kun­gen die­ses Rechts gemäß die­ser Ver­ord­nung nicht berüh­ren und ins­be­son­de­re nicht bedeu­ten, dass die Daten, die sich auf die betrof­fe­ne Per­son bezie­hen und von ihr zur Erfül­lung eines Ver­trags zur Ver­fü­gung gestellt wor­den sind, gelöscht wer­den, soweit und solan­ge die­se per­so­nen­be­zo­ge­nen Daten für die Erfül­lung des Ver­trags not­wen­dig sind. Soweit tech­nisch mach­bar, soll­te die betrof­fe­ne Per­son das Recht haben, zu erwir­ken, dass die per­so­nen­be­zo­ge­nen Daten direkt von einem Ver­ant­wort­li­chen einem ande­ren Ver­ant­wort­li­chen über­mit­telt werden.

Abschnitt 4 Wider­spruchs­recht und auto­ma­ti­sier­te Ent­schei­dungs­fin­dung im Einzelfall

Arti­kel 21 Widerspruchsrecht

(1) Die betrof­fe­ne Per­son hat das Recht, aus Grün­den, die sich aus ihrer beson­de­ren Situa­ti­on erge­ben, jeder­zeit gegen die Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten, die auf­grund von Arti­kel 6 Absatz 1 Buch­sta­ben e oder f erfolgt, Wider­spruch ein­zu­le­gen; dies gilt auch für ein auf die­se Bestim­mun­gen gestütz­tes Pro­fil­ing. Der Ver­ant­wort­li­che ver­ar­bei­tet die per­so­nen­be­zo­ge­nen Daten nicht mehr, es sei denn, er kann zwin­gen­de schutz­wür­di­ge Grün­de für die Ver­ar­bei­tung nach­wei­sen, die die Inter­es­sen, Rech­te und Frei­hei­ten der betrof­fe­nen Per­son über­wie­gen, oder die Ver­ar­bei­tung dient der Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechtsansprüchen.
(2) Wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, um Direkt­wer­bung zu betrei­ben, so hat die betrof­fe­ne Per­son das Recht, jeder­zeit Wider­spruch gegen die Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten zum Zwecke der­ar­ti­ger Wer­bung ein­zu­le­gen; dies gilt auch für das Pro­fil­ing, soweit es mit sol­cher Direkt­wer­bung in Ver­bin­dung steht.
(3) Wider­spricht die betrof­fe­ne Per­son der Ver­ar­bei­tung für Zwecke der Direkt­wer­bung, so wer­den die per­so­nen­be­zo­ge­nen Daten nicht mehr für die­se Zwecke verarbeitet.
(4) Die betrof­fe­ne Per­son muss spä­te­stens zum Zeit­punkt der ersten Kom­mu­ni­ka­ti­on mit ihr aus­drück­lich auf das in den Absät­zen 1 und 2 genann­te Recht hin­ge­wie­sen wer­den; die­ser Hin­weis hat in einer ver­ständ­li­chen und von ande­ren Infor­ma­tio­nen getrenn­ten Form zu erfolgen.
(5) Im Zusam­men­hang mit der Nut­zung von Dien­sten der Infor­ma­ti­ons­ge­sell­schaft kann die betrof­fe­ne Per­son unge­ach­tet der Richt­li­nie 2002/58/EG ihr Wider­spruchs­recht mit­tels auto­ma­ti­sier­ter Ver­fah­ren aus­üben, bei denen tech­ni­sche Spe­zi­fi­ka­tio­nen ver­wen­det werden.
(6) Die betrof­fe­ne Per­son hat das Recht, aus Grün­den, die sich aus ihrer beson­de­ren Situa­ti­on erge­ben, gegen die sie betref­fen­de Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten, die zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken gemäß Arti­kel 89 Absatz 1 erfolgt, Wider­spruch ein­zu­le­gen, es sei denn, die Ver­ar­bei­tung ist zur Erfül­lung einer im öffent­li­chen Inter­es­se lie­gen­den Auf­ga­be erforderlich.
Erwä­gungs­grün­de
(69) Dür­fen die per­so­nen­be­zo­ge­nen Daten mög­li­cher­wei­se recht­mä­ßig ver­ar­bei­tet wer­den, weil die Ver­ar­bei­tung für die Wahr­neh­mung einer Auf­ga­be, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt — die dem Ver­ant­wort­li­chen über­tra­gen wur­de, — oder auf­grund des berech­tig­ten Inter­es­ses des Ver­ant­wort­li­chen oder eines Drit­ten erfor­der­lich ist, soll­te jede betrof­fe­ne Per­son trotz­dem das Recht haben, Wider­spruch gegen die Ver­ar­bei­tung der sich aus ihrer beson­de­ren Situa­ti­on erge­ben­den per­so­nen­be­zo­ge­nen Daten ein­zu­le­gen. Der für die Ver­ar­bei­tung Ver­ant­wort­li­che soll­te dar­le­gen müs­sen, dass sei­ne zwin­gen­den berech­tig­ten Inter­es­sen Vor­rang vor den Inter­es­sen oder Grund­rech­ten und Grund­frei­hei­ten der betrof­fe­nen Per­son haben.
(70) Wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, um Direkt­wer­bung zu betrei­ben, so soll­te die betrof­fe­ne Per­son jeder­zeit unent­gelt­lich inso­weit Wider­spruch gegen eine sol­che — ursprüng­li­che oder spä­te­re — Ver­ar­bei­tung ein­schließ­lich des Pro­filings ein­le­gen kön­nen, als sie mit die­ser Direkt­wer­bung zusam­men­hängt. Die betrof­fe­ne Per­son soll­te aus­drück­lich auf die­ses Recht hin­ge­wie­sen wer­den; die­ser Hin­weis soll­te in einer ver­ständ­li­chen und von ande­ren Infor­ma­tio­nen getrenn­ten Form erfolgen.

Arti­kel 22 Auto­ma­ti­sier­te Ent­schei­dun­gen im Ein­zel­fall ein­schließ­lich Profiling

(1) Die betrof­fe­ne Per­son hat das Recht, nicht einer aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung — ein­schließ­lich Pro­fil­ing — beru­hen­den Ent­schei­dung unter­wor­fen zu wer­den, die ihr gegen­über recht­li­che Wir­kung ent­fal­tet oder sie in ähn­li­cher Wei­se erheb­lich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen erfor­der­lich ist,
b) auf­grund von Rechts­vor­schrif­ten der Uni­on oder der Mit­glied­staa­ten, denen der Ver­ant­wort­li­che unter­liegt, zuläs­sig ist und die­se Rechts­vor­schrif­ten ange­mes­se­ne Maß­nah­men zur Wah­rung der Rech­te und Frei­hei­ten sowie der berech­tig­ten Inter­es­sen der betrof­fe­nen Per­son ent­hal­ten oder
c) mit aus­drück­li­cher Ein­wil­li­gung der betrof­fe­nen Per­son erfolgt.
(3) In den in Absatz 2 Buch­sta­ben a und c genann­ten Fäl­len trifft der Ver­ant­wort­li­che ange­mes­se­ne Maß­nah­men, um die Rech­te und Frei­hei­ten sowie die berech­tig­ten Inter­es­sen der betrof­fe­nen Per­son zu wah­ren, wozu min­de­stens das Recht auf Erwir­kung des Ein­grei­fens einer Per­son sei­tens des Ver­ant­wort­li­chen, auf Dar­le­gung des eige­nen Stand­punkts und auf Anfech­tung der Ent­schei­dung gehört.
(4) Ent­schei­dun­gen nach Absatz 2 dür­fen nicht auf Beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten nach Arti­kel 9 Absatz 1 beru­hen, sofern nicht Arti­kel 9 Absatz 2 Buch­sta­be a oder g gilt und ange­mes­se­ne Maß­nah­men zum Schutz der Rech­te und Frei­hei­ten sowie der berech­tig­ten Inter­es­sen der betrof­fe­nen Per­son getrof­fen wurden.
Erwä­gungs­grün­de
(71) Die betrof­fe­ne Per­son soll­te das Recht haben, kei­ner Ent­schei­dung — was eine Maß­nah­me ein­schlie­ßen kann — zur Bewer­tung von sie betref­fen­den per­sön­li­chen Aspek­ten unter­wor­fen zu wer­den, die aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung beruht und die recht­li­che Wir­kung für die betrof­fe­ne Per­son ent­fal­tet oder sie in ähn­li­cher Wei­se erheb­lich beein­träch­tigt, wie die auto­ma­ti­sche Ableh­nung eines Online-Kre­dit­an­trags oder Online-Ein­stel­lungs­ver­fah­ren ohne jeg­li­ches mensch­li­che Ein­grei­fen. Zu einer der­ar­ti­gen Ver­ar­bei­tung zählt auch das “Pro­fil­ing”, das in jeg­li­cher Form auto­ma­ti­sier­ter Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten unter Bewer­tung der per­sön­li­chen Aspek­te in Bezug auf eine natür­li­che Per­son besteht, ins­be­son­de­re zur Ana­ly­se oder Pro­gno­se von Aspek­ten bezüg­lich Arbeits­lei­stung, wirt­schaft­li­che Lage, Gesund­heit, per­sön­li­che Vor­lie­ben oder Inter­es­sen, Zuver­läs­sig­keit oder Ver­hal­ten, Auf­ent­halts­ort oder Orts­wech­sel der betrof­fe­nen Per­son, soweit dies recht­li­che Wir­kung für die betrof­fe­ne Per­son ent­fal­tet oder sie in ähn­li­cher Wei­se erheb­lich beein­träch­tigt. Eine auf einer der­ar­ti­gen Ver­ar­bei­tung, ein­schließ­lich des Pro­filings, beru­hen­de Ent­schei­dungs­fin­dung soll­te aller­dings erlaubt sein, wenn dies nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten, dem der für die Ver­ar­bei­tung Ver­ant­wort­li­che unter­liegt, aus­drück­lich zuläs­sig ist, auch um im Ein­klang mit den Vor­schrif­ten, Stan­dards und Emp­feh­lun­gen der Insti­tu­tio­nen der Uni­on oder der natio­na­len Auf­sichts­gre­mi­en Betrug und Steu­er­hin­ter­zie­hung zu über­wa­chen und zu ver­hin­dern und die Sicher­heit und Zuver­läs­sig­keit eines von dem Ver­ant­wort­li­chen bereit­ge­stell­ten Dien­stes zu gewähr­lei­sten, oder wenn dies für den Abschluss oder die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und einem Ver­ant­wort­li­chen erfor­der­lich ist oder wenn die betrof­fe­ne Per­son ihre aus­drück­li­che Ein­wil­li­gung hier­zu erteilt hat. In jedem Fall soll­te eine sol­che Ver­ar­bei­tung mit ange­mes­se­nen Garan­tien ver­bun­den sein, ein­schließ­lich der spe­zi­fi­schen Unter­rich­tung der betrof­fe­nen Per­son und des Anspruchs auf direk­tes Ein­grei­fen einer Per­son, auf Dar­le­gung des eige­nen Stand­punkts, auf Erläu­te­rung der nach einer ent­spre­chen­den Bewer­tung getrof­fe­nen Ent­schei­dung sowie des Rechts auf Anfech­tung der Ent­schei­dung. Die­se Maß­nah­me soll­te kein Kind betreffen.
Um unter Berück­sich­ti­gung der beson­de­ren Umstän­de und Rah­men­be­din­gun­gen, unter denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den, der betrof­fe­nen Per­son gegen­über eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewähr­lei­sten, soll­te der für die Ver­ar­bei­tung Ver­ant­wort­li­che geeig­ne­te mathe­ma­ti­sche oder sta­ti­sti­sche Ver­fah­ren für das Pro­fil­ing ver­wen­den, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, mit denen in geeig­ne­ter Wei­se ins­be­son­de­re sicher­ge­stellt wird, dass Fak­to­ren, die zu unrich­ti­gen per­so­nen­be­zo­ge­nen Daten füh­ren, kor­ri­giert wer­den und das Risi­ko von Feh­lern mini­miert wird, und per­so­nen­be­zo­ge­ne Daten in einer Wei­se sichern, dass den poten­zi­el­len Bedro­hun­gen für die Inter­es­sen und Rech­te der betrof­fe­nen Per­son Rech­nung getra­gen wird und mit denen ver­hin­dert wird, dass es gegen­über natür­li­chen Per­so­nen auf­grund von Ras­se, eth­ni­scher Her­kunft, poli­ti­scher Mei­nung, Reli­gi­on oder Welt­an­schau­ung, Gewerk­schafts­zu­ge­hö­rig­keit, gene­ti­scher Anla­gen oder Gesund­heits­zu­stand sowie sexu­el­ler Ori­en­tie­rung zu dis­kri­mi­nie­ren­den Wir­kun­gen oder zu Maß­nah­men kommt, die eine sol­che Wir­kung haben. Auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und Pro­fil­ing auf der Grund­la­ge beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten soll­ten nur unter bestimm­ten Bedin­gun­gen erlaubt sein.
(72) Das Pro­fil­ing unter­liegt den Vor­schrif­ten die­ser Ver­ord­nung für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, wie etwa die Rechts­grund­la­ge für die Ver­ar­bei­tung oder die Daten­schutz­grund­sät­ze. Der durch die­se Ver­ord­nung ein­ge­rich­te­te Euro­päi­sche Daten­schutz­aus­schuss (im Fol­gen­den “Aus­schuss”) soll­te, dies­be­züg­lich Leit­li­ni­en her­aus­ge­ben können.

Abschnitt 5 Beschränkungen

Arti­kel 23 Beschränkungen

(1) Durch Rechts­vor­schrif­ten der Uni­on oder der Mit­glied­staa­ten, denen der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter unter­liegt, kön­nen die Pflich­ten und Rech­te gemäß den Arti­keln 12 bis 22 und Arti­kel 34 sowie Arti­kel 5, inso­fern des­sen Bestim­mun­gen den in den Arti­keln 12 bis 22 vor­ge­se­he­nen Rech­ten und Pflich­ten ent­spre­chen, im Wege von Gesetz­ge­bungs­maß­nah­men beschränkt wer­den, sofern eine sol­che Beschrän­kung den Wesens­ge­halt der Grund­rech­te und Grund­frei­hei­ten ach­tet und in einer demo­kra­ti­schen Gesell­schaft eine not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß­nah­me dar­stellt, die Fol­gen­des sicherstellt:
a) die natio­na­le Sicherheit;
b) die Landesverteidigung;
c) die öffent­li­che Sicherheit;
d) die Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder die Straf­voll­streckung, ein­schließ­lich des Schut­zes vor und der Abwehr von Gefah­ren für die öffent­li­che Sicherheit;
e) den Schutz son­sti­ger wich­ti­ger Zie­le des all­ge­mei­nen öffent­li­chen Inter­es­ses der Uni­on oder eines Mit­glied­staats, ins­be­son­de­re eines wich­ti­gen wirt­schaft­li­chen oder finan­zi­el­len Inter­es­ses der Uni­on oder eines Mit­glied­staats, etwa im Währungs‑, Haus­halts- und Steu­er­be­reich sowie im Bereich der öffent­li­chen Gesund­heit und der sozia­len Sicherheit;
f) den Schutz der Unab­hän­gig­keit der Justiz und den Schutz von Gerichtsverfahren;
g) die Ver­hü­tung, Auf­deckung, Ermitt­lung und Ver­fol­gung von Ver­stö­ßen gegen die berufs­stän­di­schen Regeln regle­men­tier­ter Berufe;
h) Kontroll‑, Über­wa­chungs- und Ord­nungs­funk­tio­nen, die dau­ernd oder zeit­wei­se mit der Aus­übung öffent­li­cher Gewalt für die unter den Buch­sta­ben a bis e und g genann­ten Zwecke ver­bun­den sind;
i) den Schutz der betrof­fe­nen Per­son oder der Rech­te und Frei­hei­ten ande­rer Personen;
j) die Durch­set­zung zivil­recht­li­cher Ansprüche.
(2) Jede Gesetz­ge­bungs­maß­nah­me im Sin­ne des Absat­zes 1 muss ins­be­son­de­re gege­be­nen­falls spe­zi­fi­sche Vor­schrif­ten ent­hal­ten zumin­dest in Bezug auf
a) die Zwecke der Ver­ar­bei­tung oder die Verarbeitungskategorien,
b) die Kate­go­rien per­so­nen­be­zo­ge­ner Daten,
c) den Umfang der vor­ge­nom­me­nen Beschränkungen,
d) die Garan­tien gegen Miss­brauch oder unrecht­mä­ßi­gen Zugang oder unrecht­mä­ßi­ge Übermittlung;
e) die Anga­ben zu dem Ver­ant­wort­li­chen oder den Kate­go­rien von Verantwortlichen,
f) die jewei­li­gen Spei­cher­fri­sten sowie die gel­ten­den Garan­tien unter Berück­sich­ti­gung von Art, Umfang und Zwecken der Ver­ar­bei­tung oder der Verarbeitungskategorien,
g) die Risi­ken für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen und
h) das Recht der betrof­fe­nen Per­so­nen auf Unter­rich­tung über die Beschrän­kung, sofern dies nicht dem Zweck der Beschrän­kung abträg­lich ist.
Erwä­gungs­grün­de
(73) Im Recht der Uni­on oder der Mit­glied­staa­ten kön­nen Beschrän­kun­gen hin­sicht­lich bestimm­ter Grund­sät­ze und hin­sicht­lich des Rechts auf Unter­rich­tung, Aus­kunft zu und Berich­ti­gung oder Löschung per­so­nen­be­zo­ge­ner Daten, des Rechts auf Daten­über­trag­bar­keit und Wider­spruch, Ent­schei­dun­gen, die auf der Erstel­lung von Pro­fi­len beru­hen, sowie Mit­tei­lun­gen über eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten an eine betrof­fe­ne Per­son und bestimm­ten damit zusam­men­hän­gen­den Pflich­ten der Ver­ant­wort­li­chen vor­ge­se­hen wer­den, soweit dies in einer demo­kra­ti­schen Gesell­schaft not­wen­dig und ver­hält­nis­mä­ßig ist, um die öffent­li­che Sicher­heit auf­recht­zu­er­hal­ten, wozu unter ande­rem der Schutz von Men­schen­le­ben ins­be­son­de­re bei Natur­ka­ta­stro­phen oder vom Men­schen ver­ur­sach­ten Kata­stro­phen, die Ver­hü­tung, Auf­deckung und Ver­fol­gung von Straf­ta­ten oder die Straf­voll­streckung — was auch den Schutz vor und die Abwehr von Gefah­ren für die öffent­li­che Sicher­heit ein­schließt — oder die Ver­hü­tung, Auf­deckung und Ver­fol­gung von Ver­stö­ßen gegen Berufs­stands­re­geln bei regle­men­tier­ten Beru­fen, das Füh­ren öffent­li­cher Regi­ster aus Grün­den des all­ge­mei­nen öffent­li­chen Inter­es­ses sowie die Wei­ter­ver­ar­bei­tung von archi­vier­ten per­so­nen­be­zo­ge­nen Daten zur Bereit­stel­lung spe­zi­fi­scher Infor­ma­tio­nen im Zusam­men­hang mit dem poli­ti­schen Ver­hal­ten unter ehe­ma­li­gen tota­li­tä­ren Regi­men gehört, und zum Schutz son­sti­ger wich­ti­ger Zie­le des all­ge­mei­nen öffent­li­chen Inter­es­ses der Uni­on oder eines Mit­glied­staats, etwa wich­ti­ge wirt­schaft­li­che oder finan­zi­el­le Inter­es­sen, oder die betrof­fe­ne Per­son und die Rech­te und Frei­hei­ten ande­rer Per­so­nen, ein­schließ­lich in den Berei­chen sozia­le Sicher­heit, öffent­li­che Gesund­heit und huma­ni­tä­re Hil­fe, zu schüt­zen. Die­se Beschrän­kun­gen soll­ten mit der Char­ta und mit der Euro­päi­schen Kon­ven­ti­on zum Schutz der Men­schen­rech­te und Grund­frei­hei­ten im Ein­klang stehen.

Kapi­tel IV Ver­ant­wort­li­cher und Auftragsverarbeiter

Abschnitt 1 All­ge­mei­ne Pflichten

Arti­kel 24 Ver­ant­wor­tung des für die Ver­ar­bei­tung Verantwortlichen

(1) Der Ver­ant­wort­li­che setzt unter Berück­sich­ti­gung der Art, des Umfangs, der Umstän­de und der Zwecke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re der Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men um, um sicher­zu­stel­len und den Nach­weis dafür erbrin­gen zu kön­nen, dass die Ver­ar­bei­tung gemäß die­ser Ver­ord­nung erfolgt. Die­se Maß­nah­men wer­den erfor­der­li­chen­falls über­prüft und aktualisiert.
(2) Sofern dies in einem ange­mes­se­nen Ver­hält­nis zu den Ver­ar­bei­tungs­tä­tig­kei­ten steht, müs­sen die Maß­nah­men gemäß Absatz 1 die Anwen­dung geeig­ne­ter Daten­schutz­vor­keh­run­gen durch den Ver­ant­wort­li­chen umfassen.
(3) Die Ein­hal­tung der geneh­mig­ten Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 des kann als Gesichts­punkt her­an­ge­zo­gen wer­den, um die Erfül­lung der Pflich­ten des Ver­ant­wort­li­chen nachzuweisen.
Erwä­gungs­grün­de
(74) Die Ver­ant­wor­tung und Haf­tung des Ver­ant­wort­li­chen für jed­we­de Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die durch ihn oder in sei­nem Namen erfolgt, soll­te gere­gelt wer­den. Ins­be­son­de­re soll­te der Ver­ant­wort­li­che geeig­ne­te und wirk­sa­me Maß­nah­men tref­fen müs­sen und nach­wei­sen kön­nen, dass die Ver­ar­bei­tungs­tä­tig­kei­ten im Ein­klang mit die­ser Ver­ord­nung ste­hen und die Maß­nah­men auch wirk­sam sind. Dabei soll­te er die Art, den Umfang, die Umstän­de und die Zwecke der Ver­ar­bei­tung und das Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen berücksichtigen.
(75) Die Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen — mit unter­schied­li­cher Ein­tritts­wahr­schein­lich­keit und Schwe­re — kön­nen aus einer Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten her­vor­ge­hen, die zu einem phy­si­schen, mate­ri­el­len oder imma­te­ri­el­len Scha­den füh­ren könn­te, ins­be­son­de­re wenn die Ver­ar­bei­tung zu einer Dis­kri­mi­nie­rung, einem Iden­ti­täts­dieb­stahl oder ‑betrug, einem finan­zi­el­len Ver­lust, einer Ruf­schä­di­gung, einem Ver­lust der Ver­trau­lich­keit von dem Berufs­ge­heim­nis unter­lie­gen­den per­so­nen­be­zo­ge­nen Daten, der unbe­fug­ten Auf­he­bung der Pseud­ony­mi­sie­rung oder ande­ren erheb­li­chen wirt­schaft­li­chen oder gesell­schaft­li­chen Nach­tei­len füh­ren kann, wenn die betrof­fe­nen Per­so­nen um ihre Rech­te und Frei­hei­ten gebracht oder dar­an gehin­dert wer­den, die sie betref­fen­den per­so­nen­be­zo­ge­nen Daten zu kon­trol­lie­ren, wenn per­so­nen­be­zo­ge­ne Daten, aus denen die ras­si­sche oder eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder welt­an­schau­li­che Über­zeu­gun­gen oder die Zuge­hö­rig­keit zu einer Gewerk­schaft her­vor­ge­hen, und gene­ti­sche Daten, Gesund­heits­da­ten oder das Sexu­al­le­ben oder straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten oder damit zusam­men­hän­gen­de Siche­rungs­maß­re­geln betref­fen­de Daten ver­ar­bei­tet wer­den, wenn per­sön­li­che Aspek­te bewer­tet wer­den, ins­be­son­de­re wenn Aspek­te, die die Arbeits­lei­stung, wirt­schaft­li­che Lage, Gesund­heit, per­sön­li­che Vor­lie­ben oder Inter­es­sen, die Zuver­läs­sig­keit oder das Ver­hal­ten, den Auf­ent­halts­ort oder Orts­wech­sel betref­fen, ana­ly­siert oder pro­gno­sti­ziert wer­den, um per­sön­li­che Pro­fi­le zu erstel­len oder zu nut­zen, wenn per­so­nen­be­zo­ge­ne Daten schutz­be­dürf­ti­ger natür­li­cher Per­so­nen, ins­be­son­de­re Daten von Kin­dern, ver­ar­bei­tet wer­den oder wenn die Ver­ar­bei­tung eine gro­ße Men­ge per­so­nen­be­zo­ge­ner Daten und eine gro­ße Anzahl von betrof­fe­nen Per­so­nen betrifft.
(76) Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son soll­ten in Bezug auf die Art, den Umfang, die Umstän­de und die Zwecke der Ver­ar­bei­tung bestimmt wer­den. Das Risi­ko soll­te anhand einer objek­ti­ven Bewer­tung beur­teilt wer­den, bei der fest­ge­stellt wird, ob die Daten­ver­ar­bei­tung ein Risi­ko oder ein hohes Risi­ko birgt.
(77) Anlei­tun­gen, wie der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter geeig­ne­te Maß­nah­men durch­zu­füh­ren hat und wie die Ein­hal­tung der Anfor­de­run­gen nach­zu­wei­sen ist, ins­be­son­de­re was die Ermitt­lung des mit der Ver­ar­bei­tung ver­bun­de­nen Risi­kos, des­sen Abschät­zung in Bezug auf Ursa­che, Art, Ein­tritts­wahr­schein­lich­keit und Schwe­re und die Fest­le­gung bewähr­ter Ver­fah­ren für des­sen Ein­däm­mung betrifft, könn­ten ins­be­son­de­re in Form von geneh­mig­ten Ver­hal­tens­re­geln, geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­ren, Leit­li­ni­en des Aus­schus­ses oder Hin­wei­sen eines Daten­schutz­be­auf­trag­ten gege­ben wer­den. Der Aus­schuss kann fer­ner Leit­li­ni­en für Ver­ar­bei­tungs­vor­gän­ge aus­ge­ben, bei denen davon aus­zu­ge­hen ist, dass sie kein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen mit sich brin­gen, und ange­ben, wel­che Abhil­fe­maß­nah­men in die­sen Fäl­len aus­rei­chend sein können.

Arti­kel 25 Daten­schutz durch Tech­nik­ge­stal­tung und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen Pri­va­cy by Design Pri­va­cy by Default

(1) Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­ko­sten und der Art, des Umfangs, der Umstän­de und der Zwecke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re der mit der Ver­ar­bei­tung ver­bun­de­nen Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen trifft der Ver­ant­wort­li­che sowohl zum Zeit­punkt der Fest­le­gung der Mit­tel für die Ver­ar­bei­tung als auch zum Zeit­punkt der eigent­li­chen Ver­ar­bei­tung geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men — wie z. B. Pseud­ony­mi­sie­rung —, die dafür aus­ge­legt sind, die Daten­schutz­grund­sät­ze wie etwa Daten­mi­ni­mie­rung wirk­sam umzu­set­zen und die not­wen­di­gen Garan­tien in die Ver­ar­bei­tung auf­zu­neh­men, um den Anfor­de­run­gen die­ser Ver­ord­nung zu genü­gen und die Rech­te der betrof­fe­nen Per­so­nen zu schützen.
(2) Der Ver­ant­wort­li­che trifft geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die sicher­stel­len, dass durch Vor­ein­stel­lung grund­sätz­lich nur per­so­nen­be­zo­ge­ne Daten, deren Ver­ar­bei­tung für den jewei­li­gen bestimm­ten Ver­ar­bei­tungs­zweck erfor­der­lich ist, ver­ar­bei­tet wer­den. Die­se Ver­pflich­tung gilt für die Men­ge der erho­be­nen per­so­nen­be­zo­ge­nen Daten, den Umfang ihrer Ver­ar­bei­tung, ihre Spei­cher­frist und ihre Zugäng­lich­keit. Sol­che Maß­nah­men müs­sen ins­be­son­de­re sicher­stel­len, dass per­so­nen­be­zo­ge­ne Daten durch Vor­ein­stel­lun­gen nicht ohne Ein­grei­fen der Per­son einer unbe­stimm­ten Zahl von natür­li­chen Per­so­nen zugäng­lich gemacht werden.
(3) Ein geneh­mig­tes Zer­ti­fi­zie­rungs­ver­fah­ren gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in den Absät­zen 1 und 2 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.
Erwä­gungs­grün­de
(78) Zum Schutz der in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bestehen­den Rech­te und Frei­hei­ten natür­li­cher Per­so­nen ist es erfor­der­lich, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men getrof­fen wer­den, damit die Anfor­de­run­gen die­ser Ver­ord­nung erfüllt wer­den. Um die Ein­hal­tung die­ser Ver­ord­nung nach­wei­sen zu kön­nen, soll­te der Ver­ant­wort­li­che inter­ne Stra­te­gien fest­le­gen und Maß­nah­men ergrei­fen, die ins­be­son­de­re den Grund­sät­zen des Daten­schut­zes durch Tech­nik (data pro­tec­tion by design) und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen (data pro­tec­tion by default) Genü­ge tun. Sol­che Maß­nah­men könn­ten unter ande­rem dar­in bestehen, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mini­miert wird, per­so­nen­be­zo­ge­ne Daten so schnell wie mög­lich pseud­ony­mi­siert wer­den, Trans­pa­renz in Bezug auf die Funk­tio­nen und die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten her­ge­stellt wird, der betrof­fe­nen Per­son ermög­licht wird, die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu über­wa­chen, und der Ver­ant­wort­li­che in die Lage ver­setzt wird, Sicher­heits­funk­tio­nen zu schaf­fen und zu ver­bes­sern. In Bezug auf Ent­wick­lung, Gestal­tung, Aus­wahl und Nut­zung von Anwen­dun­gen, Dien­sten und Pro­duk­ten, die ent­we­der auf der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten beru­hen oder zur Erfül­lung ihrer Auf­ga­ben per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, soll­ten die Her­stel­ler der Pro­duk­te, Dien­ste und Anwen­dun­gen ermu­tigt wer­den, das Recht auf Daten­schutz bei der Ent­wick­lung und Gestal­tung der Pro­duk­te, Dien­ste und Anwen­dun­gen zu berück­sich­ti­gen und unter gebüh­ren­der Berück­sich­ti­gung des Stands der Tech­nik sicher­zu­stel­len, dass die Ver­ant­wort­li­chen und die Ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nach­zu­kom­men. Den Grund­sät­zen des Daten­schut­zes durch Tech­nik und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen soll­te auch bei öffent­li­chen Aus­schrei­bun­gen Rech­nung getra­gen werden.

Arti­kel 26 Gemein­sam für die Ver­ar­bei­tung Verantwortliche

(1) Legen zwei oder mehr Ver­ant­wort­li­che gemein­sam die Zwecke der und die Mit­tel zur Ver­ar­bei­tung fest, so sind sie gemein­sam Ver­ant­wort­li­che. Sie legen in einer Ver­ein­ba­rung in trans­pa­ren­ter Form fest, wer von ihnen wel­che Ver­pflich­tung gemäß die­ser Ver­ord­nung erfüllt, ins­be­son­de­re was die Wahr­neh­mung der Rech­te der betrof­fe­nen Per­son angeht, und wer wel­chen Infor­ma­ti­ons­pflich­ten gemäß den Arti­keln 13 und 14 nach­kommt, sofern und soweit die jewei­li­gen Auf­ga­ben der Ver­ant­wort­li­chen nicht durch Rechts­vor­schrif­ten der Uni­on oder der Mit­glied­staa­ten, denen die Ver­ant­wort­li­chen unter­lie­gen, fest­ge­legt sind. In der Ver­ein­ba­rung kann eine Anlauf­stel­le für die betrof­fe­nen Per­so­nen ange­ge­ben werden.
(2) Die Ver­ein­ba­rung gemäß Absatz 1 muss die jewei­li­gen tat­säch­li­chen Funk­tio­nen und Bezie­hun­gen der gemein­sam Ver­ant­wort­li­chen gegen­über betrof­fe­nen Per­so­nen gebüh­rend wider­spie­geln. Das wesent­li­che der Ver­ein­ba­rung wird der betrof­fe­nen Per­son zur Ver­fü­gung gestellt.
(3) Unge­ach­tet der Ein­zel­hei­ten der Ver­ein­ba­rung gemäß Absatz 1 kann die betrof­fe­ne Per­son ihre Rech­te im Rah­men die­ser Ver­ord­nung bei und gegen­über jedem ein­zel­nen der Ver­ant­wort­li­chen gel­tend machen.
Erwä­gungs­grün­de
(79) Zum Schutz der Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen sowie bezüg­lich der Ver­ant­wor­tung und Haf­tung der Ver­ant­wort­li­chen und der Auf­trags­ver­ar­bei­ter bedarf es — auch mit Blick Auf­nah­me gf die Über­wa­chungs- und son­sti­gen Maß­nah­men von Auf­sichts­be­hör­den — einer kla­ren Zutei­lung der Ver­ant­wort­lich­kei­ten durch die­se Ver­ord­nung, ein­schließ­lich der Fäl­le, in denen ein Ver­ant­wort­li­cher die Ver­ar­bei­tungs­zwecke und ‑mit­tel gemein­sam mit ande­ren Ver­ant­wort­li­chen fest­legt oder ein Ver­ar­bei­tungs­vor­gang im Auf­trag eines Ver­ant­wort­li­chen durch­ge­führt wird.

Arti­kel 27 Ver­tre­ter von nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auftragsverarbeitern

(1) In den Fäl­len gemäß Arti­kel 3 Absatz 2 benennt der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter schrift­lich einen Ver­tre­ter in der Union.
(2) Die Pflicht gemäß Absatz 1 des vor­lie­gen­den Arti­kels gilt nicht für
a) eine Ver­ar­bei­tung, die gele­gent­lich erfolgt, nicht die umfang­rei­che Ver­ar­bei­tung beson­de­rer Daten­ka­te­go­rien im Sin­ne des Arti­kels 9 Absatz 1 oder die umfang­rei­che Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten im Sin­ne des Arti­kels 10 ein­schließt und unter Berück­sich­ti­gung der Art, der Umstän­de, des Umfangs und der Zwecke der Ver­ar­bei­tung vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt, oder
b) Behör­den oder öffent­li­che Stellen.
(3) Der Ver­tre­ter muss in einem der Mit­glied­staa­ten nie­der­ge­las­sen sein, in denen die betrof­fe­nen Per­so­nen, deren per­so­nen­be­zo­ge­ne Daten im Zusam­men­hang mit den ihnen ange­bo­te­nen Waren oder Dienst­lei­stun­gen ver­ar­bei­tet wer­den oder deren Ver­hal­ten beob­ach­tet wird, sich befinden.
(4) Der Ver­tre­ter wird durch den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter beauf­tragt, zusätz­lich zu die­sem oder an sei­ner Stel­le ins­be­son­de­re für Auf­sichts­be­hör­den und betrof­fe­ne Per­so­nen bei sämt­li­chen Fra­gen im Zusam­men­hang mit der Ver­ar­bei­tung zur Gewähr­lei­stung der Ein­hal­tung die­ser Ver­ord­nung als Anlauf­stel­le zu dienen.
(5) Die Benen­nung eines Ver­tre­ters durch den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter erfolgt unbe­scha­det etwa­iger recht­li­cher Schrit­te gegen den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter selbst.
Erwä­gungs­grün­de
(80) Jeder Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter ohne Nie­der­las­sung in der Uni­on, des­sen Ver­ar­bei­tungs­tä­tig­kei­ten sich auf betrof­fe­ne Per­so­nen bezie­hen, die sich in der Uni­on auf­hal­ten, und dazu die­nen, die­sen Per­so­nen in der Uni­on Waren oder Dienst­lei­stun­gen anzu­bie­ten — unab­hän­gig davon, ob von der betrof­fe­nen Per­son eine Zah­lung ver­langt wird — oder deren Ver­hal­ten, soweit die­ses inner­halb der Uni­on erfolgt, zu beob­ach­ten, soll­te einen Ver­tre­ter benen­nen müs­sen, es sei denn, die Ver­ar­bei­tung erfolgt gele­gent­lich, schließt nicht die umfang­rei­che Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten oder die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten ein und bringt unter Berück­sich­ti­gung ihrer Art, ihrer Umstän­de, ihres Umfangs und ihrer Zwecke wahr­schein­lich kein Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen mit sich oder bei dem Ver­ant­wort­li­chen han­delt es sich um eine Behör­de oder öffent­li­che Stel­le. Der Ver­tre­ter soll­te im Namen des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters tätig wer­den und den Auf­sichts­be­hör­den als Anlauf­stel­le die­nen. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter soll­te den Ver­tre­ter aus­drück­lich bestel­len und schrift­lich beauf­tra­gen, in Bezug auf die ihm nach die­ser Ver­ord­nung oblie­gen­den Ver­pflich­tun­gen an sei­ner Stel­le zu han­deln. Die Benen­nung eines sol­chen Ver­tre­ters berührt nicht die Ver­ant­wor­tung oder Haf­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters nach Maß­ga­be die­ser Ver­ord­nung. Ein sol­cher Ver­tre­ter soll­te sei­ne Auf­ga­ben ent­spre­chend dem Man­dat des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters aus­füh­ren und ins­be­son­de­re mit den zustän­di­gen Auf­sichts­be­hör­den in Bezug auf Maß­nah­men, die die Ein­hal­tung die­ser Ver­ord­nung sicher­stel­len sol­len, zusam­men­ar­bei­ten. Bei Ver­stö­ßen des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters soll­te der bestell­te Ver­tre­ter Durch­set­zungs­ver­fah­ren unter­wor­fen werden.

Arti­kel 28 Auftragsverarbeiter

(1) Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.
(2) Der Auf­trags­ver­ar­bei­ter nimmt kei­nen wei­te­ren Auf­trags­ver­ar­bei­ter ohne vor­he­ri­ge geson­der­te oder all­ge­mei­ne schrift­li­che Geneh­mi­gung des Ver­ant­wort­li­chen in Anspruch. Im Fall einer all­ge­mei­nen schrift­li­chen Geneh­mi­gung infor­miert der Auf­trags­ver­ar­bei­ter den Ver­ant­wort­li­chen immer über jede beab­sich­tig­te Ände­rung in Bezug auf die Hin­zu­zie­hung oder die Erset­zung ande­rer Auf­trags­ver­ar­bei­ter, wodurch der Ver­ant­wort­li­che die Mög­lich­keit erhält, gegen der­ar­ti­ge Ände­run­gen Ein­spruch zu erheben.
(3) Die Ver­ar­bei­tung durch einen Auf­trags­ver­ar­bei­ter erfolgt auf der Grund­la­ge eines Ver­trags oder eines ande­ren Rechts­in­stru­ments nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten, der bzw. das den Auf­trags­ver­ar­bei­ter in Bezug auf den Ver­ant­wort­li­chen bin­det und in dem Gegen­stand und Dau­er der Ver­ar­bei­tung, Art und Zweck der Ver­ar­bei­tung, die Art der per­so­nen­be­zo­ge­nen Daten, die Kate­go­rien betrof­fe­ner Per­so­nen und die Pflich­ten und Rech­te des Ver­ant­wort­li­chen fest­ge­legt sind. Die­ser Ver­trag bzw. die­ses ande­re Rechts­in­stru­ment sieht ins­be­son­de­re vor, dass der Auftragsverarbeiter
a) die per­so­nen­be­zo­ge­nen Daten nur auf doku­men­tier­te Wei­sung des Ver­ant­wort­li­chen — auch in Bezug auf die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on — ver­ar­bei­tet, sofern er nicht durch das Recht der Uni­on oder der Mit­glied­staa­ten, dem der Auf­trags­ver­ar­bei­ter unter­liegt, hier­zu ver­pflich­tet ist; in einem sol­chen Fall teilt der Auf­trags­ver­ar­bei­ter dem Ver­ant­wort­li­chen die­se recht­li­chen Anfor­de­run­gen vor der Ver­ar­bei­tung mit, sofern das betref­fen­de Recht eine sol­che Mit­tei­lung nicht wegen eines wich­ti­gen öffent­li­chen Inter­es­ses verbietet;
b) gewähr­lei­stet, dass sich die zur Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten befug­ten Per­so­nen zur Ver­trau­lich­keit ver­pflich­tet haben oder einer ange­mes­se­nen gesetz­li­chen Ver­schwie­gen­heits­pflicht unterliegen;
c) alle gemäß Arti­kel 32 erfor­der­li­chen Maß­nah­men ergreift;
d) die in den Absät­zen 2 und 4 genann­ten Bedin­gun­gen für die Inan­spruch­nah­me der Dien­ste eines wei­te­ren Auf­trags­ver­ar­bei­ters einhält;
e) ange­sichts der Art der Ver­ar­bei­tung den Ver­ant­wort­li­chen nach Mög­lich­keit mit geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men dabei unter­stützt, sei­ner Pflicht zur Beant­wor­tung von Anträ­gen auf Wahr­neh­mung der in Kapi­tel III genann­ten Rech­te der betrof­fe­nen Per­son nachzukommen;
f) unter Berück­sich­ti­gung der Art der Ver­ar­bei­tung und der ihm zur Ver­fü­gung ste­hen­den Infor­ma­tio­nen den Ver­ant­wort­li­chen bei der Ein­hal­tung der in den Arti­keln 32 bis 36 genann­ten Pflich­ten unter­stützt; g) nach Abschluss der Erbrin­gung der Ver­ar­bei­tungs­lei­stun­gen alle per­so­nen­be­zo­ge­nen Daten nach Wahl des Ver­ant­wort­li­chen ent­we­der löscht oder zurück­gibt und die vor­han­de­nen Kopien löscht, sofern nicht nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten eine Ver­pflich­tung zur Spei­che­rung der per­so­nen­be­zo­ge­nen Daten besteht;
h) dem Ver­ant­wort­li­chen alle erfor­der­li­chen Infor­ma­tio­nen zum Nach­weis der Ein­hal­tung der in die­sem Arti­kel nie­der­ge­leg­ten Pflich­ten zur Ver­fü­gung stellt und Über­prü­fun­gen — ein­schließ­lich Inspek­tio­nen –, die vom Ver­ant­wort­li­chen oder einem ande­ren von die­sem beauf­trag­ten Prü­fer durch­ge­führt wer­den, ermög­licht und dazu beiträgt.
Mit Blick auf Unter­ab­satz 1 Buch­sta­be h infor­miert der Auf­trags­ver­ar­bei­ter den Ver­ant­wort­li­chen unver­züg­lich, falls er der Auf­fas­sung ist, dass eine Wei­sung gegen die­se Ver­ord­nung oder gegen ande­re Daten­schutz­be­stim­mun­gen der Uni­on oder der Mit­glied­staa­ten ver­stößt.
(4) Nimmt der Auf­trags­ver­ar­bei­ter die Dien­ste eines wei­te­ren Auf­trags­ver­ar­bei­ters in Anspruch, um bestimm­te Ver­ar­bei­tungs­tä­tig­kei­ten im Namen des Ver­ant­wort­li­chen aus­zu­füh­ren, so wer­den die­sem wei­te­ren Auf­trags­ver­ar­bei­ter im Wege eines Ver­trags oder eines ande­ren Rechts­in­stru­ments nach dem Uni­ons­recht oder dem Recht des betref­fen­den Mit­glied­staats die­sel­ben Daten­schutz­pflich­ten auf­er­legt, die in dem Ver­trag oder ande­ren Rechts­in­stru­ment zwi­schen dem Ver­ant­wort­li­chen und dem Auf­trags­ver­ar­bei­ter gemäß Absatz 3 fest­ge­legt sind, wobei ins­be­son­de­re hin­rei­chen­de Garan­tien dafür gebo­ten wer­den muss, dass die geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung ent­spre­chend den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt. Kommt der wei­te­re Auf­trags­ver­ar­bei­ter sei­nen Daten­schutz­pflich­ten nicht nach, so haf­tet der erste Auf­trags­ver­ar­bei­ter gegen­über dem Ver­ant­wort­li­chen für die Ein­hal­tung der Pflich­ten jenes ande­ren Auftragsverarbeiters.
(5) Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 durch einen Auf­trags­ver­ar­bei­ter kann als Fak­tor her­an­ge­zo­gen wer­den, um hin­rei­chen­de Garan­tien im Sin­ne der Absät­ze 1 und 4 des vor­lie­gen­den Arti­kels nachzuweisen.
(6) Unbe­scha­det eines indi­vi­du­el­len Ver­trags zwi­schen dem Ver­ant­wort­li­chen und dem Auf­trags­ver­ar­bei­ter kann der Ver­trag oder das ande­re Rechts­in­stru­ment im Sin­ne der Absät­ze 3 und 4 des vor­lie­gen­den Arti­kels ganz oder teil­wei­se auf den in den Absät­zen 7 und 8 des vor­lie­gen­den Arti­kels genann­ten Stan­dard­ver­trags­klau­seln beru­hen, auch wenn die­se Bestand­teil einer dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter gemäß den Arti­keln 42 und 43 erteil­ten Zer­ti­fi­zie­rung sind.
(7) Die Kom­mis­si­on kann im Ein­klang mit dem Prüf­ver­fah­ren gemäß Arti­kel 87 Absatz 2 Stan­dard­ver­trags­klau­seln zur Rege­lung der in den Absät­zen 3 und 4 des vor­lie­gen­den Arti­kels genann­ten Fra­gen festlegen.
(8) Eine Auf­sichts­be­hör­de kann im Ein­klang mit dem Kohä­renz­ver­fah­ren gemäß Arti­kel 63 Stan­dard­ver­trags­klau­seln zur Rege­lung der in den Absät­zen 3 und 4 des vor­lie­gen­den Arti­kels genann­ten Fra­gen festlegen.
(9) Der Ver­trag oder das ande­re Rechts­in­stru­ment im Sin­ne der Absät­ze 3 und 4 ist schrift­lich abzu­fas­sen, was auch in einem elek­tro­ni­schen For­mat erfol­gen kann.
(10) Unbe­scha­det der Arti­kel 82, 83 und 84 gilt ein Auf­trags­ver­ar­bei­ter, der unter Ver­stoß gegen die­se Ver­ord­nung die Zwecke und Mit­tel der Ver­ar­bei­tung bestimmt, in Bezug auf die­se Ver­ar­bei­tung als Verantwortlicher.
Erwä­gungs­grün­de
(81) Damit die Anfor­de­run­gen die­ser Ver­ord­nung in Bezug auf die vom Auf­trags­ver­ar­bei­ter im Namen des Ver­ant­wort­li­chen vor­zu­neh­men­de Ver­ar­bei­tung ein­ge­hal­ten wer­den, soll­te ein Ver­ant­wort­li­cher, der einen Auf­trags­ver­ar­bei­ter mit Ver­ar­bei­tungs­tä­tig­kei­ten betrau­en will, nur Auf­trags­ver­ar­bei­ter her­an­zie­hen, die — ins­be­son­de­re im Hin­blick auf Fach­wis­sen, Zuver­läs­sig­keit und Res­sour­cen — hin­rei­chen­de Garan­tien dafür bie­ten, dass tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men — auch für die Sicher­heit der Ver­ar­bei­tung — getrof­fen wer­den, die den Anfor­de­run­gen die­ser Ver­ord­nung genü­gen. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens durch einen Auf­trags­ver­ar­bei­ter kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der Pflich­ten des Ver­ant­wort­li­chen nach­zu­wei­sen. Die Durch­füh­rung einer Ver­ar­bei­tung durch einen Auf­trags­ver­ar­bei­ter soll­te auf Grund­la­ge eines Ver­trags oder eines ande­ren Rechts­in­stru­ments nach dem Recht der Uni­on oder der Mit­glied­staa­ten erfol­gen, der bzw. das den Auf­trags­ver­ar­bei­ter an den Ver­ant­wort­li­chen bin­det und in dem Gegen­stand und Dau­er der Ver­ar­bei­tung, Art und Zwecke der Ver­ar­bei­tung, die Art der per­so­nen­be­zo­ge­nen Daten und die Kate­go­rien von betrof­fe­nen Per­so­nen fest­ge­legt sind, wobei die beson­de­ren Auf­ga­ben und Pflich­ten des Auf­trags­ver­ar­bei­ters bei der geplan­ten Ver­ar­bei­tung und das Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son zu berück­sich­ti­gen sind. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter kön­nen ent­schei­den, ob sie einen indi­vi­du­el­len Ver­trag oder Stan­dard­ver­trags­klau­seln ver­wen­den, die ent­we­der unmit­tel­bar von der Kom­mis­si­on erlas­sen oder aber nach dem Kohä­renz­ver­fah­ren von einer Auf­sichts­be­hör­de ange­nom­men und dann von der Kom­mis­si­on erlas­sen wur­den. Nach Been­di­gung der Ver­ar­bei­tung im Namen des Ver­ant­wort­li­chen soll­te der Auf­trags­ver­ar­bei­ter die per­so­nen­be­zo­ge­nen Daten nach Wahl des Ver­ant­wort­li­chen ent­we­der zurück­ge­ben oder löschen, sofern nicht nach dem Recht der Uni­on oder der Mit­glied­staa­ten, dem der Auf­trags­ver­ar­bei­ter unter­liegt, eine Ver­pflich­tung zur Spei­che­rung der per­so­nen­be­zo­ge­nen Daten besteht.
(95) Der Auf­trags­ver­ar­bei­ter soll­te erfor­der­li­chen­falls den Ver­ant­wort­li­chen auf Anfra­ge bei der Gewähr­lei­stung der Ein­hal­tung der sich aus der Durch­füh­rung der Daten­schutz-Fol­gen­ab­schät­zung und der vor­he­ri­gen Kon­sul­ta­ti­on der Auf­sichts­be­hör­de erge­ben­den Auf­la­gen unterstützen.

