Die Broschüre zur Datenschutzgrundverordnung (DSGVO)

Datenschutz-Grundverordnung
1 Datenschutz-Grundverordnung –
Regelungscharakter
Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/
EG von 1995 (im Folgenden: Datenschutzrichtlinie) ab. Im Unterschied zur Datenschutzrichtlinie
gilt die DSGVO unmittelbar in der gesamten Europäischen Union (Art. 288
Abs. 2 AEUV).
2 Grundprinzipien des Datenschutzrechts –
bisher bekannte Grundsätze bleiben erhalten
Die Datenschutz-Grundverordnung schreibt im Wesentlichen die bisherigen datenschutzrechtlichen
Grundprinzipien fort und entwickelt sie weiter.
Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und
Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ prägen auch die Datenschutz-
Grundverordnung. Auch zur Datenübermittlung ins Ausland finden sich
aufgrund der besonderen Bedeutung für die Rechte des Einzelnen an seinen personenbezogenen
Daten detaillierte Regelungen.
2.1 Rechtmäßigkeit der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten normiert Art. 6 DSGVO als allgemeinen
Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt.
10 BfDI – Info 6
Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder
eine andere in dieser Vorschrift normierte Ausnahme vorliegt. Dies ist der Fall, wenn
■■die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene
Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist,
die auf Antrag der betroffenen Person erfolgen;
■■die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der
der Verantwortliche unterliegt;
■■die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person
oder einer anderen natürlichen Person zu schützen;
■■wenn sie im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich
ist oder
■■sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich
ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen
Person nicht überwiegen. Dieser Rechtfertigungsgrund gilt nicht für Behörden.
2.2 Datensparsamkeit
Das bereits im Bundesdatenschutzgesetz (BDSG) verankerte Prinzip der Datensparsamkeit
findet sich nunmehr als eines der zentralen Prinzipien des Datenschutzes in der
Datenschutz-Grundverordnung wieder. Nach Art. 5 Abs. 1 lit. c DSGVO muss die Verarbeitung personenbezogener Daten dem
Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung
notwendige Maß beschränkt sein.
2.3 Zweckbindung
Die Datenschutz-Grundverordnung sieht in Art. 5 Abs. 1 lit. b DSGVO eine enge Zweck-
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
11
bindung vor. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und
rechtmäßige Zwecke erhoben werden.
Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt,
die mit dem ursprünglichen Erhebungszweck vereinbar sind (Art. 5 Abs. 1 lit. b sowie Art. 6 Abs. 4 DSGVO). Dabei stellt die Datenschutz-Grundverordnung in Art. 6 Abs. 4 Kriterien
auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen
sind. Hierzu zählen u. a. die Verbindung zwischen den Zwecken, der Gesamtkontext, in
dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen
der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein
von angemessenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder
Verschlüsselung. Letzteres führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung
pseudonymisierter bzw. verschlüsselter Daten, was für datenschutzgerechte
Big-Data-Anwendungen von Bedeutung ist.
2.4 Datensicherheit
Als zentrales Prinzip des Datenschutzes wurde auch die Gewährleistung von Datensicherheit
gesetzlich verankert (Art. 5 Abs. 1 lit. f und Art. 32 DSGVO). Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der
Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und
Freiheiten haben der Verantwortliche und der Auftragsverarbeiter geeignete technische
und organisatorische Maßnahmen umzusetzen. Dabei muss das Sicherheitslevel
im Verhältnis zum Risiko angemessen sein. Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung,
sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit
der Systeme zu gewährleisten (vgl. Nr. 4).
12 BfDI – Info 6
2.5 Übermittlung in Drittstaaten
Die Regelungen zur Drittstaatenübermittlung (Art. 44-50 DSGVO) übernehmen mit
einigen neuen Akzenten die grundsätzliche Systematik der Regelungen in der Datenschutzrichtlinie.
Eine Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale
Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter
die im Kapitel V zur Datenübermittlung in Drittländer und zu internationalen
Organisationen niedergelegten Bedingungen erfüllen und auch die sonstigen Bestimmungen
der Datenschutz-Grundverordnung beachtet werden (Art. 44 DSGVO).
Eine Übermittlung ist danach zulässig, wenn die Europäische Kommission entschieden
hat, dass ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Hat die Kommission
keine solche Entscheidung getroffen, darf ein Verantwortlicher oder ein Auftragsverarbeiter
personenbezogene Daten in ein Drittland oder an eine internationale Organisation
nur übermitteln, sofern er geeignete Garantien vorgesehen hat und durchsetzbare
Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 DSGVO), u. a. rechtlich
bindende und durchsetzbare Instrumente zwischen Behörden oder öffentlichen
Stellen (Art. 46 Abs. 2 lit. a DSGVO), unternehmensinterne Datenschutzvorschriften, sog. „Binding Corporate Rules“ (Art. 46 Abs. 2 lit. b i.V.m. Art. 47 DSGVO) oder Standarddatenschutzklauseln,
die von der Kommission oder der Aufsichtsbehörde in einem bestimmten
Verfahren angenommen werden, (Art. 46 Abs. 2 lit. c und d DSGVO).
Die Datenschutz-Grundverordnung erlaubt darüber hinaus ausnahmsweise eine Datenübermittlung
in bestimmten Sonderfällen (Art. 49 DSGVO), z. B. bei Vorliegen einer
ausdrücklichen Einwilligung, bei der die betroffene Person zuvor über die Risiken einer
Datenübermittlung informiert worden sein muss (Art. 49 Abs. 1 lit. a DSGVO). Gerichtsurteile
und behördliche Anordnungen von Drittstaaten werden unbeschadet anderer Regelungen
in Kapitel V gemäß Art. 48 DSGVO nur anerkannt und durchgesetzt, wenn sie
auf einer internationalen Übereinkunft – zum Beispiel einem Rechtshilfeabkommen – .
beruhen.
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
13
2.6 Betroffenenrechte
Kapitel III der Datenschutz-Grundverordnung regelt die Rechte der betroffenen Person. Auch sie wurden modernisiert.
Dabei normiert zunächst Art. 12 DSGVO Anforderungen an die Transparenz der Informationen,
an die Kommunikation und die Modalitäten für die Ausübung der Rechte der
betroffenen Person.
Art. 13f. DSGVO sehen einen umfangreichen Katalog proaktiver Benachrichtigungen
vor, wobei danach differenziert wird, ob die Daten bei der betroffenen Person erhoben
werden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO). Dies betrifft unter anderem Kontaktdaten
des Verantwortlichen, die Verarbeitungszwecke sowie die Rechtsgrundlage,
gegebenenfalls die Empfänger oder Kategorien von Empfängern sowie die Absicht der
Übermittlung in ein Drittland, aber auch die Dauer der Speicherung, beziehungsweise
die Kriterien für die Festlegung dieser Dauer. Der Betroffene ist zudem über seine Rechte
zu informieren.
Art. 15 DSGVO regelt das Auskunftsrecht der Betroffenen. Die betroffene Person hat das
Recht, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet
werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten sowie
über Informationen unter anderem über die Verarbeitungszwecke, deren Herkunft,
Empfänger, über die Dauer der Speicherung sowie über ihre Rechte.
Die betroffene Person hat zudem das Recht, die Berichtigung sowie im Hinblick auf den
Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten
zu verlangen (Art. 16 DSGVO).
Daneben haben die Betroffenen nach Art. 17 DSGVO (mit bestimmten Ausnahmen) das
Recht, die Löschung ihrer Daten zu verlangen – zum Beispiel wenn diese zu dem Zweck,
zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind
oder die dazu erteilte Einwilligung widerrufen wurde. Eine Ausnahme besteht zum Beispiel,
soweit die Verarbeitung zur Ausübung der freien Meinungsäußerung erforderlich
14 BfDI – Info 6
ist. Als besondere Ausformung des Löschungsanspruches besteht nun auch ein „Recht
auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO), wenn die verantwortliche Stelle die zu
löschenden Daten öffentlich gemacht hat. Dann muss sie vertretbare Schritte unternehmen,
um die Stellen, die diese Daten verarbeiten, zu informieren, dass die betroffene
Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen
verlangt. Diese Vorschrift ist von besonderer Bedeutung für den Betrieb von
Internet-Suchmaschinen.
Die betroffene Person kann in bestimmten Fällen auch die Einschränkung der Verarbeitung
verlangen (Art. 18 DSGVO) – zum Beispiel, wenn der Verantwortliche die Daten
nicht mehr länger, die betroffene Person sie jedoch zur Geltendmachung, Ausübung
oder Verteidigung von Rechtsansprüchen benötigt oder die betroffene Person Widerspruch
gegen die Verarbeitung eingelegt hat und noch nicht feststeht, ob die berechtigten
Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Die
Einschränkung der Verarbeitung entspricht damit begrifflich im Wesentlichen
der Sperrung im Sinne von §§ 20 Abs. 3, 35 Abs. 3 BDSG.
Der Verantwortliche muss grundsätzlich allen Empfängern der Daten jede Berichtigung,
Löschung oder Einschränkung der Verarbeitung mitteilen (Art. 19 DSGVO). Anders
als das Recht auf Vergessenwerden knüpft diese Verpflichtung an vorangegangenen
Übermittlungen an konkrete Empfänger an.
Neu ist auch das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Mit seiner Einführung
wird die Datensouveränität der betroffenen Person gestärkt. Das Recht auf Datenübertragung
gibt betroffenen Personen daher unter bestimmten Voraussetzungen
einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem
üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Nutzer hat damit das
Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Die Regelung
kann damit insbesondere bei Social Networks den Wechsel zu einem anderen Anbieter
erleichtern. Es gilt aber letztlich bei jeder automatisierten Verarbeitung personenbezogener
Daten auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem
Betroffenen, also auch für Verträge mit Energieversorgern, Banken oder Versicherungen. Die
betroffene Person kann sich dabei aussuchen, ob sie die Daten selbst erhalten
(und an einen neuen Verarbeiter weitergeben) will oder der bisherige Verarbeiter die
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
15
Daten unmittelbar an den neuen Verarbeiter weitergeben muss. Das Recht auf Datenübertragbarkeit
ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter
zur Verfügung gestellt hat. Es gilt nicht für den öffentlichen Bereich.
Nach Art. 21 Abs. 1 DSGVO hat der Betroffene grundsätzlich ein allgemeines Widerspruchsrecht
gegen eine an sich rechtmäßige Verarbeitung von personenbezogenen
Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund
des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgte
(Art. 6 Abs. 1 lit. e oder f DSGVO). Der Verantwortliche darf dann die Daten nur noch
verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen
kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ein voraussetzungsloses
und uneingeschränktes Widerspruchsrecht besteht bei der Datenverarbeitung
zum Zweck des Direktmarketings. Das gilt auch für das Profiling, soweit es mit
der Direktwerbung zusammenhängt (Art. 21 Abs. 2 und 3 DSGVO). Der Betroffene ist ausdrücklich,
in verständlicher Form und getrennt von jeglicher anderen Information auf
das Widerspruchsrecht hinzuweisen (Art. 19 Abs. 4 DSGVO).
Sämtliche Betroffenenrechte können gemäß Art. 23 DSGVO durch nationale Gesetze
beschränkt werden, sofern dies zur Wahrung bestimmter öffentlicher Interessen erforderlich
ist. Dabei sind der Verhältnismäßigkeitsgrundsatz und der Wesensgehalt
der Grundrechte zu beachten. Einschränkungen sind beispielsweise aus Gründen des
Schutzes der nationalen und der öffentlichen Sicherheit, der Landesverteidigung, aber
auch der Interessen der Steuerverwaltung oder zum Schutz der Unabhängigkeit der Gerichte
möglich. 2.7 Unabhängige Aufsicht
Die Datenschutz-Grundverordnung bekennt sich zu einer Stärkung der Aufsicht durch
unabhängige Datenschutzbehörden.
Sie normiert in Art. 51 Abs. 1, dass jeder Mitgliedstaat eine oder mehrere unabhängige
Aufsichtsbehörden einzurichten hat.
16 BfDI – Info 6
Die Aufsichtsbehörden müssen sowohl vollständig unabhängig in der Wahrnehmung
ihrer Aufgaben sein, als auch die Angehörigen der Aufsichtsbehörden in ihrer Aufgabenwahrnehmung
frei von externem Einfluss bleiben. Dies umfasst auch ein Verbot,
zugleich eine Tätigkeit wahrzunehmen, die einen Interessenkonflikt begründet (Art. 52
Abs. 1 ff. DSGVO). Die Unabhängigkeit spiegelt sich auch darin wider, dass die Aufsichtsbehörden mit ausreichenden
technischen, personellen und finanziellen Ressourcen auszustatten sind
(Art. 52 Abs. 4 DSGVO).
Die Personalhoheit ist ebenfalls ausdrücklich normiert (Art. 52 Abs. 5 DSGVO). Die Auswahl
der Mitglieder der Aufsichtsbehörden – d. h. in Deutschland der Bundesbeauftragten
und der Landesbeauftragten bzw. der Leiter der Aufsichtsbehörden – muss in einem
besonders geregelten transparenten Verfahren erfolgen (Art. 53 f. DSGVO). Schließlich gehört zur Unabhängigkeit, dass die Mitglieder bzw. Leiter der Aufsichtsbehörden
nicht ohne weiteres ihres Amtes enthoben werden können (Art. 53 Abs. 4 DSGVO). Denn
auch die Sorge vor einer Amtsenthebung bei unliebsamer Amtswahrnehmung
wäre geeignet, die Unabhängigkeit zu beeinträchtigen.
2.8 Effektive Durchsetzung
Effektiver Datenschutz erfordert auch die Möglichkeit einer effektiven Durchsetzung.
Die Datenschutz-Grundverordnung sieht im Vergleich zur Datenschutzrichtlinie umfangreichere
Befugnisse für die Datenschutzaufsichtsbehörden vor. Zudem werden die
Sanktionsmöglichkeiten ausgedehnt. 2.8.1 Befugnisse der Aufsichtsbehörden
Die Datenschutzbehörden werden in Zukunft auch im öffentlichen Bereich Befugnisse
erhalten, die sie jedenfalls in Deutschland bislang nicht haben. So werden sie nach Art. 58 DSGVO unter anderem auch gegenüber Behörden Anordnungen erlassen können,
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
17
um zum Beispiel eine rechtswidrige Datenverarbeitung zu unterbinden, die Löschung
personenbezogener Daten zu erwirken oder eine Datenübermittlung in Drittstaaten
zu untersagen. Diese Befugnisse sind für das deutsche Verwaltungsrecht insofern ungewöhnlich,
als sie hoheitliche Maßnahmen einer Behörde gegenüber einer anderen
Behörde des gleichen Verwaltungsträgers ermöglichen. Auf diese Weise werden die
Datenschutzbehörden zu spezifischen Rechtsaufsichtsbehörden. Zur effektiven Durchsetzung
des Datenschutzrechts sind diese Befugnisse aber unabdingbar. Sie bedingen
allerdings auf nationaler Ebene die Schaffung eines gerichtlichen Rechtsschutzes auch
für Behörden gegen die Maßnahmen der Datenschutzaufsichtsbehörde.
Im nicht-öffentlichen Bereich sind die Befugnisse hingegen vergleichbar mit der geltenden
Rechtslage.
2.8.2 Sanktionen
Nach der Datenschutz-Grundverordnung werden die erweiterten Befugnisse durch
eine Ausweitung des Bußgeldrahmens flankiert (Art. 83 DSGVO).
So sind für bestimmte Rechtsverstöße Bußgelder bis zu 4 % des Jahresumsatzes eines
Unternehmens, beziehungsweise 20 Mio. Euro, zulässig, wobei der jeweils höhere Wert
gilt. Dabei ist auf den gesamten weltweiten Jahresumsatz des betreffenden Unternehmens
abzustellen und nicht etwa nur auf den in Europa erwirtschafteten. Hinsichtlich der Sanktionsmöglichkeiten wird durch die Datenschutz-Grundverordnung
auch eine Rechtslücke im Bereich des Telekommunikations- und Postwesens geschlossen
werden, in dem die BfDI bisher keine Bußgelder verhängen kann.
Bezogen auf die öffentlichen Stellen enthält die Datenschutz-Grundverordnung in Art. 83 Abs. 7 eine Öffnungsklausel für den nationalen Gesetzgeber, wonach festgelegt werden
kann, ob und in welcher Höhe auch in diesem Bereich Bußgelder verhängt werden
können.
18 BfDI – Info 6
3 Was ist neu?
Auch wenn die Datenschutz-Grundverordnung den Datenschutz nicht neu erfindet
und sich auf die seit Jahrzenten bewährten Grundprinzipien des Datenschutzes stützt,
so enthält sie auch einige neue Elemente. Zum einen ist in diesem Zusammenhang das
sog. Marktortprinzip zu nennen, nach dessen Maßgabe das EU-Datenschutzrecht auch
für Wirtschaftsunternehmen außerhalb der Europäischen Union gilt. Zum anderen sollen
komplexe Kooperations- und Kohärenzmechanismen eine möglichst einheitliche
Anwendung der Regelungen des DSGVO in den EU-Mitgliedstaaten gewährleisten.
3.1 Marktortprinzip
Das Europäische Datenschutzrecht gilt nach der Datenschutz-Grundverordnung nicht
nur für die in der Europäischen Union niedergelassenen Unternehmen. Voraussetzung
ist nach Art. 3 Abs. 2 DSGVO lediglich, dass sich ein Angebot an einen bestimmten nationalen
Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des
Verhaltens von Personen in der EU dient. Der Anwendungsbereich erstreckt sich damit
auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.
Das Marktortprinzip wird für gleiche Wettbewerbsbedingungen für alle Unternehmen
sorgen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten. Insbesondere
werden auch ausländische Unternehmen nur dann Zugang zum europäischen
Binnenmarkt erhalten, wenn sie sich an die hier geltenden Regelungen halten.
19
3.2 Verfahrensvereinfachung und einheitliche Rechtsanwendung
Die Datenschutz-Grundverordnung strebt eine möglichst einheitliche Rechtsanwendung
in der Europäischen Union an. Dies soll im Falle grenzüberschreitender Datenverarbeitungen
im nicht-öffentlichen Bereich durch einen komplexen Kooperations- und
Kohärenzmechanismus umgesetzt werden, an dessen Ende eine einheitliche Entscheidung
der Aufsichtsbehörden der EU-Mitgliedstaaten zur Rechtsanwendung steht. Sie
kann entweder im Wege der Einigung oder zwangsweise durch einen Europäischen
Datenschutzausschuss herbeigeführt werden (siehe „Kohärenzverfahren“).
3.2.1 One-Stop-Shop
Aufgrund des durch die Datenschutz-Grundverordnung eingeführten sogenannten
„One-Stop-Shop-Mechanismus“ ist es für Unternehmen, die Niederlassungen in mehreren
EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, einfacher als
bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären: Für diese Unternehmen
wird bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde
an ihrem Hauptsitz zuständig sein, sodass sie einen zentralen Ansprechpartner haben. Dies entlastet die Unternehmen gegenüber den bisherigen Regelungen ganz erheblich. Gleichzeitig bleibt dabei aber auch gewährleistet, dass sich der von der Datenverarbeitung
Betroffene mit Beschwerden immer an die Datenschutzaufsichtsbehörde an seinem
Wohnsitz wenden kann.
Die grundsätzliche Architektur des One-Stop-Mechanismus ist durch die Definition
einer federführenden Datenschutzbehörde am Sitz der Hauptniederlassung des Verantwortlichen
gekennzeichnet, die als Hauptansprechpartner für die verantwortliche
Stelle fungiert und ihr gegenüber das Datenschutzrecht durchsetzt. Sobald mehrere
Mitgliedstaaten betroffen sind, werden deren Datenschutzaufsichtsbehörden in den
Abstimmungsmechanismus eingebunden (betroffene Behörden).
20 BfDI – Info 6
Einigen sich die federführende und die betroffenen Aufsichtsbehörden auf eine einheitliche
Vorgehensweise, ergeht ein entsprechender Beschluss an die Hauptniederlassung
des Verantwortlichen. Er hat die erforderlichen Maßnahmen zu treffen, um die Verarbeitungstätigkeiten
aller Niederlassungen innerhalb der Union mit dem Beschluss in
Einklang zu bringen. Die federführende Aufsichtsbehörde ist über die Maßnahmen zu
unterrichten und unterrichtet wiederum ihrerseits die betroffenen Aufsichtsbehörden. Die Aufsichtsbehörde, bei der hierzu eine Beschwerde eingereicht worden ist, unterrichtet
den Beschwerdeführer über den Beschluss. Wird eine Beschwerde eines Betroffenen abgewiesen oder abgelehnt, ergeht der Beschluss
gegenüber dem Petenten durch die angerufene Aufsichtsbehörde. Das Unternehmen
wird lediglich darüber informiert.