Arti­kel 29 Ver­ar­bei­tung unter der Auf­sicht des Ver­ant­wort­li­chen oder des Auftragsverarbeiters

Der Auf­trags­ver­ar­bei­ter und jede dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter unter­stell­te Per­son, die Zugang zu per­so­nen­be­zo­ge­nen Daten hat, dür­fen die­se Daten aus­schließ­lich auf Wei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, dass sie nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten zur Ver­ar­bei­tung ver­pflich­tet sind. 

Arti­kel 30 Ver­zeich­nis von Verarbeitungstätigkeiten

(1) Jeder Ver­ant­wort­li­che und gege­be­nen­falls sein Ver­tre­ter füh­ren ein Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten, die ihrer Zustän­dig­keit unter­lie­gen. Die­ses Ver­zeich­nis ent­hält sämt­li­che fol­gen­den Angaben:
a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen und gege­be­nen­falls des gemein­sam mit ihm Ver­ant­wort­li­chen, des Ver­tre­ters des Ver­ant­wort­li­chen sowie eines etwa­igen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschrei­bung der Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien per­so­nen­be­zo­ge­ner Daten;
d) die Kate­go­rien von Emp­fän­gern, gegen­über denen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wor­den sind oder noch offen­ge­legt wer­den, ein­schließ­lich Emp­fän­ger in Dritt­län­dern oder inter­na­tio­na­len Organisationen;
e) gege­be­nen­falls Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on, ein­schließ­lich der Anga­be des betref­fen­den Dritt­lands oder der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on, sowie bei den in Arti­kel 49 Absatz 1 Unter­ab­satz 2 genann­ten Daten­über­mitt­lun­gen die Doku­men­tie­rung geeig­ne­ter Garantien;
f) wenn mög­lich, die vor­ge­se­he­nen Fri­sten für die Löschung der ver­schie­de­nen Datenkategorien;
g) wenn mög­lich, eine all­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gemäß Arti­kel 32 Absatz 1.
(2) Jeder Auf­trags­ver­ar­bei­ter und gege­be­nen­falls sein Ver­tre­ter füh­ren ein Ver­zeich­nis zu allen Kate­go­rien von im Auf­trag eines Ver­ant­wort­li­chen durch­ge­führ­ten Tätig­kei­ten der Ver­ar­bei­tung, das Fol­gen­des enthält:
a) den Namen und die Kon­takt­da­ten des Auf­trags­ver­ar­bei­ters oder der Auf­trags­ver­ar­bei­ter und jedes Ver­ant­wort­li­chen, in des­sen Auf­trag der Auf­trags­ver­ar­bei­ter tätig ist, sowie gege­be­nen­falls des Ver­tre­ters des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und eines etwa­igen Datenschutzbeauftragten;
b) die Kate­go­rien von Ver­ar­bei­tun­gen, die im Auf­trag jedes Ver­ant­wort­li­chen durch­ge­führt werden;
c) gege­be­nen­falls Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on, ein­schließ­lich der Anga­be des betref­fen­den Dritt­lands oder der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on, sowie bei den in Arti­kel 49 Absatz 1 Unter­ab­satz 2 genann­ten Daten­über­mitt­lun­gen die Doku­men­tie­rung geeig­ne­ter Garantien;
d) wenn mög­lich, eine all­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gemäß Arti­kel 32 Absatz 1.
(3) Das in den Absät­zen 1 und 2 genann­te Ver­zeich­nis ist schrift­lich zu füh­ren, was auch in einem elek­tro­ni­schen For­mat erfol­gen kann.
(4) Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter sowie gege­be­nen­falls der Ver­tre­ter des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters stel­len der Auf­sichts­be­hör­de das Ver­zeich­nis auf Anfra­ge zur Verfügung.
(5) Die in den Absät­zen 1 und 2 genann­ten Pflich­ten gel­ten nicht für Unter­neh­men oder Ein­rich­tun­gen, die weni­ger als 250 Mit­ar­bei­ter beschäf­ti­gen, sofern die von ihnen vor­ge­nom­me­ne Ver­ar­bei­tung nicht ein Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen birgt, die Ver­ar­bei­tung nicht nur gele­gent­lich erfolgt oder nicht die Ver­ar­bei­tung beson­de­rer Daten­ka­te­go­rien gemäß Arti­kel 9 Absatz 1 bzw. die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten im Sin­ne des Arti­kels 10 einschließt.
Erwä­gungs­grün­de
(82) Zum Nach­weis der Ein­hal­tung die­ser Ver­ord­nung soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, die sei­ner Zustän­dig­keit unter­lie­gen, füh­ren. Jeder Ver­ant­wort­li­che und jeder Auf­trags­ver­ar­bei­ter soll­te ver­pflich­tet sein, mit der Auf­sichts­be­hör­de zusam­men­zu­ar­bei­ten und die­ser auf Anfra­ge das ent­spre­chen­de Ver­zeich­nis vor­zu­le­gen, damit die betref­fen­den Ver­ar­bei­tungs­vor­gän­ge anhand die­ser Ver­zeich­nis­se kon­trol­liert wer­den können.

Arti­kel 31 Zusam­men­ar­beit mit der Aufsichtsbehörde

Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter und gege­be­nen­falls deren Ver­tre­ter arbei­ten auf Anfra­ge mit der Auf­sichts­be­hör­de bei der Erfül­lung ihrer Auf­ga­ben zusammen. 

Abschnitt 2 Sicher­heit per­so­nen­be­zo­ge­ner Daten

Arti­kel 32 Sicher­heit der Verarbeitung

(1) Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­ko­sten und der Art, des Umfangs, der Umstän­de und der Zwecke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­lei­sten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Syste­me und Dien­ste im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­lei­stung der Sicher­heit der Verarbeitung.
(2) Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch — ob unbe­ab­sich­tigt oder unrecht­mä­ßig — Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.
(3) Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.
(4) Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.
Erwä­gungs­grün­de
(83) Zur Auf­recht­erhal­tung der Sicher­heit und zur Vor­beu­gung gegen eine gegen die­se Ver­ord­nung ver­sto­ßen­de Ver­ar­bei­tung soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter die mit der Ver­ar­bei­tung ver­bun­de­nen Risi­ken ermit­teln und Maß­nah­men zu ihrer Ein­däm­mung, wie etwa eine Ver­schlüs­se­lung, tref­fen. Die­se Maß­nah­men soll­ten unter Berück­sich­ti­gung des Stands der Tech­nik und der Imple­men­tie­rungs­ko­sten ein Schutz­ni­veau — auch hin­sicht­lich der Ver­trau­lich­keit — gewähr­lei­sten, das den von der Ver­ar­bei­tung aus­ge­hen­den Risi­ken und der Art der zu schüt­zen­den per­so­nen­be­zo­ge­nen Daten ange­mes­sen ist. Bei der Bewer­tung der Daten­si­cher­heits­ri­si­ken soll­ten die mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­bun­de­nen Risi­ken berück­sich­tigt wer­den, wie etwa — ob unbe­ab­sich­tigt oder unrecht­mä­ßig — Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von oder unbe­fug­ter Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf son­sti­ge Wei­se ver­ar­bei­tet wur­den, ins­be­son­de­re wenn dies zu einem phy­si­schen, mate­ri­el­len oder imma­te­ri­el­len Scha­den füh­ren könnte.

Arti­kel 33 Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten an die Aufsichtsbehörde

(1) Im Fal­le einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten mel­det der Ver­ant­wort­li­che unver­züg­lich und mög­lichst bin­nen 72 Stun­den, nach­dem ihm die Ver­let­zung bekannt wur­de, die­se der gemäß Arti­kel 51 zustän­di­gen Auf­sichts­be­hör­de, es sei denn, dass die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt. Erfolgt die Mel­dung an die Auf­sichts­be­hör­de nicht bin­nen 72 Stun­den, so ist ihr eine Begrün­dung für die Ver­zö­ge­rung beizufügen.
(2) Wenn dem Auf­trags­ver­ar­bei­ter eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten bekannt wird, mel­det er die­se dem Ver­ant­wort­li­chen unverzüglich.
(3) Die Mel­dung gemäß Absatz 1 ent­hält zumin­dest fol­gen­de Informationen:
a) eine Beschrei­bung der Art der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten, soweit mög­lich mit Anga­be der Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen Per­so­nen, der betrof­fe­nen Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen per­so­nen­be­zo­ge­nen Datensätze;
b) den Namen und die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten oder einer son­sti­gen Anlauf­stel­le für wei­te­re Informationen;
c) eine Beschrei­bung der wahr­schein­li­chen Fol­gen der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten;
d) eine Beschrei­bung der von dem Ver­ant­wort­li­chen ergrif­fe­nen oder vor­ge­schla­ge­nen Maß­nah­men zur Behe­bung der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten und gege­be­nen­falls Maß­nah­men zur Abmil­de­rung ihrer mög­li­chen nach­tei­li­gen Auswirkungen.
(4) Wenn und soweit die Infor­ma­tio­nen nicht zur glei­chen Zeit bereit­ge­stellt wer­den kön­nen, kann der Ver­ant­wort­li­che die­se Infor­ma­tio­nen ohne unan­ge­mes­se­ne wei­te­re Ver­zö­ge­rung schritt­wei­se zur Ver­fü­gung stellen.
(5) Der Ver­ant­wort­li­che doku­men­tiert Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten ein­schließ­lich aller im Zusam­men­hang mit der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten ste­hen­den Fak­ten, ihrer Aus­wir­kun­gen und der ergrif­fe­nen Abhil­fe­maß­nah­men. Die­se Doku­men­ta­ti­on muss der Auf­sichts­be­hör­de die Über­prü­fung der Ein­hal­tung der Bestim­mun­gen die­ses Arti­kels ermöglichen.
Erwä­gungs­grün­de
(85) Eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten kann — wenn nicht recht­zei­tig und ange­mes­sen reagiert wird — einen phy­si­schen, mate­ri­el­len oder imma­te­ri­el­len Scha­den für natür­li­che Per­so­nen nach sich zie­hen, wie etwa Ver­lust der Kon­trol­le über ihre per­so­nen­be­zo­ge­nen Daten oder Ein­schrän­kung ihrer Rech­te, Dis­kri­mi­nie­rung, Iden­ti­täts­dieb­stahl oder ‑betrug, finan­zi­el­le Ver­lu­ste, unbe­fug­te Auf­he­bung der Pseud­ony­mi­sie­rung, Ruf­schä­di­gung, Ver­lust der Ver­trau­lich­keit von dem Berufs­ge­heim­nis unter­lie­gen­den Daten oder ande­re erheb­li­che wirt­schaft­li­che oder gesell­schaft­li­che Nach­tei­le für die betrof­fe­ne natür­li­che Per­son. Des­halb soll­te der Ver­ant­wort­li­che, sobald ihm eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten bekannt wird, die Auf­sichts­be­hör­de von der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten unver­züg­lich und, falls mög­lich, bin­nen höch­stens 72 Stun­den, nach­dem ihm die Ver­let­zung bekannt wur­de, unter­rich­ten, es sei denn, der Ver­ant­wort­li­che kann im Ein­klang mit dem Grund­satz der Rechen­schafts­pflicht nach­wei­sen, dass die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die per­sön­li­chen Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt. Falls die­se Benach­rich­ti­gung nicht bin­nen 72 Stun­den erfol­gen kann, soll­ten in ihr die Grün­de für die Ver­zö­ge­rung ange­ge­ben wer­den müs­sen, und die Infor­ma­tio­nen kön­nen schritt­wei­se ohne unan­ge­mes­se­ne wei­te­re Ver­zö­ge­rung bereit­ge­stellt werden.
(88) Bei der detail­lier­ten Rege­lung des For­mats und der Ver­fah­ren für die Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten soll­ten die Umstän­de der Ver­let­zung hin­rei­chend berück­sich­tigt wer­den, bei­spiels­wei­se ob per­so­nen­be­zo­ge­ne Daten durch geeig­ne­te tech­ni­sche Sicher­heits­vor­keh­run­gen geschützt waren, die die Wahr­schein­lich­keit eines Iden­ti­täts­be­trugs oder ande­rer For­men des Daten­miss­brauchs wirk­sam ver­rin­gern. Über­dies soll­ten sol­che Regeln und Ver­fah­ren den berech­tig­ten Inter­es­sen der Straf­ver­fol­gungs­be­hör­den in Fäl­len Rech­nung tra­gen, in denen die Unter­su­chung der Umstän­de einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten durch eine früh­zei­ti­ge Offen­le­gung in unnö­ti­ger Wei­se behin­dert würde.

Arti­kel 34 Benach­rich­ti­gung der von einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten betrof­fe­nen Person

(1) Hat die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich ein hohes Risi­ko für die per­sön­li­chen Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge, so benach­rich­tigt der Ver­ant­wort­li­che die betrof­fe­ne Per­son unver­züg­lich von der Verletzung.
(2) Die in Absatz 1 genann­te Benach­rich­ti­gung der betrof­fe­nen Per­son beschreibt in kla­rer und ein­fa­cher Spra­che die Art der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten und ent­hält zumin­dest die in Arti­kel 33 Absatz 3 Buch­sta­ben b, c und d genann­ten Infor­ma­tio­nen und Maßnahmen.
(3) Die Benach­rich­ti­gung der betrof­fe­nen Per­son gemäß Absatz 1 ist nicht erfor­der­lich, wenn eine der fol­gen­den Bedin­gun­gen erfüllt ist:
a) der Ver­ant­wort­li­che hat geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heits­vor­keh­run­gen getrof­fen hat und die­se Vor­keh­run­gen wur­den auf die von der Ver­let­zung betrof­fe­nen per­so­nen­be­zo­ge­nen Daten ange­wandt, ins­be­son­de­re sol­che, durch die die per­so­nen­be­zo­ge­nen Daten für alle Per­so­nen, die nicht zum Zugang zu den per­so­nen­be­zo­ge­nen Daten befugt sind, unzu­gäng­lich gemacht wer­den, etwa durch Verschlüsselung;
b) der Ver­ant­wort­li­che hat durch nach­fol­gen­de Maß­nah­men sicher­ge­stellt, dass das hohe Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen gemäß Absatz 1 aller Wahr­schein­lich­keit nach nicht mehr besteht;
c) die Benach­rich­ti­gung wäre mit einem unver­hält­nis­mä­ßi­gen Auf­wand ver­bun­den. In die­sem Fall hat statt­des­sen eine öffent­li­che Bekannt­ma­chung oder eine ähn­li­che Maß­nah­me zu erfol­gen, durch die die betrof­fe­nen Per­so­nen ver­gleich­bar wirk­sam infor­miert werden.
(4) Wenn der Ver­ant­wort­li­che die betrof­fe­ne Per­son nicht bereits über die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten benach­rich­tigt hat, kann die Auf­sichts­be­hör­de unter Berück­sich­ti­gung der Wahr­schein­lich­keit, mit der die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten zu einem hohen Risi­ko führt, von dem Ver­ant­wort­li­chen ver­lan­gen, dies nach­zu­ho­len, oder sie kann mit einem Beschluss fest­stel­len, dass bestimm­te der in Absatz 3 genann­ten Vor­aus­set­zun­gen erfüllt sind.
Erwä­gungs­grün­de
(86) Der für die Ver­ar­bei­tung Ver­ant­wort­li­che soll­te die betrof­fe­ne Per­son unver­züg­lich von der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten benach­rich­ti­gen, wenn die­se Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich zu einem hohen Risi­ko für die per­sön­li­chen Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt, damit die­se die erfor­der­li­chen Vor­keh­run­gen tref­fen kön­nen. Die Benach­rich­ti­gung soll­te eine Beschrei­bung der Art der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten sowie an die betrof­fe­ne natür­li­che Per­son gerich­te­te Emp­feh­lun­gen zur Min­de­rung etwa­iger nach­tei­li­ger Aus­wir­kun­gen die­ser Ver­let­zung ent­hal­ten. Sol­che Benach­rich­ti­gun­gen der betrof­fe­nen Per­son soll­ten stets so rasch wie nach all­ge­mei­nem Ermes­sen mög­lich, in enger Abspra­che mit der Auf­sichts­be­hör­de und nach Maß­ga­be der von die­ser oder von ande­ren zustän­di­gen Behör­den wie bei­spiels­wei­se Straf­ver­fol­gungs­be­hör­den erteil­ten Wei­sun­gen erfol­gen. Um bei­spiels­wei­se das Risi­ko eines unmit­tel­ba­ren Scha­dens min­dern zu kön­nen, müss­ten betrof­fe­ne Per­so­nen sofort benach­rich­tigt wer­den, wohin­ge­gen eine län­ge­re Benach­rich­ti­gungs­frist gerecht­fer­tigt sein kann, wenn es dar­um geht, geeig­ne­te Maß­nah­men gegen fort­lau­fen­de oder ver­gleich­ba­re Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten zu treffen.
(87) Es soll­te fest­ge­stellt wer­den, ob alle geeig­ne­ten tech­ni­schen Schutz- sowie orga­ni­sa­to­ri­schen Maß­nah­men getrof­fen wur­den, um sofort fest­stel­len zu kön­nen, ob eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten auf­ge­tre­ten ist, und um die Auf­sichts­be­hör­de und die betrof­fe­ne Per­son umge­hend unter­rich­ten zu kön­nen. Bei der Fest­stel­lung, ob die Mel­dung unver­züg­lich erfolgt ist, soll­ten die Art und Schwe­re der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten sowie deren Fol­gen und nach­tei­li­ge Aus­wir­kun­gen für die betrof­fe­ne Per­son berück­sich­tigt wer­den. Die ent­spre­chen­de Mel­dung kann zu einem Tätig­wer­den der Auf­sichts­be­hör­de im Ein­klang mit ihren in die­ser Ver­ord­nung fest­ge­leg­ten Auf­ga­ben und Befug­nis­sen führen.

Abschnitt 3 Daten­schutz-Fol­gen­ab­schät­zung und vor­he­ri­ge Konsultation

Arti­kel 35 Datenschutz-Folgenabschätzung

(1) Hat eine Form der Ver­ar­bei­tung, ins­be­son­de­re bei Ver­wen­dung neu­er Tech­no­lo­gien, auf­grund der Art, des Umfangs, der Umstän­de und der Zwecke der Ver­ar­bei­tung vor­aus­sicht­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen zur Fol­ge, so führt der Ver­ant­wort­li­che vor­ab eine Abschät­zung der Fol­gen der vor­ge­se­he­nen Ver­ar­bei­tungs­vor­gän­ge für den Schutz per­so­nen­be­zo­ge­ner Daten durch. Für die Unter­su­chung meh­re­rer ähn­li­cher Ver­ar­bei­tungs­vor­gän­ge mit ähn­lich hohen Risi­ken kann eine ein­zi­ge Abschät­zung vor­ge­nom­men werden.
(2) Der Ver­ant­wort­li­che holt bei der Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung den Rat des Daten­schutz­be­auf­trag­ten, sofern ein sol­cher benannt wur­de, ein.
(3) Eine Daten­schutz-Fol­gen­ab­schät­zung gemäß Absatz 1 ist ins­be­son­de­re in fol­gen­den Fäl­len erforderlich:
a) syste­ma­ti­sche und umfas­sen­de Bewer­tung per­sön­li­cher Aspek­te natür­li­cher Per­so­nen, die sich auf auto­ma­ti­sier­te Ver­ar­bei­tung ein­schließ­lich Pro­fil­ing grün­det und die ihrer­seits als Grund­la­ge für Ent­schei­dun­gen dient, die Rechts­wir­kung gegen­über natür­li­chen Per­so­nen ent­fal­ten oder die­se in ähn­lich erheb­li­cher Wei­se beeinträchtigen;
b) umfang­rei­che Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten gemäß Arti­kel 9 Absatz 1 oder von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gemäß Arti­kel 10 oder
c) syste­ma­ti­sche umfang­rei­che Über­wa­chung öffent­lich zugäng­li­cher Bereiche.
(4) Die Auf­sichts­be­hör­de erstellt eine Liste der Ver­ar­bei­tungs­vor­gän­ge, für die gemäß Absatz 1 eine Daten­schutz-Fol­gen­ab­schät­zung durch­zu­füh­ren ist, und ver­öf­fent­licht die­se. Die Auf­sichts­be­hör­de über­mit­telt die­se Listen dem in Arti­kel 68 genann­ten Ausschuss.
(5) Die Auf­sichts­be­hör­de kann des Wei­te­ren eine Liste der Arten von Ver­ar­bei­tungs­vor­gän­gen erstel­len und ver­öf­fent­li­chen, für die kei­ne Daten­schutz-Fol­gen­ab­schät­zung erfor­der­lich ist. Die Auf­sichts­be­hör­de über­mit­telt die­se Listen dem Ausschuss.
(6) Vor Fest­le­gung der in den Absät­zen 4 und 5 genann­ten Listen wen­det die zustän­di­ge Auf­sichts­be­hör­de das Kohä­renz­ver­fah­ren gemäß Arti­kel 63 an, wenn sol­che Listen Ver­ar­bei­tungs­tä­tig­kei­ten umfas­sen, die mit dem Ange­bot von Waren oder Dienst­lei­stun­gen für betrof­fe­ne Per­so­nen oder der Beob­ach­tung des Ver­hal­tens die­ser Per­so­nen in meh­re­ren Mit­glied­staa­ten im Zusam­men­hang ste­hen oder die den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten inner­halb der Uni­on erheb­lich beein­träch­ti­gen könnten.
(7) Die Fol­gen­ab­schät­zung ent­hält zumin­dest Folgendes:
a) eine syste­ma­ti­sche Beschrei­bung der geplan­ten Ver­ar­bei­tungs­vor­gän­ge und der Zwecke der Ver­ar­bei­tung, gege­be­nen­falls ein­schließ­lich der von dem Ver­ant­wort­li­chen ver­folg­ten berech­tig­ten Interessen;
b) eine Bewer­tung der Not­wen­dig­keit und Ver­hält­nis­mä­ßig­keit der Ver­ar­bei­tungs­vor­gän­ge in Bezug auf den Zweck;
c) eine Bewer­tung der Risi­ken für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen gemäß Absatz 1 und
d) die zur Bewäl­ti­gung der Risi­ken geplan­ten Abhil­fe­maß­nah­men, ein­schließ­lich Garan­tien, Sicher­heits­vor­keh­run­gen und Ver­fah­ren, durch die der Schutz per­so­nen­be­zo­ge­ner Daten sicher­ge­stellt und der Nach­weis dafür erbracht wird, dass die­se Ver­ord­nung ein­ge­hal­ten wird, wobei den Rech­ten und berech­tig­ten Inter­es­sen der betrof­fe­nen Per­so­nen und son­sti­ger Betrof­fe­ner Rech­nung getra­gen wird.
(8) Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 durch die zustän­di­gen Ver­ant­wort­li­chen oder die zustän­di­gen Auf­trags­ver­ar­bei­ter ist bei der Beur­tei­lung der Aus­wir­kun­gen der von die­sen durch­ge­führ­ten Ver­ar­bei­tungs­vor­gän­ge, ins­be­son­de­re für die Zwecke einer Daten­schutz-Fol­gen­ab­schät­zung, gebüh­rend zu berücksichtigen.
(9) Der Ver­ant­wort­li­che holt gege­be­nen­falls den Stand­punkt der betrof­fe­nen Per­so­nen oder ihrer Ver­tre­ter zu der beab­sich­tig­ten Ver­ar­bei­tung unbe­scha­det des Schut­zes gewerb­li­cher oder öffent­li­cher Inter­es­sen oder der Sicher­heit der Ver­ar­bei­tungs­vor­gän­ge ein.
(10) Falls die Ver­ar­bei­tung gemäß Arti­kel 6 Absatz 1 Buch­sta­be c oder e auf einer Rechts­grund­la­ge im Uni­ons­recht oder im Recht des Mit­glied­staats, dem der Ver­ant­wort­li­che unter­liegt, beruht und falls die­se Rechts­vor­schrif­ten den kon­kre­ten Ver­ar­bei­tungs­vor­gang oder die kon­kre­ten Ver­ar­bei­tungs­vor­gän­ge regeln und bereits im Rah­men der all­ge­mei­nen Fol­gen­ab­schät­zung im Zusam­men­hang mit dem Erlass die­ser Rechts­grund­la­ge eine Daten­schutz-Fol­gen­ab­schät­zung erfolg­te, gel­ten die Absät­ze 1 bis 7 nur, wenn es nach dem Ermes­sen der Mit­glied­staa­ten erfor­der­lich ist, vor den betref­fen­den Ver­ar­bei­tungs­tä­tig­kei­ten eine sol­che Fol­gen­ab­schät­zung durchzuführen.
(11) Erfor­der­li­chen­falls führt der Ver­ant­wort­li­che eine Über­prü­fung durch, um zu bewer­ten, ob die Ver­ar­bei­tung gemäß der Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt wird; dies gilt zumin­dest, wenn hin­sicht­lich des mit den Ver­ar­bei­tungs­vor­gän­gen ver­bun­de­nen Risi­kos Ände­run­gen ein­ge­tre­ten sind.
Erwä­gungs­grün­de
(84) Damit die­se Ver­ord­nung in Fäl­len, in denen die Ver­ar­bei­tungs­vor­gän­ge wahr­schein­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen mit sich brin­gen, bes­ser ein­ge­hal­ten wird, soll­te der Ver­ant­wort­li­che für die Durch­füh­rung einer Daten­schutz-Fol­gen­ab­schät­zung, mit der ins­be­son­de­re die Ursa­che, Art, Beson­der­heit und Schwe­re die­ses Risi­kos eva­lu­iert wer­den, ver­ant­wort­lich sein. Die Ergeb­nis­se der Abschät­zung soll­ten berück­sich­tigt wer­den, wenn dar­über ent­schie­den wird, wel­che geeig­ne­ten Maß­nah­men ergrif­fen wer­den müs­sen, um nach­zu­wei­sen, dass die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten mit die­ser Ver­ord­nung in Ein­klang steht. Geht aus einer Daten­schutz-Fol­gen­ab­schät­zung her­vor, dass Ver­ar­bei­tungs­vor­gän­ge ein hohes Risi­ko ber­gen, das der Ver­ant­wort­li­che nicht durch geeig­ne­te Maß­nah­men in Bezug auf ver­füg­ba­re Tech­nik und Imple­men­tie­rungs­ko­sten ein­däm­men kann, so soll­te die Auf­sichts­be­hör­de vor der Ver­ar­bei­tung kon­sul­tiert werden.
(89) Gemäß der Richt­li­nie 95/46/EG waren Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten bei den Auf­sichts­be­hör­den gene­rell mel­de­pflich­tig. Die­se Mel­de­pflicht ist mit einem büro­kra­ti­schen und finan­zi­el­len Auf­wand ver­bun­den und hat den­noch nicht in allen Fäl­len zu einem bes­se­ren Schutz per­so­nen­be­zo­ge­ner Daten geführt. Die­se unter­schieds­lo­sen all­ge­mei­nen Mel­de­pflich­ten soll­ten daher abge­schafft und durch wirk­sa­me Ver­fah­ren und Mecha­nis­men ersetzt wer­den, die sich statt­des­sen vor­ran­gig mit den­je­ni­gen Arten von Ver­ar­bei­tungs­vor­gän­gen befas­sen, die auf­grund ihrer Art, ihres Umfangs, ihrer Umstän­de und ihrer Zwecke wahr­schein­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen mit sich brin­gen. Zu sol­chen Arten von Ver­ar­bei­tungs­vor­gän­gen gehö­ren ins­be­son­de­re sol­che, bei denen neue Tech­no­lo­gien ein­ge­setzt wer­den oder die neu­ar­tig sind und bei denen der Ver­ant­wort­li­che noch kei­ne Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt hat bzw. bei denen auf­grund der seit der ursprüng­li­chen Ver­ar­bei­tung ver­gan­ge­nen Zeit eine Daten­schutz-Fol­gen­ab­schät­zung not­wen­dig gewor­den ist.
(90) In der­ar­ti­gen Fäl­len soll­te der Ver­ant­wort­li­che vor der Ver­ar­bei­tung eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren, mit der die spe­zi­fi­sche Ein­tritts­wahr­schein­lich­keit und die Schwe­re die­ses hohen Risi­kos unter Berück­sich­ti­gung der Art, des Umfangs, der Umstän­de und der Zwecke der Ver­ar­bei­tung und der Ursa­chen des Risi­kos bewer­tet wer­den. Die­se Fol­gen­ab­schät­zung soll­te sich ins­be­son­de­re mit den Maß­nah­men, Garan­tien und Ver­fah­ren befas­sen, durch die die­ses Risi­ko ein­ge­dämmt, der Schutz per­so­nen­be­zo­ge­ner Daten sicher­ge­stellt und die Ein­hal­tung der Bestim­mun­gen die­ser Ver­ord­nung nach­ge­wie­sen wer­den soll.
(91) Dies soll­te ins­be­son­de­re für umfang­rei­che Ver­ar­bei­tungs­vor­gän­ge gel­ten, die dazu die­nen, gro­ße Men­gen per­so­nen­be­zo­ge­ner Daten auf regio­na­ler, natio­na­ler oder supra­na­tio­na­ler Ebe­ne zu ver­ar­bei­ten, eine gro­ße Zahl von Per­so­nen betref­fen könn­ten und — bei­spiels­wei­se auf­grund ihrer Sen­si­bi­li­tät — wahr­schein­lich ein hohes Risi­ko mit sich brin­gen und bei denen ent­spre­chend dem jeweils aktu­el­len Stand der Tech­nik in gro­ßem Umfang eine neue Tech­no­lo­gie ein­ge­setzt wird, sowie für ande­re Ver­ar­bei­tungs­vor­gän­ge, die ein hohes Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen mit sich brin­gen, ins­be­son­de­re dann, wenn die­se Ver­ar­bei­tungs­vor­gän­ge den betrof­fe­nen Per­so­nen die Aus­übung ihrer Rech­te erschwe­ren. Eine Daten­schutz-Fol­gen­ab­schät­zung soll­te auch durch­ge­führt wer­den, wenn die per­so­nen­be­zo­ge­nen Daten für das Tref­fen von Ent­schei­dun­gen in Bezug auf bestimm­te natür­li­che Per­so­nen im Anschluss an eine syste­ma­ti­sche und ein­ge­hen­de Bewer­tung per­sön­li­cher Aspek­te natür­li­cher Per­so­nen auf der Grund­la­ge eines Pro­filings die­ser Daten oder im Anschluss an die Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten, bio­me­tri­schen Daten oder von Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten sowie damit zusam­men­hän­gen­de Siche­rungs­maß­re­geln ver­ar­bei­tet wer­den. Glei­cher­ma­ßen erfor­der­lich ist eine Daten­schutz-Fol­gen­ab­schät­zung für die weit­räu­mi­ge Über­wa­chung öffent­lich zugäng­li­cher Berei­che, ins­be­son­de­re mit­tels opto­elek­tro­ni­scher Vor­rich­tun­gen, oder für alle ande­ren Vor­gän­ge, bei denen nach Auf­fas­sung der zustän­di­gen Auf­sichts­be­hör­de die Ver­ar­bei­tung wahr­schein­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen mit sich bringt, ins­be­son­de­re weil sie die betrof­fe­nen Per­so­nen an der Aus­übung eines Rechts oder der Nut­zung einer Dienst­lei­stung bzw. Durch­füh­rung eines Ver­trags hin­dern oder weil sie syste­ma­tisch in gro­ßem Umfang erfol­gen. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten soll­te nicht als umfang­reich gel­ten, wenn die Ver­ar­bei­tung per­so­nen­be­zo­ge­ne Daten von Pati­en­ten oder von Man­dan­ten betrifft und durch einen ein­zel­nen Arzt, son­sti­gen Ange­hö­ri­gen eines Gesund­heits­be­ru­fes oder Rechts­an­walt erfolgt. In die­sen Fäl­len soll­te eine Daten­schutz-Fol­gen­ab­schät­zung nicht zwin­gend vor­ge­schrie­ben sein.
(92) Unter bestimm­ten Umstän­den kann es ver­nünf­tig und unter öko­no­mi­schen Gesichts­punk­ten zweck­mä­ßig sein, eine Daten­schutz-Fol­gen­ab­schät­zung nicht ledig­lich auf ein bestimm­tes Pro­jekt zu bezie­hen, son­dern sie the­ma­tisch brei­ter anzu­le­gen — bei­spiels­wei­se wenn Behör­den oder öffent­li­che Stel­len eine gemein­sa­me Anwen­dung oder Ver­ar­bei­tungs­platt­form schaf­fen möch­ten oder wenn meh­re­re Ver­ant­wort­li­che eine gemein­sa­me Anwen­dung oder Ver­ar­bei­tungs­um­ge­bung für einen gesam­ten Wirt­schafts­sek­tor, für ein bestimm­tes Markt­seg­ment oder für eine weit ver­brei­te­te hori­zon­ta­le Tätig­keit ein­füh­ren möchten.
(93) Anläss­lich des Erlas­ses des Geset­zes des Mit­glied­staats, auf des­sen Grund­la­ge die Behör­de oder öffent­li­che Stel­le ihre Auf­ga­ben wahr­nimmt und das den frag­li­chen Ver­ar­bei­tungs­vor­gang oder die frag­li­chen Arten von Ver­ar­bei­tungs­vor­gän­gen regelt, kön­nen die Mit­glied­staa­ten es für erfor­der­lich erach­ten, sol­che Fol­ge­ab­schät­zun­gen vor den Ver­ar­bei­tungs­vor­gän­gen durchzuführen.

Arti­kel 36 Vor­he­ri­ge Konsultation

(1) Der Ver­ant­wort­li­che kon­sul­tiert vor der Ver­ar­bei­tung die Auf­sichts­be­hör­de, wenn aus einer Daten­schutz-Fol­gen­ab­schät­zung gemäß Arti­kel 35 her­vor­geht, dass die Ver­ar­bei­tung ein hohes Risi­ko zur Fol­ge hät­te, sofern der Ver­ant­wort­li­che kei­ne Maß­nah­men zur Ein­däm­mung des Risi­kos trifft.
(2) Falls die Auf­sichts­be­hör­de der Auf­fas­sung ist, dass die geplan­te Ver­ar­bei­tung gemäß Absatz 1 nicht im Ein­klang mit die­ser Ver­ord­nung stün­de, ins­be­son­de­re weil der Ver­ant­wort­li­che das Risi­ko nicht aus­rei­chend ermit­telt oder nicht aus­rei­chend ein­ge­dämmt hat, unter­brei­tet sie dem Ver­ant­wort­li­chen und gege­be­nen­falls dem Auf­trags­ver­ar­bei­ter inner­halb eines Zeit­raums von bis zu acht Wochen nach Erhalt des Ersu­chens um Kon­sul­ta­ti­on ent­spre­chen­de schrift­li­che Emp­feh­lun­gen und kann ihre in Arti­kel 58 genann­ten Befug­nis­se aus­üben. 2 Die­se Frist kann unter Berück­sich­ti­gung der Kom­ple­xi­tät der geplan­ten Ver­ar­bei­tung um sechs Wochen ver­län­gert wer­den. 3 Die Auf­sichts­be­hör­de unter­rich­tet den Ver­ant­wort­li­chen oder gege­be­nen­falls den Auf­trags­ver­ar­bei­ter über eine sol­che Frist­ver­län­ge­rung inner­halb eines Monats nach Ein­gang des Antrags auf Kon­sul­ta­ti­on zusam­men mit den Grün­den für die Ver­zö­ge­rung. 4 Die­se Fri­sten kön­nen aus­ge­setzt wer­den, bis die Auf­sichts­be­hör­de die für die Zwecke der Kon­sul­ta­ti­on ange­for­der­ten Infor­ma­tio­nen erhal­ten hat.
(3) Der Ver­ant­wort­li­che stellt der Auf­sichts­be­hör­de bei einer Kon­sul­ta­ti­on gemäß Absatz 1 fol­gen­de Infor­ma­tio­nen zur Verfügung:
a) gege­be­nen­falls Anga­ben zu den jewei­li­gen Zustän­dig­kei­ten des Ver­ant­wort­li­chen, der gemein­sam Ver­ant­wort­li­chen und der an der Ver­ar­bei­tung betei­lig­ten Auf­trags­ver­ar­bei­ter, ins­be­son­de­re bei einer Ver­ar­bei­tung inner­halb einer Grup­pe von Unternehmen;
b) die Zwecke und die Mit­tel der beab­sich­tig­ten Verarbeitung;
c) die zum Schutz der Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen gemäß die­ser Ver­ord­nung vor­ge­se­he­nen Maß­nah­men und Garantien;
d) gege­be­nen­falls die Kon­takt­da­ten des Datenschutzbeauftragten;
e) die Daten­schutz-Fol­gen­ab­schät­zung gemäß Arti­kel 35 und
f) alle son­sti­gen von der Auf­sichts­be­hör­de ange­for­der­ten Informationen.
(4) Die Mit­glied­staa­ten kon­sul­tie­ren die Auf­sichts­be­hör­de bei der Aus­ar­bei­tung eines Vor­schlags für von einem natio­na­len Par­la­ment zu erlas­sen­de Gesetz­ge­bungs­maß­nah­men oder von auf sol­chen Gesetz­ge­bungs­maß­nah­men basie­ren­den Rege­lungs­maß­nah­men, die die Ver­ar­bei­tung betreffen.
(5) Unge­ach­tet des Absat­zes 1 kön­nen Ver­ant­wort­li­che durch das Recht der Mit­glied­staa­ten ver­pflich­tet wer­den, bei der Ver­ar­bei­tung zur Erfül­lung einer im öffent­li­chen Inter­es­se lie­gen­den Auf­ga­be, ein­schließ­lich der Ver­ar­bei­tung zu Zwecken der sozia­len Sicher­heit und der öffent­li­chen Gesund­heit, die Auf­sichts­be­hör­de zu kon­sul­tie­ren und deren vor­he­ri­ge Geneh­mi­gung einzuholen.
Erwä­gungs­grün­de
(94) Geht aus einer Daten­schutz-Fol­gen­ab­schät­zung her­vor, dass die Ver­ar­bei­tung bei Feh­len von Garan­tien, Sicher­heits­vor­keh­run­gen und Mecha­nis­men zur Min­de­rung des Risi­kos ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen mit sich brin­gen wür­de, und ist der Ver­ant­wort­li­che der Auf­fas­sung, dass das Risi­ko nicht durch in Bezug auf ver­füg­ba­re Tech­no­lo­gien und Imple­men­tie­rungs­ko­sten ver­tret­ba­re Mit­tel ein­ge­dämmt wer­den kann, so soll­te die Auf­sichts­be­hör­de vor Beginn der Ver­ar­bei­tungs­tä­tig­kei­ten kon­sul­tiert wer­den. Ein sol­ches hohes Risi­ko ist wahr­schein­lich mit bestimm­ten Arten der Ver­ar­bei­tung und dem Umfang und der Häu­fig­keit der Ver­ar­bei­tung ver­bun­den, die für natür­li­che Per­so­nen auch eine Schä­di­gung oder eine Beein­träch­ti­gung der per­sön­li­chen Rech­te und Frei­hei­ten mit sich brin­gen kön­nen. Die Auf­sichts­be­hör­de soll­te das Bera­tungs­er­su­chen inner­halb einer bestimm­ten Frist beant­wor­ten. Aller­dings kann sie, auch wenn sie nicht inner­halb die­ser Frist reagiert hat, ent­spre­chend ihren in die­ser Ver­ord­nung fest­ge­leg­ten Auf­ga­ben und Befug­nis­sen ein­grei­fen, was die Befug­nis ein­schließt, Ver­ar­bei­tungs­vor­gän­ge zu unter­sa­gen. Im Rah­men die­ses Kon­sul­ta­ti­ons­pro­zes­ses kann das Ergeb­nis einer im Hin­blick auf die betref­fen­de Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch­ge­führ­ten Daten­schutz-Fol­gen­ab­schät­zung der Auf­sichts­be­hör­de unter­brei­tet wer­den; dies gilt ins­be­son­de­re für die zur Ein­däm­mung des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen geplan­ten Maßnahmen.
(96) Eine Kon­sul­ta­ti­on der Auf­sichts­be­hör­de soll­te auch wäh­rend der Aus­ar­bei­tung von Geset­zes- oder Rege­lungs­vor­schrif­ten, in denen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten vor­ge­se­hen ist, erfol­gen, um die Ver­ein­bar­keit der geplan­ten Ver­ar­bei­tung mit die­ser Ver­ord­nung sicher­zu­stel­len und ins­be­son­de­re das mit ihr für die betrof­fe­ne Per­son ver­bun­de­ne Risi­ko einzudämmen.

Abschnitt 4 Datenschutzbeauftragter

Arti­kel 37 Benen­nung eines Datenschutzbeauftragten

(1) Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter benen­nen auf jeden Fall einen Daten­schutz­be­auf­trag­ten, wenn
a) die Ver­ar­bei­tung von einer Behör­de oder öffent­li­chen Stel­le durch­ge­führt wird, mit Aus­nah­me von Gerich­ten, soweit sie im Rah­men ihrer justi­zi­el­len Tätig­keit handeln,
b) die Kern­tä­tig­keit des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters in der Durch­füh­rung von Ver­ar­bei­tungs­vor­gän­gen besteht, wel­che auf­grund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfang­rei­che regel­mä­ßi­ge und syste­ma­ti­sche Über­wa­chung von betrof­fe­nen Per­so­nen erfor­der­lich machen, oder
c) die Kern­tä­tig­keit des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters in der umfang­rei­chen Ver­ar­bei­tung beson­de­rer Kate­go­rien von Daten gemäß Arti­kel 9 oder von per­so­nen­be­zo­ge­nen Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten gemäß Arti­kel 10 besteht.
(2) Eine Unter­neh­mens­grup­pe darf einen gemein­sa­men Daten­schutz­be­auf­trag­ten ernen­nen, sofern von jeder Nie­der­las­sung aus der Daten­schutz­be­auf­trag­te leicht erreicht wer­den kann.
(3) Falls es sich bei dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter um eine Behör­de oder öffent­li­che Stel­le han­delt, kann für meh­re­re sol­cher Behör­den oder Stel­len unter Berück­sich­ti­gung ihrer Orga­ni­sa­ti­ons­struk­tur und ihrer Grö­ße ein gemein­sa­mer Daten­schutz­be­auf­trag­ter benannt werden.
(4) In ande­ren als den in Absatz 1 genann­ten Fäl­len kön­nen der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter oder Ver­bän­de und ande­re Ver­ei­ni­gun­gen, die Kate­go­rien von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern ver­tre­ten, einen Daten­schutz­be­auf­trag­ten benen­nen; falls dies nach dem Recht der Uni­on oder der Mit­glied­staa­ten vor­ge­schrie­ben ist, müs­sen sie einen sol­chen benen­nen. Der Daten­schutz­be­auf­trag­te kann für der­ar­ti­ge Ver­bän­de und ande­re Ver­ei­ni­gun­gen, die Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter ver­tre­ten, handeln.
(5) Der Daten­schutz­be­auf­trag­te wird auf der Grund­la­ge sei­ner beruf­li­chen Qua­li­fi­ka­ti­on und ins­be­son­de­re des Fach­wis­sens benannt, das er auf dem Gebiet des Daten­schutz­rechts und der Daten­schutz­pra­xis besitzt, sowie auf der Grund­la­ge sei­ner Fähig­keit zur Erfül­lung der in Arti­kel 39 genann­ten Aufgaben.
(6) Der Daten­schutz­be­auf­trag­te kann Beschäf­tig­ter des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters sein oder sei­ne Auf­ga­ben auf der Grund­la­ge eines Dienst­lei­stungs­ver­trags erfüllen.
(7) Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter ver­öf­fent­licht die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten und teilt die­se Daten der Auf­sichts­be­hör­de mit.
Erwä­gungs­grün­de
(97) In Fäl­len, in denen die Ver­ar­bei­tung durch eine Behör­de — mit Aus­nah­men von Gerich­ten oder unab­hän­gi­gen Justiz­be­hör­den, die im Rah­men ihrer justi­zi­el­len Tätig­keit han­deln –, im pri­va­ten Sek­tor durch einen Ver­ant­wort­li­chen erfolgt, des­sen Kern­tä­tig­keit in Ver­ar­bei­tungs­vor­gän­gen besteht, die eine regel­mä­ßi­ge und syste­ma­ti­sche Über­wa­chung der betrof­fe­nen Per­so­nen in gro­ßem Umfang erfor­dern, oder wenn die Kern­tä­tig­keit des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters in der umfang­rei­chen Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten oder von Daten über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten besteht, soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter bei der Über­wa­chung der inter­nen Ein­hal­tung der Bestim­mun­gen die­ser Ver­ord­nung von einer wei­te­ren Per­son, die über Fach­wis­sen auf dem Gebiet des Daten­schutz­rechts und der Daten­schutz­ver­fah­ren ver­fügt, unter­stützt wer­den. Im pri­va­ten Sek­tor bezieht sich die Kern­tä­tig­keit eines Ver­ant­wort­li­chen auf sei­ne Haupt­tä­tig­kei­ten und nicht auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten als Neben­tä­tig­keit. Das erfor­der­li­che Niveau des Fach­wis­sens soll­te sich ins­be­son­de­re nach den durch­ge­führ­ten Daten­ver­ar­bei­tungs­vor­gän­gen und dem erfor­der­li­chen Schutz für die von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten rich­ten. Der­ar­ti­ge Daten­schutz­be­auf­trag­te soll­ten unab­hän­gig davon, ob es sich bei ihnen um Beschäf­tig­te des Ver­ant­wort­li­chen han­delt oder nicht, ihre Pflich­ten und Auf­ga­ben in voll­stän­di­ger Unab­hän­gig­keit aus­üben können.

Arti­kel 38 Stel­lung des Datenschutzbeauftragten

(1) Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter stel­len sicher, dass der Daten­schutz­be­auf­trag­te ord­nungs­ge­mäß und früh­zei­tig in alle mit dem Schutz per­so­nen­be­zo­ge­ner Daten zusam­men­hän­gen­den Fra­gen ein­ge­bun­den wird.
(2) Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­stüt­zen den Daten­schutz­be­auf­trag­ten bei der Erfül­lung sei­ner Auf­ga­ben gemäß Arti­kel 39, indem sie die für die Erfül­lung die­ser Auf­ga­ben erfor­der­li­chen Res­sour­cen und den Zugang zu per­so­nen­be­zo­ge­nen Daten und Ver­ar­bei­tungs­vor­gän­gen sowie die zur Erhal­tung sei­nes Fach­wis­sens erfor­der­li­chen Res­sour­cen zur Ver­fü­gung stellen.
(3) Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter stel­len sicher, dass der Daten­schutz­be­auf­trag­te bei der Erfül­lung sei­ner Auf­ga­ben kei­ne Anwei­sun­gen bezüg­lich der Aus­übung die­ser Auf­ga­ben erhält. Der Daten­schutz­be­auf­trag­te darf von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter wegen der Erfül­lung sei­ner Auf­ga­ben nicht abbe­ru­fen oder benach­tei­ligt wer­den. Der Daten­schutz­be­auf­trag­te berich­tet unmit­tel­bar der höch­sten Manage­ment­ebe­ne des Ver­ant­wort­li­chen oder des Auftragsverarbeiters.
(4) Betrof­fe­ne Per­so­nen kön­nen den Daten­schutz­be­auf­trag­ten zu allen mit der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten und mit der Wahr­neh­mung ihrer Rech­te gemäß die­ser Ver­ord­nung im Zusam­men­hang ste­hen­den Fra­gen zu Rate ziehen.
(5) Der Daten­schutz­be­auf­trag­te ist nach dem Recht der Uni­on oder der Mit­glied­staa­ten bei der Erfül­lung sei­ner Auf­ga­ben an die Wah­rung der Geheim­hal­tung oder der Ver­trau­lich­keit gebunden.
(6) Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.

Arti­kel 39 Auf­ga­ben des Datenschutzbeauftragten

(1) Dem Daten­schutz­be­auf­trag­ten oblie­gen zumin­dest fol­gen­de Aufgaben:
a) Unter­rich­tung und Bera­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und der Beschäf­tig­ten, die Ver­ar­bei­tun­gen durch­füh­ren, hin­sicht­lich ihrer Pflich­ten nach die­ser Ver­ord­nung sowie nach son­sti­gen Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mitgliedstaaten;
b) Über­wa­chung der Ein­hal­tung die­ser Ver­ord­nung, ande­rer Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mit­glied­staa­ten sowie der Stra­te­gien des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Zuwei­sung von Zustän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen betei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen Überprüfungen;
c) Bera­tung – auf Anfra­ge – im Zusam­men­hang mit der Daten­schutz-Fol­gen­ab­schät­zung und Über­wa­chung ihrer Durch­füh­rung gemäß Arti­kel 35;
d) Zusam­men­ar­beit mit der Aufsichtsbehörde;
e) Tätig­keit als Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen, ein­schließ­lich der vor­he­ri­gen Kon­sul­ta­ti­on gemäß Arti­kel 36, und gege­be­nen­falls Bera­tung zu allen son­sti­gen Fragen.
(2) Der Daten­schutz­be­auf­trag­te trägt bei der Erfül­lung sei­ner Auf­ga­ben dem mit den Ver­ar­bei­tungs­vor­gän­gen ver­bun­de­nen Risi­ko gebüh­rend Rech­nung, wobei er die Art, den Umfang, die Umstän­de und die Zwecke der Ver­ar­bei­tung berücksichtigt.

Abschnitt 5 Ver­hal­tens­re­geln und Zertifizierung

Arti­kel 40 Verhaltensregeln

(1) Die Mit­glied­staa­ten, die Auf­sichts­be­hör­den, der Aus­schuss und die Kom­mis­si­on för­dern die Aus­ar­bei­tung von Ver­hal­tens­re­geln, die nach Maß­ga­be der Beson­der­hei­ten der ein­zel­nen Ver­ar­bei­tungs­be­rei­che und der beson­de­ren Bedürf­nis­se von Kleinst­un­ter­neh­men sowie klei­nen und mitt­le­ren Unter­neh­men zur ord­nungs­ge­mä­ßen Anwen­dung die­ser Ver­ord­nung bei­tra­gen sollen.
(2) Ver­bän­de und ande­re Ver­ei­ni­gun­gen, die Kate­go­rien von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern ver­tre­ten, kön­nen Ver­hal­tens­re­geln aus­ar­bei­ten oder ändern oder erwei­tern, mit denen die Anwen­dung die­ser Ver­ord­nung bei­spiels­wei­se zu dem Fol­gen­den prä­zi­siert wird:
a) fai­re und trans­pa­ren­te Verarbeitung;
b) die berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen in bestimm­ten Zusammenhängen;
c) Erhe­bung per­so­nen­be­zo­ge­ner Daten;
d) Pseud­ony­mi­sie­rung per­so­nen­be­zo­ge­ner Daten;
e) Unter­rich­tung der Öffent­lich­keit und der betrof­fe­nen Personen;
f) Aus­übung der Rech­te betrof­fe­ner Personen;
g) Unter­rich­tung und Schutz von Kin­dern und Art und Wei­se, in der die Ein­wil­li­gung des Trä­gers der elter­li­chen Ver­ant­wor­tung für das Kind ein­zu­ho­len ist;
h) die Maß­nah­men und Ver­fah­ren gemäß den Arti­keln 24 und 25 und die Maß­nah­men für die Sicher­heit der Ver­ar­bei­tung gemäß Arti­kel 32;
i) die Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten an Auf­sichts­be­hör­den und die Benach­rich­ti­gung der betrof­fe­nen Per­son von sol­chen Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten;
j) die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder an inter­na­tio­na­le Orga­ni­sa­tio­nen oder
k) außer­ge­richt­li­che Ver­fah­ren und son­sti­ge Streit­bei­le­gungs­ver­fah­ren zur Bei­le­gung von Strei­tig­kei­ten zwi­schen Ver­ant­wort­li­chen und betrof­fe­nen Per­so­nen im Zusam­men­hang mit der Ver­ar­bei­tung, unbe­scha­det der Rech­te betrof­fe­ner Per­so­nen gemäß den Arti­keln 77 und 79.
(3) Zusätz­lich zur Ein­hal­tung durch die unter die­se Ver­ord­nung fal­len­den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter kön­nen Ver­hal­tens­re­geln, die gemäß Absatz 5 des vor­lie­gen­den Arti­kels geneh­migt wur­den und gemäß Absatz 9 des vor­lie­gen­den Arti­kels all­ge­mei­ne Gül­tig­keit besit­zen, auch von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern, die gemäß Arti­kel 3 nicht unter die­se Ver­ord­nung fal­len, ein­ge­hal­ten wer­den, um geeig­ne­te Garan­tien im Rah­men der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen nach Maß­ga­be des Arti­kels 46 Absatz 2 Buch­sta­be e zu bie­ten. Die­se Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter gehen mit­tels ver­trag­li­cher oder son­sti­ger recht­lich bin­den­der Instru­men­te die ver­bind­li­che und durch­setz­ba­re Ver­pflich­tung ein, die geeig­ne­ten Garan­tien anzu­wen­den, auch im Hin­blick auf die Rech­te der betrof­fe­nen Personen.
(4) Die Ver­hal­tens­re­geln gemäß Absatz 2 des vor­lie­gen­den Arti­kels müs­sen Ver­fah­ren vor­se­hen, die es der in Arti­kel 41 Absatz 1 genann­ten Stel­le ermög­li­chen, die obli­ga­to­ri­sche Über­wa­chung der Ein­hal­tung ihrer Bestim­mun­gen durch die Ver­ant­wort­li­chen oder die Auf­trags­ver­ar­bei­ter, die sich zur Anwen­dung der Ver­hal­tens­re­geln ver­pflich­ten, vor­zu­neh­men, unbe­scha­det der Auf­ga­ben und Befug­nis­se der Auf­sichts­be­hör­de, die nach Arti­kel 55 oder 56 zustän­dig ist.
(5) Ver­bän­de und ande­re Ver­ei­ni­gun­gen gemäß Absatz 2 des vor­lie­gen­den Arti­kels, die beab­sich­ti­gen, Ver­hal­tens­re­geln aus­zu­ar­bei­ten oder bestehen­de Ver­hal­tens­re­geln zu ändern oder zu erwei­tern, legen den Ent­wurf der Ver­hal­tens­re­geln bzw. den Ent­wurf zu deren Ände­rung oder Erwei­te­rung der Auf­sichts­be­hör­de vor, die nach Arti­kel 55 zustän­dig ist. Die Auf­sichts­be­hör­de gibt eine Stel­lung­nah­me dar­über ab, ob der Ent­wurf der Ver­hal­tens­re­geln bzw. der Ent­wurf zu deren Ände­rung oder Erwei­te­rung mit die­ser Ver­ord­nung ver­ein­bar ist und geneh­migt die­sen Ent­wurf der Ver­hal­tens­re­geln bzw. den Ent­wurf zu deren Ände­rung oder Erwei­te­rung, wenn sie der Auf­fas­sung ist, dass er aus­rei­chen­de geeig­ne­te Garan­tien bietet.
(6) Wird durch die Stel­lung­nah­me nach Absatz 5 der Ent­wurf der Ver­hal­tens­re­geln bzw. der Ent­wurf zu deren Ände­rung oder Erwei­te­rung geneh­migt und bezie­hen sich die betref­fen­den Ver­hal­tens­re­geln nicht auf Ver­ar­bei­tungs­tä­tig­kei­ten in meh­re­ren Mit­glied­staa­ten, so nimmt die Auf­sichts­be­hör­de die Ver­hal­tens­re­geln in ein Ver­zeich­nis auf und ver­öf­fent­licht sie.
(7) Bezieht sich der Ent­wurf der Ver­hal­tens­re­geln auf Ver­ar­bei­tungs­tä­tig­kei­ten in meh­re­ren Mit­glied­staa­ten, so legt die nach Arti­kel 55 zustän­di­ge Auf­sichts­be­hör­de — bevor sie den Ent­wurf der Ver­hal­tens­re­geln bzw. den Ent­wurf zu deren Ände­rung oder Erwei­te­rung geneh­migt — ihn nach dem Ver­fah­ren gemäß Arti­kel 63 dem Aus­schuss vor, der zu der Fra­ge Stel­lung nimmt, ob der Ent­wurf der Ver­hal­tens­re­geln bzw. der Ent­wurf zu deren Ände­rung oder Erwei­te­rung mit die­ser Ver­ord­nung ver­ein­bar ist oder — im Fall nach Absatz 3 die­ses Arti­kels — geeig­ne­te Garan­tien vorsieht.
(8) Wird durch die Stel­lung­nah­me nach Absatz 7 bestä­tigt, dass der Ent­wurf der Ver­hal­tens­re­geln bzw. der Ent­wurf zu deren Ände­rung oder Erwei­te­rung mit die­ser Ver­ord­nung ver­ein­bar ist oder — im Fall nach Absatz 3 — geeig­ne­te Garan­tien vor­sieht, so über­mit­telt der Aus­schuss sei­ne Stel­lung­nah­me der Kommission.
(9) Die Kom­mis­si­on kann im Wege von Durch­füh­rungs­rechts­ak­ten beschlie­ßen, dass die ihr gemäß Absatz 8 über­mit­tel­ten geneh­mig­ten Ver­hal­tens­re­geln bzw. deren geneh­mig­te Ände­rung oder Erwei­te­rung all­ge­mei­ne Gül­tig­keit in der Uni­on besit­zen. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem Prüf­ver­fah­ren nach Arti­kel 93 Absatz 2 erlassen.
(10) Die Kom­mis­si­on trägt dafür Sor­ge, dass die geneh­mig­ten Ver­hal­tens­re­geln, denen gemäß Absatz 9 all­ge­mei­ne Gül­tig­keit zuer­kannt wur­de, in geeig­ne­ter Wei­se ver­öf­fent­licht werden.
(11) Der Aus­schuss nimmt alle geneh­mig­ten Ver­hal­tens­re­geln bzw. deren geneh­mig­te Ände­run­gen oder Erwei­te­run­gen in ein Regi­ster auf und ver­öf­fent­licht sie in geeig­ne­ter Weise.
Erwä­gungs­grün­de
(98) Ver­bän­de oder ande­re Ver­ei­ni­gun­gen, die bestimm­te Kate­go­rien von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern ver­tre­ten, soll­ten ermu­tigt wer­den, in den Gren­zen die­ser Ver­ord­nung Ver­hal­tens­re­geln aus­zu­ar­bei­ten, um eine wirk­sa­me Anwen­dung die­ser Ver­ord­nung zu erleich­tern, wobei den Beson­der­hei­ten der in bestimm­ten Sek­to­ren erfol­gen­den Ver­ar­bei­tun­gen und den beson­de­ren Bedürf­nis­sen der Kleinst­un­ter­neh­men sowie der klei­nen und mitt­le­ren Unter­neh­men Rech­nung zu tra­gen ist. Ins­be­son­de­re könn­ten in die­sen Ver­hal­tens­re­geln — unter Berück­sich­ti­gung des mit der Ver­ar­bei­tung wahr­schein­lich ein­her­ge­hen­den Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen — die Pflich­ten der Ver­ant­wort­li­chen und der Auf­trags­ver­ar­bei­ter bestimmt werden.
(99) Bei der Aus­ar­bei­tung oder bei der Ände­rung oder Erwei­te­rung sol­cher Ver­hal­tens­re­geln soll­ten Ver­bän­de und oder ande­re Ver­ei­ni­gun­gen, die bestimm­te Kate­go­rien von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern ver­tre­ten, die maß­geb­li­chen Inter­es­sen­trä­ger, mög­lichst auch die betrof­fe­nen Per­so­nen, kon­sul­tie­ren und die Ein­ga­ben und Stel­lung­nah­men, die sie dabei erhal­ten, berücksichtigen.

Arti­kel 41 Über­wa­chung der geneh­mig­ten Verhaltensregeln

(1) Unbe­scha­det der Auf­ga­ben und Befug­nis­se der zustän­di­gen Auf­sichts­be­hör­de gemäß den Arti­keln 57 und 58 kann die Über­wa­chung der Ein­hal­tung von Ver­hal­tens­re­geln gemäß Arti­kel 40 von einer Stel­le durch­ge­führt wer­den, die über das geeig­ne­te Fach­wis­sen hin­sicht­lich des Gegen­stands der Ver­hal­tens­re­geln ver­fügt und die von der zustän­di­gen Auf­sichts­be­hör­de zu die­sem Zweck akkre­di­tiert wurde.
(2) Eine Stel­le gemäß Absatz 1 kann zum Zwecke der Über­wa­chung der Ein­hal­tung von Ver­hal­tens­re­geln akkre­di­tiert wer­den, wenn sie
a) ihre Unab­hän­gig­keit und ihr Fach­wis­sen hin­sicht­lich des Gegen­stands der Ver­hal­tens­re­geln zur Zufrie­den­heit der zustän­di­gen Auf­sichts­be­hör­de nach­ge­wie­sen hat;
b) Ver­fah­ren fest­ge­legt hat, die es ihr ermög­li­chen, zu bewer­ten, ob Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter die Ver­hal­tens­re­geln anwen­den kön­nen, die Ein­hal­tung der Ver­hal­tens­re­geln durch die Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­ter zu über­wa­chen und die Anwen­dung der Ver­hal­tens­re­geln regel­mä­ßig zu überprüfen;
c) Ver­fah­ren und Struk­tu­ren fest­ge­legt hat, mit denen sie Beschwer­den über Ver­let­zun­gen der Ver­hal­tens­re­geln oder über die Art und Wei­se, in der die Ver­hal­tens­re­geln von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter ange­wen­det wer­den oder wur­den, nach­geht und die­se Ver­fah­ren und Struk­tu­ren für betrof­fe­ne Per­so­nen und die Öffent­lich­keit trans­pa­rent macht, und
d) zur Zufrie­den­heit der zustän­di­gen Auf­sichts­be­hör­de nach­ge­wie­sen hat, dass ihre Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.
(3) Die zustän­di­ge Auf­sichts­be­hör­de über­mit­telt den Ent­wurf der Kri­te­ri­en für die Akkre­di­tie­rung einer Stel­le nach Absatz 1 gemäß dem Kohä­renz­ver­fah­ren nach Arti­kel 63 an den Ausschuss.
(4) Unbe­scha­det der Auf­ga­ben und Befug­nis­se der zustän­di­gen Auf­sichts­be­hör­de und der Bestim­mun­gen des Kapi­tels VIII ergreift eine Stel­le gemäß Absatz 1 vor­be­halt­lich geeig­ne­ter Garan­tien im Fal­le einer Ver­let­zung der Ver­hal­tens­re­geln durch einen Ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter geeig­ne­te Maß­nah­men, ein­schließ­lich eines vor­läu­fi­gen oder end­gül­ti­gen Aus­schlus­ses des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters von den Ver­hal­tens­re­geln. Sie unter­rich­tet die zustän­di­ge Auf­sichts­be­hör­de über sol­che Maß­nah­men und deren Begründung.
(5) Die zustän­di­ge Auf­sichts­be­hör­de wider­ruft die Akkre­di­tie­rung einer Stel­le gemäß Absatz 1, wenn die Vor­aus­set­zun­gen für ihre Akkre­di­tie­rung nicht oder nicht mehr erfüllt sind oder wenn die Stel­le Maß­nah­men ergreift, die nicht mit die­ser Ver­ord­nung ver­ein­bar sind.
(6) Die­ser Arti­kel gilt nicht für die Ver­ar­bei­tung durch Behör­den oder öffent­li­che Stellen.

Arti­kel 42 Zertifizierung

(1) Die Mit­glied­staa­ten, die Auf­sichts­be­hör­den, der Aus­schuss und die Kom­mis­si­on för­dern ins­be­son­de­re auf Uni­ons­ebe­ne die Ein­füh­rung von daten­schutz­spe­zi­fi­schen Zer­ti­fi­zie­rungs­ver­fah­ren sowie von Daten­schutz­sie­geln und ‑prüf­zei­chen, die dazu die­nen, nach­zu­wei­sen, dass die­se Ver­ord­nung bei Ver­ar­bei­tungs­vor­gän­gen von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern ein­ge­hal­ten wird. Den beson­de­ren Bedürf­nis­sen von Kleinst­un­ter­neh­men sowie klei­nen und mitt­le­ren Unter­neh­men wird Rech­nung getragen.
(2) Zusätz­lich zur Ein­hal­tung durch die unter die­se Ver­ord­nung fal­len­den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter kön­nen auch daten­schutz­spe­zi­fi­sche Zer­ti­fi­zie­rungs­ver­fah­ren, Sie­gel oder Prüf­zei­chen, die gemäß Absatz 5 des vor­lie­gen­den Arti­kels geneh­migt wor­den sind, vor­ge­se­hen wer­den, um nach­zu­wei­sen, dass die Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, die gemäß Arti­kel 3 nicht unter die­se Ver­ord­nung fal­len, im Rah­men der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen nach Maß­ga­be von Arti­kel 46 Absatz 2 Buch­sta­be f geeig­ne­te Garan­tien bie­ten. Die­se Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter gehen mit­tels ver­trag­li­cher oder son­sti­ger recht­lich bin­den­der Instru­men­te die ver­bind­li­che und durch­setz­ba­re Ver­pflich­tung ein, die­se geeig­ne­ten Garan­tien anzu­wen­den, auch im Hin­blick auf die Rech­te der betrof­fe­nen Personen.
(3) Die Zer­ti­fi­zie­rung muss frei­wil­lig und über ein trans­pa­ren­tes Ver­fah­ren zugäng­lich sein.
(4) Eine Zer­ti­fi­zie­rung gemäß die­sem Arti­kel min­dert nicht die Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für die Ein­hal­tung die­ser Ver­ord­nung und berührt nicht die Auf­ga­ben und Befug­nis­se der Auf­sichts­be­hör­den, die gemäß Arti­kel 55 oder 56 zustän­dig sind.
(5) Eine Zer­ti­fi­zie­rung nach die­sem Arti­kel wird durch die Zer­ti­fi­zie­rungs­stel­len nach Arti­kel 43 oder durch die zustän­di­ge Auf­sichts­be­hör­de anhand der von die­ser zustän­di­gen Auf­sichts­be­hör­de gemäß Arti­kel 58 Absatz 3 oder — gemäß Arti­kel 63 — durch den Aus­schuss geneh­mig­ten Kri­te­ri­en erteilt. Wer­den die Kri­te­ri­en vom Aus­schuss geneh­migt, kann dies zu einer gemein­sa­men Zer­ti­fi­zie­rung, dem Euro­päi­schen Daten­schutz­sie­gel, führen.
(6) Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter, der die von ihm durch­ge­führ­te Ver­ar­bei­tung dem Zer­ti­fi­zie­rungs­ver­fah­ren unter­wirft, stellt der Zer­ti­fi­zie­rungs­stel­le nach Arti­kel 43 oder gege­be­nen­falls der zustän­di­gen Auf­sichts­be­hör­de alle für die Durch­füh­rung des Zer­ti­fi­zie­rungs­ver­fah­rens erfor­der­li­chen Infor­ma­tio­nen zur Ver­fü­gung und gewährt ihr den in die­sem Zusam­men­hang erfor­der­li­chen Zugang zu sei­nen Verarbeitungstätigkeiten.
(7) Die Zer­ti­fi­zie­rung wird einem Ver­ant­wort­li­chen oder einem Auf­trags­ver­ar­bei­ter für eine Höchst­dau­er von drei Jah­ren erteilt und kann unter den­sel­ben Bedin­gun­gen ver­län­gert wer­den, sofern die ein­schlä­gi­gen Vor­aus­set­zun­gen wei­ter­hin erfüllt wer­den. Die Zer­ti­fi­zie­rung wird gege­be­nen­falls durch die Zer­ti­fi­zie­rungs­stel­len nach Arti­kel 43 oder durch die zustän­di­ge Auf­sichts­be­hör­de wider­ru­fen, wenn die Vor­aus­set­zun­gen für die Zer­ti­fi­zie­rung nicht oder nicht mehr erfüllt werden.
(8) Der Aus­schuss nimmt alle Zer­ti­fi­zie­rungs­ver­fah­ren und Daten­schutz­sie­gel und ‑prüf­zei­chen in ein Regi­ster auf und ver­öf­fent­licht sie in geeig­ne­ter Weise.
Erwä­gungs­grün­de
(100) Um die Trans­pa­renz zu erhö­hen und die Ein­hal­tung die­ser Ver­ord­nung zu ver­bes­sern, soll­te ange­regt wer­den, dass Zer­ti­fi­zie­rungs­ver­fah­ren sowie Daten­schutz­sie­gel und ‑prüf­zei­chen ein­ge­führt wer­den, die den betrof­fe­nen Per­so­nen einen raschen Über­blick über das Daten­schutz­ni­veau ein­schlä­gi­ger Pro­duk­te und Dienst­lei­stun­gen ermöglichen.

Arti­kel 43 Zertifizierungsstellen

(1) Unbe­scha­det der Auf­ga­ben und Befug­nis­se der zustän­di­gen Auf­sichts­be­hör­de gemäß den Arti­keln 57 und 58 ertei­len oder ver­län­gern Zer­ti­fi­zie­rungs­stel­len, die über das geeig­ne­te Fach­wis­sen hin­sicht­lich des Daten­schut­zes ver­fü­gen, nach Unter­rich­tung der Auf­sichts­be­hör­de — damit die­se erfor­der­li­chen­falls von ihren Befug­nis­sen gemäß Arti­kel 58 Absatz 2 Buch­sta­be h Gebrauch machen kann — die Zer­ti­fi­zie­rung. Die Mit­glied­staa­ten stel­len sicher, dass die­se Zer­ti­fi­zie­rungs­stel­len von einer oder bei­den der fol­gen­den Stel­len akkre­di­tiert werden:
a) der gemäß Arti­kel 55 oder 56 zustän­di­gen Aufsichtsbehörde;
b) der natio­na­len Akkre­di­tie­rungs­stel­le, die gemäß der Ver­ord­nung (EG) Nr. 765/2008 des Euro­päi­schen Par­la­ments und des Rates (20) im Ein­klang mit EN-ISO/IEC 17065/2012 und mit den zusätz­li­chen von der gemäß Arti­kel 55 oder 56 zustän­di­gen Auf­sichts­be­hör­de fest­ge­leg­ten Anfor­de­run­gen benannt wurde.
(2) Zer­ti­fi­zie­rungs­stel­len nach Absatz 1 dür­fen nur dann gemäß dem genann­ten Absatz akkre­di­tiert wer­den, wenn sie
a) ihre Unab­hän­gig­keit und ihr Fach­wis­sen hin­sicht­lich des Gegen­stands der Zer­ti­fi­zie­rung zur Zufrie­den­heit der zustän­di­gen Auf­sichts­be­hör­de nach­ge­wie­sen haben;
b) sich ver­pflich­tet haben, die Kri­te­ri­en nach Arti­kel 42 Absatz 5, die von der gemäß Arti­kel 55 oder 56 zustän­di­gen Auf­sichts­be­hör­de oder — gemäß Arti­kel 63 — von dem Aus­schuss geneh­migt wur­den, einzuhalten;
c) Ver­fah­ren für die Ertei­lung, die regel­mä­ßi­ge Über­prü­fung und den Wider­ruf der Daten­schutz­zer­ti­fi­zie­rung sowie der Daten­schutz­sie­gel und ‑prüf­zei­chen fest­ge­legt haben;
d) Ver­fah­ren und Struk­tu­ren fest­ge­legt haben, mit denen sie Beschwer­den über Ver­let­zun­gen der Zer­ti­fi­zie­rung oder die Art und Wei­se, in der die Zer­ti­fi­zie­rung von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter umge­setzt wird oder wur­de, nach­ge­hen und die­se Ver­fah­ren und Struk­tu­ren für betrof­fe­ne Per­so­nen und die Öffent­lich­keit trans­pa­rent machen, und
e) zur Zufrie­den­heit der zustän­di­gen Auf­sichts­be­hör­de nach­ge­wie­sen haben, dass ihre Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.
(3) Die Akkre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len nach den Absät­zen 1 und 2 erfolgt anhand der Kri­te­ri­en, die von der gemäß Arti­kel 55 oder 56 zustän­di­gen Auf­sichts­be­hör­de oder — gemäß Arti­kel 63 — von dem Aus­schuss geneh­migt wur­den. Im Fall einer Akkre­di­tie­rung nach Absatz 1 Buch­sta­be b des vor­lie­gen­den Arti­kels ergän­zen die­se Anfor­de­run­gen die­je­ni­gen, die in der Ver­ord­nung (EG) Nr. 765/2008 und in den tech­ni­schen Vor­schrif­ten, in denen die Metho­den und Ver­fah­ren der Zer­ti­fi­zie­rungs­stel­len beschrie­ben wer­den, vor­ge­se­hen sind.
(4) Die Zer­ti­fi­zie­rungs­stel­len nach Absatz 1 sind unbe­scha­det der Ver­ant­wor­tung, die der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter für die Ein­hal­tung die­ser Ver­ord­nung hat, für die ange­mes­se­ne Bewer­tung, die der Zer­ti­fi­zie­rung oder dem Wider­ruf einer Zer­ti­fi­zie­rung zugrun­de liegt, ver­ant­wort­lich. Die Akkre­di­tie­rung wird für eine Höchst­dau­er von fünf Jah­ren erteilt und kann unter den­sel­ben Bedin­gun­gen ver­län­gert wer­den, sofern die Zer­ti­fi­zie­rungs­stel­le die Anfor­de­run­gen die­ses Arti­kels erfüllt.
(5) Die Zer­ti­fi­zie­rungs­stel­len nach Absatz 1 tei­len den zustän­di­gen Auf­sichts­be­hör­den die Grün­de für die Ertei­lung oder den Wider­ruf der bean­trag­ten Zer­ti­fi­zie­rung mit.
(6) Die Anfor­de­run­gen nach Absatz 3 des vor­lie­gen­den Arti­kels und die Kri­te­ri­en nach Arti­kel 42 Absatz 5 wer­den von der Auf­sichts­be­hör­de in leicht zugäng­li­cher Form ver­öf­fent­licht. Die Auf­sichts­be­hör­den über­mit­teln die­se Anfor­de­run­gen und Kri­te­ri­en auch dem Aus­schuss. Der Aus­schuss nimmt alle Zer­ti­fi­zie­rungs­ver­fah­ren und Daten­schutz­sie­gel in ein Regi­ster auf und ver­öf­fent­licht sie in geeig­ne­ter Weise.
(7) Unbe­scha­det des Kapi­tels VIII wider­ruft die zustän­di­ge Auf­sichts­be­hör­de oder die natio­na­le Akkre­di­tie­rungs­stel­le die Akkre­di­tie­rung einer Zer­ti­fi­zie­rungs­stel­le nach Absatz 1, wenn die Vor­aus­set­zun­gen für die Akkre­di­tie­rung nicht oder nicht mehr erfüllt sind oder wenn eine Zer­ti­fi­zie­rungs­stel­le Maß­nah­men ergreift, die nicht mit die­ser Ver­ord­nung ver­ein­bar sind.
(8) Der Kom­mis­si­on wird die Befug­nis über­tra­gen, gemäß Arti­kel 92 dele­gier­te Rechts­ak­te zu erlas­sen, um die Anfor­de­run­gen fest­zu­le­gen, die für die in Arti­kel 42 Absatz 1 genann­ten daten­schutz­spe­zi­fi­schen Zer­ti­fi­zie­rungs­ver­fah­ren zu berück­sich­ti­gen sind.
(9) Die Kom­mis­si­on kann Durch­füh­rungs­rechts­ak­te erlas­sen, mit denen tech­ni­sche Stan­dards für Zer­ti­fi­zie­rungs­ver­fah­ren und Daten­schutz­sie­gel und ‑prüf­zei­chen sowie Mecha­nis­men zur För­de­rung und Aner­ken­nung die­ser Zer­ti­fi­zie­rungs­ver­fah­ren und Daten­schutz­sie­gel und ‑prüf­zei­chen fest­ge­legt wer­den. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem in Arti­kel 93 Absatz 2 genann­ten Prüf­ver­fah­ren erlassen.

Kapi­tel V Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder an inter­na­tio­na­le Organisationen

Arti­kel 44 All­ge­mei­ne Grund­sät­ze der Datenübermittlung

Jed­we­de Über­mitt­lung per­so­nen­be­zo­ge­ner Daten, die bereits ver­ar­bei­tet wer­den oder nach ihrer Über­mitt­lung an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on ver­ar­bei­tet wer­den sol­len, ist nur zuläs­sig, wenn der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter die in die­sem Kapi­tel nie­der­ge­leg­ten Bedin­gun­gen ein­hal­ten und auch die son­sti­gen Bestim­mun­gen die­ser Ver­ord­nung ein­ge­hal­ten wer­den; dies gilt auch für die etwa­ige Wei­ter­über­mitt­lung per­so­nen­be­zo­ge­ner Daten durch das betref­fen­de Dritt­land oder die betref­fen­de inter­na­tio­na­le Orga­ni­sa­ti­on an ein ande­res Dritt­land oder eine ande­re inter­na­tio­na­le Orga­ni­sa­ti­on. Alle Bestim­mun­gen die­ses Kapi­tels sind anzu­wen­den, um sicher­zu­stel­len, dass das durch die­se Ver­ord­nung gewähr­lei­ste­te Schutz­ni­veau für natür­li­che Per­so­nen nicht unter­gra­ben wird.
Erwä­gungs­grün­de
(101) Der Fluss per­so­nen­be­zo­ge­ner Daten aus Dritt­län­dern und inter­na­tio­na­len Orga­ni­sa­tio­nen und in Dritt­län­der und inter­na­tio­na­le Orga­ni­sa­tio­nen ist für die Aus­wei­tung des inter­na­tio­na­len Han­dels und der inter­na­tio­na­len Zusam­men­ar­beit not­wen­dig. Durch die Zunah­me die­ser Daten­strö­me sind neue Her­aus­for­de­run­gen und Anfor­de­run­gen in Bezug auf den Schutz per­so­nen­be­zo­ge­ner Daten ent­stan­den. Das durch die­se Ver­ord­nung uni­ons­weit gewähr­lei­ste­te Schutz­ni­veau für natür­li­che Per­so­nen soll­te jedoch bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten aus der Uni­on an Ver­ant­wort­li­che, Auf­trags­ver­ar­bei­ter oder ande­re Emp­fän­ger in Dritt­län­dern oder an inter­na­tio­na­le Orga­ni­sa­tio­nen nicht unter­gra­ben wer­den, und zwar auch dann nicht, wenn aus einem Dritt­land oder von einer inter­na­tio­na­len Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten an Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter in dem­sel­ben oder einem ande­ren Dritt­land oder an die­sel­be oder eine ande­re inter­na­tio­na­le Orga­ni­sa­ti­on wei­ter­über­mit­telt wer­den. In jedem Fall sind der­ar­ti­ge Daten­über­mitt­lun­gen an Dritt­län­der und inter­na­tio­na­le Orga­ni­sa­tio­nen nur unter strik­ter Ein­hal­tung die­ser Ver­ord­nung zuläs­sig. Eine Daten­über­mitt­lung könn­te nur statt­fin­den, wenn die in die­ser Ver­ord­nung fest­ge­leg­ten Bedin­gun­gen zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen vor­be­halt­lich der übri­gen Bestim­mun­gen die­ser Ver­ord­nung von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter erfüllt werden.
(102) Inter­na­tio­na­le Abkom­men zwi­schen der Uni­on und Dritt­län­dern über die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten ein­schließ­lich geeig­ne­ter Garan­tien für die betrof­fe­nen Per­so­nen wer­den von die­ser Ver­ord­nung nicht berührt. Die Mit­glied­staa­ten kön­nen völ­ker­recht­li­che Über­ein­künf­te schlie­ßen, die die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen beinhal­ten, sofern sich die­se Über­ein­künf­te weder auf die­se Ver­ord­nung noch auf ande­re Bestim­mun­gen des Uni­ons­rechts aus­wir­ken und ein ange­mes­se­nes Schutz­ni­veau für die Grund­rech­te der betrof­fe­nen Per­so­nen umfassen.

Arti­kel 45 Daten­über­mitt­lung auf der Grund­la­ge eines Angemessenheitsbeschlusses

(1) Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on darf vor­ge­nom­men wer­den, wenn die Kom­mis­si­on beschlos­sen hat, dass das betref­fen­de Dritt­land, ein Gebiet oder ein oder meh­re­re spe­zi­fi­sche Sek­to­ren in die­sem Dritt­land oder die betref­fen­de inter­na­tio­na­le Orga­ni­sa­ti­on ein ange­mes­se­nes Schutz­ni­veau bie­tet. Eine sol­che Daten­über­mitt­lung bedarf kei­ner beson­de­ren Genehmigung.
(2) Bei der Prü­fung der Ange­mes­sen­heit des gebo­te­nen Schutz­ni­veaus berück­sich­tigt die Kom­mis­si­on ins­be­son­de­re das Folgende:
a) die Rechts­staat­lich­keit, die Ach­tung der Men­schen­rech­te und Grund­frei­hei­ten, die in dem betref­fen­den Land bzw. bei der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on gel­ten­den ein­schlä­gi­gen Rechts­vor­schrif­ten sowohl all­ge­mei­ner als auch sek­to­ra­ler Art — auch in Bezug auf öffent­li­che Sicher­heit, Ver­tei­di­gung, natio­na­le Sicher­heit und Straf­recht sowie Zugang der Behör­den zu per­so­nen­be­zo­ge­nen Daten — sowie die Anwen­dung die­ser Rechts­vor­schrif­ten, Daten­schutz­vor­schrif­ten, Berufs­re­geln und Sicher­heits­vor­schrif­ten ein­schließ­lich der Vor­schrif­ten für die Wei­ter­über­mitt­lung per­so­nen­be­zo­ge­ner Daten an ein ande­res Dritt­land bzw. eine ande­re inter­na­tio­na­le Orga­ni­sa­ti­on, die Recht­spre­chung sowie wirk­sa­me und durch­setz­ba­re Rech­te der betrof­fe­nen Per­son und wirk­sa­me ver­wal­tungs­recht­li­che und gericht­li­che Rechts­be­hel­fe für betrof­fe­ne Per­so­nen, deren per­so­nen­be­zo­ge­ne Daten über­mit­telt werden,
b) die Exi­stenz und die wirk­sa­me Funk­ti­ons­wei­se einer oder meh­re­rer unab­hän­gi­ger Auf­sichts­be­hör­den in dem betref­fen­den Dritt­land oder denen eine inter­na­tio­na­le Orga­ni­sa­ti­on unter­steht und die für die Ein­hal­tung und Durch­set­zung der Daten­schutz­vor­schrif­ten, ein­schließ­lich ange­mes­se­ner Durch­set­zungs­be­fug­nis­se, für die Unter­stüt­zung und Bera­tung der betrof­fe­nen Per­so­nen bei der Aus­übung ihrer Rech­te und für die Zusam­men­ar­beit mit den Auf­sichts­be­hör­den der Mit­glied­staa­ten zustän­dig sind, und
c) die von dem betref­fen­den Dritt­land bzw. der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on ein­ge­gan­ge­nen inter­na­tio­na­len Ver­pflich­tun­gen oder ande­re Ver­pflich­tun­gen, die sich aus rechts­ver­bind­li­chen Über­ein­künf­ten oder Instru­men­ten sowie aus der Teil­nah­me des Dritt­lands oder der inter­na­tio­na­len Orga­ni­sa­ti­on an mul­ti­la­te­ra­len oder regio­na­len Syste­men ins­be­son­de­re in Bezug auf den Schutz per­so­nen­be­zo­ge­ner Daten ergeben.
(3) Nach der Beur­tei­lung der Ange­mes­sen­heit des Schutz­ni­veaus kann die Kom­mis­si­on im Wege eines Durch­füh­rungs­rechts­ak­tes beschlie­ßen, dass ein Dritt­land, ein Gebiet oder ein oder meh­re­re spe­zi­fi­sche Sek­to­ren in einem Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on ein ange­mes­se­nes Schutz­ni­veau im Sin­ne des Absat­zes 2 des vor­lie­gen­den Arti­kels bie­ten. In dem Durch­füh­rungs­rechts­akt ist ein Mecha­nis­mus für eine regel­mä­ßi­ge Über­prü­fung, die min­de­stens alle vier Jah­re erfolgt, vor­zu­se­hen, bei der allen maß­geb­li­chen Ent­wick­lun­gen in dem Dritt­land oder bei der inter­na­tio­na­len Orga­ni­sa­ti­on Rech­nung getra­gen wird. Im Durch­füh­rungs­rechts­akt wer­den der ter­ri­to­ria­le und der sek­to­ra­le Anwen­dungs­be­reich sowie gege­be­nen­falls die in Absatz 2 Buch­sta­be b des vor­lie­gen­den Arti­kels genann­te Auf­sichts­be­hör­de bzw. genann­ten Auf­sichts­be­hör­den ange­ge­ben. Der Durch­füh­rungs­rechts­akt wird gemäß dem in Arti­kel 93 Absatz 2 genann­ten Prüf­ver­fah­ren erlassen.
(4) Die Kom­mis­si­on über­wacht fort­lau­fend die Ent­wick­lun­gen in Dritt­län­dern und bei inter­na­tio­na­len Orga­ni­sa­tio­nen, die die Wir­kungs­wei­se der nach Absatz 3 des vor­lie­gen­den Arti­kels erlas­se­nen Beschlüs­se und der nach Arti­kel 25 Absatz 6 der Richt­li­nie 95/46/EG erlas­se­nen Fest­stel­lun­gen beein­träch­ti­gen könnten.
(5) Die Kom­mis­si­on wider­ruft, ändert oder setzt die in Absatz 3 des vor­lie­gen­den Arti­kels genann­ten Beschlüs­se im Wege von Durch­füh­rungs­rechts­ak­ten aus, soweit dies nötig ist und ohne rück­wir­ken­de Kraft, soweit ent­spre­chen­de Infor­ma­tio­nen — ins­be­son­de­re im Anschluss an die in Absatz 3 des vor­lie­gen­den Arti­kels genann­te Über­prü­fung — dahin­ge­hend vor­lie­gen, dass ein Dritt­land, ein Gebiet oder ein oder meh­re­re spe­zi­fi­scher Sek­tor in einem Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on kein ange­mes­se­nes Schutz­ni­veau im Sin­ne des Absat­zes 2 des vor­lie­gen­den Arti­kels mehr gewähr­lei­stet. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem Prüf­ver­fah­ren nach Arti­kel 93 Absatz 2 erlassen.
In hin­rei­chend begrün­de­ten Fäl­len äußer­ster Dring­lich­keit erlässt die Kom­mis­si­on gemäß dem in Arti­kel 93 Absatz 3 genann­ten Ver­fah­ren sofort gel­ten­de Durch­füh­rungs­rechts­ak­te.
(6) Die Kom­mis­si­on nimmt Bera­tun­gen mit dem betref­fen­den Dritt­land bzw. der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on auf, um Abhil­fe für die Situa­ti­on zu schaf­fen, die zu dem gemäß Absatz 5 erlas­se­nen Beschluss geführt hat.
(7) Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an das betref­fen­de Dritt­land, das Gebiet oder einen oder meh­re­re spe­zi­fi­sche Sek­to­ren in die­sem Dritt­land oder an die betref­fen­de inter­na­tio­na­le Orga­ni­sa­ti­on gemäß den Arti­keln 46 bis 49 wer­den durch einen Beschluss nach Absatz 5 des vor­lie­gen­den Arti­kels nicht berührt.
(8) Die Kom­mis­si­on ver­öf­fent­licht im Amts­blatt der Euro­päi­schen Uni­on und auf ihrer Web­site eine Liste aller Dritt­län­der bezie­hungs­wei­se Gebie­te und spe­zi­fi­schen Sek­to­ren in einem Dritt­land und aller inter­na­tio­na­len Orga­ni­sa­tio­nen, für die sie durch Beschluss fest­ge­stellt hat, dass sie ein ange­mes­se­nes Schutz­ni­veau gewähr­lei­sten bzw. nicht mehr gewährleisten.
(9) Von der Kom­mis­si­on auf der Grund­la­ge von Arti­kel 25 Absatz 6 der Richt­li­nie 95/46/EG erlas­se­ne Fest­stel­lun­gen blei­ben so lan­ge in Kraft, bis sie durch einen nach dem Prüf­ver­fah­ren gemäß den Absät­zen 3 oder 5 des vor­lie­gen­den Arti­kels erlas­se­nen Beschluss der Kom­mis­si­on geän­dert, ersetzt oder auf­ge­ho­ben werden.
Erwä­gungs­grün­de
(103) Die Kom­mis­si­on darf mit Wir­kung für die gesam­te Uni­on beschlie­ßen, dass ein bestimm­tes Dritt­land, ein Gebiet oder ein bestimm­ter Sek­tor eines Dritt­lands oder eine inter­na­tio­na­le Orga­ni­sa­ti­on ein ange­mes­se­nes Daten­schutz­ni­veau bie­tet, und auf die­se Wei­se in Bezug auf das Dritt­land oder die inter­na­tio­na­le Orga­ni­sa­ti­on, das bzw. die für fähig gehal­ten wird, ein sol­ches Schutz­ni­veau zu bie­ten, in der gesam­ten Uni­on Rechts­si­cher­heit schaf­fen und eine ein­heit­li­che Rechts­an­wen­dung sicher­stel­len. In der­ar­ti­gen Fäl­len dür­fen per­so­nen­be­zo­ge­ne Daten ohne wei­te­re Geneh­mi­gung an die­ses Land oder die­se inter­na­tio­na­le Orga­ni­sa­ti­on über­mit­telt wer­den. Die Kom­mis­si­on kann, nach Abga­be einer aus­führ­li­chen Erklä­rung, in der dem Dritt­land oder der inter­na­tio­na­len Orga­ni­sa­ti­on eine Begrün­dung gege­ben wird, auch ent­schei­den, eine sol­che Fest­stel­lung zu widerrufen.
(104) In Über­ein­stim­mung mit den Grund­wer­ten der Uni­on, zu denen ins­be­son­de­re der Schutz der Men­schen­rech­te zählt, soll­te die Kom­mis­si­on bei der Bewer­tung des Dritt­lands oder eines Gebiets oder eines bestimm­ten Sek­tors eines Dritt­lands berück­sich­ti­gen, inwie­weit dort die Rechts­staat­lich­keit gewahrt ist, der Rechts­weg gewähr­lei­stet ist und die inter­na­tio­na­len Men­schen­rechts­nor­men und ‑stan­dards ein­ge­hal­ten wer­den und wel­che all­ge­mei­nen und sek­tor­spe­zi­fi­schen Vor­schrif­ten, wozu auch die Vor­schrif­ten über die öffent­li­che Sicher­heit, die Lan­des­ver­tei­di­gung und die natio­na­le Sicher­heit sowie die öffent­li­che Ord­nung und das Straf­recht zäh­len, dort gel­ten. Die Annah­me eines Ange­mes­sen­heits­be­schlus­ses in Bezug auf ein Gebiet oder einen bestimm­ten Sek­tor eines Dritt­lands soll­te unter Berück­sich­ti­gung ein­deu­ti­ger und objek­ti­ver Kri­te­ri­en wie bestimm­ter Ver­ar­bei­tungs­vor­gän­ge und des Anwen­dungs­be­reichs anwend­ba­rer Rechts­nor­men und gel­ten­der Rechts­vor­schrif­ten in dem Dritt­land erfol­gen. Das Dritt­land soll­te Garan­tien für ein ange­mes­se­nes Schutz­ni­veau bie­ten, das dem inner­halb der Uni­on gewähr­lei­ste­ten Schutz­ni­veau der Sache nach gleich­wer­tig ist, ins­be­son­de­re in Fäl­len, in denen per­so­nen­be­zo­ge­ne Daten in einem oder meh­re­ren spe­zi­fi­schen Sek­to­ren ver­ar­bei­tet wer­den. Das Dritt­land soll­te ins­be­son­de­re eine wirk­sa­me unab­hän­gi­ge Über­wa­chung des Daten­schut­zes gewähr­lei­sten und Mecha­nis­men für eine Zusam­men­ar­beit mit den Daten­schutz­be­hör­den der Mit­glied­staa­ten vor­se­hen, und den betrof­fe­nen Per­so­nen soll­ten wirk­sa­me und durch­setz­ba­re Rech­te sowie wirk­sa­me ver­wal­tungs­recht­li­che und gericht­li­che Rechts­be­hel­fe ein­ge­räumt werden.
(105) Die Kom­mis­si­on soll­te neben den inter­na­tio­na­len Ver­pflich­tun­gen, die das Dritt­land oder die inter­na­tio­na­le Orga­ni­sa­ti­on ein­ge­gan­gen ist, die Ver­pflich­tun­gen, die sich aus der Teil­nah­me des Dritt­lands oder der inter­na­tio­na­len Orga­ni­sa­ti­on an mul­ti­la­te­ra­len oder regio­na­len Syste­men ins­be­son­de­re im Hin­blick auf den Schutz per­so­nen­be­zo­ge­ner Daten erge­ben, sowie die Umset­zung die­ser Ver­pflich­tun­gen berück­sich­ti­gen. Ins­be­son­de­re soll­te der Bei­tritt des Dritt­lands zum Über­ein­kom­men des Euro­pa­ra­tes vom 28. Janu­ar 1981 zum Schutz des Men­schen bei der auto­ma­ti­schen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und dem dazu­ge­hö­ri­gen Zusatz­pro­to­koll berück­sich­tigt wer­den. Die Kom­mis­si­on soll­te den Aus­schuss kon­sul­tie­ren, wenn sie das Schutz­ni­veau in Dritt­län­dern oder inter­na­tio­na­len Orga­ni­sa­tio­nen bewertet.
(106) Die Kom­mis­si­on soll­te die Wir­kungs­wei­se von Fest­stel­lun­gen zum Schutz­ni­veau in einem Dritt­land, einem Gebiet oder einem bestimm­ten Sek­tor eines Dritt­lands oder einer inter­na­tio­na­len Orga­ni­sa­ti­on über­wa­chen; sie soll­te auch die Wir­kungs­wei­se der Fest­stel­lun­gen, die auf der Grund­la­ge des Arti­kels 25 Absatz 6 oder des Arti­kels 26 Absatz 4 der Richt­li­nie 95/46/EG erlas­sen wer­den, über­wa­chen. In ihren Ange­mes­sen­heits­be­schlüs­sen soll­te die Kom­mis­si­on einen Mecha­nis­mus für die regel­mä­ßi­ge Über­prü­fung von deren Wir­kungs­wei­se vor­se­hen. Die­se regel­mä­ßi­ge Über­prü­fung soll­te in Kon­sul­ta­ti­on mit dem betref­fen­den Dritt­land oder der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on erfol­gen und allen maß­geb­li­chen Ent­wick­lun­gen in dem Dritt­land oder der inter­na­tio­na­len Orga­ni­sa­ti­on Rech­nung tra­gen. Für die Zwecke der Über­wa­chung und der Durch­füh­rung der regel­mä­ßi­gen Über­prü­fun­gen soll­te die Kom­mis­si­on die Stand­punk­te und Fest­stel­lun­gen des Euro­päi­schen Par­la­ments und des Rates sowie der ande­ren ein­schlä­gi­gen Stel­len und Quel­len berück­sich­ti­gen. Die Kom­mis­si­on soll­te inner­halb einer ange­mes­se­nen Frist die Wir­kungs­wei­se der letzt­ge­nann­ten Beschlüs­se bewer­ten und dem durch die­se Ver­ord­nung ein­ge­setz­ten Aus­schuss im Sin­ne der Ver­ord­nung (EU) Nr. 182/2011 des Euro­päi­schen Par­la­ments und des Rates (12) sowie dem Euro­päi­schen Par­la­ment und dem Rat über alle maß­geb­li­chen Fest­stel­lun­gen Bericht erstatten.
(107) Die Kom­mis­si­on kann fest­stel­len, dass ein Dritt­land, ein Gebiet oder ein bestimm­ter Sek­tor eines Dritt­lands oder eine inter­na­tio­na­le Orga­ni­sa­ti­on kein ange­mes­se­nes Daten­schutz­ni­veau mehr bie­tet. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an die­ses Dritt­land oder an die­se inter­na­tio­na­le Orga­ni­sa­ti­on soll­te dar­auf­hin ver­bo­ten wer­den, es sei denn, die Anfor­de­run­gen die­ser Ver­ord­nung in Bezug auf die Daten­über­mitt­lung vor­be­halt­lich geeig­ne­ter Garan­tien, ein­schließ­lich ver­bind­li­cher inter­ner Daten­schutz­vor­schrif­ten und auf Aus­nah­men für bestimm­te Fäl­le wer­den erfüllt. In die­sem Fal­le soll­ten Kon­sul­ta­tio­nen zwi­schen der Kom­mis­si­on und den betref­fen­den Dritt­län­dern oder inter­na­tio­na­len Orga­ni­sa­tio­nen vor­ge­se­hen wer­den. Die Kom­mis­si­on soll­te dem Dritt­land oder der inter­na­tio­na­len Orga­ni­sa­ti­on früh­zei­tig die Grün­de mit­tei­len und Kon­sul­ta­tio­nen auf­neh­men, um Abhil­fe für die Situa­ti­on zu schaffen.
(169) Die Kom­mis­si­on soll­te sofort gel­ten­de Durch­füh­rungs­rechts­ak­te erlas­sen, wenn anhand vor­lie­gen­der Bewei­se fest­ge­stellt wird, dass ein Dritt­land, ein Gebiet oder ein bestimm­ter Sek­tor in die­sem Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on kein ange­mes­se­nes Schutz­ni­veau gewähr­lei­stet, und dies aus Grün­den äußer­ster Dring­lich­keit erfor­der­lich ist.