Wird einer Beschwerde nur zum Teil stattgegeben, ergehen zwei Beschlüsse – einer
durch die federführende Aufsichtsbehörde gegenüber dem Unternehmen und einer
der angerufenen Aufsichtsbehörde gegenüber dem Betroffenen.
In den sogenannten „Marktortfällen“ (vgl. hierzu oben unter 3.1), in denen keine Niederlassung
in der Europäischen Union existiert, die Datenschutz-Grundverordnung aber
dennoch anwendbar ist, weil sich zum Beispiel das Angebot an Bürger in der EU richtet,
gibt es diesen Kooperationsmechanismus nicht. In diesen Fällen ist jede Aufsichtsbehörde
im Hoheitsgebiet ihres Mitgliedstaats zuständig und kann Entscheidungen erlassen. Daher können hier auch divergierende Entscheidungen ergehen.
3.2.2 Kohärenzverfahren
Dort wo in One-Stop-Shop-Fällen kein Konsens zwischen federführender und mitbetroffenen
Aufsichtsbehörden im Verfahren der Zusammenarbeit erreicht werden kann,
normieren Art. 63, 65 DSGVO das sogenannte Kohärenzverfahren mit der Befugnis des
Europäischen Datenschutzausschusses, verbindliche Beschlüsse (Art. 65 Abs. 1 DSGVO)
zu treffen, um die ordnungsgemäße und einheitliche Anwendung der Verordnung in
Einzelfällen sicherzustellen. WAS IST NEU?
21
Das Verfahren hierzu ist in den Art. 65 Abs. 6, 60 Abs. 7 bis 9 DSGVO geregelt: Die federführende
Aufsichtsbehörde trifft den endgültigen Beschluss auf der Grundlage des
Beschlusses des Europäischen Datenschutzausschusses gegenüber der Hauptniederlassung
des Verantwortlichen, der ihr EU-weit Folge zu leisten hat. Im Falle einer erfolglosen
Beschwerde erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht
wurde, den Beschluss gegenüber dem Beschwerdeführer. Zeitgleich mit dem Erlass des
endgültigen Beschlusses gegenüber dem Verantwortlichen oder dem Beschwerdeführer
wird ein etwaiger Beschluss des Europäischen Datenschutzausschusses auf dessen
Webseite veröffentlicht. Um zur einheitlichen Anwendung der Datenschutz-Grundverordnung beizutragen
werden im sogenannten Kohärenzverfahren über die Klärung von Einzelfragen (One-
Stop-Shop) hinaus aber auch gemeinsame Positionen, Stellungnahmen und Richtlinien
bestimmt.
22 BfDI – Info 6
4 Technischer und organisatorischer Datenschutz
(vgl. Nr. 2.4)
Die Datenschutz-Grundverordnung stellt die Bedeutung des technischen und organisatorischen
Datenschutzes heraus. Hierzu zählen die Regelungen zu Privacy by Design/
Privacy by Default, zur Auftragsdatenverarbeitung, zu Meldungen über Datenschutzverletzungen,
zur Datenschutz-Folgenabschätzung und zu den betrieblichen/behördlichen
Datenschutzbeauftragten. Zudem stärkt die Datenschutz-Grundverordnung die
Selbstregulierung durch die Verantwortlichen.
4.1 Privacy by Design – Privacy by Default
Schon bisher gilt das Prinzip der Datenvermeidung und Datensparsamkeit. Mit der
Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“
(Art. 25 DSGVO) werden nun ausdrücklich Anforderungen an die Produktentwicklung
und -implementierung gestellt, um eine wirksame Umsetzung dieser
Datenschutzgrundsätze zu erreichen. Der Verantwortliche hat hierfür sowohl zum Zeitpunkt der Festlegung der Mittel für die
Verarbeitung als auch zum Zeitpunkt der Verarbeitung angemessene technische und
organisatorische Maßnahmen zu treffen, wie z. B. Pseudonymisierung. Der Verantwortliche muss darüber hinaus sicherstellen, dass Standardeinstellungen
darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten
Zweck auch erforderlich sind. Das betrifft den Umfang der erhobenen Daten, den
Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Diese Regelungen werden Ausstrahlungswirkungen auf sämtliche Produkte, Systeme
und Prozesse in den Unternehmen haben.
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ
23
Auch wenn sich die Vorschrift unmittelbar nur an die Verantwortlichen richtet, wird sie
sich auch mittelbar auf die Entwicklung von IT-Produkten und -Verfahren auswirken
4.2 Auftragsdatenverarbeitung
Die Regelungen zur Auftragsdatenverarbeitung (Art. 28 DSGVO) orientieren sich weitgehend
an der Systematik von § 11 BDSG. Neu ist, dass die Einhaltung der Verpflichtungen
des Auftragnehmers zu den technisch-organisatorischen Maßnahmen durch die
Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO (Code of Conduct) oder
durch eine Zertifizierung nach Art. 42 DSGVO nachgewiesen werden kann. (Art. 28 Abs. 5 DSGVO).
4.3 Meldungen von Datenschutzverletzungen
Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich, nach Möglichkeit
innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige
Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht, wenn die Verletzung
voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des
Betroffenen führt. (vgl. Art. 33 Abs. 1 DSGVO). Ein solches Risiko kann z. B. durch eine geeignete
Verschlüsselung personenbezogener Daten ausgeschlossen werden, die etwa
beim Verlust eines Datenträgers die Kenntnisnahme der Daten durch Dritte verhindert.
Besteht die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener
Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt, muss
der Verantwortliche auch die betroffene Person ohne unangemessene Verzögerung
benachrichtigen – es sei denn, er hat technisch-organisatorische Maßnahmen getroffen,
die eine Kenntnisnahme durch Dritte verhindern oder die sicherstellen, dass aller
Wahrscheinlichkeit nach kein hohes Risiko mehr für die Rechte und Freiheiten der betroffenen
Person besteht (Art. 34 DSGVO).
24 BfDI – Info 6
Kommt es bei einem Auftragsverarbeiter zu einem Datenschutzverstoß, muss dieser seinen
Auftraggeber informieren (Art. 33 Abs. 2. DSGVO).
4.4 Datenschutz-Folgenabschätzung
Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko
für die persönlichen Rechte und Freiheiten, muss der Verantwortliche bereits vorab
eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei neuen Technologien, aufgrund der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung (Art. 35 Abs. 1 DSGVO). Die Datenschutz-Grundverordnung nennt in Art. 35 Abs. 3 bestimmte Fallgruppen, bei
denen eine Folgenabschätzung stets durchzuführen ist. Dazu zählen das Profiling, die
Verarbeitung besonders sensibler Daten sowie eine umfangreiche Videoüberwachung.
Bei der Folgenabschätzung ist der behördliche oder betriebliche Datenschutzbeauftragte
zu beteiligen (Art. 35 Abs. 2 DSGVO). Zeigt die Datenschutz-Folgenabschätzung
ein verbleibendes hohes Risiko, muss zudem die Datenschutzaufsichtsbehörde konsultiert
werden (Art. 36 Abs. 1 DSGVO).
4.5 Pflicht zur Bestellung eines behördlichen oder betrieblichen
Datenschutzbeauftragten
Nach Art. 37 Abs. 1 DSGVO müssen in drei Fällen interne Datenschutzbeauftragte bestellt
werden.
■■Öffentliche Stellen haben, sofern sie personenbezogene Daten verarbeiten, stets einen
Datenschutzbeauftragten zu bestellen. Ausgenommen sind Gerichte im Rahmen
der rechtsprechenden Tätigkeit.
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ
25
■■Nicht-öffentliche Stellen haben einen Datenschutzbeauftragten zu bestellen, wenn
deren Kerntätigkeit oder desjenigen, der Daten im Auftrag verarbeitet, in einer Datenverarbeitung
besteht,
• die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige
und systematische Beobachtung von betroffenen Personen erfordert oder
• eine umfangreiche Verarbeitung von Daten, die nach Art. 9 oder 10 DSGVO besonders
schutzwürdig sind, umfasst.
Erwägungsgrund 97 stellt klar, dass das „Kerngeschäft“ die Hauptaktivität des Unternehmens
meint. Bloße Nebentätigkeiten sollen nicht darunter fallen.
Darüber hinaus enthält Art. 37 Abs. 4 DSGVO zwei Öffnungsklauseln:
Verantwortliche oder Auftragsverarbeiter können auch freiwillig einen Datenschutzbeauftragten
bestellen.
Eine weitere Öffnung besteht darin, dass die Mitgliedstaaten im nationalen Recht für
weitere Fälle die Bestellung eines Datenschutzbeauftragten vorschreiben können. Art. 39 DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufgaben
– wie Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters
sowie der Beschäftigten, Überwachung der Einhaltung der datenschutzrechtlichen
Vorschriften, Schulungen und Zusammenarbeit mit der Aufsichtsbehörde.
Der Verantwortliche oder der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte
frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden
Fragen eingebunden wird. Sie haben ihn zu unterstützen und ihm
die erforderlichen Ressourcen zur Verfügung zu stellen. Der Datenschutzbeauftragte
ist weisungsfrei und berichtet unmittelbar der jeweiligen Leitungsebene. Er darf wegen
der Erfüllung seiner Aufgaben nicht benachteiligt werden. Natürlich ist er zur Geheimhaltung
verpflichtet. (Vgl. Art. 38 DSGVO.)
Die Rechtstellung und die Aufgaben sind weitgehend mit der derzeitigen Rechtslage in
Deutschland identisch.
26 BfDI – Info 6
4.6 Stärkung der Selbstregulierung durch Zertifizierung und
Verhaltensregeln
Die Datenschutz-Grundverordnung stärkt die Selbstregulierung durch Verhaltensregeln
(Art. 40, 41 DSGVO) und Zertifizierungen (Art. 42, 43 DSGVO). Diese Instrumente
bieten einerseits klare Wettbewerbsvorteile. Andererseits enthält die Datenschutz-
Grundverordnung an verschiedenen Stellen Anreize zur Nutzung dieser Instrumente. So können sie beispielsweise bei der Beurteilung der Datensicherheit, beim Nachweis
der Einhaltung der Verpflichtungen eines Auftragsverarbeiters, bei der Durchführung
einer Datenschutz-Folgenabschätzung oder bei der Prüfung geeigneter Garantien für
die Übermittlung in Drittländer herangezogen werden.
Zudem ist die Schaffung branchenspezifischer Verhaltensregeln zu bestimmten Aspekten
– wie das berechtigte Interesse des Verantwortlichen in bestimmten Zusammenhängen
oder die Datenübermittlung in Drittstaaten (Art. 40 Abs.2 lit. b, Abs. 2 lit. j DSGVO)
– möglich.
Soweit nicht die Tätigkeit in mehreren Mitgliedstaaten betroffen ist, genehmigt und
veröffentlicht die Aufsichtsbehörde die Verhaltensregeln (Art. 40 Abs. 5 und 6 DSGVO). Bei einer Verarbeitungstätigkeit in mehreren Mitgliedstaaten werden sie dem Europäischen
Datenschutzausschuss vorgelegt, der dazu Stellung nimmt. Die Europäische
Kommission kann dann mit Durchführungsrechtsakten die allgemeine Gültigkeit in
der Union regeln (Art. 40 Abs. 7-10 DSGVO).
Der Europäische Datenschutzausschuss führt ein Register aller genehmigten Verhaltensregeln
und veröffentlicht sie (Art. 40 Abs. 11 DSGVO).
Ein weiteres wichtiges Instrument der Selbstregulierung ist die Möglichkeit der Zertifizierung
von Verarbeitungsvorgängen (nicht von Stellen). Sie dient dazu, nachzuweisen,
dass die Datenschutz-Grundverordnung bei Verarbeitungsvorgängen eingehalten
wird (Art. 42 Abs. 1 DSGVO). Eine Zertifizierung wird durch die Aufsichtsbehörde oder
durch eine hierfür akkreditierte Stelle ausgesprochen (Art. 42 Abs. 5 DSGVO).
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ
27
Der Europäische Datenschutzausschuss führt und veröffentlicht ein Register aller Zertifizierungsmechanismen
(Art. 42 Abs. 8 DSGVO). Die Zertifizierungskriterien werden von den Aufsichtsbehörden, gegebenenfalls im Kohärenzverfahren,
festgelegt (Art. 42 Abs. 5 DSGVO).
Die Europäische Kommission kann in delegierten Rechtsakten Anforderungen und in
Durchführungsrechtsakten technische Standards festlegen (Art. 43 Abs. 8f. DSGVO).
28 BfDI – Info 6
EINZELNE WEITERE ASPEKTE
5 Einzelne weitere Aspekte
5.1 Anwendungsbereich
Die Datenschutz-Grundverordnung ist grundsätzlich sowohl im nicht-öffentlichen, als
auch im öffentlichen Bereich anwendbar.
Sie gilt nicht für die Verarbeitung zu persönlichen und familiären Zwecken (Haushaltsausnahme,
Art. 2 Abs. 2 lit. c DSGVO). Angesichts des gegenüber der Datenschutzrichtlinie
unveränderten Wortlautes verbleibt es insoweit bei dem sehr weiten Anwendungsbereich
des Datenschutzrechts. Ebenso gilt die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener
Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Untersuchung,
Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie
für den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit durch
diese Behörden (Art. 2 Abs. 2 lit. d DSGVO). Sie ist damit zum Beispiel nicht für die Tätigkeit
der Bundes- und Landespolizeien oder die Staatsanwaltschaften anwendbar.
Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten,
soweit sie im Rahmen der Tätigkeiten einer Niederlassung in der Union erfolgt – unabhängig
davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO). Daneben
gilt das unter Nr. 3.1 dargestellte Marktortprinzip.
Die unmittelbare Geltung der Datenschutz-Grundverordnung wird im öffentlichen Bereich
durch die allgemeinen Öffnungsklauseln in Art. 6 sowie in Kapitel IX für spezifisch
nationale Gesetzgebung relativiert.
29
Art. 6 Abs. 2 DSGVO enthält eine Öffnungsklausel in Bezug auf
■■die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
sowie
■■die Verarbeitung im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt
(Art. 6 Abs. 1 lit. e DSGVO).
Erlaubt sind im Wesentlichen aber nur Konkretisierungen und Präzisierungen und keine
grundsätzlichen Änderungen der Architektur der Datenschutz-Grundverordnung. Erfasst sind hiervon auch private Stellen, die im öffentlichen Interesse tätig sind, zum
Beispiel im Gesundheitswesen, Nahverkehr usw.
Art. 6 Abs. 3 lit. b DSGVO verlangt für diese Datenverarbeitungen allerdings eine Rechtsgrundlage
im nationalen Recht, in der zumindest der Zweck der Verarbeitung festzulegen
ist. Sie kann aber auch die Bedingungen für die Rechtmäßigkeit, den Kreis der Betroffenen,
die Übermittlungsempfänger oder Speicherfristen enthalten.
Insgesamt sind damit die Spielräume für die nationalen Gesetzgeber allerdings recht
weit.
5.2 Verarbeitung besonders sensibler Daten
Die Verarbeitung besonders sensibler Daten unterliegt besonderen Bedingungen. So ist
die Verarbeitung von personenbezogenen Daten, aus denen die rassische und ethische
Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder
die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen
Daten zur eindeutigen Identifizierung, Daten über Gesundheit oder Sexualleben
und sexuelle Ausrichtung grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO) – es sei denn es
liegen bestimmte ausdrücklich geregelte Ausnahmen vor (Art. 9 Abs. 2 DSGVO). Diese
sind im Vergleich zu Art. 6 DSGVO (vgl. hierzu Nr. 2.1) strenger. Beispielsweise muss eine
Einwilligung hier ausdrücklich erfolgen.
30 BfDI – Info 6
Die Mitgliedstaaten können für die Verarbeitung von genetischen, biometrischen und
gesundheitlichen Daten noch zusätzliche Bedingungen und Beschränkungen einführen
oder aufrechterhalten (Art. 9 Abs. 4 DSGVO).
5.3 Beschäftigtendatenschutz
Die Datenschutz-Grundverordnung verzichtet auf detaillierte Regelungen zum Beschäftigtendatenschutz. Vielmehr
enthält sie für diesen Bereich eine Öffnungsklausel
(Art. 88 DSGVO). Danach können die Mitgliedstaaten durch Gesetz oder Kollektivvereinbarung
spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und
Freiheiten bei der Verarbeitung von Beschäftigtendaten vorsehen. Aufgrund dieser Öffnungsklausel
könnte § 32 BDSG als nationale konkretisierende Vorschrift zum Beschäftigtendatenschutz
anwendbar bleiben. 5.4 Kirchen und Religionsgemeinschaften
Die Datenschutz-Grundverordnung gilt grundsätzlich auch für Kirchen und Religionsgemeinschaften. Sie
enthält aber insoweit in Art. 91 DSGVO weitreichende Öffnungsklauseln.
Danach dürfen Kirchen und Religionsgemeinschaften ihre zum Zeitpunkt des Inkrafttretens
bestehenden Regeln weiter anwenden, soweit diese in Einklang mit der Datenschutz-
Grundverordnung gebracht werden.
Das bedeutet, dass in Deutschland die kirchlichen Datenschutzgesetze beibehalten
werden können. Neue Regelungen dürfen hingegen nicht geschaffen werden. Änderungen
des bestehenden Rechts sind demgegenüber möglich und gegebenenfalls auch
notwendig („in Einklang gebracht werden“).
EINZELNE WEITERE ASPEKTE
31
Die Kirchen und religiösen Vereinigungen, die solche umfassenden Datenschutzregeln
anwenden, unterliegen nach Art. 91 Abs. 2 DSGVO der Kontrolle durch eine unabhängige
Aufsichtsbehörde. Diese Vorschrift erlaubt es den Kirchen, eine spezifische Art
der Datenschutzaufsicht vorzusehen. Damit können die Kirchen in Deutschland mit
ihren eigenen kirchlichen Datenschutzbeauftragten insoweit ihre verfassungsrechtlich
und europarechtlich geschützte Autonomie weiterhin ausüben. Die kirchlichen
Datenschutzbeauftragten müssen allerdings die Bedingungen des Kapitel VI der Datenschutz-
Grundverordnung erfüllen. Auch sie müssen daher unabhängig sein, ihnen
müssen eine angemessene Ausstattung zur Verfügung gestellt sowie bestimmte Aufgaben
und Befugnisse eingeräumt werden.
5.5 Sonderregeln für wissenschaftliche Zwecke, öffentliche Archive
und Statistik
Die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke,
für wissenschaftliche oder historische Forschungszwecke sowie für Zwecke
der Statistik wird durch die Datenschutz-Grundverordnung privilegiert.
Art. 5 Abs. 1 lit. b DSGVO normiert zunächst eine weitgehende Aufhebung der Zweckbindung
für Daten, die ursprünglich für andere Zwecke verarbeitet wurden. Eine Weiterverarbeitung
für die vorgenannten Zwecke gilt danach nicht als unvereinbar mit den
ursprünglichen Zwecken.
Die Rechtsgrundlage für die Datenverarbeitung zu den genannten Zwecken kann
nach Art. 89 DSGVO weitgehend in den Mitgliedstaaten geregelt werden. Gleiches gilt
gem. Art. 9 Abs. 2 lit. j DSGVO auch für die Verarbeitung besonders sensibler Daten (wie
zum Beispiel über die religiöse Überzeugung oder Gesundheitsdaten) zu diesen Zwecken. Dabei
müssen angemessene Garantien zum Datenschutz vorgesehen werden. Zu
den danach erforderlichen technisch-organisatorische Maßnahmen können im Forschungsbereich
zum Beispiel Pseudonymisierung und Anonymisierung gehören.
32 BfDI – Info 6
Von einzelnen Betroffenenrechten (vgl. Nr. 2.6) sind Ausnahmen möglich, soweit sie
voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder
ernsthaft beeinträchtigen würden.
5.6 Medienprivileg
Der Ausgleich zwischen dem Persönlichkeitsschutz und den Kommunikationsfreiheiten
bleibt gemäß Art. 85 DSGVO den Mitgliedstaaten vorbehalten. Dabei enthält Art. 85
Abs. 1 DSGVO einerseits den allgemeinen Auftrag an die Mitgliedstaaten, in ihrem Recht
einen Ausgleich zwischen dem Recht auf Datenschutz und der Meinungs- und Informationsfreiheit
herzustellen. Art. 85 Abs. 2 DSGVO erlaubt es den Mitgliedstaaten darüber
hinaus, bei der Verarbeitung personenbezogener Daten zu journalistischen, literarischen,
künstlerischen oder wissenschaftlichen Zwecken Ausnahmen von zahlreichen
Kapiteln der Datenschutz-Grundverordnung vorzusehen, sofern dies für den Ausgleich
der Grundrechte erforderlich ist. Damit können die in Deutschland in erster Linie im
Landesrecht geregelten besonderen Bestimmungen des Datenschutzes bei Presse und
Rundfunk überwiegend beibehalten werden.
EINZELNE WEITERE ASPEKTE
33
6 Ausblick und nationale Umsetzung
Die Datenschutz-Grundverordnung ist als europäische Verordnung unmittelbar geltendes
Recht. Als „Grundverordnung“ enthält sie aber eine Vielzahl von Öffnungsklauseln,
die Spielraum für nationales Recht der Mitgliedstaaten schaffen.
Auf den nationalen Gesetzgeber kommt daher ein erheblicher Umsetzungsbedarf zu. Darüber hinaus muss das gesamte Datenschutzrecht von Bund und Ländern auf seine
Vereinbarkeit mit der Datenschutz-Grundverordnung geprüft und – soweit erforderlich
– bereinigt werden. Hinsichtlich des Anpassungsbedarfs im deutschen Datenschutzrecht ist zwischen dem
öffentlichen und dem nicht-öffentlichen Bereich zu unterscheiden.
Im öffentlichen Bereich werden die geltenden bereichsspezifischen Vorschriften aufgrund
der Öffnungsklauseln in Art. 6 Abs. 2, Art. 6 Abs. 3, Art. 9 Abs. 4, Art. 23 DSGVO und
in Kapitel IX zum ganz überwiegenden Teil erhalten bleiben können. Durch den Gesetzgeber
ist aber zu prüfen, in welchem Umfang eine Anpassung und Rechtsbereinigung
notwendig ist.
Im nicht-öffentlichen Bereich bestehen demgegenüber deutlich geringere Spielräume
für nationale Regelungen.
Von welchen Öffnungsklauseln die deutschen Gesetzgeber in Bund und Ländern Gebrauch
machen werden, hängt auch davon ab, ob es sich um zwingend umzusetzende
Regelungen handelt oder nicht. Zu den zwingend umzusetzenden Regelungen gehören beispielsweise die Vorschriften
zur Einrichtung und näheren Ausgestaltung der Aufsichtsbehörden (Art. 51 bis 54
DSGVO) einschließlich des Rechtsschutzes gegen deren Entscheidungen (Art. 58 Abs. 4 DSGVO). Zwingender Umsetzungsbedarf besteht darüber hinaus auch beim Rechtsschutz
gegen die Verhängung von Geldbußen (Art 83 Abs. 8 DSGVO) und der Regelung
34 BfDI – Info 6
weitergehender Sanktionen (Art. 84 DSGVO) sowie bei der Umsetzung des Medienprivilegs
(Art. 85 DSGVO).
Über den zwingenden Umsetzungsbedarf hinaus enthält die Datenschutz-Grundverordnung
eine Reihe von optionalen Öffnungsmöglichkeiten. Von besonderer Bedeutung ist insoweit die Möglichkeit nach Art. 37 Abs. 4 DSGVO, auch
in weiteren als den in Art. 37 Abs. 1 DSGVO genannten Fällen eine verpflichtende Bestellung
eines Datenschutzbeauftragten vorzusehen sowie gem. Art 88 DSGVO nationale
Regelungen zum Schutz von Beschäftigtendaten zu treffen.
AUSBLICK UND NATIONALE UMSETZUNG
35
VERORDNUNG (EU) 2016/…
DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom …
zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten,
zum freien Datenverkehr
und zur Aufhebung der Richtlinie 95/46/EG
(Datenschutz-Grundverordnung)
(Text von Bedeutung für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel
16,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses1,
nach Stellungnahme des Ausschusses der Regionen2,
gemäß dem ordentlichen Gesetzgebungsverfahren3,
in Erwägung nachstehender Gründe:
(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein
Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union
(im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der
1 ABl. C 229 vom 31.7.2012, S. 90.
2 ABl. C 391 vom 18.12.2012, S. 127.
3 Standpunkt des Europäischen Parlaments vom 12. März 2014 (ABl. … ) und Standpunkt des Rates vom … . Standpunkt des
Europäischen Parlaments vom … und Beschluss des Rates vom … .
Der nachfolgende Text der Datenschutz-Grundverordnung ist eine informelle Fassung, die jedoch der
vom Europäischen Parlament am 14.4.2016 angenommenen endgültigen Fassung entspricht.
36 BfDI – Info 6
Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen
Daten.
(2) Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung
ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten
und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet
ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Diese Verordnung
soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer
Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum
Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen
natürlicher Personen beitragen.
(3) Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates4 ist die Harmonisierung
der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher
Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener
Daten zwischen den Mitgliedstaaten.
(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das
Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss
im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips
gegen andere Grundrechte abgewogen werden. Diese Verordnung
steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die
mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere
Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation,
Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit
der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht
auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen
und Sprachen.
(5) Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarkts
hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs personenbezogener
Daten geführt. Der unionsweite Austausch personenbezogener Daten zwischen
öffentlichen und privaten Akteuren einschließlich natürlichen Personen, Vereinigungen
und Unternehmen hat zugenommen. Das Unionsrecht verpflichtet die Verwaltungen der
Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit
sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats
Aufgaben durchführen können.
4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
37
(6) Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor
neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener
Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass
private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen
Umfang auf personenbezogene Daten zurückgreifen. Zunehmend machen auch
natürliche Personen Informationen öffentlich weltweit zugänglich. Die Technik hat das
wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener
Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale
Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau
zu gewährleisten ist.
(7) Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren
Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit
ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im
Binnenmarkt weiter wachsen zu können. Natürliche Personen sollten die Kontrolle über
ihre eigenen Daten besitzen. Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher
und praktischer Hinsicht über mehr Sicherheit verfügen.
(8) Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften
durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile
dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die
Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie
gelten, verständlicher zu machen.
(9) Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit, doch hat
die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich
gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit
verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere
im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau
für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der
Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf
Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung
von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden
an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie
erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie
95/46/EG.
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten
und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu
38 BfDI – Info 6
beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen
bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die
Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen
bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich
angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur
Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im
öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale
Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer
festgelegt wird, beizubehalten oder einzuführen. In Verbindung mit den allgemeinen
und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der Richtlinie
95/46/EG gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in
Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten
zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die
Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible
Daten“). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten
aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt
werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen
die Verarbeitung personenbezogener Daten rechtmäßig ist.
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und
präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen
für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden,
ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung
und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten
sowie gleiche Sanktionen im Falle ihrer Verletzung.
(12) Artikel 16 Absatz 2 AEUV ermächtigt das Europäische Parlament und den Rat, Vorschriften
über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
und zum freien Verkehr solcher Daten zu erlassen.
(13) Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet
ist und Unterschiede, die den freien Verkehr personenbezogener Daten im
Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich,
die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und
mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in
allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben
Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter
vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten
und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammen39
arbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Das
reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener
Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei
der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. Um der
besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich
des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter
beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten
und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser
Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und
mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen
sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung
2003/361/EG der Kommission5 maßgebend sein.
(14) Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen
Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts
gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener
Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen,
einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.
(15) Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der
Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten
Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung
personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von
personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem
gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie
ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den
Anwendungsbereich dieser Verordnung fallen.
(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten
und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten,
die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale
Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten
im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte
Verarbeitung personenbezogener Daten.
5 Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und
mittleren Unternehmen (C(2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36).
40 BfDI – Info 6
(17) Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates6 gilt für die
Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und
Agenturen der Union. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union,
die diese Verarbeitung personenbezogener Daten regeln, sollten an die Grundsätze und
Vorschriften der vorliegenden Verordnung angepasst und im Lichte der vorliegenden Verordnung
angewandt werden. Um einen soliden und kohärenten Rechtsrahmen im Bereich
des Datenschutzes in der Union zu gewährleisten, sollten die erforderlichen Anpassungen
der Verordnung (EG) Nr. 45/2001 im Anschluss an den Erlass der vorliegenden Verordnung
vorgenommen werden, damit sie gleichzeitig mit der vorliegenden Verordnung angewandt
werden können.
(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von
einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen
wird. Als persönliche oder familiäre Tätigkeiten könnten auch das Führen eines
Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und
Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch
für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung
personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.
(19) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch
die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder
Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor
und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser
Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung
auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene
Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch,
wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt,
nämlich der Richtlinie (EU) 2016/… des Europäischen Parlaments und des
Rates78* unterliegen. Die Mitgliedstaaten können die zuständigen Behörden im Sinne der
Richtlinie (EU) 2016/…9** mit Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der
Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstre-
6 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum
freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
7 Richtlinie (EU) 2016/… des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder
Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses
2000/383/JI des Rates (ABl. L …).
8 * ABl.: Bitte Nummer der Richtlinie in Dokument st 5418/16 sowie Amtsblattfundstelle einfügen.
9 ** ABl.: Bitte Nummer der Richtlinie in Dokument st 5418/46 einfügen.
41
ckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche
Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten
für diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung fällt, .
als sie in den Anwendungsbereich des Unionsrechts fällt. In Bezug auf die Verarbeitung
personenbezogener Daten durch diese Behörden für Zwecke, die in den Anwendungsbereich
dieser Verordnung fallen, sollten die Mitgliedstaaten spezifischere Bestimmungen
beibehalten oder einführen können, um die Anwendung der Vorschriften dieser Verordnung
anzupassen. In den betreffenden Bestimmungen können die Auflagen für die Verarbeitung
personenbezogener Daten durch diese zuständigen Behörden für jene anderen
Zwecke präziser festgelegt werden, wobei der verfassungsmäßigen, organisatorischen
und administrativen Struktur des betreffenden Mitgliedstaats Rechnung zu tragen ist. Soweit diese Verordnung für die Verarbeitung personenbezogener Daten durch private
Stellen gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter
bestimmten Voraussetzungen mittels Rechtsvorschriften beschränken können, wenn diese
Beschränkung in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige
Maßnahme zum Schutz bestimmter wichtiger Interessen darstellt, wozu auch die
öffentliche Sicherheit und die Verhütung, Ermittlung, Aufdeckung und Verfolgung von
Straftaten oder die Strafvollstreckung zählen, einschließlich des Schutzes vor und der Abwehr
von Gefahren für die öffentliche Sicherheit. Dies ist beispielsweise für im Rahmen der
Bekämpfung der Geldwäsche oder der Arbeit kriminaltechnischer Labors von Bedeutung.
(20) Die Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden,
doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt
werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung
personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen
auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen
Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden
nicht für die Verarbeitung personenbezogener Daten durch Gerichte im
Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge
sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut
werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung
sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung
sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten
sollten.
(21) Die vorliegende Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG des
Europäischen Parlaments und des Rates10 und insbesondere die der Vorschriften der Ar-
10 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der
Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie
über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1).
42 BfDI – Info 6
tikel 12 bis 15 jener Richtlinie zur Verantwortlichkeit von Anbietern reiner Vermittlungsdienste. Die
genannte Richtlinie soll dazu beitragen, dass der Binnenmarkt einwandfrei
funktioniert, indem sie den freien Verkehr von Diensten der Informationsgesellschaft zwischen
den Mitgliedstaaten sicherstellt.
(22) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung
eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß
dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine
Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit
durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob
es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit
handelt, ist dabei nicht ausschlaggebend.
(23) Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht
vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen,
die sich in der Union befinden, durch einen nicht in der Union niedergelassenen
Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung
dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren
oder Dienstleistungen anzubieten. Um festzustellen, ob dieser Verantwortliche oder
Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder
Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter
offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren
Mitgliedstaaten der Union Dienstleistungen anzubieten. Während die bloße Zugänglichkeit
der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers
in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer
Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein
gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren
wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten
gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen
in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die
sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den
Personen in der Union Waren oder Dienstleistungen anzubieten.
(24) Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union
befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter
sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das
Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union
erfolgt. Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen
Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen
werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur
43
Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil
erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet
oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten
analysiert oder vorausgesagt werden sollen.
(25) Ist nach Völkerrecht das Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen
oder konsularischen Vertretung eines Mitgliedstaats, so sollte die Verordnung auch
auf einen nicht in der Union niedergelassenen Verantwortlichen Anwendung finden.
(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte
oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene
personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen
Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare
natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar
ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen
Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche
Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung,
ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen
Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung
und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der
Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen
sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten,
d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche
Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind,
dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung
betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
(27) Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten
können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener
vorsehen.
(28) Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für
die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der
Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der
„Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen
auszuschließen.
(29) Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener
Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine
44 BfDI – Info 6
Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen
technischen und organisatorischen Maßnahmen getroffen hat, um – für die jeweilige Verarbeitung
– die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass
zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen
Person zugeordnet werden können, gesondert aufbewahrt werden. Der für die Verarbeitung
der personenbezogenen Daten Verantwortliche, sollte die befugten Personen bei diesem
Verantwortlichen angeben.
(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und
Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und ‑Tools oder Protokolle
liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies
kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen
und anderen beim Server eingehenden Informationen dazu benutzt werden können, um
Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
(31) Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung
für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuerund
Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder
Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig
sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten,
die für die Durchführung – gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten
– eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich
sind. Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen,
mit Gründen versehen sein und gelegentlichen Charakter haben, und sie sollten nicht
vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen. Die
Verarbeitung personenbezogener Daten durch die genannten Behörden sollte für die Zwecke
der Verarbeitung geltenden Datenschutzvorschriften entsprechen.
(32) Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der
freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet
wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen
Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch
elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken
eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer
Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung
oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext
eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen
Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der
betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte
sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbei45
tungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle
diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person
auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in
klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung
gegeben wird, erfolgen.
(33) Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen
Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten
nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein,
ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn
dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung
geschieht. Die betroffenen Personen sollten Gelegenheit erhalten, ihre Einwilligung
nur für bestimme Forschungsbereiche oder Teile von Forschungsprojekten in dem
vom verfolgten Zweck zugelassenen Maße zu erteilen.
(34) Genetische Daten sollten als personenbezogene Daten über die ererbten oder erworbenen
genetischen Eigenschaften einer natürlichen Person definiert werden, die aus der Analyse
einer biologischen Probe der betreffenden natürlichen Person, insbesondere durch eine
Chromosomen, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder
der Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden
können, gewonnen werden.
(35) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den
Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen
über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand
der betroffenen Person hervorgehen. Dazu gehören auch Informationen
über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von
Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments
und des Rates11 für die natürliche Person erhoben werden, Nummern, Symbole
oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche
Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der
Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch
aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen
etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische
Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen
Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem
Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder
einem In-Vitro-Diagnostikum stammen.
11 Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte
in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
46 BfDI – Info 6
(36) Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung
in der Union sein, es sei denn, dass Entscheidungen über die Zwecke und Mittel der
Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen
in der Union getroffen werden; in diesem Fall sollte die letztgenannte als Hauptniederlassung
gelten. Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in
der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die
effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung
sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke
und Mittel der Verarbeitung getroffen werden. Dabei sollte nicht ausschlaggebend sein,
ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt
wird. Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung
personenbezogener Daten oder Verarbeitungstätigkeiten begründen an sich
noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor für das Bestehen
einer Hauptniederlassung. Die Hauptniederlassung des Auftragsverarbeiters sollte
der Ort sein, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat,
oder – wenn er keine Hauptverwaltung in der Union hat – der Ort, an dem die wesentlichen
Verarbeitungstätigkeiten in der Union stattfinden. Sind sowohl der Verantwortliche als
auch der Auftragsverarbeiter betroffen, so sollte die Aufsichtsbehörde des Mitgliedstaats,
in dem der Verantwortliche seine Hauptniederlassung hat, die zuständige federführende
Aufsichtsbehörde bleiben, doch sollte die Aufsichtsbehörde des Auftragsverarbeiters als
betroffene Aufsichtsbehörde betrachtet werden und diese Aufsichtsbehörde sollte sich
an dem in dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beteiligen. Auf jeden Fall sollten die Aufsichtsbehörden des Mitgliedstaats oder der Mitgliedstaaten,
in dem bzw. denen der Auftragsverarbeiter eine oder mehrere Niederlassungen hat, nicht
als betroffene Aufsichtsbehörden betrachtet werden, wenn sich der Beschlussentwurf nur
auf den Verantwortlichen bezieht. Wird die Verarbeitung durch eine Unternehmensgruppe
vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als
Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel
der Verarbeitung werden von einem anderen Unternehmen festgelegt.
(37) Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von
diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige
sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen
Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften
umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen
Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener
Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als
eine „Unternehmensgruppe“ betrachtet werden.
47
(38) Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich
der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung
personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer
Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für
Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die
Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die
Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen
Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die
unmittelbar einem Kind angeboten werden, nicht erforderlich sein.
(39) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben
erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie
betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig
verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet
werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus,
dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen
Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst
sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen
und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire
und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen
gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten,
welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen
sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit
der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden,
wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten
Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig
und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten
feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet
werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung
notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für
personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der
Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um
sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden,
sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung
vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige
personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten
so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet
ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder
die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
48 BfDI – Info 6
(40) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung
der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet
werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung
darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten
ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen
Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags,
dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher
Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.
(41) Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme
Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament
angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß
der Verfassungsordnung des betreffenden Mitgliedstaats. Die entsprechende Rechtsgrundlage
oder Gesetzgebungsmaßnahme sollte jedoch klar und präzise sein und ihre Anwendung
sollte für die Rechtsunterworfenen gemäß der Rechtsprechung des Gerichtshofs
der Europäischen Union (im Folgenden „Gerichtshof“) und des Europäischen Gerichtshofs
für Menschenrechte vorhersehbar sein.
(42) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche
nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang
gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer
Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in
welchem Umfang sie ihre Einwilligung erteilt. Gemäß der Richtlinie 93/13/EWG des Rates
12 sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher
und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung
gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in
Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens
wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen
Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie
ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit
in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
(43) Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen
Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht
besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine
Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall un-
12 Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom
21.4.1993, S. 29).
49
wahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage
liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen
Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung
erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung
eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung
abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
(44) Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder
den geplanten Abschluss eines Vertrags erforderlich ist.
(45) Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden
rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe
im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür
eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser
Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein,
wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen
Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im
öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen
sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche
Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen
Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung
personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der
Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet
werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen
Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und
welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung
rechtmäßig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht
oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen,
der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher
Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht
fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse
einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit
oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist,
eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung,
handeln sollte.
(46) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen
werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person
oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten
50 BfDI – Info 6
grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen
Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere
Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl
wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der
betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke
einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären
Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten
Katastrophen erforderlich sein.
(47) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen,
auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt
werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die
Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind
die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem
Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise
vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der
betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person
ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das
Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu
prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen
Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen
kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere
dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen
eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen
muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des
Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die
Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu
schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten,
die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener
Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls
ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener
Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten
Interesse dienende Verarbeitung betrachtet werden.
(48) Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen
sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse
haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke,
einschließlich der Verarbeitung personenbezogener Daten von Kunden und
Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezo51
gener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland
bleiben unberührt.
(49) Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste
(Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident
Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen
und ‑ diensten sowie durch Anbieter von Sicherheitstechnologien und ‑ diensten stellt in
dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für
die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig
ist, d.h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems
gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche
oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität,
Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen
Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese
Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein
solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang
Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher
Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern
(„Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen
Kommunikationssystemen abzuwehren.
(50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen
Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung
mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben
wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich
als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für
die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können
im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt
und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig
erachtet wird. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke,
für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke
sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten. Die im Unionsrecht
oder im Recht der Mitgliedstaaten vorgesehene Rechtsgrundlage für die Verarbeitung
personenbezogener Daten kann auch als Rechtsgrundlage für eine Weiterverarbeitung
dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den
die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche
nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen
Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken,
für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsich52
BfDI – Info 6
tigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere
die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu
dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um
welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte
Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen
als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen. .
Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht
oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft
eine notwendige und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger
Ziele des allgemeinen öffentlichen Interesses darstellt, so sollte der Verantwortliche die
personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten
dürfen. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten
Grundsätze angewandt werden und insbesondere die betroffene Person über diese
anderen Zwecke und über ihre Rechte einschließlich des Widerspruchsrechts unterrichtet
wird. Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen
Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten
in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder
derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten
als berechtigtes Interesse des Verantwortlichen gelten. Eine derartige Übermittlung
personenbezogener Daten im berechtigten Interesse des Verantwortlichen oder deren
Weiterverarbeitung sollte jedoch unzulässig sein, wenn die Verarbeitung mit einer rechtlichen,
beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar
ist.