Arti­kel 46 Daten­über­mitt­lung vor­be­halt­lich geeig­ne­ter Garantien

(1) Falls kein Beschluss nach Arti­kel 45 Absatz 3 vor­liegt, darf ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter per­so­nen­be­zo­ge­ne Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on nur über­mit­teln, sofern der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter geeig­ne­te Garan­tien vor­ge­se­hen hat und sofern den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe zur Ver­fü­gung stehen.
(2) Die in Absatz 1 genann­ten geeig­ne­ten Garan­tien kön­nen, ohne dass hier­zu eine beson­de­re Geneh­mi­gung einer Auf­sichts­be­hör­de erfor­der­lich wäre, bestehen in
a) einem recht­lich bin­den­den und durch­setz­ba­ren Doku­ment zwi­schen den Behör­den oder öffent­li­chen Stellen,
b) ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten gemäß Arti­kel 47,
c) Stan­dard­da­ten­schutz­klau­seln, die von der Kom­mis­si­on gemäß dem Prüf­ver­fah­ren nach Arti­kel 93 Absatz 2 erlas­sen werden,
d) von einer Auf­sichts­be­hör­de ange­nom­me­nen Stan­dard­da­ten­schutz­klau­seln, die von der Kom­mis­si­on gemäß dem Prüf­ver­fah­ren nach Arti­kel 93 Absatz 2 geneh­migt wurden,
e) geneh­mig­ten Ver­hal­tens­re­geln gemäß Arti­kel 40 zusam­men mit rechts­ver­bind­li­chen und durch­setz­ba­ren Ver­pflich­tun­gen des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters in dem Dritt­land zur Anwen­dung der geeig­ne­ten Garan­tien, ein­schließ­lich in Bezug auf die Rech­te der betrof­fe­nen Per­so­nen, oder
f) einem geneh­mig­ten Zer­ti­fi­zie­rungs­me­cha­nis­mus gemäß Arti­kel 42 zusam­men mit rechts­ver­bind­li­chen und durch­setz­ba­ren Ver­pflich­tun­gen des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters in dem Dritt­land zur Anwen­dung der geeig­ne­ten Garan­tien, ein­schließ­lich in Bezug auf die Rech­te der betrof­fe­nen Personen.
(3) Vor­be­halt­lich der Geneh­mi­gung durch die zustän­di­ge Auf­sichts­be­hör­de kön­nen die geeig­ne­ten Garan­tien gemäß Absatz 1 auch ins­be­son­de­re bestehen in
a) Ver­trags­klau­seln, die zwi­schen dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter und dem Ver­ant­wort­li­chen, dem Auf­trags­ver­ar­bei­ter oder dem Emp­fän­ger der per­so­nen­be­zo­ge­nen Daten im Dritt­land oder der inter­na­tio­na­len Orga­ni­sa­ti­on ver­ein­bart wur­den, oder
b) Bestim­mun­gen, die in Ver­wal­tungs­ver­ein­ba­run­gen zwi­schen Behör­den oder öffent­li­chen Stel­len auf­zu­neh­men sind und durch­setz­ba­re und wirk­sa­me Rech­te für die betrof­fe­nen Per­so­nen einschließen.
(4) Die Auf­sichts­be­hör­de wen­det das Kohä­renz­ver­fah­ren nach Arti­kel 63 an, wenn ein Fall gemäß Absatz 3 des vor­lie­gen­den Arti­kels vorliegt.
(5) Von einem Mit­glied­staat oder einer Auf­sichts­be­hör­de auf der Grund­la­ge von Arti­kel 26 Absatz 2 der Richt­li­nie 95/46/EG erteil­te Geneh­mi­gun­gen blei­ben so lan­ge gül­tig, bis sie erfor­der­li­chen­falls von die­ser Auf­sichts­be­hör­de geän­dert, ersetzt oder auf­ge­ho­ben wer­den. Von der Kom­mis­si­on auf der Grund­la­ge von Arti­kel 26 Absatz 4 der Richt­li­nie 95/46/EG erlas­se­ne Fest­stel­lun­gen blei­ben so lan­ge in Kraft, bis sie erfor­der­li­chen­falls mit einem nach Absatz 2 des vor­lie­gen­den Arti­kels erlas­se­nen Beschluss der Kom­mis­si­on geän­dert, ersetzt oder auf­ge­ho­ben werden.
Erwä­gungs­grün­de
(108) Bei Feh­len eines Ange­mes­sen­heits­be­schlus­ses soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter als Aus­gleich für den in einem Dritt­land bestehen­den Man­gel an Daten­schutz geeig­ne­te Garan­tien für den Schutz der betrof­fe­nen Per­son vor­se­hen. Die­se geeig­ne­ten Garan­tien kön­nen dar­in bestehen, dass auf ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten, von der Kom­mis­si­on oder von einer Auf­sichts­be­hör­de ange­nom­me­ne Stan­dard­da­ten­schutz­klau­seln oder von einer Auf­sichts­be­hör­de geneh­mig­te Ver­trags­klau­seln zurück­ge­grif­fen wird. Die­se Garan­tien soll­ten sicher­stel­len, dass die Daten­schutz­vor­schrif­ten und die Rech­te der betrof­fe­nen Per­so­nen auf eine der Ver­ar­bei­tung inner­halb der Uni­on ange­mes­se­ne Art und Wei­se beach­tet wer­den; dies gilt auch hin­sicht­lich der Ver­füg­bar­keit von durch­setz­ba­ren Rech­ten der betrof­fe­nen Per­son und von wirk­sa­men Rechts­be­hel­fen ein­schließ­lich des Rechts auf wirk­sa­me ver­wal­tungs­recht­li­che oder gericht­li­che Rechts­be­hel­fe sowie des Rechts auf Gel­tend­ma­chung von Scha­den­er­satz­an­sprü­chen in der Uni­on oder in einem Dritt­land. Sie soll­ten sich ins­be­son­de­re auf die Ein­hal­tung der all­ge­mei­nen Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die Grund­sät­ze des Daten­schut­zes durch Tech­nik und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen bezie­hen. Daten­über­mitt­lun­gen dür­fen auch von Behör­den oder öffent­li­chen Stel­len an Behör­den oder öffent­li­che Stel­len in Dritt­län­dern oder an inter­na­tio­na­le Orga­ni­sa­tio­nen mit ent­spre­chen­den Pflich­ten oder Auf­ga­ben vor­ge­nom­men wer­den, auch auf der Grund­la­ge von Bestim­mun­gen, die in Ver­wal­tungs­ver­ein­ba­run­gen — wie bei­spiels­wei­se einer gemein­sa­men Absichts­er­klä­rung –, mit denen den betrof­fe­nen Per­so­nen durch­setz­ba­re und wirk­sa­me Rech­te ein­ge­räumt wer­den, auf­zu­neh­men sind. Die Geneh­mi­gung der zustän­di­gen Auf­sichts­be­hör­de soll­te erlangt wer­den, wenn die Garan­tien in nicht rechts­ver­bind­li­chen Ver­wal­tungs­ver­ein­ba­run­gen vor­ge­se­hen sind.
(109) Die dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter offen­ste­hen­de Mög­lich­keit, auf die von der Kom­mis­si­on oder einer Auf­sichts­be­hör­de fest­ge­leg­ten Stan­dard-Daten­schutz­klau­seln zurück­zu­grei­fen, soll­te den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter weder dar­an hin­dern, die Stan­dard-Daten­schutz­klau­seln auch in umfang­rei­che­ren Ver­trä­gen, wie zum Bei­spiel Ver­trä­gen zwi­schen dem Auf­trags­ver­ar­bei­ter und einem ande­ren Auf­trags­ver­ar­bei­ter, zu ver­wen­den, noch ihn dar­an hin­dern, ihnen wei­te­re Klau­seln oder zusätz­li­che Garan­tien hin­zu­zu­fü­gen, solan­ge die­se weder mit­tel­bar noch unmit­tel­bar im Wider­spruch zu den von der Kom­mis­si­on oder einer Auf­sichts­be­hör­de erlas­se­nen Stan­dard-Daten­schutz­klau­seln ste­hen oder die Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­so­nen beschnei­den. Die Ver­ant­wort­li­chen und die Auf­trags­ver­ar­bei­ter soll­ten ermu­tigt wer­den, mit ver­trag­li­chen Ver­pflich­tun­gen, die die Stan­dard-Schutz­klau­seln ergän­zen, zusätz­li­che Garan­tien zu bieten.
(114) In allen Fäl­len, in denen kein Kom­mis­si­ons­be­schluss zur Ange­mes­sen­heit des in einem Dritt­land bestehen­den Daten­schutz­ni­veaus vor­liegt, soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter auf Lösun­gen zurück­grei­fen, mit denen den betrof­fe­nen Per­so­nen durch­setz­ba­re und wirk­sa­me Rech­te in Bezug auf die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten in der Uni­on nach der Über­mitt­lung die­ser Daten ein­ge­räumt wer­den, damit sie wei­ter­hin die Grund­rech­te und Garan­tien genie­ßen können.

Arti­kel 47 Ver­bind­li­che inter­ne Datenschutzvorschriften

(1) Die zustän­di­ge Auf­sichts­be­hör­de geneh­migt gemäß dem Kohä­renz­ver­fah­ren nach Arti­kel 63 ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten, sofern diese
a) recht­lich bin­dend sind, für alle betref­fen­den Mit­glie­der der Unter­neh­mens­grup­pe oder einer Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, gel­ten und von die­sen Mit­glie­dern durch­ge­setzt wer­den, und dies auch für ihre Beschäf­tig­ten gilt,
b) den betrof­fe­nen Per­so­nen aus­drück­lich durch­setz­ba­re Rech­te in Bezug auf die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten über­tra­gen und
c) die in Absatz 2 fest­ge­leg­ten Anfor­de­run­gen erfüllen.
(2) Die ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten nach Absatz 1 ent­hal­ten min­de­stens fol­gen­de Angaben:
a) Struk­tur und Kon­takt­da­ten der Unter­neh­mens­grup­pe oder Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, und jedes ihrer Mitglieder;
b) die betref­fen­den Daten­über­mitt­lun­gen oder Rei­hen von Daten­über­mitt­lun­gen ein­schließ­lich der betref­fen­den Arten per­so­nen­be­zo­ge­ner Daten, Art und Zweck der Daten­ver­ar­bei­tung, Art der betrof­fe­nen Per­so­nen und das betref­fen­de Dritt­land bezie­hungs­wei­se die betref­fen­den Drittländer;
c) inter­ne und exter­ne Rechts­ver­bind­lich­keit der betref­fen­den inter­nen Datenschutzvorschriften;
d) die Anwen­dung der all­ge­mei­nen Daten­schutz­grund­sät­ze, ins­be­son­de­re Zweck­bin­dung, Daten­mi­ni­mie­rung, begrenz­te Spei­cher­fri­sten, Daten­qua­li­tät, Daten­schutz durch Tech­nik­ge­stal­tung und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen, Rechts­grund­la­ge für die Ver­ar­bei­tung, Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten, Maß­nah­men zur Sicher­stel­lung der Daten­si­cher­heit und Anfor­de­run­gen für die Wei­ter­über­mitt­lung an nicht an die­se inter­nen Daten­schutz­vor­schrif­ten gebun­de­ne Stellen;
e) die Rech­te der betrof­fe­nen Per­so­nen in Bezug auf die Ver­ar­bei­tung und die die­sen offen­ste­hen­den Mit­tel zur Wahr­neh­mung die­ser Rech­te ein­schließ­lich des Rechts, nicht einer aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung — ein­schließ­lich Pro­fil­ing — beru­hen­den Ent­schei­dung nach Arti­kel 22 unter­wor­fen zu wer­den sowie des in Arti­kel 79 nie­der­ge­leg­ten Rechts auf Beschwer­de bei der zustän­di­gen Auf­sichts­be­hör­de bezie­hungs­wei­se auf Ein­le­gung eines Rechts­be­helfs bei den zustän­di­gen Gerich­ten der Mit­glied­staa­ten und im Fal­le einer Ver­let­zung der ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten Wie­der­gut­ma­chung und gege­be­nen­falls Scha­den­er­satz zu erhalten;
f) die von dem in einem Mit­glied­staat nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter über­nom­me­ne Haf­tung für etwa­ige Ver­stö­ße eines nicht in der Uni­on nie­der­ge­las­se­nen betref­fen­den Mit­glieds der Unter­neh­mens­grup­pe gegen die ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten; der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter ist nur dann teil­wei­se oder voll­stän­dig von die­ser Haf­tung befreit, wenn er nach­weist, dass der Umstand, durch den der Scha­den ein­ge­tre­ten ist, dem betref­fen­den Mit­glied nicht zur Last gelegt wer­den kann;
g) die Art und Wei­se, wie die betrof­fe­nen Per­so­nen über die Bestim­mun­gen der Arti­kel 13 und 14 hin­aus über die ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten und ins­be­son­de­re über die unter den Buch­sta­ben d, e und f die­ses Absat­zes genann­ten Aspek­te infor­miert werden;
h) die Auf­ga­ben jedes gemäß Arti­kel 37 benann­ten Daten­schutz­be­auf­trag­ten oder jeder ande­ren Per­son oder Ein­rich­tung, die mit der Über­wa­chung der Ein­hal­tung der ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten in der Unter­neh­mens­grup­pe oder Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, sowie mit der Über­wa­chung der Schu­lungs­maß­nah­men und dem Umgang mit Beschwer­den befasst ist;
i) die Beschwerdeverfahren;
j) die inner­halb der Unter­neh­mens­grup­pe oder Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, bestehen­den Ver­fah­ren zur Über­prü­fung der Ein­hal­tung der ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten. Der­ar­ti­ge Ver­fah­ren beinhal­ten Daten­schutz­über­prü­fun­gen und Ver­fah­ren zur Gewähr­lei­stung von Abhil­fe­maß­nah­men zum Schutz der Rech­te der betrof­fe­nen Per­son. Die Ergeb­nis­se der­ar­ti­ger Über­prü­fun­gen soll­ten der in Buch­sta­be h genann­ten Per­son oder Ein­rich­tung sowie dem Ver­wal­tungs­rat des herr­schen­den Unter­neh­mens einer Unter­neh­mens­grup­pe oder der Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, mit­ge­teilt wer­den und soll­ten der zustän­di­gen Auf­sichts­be­hör­de auf Anfra­ge zur Ver­fü­gung gestellt werden;
k) die Ver­fah­ren für die Mel­dung und Erfas­sung von Ände­run­gen der Vor­schrif­ten und ihre Mel­dung an die Aufsichtsbehörde;
l) die Ver­fah­ren für die Zusam­men­ar­beit mit der Auf­sichts­be­hör­de, die die Befol­gung der Vor­schrif­ten durch sämt­li­che Mit­glie­der der Unter­neh­mens­grup­pe oder Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, gewähr­lei­sten, ins­be­son­de­re durch Offen­le­gung der Ergeb­nis­se von Über­prü­fun­gen der unter Buch­sta­be j genann­ten Maß­nah­men gegen­über der Aufsichtsbehörde;
m) die Mel­de­ver­fah­ren zur Unter­rich­tung der zustän­di­gen Auf­sichts­be­hör­de über jeg­li­che für ein Mit­glied der Unter­neh­mens­grup­pe oder Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, in einem Dritt­land gel­ten­den recht­li­chen Bestim­mun­gen, die sich nach­tei­lig auf die Garan­tien aus­wir­ken könn­ten, die die ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten bie­ten, und
n) geeig­ne­te Daten­schutz­schu­lun­gen für Per­so­nal mit stän­di­gem oder regel­mä­ßi­gem Zugang zu per­so­nen­be­zo­ge­nen Daten.
(3) Die Kom­mis­si­on kann das For­mat und die Ver­fah­ren für den Infor­ma­ti­ons­aus­tausch über ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten im Sin­ne des vor­lie­gen­den Arti­kels zwi­schen Ver­ant­wort­li­chen, Auf­trags­ver­ar­bei­tern und Auf­sichts­be­hör­den fest­le­gen. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem Prüf­ver­fah­ren nach Arti­kel 93 Absatz 2 erlassen.

Arti­kel 48 Nach dem Uni­ons­recht nicht zuläs­si­ge Über­mitt­lung oder Offenlegung

Jeg­li­ches Urteil eines Gerichts eines Dritt­lands und jeg­li­che Ent­schei­dung einer Ver­wal­tungs­be­hör­de eines Dritt­lands, mit denen von einem Ver­ant­wort­li­chen oder einem Auf­trags­ver­ar­bei­ter die Über­mitt­lung oder Offen­le­gung per­so­nen­be­zo­ge­ner Daten ver­langt wird, dür­fen unbe­scha­det ande­rer Grün­de für die Über­mitt­lung gemäß die­sem Kapi­tel jeden­falls nur dann aner­kannt oder voll­streck­bar wer­den, wenn sie auf eine in Kraft befind­li­che inter­na­tio­na­le Über­ein­kunft wie etwa ein Rechts­hil­fe­ab­kom­men zwi­schen dem ersu­chen­den Dritt­land und der Uni­on oder einem Mit­glied­staat gestützt sind.
Erwä­gungs­grün­de
(115) Man­che Dritt­län­der erlas­sen Geset­ze, Vor­schrif­ten und son­sti­ge Rechts­ak­te, die vor­ge­ben, die Ver­ar­bei­tungs­tä­tig­kei­ten natür­li­cher und juri­sti­scher Per­so­nen, die der Recht­spre­chung der Mit­glied­staa­ten unter­lie­gen, unmit­tel­bar zu regeln. Dies kann Urtei­le von Gerich­ten und Ent­schei­dun­gen von Ver­wal­tungs­be­hör­den in Dritt­län­dern umfas­sen, mit denen von einem Ver­ant­wort­li­chen oder einem Auf­trags­ver­ar­bei­ter die Über­mitt­lung oder Offen­le­gung per­so­nen­be­zo­ge­ner Daten ver­langt wird und die nicht auf eine in Kraft befind­li­che inter­na­tio­na­le Über­ein­kunft wie etwa ein Rechts­hil­fe­ab­kom­men zwi­schen dem ersu­chen­den Dritt­land und der Uni­on oder einem Mit­glied­staat gestützt sind. Die Anwen­dung die­ser Geset­ze, Ver­ord­nun­gen und son­sti­gen Rechts­ak­te außer­halb des Hoheits­ge­biets der betref­fen­den Dritt­län­der kann gegen inter­na­tio­na­les Recht ver­sto­ßen und dem durch die­se Ver­ord­nung in der Uni­on gewähr­lei­ste­ten Schutz natür­li­cher Per­so­nen zuwi­der­lau­fen. Daten­über­mitt­lun­gen soll­ten daher nur zuläs­sig sein, wenn die Bedin­gun­gen die­ser Ver­ord­nung für Daten­über­mitt­lun­gen an Dritt­län­der ein­ge­hal­ten wer­den. Dies kann unter ande­rem der Fall sein, wenn die Offen­le­gung aus einem wich­ti­gen öffent­li­chen Inter­es­se erfor­der­lich ist, das im Uni­ons­recht oder im Recht des Mit­glied­staats, dem der Ver­ant­wort­li­che unter­liegt, aner­kannt ist.

Arti­kel 49 Aus­nah­men für bestimm­te Fälle

(1) Falls weder ein Ange­mes­sen­heits­be­schluss nach Arti­kel 45 Absatz 3 vor­liegt noch geeig­ne­te Garan­tien nach Arti­kel 46, ein­schließ­lich ver­bind­li­cher inter­ner Daten­schutz­vor­schrif­ten, bestehen, ist eine Über­mitt­lung oder eine Rei­he von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on nur unter einer der fol­gen­den Bedin­gun­gen zulässig:
a) die betrof­fe­ne Per­son hat in die vor­ge­schla­ge­ne Daten­über­mitt­lung aus­drück­lich ein­ge­wil­ligt, nach­dem sie über die für sie bestehen­den mög­li­chen Risi­ken der­ar­ti­ger Daten­über­mitt­lun­gen ohne Vor­lie­gen eines Ange­mes­sen­heits­be­schlus­ses und ohne geeig­ne­te Garan­tien unter­rich­tet wurde,
b) die Über­mitt­lung ist für die Erfül­lung eines Ver­trags zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen oder zur Durch­füh­rung von vor­ver­trag­li­chen Maß­nah­men auf Antrag der betrof­fe­nen Per­son erforderlich,
c) die Über­mitt­lung ist zum Abschluss oder zur Erfül­lung eines im Inter­es­se der betrof­fe­nen Per­son von dem Ver­ant­wort­li­chen mit einer ande­ren natür­li­chen oder juri­sti­schen Per­son geschlos­se­nen Ver­trags erforderlich,
d) die Über­mitt­lung ist aus wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses notwendig,
e) die Über­mitt­lung ist zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen erforderlich,
f) die Über­mitt­lung ist zum Schutz lebens­wich­ti­ger Inter­es­sen der betrof­fe­nen Per­son oder ande­rer Per­so­nen erfor­der­lich, sofern die betrof­fe­ne Per­son aus phy­si­schen oder recht­li­chen Grün­den außer­stan­de ist, ihre Ein­wil­li­gung zu geben,
g) die Über­mitt­lung erfolgt aus einem Regi­ster, das gemäß dem Recht der Uni­on oder der Mit­glied­staa­ten zur Infor­ma­ti­on der Öffent­lich­keit bestimmt ist und ent­we­der der gesam­ten Öffent­lich­keit oder allen Per­so­nen, die ein berech­tig­tes Inter­es­se nach­wei­sen kön­nen, zur Ein­sicht­nah­me offen­steht, aber nur soweit die im Recht der Uni­on oder der Mit­glied­staa­ten fest­ge­leg­ten Vor­aus­set­zun­gen für die Ein­sicht­nah­me im Ein­zel­fall gege­ben sind.
Falls die Über­mitt­lung nicht auf eine Bestim­mung der Arti­kel 45 oder 46 — ein­schließ­lich der ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten — gestützt wer­den könn­te und kei­ne der Aus­nah­men für einen bestimm­ten Fall gemäß dem ersten Unter­ab­satz anwend­bar ist, darf eine Über­mitt­lung an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on nur dann erfol­gen, wenn die Über­mitt­lung nicht wie­der­holt erfolgt, nur eine begrenz­te Zahl von betrof­fe­nen Per­so­nen betrifft, für die Wah­rung der zwin­gen­den berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen erfor­der­lich ist, sofern die Inter­es­sen oder die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen, und der Ver­ant­wort­li­che alle Umstän­de der Daten­über­mitt­lung beur­teilt und auf der Grund­la­ge die­ser Beur­tei­lung geeig­ne­te Garan­tien in Bezug auf den Schutz per­so­nen­be­zo­ge­ner Daten vor­ge­se­hen hat. Der Ver­ant­wort­li­che setzt die Auf­sichts­be­hör­de von der Über­mitt­lung in Kennt­nis. Der Ver­ant­wort­li­che unter­rich­tet die betrof­fe­ne Per­son über die Über­mitt­lung und sei­ne zwin­gen­den berech­tig­ten Inter­es­sen; dies erfolgt zusätz­lich zu den der betrof­fe­nen Per­son nach den Arti­keln 13 und 14 mit­ge­teil­ten Infor­ma­tio­nen.
(2) Daten­über­mitt­lun­gen gemäß Absatz 1 Unter­ab­satz 1 Buch­sta­be g dür­fen nicht die Gesamt­heit oder gan­ze Kate­go­rien der im Regi­ster ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten umfas­sen. Wenn das Regi­ster der Ein­sicht­nah­me durch Per­so­nen mit berech­tig­tem Inter­es­se dient, darf die Über­mitt­lung nur auf Anfra­ge die­ser Per­so­nen oder nur dann erfol­gen, wenn die­se Per­so­nen die Adres­sa­ten der Über­mitt­lung sind.
(3) Absatz 1 Unter­ab­satz 1 Buch­sta­ben a, b und c und sowie Absatz 1 Unter­ab­satz 2 gel­ten nicht für Tätig­kei­ten, die Behör­den in Aus­übung ihrer hoheit­li­chen Befug­nis­se durchführen.
(4) Das öffent­li­che Inter­es­se im Sin­ne des Absat­zes 1 Unter­ab­satz 1 Buch­sta­be d muss im Uni­ons­recht oder im Recht des Mit­glied­staats, dem der Ver­ant­wort­li­che unter­liegt, aner­kannt sein.
(5) Liegt kein Ange­mes­sen­heits­be­schluss vor, so kön­nen im Uni­ons­recht oder im Recht der Mit­glied­staa­ten aus wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses aus­drück­lich Beschrän­kun­gen der Über­mitt­lung bestimm­ter Kate­go­rien von per­so­nen­be­zo­ge­nen Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen vor­ge­se­hen wer­den. Die Mit­glied­staa­ten tei­len der Kom­mis­si­on der­ar­ti­ge Bestim­mun­gen mit.
(6) Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter erfasst die von ihm vor­ge­nom­me­ne Beur­tei­lung sowie die ange­mes­se­nen Garan­tien im Sin­ne des Absat­zes 1 Unter­ab­satz 2 des vor­lie­gen­den Arti­kels in der Doku­men­ta­ti­on gemäß Arti­kel 30.
Erwä­gungs­grün­de
(111) Daten­über­mitt­lun­gen soll­ten unter bestimm­ten Vor­aus­set­zun­gen zuläs­sig sein, näm­lich wenn die betrof­fe­ne Per­son ihre aus­drück­li­che Ein­wil­li­gung erteilt hat, wenn die Über­mitt­lung gele­gent­lich erfolgt und im Rah­men eines Ver­trags oder zur Gel­tend­ma­chung von Rechts­an­sprü­chen, sei es vor Gericht oder auf dem Ver­wal­tungs­we­ge oder in außer­ge­richt­li­chen Ver­fah­ren, wozu auch Ver­fah­ren vor Regu­lie­rungs­be­hör­den zäh­len, erfor­der­lich ist. Die Über­mitt­lung soll­te zudem mög­lich sein, wenn sie zur Wah­rung eines im Uni­ons­recht oder im Recht eines Mit­glied­staats fest­ge­leg­ten wich­ti­gen öffent­li­chen Inter­es­ses erfor­der­lich ist oder wenn sie aus einem durch Rechts­vor­schrif­ten vor­ge­se­he­nen Regi­ster erfolgt, das von der Öffent­lich­keit oder Per­so­nen mit berech­tig­tem Inter­es­se ein­ge­se­hen wer­den kann. In letz­te­rem Fall soll­te sich eine sol­che Über­mitt­lung nicht auf die Gesamt­heit oder gan­ze Kate­go­rien der im Regi­ster ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten erstrecken dür­fen. Ist das betref­fen­de Regi­ster zur Ein­sicht­nah­me durch Per­so­nen mit berech­tig­tem Inter­es­se bestimmt, soll­te die Über­mitt­lung nur auf Anfra­ge die­ser Per­so­nen oder nur dann erfol­gen, wenn die­se Per­so­nen die Adres­sa­ten der Über­mitt­lung sind, wobei den Inter­es­sen und Grund­rech­ten der betrof­fe­nen Per­son in vol­lem Umfang Rech­nung zu tra­gen ist.
(112) Die­se Aus­nah­men soll­ten ins­be­son­de­re für Daten­über­mitt­lun­gen gel­ten, die aus wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses erfor­der­lich sind, bei­spiels­wei­se für den inter­na­tio­na­len Daten­aus­tausch zwi­schen Wettbewerbs‑, Steu­er- oder Zoll­be­hör­den, zwi­schen Finanz­auf­sichts­be­hör­den oder zwi­schen für Ange­le­gen­hei­ten der sozia­len Sicher­heit oder für die öffent­li­che Gesund­heit zustän­di­gen Dien­sten, bei­spiels­wei­se im Fal­le der Umge­bungs­un­ter­su­chung bei anstecken­den Krank­hei­ten oder zur Ver­rin­ge­rung und/oder Besei­ti­gung des Dopings im Sport. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten soll­te eben­falls als recht­mä­ßig ange­se­hen wer­den, wenn sie erfor­der­lich ist, um ein Inter­es­se, das für die lebens­wich­ti­gen Inter­es­sen — ein­schließ­lich der kör­per­li­chen Unver­sehrt­heit oder des Lebens — der betrof­fe­nen Per­son oder einer ande­ren Per­son wesent­lich ist, zu schüt­zen und die betrof­fe­ne Per­son außer­stan­de ist, ihre Ein­wil­li­gung zu geben. Liegt kein Ange­mes­sen­heits­be­schluss vor, so kön­nen im Uni­ons­recht oder im Recht der Mit­glied­staa­ten aus wich­ti­gen Grün­den des öffent­li­chen Inter­es­ses aus­drück­lich Beschrän­kun­gen der Über­mitt­lung bestimm­ter Kate­go­rien von Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen vor­ge­se­hen wer­den. Die Mit­glied­staa­ten soll­ten sol­che Bestim­mun­gen der Kom­mis­si­on mit­tei­len. Jede Über­mitt­lung per­so­nen­be­zo­ge­ner Daten einer betrof­fe­nen Per­son, die aus phy­si­schen oder recht­li­chen Grün­den außer­stan­de ist, ihre Ein­wil­li­gung zu ertei­len, an eine inter­na­tio­na­le huma­ni­tä­re Orga­ni­sa­ti­on, die erfolgt, um eine nach den Gen­fer Kon­ven­tio­nen oblie­gen­de Auf­ga­be aus­zu­füh­ren oder um dem in bewaff­ne­ten Kon­flik­ten anwend­ba­ren huma­ni­tä­ren Völ­ker­recht nach­zu­kom­men, könn­te als aus einem wich­ti­gen Grund im öffent­li­chen Inter­es­se not­wen­dig oder als im lebens­wich­ti­gen Inter­es­se der betrof­fe­nen Per­son lie­gend erach­tet werden.
(113) Über­mitt­lun­gen, die als nicht wie­der­holt erfol­gend gel­ten kön­nen und nur eine begrenz­te Zahl von betrof­fe­nen Per­so­nen betref­fen, könn­ten auch zur Wah­rung der zwin­gen­den berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen mög­lich sein, sofern die Inter­es­sen oder Rech­te und Frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen und der Ver­ant­wort­li­che sämt­li­che Umstän­de der Daten­über­mitt­lung geprüft hat. Der Ver­ant­wort­li­che soll­te ins­be­son­de­re die Art der per­so­nen­be­zo­ge­nen Daten, den Zweck und die Dau­er der vor­ge­se­he­nen Ver­ar­bei­tung, die Situa­ti­on im Her­kunfts­land, in dem betref­fen­den Dritt­land und im End­be­stim­mungs­land berück­sich­ti­gen und ange­mes­se­ne Garan­tien zum Schutz der Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen in Bezug auf die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­ner Daten vor­se­hen. Die­se Über­mitt­lun­gen soll­ten nur in den ver­blei­ben­den Fäl­len mög­lich sein, in denen kei­ner der ande­ren Grün­de für die Über­mitt­lung anwend­bar ist. Bei wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder bei sta­ti­sti­schen Zwecken soll­ten die legi­ti­men gesell­schaft­li­chen Erwar­tun­gen in Bezug auf einen Wis­sens­zu­wachs berück­sich­tigt wer­den. Der Ver­ant­wort­li­che soll­te die Auf­sichts­be­hör­de und die betrof­fe­ne Per­son von der Über­mitt­lung in Kennt­nis setzen.

Arti­kel 50 Inter­na­tio­na­le Zusam­men­ar­beit zum Schutz per­so­nen­be­zo­ge­ner Daten

In Bezug auf Dritt­län­der und inter­na­tio­na­le Orga­ni­sa­tio­nen tref­fen die Kom­mis­si­on und die Auf­sichts­be­hör­den geeig­ne­te Maß­nah­men zur
a) Ent­wick­lung von Mecha­nis­men der inter­na­tio­na­len Zusam­men­ar­beit, durch die die wirk­sa­me Durch­set­zung von Rechts­vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten erleich­tert wird,
b) gegen­sei­ti­gen Lei­stung inter­na­tio­na­ler Amts­hil­fe bei der Durch­set­zung von Rechts­vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten, unter ande­rem durch Mel­dun­gen, Beschwer­de­ver­wei­sun­gen, Amts­hil­fe bei Unter­su­chun­gen und Infor­ma­ti­ons­aus­tausch, sofern geeig­ne­te Garan­tien für den Schutz per­so­nen­be­zo­ge­ner Daten und ande­rer Grund­rech­te und Grund­frei­hei­ten bestehen,
c) Ein­bin­dung maß­geb­li­cher Inter­es­sen­trä­ger in Dis­kus­sio­nen und Tätig­kei­ten, die zum Aus­bau der inter­na­tio­na­len Zusam­men­ar­beit bei der Durch­set­zung von Rechts­vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten dienen,
d) För­de­rung des Aus­tauschs und der Doku­men­ta­ti­on von Rechts­vor­schrif­ten und Prak­ti­ken zum Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich Zustän­dig­keits­kon­flik­ten mit Drittländern.
Erwä­gungs­grün­de
(116) Wenn per­so­nen­be­zo­ge­ne Daten in ein ande­res Land außer­halb der Uni­on über­mit­telt wer­den, besteht eine erhöh­te Gefahr, dass natür­li­che Per­so­nen ihre Daten­schutz­rech­te nicht wahr­neh­men kön­nen und sich ins­be­son­de­re gegen die unrecht­mä­ßi­ge Nut­zung oder Offen­le­gung die­ser Infor­ma­tio­nen zu schüt­zen. Eben­so kann es vor­kom­men, dass Auf­sichts­be­hör­den Beschwer­den nicht nach­ge­hen oder Unter­su­chun­gen nicht durch­füh­ren kön­nen, die einen Bezug zu Tätig­kei­ten außer­halb der Gren­zen ihres Mit­glied­staats haben. Ihre Bemü­hun­gen um grenz­über­schrei­ten­de Zusam­men­ar­beit kön­nen auch durch unzu­rei­chen­de Prä­ven­tiv- und Abhil­fe­be­fug­nis­se, wider­sprüch­li­che Rechts­ord­nun­gen und prak­ti­sche Hin­der­nis­se wie Res­sour­cen­knapp­heit behin­dert wer­den. Die Zusam­men­ar­beit zwi­schen den Daten­schutz­auf­sichts­be­hör­den muss daher geför­dert wer­den, damit sie Infor­ma­tio­nen aus­tau­schen und mit den Auf­sichts­be­hör­den in ande­ren Län­dern Unter­su­chun­gen durch­füh­ren kön­nen. Um Mecha­nis­men der inter­na­tio­na­len Zusam­men­ar­beit zu ent­wickeln, die die inter­na­tio­na­le Amts­hil­fe bei der Durch­set­zung von Rechts­vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten erleich­tern und sicher­stel­len, soll­ten die Kom­mis­si­on und die Auf­sichts­be­hör­den Infor­ma­tio­nen aus­tau­schen und bei Tätig­kei­ten, die mit der Aus­übung ihrer Befug­nis­se in Zusam­men­hang ste­hen, mit den zustän­di­gen Behör­den der Dritt­län­der nach dem Grund­satz der Gegen­sei­tig­keit und gemäß die­ser Ver­ord­nung zusammenarbeiten.

Kapi­tel VI Unab­hän­gi­ge Aufsichtsbehörden

Abschnitt 1 Unabhängigkeit

Arti­kel 51 Aufsichtsbehörde

(1) Jeder Mit­glied­staat sieht vor, dass eine oder meh­re­re unab­hän­gi­ge Behör­den für die Über­wa­chung der Anwen­dung die­ser Ver­ord­nung zustän­dig sind, damit die Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen bei der Ver­ar­bei­tung geschützt wer­den und der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Uni­on erleich­tert wird (im Fol­gen­den “Auf­sichts­be­hör­de”).
(2) Jede Auf­sichts­be­hör­de lei­stet einen Bei­trag zur ein­heit­li­chen Anwen­dung die­ser Ver­ord­nung in der gesam­ten Uni­on. Zu die­sem Zweck arbei­ten die Auf­sichts­be­hör­den unter­ein­an­der sowie mit der Kom­mis­si­on gemäß Kapi­tel VII zusammen.
(3) Gibt es in einem Mit­glied­staat mehr als eine Auf­sichts­be­hör­de, so bestimmt die­ser Mit­glied­staat die Auf­sichts­be­hör­de, die die­se Behör­den im Aus­schuss ver­tritt, und führt ein Ver­fah­ren ein, mit dem sicher­ge­stellt wird, dass die ande­ren Behör­den die Regeln für das Kohä­renz­ver­fah­ren nach Arti­kel 63 einhalten.
(4) Jeder Mit­glied­staat teilt der Kom­mis­si­on bis spä­te­stens 25. Mai 2018 die Rechts­vor­schrif­ten, die er auf­grund die­ses Kapi­tels erlässt, sowie unver­züg­lich alle fol­gen­den Ände­run­gen die­ser Vor­schrif­ten mit.
Erwä­gungs­grün­de
(117) Die Errich­tung von Auf­sichts­be­hör­den in den Mit­glied­staa­ten, die befugt sind, ihre Auf­ga­ben und Befug­nis­se völ­lig unab­hän­gig wahr­zu­neh­men, ist ein wesent­li­cher Bestand­teil des Schut­zes natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Die Mit­glied­staa­ten soll­ten mehr als eine Auf­sichts­be­hör­de errich­ten kön­nen, wenn dies ihrer ver­fas­sungs­mä­ßi­gen, orga­ni­sa­to­ri­schen und admi­ni­stra­ti­ven Struk­tur entspricht.
(119) Errich­tet ein Mit­glied­staat meh­re­re Auf­sichts­be­hör­den, so soll­te er mit­tels Rechts­vor­schrif­ten sicher­stel­len, dass die­se Auf­sichts­be­hör­den am Kohä­renz­ver­fah­ren wirk­sam betei­ligt wer­den. Ins­be­son­de­re soll­te die­ser Mit­glied­staat eine Auf­sichts­be­hör­de bestim­men, die als zen­tra­le Anlauf­stel­le für eine wirk­sa­me Betei­li­gung die­ser Behör­den an dem Ver­fah­ren fun­giert und eine rasche und rei­bungs­lo­se Zusam­men­ar­beit mit ande­ren Auf­sichts­be­hör­den, dem Aus­schuss und der Kom­mis­si­on gewährleistet.
(123) Die Auf­sichts­be­hör­den soll­ten die Anwen­dung der Bestim­mun­gen die­ser Ver­ord­nung über­wa­chen und zu ihrer ein­heit­li­chen Anwen­dung in der gesam­ten Uni­on bei­tra­gen, um natür­li­che Per­so­nen im Hin­blick auf die Ver­ar­bei­tung ihrer Daten zu schüt­zen und den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten im Bin­nen­markt zu erleich­tern. Zu die­sem Zweck soll­ten die Auf­sichts­be­hör­den unter­ein­an­der und mit der Kom­mis­si­on zusam­men­ar­bei­ten, ohne dass eine Ver­ein­ba­rung zwi­schen den Mit­glied­staa­ten über die Lei­stung von Amts­hil­fe oder über eine der­ar­ti­ge Zusam­men­ar­beit erfor­der­lich wäre.

Arti­kel 52 Unabhängigkeit

(1) Jede Auf­sichts­be­hör­de han­delt bei der Erfül­lung ihrer Auf­ga­ben und bei der Aus­übung ihrer Befug­nis­se gemäß die­ser Ver­ord­nung völ­lig unabhängig.
(2) Das Mit­glied oder die Mit­glie­der jeder Auf­sichts­be­hör­de unter­lie­gen bei der Erfül­lung ihrer Auf­ga­ben und der Aus­übung ihrer Befug­nis­se gemäß die­ser Ver­ord­nung weder direk­ter noch indi­rek­ter Beein­flus­sung von außen und ersu­chen weder um Wei­sung noch neh­men sie Wei­sun­gen entgegen.
(3) Das Mit­glied oder die Mit­glie­der der Auf­sichts­be­hör­de sehen von allen mit den Auf­ga­ben ihres Amtes nicht zu ver­ein­ba­ren­den Hand­lun­gen ab und üben wäh­rend ihrer Amts­zeit kei­ne ande­re mit ihrem Amt nicht zu ver­ein­ba­ren­de ent­gelt­li­che oder unent­gelt­li­che Tätig­keit aus.
(4) Jeder Mit­glied­staat stellt sicher, dass jede Auf­sichts­be­hör­de mit den per­so­nel­len, tech­ni­schen und finan­zi­el­len Res­sour­cen, Räum­lich­kei­ten und Infra­struk­tu­ren aus­ge­stat­tet wird, die sie benö­tigt, um ihre Auf­ga­ben und Befug­nis­se auch im Rah­men der Amts­hil­fe, Zusam­men­ar­beit und Mit­wir­kung im Aus­schuss effek­tiv wahr­neh­men zu können.
(5) Jeder Mit­glied­staat stellt sicher, dass jede Auf­sichts­be­hör­de ihr eige­nes Per­so­nal aus­wählt und hat, das aus­schließ­lich der Lei­tung des Mit­glieds oder der Mit­glie­der der betref­fen­den Auf­sichts­be­hör­de untersteht.
(6) Jeder Mit­glied­staat stellt sicher, dass jede Auf­sichts­be­hör­de einer Finanz­kon­trol­le unter­liegt, die ihre Unab­hän­gig­keit nicht beein­träch­tigt und dass sie über eige­ne, öffent­li­che, jähr­li­che Haus­halts­plä­ne ver­fügt, die Teil des gesam­ten Staats­haus­halts oder natio­na­len Haus­halts sein können.
Erwä­gungs­grün­de
(118) Die Tat­sa­che, dass die Auf­sichts­be­hör­den unab­hän­gig sind, soll­te nicht bedeu­ten, dass sie hin­sicht­lich ihrer Aus­ga­ben kei­nem Kon­troll- oder Über­wa­chungs­me­cha­nis­mus unter­wor­fen wer­den bzw. sie kei­ner gericht­li­chen Über­prü­fung unter­zo­gen wer­den können.
(120) Jede Auf­sichts­be­hör­de soll­te mit Finanz­mit­teln, Per­so­nal, Räum­lich­kei­ten und einer Infra­struk­tur aus­ge­stat­tet wer­den, wie sie für die wirk­sa­me Wahr­neh­mung ihrer Auf­ga­ben, ein­schließ­lich derer im Zusam­men­hang mit der Amts­hil­fe und Zusam­men­ar­beit mit ande­ren Auf­sichts­be­hör­den in der gesam­ten Uni­on, not­wen­dig sind. Jede Auf­sichts­be­hör­de soll­te über einen eige­nen, öffent­li­chen, jähr­li­chen Haus­halts­plan ver­fü­gen, der Teil des gesam­ten Staats­haus­halts oder natio­na­len Haus­halts sein kann.