(51) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten
besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang
mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten
auftreten können. Diese personenbezogenen Daten sollten personenbezogene Daten
umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung
des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union
Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen,
gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung
besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder
nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn
sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung
oder Authentifizierung einer natürlichen Person ermöglichen. Derartige personenbezogene
Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in
dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist,
dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein
können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit
53
die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im
öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen
übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige
Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser
Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung,
gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen
Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter
anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten
Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten
bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die
Ausübung von Grundfreiheiten einsetzen.
(52) Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen
Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten
vorgesehen sind, und – vorbehaltlich angemessener Garantien zum Schutz
der personenbezogenen Daten und anderer Grundrechte – wenn dies durch das öffentliche
Interesse gerechtfertigt ist, insbesondere für die Verarbeitung von personenbezogenen
Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit
einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und
Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer
schwerwiegender Gesundheitsgefahren. Eine solche Ausnahme kann zu gesundheitlichen
Zwecken gemacht werden, wie der Gewährleistung der öffentlichen Gesundheit und
der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch
die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den
sozialen Krankenversicherungssystemen sichergestellt werden soll, oder wenn die Verarbeitung
im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen
Forschungszwecken oder statistischen Zwecken dient. Die Verarbeitung solcher
personenbezogener Daten sollte zudem ausnahmsweise erlaubt sein, wenn sie erforderlich
ist, um rechtliche Ansprüche, sei es in einem Gerichtsverfahren oder in einem Verwaltungsverfahren
oder einem außergerichtlichen Verfahren, geltend zu machen, auszuüben
oder zu verteidigen.
(53) Besondere Kategorien personenbezogener Daten, die eines höheren Schutzes verdienen,
sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies für
das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft
insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung
der Dienste und Systeme des Gesundheits‑ oder Sozialbereichs, einschließlich der Verarbeitung
dieser Daten durch die Verwaltung und die zentralen nationalen Gesundheitsbehörden
zwecks Qualitätskontrolle, Verwaltungsinformationen und der allgemeinen
nationalen und lokalen Überwachung des Gesundheitssystems oder des Sozialsystems
54 BfDI – Info 6
und zwecks Gewährleistung der Kontinuität der Gesundheits- und Sozialfürsorge und der
grenzüberschreitenden Gesundheitsversorgung oder Sicherstellung und Überwachung
der Gesundheit und Gesundheitswarnungen oder für im öffentlichen Interesse liegende
Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen
Zwecken, die auf Rechtsvorschriften der Union oder der Mitgliedstaaten beruhen,
die einem im öffentlichen Interesse liegenden Ziel dienen müssen, sowie für Studien, die im
öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Diese
Verordnung sollte daher harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien
personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse
harmonisieren, insbesondere wenn die Verarbeitung dieser Daten für gesundheitsbezogene
Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung
dem Berufsgeheimnis unterliegen. Im Recht der Union oder der Mitgliedstaaten sollten
besondere und angemessene Maßnahmen zum Schutz der Grundrechte und der personenbezogenen
Daten natürlicher Personen vorgesehen werden. Den Mitgliedstaaten sollte gestattet
werden, weitere Bedingungen – einschließlich Beschränkungen – in Bezug auf die
Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten
oder einzuführen. Dies sollte jedoch den freien Verkehr personenbezogener Daten
innerhalb der Union nicht beeinträchtigen, falls die betreffenden Bedingungen für die
grenzüberschreitende Verarbeitung solcher Daten gelten.
(54) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann
es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung
der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und
besonderen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In
diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne
der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates13 ausgelegt
werden und alle Elemente im Zusammenhang mit der Gesundheit wie den Gesundheitszustand
einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand
auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung
zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen
und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden
Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses
darf nicht dazu führen, dass Dritte, unter anderem Arbeitgeber oder Versicherungs- und
Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten.
13 Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken
über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, .
S. 70).
55
(55) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen zu verfassungsrechtlich
oder völkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften
erfolgt aus Gründen des öffentlichen Interesses.
(56) Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert,
dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten
über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger
Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien
vorgesehen werden.
(57) Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten
eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen
Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene
Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen
entgegenzunehmen, die von der betroffenen Person beigebracht werden, um
ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer
betroffenen Person – beispielsweise durch Authentifizierungsverfahren etwa mit denselben
Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem
von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden – einschließen.
(58) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene
Person bestimmte Information präzise, leicht zugänglich und verständlich sowie
in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente
verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt
werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies
gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität
der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und
nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene
Daten erfasst werden, wie etwa bei der Werbung im Internet. Wenn sich die Verarbeitung
an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen
und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass
ein Kind sie verstehen kann.
(59) Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der
Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen,
die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen
Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten
oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche
auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn
die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche soll56
BfDI – Info 6
te verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber
innerhalb eines Monats zu beantworten und gegebenenfalls zu begründen, warum er den
Antrag ablehnt.
(60) Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass
die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet
wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen
zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und
Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden,
notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber
hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und
welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person
erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die
personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der
Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination
mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer,
verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über
die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer
Form dargestellt, so sollten sie maschinenlesbar sein.
(61) Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen
Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr,
sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die
sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig
einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei
der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber
aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten
für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte
er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen
Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der
betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen,
weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein
gehalten werden.
(62) Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, wenn die betroffene
Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen
Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich
die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig
hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für
im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen
57
Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollten
dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien
in Betracht gezogen werden.
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen
Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und
in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu
sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene
Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in
ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse,
Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen
enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und
zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet
werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen
Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener
Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest
in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte
der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der
der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen
würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse
oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an
Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen
Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große
Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass
die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge
sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
(64) Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft
suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten
und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten
nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu
können.
(65) Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen
Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung
ihrer Daten gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der
Mitgliedstaaten, dem der Verantwortliche unterliegt, verstößt. Insbesondere sollten betroffene
Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht
und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der
Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt
58 BfDI – Info 6
werden, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen
oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen
Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus
anderen Gründen gegen diese Verordnung verstößt. Dieses Recht ist insbesondere wichtig
in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben
hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang
absehen konnte und die personenbezogenen Daten – insbesondere die im Internet gespeicherten
– später löschen möchte. Die betroffene Person sollte dieses Recht auch dann
ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen
Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf
freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung,
für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des
öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse
liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken
oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen erforderlich ist.
(66) Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das
Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen
Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese
personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen
Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei
sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und
der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen – auch technischer
Art – treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten,
über den Antrag der betroffenen Person zu informieren.
(67) Methoden zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter
anderem darin bestehen, dass ausgewählte personenbezogenen Daten vorübergehend
auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden
oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In
automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich
durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise
weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die
Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich
hingewiesen werden.
59
(68) Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine
bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem
berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen
bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen
Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln,
die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn
die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung
gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte
nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung
oder eines Vertrags erfolgt. Dieses Recht sollte naturgemäß nicht gegen Verantwortliche
ausgeübt werden, die personenbezogenen Daten in Erfüllung ihrer öffentlichen
Aufgaben verarbeiten. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen
Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche
unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen
Interesse liegt oder in Ausübung einer ihm übertragenen öffentlichen Gewalt erfolgt,
erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten
zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht
begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Ist
im Fall eines bestimmten Satzes personenbezogener Daten mehr als eine
betroffene Person tangiert, so sollte das Recht auf Empfang der Daten die Grundrechte und
Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen
Daten und die Beschränkungen dieses Rechts gemäß dieser Verordnung nicht
berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person
beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind,
gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung
des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das
Recht haben, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen
einem anderen Verantwortlichen übermittelt werden.
(69) Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden,
weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse
liegt oder in Ausübung öffentlicher Gewalt – die dem Verantwortlichen übertragen wurde,
– oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich
ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen
die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen
Daten einzulegen. Der für die Verarbeitung Verantwortliche sollte darlegen müssen, dass
seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten
und Grundfreiheiten der betroffenen Person haben.
60 BfDI – Info 6
(70) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so sollte
die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche – ursprüngliche
oder spätere – Verarbeitung einschließlich des Profilings einlegen können, als
sie mit dieser Direktwerbung zusammenhängt. Die betroffene Person sollte ausdrücklich
auf dieses Recht hingewiesen werden; dieser Hinweis sollte in einer verständlichen und
von anderen Informationen getrennten Form erfolgen.
(71) Die betroffene Person sollte das Recht haben, keiner Entscheidung – was eine Maßnahme
einschließen kann – zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen
zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und
die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich
beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder
Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen
Verarbeitung zählt auch das „Profiling“, das in jeglicher Form automatisierter Verarbeitung
personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf
eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten
bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder
Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen
Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie
in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen Verarbeitung, einschließlich
des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein,
wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die
Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang
mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der
nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu
verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten
Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung
eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich
ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. In
jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein,
einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs
auf direktes Eingreifen einer Person , auf Darlegung des eigenen Standpunkts, auf Erläuterung
der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des
Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. .
Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter
denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber
eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung
Verantwortliche geeignete mathematische oder statistische Verfahren für das
Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in
61
geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen
Daten führen, korrigiert werden und das Risiko von Fehlern minimiert
wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen
für die Interessen und Rechte der betroffenen Person Rechnung getragen wird
und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von
Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit,
genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung
zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche
Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage
besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen
erlaubt sein.
(72) Das Profiling unterliegt den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener
Daten, wie etwa die Rechtsgrundlage für die Verarbeitung oder die Datenschutzgrundsätze. Der
durch diese Verordnung eingerichtete Europäische Datenschutzausschuss
(im Folgenden „Ausschuss“) sollte, diesbezüglich Leitlinien herausgeben können.
(73) Im Recht der Union oder der Mitgliedstaaten können Beschränkungen hinsichtlich bestimmter
Grundsätze und hinsichtlich des Rechts auf Unterrichtung, Auskunft zu und
Berichtigung oder Löschung personenbezogener Daten und des Rechts auf Datenübertragbarkeit
und Widerspruch, von Entscheidungen, die auf der Erstellung von Profilen
beruhen, und von Mitteilungen über eine Verletzung des Schutzes personenbezogener
Daten an eine betroffene Person sowie von bestimmten damit zusammenhängenden
Pflichten der Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen
Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten,
wozu unter anderem der Schutz von Menschenleben insbesondere bei Naturkatastrophen
oder vom Menschen verursachten Katastrophen, die Verhütung, Aufdeckung
und Verfolgung von Straftaten oder die Strafvollstreckung – was auch den Schutz vor und
die Abwehr von Gefahren für die öffentliche Sicherheit einschließt – oder die Verhütung,
Aufdeckung und Verfolgung von Verstößen gegen Berufsstandsregeln bei reglementierten
Berufen, das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen
Interesses sowie die Weiterverarbeitung von archivierten personenbezogenen Daten zur
Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten
unter ehemaligen totalitären Regimen gehört, und zum Schutz sonstiger wichtiger
Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, etwa
wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die
Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherheit,
öffentliche Gesundheit und humanitäre Hilfe, zu schützen. Diese Beschränkungen
62 BfDI – Info 6
sollten mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte
und Grundfreiheiten im Einklang stehen.
(74) Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener
Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen
müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser
Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den
Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und
Freiheiten natürlicher Personen berücksichtigen.
(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher
Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener
Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden
führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem
Identitätsdiebstahl oder ‑ betrug, einem finanziellen Verlust, einer Rufschädigung, einem
Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen
Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen
wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen
Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie
betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten,
aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder
weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen,
und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche
Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln
betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere
wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche
Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort
oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile
zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher
Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung
eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen
Personen betrifft.
(76) Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen
Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke
der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung
beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes
Risiko birgt.
63
(77) Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen
durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere
was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung
in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die
Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere
in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien
des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. Der Ausschuss kann ferner Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen
davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen in diesen Fällen ausreichend
sein können.
(78) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden
Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische
und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung
erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können,
sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere
den Grundsätzen des Datenschutzes durch Technik (data protection by design)
und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge
tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung
personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich
pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung
personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird,
die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in
die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf
Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten,
die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder
zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller
der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei
der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen
und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen,
dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten
nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche
Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung
getragen werden.
(79) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung
und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es –
auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden
– einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich
64 BfDI – Info 6
der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und ‑ mittel gemeinsam
mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines
Verantwortlichen durchgeführt wird.
(80) Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen
Verarbeitungstätigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten,
und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten
– unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird
– oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte
einen Vertreter benennen müssen, es sei denn, die Verarbeitung erfolgt gelegentlich,
schließt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener
Daten oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen
und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände,
ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten
natürlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Behörde
oder öffentliche Stelle. Der Vertreter sollte im Namen des Verantwortlichen oder
des Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als Ansprechpartner
Anlaufstelle dienen. Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter
ausdrücklich bestellen und schriftlich beauftragen, in Bezug auf die ihnen nach dieser Verordnung
obliegenden Verpflichtungen an seiner Stelle zu handeln. Die Benennung eines
solchen Vertreters berührt nicht die Verantwortung und Haftung des Verantwortlichen
oder des Auftragsverarbeiters nach Maßgabe dieser Verordnung. Der Vertreter sollte seine
Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters
ausführen und insbesondere mit den zuständigen Aufsichtsbehörden in Bezug auf Maßnahmen,
die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten. Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter
Durchsetzungsverfahren unterworfen werden.
(81) Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter
im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden,
sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten
betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf
Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass
technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung –
getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung
genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch
einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der
Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung
durch einen Auftragsverarbeiter sollte auf Grundlage eines Vertrags oder eines anderen
Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw.
65
das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und
Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen
Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen
Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung
und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen
sind. Der Verantwortliche und der Auftragsverarbeiter können entscheiden, ob sie einen
individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar
von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde
angenommen und dann von der Kommission erlassen wurden. Nach Beendigung
der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter
die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben
oder löschen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der
Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen
Daten besteht.
(82) Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der
Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit
unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet
sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das
entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge
anhand dieser Verzeichnisse kontrolliert werden können.
(83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung
verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter
die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer
Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung
des Stands der Technik und der Implementierungskosten ein Schutzniveau
– auch hinsichtlich der Vertraulichkeit – gewährleisten, das den von der Verarbeitung ausgehenden
Risiken und der Art der zu schützenden personenbezogenen Daten angemessen
ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener
Daten verbundenen Risiken berücksichtigt werden, wie etwa Vernichtung,
Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung
von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert
oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem
physischen, materiellen oder immateriellen Schaden führen könnte.
(84) Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich
ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser
eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-
Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere die66
BfDI – Info 6
ses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Abschätzung sollten
berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen
ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen
Daten mit dieser Verordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung
hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche
nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten
eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung
konsultiert werden.
(85) Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und
angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für
natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen
Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl
oder ‑ betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung,
Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder
andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche
Person. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes
personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des
Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72
Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche
kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen,
dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem
Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese
Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für
die Verzögerung angegeben werden müssen, und die Informationen können schrittweise
ohne unangemessene weitere Verzögerung bereitgestellt werden.
(86) Der für die Verarbeitung Verantwortliche sollte die betroffene Person unverzüglich von
der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung
des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für
die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen
Vorkehrungen treffen können. Die Benachrichtigung sollte eine Beschreibung
der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene
natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen
dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person
sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit
der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen
Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen. Um beispielsweise das Risiko eines unmittelbaren Schadens mindern zu können, müssten
betroffene Personen sofort benachrichtigt werden, wohingegen eine längere Benachrich67
tigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen
fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu
treffen.
(87) Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen
Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung
des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde
und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die
Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes
personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die
betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden
der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten
Aufgaben und Befugnissen führen.
(88) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen
des Schutzes personenbezogener Daten sollten die Umstände der Verletzung
hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete
technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit
eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden
in Fällen Rechnung tragen, in denen die Untersuchung der Umstände
einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitiges Offenlegung
in unnötiger Weise behindert würde.
(89) Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den
Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen
und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu
einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen
Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und
Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von
Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände
und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen mit sich bringen. Zu solchen Arten von Verarbeitungsvorgängen gehören
insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig
sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung
durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen
Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.
(90) In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung
durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die
Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände
68 BfDI – Info 6
und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese
Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren
befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten
sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen
werden soll.
(91) Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen,
große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler
Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise
aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen
und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang
eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein
hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere
dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung
ihrer Rechte erschweren. Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt
werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen
in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende
Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines
Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von
personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche
Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln
verarbeitet werden. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung
für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels
optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung
der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko
für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere
weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer
Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in
großem Umfang erfolgen. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich
gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von
Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes
oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung
nicht zwingend vorgeschrieben sein.
(92) Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten
zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein
bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise
wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform
schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame
Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein
69
bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen
möchten.
(93) Anlässlich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grundlage die Behörde
oder öffentliche Stelle ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang
oder die fraglichen Arten von Verarbeitungsvorgängen regelt, können die Mitgliedstaaten
es für erforderlich erachten, solche Folgeabschätzungen vor den Verarbeitungsvorgängen
durchzuführen.
(94) Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen
von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein
hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde,
und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare
Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden
kann, so sollte die Aufsichtsbehörde vor Beginn der Verarbeitungstätigkeiten konsultiert
werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung
und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche
Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und
Freiheiten mit sich bringen können. Die Aufsichtsbehörde sollte das Beratungsersuchen
innerhalb einer bestimmten Frist beantworten. Allerdings kann sie, auch wenn sie nicht
innerhalb dieser Frist reagiert hat, entsprechend ihren in dieser Verordnung festgelegten
Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge
zu untersagen. Im Rahmen dieses Konsultationsprozesses kann das Ergebnis einer
im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten
Datenschutz-Folgenabschätzung der Aufsichtsbehörde unterbreitet werden; dies gilt insbesondere
für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher
Personen geplanten Maßnahmen.
(95) Der Auftragsverarbeiter sollte erforderlichenfalls den Verantwortlichen auf Anfrage bei
der Gewährleistung der Einhaltung der sich aus der Durchführung der Datenschutz-Folgenabschätzung
und der vorherigen Konsultation der Aufsichtsbehörde ergebenden Auflagen
unterstützen.
(96) Eine Konsultation der Aufsichtsbehörde sollte auch während der Ausarbeitung von Gesetzes-
oder Regelungsvorschriften, in denen eine Verarbeitung personenbezogener Daten
vorgesehen ist, erfolgen, um die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung
sicherzustellen und insbesondere das mit ihr für die betroffene Person verbundene
Risiko einzudämmen.
70 BfDI – Info 6
(97) In Fällen, in denen die Verarbeitung durch eine Behörde – mit Ausnahmen von Gerichten
oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln – ,
im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen
besteht, die eine regelmäßige und systematische Überwachung der
betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen
oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer
Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen
und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter
bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung
von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und
der Datenschutzverfahren verfügt, unterstützt werden Im privaten Sektor bezieht sich die
Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung
personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens
sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen
und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter
verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte
sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen
handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit
ausüben können.
(98) Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen
oder Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung
Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung
zu erleichtern, wobei den Besonderheiten der in bestimmten Sektoren erfolgenden
Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der
kleinen und mittleren Unternehmen Rechnung zu tragen ist. Insbesondere könnten in diesen
Verhaltensregeln – unter Berücksichtigung des mit der Verarbeitung wahrscheinlich
einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen – die Pflichten
der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.
(99) Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln
sollten Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen
oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger,
möglichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen,
die sie dabei erhalten, berücksichtigen.
(100) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte
angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und ‑ prüfzeichen
eingeführt werden, die den betroffenen Personen einen raschen Überblick über das
Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.
71
(101) Der Fluss personenbezogener Daten aus Drittländern und internationalen Organisationen
und in Drittländer und internationale Organisationen ist für die Ausweitung des internationalen
Handels und der internationalen Zusammenarbeit notwendig. Durch die
Zunahme dieser Datenströme sind neue Herausforderungen und Anforderungen in Bezug
auf den Schutz personenbezogener Daten entstanden. Das durch diese Verordnung
unionsweit gewährleistete Schutzniveau für natürliche Personen sollte jedoch bei der
Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter
oder andere Empfänger in Drittländern oder an internationale Organisationen
nicht untergraben werden, und zwar auch dann nicht, wenn aus einem Drittland oder von
einer internationalen Organisation personenbezogene Daten an Verantwortliche oder
Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder
eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind
derartige Datenübermittlungen an Drittländer und internationale Organisationen nur
unter strikter Einhaltung dieser Verordnung zulässig. Eine Datenübermittlung könnte nur
stattfinden, wenn die in dieser Verordnung festgelegten Bedingungen zur Übermittlung
personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich
der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem
Auftragsverarbeiter erfüllt werden.