Arti­kel 53 All­ge­mei­ne Bedin­gun­gen für die Mit­glie­der der Aufsichtsbehörde

(1) Die Mit­glied­staa­ten sehen vor, dass jedes Mit­glied ihrer Auf­sichts­be­hör­den im Wege eines trans­pa­ren­ten Ver­fah­rens ernannt wird, und zwar
vom Par­la­ment, von der Regie­rung, vom Staats­ober­haupt oder von einer unab­hän­gi­gen Stel­le, die nach dem Recht des Mit­glied­staats mit der Ernen­nung betraut wird.
(2) Jedes Mit­glied muss über die für die Erfül­lung sei­ner Auf­ga­ben und Aus­übung sei­ner Befug­nis­se erfor­der­li­che Qua­li­fi­ka­ti­on, Erfah­rung und Sach­kun­de ins­be­son­de­re im Bereich des Schut­zes per­so­nen­be­zo­ge­ner Daten verfügen.
(3) Das Amt eines Mit­glieds endet mit Ablauf der Amts­zeit, mit sei­nem Rück­tritt oder ver­pflich­ten­der Ver­set­zung in den Ruhe­stand gemäß dem Recht des betrof­fe­nen Mitgliedstaats.
(4) Ein Mit­glied wird sei­nes Amtes nur ent­ho­ben, wenn es eine schwe­re Ver­feh­lung began­gen hat oder die Vor­aus­set­zun­gen für die Wahr­neh­mung sei­ner Auf­ga­ben nicht mehr erfüllt.
Erwä­gungs­grün­de
(121) Die all­ge­mei­nen Anfor­de­run­gen an das Mit­glied oder die Mit­glie­der der Auf­sichts­be­hör­de soll­ten durch Rechts­vor­schrif­ten von jedem Mit­glied­staat gere­gelt wer­den und ins­be­son­de­re vor­se­hen, dass die­se Mit­glie­der im Wege eines trans­pa­ren­ten Ver­fah­rens ent­we­der — auf Vor­schlag der Regie­rung, eines Mit­glieds der Regie­rung, des Par­la­ments oder einer Par­la­ments­kam­mer — vom Par­la­ment, der Regie­rung oder dem Staats­ober­haupt des Mit­glied­staats oder von einer unab­hän­gi­gen Stel­le ernannt wer­den, die nach dem Recht des Mit­glied­staats mit der Ernen­nung betraut wird. Um die Unab­hän­gig­keit der Auf­sichts­be­hör­de zu gewähr­lei­sten, soll­ten ihre Mit­glie­der ihr Amt inte­ger aus­üben, von allen mit den Auf­ga­ben ihres Amts nicht zu ver­ein­ba­ren­den Hand­lun­gen abse­hen und wäh­rend ihrer Amts­zeit kei­ne ande­re mit ihrem Amt nicht zu ver­ein­ba­ren­de ent­gelt­li­che oder unent­gelt­li­che Tätig­keit aus­üben. Die Auf­sichts­be­hör­de soll­te über eige­nes Per­so­nal ver­fü­gen, das sie selbst oder eine nach dem Recht des Mit­glied­staats ein­ge­rich­te­te unab­hän­gi­ge Stel­le aus­wählt und das aus­schließ­lich der Lei­tung des Mit­glieds oder der Mit­glie­der der Auf­sichts­be­hör­de unter­ste­hen sollte.

Arti­kel 54 Errich­tung der Aufsichtsbehörde

(1) Jeder Mit­glied­staat sieht durch Rechts­vor­schrif­ten Fol­gen­des vor:
a) die Errich­tung jeder Aufsichtsbehörde;
b) die erfor­der­li­chen Qua­li­fi­ka­tio­nen und son­sti­gen Vor­aus­set­zun­gen für die Ernen­nung zum Mit­glied jeder Aufsichtsbehörde;
c) die Vor­schrif­ten und Ver­fah­ren für die Ernen­nung des Mit­glieds oder der Mit­glie­der jeder Aufsichtsbehörde;
d) die Amts­zeit des Mit­glieds oder der Mit­glie­der jeder Auf­sichts­be­hör­de von min­de­stens vier Jah­ren; dies gilt nicht für die erste Amts­zeit nach 24. Mai 2016, die für einen Teil der Mit­glie­der kür­zer sein kann, wenn eine zeit­lich ver­setz­te Ernen­nung zur Wah­rung der Unab­hän­gig­keit der Auf­sichts­be­hör­de not­wen­dig ist;
e) die Fra­ge, ob und — wenn ja — wie oft das Mit­glied oder die Mit­glie­der jeder Auf­sichts­be­hör­de wie­der­er­nannt wer­den können;
f) die Bedin­gun­gen im Hin­blick auf die Pflich­ten des Mit­glieds oder der Mit­glie­der und der Bedien­ste­ten jeder Auf­sichts­be­hör­de, die Ver­bo­te von Hand­lun­gen, beruf­li­chen Tätig­kei­ten und Ver­gü­tun­gen wäh­rend und nach der Amts­zeit, die mit die­sen Pflich­ten unver­ein­bar sind, und die Regeln für die Been­di­gung des Beschäftigungsverhältnisses.
(2) Das Mit­glied oder die Mit­glie­der und die Bedien­ste­ten jeder Auf­sichts­be­hör­de sind gemäß dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten sowohl wäh­rend ihrer Amts- bezie­hungs­wei­se Dienst­zeit als auch nach deren Been­di­gung ver­pflich­tet, über alle ver­trau­li­chen Infor­ma­tio­nen, die ihnen bei der Wahr­neh­mung ihrer Auf­ga­ben oder der Aus­übung ihrer Befug­nis­se bekannt gewor­den sind, Ver­schwie­gen­heit zu wah­ren. Wäh­rend die­ser Amts- bezie­hungs­wei­se Dienst­zeit gilt die­se Ver­schwie­gen­heits­pflicht ins­be­son­de­re für die von natür­li­chen Per­so­nen gemel­de­ten Ver­stö­ßen gegen die­se Verordnung.

Abschnitt 2 Zustän­dig­keit, Auf­ga­ben und Befugnisse

Arti­kel 55 Zuständigkeit

(1) Jede Auf­sichts­be­hör­de ist für die Erfül­lung der Auf­ga­ben und die Aus­übung der Befug­nis­se, die ihr mit die­ser Ver­ord­nung über­tra­gen wur­den, im Hoheits­ge­biet ihres eige­nen Mit­glied­staats zuständig.
(2) Erfolgt die Ver­ar­bei­tung durch Behör­den oder pri­va­te Stel­len auf der Grund­la­ge von Arti­kel 6 Absatz 1 Buch­sta­be c oder e, so ist die Auf­sichts­be­hör­de des betrof­fe­nen Mit­glied­staats zustän­dig. In die­sem Fall fin­det Arti­kel 56 kei­ne Anwendung.
(3) Die Auf­sichts­be­hör­den sind nicht zustän­dig für die Auf­sicht über die von Gerich­ten im Rah­men ihrer justi­zi­el­len Tätig­keit vor­ge­nom­me­nen Verarbeitungen.
Erwä­gungs­grün­de
(122) Jede Auf­sichts­be­hör­de soll­te dafür zustän­dig sein, im Hoheits­ge­biet ihres Mit­glied­staats die Befug­nis­se aus­zu­üben und die Auf­ga­ben zu erfül­len, die ihr mit die­ser Ver­ord­nung über­tra­gen wur­den. Dies soll­te ins­be­son­de­re für Fol­gen­des gelten:
die Ver­ar­bei­tung im Rah­men der Tätig­kei­ten einer Nie­der­las­sung des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters im Hoheits­ge­biet ihres Mit­glied­staats, die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Behör­den oder pri­va­te Stel­len, die im öffent­li­chen Inter­es­se han­deln, Ver­ar­bei­tungs­tä­tig­kei­ten, die Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in ihrem Hoheits­ge­biet haben, oder Ver­ar­bei­tungs­tä­tig­kei­ten eines Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters ohne Nie­der­las­sung in der Uni­on, sofern sie auf betrof­fe­ne Per­so­nen mit Wohn­sitz in ihrem Hoheits­ge­biet aus­ge­rich­tet sind. Dies soll­te auch die Bear­bei­tung von Beschwer­den einer betrof­fe­nen Per­son, die Durch­füh­rung von Unter­su­chun­gen über die Anwen­dung die­ser Ver­ord­nung sowie die För­de­rung der Infor­ma­ti­on der Öffent­lich­keit über Risi­ken, Vor­schrif­ten, Garan­tien und Rech­te im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein­schlie­ßen.
(128) Die Vor­schrif­ten über die feder­füh­ren­de Behör­de und das Ver­fah­ren der Zusam­men­ar­beit und Kohä­renz soll­ten kei­ne Anwen­dung fin­den, wenn die Ver­ar­bei­tung durch Behör­den oder pri­va­te Stel­len im öffent­li­chen Inter­es­se erfolgt. In die­sen Fäl­len soll­te die Auf­sichts­be­hör­de des Mit­glied­staats, in dem die Behör­de oder pri­va­te Ein­rich­tung ihren Sitz hat, die ein­zi­ge Auf­sichts­be­hör­de sein, die dafür zustän­dig ist, die Befug­nis­se aus­zu­üben, die ihr mit die­ser Ver­ord­nung über­tra­gen wurden.

Arti­kel 56 Zustän­dig­keit der feder­füh­ren­den Aufsichtsbehörde

(1) Unbe­scha­det des Arti­kels 55 ist die Auf­sichts­be­hör­de der Haupt­nie­der­las­sung oder der ein­zi­gen Nie­der­las­sung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters gemäß dem Ver­fah­ren nach Arti­kel 60 die zustän­di­ge feder­füh­ren­de Auf­sichts­be­hör­de für die von die­sem Ver­ant­wort­li­chen oder die­sem Auf­trags­ver­ar­bei­ter durch­ge­führ­te grenz­über­schrei­ten­de Verarbeitung.
(2) Abwei­chend von Absatz 1 ist jede Auf­sichts­be­hör­de dafür zustän­dig, sich mit einer bei ihr ein­ge­reich­ten Beschwer­de oder einem etwa­igen Ver­stoß gegen die­se Ver­ord­nung zu befas­sen, wenn der Gegen­stand nur mit einer Nie­der­las­sung in ihrem Mit­glied­staat zusam­men­hängt oder betrof­fe­ne Per­so­nen nur ihres Mit­glied­staats erheb­lich beeinträchtigt.
(3) In den in Absatz 2 des vor­lie­gen­den Arti­kels genann­ten Fäl­len unter­rich­tet die Auf­sichts­be­hör­de unver­züg­lich die feder­füh­ren­de Auf­sichts­be­hör­de über die­se Ange­le­gen­heit. Inner­halb einer Frist von drei Wochen nach der Unter­rich­tung ent­schei­det die feder­füh­ren­de Auf­sichts­be­hör­de, ob sie sich mit dem Fall gemäß dem Ver­fah­ren nach Arti­kel 60 befasst oder nicht, wobei sie berück­sich­tigt, ob der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter in dem Mit­glied­staat, des­sen Auf­sichts­be­hör­de sie unter­rich­tet hat, eine Nie­der­las­sung hat oder nicht.
(4) Ent­schei­det die feder­füh­ren­de Auf­sichts­be­hör­de, sich mit dem Fall zu befas­sen, so fin­det das Ver­fah­ren nach Arti­kel 60 Anwen­dung. Die Auf­sichts­be­hör­de, die die feder­füh­ren­de Auf­sichts­be­hör­de unter­rich­tet hat, kann die­ser einen Beschluss­ent­wurf vor­le­gen. Die feder­füh­ren­de Auf­sichts­be­hör­de trägt die­sem Ent­wurf bei der Aus­ar­bei­tung des Beschluss­ent­wurfs nach Arti­kel 60 Absatz 3 wei­test­ge­hend Rechnung.
(5) Ent­schei­det die feder­füh­ren­de Auf­sichts­be­hör­de, sich mit dem Fall nicht selbst zu befas­sen, so befasst die Auf­sichts­be­hör­de, die die feder­füh­ren­de Auf­sichts­be­hör­de unter­rich­tet hat, sich mit dem Fall gemäß den Arti­keln 61 und 62.
(6) Die feder­füh­ren­de Auf­sichts­be­hör­de ist der ein­zi­ge Ansprech­part­ner der Ver­ant­wort­li­chen oder der Auf­trags­ver­ar­bei­ter für Fra­gen der von die­sem Ver­ant­wort­li­chen oder die­sem Auf­trags­ver­ar­bei­ter durch­ge­führ­ten grenz­über­schrei­ten­den Verarbeitung.
Erwä­gungs­grün­de
(124) Fin­det die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Zusam­men­hang mit der Tätig­keit einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on statt und hat der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Nie­der­las­sun­gen in mehr als einem Mit­glied­staat oder hat die Ver­ar­bei­tungs­tä­tig­keit im Zusam­men­hang mit der Tätig­keit einer ein­zi­gen Nie­der­las­sung eines Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters in der Uni­on erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in mehr als einem Mit­glied­staat bzw. wird sie vor­aus­sicht­lich sol­che Aus­wir­kun­gen haben, so soll­te die Auf­sichts­be­hör­de für die Haupt­nie­der­las­sung des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters oder für die ein­zi­ge Nie­der­las­sung des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters als feder­füh­ren­de Behör­de fun­gie­ren. Sie soll­te mit den ande­ren Behör­den zusam­men­ar­bei­ten, die betrof­fen sind, weil der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter eine Nie­der­las­sung im Hoheits­ge­biet ihres Mit­glied­staats hat, weil die Ver­ar­bei­tung erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen mit Wohn­sitz in ihrem Hoheits­ge­biet hat oder weil bei ihnen eine Beschwer­de ein­ge­legt wur­de. Auch wenn eine betrof­fe­ne Per­son ohne Wohn­sitz in dem betref­fen­den Mit­glied­staat eine Beschwer­de ein­ge­legt hat, soll­te die Auf­sichts­be­hör­de, bei der Beschwer­de ein­ge­legt wur­de, auch eine betrof­fe­ne Auf­sichts­be­hör­de sein. Der Aus­schuss soll­te — im Rah­men sei­ner Auf­ga­ben in Bezug auf die Her­aus­ga­be von Leit­li­ni­en zu allen Fra­gen im Zusam­men­hang mit der Anwen­dung die­ser Ver­ord­nung — ins­be­son­de­re Leit­li­ni­en zu den Kri­te­ri­en aus­ge­ben kön­nen, die bei der Fest­stel­lung zu berück­sich­ti­gen sind, ob die frag­li­che Ver­ar­bei­tung erheb­li­che Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in mehr als einem Mit­glied­staat hat und was einen maß­geb­li­chen und begrün­de­ten Ein­spruch darstellt.
(125) Die feder­füh­ren­de Behör­de soll­te berech­tigt sein, ver­bind­li­che Beschlüs­se über Maß­nah­men zu erlas­sen, mit denen die ihr gemäß die­ser Ver­ord­nung über­tra­ge­nen Befug­nis­se aus­ge­übt wer­den. In ihrer Eigen­schaft als feder­füh­ren­de Behör­de soll­te die­se Auf­sichts­be­hör­de für die enge Ein­bin­dung und Koor­di­nie­rung der betrof­fe­nen Auf­sichts­be­hör­den im Ent­schei­dungs­pro­zess sor­gen. Wird beschlos­sen, die Beschwer­de der betrof­fe­nen Per­son voll­stän­dig oder teil­wei­se abzu­wei­sen, so soll­te die­ser Beschluss von der Auf­sichts­be­hör­de ange­nom­men wer­den, bei der die Beschwer­de ein­ge­legt wurde.
(127) Jede Auf­sichts­be­hör­de, die nicht als feder­füh­ren­de Auf­sichts­be­hör­de fun­giert, soll­te in ört­li­chen Fäl­len zustän­dig sein, wenn der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter Nie­der­las­sun­gen in mehr als einem Mit­glied­staat hat, der Gegen­stand der spe­zi­fi­schen Ver­ar­bei­tung aber nur die Ver­ar­bei­tungs­tä­tig­kei­ten in einem ein­zi­gen Mit­glied­staat und nur betrof­fe­ne Per­so­nen in die­sem einen Mit­glied­staat betrifft, bei­spiels­wei­se wenn es um die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten von Arbeit­neh­mern im spe­zi­fi­schen Beschäf­ti­gungs­kon­text eines Mit­glied­staats geht. In sol­chen Fäl­len soll­te die Auf­sichts­be­hör­de unver­züg­lich die feder­füh­ren­de Auf­sichts­be­hör­de über die­se Ange­le­gen­heit unter­rich­ten. Nach ihrer Unter­rich­tung soll­te die feder­füh­ren­de Auf­sichts­be­hör­de ent­schei­den, ob sie den Fall nach den Bestim­mun­gen zur Zusam­men­ar­beit zwi­schen der feder­füh­ren­den Auf­sichts­be­hör­de und ande­ren betrof­fe­nen Auf­sichts­be­hör­den gemäß der Vor­schrift zur Zusam­men­ar­beit zwi­schen der feder­füh­ren­den Auf­sichts­be­hör­de und ande­ren betrof­fe­nen Auf­sichts­be­hör­den (im Fol­gen­den “Ver­fah­ren der Zusam­men­ar­beit und Kohä­renz”) regelt oder ob die Auf­sichts­be­hör­de, die sie unter­rich­tet hat, den Fall auf ört­li­cher Ebe­ne regeln soll­te. Dabei soll­te die feder­füh­ren­de Auf­sichts­be­hör­de berück­sich­ti­gen, ob der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter in dem Mit­glied­staat, des­sen Auf­sichts­be­hör­de sie unter­rich­tet hat, eine Nie­der­las­sung hat, damit Beschlüs­se gegen­über dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter wirk­sam durch­ge­setzt wer­den. Ent­schei­det die feder­füh­ren­de Auf­sichts­be­hör­de, den Fall selbst zu regeln, soll­te die Auf­sichts­be­hör­de, die sie unter­rich­tet hat, die Mög­lich­keit haben, einen Beschluss­ent­wurf vor­zu­le­gen, dem die feder­füh­ren­de Auf­sichts­be­hör­de bei der Aus­ar­bei­tung ihres Beschluss­ent­wurfs im Rah­men die­ses Ver­fah­rens der Zusam­men­ar­beit und Kohä­renz wei­test­ge­hend Rech­nung tra­gen sollte.
(130) Ist die Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de, nicht die feder­füh­ren­de Auf­sichts­be­hör­de, so soll­te die feder­füh­ren­de Auf­sichts­be­hör­de gemäß den Bestim­mun­gen die­ser Ver­ord­nung über Zusam­men­ar­beit und Kohä­renz eng mit der Auf­sichts­be­hör­de zusam­men­ar­bei­ten, bei der die Beschwer­de ein­ge­reicht wur­de. In sol­chen Fäl­len soll­te die feder­füh­ren­de Auf­sichts­be­hör­de bei Maß­nah­men, die recht­li­che Wir­kun­gen ent­fal­ten sol­len, unter ande­rem bei der Ver­hän­gung von Geld­bu­ßen, den Stand­punkt der Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de und die wei­ter­hin befugt sein soll­te, in Abstim­mung mit der zustän­di­gen Auf­sichts­be­hör­de Unter­su­chun­gen im Hoheits­ge­biet ihres eige­nen Mit­glied­staats durch­zu­füh­ren, wei­test­ge­hend berücksichtigen.
(131) Wenn eine ande­re Auf­sichts­be­hör­de als feder­füh­ren­de Auf­sichts­be­hör­de für die Ver­ar­bei­tungs­tä­tig­kei­ten des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters fun­gie­ren soll­te, der kon­kre­te Gegen­stand einer Beschwer­de oder der mög­li­che Ver­stoß jedoch nur die Ver­ar­bei­tungs­tä­tig­kei­ten des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters in dem Mit­glied­staat betrifft, in dem die Beschwer­de ein­ge­reicht wur­de oder der mög­li­che Ver­stoß auf­ge­deckt wur­de, und die Ange­le­gen­heit kei­ne erheb­li­chen Aus­wir­kun­gen auf betrof­fe­ne Per­so­nen in ande­ren Mit­glied­staa­ten hat oder haben dürf­te, soll­te die Auf­sichts­be­hör­de, bei der eine Beschwer­de ein­ge­reicht wur­de oder die Situa­tio­nen, die mög­li­che Ver­stö­ße gegen die­se Ver­ord­nung dar­stel­len, auf­ge­deckt hat bzw. auf ande­re Wei­se dar­über infor­miert wur­de, ver­su­chen, eine güt­li­che Eini­gung mit dem Ver­ant­wort­li­chen zu erzie­len; falls sich dies als nicht erfolg­reich erweist, soll­te sie die gesam­te Band­brei­te ihrer Befug­nis­se wahr­neh­men. Dies soll­te auch Fol­gen­des umfas­sen: die spe­zi­fi­sche Ver­ar­bei­tung im Hoheits­ge­biet des Mit­glied­staats der Auf­sichts­be­hör­de oder im Hin­blick auf betrof­fe­ne Per­so­nen im Hoheits­ge­biet die­ses Mit­glied­staats; die Ver­ar­bei­tung im Rah­men eines Ange­bots von Waren oder Dienst­lei­stun­gen, das spe­zi­ell auf betrof­fe­ne Per­so­nen im Hoheits­ge­biet des Mit­glied­staats der Auf­sichts­be­hör­de aus­ge­rich­tet ist; oder eine Ver­ar­bei­tung, die unter Berück­sich­ti­gung der ein­schlä­gi­gen recht­li­chen Ver­pflich­tun­gen nach dem Recht der Mit­glied­staa­ten bewer­tet wer­den muss.

Arti­kel 57 Aufgaben

(1) Unbe­scha­det ande­rer in die­ser Ver­ord­nung dar­ge­leg­ter Auf­ga­ben muss jede Auf­sichts­be­hör­de in ihrem Hoheitsgebiet
a) die Anwen­dung die­ser Ver­ord­nung über­wa­chen und durchsetzen;
b) die Öffent­lich­keit für die Risi­ken, Vor­schrif­ten, Garan­tien und Rech­te im Zusam­men­hang mit der Ver­ar­bei­tung sen­si­bi­li­sie­ren und sie dar­über auf­klä­ren. Beson­de­re Beach­tung fin­den dabei spe­zi­fi­sche Maß­nah­men für Kinder;
c) im Ein­klang mit dem Recht des Mit­glieds­staats das natio­na­le Par­la­ment, die Regie­rung und ande­re Ein­rich­tun­gen und Gre­mi­en über legis­la­ti­ve und admi­ni­stra­ti­ve Maß­nah­men zum Schutz der Rech­te und Frei­hei­ten natür­li­cher Per­so­nen in Bezug auf die Ver­ar­bei­tung beraten;
d) die Ver­ant­wort­li­chen und die Auf­trags­ver­ar­bei­ter für die ihnen aus die­ser Ver­ord­nung ent­ste­hen­den Pflich­ten sensibilisieren;
e) auf Anfra­ge jeder betrof­fe­nen Per­son Infor­ma­tio­nen über die Aus­übung ihrer Rech­te auf­grund die­ser Ver­ord­nung zur Ver­fü­gung stel­len und gege­be­nen­falls zu die­sem Zweck mit den Auf­sichts­be­hör­den in ande­ren Mit­glied­staa­ten zusammenarbeiten;
f) sich mit Beschwer­den einer betrof­fe­nen Per­son oder Beschwer­den einer Stel­le, einer Orga­ni­sa­ti­on oder eines Ver­ban­des gemäß Arti­kel 80 befas­sen, den Gegen­stand der Beschwer­de in ange­mes­se­nem Umfang unter­su­chen und den Beschwer­de­füh­rer inner­halb einer ange­mes­se­nen Frist über den Fort­gang und das Ergeb­nis der Unter­su­chung unter­rich­ten, ins­be­son­de­re, wenn eine wei­te­re Unter­su­chung oder Koor­di­nie­rung mit einer ande­ren Auf­sichts­be­hör­de not­wen­dig ist;
g) mit ande­ren Auf­sichts­be­hör­den zusam­men­ar­bei­ten, auch durch Infor­ma­ti­ons­aus­tausch, und ihnen Amts­hil­fe lei­sten, um die ein­heit­li­che Anwen­dung und Durch­set­zung die­ser Ver­ord­nung zu gewährleisten;o
h) Unter­su­chun­gen über die Anwen­dung die­ser Ver­ord­nung durch­füh­ren, auch auf der Grund­la­ge von Infor­ma­tio­nen einer ande­ren Auf­sichts­be­hör­de oder einer ande­ren Behörde;
i) maß­geb­li­che Ent­wick­lun­gen ver­fol­gen, soweit sie sich auf den Schutz per­so­nen­be­zo­ge­ner Daten aus­wir­ken, ins­be­son­de­re die Ent­wick­lung der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie und der Geschäftspraktiken;
j) Stan­dard­ver­trags­klau­seln im Sin­ne des Arti­kels 28 Absatz 8 und des Arti­kels 46 Absatz 2 Buch­sta­be d festlegen;
k) eine Liste der Ver­ar­bei­tungs­ar­ten erstel­len und füh­ren, für die gemäß Arti­kel 35 Absatz 4 eine Daten­schutz-Fol­gen­ab­schät­zung durch­zu­füh­ren ist;
l) Bera­tung in Bezug auf die in Arti­kel 36 Absatz 2 genann­ten Ver­ar­bei­tungs­vor­gän­ge leisten;
m) die Aus­ar­bei­tung von Ver­hal­tens­re­geln gemäß Arti­kel 40 Absatz 1 för­dern und zu die­sen Ver­hal­tens­re­geln, die aus­rei­chen­de Garan­tien im Sin­ne des Arti­kels 40 Absatz 5 bie­ten müs­sen, Stel­lung­nah­men abge­ben und sie billigen;
n) die Ein­füh­rung von Daten­schutz­zer­ti­fi­zie­rungs­me­cha­nis­men und von Daten­schutz­sie­geln und ‑prüf­zei­chen nach Arti­kel 42 Absatz 1 anre­gen und Zer­ti­fi­zie­rungs­kri­te­ri­en nach Arti­kel 42 Absatz 5 billigen;
o) gege­be­nen­falls die nach Arti­kel 42 Absatz 7 erteil­ten Zer­ti­fi­zie­run­gen regel­mä­ßig überprüfen;
p) die Kri­te­ri­en für die Akkre­di­tie­rung einer Stel­le für die Über­wa­chung der Ein­hal­tung der Ver­hal­tens­re­geln gemäß Arti­kel 41 und einer Zer­ti­fi­zie­rungs­stel­le gemäß Arti­kel 43 abfas­sen und veröffentlichen;
q) die Akkre­di­tie­rung einer Stel­le für die Über­wa­chung der Ein­hal­tung der Ver­hal­tens­re­geln gemäß Arti­kel 41 und einer Zer­ti­fi­zie­rungs­stel­le gemäß Arti­kel 43 vornehmen;
r) Ver­trags­klau­seln und Bestim­mun­gen im Sin­ne des Arti­kels 46 Absatz 3 genehmigen;
s) ver­bind­li­che inter­ne Vor­schrif­ten gemäß Arti­kel 47 genehmigen;
t) Bei­trä­ge zur Tätig­keit des Aus­schus­ses leisten;
u) inter­ne Ver­zeich­nis­se über Ver­stö­ße gegen die­se Ver­ord­nung und gemäß Arti­kel 58 Absatz 2 ergrif­fe­ne Maß­nah­men und
v) jede son­sti­ge Auf­ga­be im Zusam­men­hang mit dem Schutz per­so­nen­be­zo­ge­ner Daten erfüllen.
(2) Jede Auf­sichts­be­hör­de erleich­tert das Ein­rei­chen von in Absatz 1 Buch­sta­be f genann­ten Beschwer­den durch Maß­nah­men wie etwa die Bereit­stel­lung eines Beschwer­de­for­mu­lars, das auch elek­tro­nisch aus­ge­füllt wer­den kann, ohne dass ande­re Kom­mu­ni­ka­ti­ons­mit­tel aus­ge­schlos­sen werden.
(3) Die Erfül­lung der Auf­ga­ben jeder Auf­sichts­be­hör­de ist für die betrof­fe­ne Per­son und gege­be­nen­falls für den Daten­schutz­be­auf­trag­ten unentgeltlich.
(4) Bei offen­kun­dig unbe­grün­de­ten oder — ins­be­son­de­re im Fall von häu­fi­ger Wie­der­ho­lung — exzes­si­ven Anfra­gen kann die Auf­sichts­be­hör­de eine ange­mes­se­ne Gebühr auf der Grund­la­ge der Ver­wal­tungs­ko­sten ver­lan­gen oder sich wei­gern, auf­grund der Anfra­ge tätig zu wer­den. In die­sem Fall trägt die Auf­sichts­be­hör­de die Beweis­last für den offen­kun­dig unbe­grün­de­ten oder exzes­si­ven Cha­rak­ter der Anfrage.
Erwä­gungs­grün­de
(132) Auf die Öffent­lich­keit aus­ge­rich­te­te Sen­si­bi­li­sie­rungs­maß­nah­men der Auf­sichts­be­hör­den soll­ten spe­zi­fi­sche Maß­nah­men ein­schlie­ßen, die sich an die Ver­ant­wort­li­chen und die Auf­trags­ver­ar­bei­ter, ein­schließ­lich Kleinst­un­ter­neh­men sowie klei­ner und mitt­le­rer Unter­neh­men, und an natür­li­che Per­so­nen, ins­be­son­de­re im Bil­dungs­be­reich, richten.

Arti­kel 58 Befugnisse

(1) Jede Auf­sichts­be­hör­de ver­fügt über sämt­li­che fol­gen­den Unter­su­chungs­be­fug­nis­se, die es ihr gestatten,
a) den Ver­ant­wort­li­chen, den Auf­trags­ver­ar­bei­ter und gege­be­nen­falls den Ver­tre­ter des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters anzu­wei­sen, alle Infor­ma­tio­nen bereit­zu­stel­len, die für die Erfül­lung ihrer Auf­ga­ben erfor­der­lich sind,
b) Unter­su­chun­gen in Form von Daten­schutz­über­prü­fun­gen durchzuführen,
c) eine Über­prü­fung der nach Arti­kel 42 Absatz 7 erteil­ten Zer­ti­fi­zie­run­gen durchzuführen,
d) den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter auf einen ver­meint­li­chen Ver­stoß gegen die­se Ver­ord­nung hinzuweisen,
e) von dem Ver­ant­wort­li­chen und dem Auf­trags­ver­ar­bei­ter Zugang zu allen per­so­nen­be­zo­ge­nen Daten und Infor­ma­tio­nen, die zur Erfül­lung ihrer Auf­ga­ben not­wen­dig sind, zu erhalten,
f) gemäß dem Ver­fah­rens­recht der Uni­on oder dem Ver­fah­rens­recht des Mit­glied­staats Zugang zu den Geschäfts­räu­men, ein­schließ­lich aller Daten­ver­ar­bei­tungs­an­la­gen und ‑gerä­te, des Ver­ant­wort­li­chen und des Auf­trags­ver­ar­bei­ters zu erhalten.
(2) Jede Auf­sichts­be­hör­de ver­fügt über sämt­li­che fol­gen­den Abhil­fe­be­fug­nis­se, die es ihr gestatten,
a) einen Ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter zu war­nen, dass beab­sich­tig­te Ver­ar­bei­tungs­vor­gän­ge vor­aus­sicht­lich gegen die­se Ver­ord­nung verstoßen,
b) einen Ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter zu ver­war­nen, wenn er mit Ver­ar­bei­tungs­vor­gän­gen gegen die­se Ver­ord­nung ver­sto­ßen hat,
c) den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter anzu­wei­sen, den Anträ­gen der betrof­fe­nen Per­son auf Aus­übung der ihr nach die­ser Ver­ord­nung zuste­hen­den Rech­te zu entsprechen,
d) den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter anzu­wei­sen, Ver­ar­bei­tungs­vor­gän­ge gege­be­nen­falls auf bestimm­te Wei­se und inner­halb eines bestimm­ten Zeit­raums in Ein­klang mit die­ser Ver­ord­nung zu bringen,
e) den Ver­ant­wort­li­chen anzu­wei­sen, die von einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten betrof­fe­nen Per­son ent­spre­chend zu benachrichtigen,
f) eine vor­über­ge­hen­de oder end­gül­ti­ge Beschrän­kung der Ver­ar­bei­tung, ein­schließ­lich eines Ver­bots, zu verhängen,
g) die Berich­ti­gung oder Löschung von per­so­nen­be­zo­ge­nen Daten oder die Ein­schrän­kung der Ver­ar­bei­tung gemäß den Arti­keln 16, 17 und 18 und die Unter­rich­tung der Emp­fän­ger, an die die­se per­so­nen­be­zo­ge­nen Daten gemäß Arti­kel 17 Absatz 2 und Arti­kel 19 offen­ge­legt wur­den, über sol­che Maß­nah­men anzuordnen,
h) eine Zer­ti­fi­zie­rung zu wider­ru­fen oder die Zer­ti­fi­zie­rungs­stel­le anzu­wei­sen, eine gemäß den Arti­kel 42 und 43 erteil­te Zer­ti­fi­zie­rung zu wider­ru­fen, oder die Zer­ti­fi­zie­rungs­stel­le anzu­wei­sen, kei­ne Zer­ti­fi­zie­rung zu ertei­len, wenn die Vor­aus­set­zun­gen für die Zer­ti­fi­zie­rung nicht oder nicht mehr erfüllt werden,
i) eine Geld­bu­ße gemäß Arti­kel 83 zu ver­hän­gen, zusätz­lich zu oder anstel­le von in die­sem Absatz genann­ten Maß­nah­men, je nach den Umstän­den des Einzelfalls,
j) die Aus­set­zung der Über­mitt­lung von Daten an einen Emp­fän­ger in einem Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on anzuordnen.
(3) Jede Auf­sichts­be­hör­de ver­fügt über sämt­li­che fol­gen­den Geneh­mi­gungs­be­fug­nis­se und bera­ten­den Befug­nis­se, die es ihr gestatten,
a) gemäß dem Ver­fah­ren der vor­he­ri­gen Kon­sul­ta­ti­on nach Arti­kel 36 den Ver­ant­wort­li­chen zu beraten,
b) zu allen Fra­gen, die im Zusam­men­hang mit dem Schutz per­so­nen­be­zo­ge­ner Daten ste­hen, von sich aus oder auf Anfra­ge Stel­lung­nah­men an das natio­na­le Par­la­ment, die Regie­rung des Mit­glied­staats oder im Ein­klang mit dem Recht des Mit­glied­staats an son­sti­ge Ein­rich­tun­gen und Stel­len sowie an die Öffent­lich­keit zu richten,
c) die Ver­ar­bei­tung gemäß Arti­kel 36 Absatz 5 zu geneh­mi­gen, falls im Recht des Mit­glied­staats eine der­ar­ti­ge vor­he­ri­ge Geneh­mi­gung ver­langt wird,
d) eine Stel­lung­nah­me abzu­ge­ben und Ent­wür­fe von Ver­hal­tens­re­geln gemäß Arti­kel 40 Absatz 5 zu billigen,
e) Zer­ti­fi­zie­rungs­stel­len gemäß Arti­kel 43 zu akkreditieren,
f) im Ein­klang mit Arti­kel 42 Absatz 5 Zer­ti­fi­zie­run­gen zu ertei­len und Kri­te­ri­en für die Zer­ti­fi­zie­rung zu billigen,
g) Stan­dard­da­ten­schutz­klau­seln nach Arti­kel 28 Absatz 8 und Arti­kel 46 Absatz 2 Buch­sta­be d festzulegen,
h) Ver­trags­klau­seln gemäß Arti­kel 46 Absatz 3 Buch­sta­be a zu genehmigen,
i) Ver­wal­tungs­ver­ein­ba­run­gen gemäß Arti­kel 46 Absatz 3 Buch­sta­be b zu genehmigen
j) ver­bind­li­che inter­ne Vor­schrif­ten gemäß Arti­kel 47 zu genehmigen.
(4) Die Aus­übung der der Auf­sichts­be­hör­de gemäß die­sem Arti­kel über­tra­ge­nen Befug­nis­se erfolgt vor­be­halt­lich geeig­ne­ter Garan­tien ein­schließ­lich wirk­sa­mer gericht­li­cher Rechts­be­hel­fe und ord­nungs­ge­mä­ßer Ver­fah­ren gemäß dem Uni­ons­recht und dem Recht des Mit­glied­staats im Ein­klang mit der Charta.
(5) Jeder Mit­glied­staat sieht durch Rechts­vor­schrif­ten vor, dass sei­ne Auf­sichts­be­hör­de befugt ist, Ver­stö­ße gegen die­se Ver­ord­nung den Justiz­be­hör­den zur Kennt­nis zu brin­gen und gege­be­nen­falls die Ein­lei­tung eines gericht­li­chen Ver­fah­rens zu betrei­ben oder sich sonst dar­an zu betei­li­gen, um die Bestim­mun­gen die­ser Ver­ord­nung durchzusetzen.
(6) Jeder Mit­glied­staat kann durch Rechts­vor­schrif­ten vor­se­hen, dass sei­ne Auf­sichts­be­hör­de neben den in den Absät­zen 1, 2 und 3 auf­ge­führ­ten Befug­nis­sen über zusätz­li­che Befug­nis­se ver­fügt. Die Aus­übung die­ser Befug­nis­se darf nicht die effek­ti­ve Durch­füh­rung des Kapi­tels VII beeinträchtigen.
Erwä­gungs­grün­de
(129) Um die ein­heit­li­che Über­wa­chung und Durch­set­zung die­ser Ver­ord­nung in der gesam­ten Uni­on sicher­zu­stel­len, soll­ten die Auf­sichts­be­hör­den in jedem Mit­glied­staat die­sel­ben Auf­ga­ben und wirk­sa­men Befug­nis­se haben, dar­un­ter, ins­be­son­de­re im Fall von Beschwer­den natür­li­cher Per­so­nen, Unter­su­chungs­be­fug­nis­se, Abhil­fe­be­fug­nis­se und Sank­ti­ons­be­fug­nis­se und Geneh­mi­gungs­be­fug­nis­se und bera­ten­de Befug­nis­se, sowie — unbe­scha­det der Befug­nis­se der Straf­ver­fol­gungs­be­hör­den nach dem Recht der Mit­glied­staa­ten — die Befug­nis, Ver­stö­ße gegen die­se Ver­ord­nung den Justiz­be­hör­den zur Kennt­nis zu brin­gen und Gerichts­ver­fah­ren anzu­stren­gen. Dazu soll­te auch die Befug­nis zäh­len, eine vor­über­ge­hen­de oder end­gül­ti­ge Beschrän­kung der Ver­ar­bei­tung, ein­schließ­lich eines Ver­bots, zu ver­hän­gen. Die Mit­glied­staa­ten kön­nen ande­re Auf­ga­ben im Zusam­men­hang mit dem Schutz per­so­nen­be­zo­ge­ner Daten im Rah­men die­ser Ver­ord­nung fest­le­gen. Die Befug­nis­se der Auf­sichts­be­hör­den soll­ten in Über­ein­stim­mung mit den geeig­ne­ten Ver­fah­rens­ga­ran­tien nach dem Uni­ons­recht und dem Recht der Mit­glied­staa­ten unpar­tei­isch, gerecht und inner­halb einer ange­mes­se­nen Frist aus­ge­übt wer­den. Ins­be­son­de­re soll­te jede Maß­nah­me im Hin­blick auf die Gewähr­lei­stung der Ein­hal­tung die­ser Ver­ord­nung geeig­net, erfor­der­lich und ver­hält­nis­mä­ßig sein, wobei die Umstän­de des jewei­li­gen Ein­zel­falls zu berück­sich­ti­gen sind, das Recht einer jeden Per­son, gehört zu wer­den, bevor eine indi­vi­du­el­le Maß­nah­me getrof­fen wird, die nach­tei­li­ge Aus­wir­kun­gen auf die­se Per­son hät­te, zu ach­ten ist und über­flüs­si­ge Kosten und über­mä­ßi­ge Unan­nehm­lich­kei­ten für die Betrof­fe­nen zu ver­mei­den sind. Unter­su­chungs­be­fug­nis­se im Hin­blick auf den Zugang zu Räum­lich­kei­ten soll­ten im Ein­klang mit beson­de­ren Anfor­de­run­gen im Ver­fah­rens­recht der Mit­glied­staa­ten aus­ge­übt wer­den, wie etwa dem Erfor­der­nis einer vor­he­ri­gen rich­ter­li­chen Geneh­mi­gung. Jede rechts­ver­bind­li­che Maß­nah­me der Auf­sichts­be­hör­de soll­te schrift­lich erlas­sen wer­den und sie soll­te klar und ein­deu­tig sein; die Auf­sichts­be­hör­de, die die Maß­nah­me erlas­sen hat, und das Datum, an dem die Maß­nah­me erlas­sen wur­de, soll­ten ange­ge­ben wer­den und die Maß­nah­me soll­te vom Lei­ter oder von einem von ihm bevoll­mäch­ti­gen Mit­glied der Auf­sichts­be­hör­de unter­schrie­ben sein und eine Begrün­dung für die Maß­nah­me sowie einen Hin­weis auf das Recht auf einen wirk­sa­men Rechts­be­helf ent­hal­ten. Dies soll­te zusätz­li­che Anfor­de­run­gen nach dem Ver­fah­rens­recht der Mit­glied­staa­ten nicht aus­schlie­ßen. Der Erlass eines rechts­ver­bind­li­chen Beschlus­ses setzt vor­aus, dass er in dem Mit­glied­staat der Auf­sichts­be­hör­de, die den Beschluss erlas­sen hat, gericht­lich über­prüft wer­den kann.

Arti­kel 59 Tätigkeitsbericht

Jede Auf­sichts­be­hör­de erstellt einen Jah­res­be­richt über ihre Tätig­keit, der eine Liste der Arten der gemel­de­ten Ver­stö­ße und der Arten der getrof­fe­nen Maß­nah­men nach Arti­kel 58 Absatz 2 ent­hal­ten kann. Die­se Berich­te wer­den dem natio­na­len Par­la­ment, der Regie­rung und ande­ren nach dem Recht der Mit­glied­staa­ten bestimm­ten Behör­den über­mit­telt. Sie wer­den der Öffent­lich­keit, der Kom­mis­si­on und dem Aus­schuss zugäng­lich gemacht. 

Kapi­tel VII Zusam­men­ar­beit und Kohärenz

Abschnitt 1 Zusammenarbeit

Arti­kel 60 Zusam­men­ar­beit zwi­schen der feder­füh­ren­den Auf­sichts­be­hör­de und den ande­ren betrof­fe­nen Aufsichtsbehörden

(1) Die feder­füh­ren­de Auf­sichts­be­hör­de arbei­tet mit den ande­ren betrof­fe­nen Auf­sichts­be­hör­den im Ein­klang mit die­sem Arti­kel zusam­men und bemüht sich dabei, einen Kon­sens zu erzie­len. Die feder­füh­ren­de Auf­sichts­be­hör­de und die betrof­fe­nen Auf­sichts­be­hör­den tau­schen unter­ein­an­der alle zweck­dien­li­chen Infor­ma­tio­nen aus.
(2) Die feder­füh­ren­de Auf­sichts­be­hör­de kann jeder­zeit ande­re betrof­fe­ne Auf­sichts­be­hör­den um Amts­hil­fe gemäß Arti­kel 61 ersu­chen und gemein­sa­me Maß­nah­men gemäß Arti­kel 62 durch­füh­ren, ins­be­son­de­re zur Durch­füh­rung von Unter­su­chun­gen oder zur Über­wa­chung der Umset­zung einer Maß­nah­me in Bezug auf einen Ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter, der in einem ande­ren Mit­glied­staat nie­der­ge­las­sen ist.
(3) Die feder­füh­ren­de Auf­sichts­be­hör­de über­mit­telt den ande­ren betrof­fe­nen Auf­sichts­be­hör­den unver­züg­lich die zweck­dien­li­chen Infor­ma­tio­nen zu der Ange­le­gen­heit. Sie legt den ande­ren betrof­fe­nen Auf­sichts­be­hör­den unver­züg­lich einen Beschluss­ent­wurf zur Stel­lung­nah­me vor und trägt deren Stand­punk­ten gebüh­rend Rechnung.
(4) Legt eine der ande­ren betrof­fe­nen Auf­sichts­be­hör­den inner­halb von vier Wochen, nach­dem sie gemäß Absatz 3 des vor­lie­gen­den Arti­kels kon­sul­tiert wur­de, gegen die­sen Beschluss­ent­wurf einen maß­geb­li­chen und begrün­de­ten Ein­spruch ein und schließt sich die feder­füh­ren­de Auf­sichts­be­hör­de dem maß­geb­li­chen und begrün­de­ten Ein­spruch nicht an oder ist der Ansicht, dass der Ein­spruch nicht maß­geb­lich oder nicht begrün­det ist, so lei­tet die feder­füh­ren­de Auf­sichts­be­hör­de das Kohä­renz­ver­fah­ren gemäß Arti­kel 63 für die Ange­le­gen­heit ein.
(5) Beab­sich­tigt die feder­füh­ren­de Auf­sichts­be­hör­de, sich dem maß­geb­li­chen und begrün­de­ten Ein­spruch anzu­schlie­ßen, so legt sie den ande­ren betrof­fe­nen Auf­sichts­be­hör­den einen über­ar­bei­te­ten Beschluss­ent­wurf zur Stel­lung­nah­me vor. Der über­ar­bei­te­te Beschluss­ent­wurf wird inner­halb von zwei Wochen dem Ver­fah­ren nach Absatz 4 unterzogen.
(6) Legt kei­ne der ande­ren betrof­fe­nen Auf­sichts­be­hör­den Ein­spruch gegen den Beschluss­ent­wurf ein, der von der feder­füh­ren­den Auf­sichts­be­hör­de inner­halb der in den Absät­zen 4 und 5 fest­ge­leg­ten Frist vor­ge­legt wur­de, so gel­ten die feder­füh­ren­de Auf­sichts­be­hör­de und die betrof­fe­nen Auf­sichts­be­hör­den als mit dem Beschluss­ent­wurf ein­ver­stan­den und sind an ihn gebunden.
(7) Die feder­füh­ren­de Auf­sichts­be­hör­de erlässt den Beschluss und teilt ihn der Haupt­nie­der­las­sung oder der ein­zi­gen Nie­der­las­sung des Ver­ant­wort­li­chen oder gege­be­nen­falls des Auf­trags­ver­ar­bei­ters mit und setzt die ande­ren betrof­fe­nen Auf­sichts­be­hör­den und den Aus­schuss von dem betref­fen­den Beschluss ein­schließ­lich einer Zusam­men­fas­sung der maß­geb­li­chen Fak­ten und Grün­de in Kennt­nis. Die Auf­sichts­be­hör­de, bei der eine Beschwer­de ein­ge­reicht wor­den ist, unter­rich­tet den Beschwer­de­füh­rer über den Beschluss.
(8) Wird eine Beschwer­de abge­lehnt oder abge­wie­sen, so erlässt die Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de, abwei­chend von Absatz 7 den Beschluss, teilt ihn dem Beschwer­de­füh­rer mit und setzt den Ver­ant­wort­li­chen in Kenntnis.
(9) Sind sich die feder­füh­ren­de Auf­sichts­be­hör­de und die betref­fen­den Auf­sichts­be­hör­den dar­über einig, Tei­le der Beschwer­de abzu­leh­nen oder abzu­wei­sen und bezüg­lich ande­rer Tei­le die­ser Beschwer­de tätig zu wer­den, so wird in die­ser Ange­le­gen­heit für jeden die­ser Tei­le ein eige­ner Beschluss erlas­sen. Die feder­füh­ren­de Auf­sichts­be­hör­de erlässt den Beschluss für den Teil, der das Tätig­wer­den in Bezug auf den Ver­ant­wort­li­chen betrifft, teilt ihn der Haupt­nie­der­las­sung oder ein­zi­gen Nie­der­las­sung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters im Hoheits­ge­biet ihres Mit­glied­staats mit und setzt den Beschwer­de­füh­rer hier­von in Kennt­nis, wäh­rend die für den Beschwer­de­füh­rer zustän­di­ge Auf­sichts­be­hör­de den Beschluss für den Teil erlässt, der die Ableh­nung oder Abwei­sung die­ser Beschwer­de betrifft, und ihn die­sem Beschwer­de­füh­rer mit­teilt und den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­ter hier­von in Kennt­nis setzt.
(10) Nach der Unter­rich­tung über den Beschluss der feder­füh­ren­den Auf­sichts­be­hör­de gemäß den Absät­zen 7 und 9 ergreift der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter die erfor­der­li­chen Maß­nah­men, um die Ver­ar­bei­tungs­tä­tig­kei­ten all sei­ner Nie­der­las­sun­gen in der Uni­on mit dem Beschluss in Ein­klang zu brin­gen. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter teilt der feder­füh­ren­den Auf­sichts­be­hör­de die Maß­nah­men mit, die zur Ein­hal­tung des Beschlus­ses ergrif­fen wur­den; die­se wie­der­um unter­rich­tet die ande­ren betrof­fe­nen Aufsichtsbehörden.
(11) Hat — in Aus­nah­me­fäl­len — eine betrof­fe­ne Auf­sichts­be­hör­de Grund zu der Annah­me, dass zum Schutz der Inter­es­sen betrof­fe­ner Per­so­nen drin­gen­der Hand­lungs­be­darf besteht, so kommt das Dring­lich­keits­ver­fah­ren nach Arti­kel 66 zur Anwendung.
(12) Die feder­füh­ren­de Auf­sichts­be­hör­de und die ande­ren betrof­fe­nen Auf­sichts­be­hör­den über­mit­teln ein­an­der die nach die­sem Arti­kel gefor­der­ten Infor­ma­tio­nen auf elek­tro­ni­schem Wege unter Ver­wen­dung eines stan­dar­di­sier­ten Formats.
Erwä­gungs­grün­de
(126) Der Beschluss soll­te von der feder­füh­ren­den Auf­sichts­be­hör­de und den betrof­fe­nen Auf­sichts­be­hör­den gemein­sam ver­ein­bart wer­den und an die Haupt­nie­der­las­sung oder die ein­zi­ge Nie­der­las­sung des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters gerich­tet sein und für den Ver­ant­wort­li­chen und den Auf­trags­ver­ar­bei­ter ver­bind­lich sein. Der Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter soll­te die erfor­der­li­chen Maß­nah­men tref­fen, um die Ein­hal­tung die­ser Ver­ord­nung und die Umset­zung des Beschlus­ses zu gewähr­lei­sten, der der Haupt­nie­der­las­sung des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters im Hin­blick auf die Ver­ar­bei­tungs­tä­tig­kei­ten in der Uni­on von der feder­füh­ren­den Auf­sichts­be­hör­de mit­ge­teilt wurde.