(102) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung
von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen
Personen werden von dieser Verordnung nicht berührt. Die Mitgliedstaaten können völkerrechtliche
Übereinkünfte schließen, die die Übermittlung personenbezogener Daten
an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte
weder auf diese Verordnung noch auf andere Bestimmungen des Unionsrechts auswirken
und ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen
umfassen.
(103) Die Kommission darf mit Wirkung für die gesamte Union beschließen, dass ein bestimmtes
Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale
Organisation ein angemessenes Datenschutzniveau bietet, und auf diese Weise in Bezug
auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden,
ein solches Schutzniveau zu bieten, in der gesamten Union Rechtssicherheit schaffen und
eine einheitliche Rechtsanwendung sicherstellen. In derartigen Fällen dürfen personenbezogene
Daten ohne weitere Genehmigung an dieses Land oder diese internationale Organisation
übermittelt werden. Die Kommission kann, nach Abgabe einer ausführlichen
Erklärung, in der dem Drittland oder der internationalen Organisation eine Begründung
gegeben wird, auch entscheiden, eine solche Feststellung zu widerrufen.
72 BfDI – Info 6
(104) In Übereinstimmung mit den Grundwerten der Union, zu denen insbesondere der Schutz
der Menschenrechte zählt, sollte die Kommission bei der Bewertung des Drittlands oder
eines Gebiets oder eines bestimmten Sektors eines Drittlands berücksichtigen, inwieweit
dort die Rechtsstaatlichkeit gewahrt ist, der Rechtsweg gewährleistet ist und die internationalen
Menschenrechtsnormen und ‑ standards eingehalten werden und welche allgemeinen
und sektorspezifischen Vorschriften, wozu auch die Vorschriften über die öffentliche
Sicherheit, die Landesverteidigung und die nationale Sicherheit sowie die öffentliche
Ordnung und das Strafrecht zählen, dort gelten. Die Annahme eines Angemessenheitsbeschlusses
in Bezug auf ein Gebiet oder einen bestimmten Sektor eines Drittlands sollte unter
Berücksichtigung eindeutiger und objektiver Kriterien wie bestimmter Verarbeitungsvorgänge
und des Anwendungsbereichs anwendbarer Rechtsnormen und geltender Rechtsvorschriften
in dem Drittland erfolgen. Das Drittland sollte Garantien für ein angemessenes
Schutzniveau bieten, das dem innerhalb der Union gewährleisteten Schutzniveau der
Sache nach gleichwertig ist, insbesondere in Fällen, in denen personenbezogene Daten in
einem oder mehreren spezifischen Sektoren verarbeitet werden. Das Drittland sollte insbesondere
eine wirksame unabhängige Überwachung des Datenschutzes gewährleisten und
Mechanismen für eine Zusammenarbeit mit den Datenschutzbehörden der Mitgliedstaaten
vorsehen, und den betroffenen Personen sollten wirksame und durchsetzbare Rechte
sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe eingeräumt werden.
(105) Die Kommission sollte neben den internationalen Verpflichtungen, die das Drittland oder
die internationale Organisation eingegangen ist, die Verpflichtungen, die sich aus der Teilnahme
des Drittlands oder der internationalen Organisation an multilateralen oder regionalen
Systemen insbesondere im Hinblick auf den Schutz personenbezogener Daten ergeben,
sowie die Umsetzung dieser Verpflichtungen berücksichtigen. Insbesondere sollte
der Beitritt des Drittlands zum Übereinkommen des Europarates vom 28. Januar 1981 zum
Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und
dem dazugehörigen Zusatzprotokoll berücksichtigt werden. Die Kommission sollte den
Ausschuss konsultieren, wenn sie das Schutzniveau in Drittländern oder internationalen
Organisationen bewertet.
(106) Die Kommission sollte die Wirkungsweise von Feststellungen zum Schutzniveau in einem
Drittland , einem Gebiet oder einem bestimmten Sektor eines Drittlands oder einer
internationalen Organisation überwachen; sie sollte auch die Wirkungsweise der Feststellungen,
die auf der Grundlage des Artikels 25 Absatz 6 oder des Artikels 26 Absatz 4 der
Richtlinie 95/46/EG erlassen werden, überwachen. In ihren Angemessenheitsbeschlüssen
sollte die Kommission einen Mechanismus für die regelmäßige Überprüfung von deren
Wirkungsweise vorsehen. Diese regelmäßige Überprüfung sollte in Konsultation mit dem
betreffenden Drittland oder der betreffenden internationalen Organisation erfolgen und
73
allen maßgeblichen Entwicklungen in dem Drittland oder der internationalen Organisation
Rechnung tragen. Für die Zwecke der Überwachung und der Durchführung der regelmäßigen
Überprüfungen sollte die Kommission die Standpunkte und Feststellungen
des Europäischen Parlaments und des Rates sowie der anderen einschlägigen Stellen und
Quellen berücksichtigen. Die Kommission sollte innerhalb einer angemessenen Frist die
Wirkungsweise der letztgenannten Beschlüsse bewerten und dem durch diese Verordnung
eingesetzten Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011 des Europäischen
Parlaments und des Rates 14sowie dem Europäischen Parlament und dem Rat über alle
maßgeblichen Feststellungen Bericht erstatten.
(107) Die Kommission kann feststellen, dass ein Drittland , ein Gebiet oder ein bestimmter Sektor
eines Drittlands oder eine internationale Organisation kein angemessenes Datenschutzniveau
mehr bietet. Die Übermittlung personenbezogener Daten an dieses Drittland oder an
diese internationale Organisation sollte daraufhin verboten werden, es sei denn, die Anforderungen
dieser Verordnung in Bezug auf die Datenübermittlung vorbehaltlich geeigneter
Garantien, einschließlich verbindlicher interner Datenschutzvorschriften und auf
Ausnahmen für bestimmte Fälle werden erfüllt. In diesem Falle sollten Konsultationen zwischen
der Kommission und den betreffenden Drittländern oder internationalen Organisationen
vorgesehen werden. Die Kommission sollte dem Drittland oder der internationalen
Organisation frühzeitig die Gründe mitteilen und Konsultationen aufnehmen, um Abhilfe
für die Situation zu schaffen.
(108) Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter
als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz
geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese
geeigneten Garantien können darin bestehen, dass auf verbindliche interne Datenschutzvorschriften,
von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln
oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln
zurückgegriffen wird. Diese Garantien sollten sicherstellen, dass die Datenschutzvorschriften
und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union
angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit
von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen
einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche
Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in
der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der
allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze
des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen
14 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen
Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die
Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
74 BfDI – Info 6
beziehen. Datenübermittlungen dürfen auch von Behörden oder öffentlichen Stellen an
Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen
mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage
von Bestimmungen, die in Verwaltungsvereinbarungen – wie beispielsweise einer gemeinsamen
Absichtserklärung –, mit denen den betroffenen Personen durchsetzbare und
wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung der zuständigen
Aufsichtsbehörde sollte erlangt werden, wenn die Garantien in nicht rechtsverbindlichen
Verwaltungsvereinbarungen vorgesehen sind.
(109) Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf
die von der Kommission oder einer Aufsichtsbehörde festgelegten Standard-Datenschutzklauseln
zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder
daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen,
wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen
Auftragsverarbeiter, zu verwenden , noch ihn daran hindern, ihnen weitere Klauseln oder
zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im
Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-
Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen
Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten
ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Schutzklauseln
ergänzen, zusätzliche Garantien zu bieten.
(110) Jede Unternehmensgruppe oder jede Gruppe von Unternehmen, die eine gemeinsame
Wirtschaftstätigkeit ausüben, sollte für ihre internationalen Datenübermittlungen aus
der Union an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, genehmigte verbindliche
interne Datenschutzvorschriften anwenden dürfen, sofern diese sämtliche Grundprinzipien
und durchsetzbaren Rechte enthalten, die geeignete Garantien für die Übermittlungen
beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten.
(111) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich
wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung
gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung
von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen
Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich
ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im
Unionsrecht oder im Recht eines Mitgliedstaats festgelegten wichtigen öffentlichen Interesses
erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen
Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen
werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die
75
Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten
erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit
berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen
oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei
den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu
tragen ist.
(112) Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen
Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen
Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbehörden, zwischen
Finanzaufsichtsbehörden oder zwischen für Angelegenheiten der sozialen Sicherheit oder
für die öffentliche Gesundheit zuständigen Diensten, beispielsweise im Falle der Umgebungsuntersuchung
bei ansteckenden Krankheiten oder zur Verringerung und/oder Beseitigung
des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls
als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für
die lebenswichtigen Interessen – einschließlich der körperlichen Unversehrtheit oder des
Lebens – der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und
die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss
vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus
wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung
bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen
vorgesehen werden. Die Mitgliedstaaten sollten solche Bestimmungen der Kommission
mitteilen. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die
aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen,
an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer
Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten
anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen
Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen
Person liegend erachtet werden.
(113) Übermittlungen, die als nicht wiederholt erfolgend gelten können und nur eine begrenzte
Zahl von betroffenen Personen betreffen, könnten auch zur Wahrung der zwingenden
berechtigten Interessen des Verantwortlichen möglich sein, sofern die Interessen oder
Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche
sämtliche Umstände der Datenübermittlung geprüft hat. Der Verantwortliche sollte insbesondere
die Art der personenbezogenen Daten, den Zweck und die Dauer der vorgesehenen
Verarbeitung, die Situation im Herkunftsland, in dem betreffenden Drittland und
im Endbestimmungsland berücksichtigen und angemessene Garantien zum Schutz der
Grundrechte und Grundfreiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer
personenbezogener Daten vorsehen. Diese Übermittlungen sollten nur in den verblei76
BfDI – Info 6
benden Fällen möglich sein, in denen keiner der anderen Gründe für die Übermittlung anwendbar
ist. Bei wissenschaftlichen oder historischen Forschungszwecken oder bei statistischen
Zwecken sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen
Wissenszuwachs berücksichtigt werden. Der Verantwortliche sollte die Aufsichtsbehörde
und die betroffene Person von der Übermittlung in Kenntnis setzen.
(114) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem
Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der
Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen
durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen
Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie
weiterhin die Grundrechte und Garantien genießen können.
(115) Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben,
die Verarbeitungstätigkeiten natürlicher und juristischer Personen, die der Rechtsprechung
der Mitgliedstaaten unterliegen, unmittelbar zu regeln. Dies kann Urteile von
Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit
denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung
oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft
befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen
dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. Die Anwendung
dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets
der betreffenden Drittländer kann gegen internationales Recht verstoßen und
dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen
zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen
dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies
kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen
Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der
Verantwortliche unterliegt, anerkannt ist.
(116) Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt
werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte
nicht wahrnehmen können und sich insbesondere gegen die unrechtmäßige Nutzung
oder Offenlegung dieser Informationen zu schützen. Ebenso kann es vorkommen, dass
Aufsichtsbehörden Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen
können, die einen Bezug zu Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats
haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch
unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen
und praktische Hindernisse wie Ressourcenknappheit behindert werden. Die Zusammenarbeit
zwischen den Datenschutzaufsichtsbehörden muss daher gefördert werden, damit
77
sie Informationen austauschen und mit den Aufsichtsbehörden in anderen Ländern Untersuchungen
durchführen können. Um Mechanismen der internationalen Zusammenarbeit
zu entwickeln, die die internationale Amtshilfe bei der Durchsetzung von Rechtsvorschriften
zum Schutz personenbezogener Daten erleichtern und sicherstellen, sollten die
Kommission und die Aufsichtsbehörden Informationen austauschen und bei Tätigkeiten,
die mit der Ausübung ihrer Befugnisse in Zusammenhang stehen, mit den zuständigen
Behörden der Drittländer nach dem Grundsatz der Gegenseitigkeit und gemäß dieser Verordnung
zusammenarbeiten.
(117) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben
und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil
des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die
Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer
verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.
(118) Die Tatsache, dass die Aufsichtsbehörden unabhängig sind, sollte nicht bedeuten, dass sie
hinsichtlich ihrer Ausgaben keinem Kontroll- oder Überwachungsmechanismus unterworfen
werden bzw. sie keiner gerichtlichen Überprüfung unterzogen werden können.
(119) Errichtet ein Mitgliedstaat mehrere Aufsichtsbehörden, so sollte er mittels Rechtsvorschriften
sicherstellen, dass diese Aufsichtsbehörden am Kohärenzverfahren wirksam beteiligt
werden. Insbesondere sollte dieser Mitgliedstaat eine Aufsichtsbehörde bestimmen, die
als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Behörden an dem Verfahren
fungiert und eine rasche und reibungslose Zusammenarbeit mit anderen Aufsichtsbehörden,
dem Ausschuss und der Kommission gewährleistet.
(120) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur
ausgestattet werden, wie sie für die wirksame Wahrnehmung ihrer Aufgaben,
einschließlich derer im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen
Aufsichtsbehörden in der gesamten Union, notwendig sind. Jede Aufsichtsbehörde
sollte über einen eigenen, öffentlichen, jährlichen Haushaltsplan verfügen, der Teil des gesamten
Staatshaushalts oder nationalen Haushalts sein kann.
(121) Die allgemeinen Anforderungen an das Mitglied oder die Mitglieder der Aufsichtsbehörde
sollten durch Rechtsvorschriften von jedem Mitgliedstaat geregelt werden und insbesondere
vorsehen, dass diese Mitglieder im Wege eines transparenten Verfahrens entweder
– auf Vorschlag der Regierung, eines Mitglieds der Regierung, des Parlaments oder einer
Parlamentskammer – vom Parlament, der Regierung oder dem Staatsoberhaupt des Mitgliedstaats
oder von einer unabhängigen Stelle ernannt werden, die nach dem Recht des
Mitgliedstaats mit der Ernennung betraut wird. Um die Unabhängigkeit der Aufsichtsbe78
BfDI – Info 6
hörde zu gewährleisten, sollten ihre Mitglieder ihr Amt integer ausüben, von allen mit den
Aufgaben ihres Amts nicht zu vereinbarenden Handlungen absehen und während ihrer
Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche
Tätigkeit ausüben. Die Aufsichtsbehörde sollte über eigenes Personal verfügen, das
sie selbst oder eine nach dem Recht des Mitgliedstaats eingerichtete unabhängige Stelle
auswählt und das ausschließlich der Leitung des Mitglieds oder der Mitglieder der Aufsichtsbehörde
unterstehen sollte.
(122) Jede Aufsichtsbehörde sollte dafür zuständig sein, im Hoheitsgebiet ihres Mitgliedstaats
die Befugnisse auszuüben und die Aufgaben zu erfüllen, die ihr mit dieser Verordnung
übertragen wurden. Dies sollte insbesondere für Folgendes gelten: die Verarbeitung im
Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters
im Hoheitsgebiet ihres Mitgliedstaats, die Verarbeitung personenbezogener
Daten durch Behörden oder private Stellen, die im öffentlichen Interesse handeln, Verarbeitungstätigkeiten,
die Auswirkungen auf betroffene Personen in ihrem Hoheitsgebiet
haben, oder Verarbeitungstätigkeiten eines Verantwortlichen oder Auftragsverarbeiters
ohne Niederlassung in der Union, sofern sie auf betroffene Personen mit Wohnsitz in ihrem
Hoheitsgebiet ausgerichtet sind. Dies sollte auch die Bearbeitung von Beschwerden
einer betroffenen Person, die Durchführung von Untersuchungen über die Anwendung
dieser Verordnung sowie die Förderung der Information der Öffentlichkeit über Risiken,
Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener
Daten einschließen.
(123) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung
überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen,
um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und
den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem
Zweck sollten die Aufsichtsbehörden untereinander und mit der Kommission zusammenarbeiten,
ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung
von Amtshilfe oder über eine derartige Zusammenarbeit erforderlich wäre.
(124) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit
einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union
statt und hat der Verantwortliche oder der Auftragsverarbeiter Niederlassungen in mehr
als einem Mitgliedstaat oder hat die Verarbeitungstätigkeit im Zusammenhang mit der Tätigkeit
einer einzigen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in
der Union erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat
bzw. wird sie voraussichtlich solche Auswirkungen haben, so sollte die Aufsichtsbehörde
für die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder
für die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als feder79
führende Behörde fungieren. Sie sollte mit den anderen Behörden zusammenarbeiten, die
betroffen sind, weil der Verantwortliche oder Auftragsverarbeiter eine Niederlassung im
Hoheitsgebiet ihres Mitgliedstaats hat, weil die Verarbeitung erhebliche Auswirkungen
auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet hat oder weil bei ihnen eine
Beschwerde eingelegt wurde. Auch wenn eine betroffene Person ohne Wohnsitz in dem
betreffenden Mitgliedstaat eine Beschwerde eingelegt hat, sollte die Aufsichtsbehörde,
bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbehörde sein. Der Ausschuss
sollte – im Rahmen seiner Aufgaben in Bezug auf die Herausgabe von Leitlinien zu
allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung – insbesondere
Leitlinien zu den Kriterien ausgeben können, die bei der Feststellung zu berücksichtigen
sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen
in mehr als einem Mitgliedstaat hat und was einen maßgeblichen und begründeten Einspruch
darstellt.
(125) Die federführende Behörde sollte berechtigt sein, verbindliche Beschlüsse über Maßnahmen
zu erlassen, mit denen die ihr gemäß dieser Verordnung übertragenen Befugnisse
ausgeübt werden. In ihrer Eigenschaft als federführende Behörde sollte diese Aufsichtsbehörde
für die enge Einbindung und Koordinierung der betroffenen Aufsichtsbehörden im
Entscheidungsprozess sorgen. Wird beschlossen, die Beschwerde der betroffenen Person
vollständig oder teilweise abzuweisen, so sollte dieser Beschluss von der Aufsichtsbehörde
angenommen werden, bei der die Beschwerde eingelegt wurde.
(126) Der Beschluss sollte von der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden
gemeinsam vereinbart werden und an die Hauptniederlassung oder die
einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters gerichtet sein und
für den Verantwortlichen und den Auftragsverarbeiter verbindlich sein. Der Verantwortliche
oder Auftragsverarbeiter sollte die erforderlichen Maßnahmen treffen, um die Einhaltung
dieser Verordnung und die Umsetzung des Beschlusses zu gewährleisten, der der
Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters im Hinblick auf die
Verarbeitungstätigkeiten in der Union von der federführenden Aufsichtsbehörde mitgeteilt
wurde.
(127) Jede Aufsichtsbehörde, die nicht als federführende Aufsichtsbehörde fungiert, sollte in
örtlichen Fällen zuständig sein, wenn der Verantwortliche oder Auftragsverarbeiter Niederlassungen
in mehr als einem Mitgliedstaat hat, der Gegenstand der spezifischen Verarbeitung
aber nur die Verarbeitungstätigkeiten in einem einzigen Mitgliedstaat und nur
betroffene Personen in diesem einen Mitgliedstaat betrifft, beispielsweise wenn es um die
Verarbeitung von personenbezogenen Daten von Arbeitnehmern im spezifischen Beschäftigungskontext
eines Mitgliedstaats geht. In solchen Fällen sollte die Aufsichtsbehörde unverzüglich
die federführende Aufsichtsbehörde über diese Angelegenheit unterrichten.
80 BfDI – Info 6
Nach ihrer Unterrichtung sollte die federführende Aufsichtsbehörde entscheiden, ob sie
den Fall nach den Bestimmungen zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde
und anderen betroffenen Aufsichtsbehörden gemäß der Vorschrift zur Zusammenarbeit
zwischen der federführenden Aufsichtsbehörde und anderen betroffenen
Aufsichtsbehörden (im Folgenden „Verfahren der Zusammenarbeit und Kohärenz“) regelt
oder ob die Aufsichtsbehörde, die sie unterrichtet hat, den Fall auf örtlicher Ebene regeln
sollte. Dabei sollte die federführende Aufsichtsbehörde berücksichtigen, ob der Verantwortliche
oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie
unterrichtet hat, eine Niederlassung hat, damit Beschlüsse gegenüber dem Verantwortlichen
oder dem Auftragsverarbeiter wirksam durchgesetzt werden. Entscheidet die federführende
Aufsichtsbehörde, den Fall selbst zu regeln, sollte die Aufsichtsbehörde, die sie
unterrichtet hat, die Möglichkeit haben, einen Beschlussentwurf vorzulegen, dem die federführende
Aufsichtsbehörde bei der Ausarbeitung ihres Beschlussentwurfs im Rahmen
dieses Verfahrens der Zusammenarbeit und Kohärenz weitestgehend Rechnung tragen
sollte.