Arti­kel 61 Gegen­sei­ti­ge Amtshilfe

(1) Die Auf­sichts­be­hör­den über­mit­teln ein­an­der maß­geb­li­che Infor­ma­tio­nen und gewäh­ren ein­an­der Amts­hil­fe, um die­se Ver­ord­nung ein­heit­lich durch­zu­füh­ren und anzu­wen­den, und tref­fen Vor­keh­run­gen für eine wirk­sa­me Zusam­men­ar­beit. Die Amts­hil­fe bezieht sich ins­be­son­de­re auf Aus­kunfts­er­su­chen und auf­sichts­be­zo­ge­ne Maß­nah­men, bei­spiels­wei­se Ersu­chen um vor­he­ri­ge Geneh­mi­gun­gen und eine vor­he­ri­ge Kon­sul­ta­ti­on, um Vor­nah­me von Nach­prü­fun­gen und Untersuchungen.
(2) Jede Auf­sichts­be­hör­de ergreift alle geeig­ne­ten Maß­nah­men, um einem Ersu­chen einer ande­ren Auf­sichts­be­hör­de unver­züg­lich und spä­te­stens inner­halb eines Monats nach Ein­gang des Ersu­chens nach­zu­kom­men. Dazu kann ins­be­son­de­re auch die Über­mitt­lung maß­geb­li­cher Infor­ma­tio­nen über die Durch­füh­rung einer Unter­su­chung gehören.
(3) Amts­hil­fe­er­su­chen ent­hal­ten alle erfor­der­li­chen Infor­ma­tio­nen, ein­schließ­lich Zweck und Begrün­dung des Ersu­chens. Die über­mit­tel­ten Infor­ma­tio­nen wer­den aus­schließ­lich für den Zweck ver­wen­det, für den sie ange­for­dert wurden.
(4) Die ersuch­te Auf­sichts­be­hör­de lehnt das Ersu­chen nur ab, wenn
a) sie für den Gegen­stand des Ersu­chens oder für die Maß­nah­men, die sie durch­füh­ren soll, nicht zustän­dig ist oder
b) ein Ein­ge­hen auf das Ersu­chen gegen die­se Ver­ord­nung ver­sto­ßen wür­de oder gegen das Uni­ons­recht oder das Recht der Mit­glied­staa­ten, dem die Auf­sichts­be­hör­de, bei der das Ersu­chen ein­geht, unterliegt.
(5) Die ersuch­te Auf­sichts­be­hör­de infor­miert die ersu­chen­de Auf­sichts­be­hör­de über die Ergeb­nis­se oder gege­be­nen­falls über den Fort­gang der Maß­nah­men, die getrof­fen wur­den, um dem Ersu­chen nach­zu­kom­men. Die ersuch­te Auf­sichts­be­hör­de erläu­tert gemäß Absatz 4 die Grün­de für die Ableh­nung des Ersuchens.
(6) Die ersuch­ten Auf­sichts­be­hör­den über­mit­teln die Infor­ma­tio­nen, um die von einer ande­ren Auf­sichts­be­hör­de ersucht wur­de, in der Regel auf elek­tro­ni­schem Wege unter Ver­wen­dung eines stan­dar­di­sier­ten Formats.
(7) Ersuch­te Auf­sichts­be­hör­den ver­lan­gen für Maß­nah­men, die sie auf­grund eines Amts­hil­fe­er­su­chens getrof­fen haben, kei­ne Gebüh­ren. Die Auf­sichts­be­hör­den kön­nen unter­ein­an­der Regeln ver­ein­ba­ren, um ein­an­der in Aus­nah­me­fäl­len beson­de­re auf­grund der Amts­hil­fe ent­stan­de­ne Aus­ga­ben zu erstatten.
(8) Erteilt eine ersuch­te Auf­sichts­be­hör­de nicht bin­nen eines Monats nach Ein­gang des Ersu­chens einer ande­ren Auf­sichts­be­hör­de die Infor­ma­tio­nen gemäß Absatz 5, so kann die ersu­chen­de Auf­sichts­be­hör­de eine einst­wei­li­ge Maß­nah­me im Hoheits­ge­biet ihres Mit­glied­staats gemäß Arti­kel 55 Absatz 1 ergrei­fen. In die­sem Fall wird von einem drin­gen­den Hand­lungs­be­darf gemäß Arti­kel 66 Absatz 1 aus­ge­gan­gen, der einen im Dring­lich­keits­ver­fah­ren ange­nom­me­nen ver­bind­li­chen Beschluss des Aus­schuss gemäß Arti­kel 66 Absatz 2 erfor­der­lich macht.
(9) Die Kom­mis­si­on kann im Wege von Durch­füh­rungs­rechts­ak­ten Form und Ver­fah­ren der Amts­hil­fe nach die­sem Arti­kel und die Aus­ge­stal­tung des elek­tro­ni­schen Infor­ma­ti­ons­aus­tauschs zwi­schen den Auf­sichts­be­hör­den sowie zwi­schen den Auf­sichts­be­hör­den und dem Aus­schuss, ins­be­son­de­re das in Absatz 6 des vor­lie­gen­den Arti­kels genann­te stan­dar­di­sier­te For­mat, fest­le­gen. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem in Arti­kel 93 Absatz 2 genann­ten Prüf­ver­fah­ren erlassen.
Erwä­gungs­grün­de
(133) Die Auf­sichts­be­hör­den soll­ten sich gegen­sei­tig bei der Erfül­lung ihrer Auf­ga­ben unter­stüt­zen und Amts­hil­fe lei­sten, damit eine ein­heit­li­che Anwen­dung und Durch­set­zung die­ser Ver­ord­nung im Bin­nen­markt gewähr­lei­stet ist. Eine Auf­sichts­be­hör­de, die um Amts­hil­fe ersucht hat, kann eine einst­wei­li­ge Maß­nah­me erlas­sen, wenn sie nicht bin­nen eines Monats nach Ein­gang des Amts­hil­fe­er­su­chens bei der ersuch­ten Auf­sichts­be­hör­de eine Ant­wort von die­ser erhal­ten hat.

Arti­kel 62 Gemein­sa­me Maß­nah­men der Aufsichtsbehörden

(1) Die Auf­sichts­be­hör­den füh­ren gege­be­nen­falls gemein­sa­me Maß­nah­men ein­schließ­lich gemein­sa­mer Unter­su­chun­gen und gemein­sa­mer Durch­set­zungs­maß­nah­men durch, an denen Mit­glie­der oder Bedien­ste­te der Auf­sichts­be­hör­den ande­rer Mit­glied­staa­ten teilnehmen.
(2) Ver­fügt der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter über Nie­der­las­sun­gen in meh­re­ren Mit­glied­staa­ten oder wer­den die Ver­ar­bei­tungs­vor­gän­ge vor­aus­sicht­lich auf eine bedeu­ten­de Zahl betrof­fe­ner Per­so­nen in mehr als einem Mit­glied­staat erheb­li­che Aus­wir­kun­gen haben, ist die Auf­sichts­be­hör­de jedes die­ser Mit­glied­staa­ten berech­tigt, an den gemein­sa­men Maß­nah­men teil­zu­neh­men. Die gemäß Arti­kel 56 Absatz 1 oder Absatz 4 zustän­di­ge Auf­sichts­be­hör­de lädt die Auf­sichts­be­hör­de jedes die­ser Mit­glied­staa­ten zur Teil­nah­me an den gemein­sa­men Maß­nah­men ein und ant­wor­tet unver­züg­lich auf das Ersu­chen einer Auf­sichts­be­hör­de um Teilnahme.
(3) Eine Auf­sichts­be­hör­de kann gemäß dem Recht des Mit­glied­staats und mit Geneh­mi­gung der unter­stüt­zen­den Auf­sichts­be­hör­de den an den gemein­sa­men Maß­nah­men betei­lig­ten Mit­glie­dern oder Bedien­ste­ten der unter­stüt­zen­den Auf­sichts­be­hör­de Befug­nis­se ein­schließ­lich Unter­su­chungs­be­fug­nis­se über­tra­gen oder, soweit dies nach dem Recht des Mit­glied­staats der ein­la­den­den Auf­sichts­be­hör­de zuläs­sig ist, den Mit­glie­dern oder Bedien­ste­ten der unter­stüt­zen­den Auf­sichts­be­hör­de gestat­ten, ihre Unter­su­chungs­be­fug­nis­se nach dem Recht des Mit­glied­staats der unter­stüt­zen­den Auf­sichts­be­hör­de aus­zu­üben. Die­se Unter­su­chungs­be­fug­nis­se kön­nen nur unter der Lei­tung und in Gegen­wart der Mit­glie­der oder Bedien­ste­ten der ein­la­den­den Auf­sichts­be­hör­de aus­ge­übt wer­den. Die Mit­glie­der oder Bedien­ste­ten der unter­stüt­zen­den Auf­sichts­be­hör­de unter­lie­gen dem Recht des Mit­glied­staats der ein­la­den­den Aufsichtsbehörde.
(4) Sind gemäß Absatz 1 Bedien­ste­te einer unter­stüt­zen­den Auf­sichts­be­hör­de in einem ande­ren Mit­glied­staat im Ein­satz, so über­nimmt der Mit­glied­staat der ein­la­den­den Auf­sichts­be­hör­de nach Maß­ga­be des Rechts des Mit­glied­staats, in des­sen Hoheits­ge­biet der Ein­satz erfolgt, die Ver­ant­wor­tung für ihr Han­deln, ein­schließ­lich der Haf­tung für alle von ihnen bei ihrem Ein­satz ver­ur­sach­ten Schäden.
(5) Der Mit­glied­staat, in des­sen Hoheits­ge­biet der Scha­den ver­ur­sacht wur­de, ersetzt die­sen Scha­den so, wie er ihn erset­zen müss­te, wenn sei­ne eige­nen Bedien­ste­ten ihn ver­ur­sacht hät­ten. Der Mit­glied­staat der unter­stüt­zen­den Auf­sichts­be­hör­de, deren Bedien­ste­te im Hoheits­ge­biet eines ande­ren Mit­glied­staats einer Per­son Scha­den zuge­fügt haben, erstat­tet die­sem ande­ren Mit­glied­staat den Gesamt­be­trag des Scha­den­er­sat­zes, den die­ser an die Berech­tig­ten gelei­stet hat.
(6) Unbe­scha­det der Aus­übung sei­ner Rech­te gegen­über Drit­ten und mit Aus­nah­me des Absat­zes 5 ver­zich­tet jeder Mit­glied­staat in dem Fall des Absat­zes 1 dar­auf, den in Absatz 4 genann­ten Betrag des erlit­te­nen Scha­dens ande­ren Mit­glied­staa­ten gegen­über gel­tend zu machen.
(7) Ist eine gemein­sa­me Maß­nah­me geplant und kommt eine Auf­sichts­be­hör­de bin­nen eines Monats nicht der Ver­pflich­tung nach Absatz 2 Satz 2 des vor­lie­gen­den Arti­kels nach, so kön­nen die ande­ren Auf­sichts­be­hör­den eine einst­wei­li­ge Maß­nah­me im Hoheits­ge­biet ihres Mit­glied­staats gemäß Arti­kel 55 ergrei­fen. In die­sem Fall wird von einem drin­gen­den Hand­lungs­be­darf gemäß Arti­kel 66 Absatz 1 aus­ge­gan­gen, der eine im Dring­lich­keits­ver­fah­ren ange­nom­me­ne Stel­lung­nah­me oder einen im Dring­lich­keits­ver­fah­ren ange­nom­me­nen ver­bind­li­chen Beschluss des Aus­schus­ses gemäß Arti­kel 66 Absatz 2 erfor­der­lich macht.
Erwä­gungs­grün­de
(134) Jede Auf­sichts­be­hör­de soll­te gege­be­nen­falls an gemein­sa­men Maß­nah­men von ande­ren Auf­sichts­be­hör­den teil­neh­men. Die ersuch­te Auf­sichts­be­hör­de soll­te auf das Ersu­chen bin­nen einer bestimm­ten Frist ant­wor­ten müssen.

Abschnitt 2 Kohärenz

Arti­kel 63 Kohärenzverfahren

Um zur ein­heit­li­chen Anwen­dung die­ser Ver­ord­nung in der gesam­ten Uni­on bei­zu­tra­gen, arbei­ten die Auf­sichts­be­hör­den im Rah­men des in die­sem Abschnitt beschrie­be­nen Kohä­renz­ver­fah­rens unter­ein­an­der und gege­be­nen­falls mit der Kom­mis­si­on zusam­men.
Erwä­gungs­grün­de
(135) Um die ein­heit­li­che Anwen­dung die­ser Ver­ord­nung in der gesam­ten Uni­on sicher­zu­stel­len, soll­te ein Ver­fah­ren zur Gewähr­lei­stung einer ein­heit­li­chen Rechts­an­wen­dung (Kohä­renz­ver­fah­ren) für die Zusam­men­ar­beit zwi­schen den Auf­sichts­be­hör­den ein­ge­führt wer­den. Die­ses Ver­fah­ren soll­te ins­be­son­de­re dann ange­wen­det wer­den, wenn eine Auf­sichts­be­hör­de beab­sich­tigt, eine Maß­nah­me zu erlas­sen, die recht­li­che Wir­kun­gen in Bezug auf Ver­ar­bei­tungs­vor­gän­ge ent­fal­ten soll, die für eine bedeu­ten­de Zahl betrof­fe­ner Per­so­nen in meh­re­ren Mit­glied­staa­ten erheb­li­che Aus­wir­kun­gen haben. Fer­ner soll­te es zur Anwen­dung kom­men, wenn eine betrof­fe­ne Auf­sichts­be­hör­de oder die Kom­mis­si­on bean­tragt, dass die Ange­le­gen­heit im Rah­men des Kohä­renz­ver­fah­rens behan­delt wird. Die­ses Ver­fah­ren soll­te ande­re Maß­nah­men, die die Kom­mis­si­on mög­li­cher­wei­se in Aus­übung ihrer Befug­nis­se nach den Ver­trä­gen trifft, unbe­rührt lassen.
(136) Bei Anwen­dung des Kohä­renz­ver­fah­rens soll­te der Aus­schuss, falls von der Mehr­heit sei­ner Mit­glie­der so ent­schie­den wird oder falls eine ande­re betrof­fe­ne Auf­sichts­be­hör­de oder die Kom­mis­si­on dar­um ersu­chen, bin­nen einer fest­ge­leg­ten Frist eine Stel­lung­nah­me abge­ben. Dem Aus­schuss soll­te auch die Befug­nis über­tra­gen wer­den, bei Strei­tig­kei­ten zwi­schen Auf­sichts­be­hör­den rechts­ver­bind­li­che Beschlüs­se zu erlas­sen. Zu die­sem Zweck soll­te er in klar bestimm­ten Fäl­len, in denen die Auf­sichts­be­hör­den ins­be­son­de­re im Rah­men des Ver­fah­rens der Zusam­men­ar­beit zwi­schen der feder­füh­ren­den Auf­sichts­be­hör­de und den betrof­fe­nen Auf­sichts­be­hör­den wider­sprüch­li­che Stand­punk­te zu dem Sach­ver­halt, vor allem in der Fra­ge, ob ein Ver­stoß gegen die­se Ver­ord­nung vor­liegt, ver­tre­ten, grund­sätz­lich mit einer Mehr­heit von zwei Drit­teln sei­ner Mit­glie­der rechts­ver­bind­li­che Beschlüs­se erlassen.
(138) Die Anwen­dung die­ses Ver­fah­rens soll­te in den Fäl­len, in denen sie ver­bind­lich vor­ge­schrie­ben ist, eine Bedin­gung für die Recht­mä­ßig­keit einer Maß­nah­me einer Auf­sichts­be­hör­de sein, die recht­li­che Wir­kun­gen ent­fal­ten soll. In ande­ren Fäl­len von grenz­über­schrei­ten­der Rele­vanz soll­te das Ver­fah­ren der Zusam­men­ar­beit zwi­schen der feder­füh­ren­den Auf­sichts­be­hör­de und den betrof­fe­nen Auf­sichts­be­hör­den zur Anwen­dung gelan­gen, und die betrof­fe­nen Auf­sichts­be­hör­den kön­nen auf bila­te­ra­ler oder mul­ti­la­te­ra­ler Ebe­ne Amts­hil­fe lei­sten und gemein­sa­me Maß­nah­men durch­füh­ren, ohne auf das Kohä­renz­ver­fah­ren zurückzugreifen.

Arti­kel 64 Stel­lung­nah­me Ausschusses

(1) Der Aus­schuss gibt eine Stel­lung­nah­me ab, wenn die zustän­di­ge Auf­sichts­be­hör­de beab­sich­tigt, eine der nach­ste­hen­den Maß­nah­men zu erlas­sen. Zu die­sem Zweck über­mit­telt die zustän­di­ge Auf­sichts­be­hör­de dem Aus­schuss den Ent­wurf des Beschlus­ses, wenn dieser
a) der Annah­me einer Liste der Ver­ar­bei­tungs­vor­gän­ge dient, die der Anfor­de­rung einer Daten­schutz-Fol­gen­ab­schät­zung gemäß Arti­kel 35 Absatz 4 unterliegen,
b) eine Ange­le­gen­heit gemäß Arti­kel 40 Absatz 7 und damit die Fra­ge betrifft, ob ein Ent­wurf von Ver­hal­tens­re­geln oder eine Ände­rung oder Ergän­zung von Ver­hal­tens­re­geln mit die­ser Ver­ord­nung in Ein­klang steht,
c) der Bil­li­gung der Kri­te­ri­en für die Akkre­di­tie­rung einer Stel­le nach Arti­kel 41 Absatz 3 oder einer Zer­ti­fi­zie­rungs­stel­le nach Arti­kel 43 Absatz 3 dient,
d) der Fest­le­gung von Stan­dard-Daten­schutz­klau­seln gemäß Arti­kel 46 Absatz 2 Buch­sta­be d und Arti­kel 28 Absatz 8 dient,
e) der Geneh­mi­gung von Ver­trags­klau­seln gemäß Arti­kels 46 Absatz 3 Buch­sta­be a dient, oder
f) der Annah­me ver­bind­li­cher inter­ner Vor­schrif­ten im Sin­ne von Arti­kel 47 dient.
(2) Jede Auf­sichts­be­hör­de, der Vor­sitz des Aus­schuss oder die Kom­mis­si­on kön­nen bean­tra­gen, dass eine Ange­le­gen­heit mit all­ge­mei­ner Gel­tung oder mit Aus­wir­kun­gen in mehr als einem Mit­glied­staat vom Aus­schuss geprüft wird, um eine Stel­lung­nah­me zu erhal­ten, ins­be­son­de­re wenn eine zustän­di­ge Auf­sichts­be­hör­de den Ver­pflich­tun­gen zur Amts­hil­fe gemäß Arti­kel 61 oder zu gemein­sa­men Maß­nah­men gemäß Arti­kel 62 nicht nachkommt.
(3) In den in den Absät­zen 1 und 2 genann­ten Fäl­len gibt der Aus­schuss eine Stel­lung­nah­me zu der Ange­le­gen­heit ab, die ihm vor­ge­legt wur­de, sofern er nicht bereits eine Stel­lung­nah­me zu der­sel­ben Ange­le­gen­heit abge­ge­ben hat. Die­se Stel­lung­nah­me wird bin­nen acht Wochen mit der ein­fa­chen Mehr­heit der Mit­glie­der des Aus­schus­ses ange­nom­men. Die­se Frist kann unter Berück­sich­ti­gung der Kom­ple­xi­tät der Ange­le­gen­heit um wei­te­re sechs Wochen ver­län­gert wer­den. Was den in Absatz 1 genann­ten Beschluss­ent­wurf angeht, der gemäß Absatz 5 den Mit­glie­dern des Aus­schus­ses über­mit­telt wird, so wird ange­nom­men, dass ein Mit­glied, das inner­halb einer vom Vor­sitz ange­ge­be­nen ange­mes­se­nen Frist kei­ne Ein­wän­de erho­ben hat, dem Beschluss­ent­wurf zustimmt.
(4) Die Auf­sichts­be­hör­den und die Kom­mis­si­on über­mit­teln unver­züg­lich dem Aus­schuss auf elek­tro­ni­schem Wege unter Ver­wen­dung eines stan­dar­di­sier­ten For­mats alle zweck­dien­li­chen Infor­ma­tio­nen, ein­schließ­lich — je nach Fall — einer kur­zen Dar­stel­lung des Sach­ver­halts, des Beschluss­ent­wurfs, der Grün­de, war­um eine sol­che Maß­nah­me ergrif­fen wer­den muss, und der Stand­punk­te ande­rer betrof­fe­ner Aufsichtsbehörden.
(5) Der Vor­sitz des Aus­schus­ses unter­rich­tet unver­züg­lich auf elek­tro­ni­schem Wege
a) unter Ver­wen­dung eines stan­dar­di­sier­ten For­mats die Mit­glie­der des Aus­schus­ses und die Kom­mis­si­on über alle zweck­dien­li­chen Infor­ma­tio­nen, die ihm zuge­gan­gen sind. Soweit erfor­der­lich stellt das Sekre­ta­ri­at des Aus­schus­ses Über­set­zun­gen der zweck­dien­li­chen Infor­ma­tio­nen zur Ver­fü­gung und
b) je nach Fall die in den Absät­zen 1 und 2 genann­te Auf­sichts­be­hör­de und die Kom­mis­si­on über die Stel­lung­nah­me und ver­öf­fent­licht sie.
(6) Die zustän­di­ge Auf­sichts­be­hör­de nimmt den in Absatz 1 genann­ten Beschluss­ent­wurf nicht vor Ablauf der in Absatz 3 genann­ten Frist an.
(7) Die in Absatz 1 genann­te Auf­sichts­be­hör­de trägt der Stel­lung­nah­me des Aus­schus­ses wei­test­ge­hend Rech­nung und teilt des­sen Vor­sitz bin­nen zwei Wochen nach Ein­gang der Stel­lung­nah­me auf elek­tro­ni­schem Wege unter Ver­wen­dung eines stan­dar­di­sier­ten For­mats mit, ob sie den Beschluss­ent­wurf bei­be­hal­ten oder ändern wird; gege­be­nen­falls über­mit­telt sie den geän­der­ten Beschlussentwurf.
(8) Teilt die betrof­fe­ne Auf­sichts­be­hör­de dem Vor­sitz des Aus­schus­ses inner­halb der Frist nach Absatz 7 des vor­lie­gen­den Arti­kels unter Anga­be der maß­geb­li­chen Grün­de mit, dass sie beab­sich­tigt, der Stel­lung­nah­me des Aus­schus­ses ins­ge­samt oder teil­wei­se nicht zu fol­gen, so gilt Arti­kel 65 Absatz 1.

Arti­kel 65 Streit­bei­le­gung durch den Ausschuss

(1) Um die ord­nungs­ge­mä­ße und ein­heit­li­che Anwen­dung die­ser Ver­ord­nung in Ein­zel­fäl­len sicher­zu­stel­len, erlässt der Aus­schuss in den fol­gen­den Fäl­len einen ver­bind­li­chen Beschluss:
a) wenn eine betrof­fe­ne Auf­sichts­be­hör­de in einem Fall nach Arti­kel 60 Absatz 4 einen maß­geb­li­chen und begrün­de­ten Ein­spruch gegen einen Beschluss­ent­wurf der feder­füh­ren­den Behör­de ein­ge­legt hat oder die feder­füh­ren­de Behör­de einen sol­chen Ein­spruch als nicht maß­geb­lich oder nicht begrün­det abge­lehnt hat. Der ver­bind­li­che Beschluss betrifft alle Ange­le­gen­hei­ten, die Gegen­stand des maß­geb­li­chen und begrün­de­ten Ein­spruchs sind, ins­be­son­de­re die Fra­ge, ob ein Ver­stoß gegen die­se Ver­ord­nung vorliegt;
b) wenn es wider­sprüch­li­che Stand­punk­te dazu gibt, wel­che der betrof­fe­nen Auf­sichts­be­hör­den für die Haupt­nie­der­las­sung zustän­dig ist,
c) wenn eine zustän­di­ge Auf­sichts­be­hör­de in den in Arti­kel 64 Absatz 1 genann­ten Fäl­len kei­ne Stel­lung­nah­me des Aus­schus­ses ein­holt oder der Stel­lung­nah­me des Aus­schus­ses gemäß Arti­kel 64 nicht folgt. In die­sem Fall kann jede betrof­fe­ne Auf­sichts­be­hör­de oder die Kom­mis­si­on die Ange­le­gen­heit dem Aus­schuss vorlegen.
(2) Der in Absatz 1 genann­te Beschluss wird inner­halb eines Monats nach der Befas­sung mit der Ange­le­gen­heit mit einer Mehr­heit von zwei Drit­teln der Mit­glie­der des Aus­schus­ses ange­nom­men. Die­se Frist kann wegen der Kom­ple­xi­tät der Ange­le­gen­heit um einen wei­te­ren Monat ver­län­gert wer­den. Der in Absatz 1 genann­te Beschluss wird begrün­det und an die feder­füh­ren­de Auf­sichts­be­hör­de und alle betrof­fe­nen Auf­sichts­be­hör­den über­mit­telt und ist für die­se verbindlich.
(3) War der Aus­schuss nicht in der Lage, inner­halb der in Absatz 2 genann­ten Fri­sten einen Beschluss anzu­neh­men, so nimmt er sei­nen Beschluss inner­halb von zwei Wochen nach Ablauf des in Absatz 2 genann­ten zwei­ten Monats mit ein­fa­cher Mehr­heit der Mit­glie­der des Aus­schus­ses an. Bei Stim­men­gleich­heit zwi­schen den Mit­glie­dern des Aus­schus­ses gibt die Stim­me des Vor­sit­zes den Ausschlag.
(4) Die betrof­fe­nen Auf­sichts­be­hör­den neh­men vor Ablauf der in den Absät­zen 2 und 3 genann­ten Fri­sten kei­nen Beschluss über die dem Aus­schuss vor­ge­leg­te Ange­le­gen­heit an.
(5) Der Vor­sitz des Aus­schus­ses unter­rich­tet die betrof­fe­nen Auf­sichts­be­hör­den unver­züg­lich über den in Absatz 1 genann­ten Beschluss. Er setzt die Kom­mis­si­on hier­von in Kennt­nis. Der Beschluss wird unver­züg­lich auf der Web­site des Aus­schus­ses ver­öf­fent­licht, nach­dem die Auf­sichts­be­hör­de den in Absatz 6 genann­ten end­gül­ti­gen Beschluss mit­ge­teilt hat.
(6) Die feder­füh­ren­de Auf­sichts­be­hör­de oder gege­be­nen­falls die Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de, trifft den end­gül­ti­gen Beschluss auf der Grund­la­ge des in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Beschlus­ses unver­züg­lich und spä­te­stens einen Monat, nach­dem der Euro­päi­sche Daten­schutz­aus­schuss sei­nen Beschluss mit­ge­teilt hat. Die feder­füh­ren­de Auf­sichtsbhör­de oder gege­be­nen­falls die Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de, setzt den Aus­schuss von dem Zeit­punkt, zu dem ihr end­gül­ti­ger Beschluss dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter bzw. der betrof­fe­nen Per­son mit­ge­teilt wird, in Kennt­nis. Der end­gül­ti­ge Beschluss der betrof­fe­nen Auf­sichts­be­hör­den wird gemäß Arti­kel 60 Absät­ze 7, 8 und 9 ange­nom­men. Im end­gül­ti­gen Beschluss wird auf den in Absatz 1 genann­ten Beschluss ver­wie­sen und fest­ge­legt, dass der in Absatz 1 des vor­lie­gen­den Arti­kels genann­te Beschluss gemäß Absatz 5 auf der Web­site des Aus­schus­ses ver­öf­fent­licht wird. Dem end­gül­ti­gen Beschluss wird der in Absatz 1 des vor­lie­gen­den _Artikels genann­te Beschluss beigefügt.

Arti­kel 66 Dringlichkeitsverfahren

(1) Unter außer­ge­wöhn­li­chen Umstän­den kann eine betrof­fe­ne Auf­sichts­be­hör­de abwei­chend vom Kohä­renz­ver­fah­ren nach Arti­kel 63, 64 und 65 oder dem Ver­fah­ren nach Arti­kel 60 sofort einst­wei­li­ge Maß­nah­men mit fest­ge­leg­ter Gel­tungs­dau­er von höch­stens drei Mona­ten tref­fen, die in ihrem Hoheits­ge­biet recht­li­che Wir­kung ent­fal­ten sol­len, wenn sie zu der Auf­fas­sung gelangt, dass drin­gen­der Hand­lungs­be­darf besteht, um Rech­te und Frei­hei­ten von betrof­fe­nen Per­so­nen zu schüt­zen. Die Auf­sichts­be­hör­de setzt die ande­ren betrof­fe­nen Auf­sichts­be­hör­den, den Aus­schuss und die Kom­mis­si­on unver­züg­lich von die­sen Maß­nah­men und den Grün­den für deren Erlass in Kenntnis.
(2) Hat eine Auf­sichts­be­hör­de eine Maß­nah­me nach Absatz 1 ergrif­fen und ist sie der Auf­fas­sung, dass drin­gend end­gül­ti­ge Maß­nah­men erlas­sen wer­den müs­sen, kann sie unter Anga­be von Grün­den im Dring­lich­keits­ver­fah­ren um eine Stel­lung­nah­me oder einen ver­bind­li­chen Beschluss des Aus­schus­ses ersuchen.
(3) Jede Auf­sichts­be­hör­de kann unter Anga­be von Grün­den, auch für den drin­gen­den Hand­lungs­be­darf, im Dring­lich­keits­ver­fah­ren um eine Stel­lung­nah­me oder gege­be­nen­falls einen ver­bind­li­chen Beschluss des Aus­schus­ses ersu­chen, wenn eine zustän­di­ge Auf­sichts­be­hör­de trotz drin­gen­den Hand­lungs­be­darfs kei­ne geeig­ne­te Maß­nah­me getrof­fen hat, um die Rech­te und Frei­hei­ten von betrof­fe­nen Per­so­nen zu schützen.
(4) Abwei­chend von Arti­kel 64 Absatz 3 und Arti­kel 65 Absatz 2 wird eine Stel­lung­nah­me oder ein ver­bind­li­cher Beschluss im Dring­lich­keits­ver­fah­ren nach den Absät­zen 2 und 3 bin­nen zwei Wochen mit ein­fa­cher Mehr­heit der Mit­glie­der des Aus­schus­ses angenommen.
Erwä­gungs­grün­de
(137) Es kann drin­gen­der Hand­lungs­be­darf zum Schutz der Rech­te und Frei­hei­ten von betrof­fe­nen Per­so­nen bestehen, ins­be­son­de­re wenn eine erheb­li­che Behin­de­rung der Durch­set­zung des Rechts einer betrof­fe­nen Per­son droht. Eine Auf­sichts­be­hör­de soll­te daher hin­rei­chend begrün­de­te einst­wei­li­ge Maß­nah­men in ihrem Hoheits­ge­biet mit einer fest­ge­leg­ten Gel­tungs­dau­er von höch­stens drei Mona­ten erlas­sen können.

Arti­kel 67 Informationsaustausch

Die Kom­mis­si­on kann Durch­füh­rungs­rechts­ak­te von all­ge­mei­ner Trag­wei­te zur Fest­le­gung der Aus­ge­stal­tung des elek­tro­ni­schen Infor­ma­ti­ons­aus­tauschs zwi­schen den Auf­sichts­be­hör­den sowie zwi­schen den Auf­sichts­be­hör­den und dem Aus­schuss, ins­be­son­de­re des stan­dar­di­sier­ten For­mats nach Arti­kel 64, erlas­sen. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem Prüf­ver­fah­ren nach Arti­kel 93 Absatz 2 erlassen. 

Abschnitt 3 Euro­päi­scher Datenschutzausschuss

Arti­kel 68 Euro­päi­scher Datenschutzausschuss

(1) Der Euro­päi­sche Daten­schutz­aus­schuss (im Fol­gen­den “Aus­schuss”) wird als Ein­rich­tung der Uni­on mit eige­ner Rechts­per­sön­lich­keit eingerichtet.
(2) Der Aus­schuss wird von sei­nem Vor­sitz vertreten.
(3) Der Aus­schuss besteht aus dem Lei­ter einer Auf­sichts­be­hör­de jedes Mit­glied­staats und dem Euro­päi­schen Daten­schutz­be­auf­trag­ten oder ihren jewei­li­gen Vertretern.
(4) Ist in einem Mit­glied­staat mehr als eine Auf­sichts­be­hör­de für die Über­wa­chung der Anwen­dung der nach Maß­ga­be die­ser Ver­ord­nung erlas­se­nen Vor­schrif­ten zustän­dig, so wird im Ein­klang mit den Rechts­vor­schrif­ten die­ses Mit­glied­staats ein gemein­sa­mer Ver­tre­ter benannt.
(5) Die Kom­mis­si­on ist berech­tigt, ohne Stimm­recht an den Tätig­kei­ten und Sit­zun­gen des Aus­schus­ses teil­zu­neh­men. Die Kom­mis­si­on benennt einen Ver­tre­ter. Der Vor­sitz des Aus­schus­ses unter­rich­tet die Kom­mis­si­on über die Tätig­kei­ten des Ausschusses.
(6) In den in Arti­kel 65 genann­ten Fäl­len ist der Euro­päi­sche Daten­schutz­be­auf­trag­te nur bei Beschlüs­sen stimm­be­rech­tigt, die Grund­sät­ze und Vor­schrif­ten betref­fen, die für die Orga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Uni­on gel­ten und inhalt­lich den Grund­sät­zen und Vor­schrif­ten die­ser Ver­ord­nung entsprechen.
Erwä­gungs­grün­de
(139) Zur För­de­rung der ein­heit­li­chen Anwen­dung die­ser Ver­ord­nung soll­te der Aus­schuss als unab­hän­gi­ge Ein­rich­tung der Uni­on ein­ge­setzt wer­den. Damit der Aus­schuss sei­ne Zie­le errei­chen kann, soll­te er Rechts­per­sön­lich­keit besit­zen. Der Aus­schuss soll­te von sei­nem Vor­sitz ver­tre­ten wer­den. Er soll­te die mit der Richt­li­nie 95/46/EG ein­ge­setz­te Arbeits­grup­pe für den Schutz der Rech­te von Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten erset­zen. Er soll­te aus dem Lei­ter einer Auf­sichts­be­hör­de jedes Mit­glied­staats und dem Euro­päi­schen Daten­schutz­be­auf­trag­ten oder deren jewei­li­gen Ver­tre­tern gebil­det wer­den. An den Bera­tun­gen des Aus­schus­ses soll­te die Kom­mis­si­on ohne Stimm­recht teil­neh­men und der Euro­päi­sche Daten­schutz­be­auf­trag­te soll­te spe­zi­fi­sche Stimm­rech­te haben. Der Aus­schuss soll­te zur ein­heit­li­chen Anwen­dung der Ver­ord­nung in der gesam­ten Uni­on bei­tra­gen, die Kom­mis­si­on ins­be­son­de­re im Hin­blick auf das Schutz­ni­veau in Dritt­län­dern oder inter­na­tio­na­len Orga­ni­sa­tio­nen bera­ten und die Zusam­men­ar­beit der Auf­sichts­be­hör­den in der Uni­on för­dern. Der Aus­schuss soll­te bei der Erfül­lung sei­ner Auf­ga­ben unab­hän­gig handeln.

Arti­kel 69 Unabhängigkeit

(1) Der Aus­schuss han­delt bei der Erfül­lung sei­ner Auf­ga­ben oder in Aus­übung sei­ner Befug­nis­se gemäß den Arti­keln 70 und 71 unabhängig.
(2) Unbe­scha­det der Ersu­chen der Kom­mis­si­on gemäß Arti­kel 70 Absatz 1 Buch­sta­be b und Absatz 2 ersucht der Aus­schuss bei der Erfül­lung sei­ner Auf­ga­ben oder in Aus­übung sei­ner Befug­nis­se weder um Wei­sung noch nimmt er Wei­sun­gen entgegen.

Arti­kel 70 Auf­ga­ben des Ausschusses

(1) Der Aus­schuss stellt die ein­heit­li­che Anwen­dung die­ser Ver­ord­nung sicher. Hier­zu nimmt der Aus­schuss von sich aus oder gege­be­nen­falls auf Ersu­chen der Kom­mis­si­on ins­be­son­de­re fol­gen­de Tätig­kei­ten wahr:
a) Über­wa­chung und Sicher­stel­lung der ord­nungs­ge­mä­ßen Anwen­dung die­ser Ver­ord­nung in den in den Arti­keln 64 und 65 genann­ten Fäl­len unbe­scha­det der Auf­ga­ben der natio­na­len Aufsichtsbehörden;
b) Bera­tung der Kom­mis­si­on in allen Fra­gen, die im Zusam­men­hang mit dem Schutz per­so­nen­be­zo­ge­ner Daten in der Uni­on ste­hen, ein­schließ­lich etwa­iger Vor­schlä­ge zur Ände­rung die­ser Verordnung;
c) Bera­tung der Kom­mis­si­on über das For­mat und die Ver­fah­ren für den Aus­tausch von Infor­ma­tio­nen zwi­schen den Ver­ant­wort­li­chen, den Auf­trags­ver­ar­bei­tern und den Auf­sichts­be­hör­den in Bezug auf ver­bind­li­che inter­ne Datenschutzvorschriften;
d) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren zu Ver­fah­ren für die Löschung gemäß Arti­kel 17 Absatz 2 von Links zu per­so­nen­be­zo­ge­nen Daten oder Kopien oder Repli­ka­tio­nen die­ser Daten aus öffent­lich zugäng­li­chen Kommunikationsdiensten;
e) Prü­fung — von sich aus, auf Antrag eines sei­ner Mit­glie­der oder auf Ersu­chen der Kom­mis­si­on — von die Anwen­dung die­ser Ver­ord­nung betref­fen­den Fra­gen und Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren zwecks Sicher­stel­lung einer ein­heit­li­chen Anwen­dung die­ser Verordnung;
f) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes zur nähe­ren Bestim­mung der Kri­te­ri­en und Bedin­gun­gen für die auf Pro­fil­ing beru­hen­den Ent­schei­dun­gen gemäß Arti­kel 22 Absatz 2;
g) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes für die Fest­stel­lung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten und die Fest­le­gung der Unver­züg­lich­keit im Sin­ne des Arti­kels 33 Absät­ze 1 und 2, und zu den spe­zi­fi­schen Umstän­den, unter denen der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten zu mel­den hat;
h) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes zu den Umstän­den, unter denen eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich ein hohes Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen im Sin­ne des Arti­kels 34 Absatz 1 zur Fol­ge hat;
i) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes zur nähe­ren Bestim­mung der in Arti­kel 47 auf­ge­führ­ten Kri­te­ri­en und Anfor­de­run­gen für die Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten, die auf ver­bind­li­chen inter­nen Daten­schutz­vor­schrif­ten von Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern beru­hen, und der dort auf­ge­führ­ten wei­te­ren erfor­der­li­chen Anfor­de­run­gen zum Schutz per­so­nen­be­zo­ge­ner Daten der betrof­fe­nen Personen;
j) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes zur nähe­ren Bestim­mung der Kri­te­ri­en und Bedin­gun­gen für die Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten gemäß Arti­kel 49 Absatz 1;
k) Aus­ar­bei­tung von Leit­li­ni­en für die Auf­sichts­be­hör­den in Bezug auf die Anwen­dung von Maß­nah­men nach Arti­kel 58 Absät­ze 1, 2 und 3 und die Fest­set­zung von Geld­bu­ßen gemäß Arti­kel 83;
l) Über­prü­fung der prak­ti­schen Anwen­dung der unter den Buch­sta­ben e und f genann­ten Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Verfahren;
m) Bereit­stel­lung von Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes zur Fest­le­gung gemein­sa­mer Ver­fah­ren für die von natür­li­chen Per­so­nen vor­ge­nom­me­ne Mel­dung von Ver­stö­ßen gegen die­se Ver­ord­nung gemäß Arti­kel 54 Absatz 2;
n) För­de­rung der Aus­ar­bei­tung von Ver­hal­tens­re­geln und der Ein­rich­tung von daten­schutz­spe­zi­fi­schen Zer­ti­fi­zie­rungs­ver­fah­ren sowie Daten­schutz­sie­geln und ‑prüf­zei­chen gemäß den Arti­keln 40 und 42;
o) Akkre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len und deren regel­mä­ßi­ge Über­prü­fung gemäß Arti­kel 43 und Füh­rung eines öffent­li­chen Regi­sters der akkre­di­tier­ten Ein­rich­tun­gen gemäß Arti­kel 43 Absatz 6 und der in Dritt­län­dern nie­der­ge­las­se­nen akkre­di­tier­ten Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter gemäß Arti­kel 42 Absatz 7;
p) Prä­zi­sie­rung der in Arti­kel 43 Absatz 3 genann­ten Anfor­de­run­gen im Hin­blick auf die Akkre­di­tie­rung von Zer­ti­fi­zie­rungs­stel­len gemäß Arti­kel 42;
q) Abga­be einer Stel­lung­nah­me für die Kom­mis­si­on zu den Zer­ti­fi­zie­rungs­an­for­de­run­gen gemäß Arti­kel 43 Absatz 8;
r) Abga­be einer Stel­lung­nah­me für die Kom­mis­si­on zu den Bild­sym­bo­len gemäß Arti­kel 12 Absatz 7;
s) Abga­be einer Stel­lung­nah­me für die Kom­mis­si­on zur Beur­tei­lung der Ange­mes­sen­heit des in einem Dritt­land oder einer inter­na­tio­na­len Orga­ni­sa­ti­on gebo­te­nen Schutz­ni­veaus ein­schließ­lich zur Beur­tei­lung der Fra­ge, ob das Dritt­land, das Gebiet, ein oder meh­re­re spe­zi­fi­sche Sek­to­ren in die­sem Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on kein ange­mes­se­nes Schutz­ni­veau mehr gewähr­lei­stet. Zu die­sem Zweck gibt die Kom­mis­si­on dem Aus­schuss alle erfor­der­li­chen Unter­la­gen, dar­un­ter den Schrift­wech­sel mit der Regie­rung des Dritt­lands, dem Gebiet oder spe­zi­fi­schen Sek­tor oder der inter­na­tio­na­len Organisation;
t) Abga­be von Stel­lung­nah­men im Kohä­renz­ver­fah­ren gemäß Arti­kel 64 Absatz 1 zu Beschluss­ent­wür­fen von Auf­sichts­be­hör­den, zu Ange­le­gen­hei­ten, die nach Arti­kel 64 Absatz 2 vor­ge­legt wur­den und um Erlass ver­bind­li­cher Beschlüs­se gemäß Arti­kel 65, ein­schließ­lich der in Arti­kel 66 genann­ten Fälle;
u) För­de­rung der Zusam­men­ar­beit und eines wirk­sa­men bila­te­ra­len und mul­ti­la­te­ra­len Aus­tauschs von Infor­ma­tio­nen und bewähr­ten Ver­fah­ren zwi­schen den Aufsichtsbehörden;
v) För­de­rung von Schu­lungs­pro­gram­men und Erleich­te­rung des Per­so­nal­aus­tau­sches zwi­schen Auf­sichts­be­hör­den sowie gege­be­nen­falls mit Auf­sichts­be­hör­den von Dritt­län­dern oder mit inter­na­tio­na­len Organisationen;
w) För­de­rung des Aus­tau­sches von Fach­wis­sen und von Doku­men­ta­tio­nen über Daten­schutz­vor­schrif­ten und ‑pra­xis mit Daten­schutz­auf­sichts­be­hör­den in aller Welt;
x) Abga­be von Stel­lung­nah­men zu den auf Uni­ons­ebe­ne erar­bei­te­ten Ver­hal­tens­re­geln gemäß Arti­kel 40 Absatz 9 und
y) Füh­rung eines öffent­lich zugäng­li­chen elek­tro­ni­schen Regi­sters der Beschlüs­se der Auf­sichts­be­hör­den und Gerich­te in Bezug auf Fra­gen, die im Rah­men des Kohä­renz­ver­fah­rens behan­delt wurden.
(2) Die Kom­mis­si­on kann, wenn sie den Aus­schuss um Rat ersucht, unter Berück­sich­ti­gung der Dring­lich­keit des Sach­ver­halts eine Frist angeben.
(3) Der Aus­schuss lei­tet sei­ne Stel­lung­nah­men, Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren an die Kom­mis­si­on und an den in Arti­kel 93 genann­ten Aus­schuss wei­ter und ver­öf­fent­licht sie.
(4) Der Aus­schuss kon­sul­tiert gege­be­nen­falls inter­es­sier­te Krei­se und gibt ihnen Gele­gen­heit, inner­halb einer ange­mes­se­nen Frist Stel­lung zu neh­men. Unbe­scha­det des Arti­kels 76 macht der Aus­schuss die Ergeb­nis­se der Kon­sul­ta­ti­on der Öffent­lich­keit zugänglich.

Arti­kel 71 Berichterstattung

(1) Der Aus­schuss erstellt einen Jah­res­be­richt über den Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung in der Uni­on und gege­be­nen­falls in Dritt­län­dern und inter­na­tio­na­len Orga­ni­sa­tio­nen. Der Bericht wird ver­öf­fent­licht und dem Euro­päi­schen Par­la­ment, dem Rat und der Kom­mis­si­on übermittelt.
(2) Der Jah­res­be­richt ent­hält eine Über­prü­fung der prak­ti­schen Anwen­dung der in Arti­kel 70 Absatz 1 Buch­sta­be l genann­ten Leit­li­ni­en, Emp­feh­lun­gen und bewähr­ten Ver­fah­ren sowie der in Arti­kel 65 genann­ten ver­bind­li­chen Beschlüsse.

Arti­kel 72 Verfahrensweise

(1) Sofern in die­ser Ver­ord­nung nichts ande­res bestimmt ist, fasst der Aus­schuss sei­ne Beschlüs­se mit ein­fa­cher Mehr­heit sei­ner Mitglieder.
(2) Der Aus­schuss gibt sich mit einer Mehr­heit von zwei Drit­teln sei­ner Mit­glie­der eine Geschäfts­ord­nung und legt sei­ne Arbeits­wei­se fest.

Arti­kel 73 Vorsitz

(1) Der Aus­schuss wählt aus dem Kreis sei­ner Mit­glie­der mit ein­fa­cher Mehr­heit einen Vor­sit­zen­den und zwei stell­ver­tre­ten­de Vorsitzende.
(2) Die Amts­zeit des Vor­sit­zen­den und sei­ner bei­den Stell­ver­tre­ter beträgt fünf Jah­re; ihre ein­ma­li­ge Wie­der­wahl ist zulässig.

Arti­kel 74 Auf­ga­ben des Vorsitzes

(1) Der Vor­sitz hat fol­gen­de Aufgaben:
a) Ein­be­ru­fung der Sit­zun­gen des Aus­schus­ses und Erstel­lung der Tagesordnungen,
b) Über­mitt­lung der Beschlüs­se des Aus­schus­ses nach Arti­kel 65 an die feder­füh­ren­de Auf­sichts­be­hör­de und die betrof­fe­nen Aufsichtsbehörden,
c) Sicher­stel­lung einer recht­zei­ti­gen Aus­füh­rung der Auf­ga­ben des Aus­schus­ses, ins­be­son­de­re der Auf­ga­ben im Zusam­men­hang mit dem Kohä­renz­ver­fah­ren nach Arti­kel 63.
(2) Der Aus­schuss legt die Auf­tei­lung der Auf­ga­ben zwi­schen dem Vor­sit­zen­den und des­sen Stell­ver­tre­tern in sei­ner Geschäfts­ord­nung fest.

Arti­kel 75 Sekretariat

(1) Der Aus­schuss wird von einem Sekre­ta­ri­at unter­stützt, das von dem Euro­päi­schen Daten­schutz­be­auf­trag­ten bereit­ge­stellt wird.
(2) Das Sekre­ta­ri­at führt sei­ne Auf­ga­ben aus­schließ­lich auf Anwei­sung des Vor­sit­zes des Aus­schus­ses aus.
(3) Das Per­so­nal des Euro­päi­schen Daten­schutz­be­auf­trag­ten, das an der Wahr­neh­mung der dem Aus­schuss gemäß die­ser Ver­ord­nung über­tra­ge­nen Auf­ga­ben betei­ligt ist, unter­liegt ande­ren Berichts­pflich­ten als das Per­so­nal, das an der Wahr­neh­mung der dem Euro­päi­schen Daten­schutz­be­auf­trag­ten über­tra­ge­nen Auf­ga­ben betei­ligt ist.
(4) Soweit ange­bracht, erstel­len und ver­öf­fent­li­chen der Aus­schuss und der Euro­päi­sche Daten­schutz­be­auf­trag­te eine Ver­ein­ba­rung zur Anwen­dung des vor­lie­gen­den Arti­kels, in der die Bedin­gun­gen ihrer Zusam­men­ar­beit fest­ge­legt sind und die für das Per­so­nal des Euro­päi­schen Daten­schutz­be­auf­trag­ten gilt, das an der Wahr­neh­mung der dem Aus­schuss gemäß die­ser Ver­ord­nung über­tra­ge­nen Auf­ga­ben betei­ligt ist.
(5) Das Sekre­ta­ri­at lei­stet dem Aus­schuss ana­ly­ti­sche, admi­ni­stra­ti­ve und logi­sti­sche Unterstützung.
(6) Das Sekre­ta­ri­at ist ins­be­son­de­re ver­ant­wort­lich für
a) das Tages­ge­schäft des Ausschusses,
b) die Kom­mu­ni­ka­ti­on zwi­schen den Mit­glie­dern des Aus­schus­ses, sei­nem Vor­sitz und der Kommission,
c) die Kom­mu­ni­ka­ti­on mit ande­ren Orga­nen und mit der Öffentlichkeit,
d) den Rück­griff auf elek­tro­ni­sche Mit­tel für die inter­ne und die exter­ne Kommunikation,
e) die Über­set­zung sach­dien­li­cher Informationen,
f) die Vor- und Nach­be­rei­tung der Sit­zun­gen des Ausschusses,
g) die Vor­be­rei­tung, Abfas­sung und Ver­öf­fent­li­chung von Stel­lung­nah­men, von Beschlüs­sen über die Bei­le­gung von Strei­tig­kei­ten zwi­schen Auf­sichts­be­hör­den und von son­sti­gen vom Aus­schuss ange­nom­me­nen Dokumenten.
Erwä­gungs­grün­de
(140) Der Aus­schuss­soll­te von einem Sekre­ta­ri­at unter­stützt wer­den, das von dem Euro­päi­schen Daten­schutz­be­auf­trag­ten bereit­ge­stellt wird. Das Per­so­nal des Euro­päi­schen Daten­schutz­be­auf­trag­ten, das an der Wahr­neh­mung der dem Aus­schuss gemäß die­ser Ver­ord­nung über­tra­ge­nen Auf­ga­ben betei­ligt ist, soll­te die­se Auf­ga­ben aus­schließ­lich gemäß den Anwei­sun­gen des Vor­sit­zes des Aus­schus­ses durch­füh­ren und die­sem Bericht erstatten.

Arti­kel 76 Vertraulichkeit

(1) Die Bera­tun­gen des Aus­schus­ses sind gemäß sei­ner Geschäfts­ord­nung ver­trau­lich, wenn der Aus­schuss dies für erfor­der­lich hält.
(2) Der Zugang zu Doku­men­ten, die Mit­glie­dern des Aus­schus­ses, Sach­ver­stän­di­gen und Ver­tre­tern von Drit­ten vor­ge­legt wer­den, wird durch die Ver­ord­nung (EG) Nr. 1049/2001 des Euro­päi­schen Par­la­ments und des Rates (21) geregelt.

Kapi­tel VIII Rechts­be­hel­fe, Haf­tung und Sanktionen

Arti­kel 77 Recht auf Beschwer­de bei einer Aufsichtsbehörde

(1) Jede betrof­fe­ne Per­son hat unbe­scha­det eines ander­wei­ti­gen ver­wal­tungs­recht­li­chen oder gericht­li­chen Rechts­be­helfs das Recht auf Beschwer­de bei einer Auf­sichts­be­hör­de, ins­be­son­de­re in dem Mit­glied­staat ihres Auf­ent­halts­orts, ihres Arbeits­plat­zes oder des Orts des mut­maß­li­chen Ver­sto­ßes, wenn die betrof­fe­ne Per­son der Ansicht ist, dass die Ver­ar­bei­tung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten gegen die­se Ver­ord­nung verstößt.
(2) Die Auf­sichts­be­hör­de, bei der die Beschwer­de ein­ge­reicht wur­de, unter­rich­tet den Beschwer­de­füh­rer über den Stand und die Ergeb­nis­se der Beschwer­de ein­schließ­lich der Mög­lich­keit eines gericht­li­chen Rechts­be­helfs nach Arti­kel 78.
Erwä­gungs­grün­de
(141) Jede betrof­fe­ne Per­son soll­te das Recht haben, bei einer ein­zi­gen Auf­sichts­be­hör­de ins­be­son­de­re in dem Mit­glied­staat ihres gewöhn­li­chen Auf­ent­halts eine Beschwer­de ein­zu­rei­chen und gemäß Arti­kel 47 der Char­ta einen wirk­sa­men gericht­li­chen Rechts­be­helf ein­zu­le­gen, wenn sie sich in ihren Rech­ten gemäß die­ser Ver­ord­nung ver­letzt sieht oder wenn die Auf­sichts­be­hör­de auf eine Beschwer­de hin nicht tätig wird, eine Beschwer­de teil­wei­se oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rech­te der betrof­fe­nen Per­son not­wen­dig ist. Die auf eine Beschwer­de fol­gen­de Unter­su­chung soll­te vor­be­halt­lich gericht­li­cher Über­prü­fung so weit gehen, wie dies im Ein­zel­fall ange­mes­sen ist. Die Auf­sichts­be­hör­de soll­te die betrof­fe­ne Per­son inner­halb eines ange­mes­se­nen Zeit­raums über den Fort­gang und die Ergeb­nis­se der Beschwer­de unter­rich­ten. Soll­ten wei­te­re Unter­su­chun­gen oder die Abstim­mung mit einer ande­ren Auf­sichts­be­hör­de erfor­der­lich sein, soll­te die betrof­fe­ne Per­son über den Zwi­schen­stand infor­miert wer­den. Jede Auf­sichts­be­hör­de soll­te Maß­nah­men zur Erleich­te­rung der Ein­rei­chung von Beschwer­den tref­fen, wie etwa die Bereit­stel­lung eines Beschwer­de­for­mu­lars, das auch elek­tro­nisch aus­ge­füllt wer­den kann, ohne dass ande­re Kom­mu­ni­ka­ti­ons­mit­tel aus­ge­schlos­sen werden.

Arti­kel 78 Recht auf wirk­sa­men gericht­li­chen Rechts­be­helf gegen eine Aufsichtsbehörde

(1) Jede natür­li­che oder juri­sti­sche Per­son hat unbe­scha­det eines ander­wei­ti­gen ver­wal­tungs­recht­li­chen oder außer­ge­richt­li­chen Rechts­be­helfs das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf gegen einen sie betref­fen­den rechts­ver­bind­li­chen Beschluss einer Aufsichtsbehörde.
(2) Jede betrof­fe­ne Per­son hat unbe­scha­det eines ander­wei­ti­gen ver­wal­tungs­recht­li­chen oder außer­ge­richt­li­chen Recht­be­helfs das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf, wenn die nach den Arti­keln 55 und 56 zustän­di­ge Auf­sichts­be­hör­de sich nicht mit einer Beschwer­de befasst oder die betrof­fe­ne Per­son nicht inner­halb von drei Mona­ten über den Stand oder das Ergeb­nis der gemäß Arti­kel 77 erho­be­nen Beschwer­de in Kennt­nis gesetzt hat.
(3) Für Ver­fah­ren gegen eine Auf­sichts­be­hör­de sind die Gerich­te des Mit­glied­staats zustän­dig, in dem die Auf­sichts­be­hör­de ihren Sitz hat.
(4) Kommt es zu einem Ver­fah­ren gegen den Beschluss einer Auf­sichts­be­hör­de, dem eine Stel­lung­nah­me oder ein Beschluss des Aus­schus­ses im Rah­men des Kohä­renz­ver­fah­rens vor­an­ge­gan­gen ist, so lei­tet die Auf­sichts­be­hör­de die­se Stel­lung­nah­me oder die­sen Beschluss dem Gericht zu.
Erwä­gungs­grün­de
(143) Jede natür­li­che oder juri­sti­sche Per­son hat das Recht, unter den in Arti­kel 263 AEUV genann­ten Vor­aus­set­zun­gen beim Gerichts­hof eine Kla­ge auf Nich­tig­erklä­rung eines Beschlus­ses des Aus­schus­ses zu erhe­ben. Als Adres­sa­ten sol­cher Beschlüs­se müs­sen die betrof­fe­nen Auf­sichts­be­hör­den, die die­se Beschlüs­se anfech­ten möch­ten, bin­nen zwei Mona­ten nach deren Über­mitt­lung gemäß Arti­kel 263 AEUV Kla­ge erhe­ben. Sofern Beschlüs­se des Aus­schus­ses einen Ver­ant­wort­li­chen, einen Auf­trags­ver­ar­bei­ter oder den Beschwer­de­füh­rer unmit­tel­bar und indi­vi­du­ell betref­fen, so kön­nen die­se Per­so­nen bin­nen zwei Mona­ten nach Ver­öf­fent­li­chung der betref­fen­den Beschlüs­se auf der Web­site des Aus­schus­ses im Ein­klang mit Arti­kel 263 AEUV eine Kla­ge auf Nich­tig­erklä­rung erhe­ben. Unbe­scha­det die­ses Rechts nach Arti­kel 263 AEUV soll­te jede natür­li­che oder juri­sti­sche Per­son das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf bei dem zustän­di­gen ein­zel­staat­li­chen Gericht gegen einen Beschluss einer Auf­sichts­be­hör­de haben, der gegen­über die­ser Per­son Rechts­wir­kun­gen ent­fal­tet. Ein der­ar­ti­ger Beschluss betrifft ins­be­son­de­re die Aus­übung von Untersuchungs‑, Abhil­fe- und Geneh­mi­gungs­be­fug­nis­sen durch die Auf­sichts­be­hör­de oder die Ableh­nung oder Abwei­sung von Beschwer­den. Das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf umfasst jedoch nicht recht­lich nicht bin­den­de Maß­nah­men der Auf­sichts­be­hör­den wie von ihr abge­ge­be­ne Stel­lung­nah­men oder Emp­feh­lungoen. Ver­fah­ren gegen eine Auf­sichts­be­hör­de soll­ten bei den Gerich­ten des Mit­glied­staats ange­strengt wer­den, in dem die Auf­sichts­be­hör­de ihren Sitz hat, und soll­ten im Ein­klang mit dem Ver­fah­rens­recht die­ses Mit­glied­staats durch­ge­führt wer­den. Die­se Gerich­te soll­ten eine unein­ge­schränk­te Zustän­dig­keit besit­zen, was die Zustän­dig­keit, sämt­li­che für den bei ihnen anhän­gi­gen Rechts­streit maß­geb­li­che Sach- und Rechts­fra­gen zu prü­fen, ein­schließt. Wur­de eine Beschwer­de von einer Auf­sichts­be­hör­de abge­lehnt oder abge­wie­sen, kann der Beschwer­de­füh­rer Kla­ge bei den Gerich­ten des­sel­ben Mit­glied­staats erheben.
Im Zusam­men­hang mit gericht­li­chen Rechts­be­hel­fen in Bezug auf die Anwen­dung die­ser Ver­ord­nung kön­nen ein­zel­staat­li­che Gerich­te, die eine Ent­schei­dung über die­se Fra­ge für erfor­der­lich hal­ten, um ihr Urteil erlas­sen zu kön­nen, bzw. müs­sen ein­zel­staat­li­che Gerich­te in den Fäl­len nach Arti­kel 267 AEUV den Gerichts­hof um eine Vor­ab­ent­schei­dung zur Aus­le­gung des Uni­ons­rechts — das auch die­se Ver­ord­nung ein­schließt — ersu­chen. Wird dar­über hin­aus der Beschluss einer Auf­sichts­be­hör­de zur Umset­zung eines Beschlus­ses des Aus­schus­ses vor einem ein­zel­staat­li­chen Gericht ange­foch­ten und wird die Gül­tig­keit des Beschlus­ses des Aus­schus­ses in Fra­ge gestellt, so hat die­ses ein­zel­staat­li­che Gericht nicht die Befug­nis, den Beschluss des Aus­schus­ses für nich­tig zu erklä­ren, son­dern es muss im Ein­klang mit Arti­kel 267 AEUV in der Aus­le­gung des Gerichts­hofs den Gerichts­hof mit der Fra­ge der Gül­tig­keit befas­sen, wenn es den Beschluss für nich­tig hält. Aller­dings darf ein ein­zel­staat­li­ches Gericht den Gerichts­hof nicht auf Anfra­ge einer natür­li­chen oder juri­sti­schen Per­son mit Fra­gen der Gül­tig­keit des Beschlus­ses des Aus­schus­ses befas­sen, wenn die­se Per­son Gele­gen­heit hat­te, eine Kla­ge auf Nich­tig­erklä­rung die­ses Beschlus­ses zu erhe­ben — ins­be­son­de­re wenn sie unmit­tel­bar und indi­vi­du­ell von dem Beschluss betrof­fen war –, die­se Gele­gen­heit jedoch nicht inner­halb der Frist gemäß Arti­kel 263 AEUV genutzt hat. 

Arti­kel 79 Recht auf wirk­sa­men gericht­li­chen Rechts­be­helf gegen Ver­ant­wort­li­che oder Auftragsverarbeiter

(1) Jede betrof­fe­ne Per­son hat unbe­scha­det eines ver­füg­ba­ren ver­wal­tungs­recht­li­chen oder außer­ge­richt­li­chen Rechts­be­helfs ein­schließ­lich des Rechts auf Beschwer­de bei einer Auf­sichts­be­hör­de gemäß Arti­kel 77 das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf, wenn sie der Ansicht ist, dass die ihr auf­grund die­ser Ver­ord­nung zuste­hen­den Rech­te infol­ge einer nicht im Ein­klang mit die­ser Ver­ord­nung ste­hen­den Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten ver­letzt wurden.
(2) Für Kla­gen gegen einen Ver­ant­wort­li­chen oder gegen einen Auf­trags­ver­ar­bei­ter sind die Gerich­te des Mit­glied­staats zustän­dig, in dem der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter eine Nie­der­las­sung hat. Wahl­wei­se kön­nen sol­che Kla­gen auch bei den Gerich­ten des Mit­glied­staats erho­ben wer­den, in dem die betrof­fe­ne Per­son ihren Auf­ent­halts­ort hat, es sei denn, es han­delt sich bei dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter um eine Behör­de eines Mit­glied­staats, die in Aus­übung ihrer hoheit­li­chen Befug­nis­se tätig gewor­den ist.
Erwä­gungs­grün­de
(145) Bei Ver­fah­ren gegen Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter soll­te es dem Klä­ger über­las­sen blei­ben, ob er die Gerich­te des Mit­glied­staats anruft, in dem der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter eine Nie­der­las­sung hat, oder des Mit­glied­staats, in dem die betrof­fe­ne Per­son ihren Auf­ent­halts­ort hat; dies gilt nicht, wenn es sich bei dem Ver­ant­wort­li­chen um eine Behör­de eines Mit­glied­staats han­delt, die in Aus­übung ihrer hoheit­li­chen Befug­nis­se tätig gewor­den ist.
(147) Soweit in die­ser Ver­ord­nung spe­zi­fi­sche Vor­schrif­ten über die Gerichts­bar­keit — ins­be­son­de­re in Bezug auf Ver­fah­ren im Hin­blick auf einen gericht­li­chen Rechts­be­helf ein­schließ­lich Scha­den­er­satz gegen einen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter — ent­hal­ten sind, soll­ten die all­ge­mei­nen Vor­schrif­ten über die Gerichts­bar­keit, wie sie etwa in der Ver­ord­nung (EU) Nr. 1215/2012 des Euro­päi­schen Par­la­ments und des Rates (13) ent­hal­ten sind, der Anwen­dung die­ser spe­zi­fi­schen Vor­schrif­ten nicht entgegenstehen.

Arti­kel 80 Ver­tre­tung von betrof­fe­nen Personen

(1) Die betrof­fe­ne Per­son hat das Recht, eine Ein­rich­tung, Orga­ni­sa­tio­nen oder Ver­ei­ni­gung ohne Gewinn­erzie­lungs­ab­sicht, die ord­nungs­ge­mäß nach dem Recht eines Mit­glied­staats gegrün­det ist, deren sat­zungs­mä­ßi­ge Zie­le im öffent­li­chem Inter­es­se lie­gen und die im Bereich des Schut­zes der Rech­te und Frei­hei­ten von betrof­fe­nen Per­so­nen in Bezug auf den Schutz ihrer per­so­nen­be­zo­ge­nen Daten tätig ist, zu beauf­tra­gen, in ihrem Namen eine Beschwer­de ein­zu­rei­chen, in ihrem Namen die in den Arti­keln 77, 78 und 79 genann­ten Rech­te wahr­zu­neh­men und das Recht auf Scha­dens­er­satz gemäß Arti­kel 82 in Anspruch zu neh­men, sofern die­ses im Recht der Mit­glied­staa­ten vor­ge­se­hen ist.
(2) Die Mit­glied­staa­ten kön­nen vor­se­hen, dass jede der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Ein­rich­tun­gen, Orga­ni­sa­tio­nen oder Ver­ei­ni­gun­gen unab­hän­gig von einem Auf­trag der betrof­fe­nen Per­son in die­sem Mit­glied­staat das Recht hat, bei der gemäß Arti­kel 77 zustän­di­gen Auf­sichts­be­hör­de eine Beschwer­de ein­zu­le­gen und die in den Arti­keln 78 und 79 auf­ge­führ­ten Rech­te in Anspruch zu neh­men, wenn ihres Erach­tens die Rech­te einer betrof­fe­nen Per­son gemäß die­ser Ver­ord­nung infol­ge einer Ver­ar­bei­tung ver­letzt wor­den sind.
Erwä­gungs­grün­de
(142) Betrof­fe­ne Per­so­nen, die sich in ihren Rech­ten gemäß die­ser Ver­ord­nung ver­letzt sehen, soll­ten das Recht haben, nach dem Recht eines Mit­glied­staats gegrün­de­te Ein­rich­tun­gen, Orga­ni­sa­tio­nen oder Ver­bän­de ohne Gewinn­erzie­lungs­ab­sicht, deren sat­zungs­mä­ßi­ge Zie­le im öffent­li­chem Inter­es­se lie­gen und die im Bereich des Schut­zes per­so­nen­be­zo­ge­ner Daten tätig sind, zu beauf­tra­gen, in ihrem Namen Beschwer­de bei einer Auf­sichts­be­hör­de oder einen gericht­li­chen Rechts­be­helf ein­zu­le­gen oder das Recht auf Scha­dens­er­satz in Anspruch zu neh­men, sofern die­ses im Recht der Mit­glied­staa­ten vor­ge­se­hen ist. Die Mit­glied­staa­ten kön­nen vor­se­hen, dass die­se Ein­rich­tun­gen, Orga­ni­sa­tio­nen oder Ver­bän­de das Recht haben, unab­hän­gig vom Auf­trag einer betrof­fe­nen Per­son in dem betref­fen­den Mit­glied­staat eine eige­ne Beschwer­de ein­zu­le­gen, und das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf haben soll­ten, wenn sie Grund zu der Annah­me haben, dass die Rech­te der betrof­fe­nen Per­son infol­ge einer nicht im Ein­klang mit die­ser Ver­ord­nung ste­hen­den Ver­ar­bei­tung ver­letzt wor­den sind. Die­sen Ein­rich­tun­gen, Orga­ni­sa­tio­nen oder Ver­bän­den kann unab­hän­gig vom Auf­trag einer betrof­fe­nen Per­son nicht gestat­tet wer­den, im Namen einer betrof­fe­nen Per­son Scha­den­er­satz zu verlangen.

Arti­kel 81 Aus­set­zung des Verfahrens

(1) Erhält ein zustän­di­ges Gericht in einem Mit­glied­staat Kennt­nis von einem Ver­fah­ren zu dem­sel­ben Gegen­stand in Bezug auf die Ver­ar­bei­tung durch den­sel­ben Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, das vor einem Gericht in einem ande­ren Mit­glied­staat anhän­gig ist, so nimmt es mit die­sem Gericht Kon­takt auf, um sich zu ver­ge­wis­sern, dass ein sol­ches Ver­fah­ren existiert.
(2) Ist ein Ver­fah­ren zu dem­sel­ben Gegen­stand in Bezug auf die Ver­ar­bei­tung durch den­sel­ben Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter vor einem Gericht in einem ande­ren Mit­glied­staat anhän­gig, so kann jedes spä­ter ange­ru­fe­ne zustän­di­ge Gericht das bei ihm anhän­gi­ge Ver­fah­ren aussetzen.
(3) Sind die­se Ver­fah­ren in erster Instanz anhän­gig, so kann sich jedes spä­ter ange­ru­fe­ne Gericht auf Antrag einer Par­tei auch für unzu­stän­dig erklä­ren, wenn das zuerst ange­ru­fe­ne Gericht für die betref­fen­den Kla­gen zustän­dig ist und die Ver­bin­dung der Kla­gen nach sei­nem Recht zuläs­sig ist.
Erwä­gungs­grün­de
(144) Hat ein mit einem Ver­fah­ren gegen die Ent­schei­dung einer Auf­sichts­be­hör­de befass­tes Gericht Anlass zu der Ver­mu­tung, dass ein die­sel­be Ver­ar­bei­tung betref­fen­des Ver­fah­ren — etwa zu dem­sel­ben Gegen­stand in Bezug auf die Ver­ar­bei­tung durch den­sel­ben Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter oder wegen des­sel­ben Anspruchs — vor einem zustän­di­gen Gericht in einem ande­ren Mit­glied­staat anhän­gig ist, so soll­te es mit die­sem Gericht Kon­takt auf­neh­men, um sich zu ver­ge­wis­sern, dass ein sol­ches ver­wand­tes Ver­fah­ren exi­stiert. Sind ver­wand­te Ver­fah­ren vor einem Gericht in einem ande­ren Mit­glied­staat anhän­gig, so kann jedes spä­ter ange­ru­fe­ne Gericht das Ver­fah­ren aus­set­zen oder sich auf Anfra­ge einer Par­tei auch zugun­sten des zuerst ange­ru­fe­nen Gerichts für unzu­stän­dig erklä­ren, wenn die­ses spä­ter ange­ru­fe­ne Gericht für die betref­fen­den Ver­fah­ren zustän­dig ist und die Ver­bin­dung von sol­chen ver­wand­ten Ver­fah­ren nach sei­nem Recht zuläs­sig ist. Ver­fah­ren gel­ten als mit­ein­an­der ver­wandt, wenn zwi­schen ihnen eine so enge Bezie­hung gege­ben ist, dass eine gemein­sa­me Ver­hand­lung und Ent­schei­dung gebo­ten erscheint, um zu ver­mei­den, dass in getrenn­ten Ver­fah­ren ein­an­der wider­spre­chen­de Ent­schei­dun­gen ergehen.

Arti­kel 82 Haf­tung und Recht auf Schadenersatz

(1) Jede Per­son, der wegen eines Ver­sto­ßes gegen die­se Ver­ord­nung ein mate­ri­el­ler oder imma­te­ri­el­ler Scha­den ent­stan­den ist, hat Anspruch auf Scha­den­er­satz gegen den Ver­ant­wort­li­chen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Ver­ar­bei­tung betei­lig­te Ver­ant­wort­li­che haf­tet für den Scha­den, der durch eine nicht die­ser Ver­ord­nung ent­spre­chen­de Ver­ar­bei­tung ver­ur­sacht wur­de. Ein Auf­trags­ver­ar­bei­ter haf­tet für den durch eine Ver­ar­bei­tung ver­ur­sach­ten Scha­den nur dann, wenn er sei­nen spe­zi­ell den Auf­trags­ver­ar­bei­tern auf­er­leg­ten Pflich­ten aus die­ser Ver­ord­nung nicht nach­ge­kom­men ist oder unter Nicht­be­ach­tung der recht­mä­ßig erteil­ten Anwei­sun­gen des für die Daten­ver­ar­bei­tung Ver­ant­wort­li­chen oder gegen die­se Anwei­sun­gen gehan­delt hat.
(3) Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter wird von der Haf­tung gemäß Absatz 2 befreit, wenn er nach­weist, dass er in kei­ner­lei Hin­sicht für den Umstand, durch den der Scha­den ein­ge­tre­ten ist, ver­ant­wort­lich ist.
(4) Ist mehr als ein Ver­ant­wort­li­cher oder mehr als ein Auf­trags­ver­ar­bei­ter bzw. sowohl ein Ver­ant­wort­li­cher als auch ein Auf­trags­ver­ar­bei­ter an der­sel­ben Ver­ar­bei­tung betei­ligt und sind sie gemäß den Absät­zen 2 und 3 für einen durch die Ver­ar­bei­tung ver­ur­sach­ten Scha­den ver­ant­wort­lich, so haf­tet jeder Ver­ant­wort­li­che oder jeder Auf­trags­ver­ar­bei­ter für den gesam­ten Scha­den, damit ein wirk­sa­mer Scha­dens­er­satz für die betrof­fe­ne Per­son sicher­ge­stellt ist.
(5) Hat ein Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter gemäß Absatz 4 voll­stän­di­gen Scha­den­er­satz für den erlit­te­nen Scha­den gezahlt, so ist die­ser Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter berech­tigt, von den übri­gen an der­sel­ben Ver­ar­bei­tung betei­lig­ten für die Daten­ver­ar­bei­tung Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern den Teil des Scha­den­er­sat­zes zurück­zu­for­dern, der unter den in Absatz 2 fest­ge­leg­ten Bedin­gun­gen ihrem Anteil an der Ver­ant­wor­tung für den Scha­den entspricht.
(6) Mit Gerichts­ver­fah­ren zur Inan­spruch­nah­me des Rechts auf Scha­den­er­satz sind die Gerich­te zu befas­sen, die nach den in Arti­kel 79 Absatz 2 genann­ten Rechts­vor­schrif­ten des Mit­glied­staats zustän­dig sind.
Erwä­gungs­grün­de
(146) Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter soll­te Schä­den, die einer Per­son auf­grund einer Ver­ar­bei­tung ent­ste­hen, die mit die­ser Ver­ord­nung nicht im Ein­klang steht, erset­zen. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter soll­te von sei­ner Haf­tung befreit wer­den, wenn er nach­weist, dass er in kei­ner Wei­se für den Scha­den ver­ant­wort­lich ist. Der Begriff des Scha­dens soll­te im Lich­te der Recht­spre­chung des Gerichts­hofs weit auf eine Art und Wei­se aus­ge­legt wer­den, die den Zie­len die­ser Ver­ord­nung in vol­lem Umfang ent­spricht. Dies gilt unbe­scha­det von Scha­den­er­satz­for­de­run­gen auf­grund von Ver­stö­ßen gegen ande­re Vor­schrif­ten des Uni­ons­rechts oder des Rechts der Mit­glied­staa­ten. Zu einer Ver­ar­bei­tung, die mit der vor­lie­gen­den Ver­ord­nung nicht im Ein­klang steht, zählt auch eine Ver­ar­bei­tung, die nicht mit den nach Maß­ga­be der vor­lie­gen­den Ver­ord­nung erlas­se­nen dele­gier­ten Rechts­ak­ten und Durch­füh­rungs­rechts­ak­ten und Rechts­vor­schrif­ten der Mit­glied­staa­ten zur Prä­zi­sie­rung von Bestim­mun­gen der vor­lie­gen­den Ver­ord­nung im Ein­klang steht. Die betrof­fe­nen Per­so­nen soll­ten einen voll­stän­di­gen und wirk­sa­men Scha­den­er­satz für den erlit­te­nen Scha­den erhal­ten. Sind Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter an der­sel­ben Ver­ar­bei­tung betei­ligt, so soll­te jeder Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter für den gesam­ten Scha­den haft­bar gemacht wer­den. Wer­den sie jedoch nach Maß­ga­be des Rechts der Mit­glied­staa­ten zu dem­sel­ben Ver­fah­ren hin­zu­ge­zo­gen, so kön­nen sie im Ver­hält­nis zu der Ver­ant­wor­tung anteil­mä­ßig haft­bar gemacht wer­den, die jeder Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter für den durch die Ver­ar­bei­tung ent­stan­de­nen Scha­den zu tra­gen hat, sofern sicher­ge­stellt ist, dass die betrof­fe­ne Per­son einen voll­stän­di­gen und wirk­sa­men Scha­den­er­satz für den erlit­te­nen Scha­den erhält. Jeder Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter, der den vol­len Scha­den­er­satz gelei­stet hat, kann anschlie­ßend ein Rück­griffs­ver­fah­ren gegen ande­re an der­sel­ben Ver­ar­bei­tung betei­lig­te Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter anstrengen.

Arti­kel 83 All­ge­mei­ne Bedin­gun­gen für die Ver­hän­gung von Geldbußen

(1) Jede Auf­sichts­be­hör­de stellt sicher, dass die Ver­hän­gung von Geld­bu­ßen gemäß die­sem Arti­kel für Ver­stö­ße gegen die­se Ver­ord­nung gemäß den Absät­zen 5 und 6 in jedem Ein­zel­fall wirk­sam, ver­hält­nis­mä­ßig und abschreckend ist.
(2) Geld­bu­ßen wer­den je nach den Umstän­den des Ein­zel­falls zusätz­lich zu oder anstel­le von Maß­nah­men nach Arti­kel 58 Absatz 2 Buch­sta­ben a bis h und i ver­hängt. Bei der Ent­schei­dung über die Ver­hän­gung einer Geld­bu­ße und über deren Betrag wird in jedem Ein­zel­fall Fol­gen­des gebüh­rend berücksichtigt:
a) Art, Schwe­re und Dau­er des Ver­sto­ßes unter Berück­sich­ti­gung der Art, des Umfangs oder des Zwecks der betref­fen­den Ver­ar­bei­tung sowie der Zahl der von der Ver­ar­bei­tung betrof­fe­nen Per­so­nen und des Aus­ma­ßes des von ihnen erlit­te­nen Schadens;
b) Vor­sätz­lich­keit oder Fahr­läs­sig­keit des Verstoßes;
c) jeg­li­che von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter getrof­fe­nen Maß­nah­men zur Min­de­rung des den betrof­fe­nen Per­so­nen ent­stan­de­nen Schadens;
d) Grad der Ver­ant­wor­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters unter Berück­sich­ti­gung der von ihnen gemäß den Arti­keln 25 und 32 getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen;
e) etwa­ige ein­schlä­gi­ge frü­he­re Ver­stö­ße des Ver­ant­wort­li­chen oder des Auftragsverarbeiters;
f) Umfang der Zusam­men­ar­beit mit der Auf­sichts­be­hör­de, um dem Ver­stoß abzu­hel­fen und sei­ne mög­li­chen nach­tei­li­gen Aus­wir­kun­gen zu mindern;
g) Kate­go­rien per­so­nen­be­zo­ge­ner Daten, die von dem Ver­stoß betrof­fen sind;
h) Art und Wei­se, wie der Ver­stoß der Auf­sichts­be­hör­de bekannt wur­de, ins­be­son­de­re ob und gege­be­nen­falls in wel­chem Umfang der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter den Ver­stoß mit­ge­teilt hat;
i) Ein­hal­tung der nach Arti­kel 58 Absatz 2 frü­her gegen den für den betref­fen­den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter in Bezug auf den­sel­ben Gegen­stand ange­ord­ne­ten Maß­nah­men, wenn sol­che Maß­nah­men ange­ord­net wurden;
j) Ein­hal­tung von geneh­mig­ten Ver­hal­tens­re­geln nach Arti­kel 40 oder geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­ren nach Arti­kel 42 und
k) jeg­li­che ande­ren erschwe­ren­den oder mil­dern­den Umstän­de im jewei­li­gen Fall, wie unmit­tel­bar oder mit­tel­bar durch den Ver­stoß erlang­te finan­zi­el­le Vor­tei­le oder ver­mie­de­ne Verluste.
(3) Ver­stößt ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter bei glei­chen oder mit­ein­an­der ver­bun­de­nen Ver­ar­bei­tungs­vor­gän­gen vor­sätz­lich oder fahr­läs­sig gegen meh­re­re Bestim­mun­gen die­ser Ver­ord­nung, so über­steigt der Gesamt­be­trag der Geld­bu­ße nicht den Betrag für den schwer­wie­gend­sten Verstoß.
(4) Bei Ver­stö­ßen gegen die fol­gen­den Bestim­mun­gen wer­den im Ein­klang mit Absatz 2 Geld­bu­ßen von bis zu 10 000 000 EUR oder im Fall eines Unter­neh­mens von bis zu 2 % sei­nes gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs ver­hängt, je nach­dem, wel­cher der Beträ­ge höher ist:
a) die Pflich­ten der Ver­ant­wort­li­chen und der Auf­trags­ver­ar­bei­ter gemäß den Arti­keln 8, 11, 25 bis 39, 42 und 43;
b) die Pflich­ten der Zer­ti­fi­zie­rungs­stel­le gemäß den Arti­keln 42 und 43;
c) die Pflich­ten der Über­wa­chungs­stel­le gemäß Arti­kel 41 Absatz 4.
(5) Bei Ver­stö­ßen gegen die fol­gen­den Bestim­mun­gen wer­den im Ein­klang mit Absatz 2 Geld­bu­ßen von bis zu 20 000 000 EUR oder im Fall eines Unter­neh­mens von bis zu 4 % sei­nes gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs ver­hängt, je nach­dem, wel­cher der Beträ­ge höher ist:
a) die Grund­sät­ze für die Ver­ar­bei­tung, ein­schließ­lich der Bedin­gun­gen für die Ein­wil­li­gung, gemäß den Arti­keln 5, 6, 7 und 9;
b) die Rech­te der betrof­fe­nen Per­son gemäß den Arti­keln 12 bis 22;
c) die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an einen Emp­fän­ger in einem Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on gemäß den Arti­keln 44 bis 49;
d) alle Pflich­ten gemäß den Rechts­vor­schrif­ten der Mit­glied­staa­ten, die im Rah­men des Kapi­tels IX erlas­sen wurden;
e) Nicht­be­fol­gung einer Anwei­sung oder einer vor­über­ge­hen­den oder end­gül­ti­gen Beschrän­kung oder Aus­set­zung der Daten­über­mitt­lung durch die Auf­sichts­be­hör­de gemäß Arti­kel 58 Absatz 2 oder Nicht­ge­wäh­rung des Zugangs unter Ver­stoß gegen Arti­kel 58 Absatz 1.
(6) Bei Nicht­be­fol­gung einer Anwei­sung der Auf­sichts­be­hör­de gemäß Arti­kel 58 Absatz 2 wer­den im Ein­klang mit Absatz 2 des vor­lie­gen­den Arti­kels Geld­bu­ßen von bis zu 20 000 000 EUR oder im Fall eines Unter­neh­mens von bis zu 4 % sei­nes gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs ver­hängt, je nach­dem, wel­cher der Beträ­ge höher ist.
(7) Unbe­scha­det der Abhil­fe­be­fug­nis­se der Auf­sichts­be­hör­den gemäß Arti­kel 58 Absatz 2 kann jeder Mit­glied­staat Vor­schrif­ten dafür fest­le­gen, ob und in wel­chem Umfang gegen Behör­den und öffent­li­che Stel­len, die in dem betref­fen­den Mit­glied­staat nie­der­ge­las­sen sind, Geld­bu­ßen ver­hängt wer­den können.
(8) Die Aus­übung der eige­nen Befug­nis­se durch eine Auf­sichts­be­hör­de gemäß die­sem Arti­kel muss ange­mes­se­nen Ver­fah­rens­ga­ran­tien gemäß dem Uni­ons­recht und dem Recht der Mit­glied­staa­ten, ein­schließ­lich wirk­sa­mer gericht­li­cher Rechts­be­hel­fe und ord­nungs­ge­mä­ßer Ver­fah­ren, unterliegen.
(9) Sieht die Rechts­ord­nung eines Mit­glied­staats kei­ne Geld­bu­ßen vor, kann die­ser Arti­kel so ange­wandt wer­den, dass die Geld­bu­ße von der zustän­di­gen Auf­sichts­be­hör­de in die Wege gelei­tet und von den zustän­di­gen natio­na­len Gerich­ten ver­hängt wird, wobei sicher­zu­stel­len ist, dass die­se Rechts­be­hel­fe wirk­sam sind und die glei­che Wir­kung wie die von Auf­sichts­be­hör­den ver­häng­ten Geld­bu­ßen haben. In jeden Fall müs­sen die ver­häng­ten Geld­bu­ßen wirk­sam, ver­hält­nis­mä­ßig und abschreckend sein. Die betref­fen­den Mit­glied­staa­ten tei­len der Kom­mis­si­on bis zum 25. Mai 2018 die Rechts­vor­schrif­ten mit, die sie auf­grund die­ses Absat­zes erlas­sen, sowie unver­züg­lich alle spä­te­ren Ände­rungs­ge­set­ze oder Ände­run­gen die­ser Vorschriften.
Erwä­gungs­grün­de
(148) Im Inter­es­se einer kon­se­quen­te­ren Durch­set­zung der Vor­schrif­ten die­ser Ver­ord­nung soll­ten bei Ver­stö­ßen gegen die­se Ver­ord­nung zusätz­lich zu den geeig­ne­ten Maß­nah­men, die die Auf­sichts­be­hör­de gemäß die­ser Ver­ord­nung ver­hängt, oder an Stel­le sol­cher Maß­nah­men Sank­tio­nen ein­schließ­lich Geld­bu­ßen ver­hängt wer­den. Im Fal­le eines gering­fü­gi­ge­ren Ver­sto­ßes oder falls vor­aus­sicht­lich zu ver­hän­gen­de Geld­bu­ße eine unver­hält­nis­mä­ßi­ge Bela­stung für eine natür­li­che Per­son bewir­ken wür­de, kann anstel­le einer Geld­bu­ße eine Ver­war­nung erteilt wer­den. Fol­gen­dem soll­te jedoch gebüh­rend Rech­nung getra­gen wer­den: der Art, Schwe­re und Dau­er des Ver­sto­ßes, dem vor­sätz­li­chen Cha­rak­ter des Ver­sto­ßes, den Maß­nah­men zur Min­de­rung des ent­stan­de­nen Scha­dens, dem Grad der Ver­ant­wort­lich­keit oder jeg­li­chem frü­he­ren Ver­stoß, der Art und Wei­se, wie der Ver­stoß der Auf­sichts­be­hör­de bekannt wur­de, der Ein­hal­tung der gegen den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter ange­ord­ne­ten Maß­nah­men, der Ein­hal­tung von Ver­hal­tens­re­geln und jedem ande­ren erschwe­ren­den oder mil­dern­den Umstand. Für die Ver­hän­gung von Sank­tio­nen ein­schließ­lich Geld­bu­ßen soll­te es ange­mes­se­ne Ver­fah­rens­ga­ran­tien geben, die den all­ge­mei­nen Grund­sät­zen des Uni­ons­rechts und der Char­ta, ein­schließ­lich des Rechts auf wirk­sa­men Rechts­schutz und ein fai­res Ver­fah­ren, entsprechen.
(149) Die Mit­glied­staa­ten soll­ten die straf­recht­li­chen Sank­tio­nen für Ver­stö­ße gegen die­se Ver­ord­nung, auch für Ver­stö­ße gegen auf der Grund­la­ge und in den Gren­zen die­ser Ver­ord­nung erlas­se­ne natio­na­le Vor­schrif­ten, fest­le­gen kön­nen. Die­se straf­recht­li­chen Sank­tio­nen kön­nen auch die Ein­zie­hung der durch die Ver­stö­ße gegen die­se Ver­ord­nung erziel­ten Gewin­ne ermög­li­chen. Die Ver­hän­gung von straf­recht­li­chen Sank­tio­nen für Ver­stö­ße gegen sol­che natio­na­len Vor­schrif­ten und von ver­wal­tungs­recht­li­chen Sank­tio­nen soll­te jedoch nicht zu einer Ver­let­zung des Grund­sat­zes “ne bis in idem”, wie er vom Gerichts­hof aus­ge­legt wor­den ist, führen.
(150) Um die ver­wal­tungs­recht­li­chen Sank­tio­nen bei Ver­stö­ßen gegen die­se Ver­ord­nung zu ver­ein­heit­li­chen und ihnen mehr Wir­kung zu ver­lei­hen, soll­te jede Auf­sichts­be­hör­de befugt sein, Geld­bu­ßen zu ver­hän­gen. In die­ser Ver­ord­nung soll­ten die Ver­stö­ße sowie die Ober­gren­ze der ent­spre­chen­den Geld­bu­ßen und die Kri­te­ri­en für ihre Fest­set­zung genannt wer­den, wobei die­se Geld­bu­ßen von der zustän­di­gen Auf­sichts­be­hör­de in jedem Ein­zel­fall unter Berück­sich­ti­gung aller beson­de­ren Umstän­de und ins­be­son­de­re der Art, Schwe­re und Dau­er des Ver­sto­ßes und sei­ner Fol­gen sowie der Maß­nah­men, die ergrif­fen wor­den sind, um die Ein­hal­tung der aus die­ser Ver­ord­nung erwach­sen­den Ver­pflich­tun­gen zu gewähr­lei­sten und die Fol­gen des Ver­sto­ßes abzu­wen­den oder abzu­mil­dern, fest­zu­set­zen sind. Wer­den Geld­bu­ßen Unter­neh­men auf­er­legt, soll­te zu die­sem Zweck der Begriff “Unter­neh­men” im Sin­ne der Arti­kel 101 und 102 AEUV ver­stan­den wer­den. Wer­den Geld­bu­ßen Per­so­nen auf­er­legt, bei denen es sich nicht um Unter­neh­men han­delt, so soll­te die Auf­sichts­be­hör­de bei der Erwä­gung des ange­mes­se­nen Betrags für die Geld­bu­ße dem all­ge­mei­nen Ein­kom­mens­ni­veau in dem betref­fen­den Mit­glied­staat und der wirt­schaft­li­chen Lage der Per­so­nen Rech­nung tra­gen. Das Kohä­renz­ver­fah­ren kann auch genutzt wer­den, um eine kohä­ren­te Anwen­dung von Geld­bu­ßen zu för­dern. Die Mit­glied­staa­ten soll­ten bestim­men kön­nen, ob und inwie­weit gegen Behör­den Geld­bu­ßen ver­hängt wer­den kön­nen. Auch wenn die Auf­sichts­be­hör­den bereits Geld­bu­ßen ver­hängt oder eine Ver­war­nung erteilt haben, kön­nen sie ihre ande­ren Befug­nis­se aus­üben oder ande­re Sank­tio­nen nach Maß­ga­be die­ser Ver­ord­nung verhängen.
(151) Nach den Rechts­ord­nun­gen Däne­marks und Est­lands sind die in die­ser Ver­ord­nung vor­ge­se­he­nen Geld­bu­ßen nicht zuläs­sig. Die Vor­schrif­ten über die Geld­bu­ßen kön­nen so ange­wandt wer­den, dass die Geld­bu­ße in Däne­mark durch die zustän­di­gen natio­na­len Gerich­te als Stra­fe und in Est­land durch die Auf­sichts­be­hör­de im Rah­men eines Ver­fah­rens bei Ver­ge­hen ver­hängt wird, sofern eine sol­che Anwen­dung der Vor­schrif­ten in die­sen Mit­glied­staa­ten die glei­che Wir­kung wie die von den Auf­sichts­be­hör­den ver­häng­ten Geld­bu­ßen hat. Daher soll­ten die zustän­di­gen natio­na­len Gerich­te die Emp­feh­lung der Auf­sichts­be­hör­de, die die Geld­bu­ße in die Wege gelei­tet hat, berück­sich­ti­gen. In jeden Fall soll­ten die ver­häng­ten Geld­bu­ßen wirk­sam, ver­hält­nis­mä­ßig und abschreckend sein.