(128) Die Vorschriften über die federführende Behörde und das Verfahren der Zusammenarbeit
und Kohärenz sollten keine Anwendung finden, wenn die Verarbeitung durch Behörden
oder private Stellen im öffentlichen Interesse erfolgt. In diesen Fällen sollte die Aufsichtsbehörde
des Mitgliedstaats, in dem die Behörde oder private Einrichtung ihren Sitz hat, die
einzige Aufsichtsbehörde sein, die dafür zuständig ist, die Befugnisse auszuüben, die ihr
mit dieser Verordnung übertragen wurden.
(129) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten
Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben
Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden
natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse
und Genehmigungsbefugnisse und beratende Befugnisse, sowie – unbeschadet
der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die
Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen
und Gerichtsverfahren anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende
oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots,
zu verhängen. Die Mitgliedstaaten können andere Aufgaben im Zusammenhang mit dem
Schutz personenbezogener Daten im Rahmen dieser Verordnung festlegen. Die Befugnisse
der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien
nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht
und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme
im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet,
erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu
berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine indivi81
duelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte,
zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen
zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu
Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht
der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen
Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte
schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die
die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten
angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen
Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung
für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf
enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten
nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus,
dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich
überprüft werden kann.
(130) Ist die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, nicht die federführende
Aufsichtsbehörde, so sollte die federführende Aufsichtsbehörde gemäß den Bestimmungen
dieser Verordnung über Zusammenarbeit und Kohärenz eng mit der Aufsichtsbehörde
zusammenarbeiten, bei der die Beschwerde eingereicht wurde. In solchen Fällen
sollte die federführende Aufsichtsbehörde bei Maßnahmen, die rechtliche Wirkungen
entfalten sollen, unter anderem bei der Verhängung von Geldbußen, den Standpunkt der
Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde und die weiterhin befugt sein
sollte, in Abstimmung mit der zuständigen Aufsichtsbehörde Untersuchungen im Hoheitsgebiet
ihres eigenen Mitgliedstaats durchzuführen, weitestgehend berücksichtigen.
(131) Wenn eine andere Aufsichtsbehörde als federführende Aufsichtsbehörde für die Verarbeitungstätigkeiten
des Verantwortlichen oder des Auftragsverarbeiters fungieren sollte, der
konkrete Gegenstand einer Beschwerde oder der mögliche Verstoß jedoch nur die Verarbeitungstätigkeiten
des Verantwortlichen oder des Auftragsverarbeiters in dem Mitgliedstaat
betrifft, in dem die Beschwerde eingereicht wurde oder der mögliche Verstoß aufgedeckt
wurde, und die Angelegenheit keine erheblichen Auswirkungen auf betroffene
Personen in anderen Mitgliedstaaten hat oder haben dürfte, sollte die Aufsichtsbehörde,
bei der eine Beschwerde eingereicht wurde oder die Situationen, die mögliche Verstöße
gegen diese Verordnung darstellen, aufgedeckt hat bzw. auf andere Weise darüber informiert
wurde, versuchen, eine gütliche Einigung mit dem Verantwortlichen zu erzielen;
falls sich dies als nicht erfolgreich erweist, sollte sie die gesamte Bandbreite ihrer Befugnisse
wahrnehmen. Dies sollte auch Folgendes umfassen: die spezifische Verarbeitung im Hoheitsgebiet
des Mitgliedstaats der Aufsichtsbehörde oder im Hinblick auf betroffene Personen
im Hoheitsgebiet dieses Mitgliedstaats; die Verarbeitung im Rahmen eines Angebots
82 BfDI – Info 6
von Waren oder Dienstleistungen, das speziell auf betroffene Personen im Hoheitsgebiet
des Mitgliedstaats der Aufsichtsbehörde ausgerichtet ist; oder eine Verarbeitung, die unter
Berücksichtigung der einschlägigen rechtlichen Verpflichtungen nach dem Recht der
Mitgliedstaaten bewertet werden muss.
(132) Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden
sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die
Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen,
und an natürliche Personen, insbesondere im Bildungsbereich, richten.
(133) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen
und Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung dieser
Verordnung im Binnenmarkt gewährleistet ist. Eine Aufsichtsbehörde, die um Amtshilfe
ersucht hat, kann eine einstweilige Maßnahme erlassen, wenn sie nicht binnen eines Monats
nach Eingang des Amtshilfeersuchens bei der ersuchten Aufsichtsbehörde eine Antwort
von dieser erhalten hat.
(134) Jede Aufsichtsbehörde sollte gegebenenfalls an gemeinsamen Maßnahmen von anderen
Aufsichtsbehörden teilnehmen. Die ersuchte Aufsichtsbehörde sollte auf das Ersuchen
binnen einer bestimmten Frist antworten müssen.
(135) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen,
sollte ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenzverfahren)
für die Zusammenarbeit zwischen den Aufsichtsbehörden eingeführt werden. Dieses
Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde
beabsichtigt, eine Maßnahme zu erlassen, die rechtliche Wirkungen in Bezug auf
Verarbeitungsvorgänge entfalten soll, die für eine bedeutende Zahl betroffener Personen
in mehreren Mitgliedstaaten erhebliche Auswirkungen haben. Ferner sollte es zur Anwendung
kommen, wenn eine betroffene Aufsichtsbehörde oder die Kommission beantragt,
dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Dieses Verfahren
sollte andere Maßnahmen, die die Kommission möglicherweise in Ausübung ihrer
Befugnisse nach den Verträgen trifft, unberührt lassen.
(136) Bei Anwendung des Kohärenzverfahrens sollte der Ausschuss, falls von der Mehrheit seiner
Mitglieder so entschieden wird oder falls eine andere betroffene Aufsichtsbehörde
oder die Kommission darum ersuchen, binnen einer festgelegten Frist eine Stellungnahme
abgeben. Dem Ausschuss sollte auch die Befugnis übertragen werden, bei Streitigkeiten
zwischen Aufsichtsbehörden rechtsverbindliche Beschlüsse zu erlassen. Zu diesem Zweck
sollte er in klar bestimmten Fällen, in denen die Aufsichtsbehörden insbesondere im Rahmen
des Verfahrens der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde
83
und den betroffenen Aufsichtsbehörden widersprüchliche Standpunkte zu dem Sachverhalt,
vor allem in der Frage, ob ein Verstoß gegen diese Verordnung vorliegt, vertreten,
grundsätzlich mit einer Mehrheit von zwei Dritteln seiner Mitglieder rechtsverbindliche
Beschlüsse erlassen.
(137) Es kann dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen
Personen bestehen, insbesondere wenn eine erhebliche Behinderung der Durchsetzung
des Rechts einer betroffenen Person droht. Eine Aufsichtsbehörde sollte daher hinreichend
begründete einstweilige Maßnahmen in ihrem Hoheitsgebiet mit einer festgelegten
Geltungsdauer von höchstens drei Monaten erlassen können.
(138) Die Anwendung dieses Verfahrens sollte in den Fällen, in denen sie verbindlich vorgeschrieben
ist, eine Bedingung für die Rechtmäßigkeit einer Maßnahme einer Aufsichtsbehörde
sein, die rechtliche Wirkungen entfalten soll. In anderen Fällen von grenzüberschreitender
Relevanz sollte das Verfahren der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde
und den betroffenen Aufsichtsbehörden zur Anwendung gelangen, und die
betroffenen Aufsichtsbehörden können auf bilateraler oder multilateraler Ebene Amtshilfe
leisten und gemeinsame Maßnahmen durchführen, ohne auf das Kohärenzverfahren
zurückzugreifen.
(139) Zur Förderung der einheitlichen Anwendung dieser Verordnung sollte der Ausschuss als
unabhängige Einrichtung der Union eingesetzt werden. Damit der Ausschuss seine Ziele
erreichen kann, sollte er Rechtspersönlichkeit besitzen. Der Ausschuss sollte von seinem
Vorsitz vertreten werden. Er sollte die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe
für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten
ersetzen. Er sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem
Europäischen Datenschutzbeauftragten oder deren jeweiligen Vertretern gebildet werden. An
den Beratungen des Ausschusses sollte die Kommission ohne Stimmrecht und der
Europäische Datenschutzbeauftragte sollte spezifische Stimmrechte haben. Der Ausschuss
sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die
Kommission insbesondere im Hinblick auf das Schutzniveau in Drittländern oder internationalen
Organisationen beraten und die Zusammenarbeit der Aufsichtsbehörden in der
Union fördern. Der Ausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln.
(140) Der Ausschusssollte von einem Sekretariat unterstützt werden, das von dem Europäischen
Datenschutzbeauftragten bereitgestellt wird. Das Personal des Europäischen Datenschutzbeauftragten,
das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung
übertragenen Aufgaben beteiligt ist, sollte diese Aufgaben ausschließlich gemäß den Anweisungen
des Vorsitzes des Ausschusses durchführen und diesem Bericht erstatten.
84 BfDI – Info 6
(141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere
in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen
und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen,
wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn
die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise
oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte
der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung
sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen
ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen
Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten
weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde erforderlich
sein, sollte die betroffene Person über den Zwischenstand informiert werden. Jede
Aufsichtsbehörde sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden
treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt
werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
(142) Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen,
sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen,
Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige
Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener
Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde
oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in
Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten
können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände
das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden
Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen
gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass
die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung
stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder
Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet werden,
im Namen einer betroffenen Person Schadenersatz zu verlangen.
(143) Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV genannten
Voraussetzungen beim Gerichtshof eine Klage auf Nichtigerklärung eines Beschlusses des
Ausschusses zu erheben. Als Adressaten solcher Beschlüsse müssen die betroffenen Aufsichtsbehörden,
die diese Beschlüsse anfechten möchten, binnen zwei Monaten nach deren Übermittlung
gemäß Artikel 263 AEUV Klage erheben. Sofern Beschlüsse des Ausschusses einen
Verantwortlichen, einen Auftragsverarbeiter oder den Beschwerdeführer unmittelbar und
individuell betreffen, so können diese Personen binnen zwei Monaten nach Veröffentlichung
der betreffenden Beschlüsse auf der Website des Ausschusses im Einklang mit Artikel 263 AEUV
85
eine Klage auf Nichtigerklärung erheben. Unbeschadet dieses Rechts nach Artikel 263 AEUV
sollte jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen
Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer
Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger
Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen
durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung
von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch
nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene
Stellungnahmen oder Empfehlungen. Verfahren gegen eine Aufsichtsbehörde sollten bei den
Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat,
und sollten im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit,
sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu
prüfen, einschließt. Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder abgewiesen,
kann der Beschwerdeführer Klage bei den Gerichten desselben Mitgliedstaats erheben. .
Im Zusammenhang mit gerichtlichen Rechtsbehelfen in Bezug auf die Anwendung dieser
Verordnung können einzelstaatliche Gerichte, die eine Entscheidung über diese Frage für
erforderlich halten, um ihr Urteil erlassen zu können, bzw. müssen einzelstaatliche Gerichte
in den Fällen nach Artikel 267 AEUV den Gerichtshof um eine Vorabentscheidung zur
Auslegung des Unionsrechts – das auch diese Verordnung einschließt – ersuchen. Wird darüber
hinaus der Beschluss einer Aufsichtsbehörde zur Umsetzung eines Beschlusses des
Ausschusses vor einem einzelstaatlichen Gericht angefochten und wird die Gültigkeit des
Beschlusses des Ausschusses in Frage gestellt, so hat dieses einzelstaatliche Gericht nicht
die Befugnis, den Beschluss des Ausschusses für nichtig zu erklären, sondern es muss im
Einklang mit Artikel 267 AEUV in der Auslegung des Gerichtshofs den Gerichtshof mit der
Frage der Gültigkeit befassen, wenn es den Beschluss für nichtig hält. Allerdings darf ein
einzelstaatliches Gericht den Gerichtshof nicht auf Anfrage einer natürlichen oder juristischen
Person mit Fragen der Gültigkeit des Beschlusses des Ausschusses befassen, wenn
diese Person Gelegenheit hatte, eine Klage auf Nichtigerklärung dieses Beschlusses zu erheben
– insbesondere wenn sie unmittelbar und individuell von dem Beschluss betroffen
war –, diese Gelegenheit jedoch nicht innerhalb der Frist gemäß Artikel 263 AEUV genutzt
hat.
(144) Hat ein mit einem Verfahren gegen die Entscheidung einer Aufsichtsbehörde befasstes
Gericht Anlass zu der Vermutung, dass ein dieselbe Verarbeitung betreffendes Verfahren
– etwa zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben
Verantwortlichen oder Auftragsverarbeiter oder wegen desselben Anspruchs – vor einem
zuständigen Gericht in einem anderen Mitgliedstaat anhängig ist, so sollte es mit diesem
Gericht Kontakt aufnehmen, um sich zu vergewissern, dass ein solches verwandtes Verfahren
existiert. Sind verwandte Verfahren vor einem Gericht in einem anderen Mitgliedstaat
86 BfDI – Info 6
anhängig, so kann jedes später angerufene Gericht das Verfahren aussetzen oder sich auf
Anfrage einer Partei auch zugunsten des zuerst angerufenen Gerichts für unzuständig erklären,
wenn dieses später angerufene Gericht für die betreffenden Verfahren zuständig
ist und die Verbindung von solchen verwandten Verfahren nach seinem Recht zulässig ist. Verfahren gelten als miteinander verwandt, wenn zwischen ihnen eine so enge Beziehung
gegeben ist, dass eine gemeinsame Verhandlung und Entscheidung geboten erscheint,
um zu vermeiden, dass in getrennten Verfahren einander widersprechende Entscheidungen
ergehen.
(145) Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen
bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der Verantwortliche
oder der Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die
betroffene Person ihren Aufenthaltsort hat; dies gilt nicht, wenn es sich bei dem Verantwortlichen
um eine Behörde eines Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen
Befugnisse tätig geworden ist.
(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund
einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht,
ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit
werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich
ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf
eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang
entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen
gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer
Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch
eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen
delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften
der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung
im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen
Schadenersatz für den erlittenen Schaden erhalten. Sind Verantwortliche oder Auftragsverarbeiter
an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter
für den gesamten Schaden haftbar gemacht werden. Werden sie jedoch
nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so
können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die
jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen
Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen
vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. Jeder Verantwortliche
oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann
anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte
Verantwortliche oder Auftragsverarbeiter anstrengen.
87
(147) Soweit in dieser Verordnung spezifische Vorschriften über die Gerichtsbarkeit – insbesondere
in Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschließlich
Schadenersatz gegen einen Verantwortlichen oder Auftragsverarbeiter – enthalten
sind, sollten die allgemeinen Vorschriften über die Gerichtsbarkeit, wie sie etwa in der Verordnung
(EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates15 enthalten sind,
der Anwendung dieser spezifischen Vorschriften nicht entgegenstehen.
(148) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten
bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die
die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen
Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren
Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige
Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße
eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen
werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes,
den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit
oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der
Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder
Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln
und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von
Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben,
die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des
Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.
(149) Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen für Verstöße gegen diese Verordnung,
auch für Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung
erlassene nationale Vorschriften, festlegen können. Diese strafrechtlichen Sanktionen
können auch die Einziehung der durch die Verstöße gegen diese Verordnung erzielten
Gewinne ermöglichen. Die Verhängung von strafrechtlichen Sanktionen für Verstöße
gegen solche nationalen Vorschriften und von verwaltungsrechtlichen Sanktionen sollte
jedoch nicht zu einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof
ausgelegt worden ist, führen.
(150) Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu
vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt
sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die
Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung ge-
15 Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche
Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. L 351 vom
20.12.2012, S. 1).
88 BfDI – Info 6
nannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem
Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art,
Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen
worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen
zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen
sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der
Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden
Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte
die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem
allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen
Lage der Personen Rechnung tragen. Das Kohärenzverfahren kann auch genutzt werden,
um eine kohärente Anwendung von Geldbußen zu fördern. Die Mitgliedstaaten sollten
bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden
können. Auch wenn die Aufsichtsbehörden bereits Geldbußen verhängt oder eine Verwarnung
erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen
nach Maßgabe dieser Verordnung verhängen.
(151) Nach den Rechtsordnungen Dänemarks und Estlands sind die in dieser Verordnung vorgesehenen
Geldbußen nicht zulässig. Die Vorschriften über die Geldbußen können so angewandt
werden, dass die Geldbuße in Dänemark durch die zuständigen nationalen Gerichte
als Strafe und in Estland durch die Aufsichtsbehörde im Rahmen eines Verfahrens bei Vergehen
verhängt wird, sofern eine solche Anwendung der Vorschriften in diesen Mitgliedstaaten
die gleiche Wirkung wie die von den Aufsichtsbehörden verhängten Geldbußen
hat. Daher sollten die zuständigen nationalen Gerichte die Empfehlung der Aufsichtsbehörde,
die die Geldbuße in die Wege geleitet hat, berücksichtigen. In jeden Fall sollten die
verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein.
(152) Soweit diese Verordnung verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn
es in anderen Fällen – beispielsweise bei schweren Verstößen gegen diese Verordnung – erforderlich
ist, sollten die Mitgliedstaaten eine Regelung anwenden, die wirksame, verhältnismäßige
und abschreckende Sanktionen vorsieht. Es sollte im Recht der Mitgliedstaaten
geregelt werden, ob diese Sanktionen strafrechtlicher oder verwaltungsrechtlicher Art
sind.
(153) Im Recht der Mitgliedstaaten sollten die Vorschriften über die freie Meinungsäußerung
und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder
Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser
Verordnung in Einklang gebracht werden. Für die Verarbeitung personenbezogener Daten
ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen
oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vor89
schriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz
der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und
Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen
Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten
daher Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen,
die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen
Grundsätze, die Rechte der betroffenen Person, den Verantwortlichen und den
Auftragsverarbeiter, die Übermittlung von personenbezogenen Daten an Drittländer oder
an internationale Organisationen, die unabhängigen Aufsichtsbehörden, die Zusammenarbeit
und Kohärenz und besondere Datenverarbeitungssituationen erlassen. Sollten diese
Abweichungen oder Ausnahmen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein,
sollte das Recht des Mitgliedstaats angewendet werden, dem der Verantwortliche unterliegt. Um
der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen
Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit
beziehen, weit ausgelegt werden.
(154) Diese Verordnung ermöglicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs
der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Der Zugang der Öffentlichkeit
zu amtlichen Dokumenten kann als öffentliches Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen
Stelle befinden, sollten von dieser Behörde oder Stelle öffentlich offengelegt
werden können, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie
unterliegt, vorgesehen ist. Diese Rechtsvorschriften sollten den Zugang der Öffentlichkeit
zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen
Sektors mit dem Recht auf Schutz personenbezogener Daten in Einklang bringen und
können daher die notwendige Übereinstimmung mit dem Recht auf Schutz personenbezogener
Daten gemäß dieser Verordnung regeln. Die Bezugnahme auf Behörden und öffentliche
Stellen sollte in diesem Kontext sämtliche Behörden oder sonstigen Stellen beinhalten,
die vom Recht des jeweiligen Mitgliedstaats über den Zugang der Öffentlichkeit zu
Dokumenten erfasst werden. Die Richtlinie 2003/98/EG des Europäischen Parlaments und
des Rates16 lässt das Schutzniveau für natürliche Personen in Bezug auf die Verarbeitung
personenbezogener Daten gemäß den Bestimmungen des Unionsrechts und des Rechts
der Mitgliedstaaten unberührt und beeinträchtigt diesen in keiner Weise, und sie bewirkt
insbesondere keine Änderung der in dieser Verordnung dargelegten Rechte und Pflichten. Insbesondere
sollte die genannte Richtlinie nicht für Dokumente gelten, die nach den
Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener
16 Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von
Informationen des öffentlichen Sektors (ABl. L 345 vom 31.12.2003, S. 90).
90 BfDI – Info 6
Daten nicht oder nur eingeschränkt zugänglich sind, oder für Teile von Dokumenten, die
nach diesen Regelungen zugänglich sind, wenn sie personenbezogene Daten enthalten,
deren Weiterverwendung durch Rechtsvorschriften als nicht mit dem Recht über den
Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar
anzusehen ist.
(155) Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich ‚Betriebsvereinbarungen‘)
können spezifische Vorschriften für die Verarbeitung personenbezogener
Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insbesondere
Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext
auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden
dürfen, über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des
Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen
festgelegten Pflichten, des Managements, der Planung und der Organisation
der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und
Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung
zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und
für Zwecke der Beendigung des Beschäftigungsverhältnisses.