Arti­kel 84 Strafsanktionen

(1) Die Mit­glied­staa­ten legen die Vor­schrif­ten über ande­re Sank­tio­nen für Ver­stö­ße gegen die­se Ver­ord­nung — ins­be­son­de­re für Ver­stö­ße, die kei­ner Geld­bu­ße gemäß Arti­kel 83 unter­lie­gen — fest und tref­fen alle zu deren Anwen­dung erfor­der­li­chen Maß­nah­men. Die­se Sank­tio­nen müs­sen wirk­sam, ver­hält­nis­mä­ßig und abschreckend sein.
(2) Jeder Mit­glied­staat teilt der Kom­mis­si­on bis zum 25. Mai 2018 die Rechts­vor­schrif­ten, die er auf­grund von Absatz 1 erlässt, sowie unver­züg­lich alle spä­te­ren Ände­run­gen die­ser Vor­schrif­ten mit.
Erwä­gungs­grün­de
(152) Soweit die­se Ver­ord­nung ver­wal­tungs­recht­li­che Sank­tio­nen nicht har­mo­ni­siert oder wenn es in ande­ren Fäl­len — bei­spiels­wei­se bei schwe­ren Ver­stö­ßen gegen die­se Ver­ord­nung — erfor­der­lich ist, soll­ten die Mit­glied­staa­ten eine Rege­lung anwen­den, die wirk­sa­me, ver­hält­nis­mä­ßi­ge und abschrecken­de Sank­tio­nen vor­sieht. Es soll­te im Recht der Mit­glied­staa­ten gere­gelt wer­den, ob die­se Sank­tio­nen straf­recht­li­cher oder ver­wal­tungs­recht­li­cher Art sind.

Kapi­tel IX Vor­schrif­ten für beson­de­re Verarbeitungssituationen

Arti­kel 85 Ver­ar­bei­tung und Frei­heit der Mei­nungs­äu­ße­rung und Informationsfreiheit

(1) Die Mit­glied­staa­ten brin­gen durch Rechts­vor­schrif­ten das Recht auf den Schutz per­so­nen­be­zo­ge­ner Daten gemäß die­ser Ver­ord­nung mit dem Recht auf freie Mei­nungs­äu­ße­rung und Infor­ma­ti­ons­frei­heit, ein­schließ­lich der Ver­ar­bei­tung zu jour­na­li­sti­schen Zwecken und zu wis­sen­schaft­li­chen, künst­le­ri­schen oder lite­ra­ri­schen Zwecken, in Einklang.
(2) Für die Ver­ar­bei­tung, die zu jour­na­li­sti­schen Zwecken oder zu wis­sen­schaft­li­chen, künst­le­ri­schen oder lite­ra­ri­schen Zwecken erfolgt, sehen die Mit­glied­staa­ten Abwei­chun­gen oder Aus­nah­men von Kapi­tel II (Grund­sät­ze), Kapi­tel III (Rech­te der betrof­fe­nen Per­son), Kapi­tel IV (Ver­ant­wort­li­cher und Auf­trags­ver­ar­bei­ter), Kapi­tel V (Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder an inter­na­tio­na­le Orga­ni­sa­tio­nen), Kapi­tel VI (Unab­hän­gi­ge Auf­sichts­be­hör­den), Kapi­tel VII (Zusam­men­ar­beit und Kohä­renz) und Kapi­tel IX (Vor­schrif­ten für beson­de­re Ver­ar­bei­tungs­si­tua­tio­nen) vor, wenn dies erfor­der­lich ist, um das Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten mit der Frei­heit der Mei­nungs­äu­ße­rung und der Infor­ma­ti­ons­frei­heit in Ein­klang zu bringen.
(3) Jeder Mit­glied­staat teilt der Kom­mis­si­on die Rechts­vor­schrif­ten, die er auf­grund von Absatz 2 erlas­sen hat, sowie unver­züg­lich alle spä­te­ren Ände­rungs­ge­set­ze oder Ände­run­gen die­ser Vor­schrif­ten mit.
Erwä­gungs­grün­de
(153) Im Recht der Mit­glied­staa­ten soll­ten die Vor­schrif­ten über die freie Mei­nungs­äu­ße­rung und Infor­ma­ti­ons­frei­heit, auch von Jour­na­li­sten, Wis­sen­schaft­lern, Künst­lern und/oder Schrift­stel­lern, mit dem Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten gemäß die­ser Ver­ord­nung in Ein­klang gebracht wer­den. Für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus­schließ­lich zu jour­na­li­sti­schen Zwecken oder zu wis­sen­schaft­li­chen, künst­le­ri­schen oder lite­ra­ri­schen Zwecken soll­ten Abwei­chun­gen und Aus­nah­men von bestimm­ten Vor­schrif­ten die­ser Ver­ord­nung gel­ten, wenn dies erfor­der­lich ist, um das Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten mit dem Recht auf Frei­heit der Mei­nungs­äu­ße­rung und Infor­ma­ti­ons­frei­heit, wie es in Arti­kel 11 der Char­ta garan­tiert ist, in Ein­klang zu brin­gen. Dies soll­te ins­be­son­de­re für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im audio­vi­su­el­len Bereich sowie in Nach­rich­ten- und Pres­se­ar­chi­ven gel­ten. Die Mit­glied­staa­ten soll­ten daher Gesetz­ge­bungs­maß­nah­men zur Rege­lung der Abwei­chun­gen und Aus­nah­men erlas­sen, die zum Zwecke der Abwä­gung zwi­schen die­sen Grund­rech­ten not­wen­dig sind. Die Mit­glied­staa­ten soll­ten sol­che Abwei­chun­gen und Aus­nah­men in Bezug auf die all­ge­mei­nen Grund­sät­ze, die Rech­te der betrof­fe­nen Per­son, den Ver­ant­wort­li­chen und den Auf­trags­ver­ar­bei­ter, die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten an Dritt­län­der oder an inter­na­tio­na­le Orga­ni­sa­tio­nen, die unab­hän­gi­gen Auf­sichts­be­hör­den, die Zusam­men­ar­beit und Kohä­renz und beson­de­re Daten­ver­ar­bei­tungs­si­tua­tio­nen erlas­sen. Soll­ten die­se Abwei­chun­gen oder Aus­nah­men von Mit­glied­staat zu Mit­glied­staat unter­schied­lich sein, soll­te das Recht des Mit­glied­staats ange­wen­det wer­den, dem der Ver­ant­wort­li­che unter­liegt. Um der Bedeu­tung des Rechts auf freie Mei­nungs­äu­ße­rung in einer demo­kra­ti­schen Gesell­schaft Rech­nung zu tra­gen, müs­sen Begrif­fe wie Jour­na­lis­mus, die sich auf die­se Frei­heit bezie­hen, weit aus­ge­legt werden.

Arti­kel 86 Ver­ar­bei­tung und Zugang der Öffent­lich­keit zu amt­li­chen Dokumenten

Per­so­nen­be­zo­ge­ne Daten in amt­li­chen Doku­men­ten, die sich im Besitz einer Behör­de oder einer öffent­li­chen Ein­rich­tung oder einer pri­va­ten Ein­rich­tung zur Erfül­lung einer im öffent­li­chen Inter­es­se lie­gen­den Auf­ga­be befin­den, kön­nen von der Behör­de oder der Ein­rich­tung gemäß dem Uni­ons­recht oder dem Recht des Mit­glied­sta ats, dem die Behör­de oder Ein­rich­tung unter­liegt, offen­ge­legt wer­den, um den Zugang der Öffent­lich­keit zu amt­li­chen Doku­men­ten mit dem Recht auf Schutz per­so­nen­be­zo­ge­ner Daten gemäß die­ser Ver­ord­nung in Ein­klang zu brin­gen.
Erwä­gungs­grün­de
(154) Die­se Ver­ord­nung ermög­licht es, dass bei ihrer Anwen­dung der Grund­satz des Zugangs der Öffent­lich­keit zu amt­li­chen Doku­men­ten berück­sich­tigt wird. Der Zugang der Öffent­lich­keit zu amt­li­chen Doku­men­ten kann als öffent­li­ches Inter­es­se betrach­tet wer­den. Per­so­nen­be­zo­ge­ne Daten in Doku­men­ten, die sich im Besitz einer Behör­de oder einer öffent­li­chen Stel­le befin­den, soll­ten von die­ser Behör­de oder Stel­le öffent­lich offen­ge­legt wer­den kön­nen, sofern dies im Uni­ons­recht oder im Recht der Mit­glied­staa­ten, denen sie unter­liegt, vor­ge­se­hen ist. Die­se Rechts­vor­schrif­ten soll­ten den Zugang der Öffent­lich­keit zu amt­li­chen Doku­men­ten und die Wei­ter­ver­wen­dung von Infor­ma­tio­nen des öffent­li­chen Sek­tors mit dem Recht auf Schutz per­so­nen­be­zo­ge­ner Daten in Ein­klang brin­gen und kön­nen daher die not­wen­di­ge Über­ein­stim­mung mit dem Recht auf Schutz per­so­nen­be­zo­ge­ner Daten gemäß die­ser Ver­ord­nung regeln. Die Bezug­nah­me auf Behör­den und öffent­li­che Stel­len soll­te in die­sem Kon­text sämt­li­che Behör­den oder son­sti­gen Stel­len beinhal­ten, die vom Recht des jewei­li­gen Mit­glied­staats über den Zugang der Öffent­lich­keit zu Doku­men­ten erfasst wer­den. Die Richt­li­nie 2003/98/EG des Euro­päi­schen Par­la­ments und des Rates (14) lässt das Schutz­ni­veau für natür­li­che Per­so­nen in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gemäß den Bestim­mun­gen des Uni­ons­rechts und des Rechts der Mit­glied­staa­ten unbe­rührt und beein­träch­tigt die­sen in kei­ner Wei­se, und sie bewirkt ins­be­son­de­re kei­ne Ände­rung der in die­ser Ver­ord­nung dar­ge­leg­ten Rech­te und Pflich­ten. Ins­be­son­de­re soll­te die genann­te Richt­li­nie nicht für Doku­men­te gel­ten, die nach den Zugangs­re­ge­lun­gen der Mit­glied­staa­ten aus Grün­den des Schut­zes per­so­nen­be­zo­ge­ner Daten nicht oder nur ein­ge­schränkt zugäng­lich sind, oder für Tei­le von Doku­men­ten, die nach die­sen Rege­lun­gen zugäng­lich sind, wenn sie per­so­nen­be­zo­ge­ne Daten ent­hal­ten, bei denen Rechts­vor­schrif­ten vor­se­hen, dass ihre Wei­ter­ver­wen­dung nicht mit dem Recht über den Schutz natür­li­cher Per­so­nen in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­ein­bar ist.

Arti­kel 87 Ver­ar­bei­tung der natio­na­len Kennziffer

Die Mit­glied­staa­ten kön­nen näher bestim­men, unter wel­chen spe­zi­fi­schen Bedin­gun­gen eine natio­na­le Kenn­zif­fer oder ande­re Kenn­zei­chen von all­ge­mei­ner Bedeu­tung Gegen­stand einer Ver­ar­bei­tung sein dür­fen. In die­sem Fall darf die natio­na­le Kenn­zif­fer oder das ande­re Kenn­zei­chen von all­ge­mei­ner Bedeu­tung nur unter Wah­rung geeig­ne­ter Garan­tien für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son gemäß die­ser Ver­ord­nung ver­wen­det werden. 

Arti­kel 88 Daten­ver­ar­bei­tung im Beschäftigungskontext

(1) Die Mit­glied­staa­ten kön­nen durch Rechts­vor­schrif­ten oder durch Kol­lek­tiv­ver­ein­ba­run­gen spe­zi­fi­sche­re Vor­schrif­ten zur Gewähr­lei­stung des Schut­zes der Rech­te und Frei­hei­ten hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Beschäf­tig­ten­da­ten im Beschäf­ti­gungs­kon­text, ins­be­son­de­re für Zwecke der Ein­stel­lung, der Erfül­lung des Arbeits­ver­trags ein­schließ­lich der Erfül­lung von durch Rechts­vor­schrif­ten oder durch Kol­lek­tiv­ver­ein­ba­run­gen fest­ge­leg­ten Pflich­ten, des Manage­ments, der Pla­nung und der Orga­ni­sa­ti­on der Arbeit, der Gleich­heit und Diver­si­tät am Arbeits­platz, der Gesund­heit und Sicher­heit am Arbeits­platz, des Schut­zes des Eigen­tums der Arbeit­ge­ber oder der Kun­den sowie für Zwecke der Inan­spruch­nah­me der mit der Beschäf­ti­gung zusam­men­hän­gen­den indi­vi­du­el­len oder kol­lek­ti­ven Rech­te und Lei­stun­gen und für Zwecke der Been­di­gung des Beschäf­ti­gungs­ver­hält­nis­ses vorsehen.
(2) Die­se Vor­schrif­ten umfas­sen ange­mes­se­ne und beson­de­re Maß­nah­men zur Wah­rung der mensch­li­chen Wür­de, der berech­tig­ten Inter­es­sen und der Grund­rech­te der betrof­fe­nen Per­son, ins­be­son­de­re im Hin­blick auf die Trans­pa­renz der Ver­ar­bei­tung, die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten inner­halb einer Unter­neh­mens­grup­pe oder einer Grup­pe von Unter­neh­men, die eine gemein­sa­me Wirt­schafts­tä­tig­keit aus­üben, und die Über­wa­chungs­sy­ste­me am Arbeitsplatz.
(3) Jeder Mit­glied­staat teilt der Kom­mis­si­on bis zum 25. Mai 2018 die Rechts­vor­schrif­ten, die er auf­grund von Absatz 1 erlässt, sowie unver­züg­lich alle spä­te­ren Ände­run­gen die­ser Vor­schrif­ten mit.

Arti­kel 89 Garan­tien und Aus­nah­men in Bezug auf die Ver­ar­bei­tung zu im öffent­li­chen Inter­es­se lie­gen­den Archiv­zwecken, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken und zu sta­ti­sti­schen Zwecken

(1) Die Ver­ar­bei­tung zu im öffent­li­chen Inter­es­se lie­gen­den Archiv­zwecken, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken unter­liegt geeig­ne­ten Garan­tien für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son gemäß die­ser Ver­ord­nung. Mit die­sen Garan­tien wird sicher­ge­stellt, dass tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men bestehen, mit denen ins­be­son­de­re die Ach­tung des Grund­sat­zes der Daten­mi­ni­mie­rung gewähr­lei­stet wird. Zu die­sen Maß­nah­men kann die Pseud­ony­mi­sie­rung gehö­ren, sofern es mög­lich ist, die­se Zwecke auf die­se Wei­se zu erfül­len. In allen Fäl­len, in denen die­se Zwecke durch die Wei­ter­ver­ar­bei­tung, bei der die Iden­ti­fi­zie­rung von betrof­fe­nen Per­so­nen nicht oder nicht mehr mög­lich ist, erfüllt wer­den kön­nen, wer­den die­se Zwecke auf die­se Wei­se erfüllt.
(2) Wer­den per­so­nen­be­zo­ge­ne Daten zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken ver­ar­bei­tet, kön­nen vor­be­halt­lich der Bedin­gun­gen und Garan­tien gemäß Absatz 1 des vor­lie­gen­den Arti­kels im Uni­ons­recht oder im Recht der Mit­glied­staa­ten inso­weit Aus­nah­men von den Rech­ten gemäß der Arti­kel 15, 16, 18 und 21 vor­ge­se­hen wer­den, als die­se Rech­te vor­aus­sicht­lich die Ver­wirk­li­chung der spe­zi­fi­schen Zwecke unmög­lich machen oder ernst­haft beein­träch­ti­gen und sol­che Aus­nah­men für die Erfül­lung die­ser Zwecke not­wen­dig sind.
(3) Wer­den per­so­nen­be­zo­ge­ne Daten für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke ver­ar­bei­tet, kön­nen vor­be­halt­lich der Bedin­gun­gen und Garan­tien gemäß Absatz 1 des vor­lie­gen­den Arti­kels im Uni­ons­recht oder im Recht der Mit­glied­staa­ten inso­weit Aus­nah­men von den Rech­ten gemäß der Arti­kel 15, 16, 18, 19, 20 und 21 vor­ge­se­hen wer­den, als die­se Rech­te vor­aus­sicht­lich die Ver­wirk­li­chung der spe­zi­fi­schen Zwecke unmög­lich machen oder ernst­haft beein­träch­ti­gen und sol­che Aus­nah­men für die Erfül­lung die­ser Zwecke not­wen­dig sind.
(4) Dient die in den Absät­zen 2 und 3 genann­te Ver­ar­bei­tung gleich­zei­tig einem ande­ren Zweck, gel­ten die Aus­nah­men nur für die Ver­ar­bei­tung zu den in die­sen Absät­zen genann­ten Zwecken.
Erwä­gungs­grün­de
(156) Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken soll­te geeig­ne­ten Garan­tien für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son gemäß die­ser Ver­ord­nung unter­lie­gen. Mit die­sen Garan­tien soll­te sicher­ge­stellt wer­den, dass tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men bestehen, mit denen ins­be­son­de­re der Grund­satz der Daten­mi­ni­mie­rung gewähr­lei­stet wird. Die Wei­ter­ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecken, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken erfolgt erst dann, wenn der Ver­ant­wort­li­che geprüft hat, ob es mög­lich ist, die­se Zwecke durch die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, bei der die Iden­ti­fi­zie­rung von betrof­fe­nen Per­so­nen nicht oder nicht mehr mög­lich ist, zu erfül­len, sofern geeig­ne­te Garan­tien bestehen (wie z. B. die Pseud­ony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten). Die Mit­glied­staa­ten soll­ten geeig­ne­te Garan­tien in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecke, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken vor­se­hen. Es soll­te den Mit­glied­staa­ten erlaubt sein, unter bestimm­ten Bedin­gun­gen und vor­be­halt­lich geeig­ne­ter Garan­tien für die betrof­fe­nen Per­so­nen Prä­zi­sie­run­gen und Aus­nah­men in Bezug auf die Infor­ma­ti­ons­an­for­de­run­gen sowie der Rech­te auf Berich­ti­gung, Löschung, Ver­ges­sen­wer­den, zur Ein­schrän­kung der Ver­ar­bei­tung, auf Daten­über­trag­bar­keit sowie auf Wider­spruch bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu im öffent­li­chen Inter­es­se lie­gen­de Archiv­zwecken, zu wis­sen­schaft­li­chen oder histo­ri­schen For­schungs­zwecken oder zu sta­ti­sti­schen Zwecken vor­zu­se­hen. Im Rah­men der betref­fen­den Bedin­gun­gen und Garan­tien kön­nen spe­zi­fi­sche Ver­fah­ren für die Aus­übung die­ser Rech­te durch die betrof­fe­nen Per­so­nen vor­ge­se­hen sein — sofern dies ange­sichts der mit der spe­zi­fi­schen Ver­ar­bei­tung ver­folg­ten Zwecke ange­mes­sen ist — sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Mini­mie­rung der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Hin­blick auf die Grund­sät­ze der Ver­hält­nis­mä­ßig­keit und der Not­wen­dig­keit. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu wis­sen­schaft­li­chen Zwecken soll­te auch ande­ren ein­schlä­gi­gen Rechts­vor­schrif­ten, bei­spiels­wei­se für kli­ni­sche Prü­fun­gen, genügen.
(157) Durch die Ver­knüp­fung von Infor­ma­tio­nen aus Regi­stern kön­nen For­scher neue Erkennt­nis­se von gro­ßem Wert in Bezug auf weit ver­brei­te­ten Krank­hei­ten wie Herz-Kreis­lauf­erkran­kun­gen, Krebs und Depres­si­on erhal­ten. Durch die Ver­wen­dung von Regi­stern kön­nen bes­se­re For­schungs­er­geb­nis­se erzielt wer­den, da sie auf einen grö­ße­ren Bevöl­ke­rungs­an­teil gestützt sind. Im Bereich der Sozi­al­wis­sen­schaf­ten ermög­licht die For­schung anhand von Regi­stern es den For­schern, ent­schei­den­de Erkennt­nis­se über den lang­fri­sti­gen Zusam­men­hang einer Rei­he sozia­ler Umstän­de zu erlan­gen, wie Arbeits­lo­sig­keit und Bil­dung mit ande­ren Lebens­um­stän­den. Durch Regi­ster erhal­te­ne For­schungs­er­geb­nis­se bie­ten soli­de, hoch­wer­ti­ge Erkennt­nis­se, die die Basis für die Erar­bei­tung und Umset­zung wis­sens­ge­stütz­ter poli­ti­scher Maß­nah­men dar­stel­len, die Lebens­qua­li­tät zahl­rei­cher Men­schen ver­bes­sern und die Effi­zi­enz der Sozi­al­dien­ste ver­bes­sern kön­nen. Zur Erleich­te­rung der wis­sen­schaft­li­chen For­schung kön­nen daher per­so­nen­be­zo­ge­ne Daten zu wis­sen­schaft­li­chen For­schungs­zwecken ver­ar­bei­tet wer­den, wobei sie ange­mes­se­nen Bedin­gun­gen und Garan­tien unter­lie­gen, die im Uni­ons­recht oder im Recht der Mit­glied­staa­ten fest­ge­legt sind.
(158) Die­se Ver­ord­nung soll­te auch für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu Archiv­zwecken gel­ten, wobei dar­auf hin­zu­wei­sen ist, dass die Ver­ord­nung nicht für ver­stor­be­ne Per­so­nen gel­ten soll­te. Behör­den oder öffent­li­che oder pri­va­te Stel­len, die Auf­zeich­nun­gen von öffent­li­chem Inter­es­se füh­ren, soll­ten gemäß dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten recht­lich ver­pflich­tet sein, Auf­zeich­nun­gen von blei­ben­dem Wert für das all­ge­mei­ne öffent­li­che Inter­es­se zu erwer­ben, zu erhal­ten, zu bewer­ten, auf­zu­be­rei­ten, zu beschrei­ben, mit­zu­tei­len, zu för­dern, zu ver­brei­ten sowie Zugang dazu bereit­zu­stel­len. Es soll­te den Mit­glied­staa­ten fer­ner erlaubt sein vor­zu­se­hen, dass per­so­nen­be­zo­ge­ne Daten zu Archiv­zwecken wei­ter­ver­ar­bei­tet wer­den, bei­spiels­wei­se im Hin­blick auf die Bereit­stel­lung spe­zi­fi­scher Infor­ma­tio­nen im Zusam­men­hang mit dem poli­ti­schen Ver­hal­ten unter ehe­ma­li­gen tota­li­tä­ren Regi­men, Völ­ker­mord, Ver­bre­chen gegen die Mensch­lich­keit, ins­be­son­de­re dem Holo­caust, und Kriegsverbrechen.
(159) Die­se Ver­ord­nung soll­te auch für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu wis­sen­schaft­li­chen For­schungs­zwecken gel­ten. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu wis­sen­schaft­li­chen For­schungs­zwecken im Sin­ne die­ser Ver­ord­nung soll­te weit aus­ge­legt wer­den und die Ver­ar­bei­tung für bei­spiels­wei­se die tech­no­lo­gi­sche Ent­wick­lung und die Demon­stra­ti­on, die Grund­la­gen­for­schung, die ange­wand­te For­schung und die pri­vat finan­zier­te For­schung ein­schlie­ßen. Dar­über hin­aus soll­te sie dem in Arti­kel 179 Absatz 1 AEUV fest­ge­schrie­be­nen Ziel, einen euro­päi­schen Raum der For­schung zu schaf­fen, Rech­nung tra­gen. Die wis­sen­schaft­li­chen For­schungs­zwecke soll­ten auch Stu­di­en umfas­sen, die im öffent­li­chen Inter­es­se im Bereich der öffent­li­chen Gesund­heit durch­ge­führt wer­den. Um den Beson­der­hei­ten der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu wis­sen­schaft­li­chen For­schungs­zwecken zu genü­gen, soll­ten spe­zi­fi­sche Bedin­gun­gen ins­be­son­de­re hin­sicht­lich der Ver­öf­fent­li­chung oder son­sti­gen Offen­le­gung per­so­nen­be­zo­ge­ner Daten im Kon­text wis­sen­schaft­li­cher Zwecke gel­ten. Geben die Ergeb­nis­se wis­sen­schaft­li­cher For­schung ins­be­son­de­re im Gesund­heits­be­reich Anlass zu wei­te­ren Maß­nah­men im Inter­es­se der betrof­fe­nen Per­son, soll­ten die all­ge­mei­nen Vor­schrif­ten die­ser Ver­ord­nung für die­se Maß­nah­men gelten.
(160) Die­se Ver­ord­nung soll­te auch für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu histo­ri­schen For­schungs­zwecken gel­ten. Dazu soll­te auch histo­ri­sche For­schung und For­schung im Bereich der Genea­lo­gie zäh­len, wobei dar­auf hin­zu­wei­sen ist, dass die­se Ver­ord­nung nicht für ver­stor­be­ne Per­so­nen gel­ten sollte.
(161) Für die Zwecke der Ein­wil­li­gung in die Teil­nah­me an wis­sen­schaft­li­chen For­schungs­tä­tig­kei­ten im Rah­men kli­ni­scher Prü­fun­gen soll­ten die ein­schlä­gi­gen Bestim­mun­gen der Ver­ord­nung (EU) Nr. 536/2014 des Euro­päi­schen Par­la­ments und des Rates (15) gelten.
(162) Die­se Ver­ord­nung soll­te auch für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu sta­ti­sti­schen Zwecken gel­ten. Das Uni­ons­recht oder das Recht der Mit­glied­staa­ten soll­te in den Gren­zen die­ser Ver­ord­nung den sta­ti­sti­schen Inhalt, die Zugangs­kon­trol­le, die Spe­zi­fi­ka­tio­nen für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu sta­ti­sti­schen Zwecken und geeig­ne­te Maß­nah­men zur Siche­rung der Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen und zur Sicher­stel­lung der sta­ti­sti­schen Geheim­hal­tung bestim­men. Unter dem Begriff “sta­ti­sti­sche Zwecke” ist jeder für die Durch­füh­rung sta­ti­sti­scher Unter­su­chun­gen und die Erstel­lung sta­ti­sti­scher Ergeb­nis­se erfor­der­li­che Vor­gang der Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu ver­ste­hen. Die­se sta­ti­sti­schen Ergeb­nis­se kön­nen für ver­schie­de­ne Zwecke, so auch für wis­sen­schaft­li­che For­schungs­zwecke, wei­ter­ver­wen­det wer­den. Im Zusam­men­hang mit den sta­ti­sti­schen Zwecken wird vor­aus­ge­setzt, dass die Ergeb­nis­se der Ver­ar­bei­tung zu sta­ti­sti­schen Zwecken kei­ne per­so­nen­be­zo­ge­nen Daten, son­dern agg­re­gier­te Daten sind und die­se Ergeb­nis­se oder per­so­nen­be­zo­ge­nen Daten nicht für Maß­nah­men oder Ent­schei­dun­gen gegen­über ein­zel­nen natür­li­chen Per­so­nen ver­wen­det werden.
(163) Die ver­trau­li­chen Infor­ma­tio­nen, die die sta­ti­sti­schen Behör­den der Uni­on und der Mit­glied­staa­ten zur Erstel­lung der amt­li­chen euro­päi­schen und der amt­li­chen natio­na­len Sta­ti­sti­ken erhe­ben, soll­ten geschützt wer­den. Die euro­päi­schen Sta­ti­sti­ken soll­ten im Ein­klang mit den in Arti­kel 338 Absatz 2 AEUV dar­ge­leg­ten sta­ti­sti­schen Grund­sät­zen ent­wickelt, erstellt und ver­brei­tet wer­den, wobei die natio­na­len Sta­ti­sti­ken auch mit dem Recht der Mit­glied­staa­ten über­ein­stim­men müs­sen. Die Ver­ord­nung (EG) Nr. 223/2009 des Euro­päi­schen Par­la­ments und des Rates (16) ent­hält genaue­re Bestim­mun­gen zur Ver­trau­lich­keit euro­päi­scher Statistiken.

Arti­kel 90 Geheimhaltungspflichten

(1) Die Mit­glied­staa­ten kön­nen die Befug­nis­se der Auf­sichts­be­hör­den im Sin­ne des Arti­kels 58 Absatz 1 Buch­sta­ben e und f gegen­über den Ver­ant­wort­li­chen oder den Auf­trags­ver­ar­bei­tern, die nach Uni­ons­recht oder dem Recht der Mit­glied­staa­ten oder nach einer von den zustän­di­gen natio­na­len Stel­len erlas­se­nen Ver­pflich­tung dem Berufs­ge­heim­nis oder einer gleich­wer­ti­gen Geheim­hal­tungs­pflicht unter­lie­gen, regeln, soweit dies not­wen­dig und ver­hält­nis­mä­ßig ist, um das Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten mit der Pflicht zur Geheim­hal­tung in Ein­klang zu brin­gen. Die­se Vor­schrif­ten gel­ten nur in Bezug auf per­so­nen­be­zo­ge­ne Daten, die der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter bei einer Tätig­keit erlangt oder erho­ben hat, die einer sol­chen Geheim­hal­tungs­pflicht unterliegt.
(2) Jeder Mit­glied­staat teilt der Kom­mis­si­on bis zum 25. Mai 2018 die Vor­schrif­ten mit, die er auf­grund von Absatz 1 erlässt, und setzt sie unver­züg­lich von allen wei­te­ren Ände­run­gen die­ser Vor­schrif­ten in Kenntnis.
Erwä­gungs­grün­de
(164) Hin­sicht­lich der Befug­nis­se der Auf­sichts­be­hör­den, von dem Ver­ant­wort­li­chen oder vom Auf­trags­ver­ar­bei­ter Zugang zu per­so­nen­be­zo­ge­nen Daten oder zu sei­nen Räum­lich­kei­ten zu erlan­gen, kön­nen die Mit­glied­staa­ten in den Gren­zen die­ser Ver­ord­nung den Schutz des Berufs­ge­heim­nis­ses oder ande­rer gleich­wer­ti­ger Geheim­hal­tungs­pflich­ten durch Rechts­vor­schrif­ten regeln, soweit dies not­wen­dig ist, um das Recht auf Schutz der per­so­nen­be­zo­ge­nen Daten mit einer Pflicht zur Wah­rung des Berufs­ge­heim­nis­ses in Ein­klang zu brin­gen. Dies berührt nicht die bestehen­den Ver­pflich­tun­gen der Mit­glied­staa­ten zum Erlass von Vor­schrif­ten über das Berufs­ge­heim­nis, wenn dies auf­grund des Uni­ons­rechts erfor­der­lich ist.

Arti­kel 91 Bestehen­de Daten­schutz­vor­schrif­ten von Kir­chen und reli­giö­sen Ver­ei­ni­gun­gen oder Gemeinschaften

(1) Wen­det eine Kir­che oder eine reli­giö­se Ver­ei­ni­gung oder Gemein­schaft in einem Mit­glied­staat zum Zeit­punkt des Inkraft­tre­tens die­ser Ver­ord­nung umfas­sen­de Regeln zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung an, so dür­fen die­se Regeln wei­ter ange­wandt wer­den, sofern sie mit die­ser Ver­ord­nung in Ein­klang gebracht werden.
(2) Kir­chen und reli­giö­se Ver­ei­ni­gun­gen oder Gemein­schaf­ten, die gemäß Absatz 1 umfas­sen­de Daten­schutz­re­geln anwen­den, unter­lie­gen der Auf­sicht durch eine unab­hän­gi­ge Auf­sichts­be­hör­de, die spe­zi­fi­scher Art sein kann, sofern sie die in Kapi­tel VI nie­der­ge­leg­ten Bedin­gun­gen erfüllt.
Erwä­gungs­grün­de
(165) Im Ein­klang mit Arti­kel 17 AEUV ach­tet die­se Ver­ord­nung den Sta­tus, den Kir­chen und reli­giö­se Ver­ei­ni­gun­gen oder Gemein­schaf­ten in den Mit­glied­staa­ten nach deren bestehen­den ver­fas­sungs­recht­li­chen Vor­schrif­ten genie­ßen, und beein­träch­tigt ihn nicht.

Kapi­tel X Dele­gier­te Rechts­ak­te und Durchführungsrechtsakte

Arti­kel 92 Aus­übung der Befugnisübertragung

(1) Die Befug­nis zum Erlass dele­gier­ter Rechts­ak­te wird der Kom­mis­si­on unter den in die­sem Arti­kel fest­ge­leg­ten Bedin­gun­gen übertragen.
(2) Die Befug­nis zum Erlass dele­gier­ter Rechts­ak­te gemäß Arti­kel 12 Absatz 8 und Arti­kel 43 Absatz 8 wird der Kom­mis­si­on auf unbe­stimm­te Zeit ab dem 24. Mai 2016 übertragen.
(3) Die Befug­nis­über­tra­gung gemäß Arti­kel 12 Absatz 8 und Arti­kel 43 Absatz 8 kann vom Euro­päi­schen Par­la­ment oder vom Rat jeder­zeit wider­ru­fen wer­den. Der Beschluss über den Wider­ruf been­det die Über­tra­gung der in die­sem Beschluss ange­ge­be­nen Befug­nis. Er wird am Tag nach sei­ner Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on oder zu einem im Beschluss über den Wider­ruf ange­ge­be­nen spä­te­ren Zeit­punkt wirk­sam. Die Gül­tig­keit von dele­gier­ten Rechts­ak­ten, die bereits in Kraft sind, wird von dem Beschluss über den Wider­ruf nicht berührt.
(4) Sobald die Kom­mis­si­on einen dele­gier­ten Rechts­akt erlässt, über­mit­telt sie ihn gleich­zei­tig dem Euro­päi­schen Par­la­ment und dem Rat.
(5) Ein dele­gier­ter Rechts­akt, der gemäß Arti­kel 12 Absatz 8 und Arti­kel 43 Absatz 8 erlas­sen wur­de, tritt nur in Kraft, wenn weder das Euro­päi­sche Par­la­ment noch der Rat inner­halb einer Frist von drei Mona­ten nach Über­mitt­lung die­ses Rechts­akts an das Euro­päi­sche Par­la­ment und den Rat Ein­wän­de erho­ben haben oder wenn vor Ablauf die­ser Frist das Euro­päi­sche Par­la­ment und der Rat bei­de der Kom­mis­si­on mit­ge­teilt haben, dass sie kei­ne Ein­wän­de erhe­ben wer­den. Auf Ver­an­las­sung des Euro­päi­schen Par­la­ments oder des Rates wird die­se Frist um drei Mona­te verlängert.
Erwä­gungs­grün­de
(166) Um die Ziel­vor­ga­ben die­ser Ver­ord­nung zu erfül­len, d. h. die Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen und ins­be­son­de­re ihr Recht auf Schutz ihrer per­so­nen­be­zo­ge­nen Daten zu schüt­zen und den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten inner­halb der Uni­on zu gewähr­lei­sten, soll­te der Kom­mis­si­on die Befug­nis über­tra­gen wer­den, gemäß Arti­kel 290 AEUV Rechts­ak­te zu erlas­sen. Dele­gier­te Rechts­ak­te soll­ten ins­be­son­de­re in Bezug auf die für Zer­ti­fi­zie­rungs­ver­fah­ren gel­ten­den Kri­te­ri­en und Anfor­de­run­gen, die durch stan­dar­di­sier­te Bild­sym­bo­le dar­zu­stel­len­den Infor­ma­tio­nen und die Ver­fah­ren für die Bereit­stel­lung die­ser Bild­sym­bo­le erlas­sen wer­den. Es ist von beson­de­rer Bedeu­tung, dass die Kom­mis­si­on im Zuge ihrer Vor­be­rei­tungs­ar­beit ange­mes­se­ne Kon­sul­ta­tio­nen, auch auf der Ebe­ne von Sach­ver­stän­di­gen, durch­führt. Bei der Vor­be­rei­tung und Aus­ar­bei­tung dele­gier­ter Rechts­ak­te soll­te die Kom­mis­si­on gewähr­lei­sten, dass die ein­schlä­gi­gen Doku­men­te dem Euro­päi­schen Par­la­ment und dem Rat gleich­zei­tig, recht­zei­tig und auf ange­mes­se­ne Wei­se über­mit­telt werden.
(167) Zur Gewähr­lei­stung ein­heit­li­cher Bedin­gun­gen für die Durch­füh­rung die­ser Ver­ord­nung soll­ten der Kom­mis­si­on Durch­füh­rungs­be­fug­nis­se über­tra­gen wer­den, wenn dies in die­ser Ver­ord­nung vor­ge­se­hen ist. Die­se Befug­nis­se soll­ten nach Maß­ga­be der Ver­ord­nung (EU) Nr. 182/2011 des Euro­päi­schen Par­la­ments und des Rates aus­ge­übt wer­den. In die­sem Zusam­men­hang soll­te die Kom­mis­si­on beson­de­re Maß­nah­men für Kleinst­un­ter­neh­men sowie klei­ne und mitt­le­re Unter­neh­men erwägen.
(170) Da das Ziel die­ser Ver­ord­nung, näm­lich die Gewähr­lei­stung eines gleich­wer­ti­gen Daten­schutz­ni­veaus für natür­li­che Per­so­nen und des frei­en Ver­kehrs per­so­nen­be­zo­ge­ner Daten in der Uni­on, von den Mit­glied­staa­ten nicht aus­rei­chend ver­wirk­licht wer­den kann, son­dern viel­mehr wegen des Umfangs oder der Wir­kun­gen der Maß­nah­me auf Uni­ons­ebe­ne bes­ser zu ver­wirk­li­chen ist, kann die Uni­on im Ein­klang mit dem in Arti­kel 5 des Ver­trags über die Euro­päi­sche Uni­on (EUV) ver­an­ker­ten Sub­si­dia­ri­täts­prin­zip tätig wer­den. Ent­spre­chend dem in dem­sel­ben Arti­kel genann­ten Grund­satz der Ver­hält­nis­mä­ßig­keit geht die­se Ver­ord­nung nicht über das für die Ver­wirk­li­chung die­ses Ziels erfor­der­li­che Maß hinaus.

Arti­kel 93 Ausschussverfahren

(1) Die Kom­mis­si­on wird von einem Aus­schuss unter­stützt. Die­ser Aus­schuss ist ein Aus­schuss im Sin­ne der Ver­ord­nung (EU) Nr. 182/2011.
(2) Wird auf die­sen Absatz Bezug genom­men, so gilt Arti­kel 5 der Ver­ord­nung (EU) Nr. 182/2011.
(3) Wird auf die­sen Absatz Bezug genom­men, so gilt Arti­kel 8 der Ver­ord­nung (EU) Nr. 182/2011 in Ver­bin­dung mit deren Arti­kel 5.
Erwä­gungs­grün­de
(168) Für den Erlass von Durch­füh­rungs­rechts­ak­ten bezüg­lich Stan­dard­ver­trags­klau­seln für Ver­trä­ge zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern sowie zwi­schen Auf­trags­ver­ar­bei­tern; Ver­hal­tens­re­geln; tech­ni­sche Stan­dards und Ver­fah­ren für die Zer­ti­fi­zie­rung; Anfor­de­run­gen an die Ange­mes­sen­heit des Daten­schutz­ni­veaus in einem Dritt­land, einem Gebiet oder bestimm­ten Sek­tor die­ses Dritt­lands oder in einer inter­na­tio­na­len Orga­ni­sa­ti­on; Stan­dard­schutz­klau­seln; For­ma­te und Ver­fah­ren für den Infor­ma­ti­ons­aus­tausch zwi­schen Ver­ant­wort­li­chen, Auf­trags­ver­ar­bei­tern und Auf­sichts­be­hör­den im Hin­blick auf ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten; Amts­hil­fe; sowie Vor­keh­run­gen für den elek­tro­ni­schen Infor­ma­ti­ons­aus­tausch zwi­schen Auf­sichts­be­hör­den und zwi­schen Auf­sichts­be­hör­den und dem Aus­schuss soll­te das Prüf­ver­fah­ren ange­wandt werden.

Kapi­tel XI Schlussbestimmungen

Arti­kel 94 Auf­he­bung der Richt­li­nie 95/46/EG

(1) Die Richt­li­nie 95/46/EG wird mit Wir­kung vom 25. Mai 2018 aufgehoben.
(2) Ver­wei­se auf die auf­ge­ho­be­ne Richt­li­nie gel­ten als Ver­wei­se auf die vor­lie­gen­de Ver­ord­nung. Ver­wei­se auf die durch Arti­kel 29 der Richt­li­nie 95/46/EG ein­ge­setz­te Grup­pe für den Schutz von Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gel­ten als Ver­wei­se auf den kraft die­ser Ver­ord­nung errich­te­ten Euro­päi­schen Datenschutzausschuss.
Erwä­gungs­grün­de
(171) Die Richt­li­nie 95/46/EG soll­te durch die­se Ver­ord­nung auf­ge­ho­ben wer­den. Ver­ar­bei­tun­gen, die zum Zeit­punkt der Anwen­dung die­ser Ver­ord­nung bereits begon­nen haben, soll­ten inner­halb von zwei Jah­ren nach dem Inkraft­tre­ten die­ser Ver­ord­nung mit ihr in Ein­klang gebracht wer­den. Beru­hen die Ver­ar­bei­tun­gen auf einer Ein­wil­li­gung gemäß der Richt­li­nie 95/46/EG, so ist es nicht erfor­der­lich, dass die betrof­fe­ne Per­son erneut ihre Ein­wil­li­gung dazu erteilt, wenn die Art der bereits erteil­ten Ein­wil­li­gung den Bedin­gun­gen die­ser Ver­ord­nung ent­spricht, so dass der Ver­ant­wort­li­che die Ver­ar­bei­tung nach dem Zeit­punkt der Anwen­dung der vor­lie­gen­den Ver­ord­nung fort­set­zen kann. Auf der Richt­li­nie 95/46/EG beru­hen­de Ent­schei­dun­gen bzw. Beschlüs­se der Kom­mis­si­on und Geneh­mi­gun­gen der Auf­sichts­be­hör­den blei­ben in Kraft, bis sie geän­dert, ersetzt oder auf­ge­ho­ben werden.

Arti­kel 95 Ver­hält­nis zur Richt­li­nie 2002/58/EG

Die­se Ver­ord­nung erlegt natür­li­chen oder juri­sti­schen Per­so­nen in Bezug auf die Ver­ar­bei­tung in Ver­bin­dung mit der Bereit­stel­lung öffent­lich zugäng­li­cher elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­dien­ste in öffent­li­chen Kom­mu­ni­ka­ti­ons­net­zen in der Uni­on kei­ne zusätz­li­chen Pflich­ten auf, soweit sie beson­de­ren in der Richt­li­nie 2002/58/EG fest­ge­leg­ten Pflich­ten unter­lie­gen, die das­sel­be Ziel ver­fol­gen.
Erwä­gungs­grün­de
(173) Die­se Ver­ord­nung soll­te auf alle Fra­gen des Schut­zes der Grund­rech­te und Grund­frei­hei­ten bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Anwen­dung fin­den, die nicht den in der Richt­li­nie 2002/58/EG des Euro­päi­schen Par­la­ments und des Rates (18) bestimm­te Pflich­ten, die das­sel­be Ziel ver­fol­gen, unter­lie­gen, ein­schließ­lich der Pflich­ten des Ver­ant­wort­li­chen und der Rech­te natür­li­cher Per­so­nen. Um das Ver­hält­nis zwi­schen der vor­lie­gen­den Ver­ord­nung und der Richt­li­nie 2002/58/EG klar­zu­stel­len, soll­te die Richt­li­nie ent­spre­chend geän­dert wer­den. Sobald die­se Ver­ord­nung ange­nom­men ist, soll­te die Richt­li­nie 2002/58/EG einer Über­prü­fung unter­zo­gen wer­den, um ins­be­son­de­re die Kohä­renz mit die­ser Ver­ord­nung zu gewährleisten —

Arti­kel 96 zu bereits geschlos­se­nen Übereinkünften

Inter­na­tio­na­le Über­ein­künf­te, die die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen mit sich brin­gen, die von den Mit­glied­staa­ten vor dem 24. Mai 2016 abge­schlos­sen wur­den und die im Ein­klang mit dem vor die­sem Tag gel­ten­den Uni­ons­recht ste­hen, blei­ben in Kraft, bis sie geän­dert, ersetzt oder gekün­digt werden. 

Arti­kel 97 Berich­te der Kommission

(1) Bis zum 25. Mai 2020 und danach alle vier Jah­re legt die Kom­mis­si­on dem Euro­päi­schen Par­la­ment und dem Rat einen Bericht über die Bewer­tung und Über­prü­fung die­ser Ver­ord­nung vor. Die Berich­te wer­den öffent­lich gemacht.
(2) Im Rah­men der Bewer­tun­gen und Über­prü­fun­gen nach Absatz 1 prüft die Kom­mis­si­on ins­be­son­de­re die Anwen­dung und die Wirkungsweise
a) des Kapi­tels V über die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder an inter­na­tio­na­le Orga­ni­sa­tio­nen ins­be­son­de­re im Hin­blick auf die gemäß Arti­kel 45 Absatz 3 der vor­lie­gen­den Ver­ord­nung erlas­se­nen Beschlüs­se sowie die gemäß Arti­kel 25 Absatz 6 der Richt­li­nie 95/46/EG erlas­se­nen Feststellungen,
b) des Kapi­tels VII über Zusam­men­ar­beit und Kohärenz.
(3) Für den in Absatz 1 genann­ten Zweck kann die Kom­mis­si­on Infor­ma­tio­nen von den Mit­glied­staa­ten und den Auf­sichts­be­hör­den anfordern.
(4) Bei den in den Absät­zen 1 und 2 genann­ten Bewer­tun­gen und Über­prü­fun­gen berück­sich­tigt die Kom­mis­si­on die Stand­punk­te und Fest­stel­lun­gen des Euro­päi­schen Par­la­ments, des Rates und ande­rer ein­schlä­gi­ger Stel­len oder Quellen.
(5) Die Kom­mis­si­on legt erfor­der­li­chen­falls geeig­ne­te Vor­schlä­ge zur Ände­rung die­ser Ver­ord­nung vor und berück­sich­tigt dabei ins­be­son­de­re die Ent­wick­lun­gen in der Infor­ma­ti­ons­tech­no­lo­gie und die Fort­schrit­te in der Informationsgesellschaft.
Erwä­gungs­grün­de
(172) Der Euro­päi­sche Daten­schutz­be­auf­trag­te wur­de gemäß Arti­kel 28 Absatz 2 der Ver­ord­nung (EG) Nr. 45/2001 kon­sul­tiert und hat am 7. März 2012 (17) eine Stel­lung­nah­me abgegeben.

Arti­kel 98 Über­prü­fung ande­rer Rechts­ak­te der Uni­on zum Datenschutz

Die Kom­mis­si­on legt gege­be­nen­falls Gesetz­ge­bungs­vor­schlä­ge zur Ände­rung ande­rer Rechts­ak­te der Uni­on zum Schutz per­so­nen­be­zo­ge­ner Daten vor, damit ein ein­heit­li­cher und kohä­ren­ter Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung sicher­ge­stellt wird. Dies betrifft ins­be­son­de­re die Vor­schrif­ten zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung sol­cher Daten durch die Orga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Uni­on und zum frei­en Ver­kehr sol­cher Daten. 

Arti­kel 99 Inkraft­tre­ten und Anwendung

(1) Die­se Ver­ord­nung tritt am zwan­zig­sten Tag nach ihrer Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on in Kraft.
(2) Sie gilt ab dem 25. Mai 2018.