(156) Die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke,
zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen
Zwecken sollte geeigneten Garantien für die Rechte und Freiheiten der betroffenen
Person gemäß dieser Verordnung unterliegen. Mit diesen Garantien sollte sichergestellt
werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere
der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung
personenbezogener Daten zu im öffentlichen Interesse liegende Archivzwecken, zu
wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken
erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke
durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von
betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Garantien
bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die
Mitgliedstaaten sollten geeignete Garantien in Bezug auf die Verarbeitung personenbezogener
Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen
oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen. Es sollte
den Mitgliedstaaten erlaubt sein, unter bestimmten Bedingungen und vorbehaltlich geeigneter
Garantien für die betroffenen Personen Präzisierungen und Ausnahmen in Bezug
auf die Informationsanforderungen sowie der Rechte auf Berichtigung, Löschung, Vergessenwerden,
zur Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf
Widerspruch bei der Verarbeitung personenbezogener Daten zu im öffentlichen Interesse
liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken
91
oder zu statistischen Zwecken vorzusehen. Im Rahmen der betreffenden Bedingungen
und Garantien können spezifische Verfahren für die Ausübung dieser Rechte durch die
betroffenen Personen vorgesehen sein – sofern dies angesichts der mit der spezifischen
Verarbeitung verfolgten Zwecke angemessen ist – sowie technische und organisatorische
Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten im Hinblick
auf die Grundsätze der Verhältnismäßigkeit und der Notwendigkeit. Die Verarbeitung personenbezogener
Daten zu wissenschaftlichen Zwecken sollte auch anderen einschlägigen
Rechtsvorschriften, beispielsweise für klinische Prüfungen, genügen.
(157) Durch die Verknüpfung von Informationen aus Registern können Forscher neue Erkenntnisse
von großem Wert in Bezug auf weit verbreiteten Krankheiten wie Herz-Kreislauferkrankungen,
Krebs und Depression erhalten. Durch die Verwendung von Registern
können bessere Forschungsergebnisse erzielt werden, da sie auf einen größeren Bevölkerungsanteil
gestützt sind. Im Bereich der Sozialwissenschaften ermöglicht die Forschung
anhand von Registern es den Forschern, entscheidende Erkenntnisse über den langfristigen
Zusammenhang einer Reihe sozialer Umstände zu erlangen, wie Arbeitslosigkeit und
Bildung mit anderen Lebensumständen. Durch Register erhaltene Forschungsergebnisse
bieten solide, hochwertige Erkenntnisse, die die Basis für die Erarbeitung und Umsetzung
wissensgestützter politischer Maßnahmen darstellen, die Lebensqualität zahlreicher Menschen
verbessern und die Effizienz der Sozialdienste verbessern können. Zur Erleichterung
der wissenschaftlichen Forschung können daher personenbezogene Daten zu wissenschaftlichen
Forschungszwecken verarbeitet werden, wobei sie angemessenen Bedingungen
und Garantien unterliegen, die im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt
sind.
(158) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu Archivzwecken
gelten, wobei darauf hinzuweisen ist, dass die Verordnung nicht für verstorbene
Personen gelten sollte. Behörden oder öffentliche oder private Stellen, die Aufzeichnungen
von öffentlichem Interesse führen, sollten gemäß dem Unionsrecht oder dem
Recht der Mitgliedstaaten rechtlich verpflichtet sein, Aufzeichnungen von bleibendem
Wert für das allgemeine öffentliche Interesse zu erwerben, zu erhalten, zu bewerten, aufzubereiten,
zu beschreiben, mitzuteilen, zu fördern, zu verbreiten sowie Zugang dazu bereitzustellen. Es
sollte den Mitgliedstaaten ferner erlaubt sein vorzusehen, dass personenbezogene
Daten zu Archivzwecken weiterverarbeitet werden, beispielsweise im Hinblick
auf die Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen
Verhalten unter ehemaligen totalitären Regimen, Völkermord, Verbrechen gegen die
Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen.
(159) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu wissenschaftlichen
Forschungszwecken gelten. Die Verarbeitung personenbezogener Daten
92 BfDI – Info 6
zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt
werden und die Verarbeitung für beispielsweise die technologische Entwicklung
und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die
privat finanzierte Forschung einschließen. Darüber hinaus sollte sie dem in Artikel 179 Absatz
1 AEUV festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen,
Rechnung tragen. Die wissenschaftlichen Forschungszwecke sollten auch Studien umfassen,
die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt
werden. Um den Besonderheiten der Verarbeitung personenbezogener Daten zu wissenschaftlichen
Forschungszwecken zu genügen, sollten spezifische Bedingungen insbesondere
hinsichtlich der Veröffentlichung oder sonstigen Offenlegung personenbezogener
Daten im Kontext wissenschaftlicher Zwecke gelten. Geben die Ergebnisse wissenschaftlicher
Forschung insbesondere im Gesundheitsbereich Anlass zu weiteren Maßnahmen im
Interesse der betroffenen Person, sollten die allgemeinen Vorschriften dieser Verordnung
für diese Maßnahmen gelten.
(160) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu historischen
Forschungszwecken gelten. Dazu sollte auch historische Forschung und Forschung
im Bereich der Genealogie zählen, wobei darauf hinzuweisen ist, dass diese Verordnung
nicht für verstorbene Personen gelten sollte.
(161) Für die Zwecke der Einwilligung in die Teilnahme an wissenschaftlichen Forschungstätigkeiten
im Rahmen klinischer Prüfungen sollten die einschlägigen Bestimmungen der Verordnung
(EU) Nr. 536/2014 des Europäischen Parlaments und des Rates17 gelten.
(162) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu statistischen
Zwecken gelten. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte in den
Grenzen dieser Verordnung den statistischen Inhalt, die Zugangskontrolle, die Spezifikationen
für die Verarbeitung personenbezogener Daten zu statistischen Zwecken und geeignete
Maßnahmen zur Sicherung der Rechte und Freiheiten der betroffenen Personen
und zur Sicherstellung der statistischen Geheimhaltung bestimmen. Unter dem Begriff
„statistische Zwecke“ ist jeder für die Durchführung statistischer Untersuchungen und
die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung
personenbezogener Daten zu verstehen. Diese statistischen Ergebnisse können für
verschiedene Zwecke, so auch für wissenschaftliche Forschungszwecke, weiterverwendet
werden. Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass die
Ergebnisse der Verarbeitung zu statistischen Zwecken keine personenbezogenen Daten,
sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten
17 Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen
mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung für den EWR (ABl. L 158 vom
27.5.2014, S. 1).
93
nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen
verwendet werden.
(163) Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten
zur Erstellung der amtlichen europäischen und der amtlichen nationalen
Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang
mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt,
erstellt und verbreitet werden, wobei die nationalen Statistiken auch mit dem Recht
der Mitgliedstaaten übereinstimmen müssen. Die Verordnung (EG) Nr. 223/2009 des Europäischen
Parlaments und des Rates18 enthält genauere Bestimmungen zur Vertraulichkeit
europäischer Statistiken.
(164) Hinsichtlich der Befugnisse der Aufsichtsbehörden, von dem Verantwortlichen oder vom
Auftragsverarbeiter Zugang zu personenbezogenen Daten oder zu seinen Räumlichkeiten
zu erlangen, können die Mitgliedstaaten in den Grenzen dieser Verordnung den Schutz
des Berufsgeheimnisses oder anderer gleichwertiger Geheimhaltungspflichten durch
Rechtsvorschriften regeln, soweit dies notwendig ist, um das Recht auf Schutz der personenbezogenen
Daten mit einer Pflicht zur Wahrung des Berufsgeheimnisses in Einklang
zu bringen. Dies berührt nicht die bestehenden Verpflichtungen der Mitgliedstaaten zum
Erlass von Vorschriften über das Berufsgeheimnis, wenn dies aufgrund des Unionsrechts
erforderlich ist.
(165) Im Einklang mit Artikel 17 AEUV achtet diese Verordnung den Status, den Kirchen und religiöse
Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden
verfassungsrechtlichen Vorschriften genießen, und beeinträchtigt ihn nicht.
(166) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten
natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen
Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der
Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß
Artikel 290 AEUV Rechtsakte zu erlassen. Delegierte Rechtsakte sollten insbesondere in
Bezug auf die für Zertifizierungsverfahren geltenden Kriterien und Anforderungen, die
durch standardisierte Bildsymbole darzustellenden Informationen und die Verfahren für
die Bereitstellung dieser Bildsymbole erlassen werden. Es ist von besonderer Bedeutung,
dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen,
18 Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken
und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung
von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften,
der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG,
Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).
94 BfDI – Info 6
auch auf der Ebene von Sachverständigen, durchführt. Bei der Vorbereitung und Ausarbeitung
delegierter Rechtsakte sollte die Kommission gewährleisten, dass die einschlägigen
Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und auf
angemessene Weise übermittelt werden.
(167) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung
sollten der Kommission Durchführungsbefugnisse übertragen werden, wenn dies in dieser
Verordnung vorgesehen ist. Diese Befugnisse sollten nach Maßgabe der Verordnung
(EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden. In diesem
Zusammenhang sollte die Kommission besondere Maßnahmen für Kleinstunternehmen
sowie kleine und mittlere Unternehmen erwägen.
(168) Für den Erlass von Durchführungsrechtsakten bezüglich Standardvertragsklauseln für
Verträge zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern;
Verhaltensregeln; technische Standards und Verfahren für die Zertifizierung;
Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland ,
einem Gebiet oder bestimmten Sektor dieses Drittlands oder in einer internationalen Organisation;
Standardschutzklauseln; Formate und Verfahren für den Informationsaustausch
zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden im Hinblick auf
verbindliche interne Datenschutzvorschriften; Amtshilfe; sowie Vorkehrungen für den
elektronischen Informationsaustausch zwischen Aufsichtsbehörden und zwischen Aufsichtsbehörden
und dem Ausschuss sollte das Prüfverfahren angewandt werden.
(169) Die Kommission sollte sofort geltende Durchführungsrechtsakte erlassen, wenn anhand
vorliegender Beweise festgestellt wird, dass ein Drittland , ein Gebiet oder ein bestimmter
Sektor in diesem Drittland oder eine internationale Organisation kein angemessenes
Schutzniveau gewährleistet, und dies aus Gründen äußerster Dringlichkeit erforderlich ist.
(170) Da das Ziel dieser Verordnung, nämlich die Gewährleistung eines gleichwertigen Datenschutzniveaus
für natürliche Personen und des freien Verkehrs personenbezogener Daten
in der Union, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern
vielmehr wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene
besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags
über die Europäische Union (EUV) verankerten Subsidiaritätsprinzip tätig werden. Entsprechend
dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht
diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.
(171) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Verarbeitungen,
die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben,
95
sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in
Einklang gebracht werden. Beruhen die Verarbeitungen auf einer Einwilligung gemäß
der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre
Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen
dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem
Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie
95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen
der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben
werden.
(172) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung
(EG) Nr. 45/2001 konsultiert und hat am 7. März 201219 eine Stellungnahme abgegeben.
(173) Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten
bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates20 bestimmte Pflichten,
die dasselbe Ziel verfolgen, unterliegen, einschließlich der Pflichten des Verantwortlichen
und der Rechte natürlicher Personen. Um das Verhältnis zwischen der vorliegenden Verordnung
und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend
geändert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/
EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung
zu gewährleisten –
HABEN FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Ziele
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Verkehr solcher Daten.
19 ABl . C 192 vom 30.6.2012, S. 7.
20 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener
Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische
Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
96 BfDI – Info 6
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und
insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes
natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt
noch verboten werden.
Artikel 2
Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener
Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten,
die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts
fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich
von Titel V Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer
Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung
oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich
des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter
und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG)
Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener
Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der
vorliegenden Verordnung angepasst.
(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell
die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler
unberührt.
97
Artikel 3
Räumlicher Anwendungsbereich
(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten,
soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder
eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in
der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von
betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen
Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung
im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig
davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der
Union erfolgt.
(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten
durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund
Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar
wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten,
zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert
werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten
wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung
oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung
durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
98 BfDI – Info 6
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten
mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin
besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere
um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche
Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser
natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die
personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und organisatorischen
Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten
Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral
oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder . andere
Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser
Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so
können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung
nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich
bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten
Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung
dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden
Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
99
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,
außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den
Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters
befugt sind, die personenbezogenen Daten zu verarbeiten;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter
Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung
oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene
Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen
Daten einverstanden ist;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die
zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig,
oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu
personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet
wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen
Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie
oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der
Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene
Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer
natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen
oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige
Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen,
beziehen und aus denen Informationen über deren Gesundheitszustand
hervorgehen;
16. „Hauptniederlassung“
a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat
den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen
hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener
Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union
getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu
lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft,
als Hauptniederlassung;
100 BfDI – Info 6
b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat
den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter
keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters
in der Union, in der die Verarbeitungstätigkeiten im Rahmen der
Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden,
soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung
unterliegt;
17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von
dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde
und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach
dieser Verordnung obliegenden Pflichten vertritt;
18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit
ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder
Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den
von diesem abhängigen Unternehmen besteht;
20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener
Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener
Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen
oder eine Kategorie von Datenübermittlungen personenbezogener Daten
an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe
oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
in einem oder mehreren Drittländern;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige
staatliche Stelle;
22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener
Daten betroffen ist, weil
a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats
dieser Aufsichtsbehörde niedergelassen ist,
b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz
im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
101
23. „grenzüberschreitende Verarbeitung“ entweder
a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von
Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der
Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder
Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten
einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters
in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene
Personen in mehr als einem Mitgliedstaat hat oder haben kann;
24. „maßgeblicher und begründeter Einspruch“ einen Einspruch im Hinblick darauf, ob ein
Verstoß gegen diese Verordnung vorliegt oder nicht oder ob die beabsichtigte Maßnahme
gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung
steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von
dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen
Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union
ausgehen;
25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1
Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates21;
26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten
Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern
geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen
wurde.
KAPITEL II
GRUNDSÄTZE
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person
nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung
nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht
in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet wer-
21 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren
auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L
241 vom 17.9.2015, S. 1).
102 BfDI – Info 6
den; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke,
für wissenschaftliche oder historische Forschungszwecke oder für statistische
Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen
Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung
notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle
angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im
Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht
oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen
nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden,
erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit
die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter
technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum
Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich
für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche
und historische Forschungszwecke oder für statistische Zwecke gemäß
Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen
Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und
organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen
Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen
erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden
personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene
Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,
die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
der der Verantwortliche unterliegt;
103
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen
Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem
Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen
oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte
und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen
Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene
Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung
der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz
1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen
für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig
und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich
für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt
durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich
der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich
sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die
dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen
zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten,
unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung
der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche
Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen
und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen,
welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und
welche Verarbeitungsvorgänge und ‑ verfahren angewandt werden dürfen, einschließlich
Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden
Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel
IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen In104
BfDI – Info 6
teresse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten
legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen
Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person
oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen
Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in
Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um
festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die
personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben
wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere
hinsichtlich des Verhältnisses zwischen den betroffenen Personen und
dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien
personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene
Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel
10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen
Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung
gehören kann.
Artikel 7
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen
können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten
eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch
andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und
leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von
den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht
verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den
Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis
zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abga105
be der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so
einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in
größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines
Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu
einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des
Vertrags nicht erforderlich sind.
Artikel 8
Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft,
das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen
Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur
rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung
für das Kind oder mit dessen Zustimmung erteilt wird.
Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere
Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr
liegen darf.
(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene
Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung
durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung
erteilt wurde.
(3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften
zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug
auf ein Kind, unberührt.
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft,
politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die
Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten,
biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person , Gesundheitsdaten
oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen
Person ist untersagt.
106 BfDI – Info 6
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen
Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei
denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach
Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene
Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit
und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren
diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder
dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht
der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen
der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person
oder einer anderen natürlichen Person erforderlich und die betroffene Person
ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu
geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch,
weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung,
Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen
ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die
Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation
oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck
regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen
Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt
werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person
offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen
Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats,
das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt
des Rechts auf Datenschutz wahrt und angemessene und spezifische
Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person
vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische
Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich
auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats
107
oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs
und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen
Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden
Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards
bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten,
auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats,
das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten
der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich,
oder
j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines
Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den
Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische
Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen
Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche
oder historische Forschungszwecke oder für statistische Zwecke gemäß
Artikel 89 Absatz 1 erforderlich.
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe
h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter
dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht
oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger
Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere
Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats
oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen,
einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen
oder Gesundheitsdaten betroffen ist.
Artikel 10
Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten
oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur
unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder
dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen
Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen
darf nur unter behördlicher Aufsicht geführt werden.
108 BfDI – Info 6
Artikel 11
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die
Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr
erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche
Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene
Person zu identifizieren.
(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen,
dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die
betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20
keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen
Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung
ermöglichen.
KAPITEL III
RECHTE DER BETROFFENEN PERSON
Abschnitt 1
Transparenz und Modalitäten
Artikel 12
Transparente Information, Kommunikation und Modalitäten
für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen
gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22
und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher
und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;
dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung
der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls
von der betroffenen Person verlangt, kann die Information mündlich erteilt
werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß
den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche
nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung
ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht,
dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
109
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß
den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb
eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere
zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und
der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene
Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung,
zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag
elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern
sie nichts anderes angibt.
(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet
er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats
nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde
Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß
den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei
offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven
Anträgen einer betroffenen Person kann der Verantwortliche entweder
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung
oder die Mitteilung oder die Durchführung der beantragten Maßnahme
berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven
Charakter des Antrags zu erbringen.
(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die
den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche
Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person
erforderlich sind.
(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen
sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden,
um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen
aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden
die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
110 BfDI – Info 6
(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur
Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren
für die Bereitstellung standardisierter Bildsymbole zu erlassen.
Abschnitt 2
Informationspflicht und Recht
auf Auskunft zu personenbezogenen Daten
Artikel 13
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche
der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes
mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines
Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten
Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen
Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten
an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das
Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission
oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel
49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen
Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder
wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen
Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur
Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls
dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden
personenbezogenen Daten sowie auf Berichtigung oder Löschung oder
111
auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die
Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2
Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen,
ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene
Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche
mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck
weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so
stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen
anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person
bereits über die Informationen verfügt.
Artikel 14
Informationspflicht, wenn die personenbezogenen Daten
nicht bei der betroffenen Person erhoben wurden
(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der
Verantwortliche der betroffenen Person Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines
Vertreters;
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie
die Rechtsgrundlage für die Verarbeitung;
d) die Kategorien personenbezogener Daten, die verarbeitet werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen
Daten;
112 BfDI – Info 6
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten
an einen Empfänger in einem Drittland oder einer internationalen Organisation
zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
der Kommission oder im Falle von Übermittlungen gemäß Artikel 46
oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten
oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu
erhalten, oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen
Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen
Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls
dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten
Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden
personenbezogenen Daten sowie auf Berichtigung oder Löschung oder
auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die
Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2
Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen,
ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung berührt wird;
e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls
ob sie aus öffentlich zugänglichen Quellen stammen;
g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen
Daten innerhalb einer angemessenen Frist nach Erlangung der
personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person
verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an
sie, oder,
113
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum
Zeitpunkt der ersten Offenlegung.
(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck
weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so
stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen
anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
a) die betroffene Person bereits über die Informationen verfügt,
b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen
Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung
für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche
oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der
in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in
Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung
der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt
In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum
Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen
Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der
Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen
zum Schutz der berechtigten Interessen der betroffenen Person vorsehen,
ausdrücklich geregelt ist oder
d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten
dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht,
unterliegen und daher vertraulich behandelt werden müssen.
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber
zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der
Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende
Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
114 BfDI – Info 6
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen
Daten offengelegt worden sind oder noch offengelegt werden, insbesondere
bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert
werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser
Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden
personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben
werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation
übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß
Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der
Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt,
kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten
verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die
Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern
sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer
Personen nicht beeinträchtigen.
Abschnitt 3
Berichtigung und Löschung
Artikel 16
Recht auf Berichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung
sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der
115
Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger
personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Artikel 17
Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende
personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche
ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der
folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf
sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung
gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte,
und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung
ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung
vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch
gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen
Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich,
dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft
gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß
Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren
Technologie und der Implementierungskosten angemessene Maßnahmen, auch
technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen
Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die
Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen
dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem
Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert,
oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen
wurde;
116 BfDI – Info 6
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1,
soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele
dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Artikel 18
Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der
Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten
wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die
Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der
personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung
der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung
nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz
1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des
Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen
Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen
Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus
Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet
werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt
hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben
wird.
117
Artikel 19
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung
personenbezogener Daten oder der Einschränkung der Verarbeitung
Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden,
jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung
der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich
als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche
unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Artikel 20
Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die
sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren
Format zu erhalten, und sie hat das Recht, diese Daten einem anderen
Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen
Daten bereitgestellt wurden, zu übermitteln, sofern
a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder
Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1
Buchstabe b beruht und
b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene
Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem
Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch
machbar ist.
(3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses
Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe
erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt
erfolgt, die dem Verantwortlichen übertragen wurde.
(4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
118 BfDI – Info 6
Abschnitt 4
Widerspruchsrecht
und automatisierte Entscheidungsfindung im Einzelfall
Artikel 21
Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation
ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten,
die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen;
dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche
verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende
schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und
Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die
betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender
personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch
für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so
werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr
ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser
Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu
erfolgen.
(5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die
betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels
automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
(6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation
ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten,
die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen
Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung
ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
119
Artikel 22
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten
Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden,
die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich
beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person
und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der
Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene
Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten
Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene
Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der
betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens
einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und
auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener
Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder
g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten
Interessen der betroffenen Person getroffen wurden.
Abschnitt 5
Beschränkungen
Artikel 23
Beschränkungen
(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche
oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln
12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den
Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen
beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt
der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesell120
BfDI – Info 6
schaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) die nationale Sicherheit;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die
Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren
für die öffentliche Sicherheit;
e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der
Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen
oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-,
Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit
und der sozialen Sicherheit;
f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die
berufsständischen Regeln reglementierter Berufe;
h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise
mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a, b, c, d, e und
g genannten Zwecke verbunden sind;
i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
j) die Durchsetzung zivilrechtlicher Ansprüche.
(2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls
spezifische Vorschriften enthalten zumindest in Bezug auf
a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
b) die Kategorien personenbezogener Daten,
c) den Umfang der vorgenommenen Beschränkungen,
d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige
Übermittlung;
e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung
von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und
h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern
dies nicht dem Zweck der Beschränkung abträglich ist.
121
KAPITEL IV
VERANTWORTLICHER UND A UFTRAGSVERARBEITER
Abschnitt 1
Allgemeine Pflichten
Artikel 24
Verantwortung des für die Verarbeitung Verantwortlichen
(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände
und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit
und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete
technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis
dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese
Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht,
müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen
durch den Verantwortlichen umfassen.
(3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten
Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen
werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.
Artikel 25
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art,
des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken
für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl
zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der
eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie
z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie
etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung
aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die
Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen,
dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren
Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verar122
BfDI – Info 6
beitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen
Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche
Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch
Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen
Personen zugänglich gemacht werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen
werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten
Anforderungen nachzuweisen.
Artikel 26
Gemeinsam für die Verarbeitung Verantwortliche
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung
fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in
transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung
erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht,
und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern
und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften
der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt
sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben
werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen
der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend
widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur
Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person
ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen
geltend machen.
Artikel 27
Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
(1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter
schriftlich einen Vertreter in der Union.
(2) Diese Pflicht gilt nicht für
a) eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung
besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangrei123
che Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen
und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung
der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung
voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher
Personen führt, oder
b) Behörden oder öffentliche Stellen.
(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen
Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen
Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet
wird, sich befinden.
(4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt,
zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene
Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung
der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
(5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter
erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder
den Auftragsverarbeiter selbst.
Artikel 28
Auftragsverarbeiter
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit
Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische
und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang
mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der
betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte
oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter
den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung
oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die
Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags
oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen
bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbei124
BfDI – Info 6
tung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die
Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
– auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland
oder eine internationale Organisation – verarbeitet, sofern er nicht durch das
Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt,
hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen
diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern
das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen
Interesses verbietet;
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen
gesetzlichen Verschwiegenheitspflicht unterliegen;
c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme
der Dienste eines weiteren Auftragsverarbeiters einhält;
e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit
geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt,
seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III
genannten Rechte der betroffenen Person nachzukommen;
f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden
Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln
32 bis 36 genannten Pflichten unterstützt;
g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen
Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt,
sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung
zur Speicherung der personenbezogenen Daten besteht,
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung
der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und
Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder
einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht
und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen
unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung
oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten
verstößt.
125
(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch,
um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen,
so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines
anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden
Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen
Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß
Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden
muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt
werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung
erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht
nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die
Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
(5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten
Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor
herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des
vorliegenden Artikels nachzuweisen.
(6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter
kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze
3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8
des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese
Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln
42 und 43 erteilten Zertifizierung sind.
(7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln
zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels
genannten Fragen festlegen.
(8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63
Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels
genannten Fragen festlegen.
(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich
abzufassen, was auch in einem elektronischen Format erfolgen kann.
(10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen
diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese
Verarbeitung als Verantwortlicher.
126 BfDI – Info 6
Artikel 29
Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte
Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf
Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem
Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Artikel 30
Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller
Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält
sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des
gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie
eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener
Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten
offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger
in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
oder an eine internationale Organisation, einschließlich der Angabe des betreffenden
Drittlands oder der betreffenden internationalen Organisation, sowie bei den
in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung
geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen
Maßnahmen gemäß Artikel 32 Absatz 1.
(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu
allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der
Verarbeitung, die Folgendes enthält:
a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter
tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters
und eines etwaigen Datenschutzbeauftragten;
127
b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt
werden;
c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
oder an eine internationale Organisation, einschließlich der Angabe des betreffenden
Drittlands oder der betreffenden internationalen Organisation, sowie bei den
in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung
geeigneter Garantien;
d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen
Maßnahmen gemäß Artikel 32 Absatz 1.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem
elektronischen Format erfolgen kann.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des
Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis
auf Anfrage zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen,
die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene
Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen
birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer
Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen
Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10
einschließt.
Artikel 31
Zusammenarbeit mit der Aufsichtsbehörde
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf
Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Abschnitt 2
Sicherheit personenbezogener Daten
Artikel 32
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der
Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete
128 BfDI – Info 6
technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau
zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang
zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen,
die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder
Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von
beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert
oder auf andere Weise verarbeitet wurden – verbunden sind.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten
Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die
Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen,
dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten
haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind
nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Artikel 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche
unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt
wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass
die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko
für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die
Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung
beizufügen.
129
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten
bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,
soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen
Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen
personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen
Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener
Daten
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen
Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener
Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen
Auswirkungen.
(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können,
kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung
schrittweise zur Verfügung stellen.
(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten
einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener
Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese
Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der
Einhaltung der Bestimmungen dieses Artikels.
Artikel 34
Benachrichtigung der von einer Verletzung
des Schutzes personenbezogener Daten
betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko
für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt
der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer
und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und
enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen
und Empfehlungen.
130 BfDI – Info 6
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn
eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen
getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen
personenbezogenen Daten angewandt wurden, insbesondere solche,
durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang
zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden,
etwa durch Verschlüsselung,
b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das
hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz
1 aller Wahrscheinlichkeit nach nicht mehr besteht,
c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall
hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme
zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert
werden.
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des
Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter
Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener
Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies
nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3
genannten Voraussetzungen erfüllt sind.
Abschnitt 3
Datenschutz-Folgenabschätzung und vorherige Konsultation
Artikel 35
Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,
aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich
ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so
führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge
für den Schutz personenbezogener Daten durch. Für die Untersuchung
mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige
Abschätzung vorgenommen werden.
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung
den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
131
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen
erforderlich:
a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen,
die sich auf automatisierte Verarbeitung einschließlich Profiling gründet
und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber
natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise
beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten
gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche
Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1
eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde
übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen
erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich
ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
(6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde
das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten
umfassen, die mit dem Angebot von Waren oder Dienstleistungen für
betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren
Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener
Daten innerhalb der Union erheblich beeinträchtigen könnten.
(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der
Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen
verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien,
Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener
Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese
Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen
der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
132 BfDI – Info 6
(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen
Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der
Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für
die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder
ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher
oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
(10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage
im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt,
beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder
die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen
Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-
Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem
Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten
eine solche Folgenabschätzung durchzuführen.
(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten,
ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies
gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos
Änderungen eingetreten sind.
Artikel 36
Vorherige Konsultation
(1) Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer
Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung
ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung
des Risikos trifft.
(2) Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß
Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche
das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt
hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter
innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation
entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten
Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten
Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet
den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung
innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusam133
men mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis
die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen
erhalten hat.
(3) Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende
Informationen zur Verfügung:
a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen,
der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten
Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe
von Unternehmen;
b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;
c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser
Verordnung vorgesehenen Maßnahmen und Garantien;
d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
(4) Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags
für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen
oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen,
die die Verarbeitung betreffen.
(5) Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten
verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden
Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und
der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige
Genehmigung einzuholen.
Abschnitt 4
Datenschutzbeauftragter
Artikel 37
Benennung eines Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten,
wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird,
mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der
Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art,
134 BfDI – Info 6
ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische
Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen
Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder
von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
gemäß Artikel 10 besteht.
(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen,
sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden
kann.
(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde
oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter
Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter
benannt werden.
(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der
Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen
oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen;
falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben
ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige
Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten,
handeln.
(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und
insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und
der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der
in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters
sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten
und teilt diese Daten der Aufsichtsbehörde mit.
135
Artikel 38
Stellung des Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte
ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten
zusammenhängenden Fragen eingebunden wird.
(2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten
bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung
dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten
und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen
Ressourcen zur Verfügung stellen.
(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte
bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung
dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder
dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt
werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene
des Verantwortlichen oder des Auftragsverarbeiters.
(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung
ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser
Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei
der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit
gebunden.
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der
Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und
Pflichten nicht zu einem Interessenkonflikt führen.
Artikel 39
Aufgaben des Datenschutzbeauftragten
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters
und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten
nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der
Union bzw. der Mitgliedstaaten;
136 BfDI – Info 6
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften
der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen
oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich
der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung
der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen
Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung
und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden
Fragen, einschließlich der vorherigen Konsultation gemäß Artikel
36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen
verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang,
die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Abschnitt 5
Verhaltensregeln und Zertifizierung
Artikel 40
Verhaltensregeln
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern
die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen
Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen
sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung
beitragen sollen.
(2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern
vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern,
mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden
präzisiert wird:
a) faire und transparente Verarbeitung;
b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
c) Erhebung personenbezogener Daten;
d) Pseudonymisierung personenbezogener Daten;
e) Unterrichtung der Öffentlichkeit und der betroffenen Personen;
f) Ausübung der Rechte betroffener Personen;
137
g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung
des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen
für die Sicherheit der Verarbeitung gemäß Artikel 32;
i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden
und die Benachrichtigung der betroffenen Person von solchen
Verletzungen des Schutzes personenbezogener Daten;
j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale
Organisationen oder
k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung
von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im
Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen
gemäß den Artikeln 77 und 79.
(3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen
oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden
Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine
Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die
gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete
Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale
Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger
rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung
ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen
Personen.
(4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen,
die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische
Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die
Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen,
unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel
55 oder 56 zuständig ist.
(5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen,
Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern
oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren
Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln
bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar
ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren
138 BfDI – Info 6
Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete
Garantien bietet.
(6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der
Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden
Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so
nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht
sie.
(7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren
Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde – bevor sie den
Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt
– ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage
Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung
oder Erweiterung mit dieser Verordnung vereinbar ist oder – im Fall nach Absatz 3 –
geeignete Garantien vorsieht.
(8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln
bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar
ist oder – im Fall nach Absatz 3 – geeignete Garantien vorsieht, so übermittelt der
Ausschuss seine Stellungnahme der Kommission.
(9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr
gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte
Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte
werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
(10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß
Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
(11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen
oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise.
Artikel 41
Überwachung der genehmigten Verhaltensregeln
(1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den
Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß
Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hin139
sichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde
zu diesem Zweck akkreditiert wurde.
(2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln
akkreditiert werden, wenn sie
a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln
zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen
hat;
b) Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche
und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung
der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu
überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
c) Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen
der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln
von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden
oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene
Personen und die Öffentlichkeit transparent macht; und
d) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre
Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung
einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den
Ausschuss.
(4) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen
des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter
Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen
oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen
oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den
Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen
und deren Begründung.
(5) Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1,
wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder
wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
(6) Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen.
140 BfDI – Info 6
Artikel 42
Zertifizierung
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern
insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren
sowie von Datenschutzsiegeln und ‑ prüfzeichen, die dazu dienen, nachzuweisen,
dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder
Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen
sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
(2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen
oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren,
Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden
sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter,
die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung
personenbezogener Daten an Drittländer oder internationale Organisationen
nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen
oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich
bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese
geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(3) Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
(4) Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen
oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt
nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55
oder 56 zuständig sind.
(5) Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel
43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen
Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder – gemäß Artikel 63 – durch den Ausschuss
genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies
zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
(6) Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung
dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel
43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung
des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt
ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
141
(7) Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine
Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert
werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung
wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch
die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung
nicht oder nicht mehr erfüllt werden.
(8) Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und ‑ prüfzeichen
in ein Register auf und veröffentlicht sie in geeigneter Weise.
Artikel 43
Zertifizierungsstellen
(1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den
Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete
Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde
– damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2
Buchstabe h Gebrauch machen kann – die Zertifizierung. Die Mitgliedstaaten stellen sicher,
dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert
werden:
a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
b) der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG)
Nr. 765/2008 des Europäischen Parlaments und des Rates22 im Einklang mit EN-ISO/
IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen
Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
(2) Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß Absatz 1 akkreditiert werden,
wenn sie
a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung
zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
b) sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß
Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder – gemäß Artikel 63 – von
dem Ausschuss genehmigt wurden, einzuhalten;
c) Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der
Datenschutzzertifizierung sowie der Datenschutzsiegel und ‑ prüfzeichen festgelegt
haben;
22 Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die
Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der
Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).
142 BfDI – Info 6
d) Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen
der Zertifizierung oder die Art und Weise, in der die Zertifizierung von
dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde,
nachgehen und diese Verfahren und Strukturen für betroffene Personen und die
Öffentlichkeit transparent machen, und
e) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass
ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand
der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder –
gemäß Artikel 63 – von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung
nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen,
die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in
denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen
sind.
(4) Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der
Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat,
für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung
zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von
fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die
Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
(5) Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die
Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
(6) Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel
42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die
Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem
Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in
ein Register auf und veröffentlicht sie in geeigneter Weise.
(7) Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale
Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn
die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn
eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar
sind.
143
(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu
erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten
datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind.
(9) Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards
für Zertifizierungsverfahren und Datenschutzsiegel und ‑ prüfzeichen sowie Mechanismen
zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel
und ‑ prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem
in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
KAPITEL V
ÜBERMITTLUNG PERSONENBEZOGENER D ATEN
AN DRIT TLÄNDER
ODER AN INTERN ATIONALE ORGANISATIONEN
Artikel 44
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer
Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen,
ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten
Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung
eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten
durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes
Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind
anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau
für natürliche Personen nicht untergraben wird.
Artikel 45
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale
Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das
betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem
Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau
bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.
(2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die
Kommission insbesondere das Folgende:
144 BfDI – Info 6
a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten,
die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation
geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch
sektoraler Art – auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale
Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten
– sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften,
Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die
Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und
durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche
und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene
Daten übermittelt werden,
b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger
Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale
Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften,
einschließlich angemessener Durchsetzungsbefugnisse, für
die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer
Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten
zuständig sind, und
c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation
eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen,
die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten
sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an
multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz
personenbezogener Daten ergeben.
(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im
Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder
ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation
ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels
bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung,
die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen
Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung
getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale
Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden
Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der
Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren
erlassen.
145
(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen
Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden
Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen
Feststellungen beeinträchtigen könnten.
(5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels
genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist
und ohne rückwirkende Kraft, soweit entsprechende Informationen – insbesondere im
Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung – dahingehend
vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in
einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau
im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte
werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß
dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.“
(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden
internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem
gemäß Absatz 5 erlassenen Beschluss geführt hat.
(7) Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder
einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale
Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach
Absatz 5 des vorliegenden Artikels nicht berührt.
(8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website
eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem
Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt
hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten.
(9) Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG
erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren
gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der
Kommission geändert, ersetzt oder aufgehoben werden.
146 BfDI – Info 6
Artikel 46
Datenübermittlung vorbehaltlich geeigneter Garantien
(1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein
Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale
Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter
geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare
Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere
Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden
oder öffentlichen Stellen,
b) verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren
nach Artikel 93 Absatz 2 erlassen werden,
d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die
von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt
wurden,
e) genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen
und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters
in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich
in Bezug auf die Rechte der betroffenen Personen, oder
f) einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen
mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen
oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten
Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
(3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten
Garantien gemäß Absatz 1 auch insbesondere bestehen in
a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter
und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger
der personenbezogenen Daten im Drittland oder der internationalen Organisation
vereinbart wurden, oder
b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen
Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für
die betroffenen Personen einschließen.
(4) Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß
Absatz 3 des vorliegenden Artikels vorliegt.
147
(5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26
Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls
von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene
Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach
Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt
oder aufgehoben werden.
Artikel 47
Verbindliche interne Datenschutzvorschriften
(1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel
63 verbindliche interne Datenschutzvorschriften, sofern diese
a) rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe
oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit
ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch
für ihre Beschäftigten gilt,
b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die
Verarbeitung ihrer personenbezogenen Daten übertragen und
c) die in Absatz 2 festgelegten Anforderungen erfüllen.
(2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens
folgende Angaben:
a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen,
die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
b) die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen
einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck
der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland
beziehungsweise die betreffenden Drittländer;
c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
d) die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung,
Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz
durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen,
Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien
von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit
und Anforderungen für die Weiterübermittlung an nicht an diese
internen Datenschutzvorschriften gebundene Stellen;
e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen
offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts,
148 BfDI – Info 6
nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich
Profiling – beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie
des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen
Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den
zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen
internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls
Schadenersatz zu erhalten;
f) die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter
übernommene Haftung für etwaige Verstöße eines nicht in der
Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen
die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder
der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung
befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten
ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
g) die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel
13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und
insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten
Aspekte informiert werden;
h) die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder
jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung
der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe
oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang
mit Beschwerden befasst ist;
i) die Beschwerdeverfahren;
j) die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung
der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige
Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung
von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten
Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens
einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen
Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
k) die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften
und ihre Meldung an die Aufsichtsbehörde;
l) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung
der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder
Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
149
gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen
der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
m) die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über
jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen,
die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden
rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken
könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
n) geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem
Zugang zu personenbezogenen Daten.
(3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch über
verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen
Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese
Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
Artikel 48
Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde
eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter
die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet
anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder
vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa
ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat
gestützt sind.
Artikel 49
Ausnahmen für bestimmte Fälle
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete
Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften,
bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener
Daten an ein Drittland oder an eine internationale Organisation nur unter einer der
folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich
eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger
Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und
ohne geeignete Garantien unterrichtet wurde,
150 BfDI – Info 6
b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen
Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen
Maßnahmen auf Antrag der betroffenen Person erforderlich,
c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen
Person von dem Verantwortlichen mit einer anderen natürlichen oder
juristischen Person geschlossenen Vertrags erforderlich,
d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen erforderlich,
f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person
oder anderer Personen erforderlich, sofern die betroffene Person aus physischen
oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder
der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder
der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse
nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht
der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme
im Einzelfall gegeben sind,
Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 – einschließlich
der verbindlichen internen Datenschutzvorschriften – gestützt werden könnte und keine
der Ausnahmen für einen bestimmten Fall gemäß den Buchstaben a bis g des vorliegenden
Absatzes anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale
Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine
begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten
Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die
Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche
alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung
angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen
hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine
zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person
nach den Artikeln 13 und 14 mitgeteilten Informationen.
(2) Datenübermittlungen gemäß Absatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze
Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn
das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die
Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen
die Adressaten der Übermittlung sind.
151
(3) Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht
für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
(4) Das öffentliche Interesse im Sinne des Absatzes 1 Buchstabe d ist im Unionsrecht oder im
Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt.
(5) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der
Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen
der Übermittlung bestimmter Kategorien von personenbezogenen Daten
an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten
teilen der Kommission derartige Bestimmungen mit.
(6) Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene
Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des
vorliegenden Artikels in der Dokumentation gemäß Artikel 30.
Artikel 50
Internationale Zusammenarbeit zum Schutz personenbezogener Daten
In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden
geeignete Maßnahmen zur
a) Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame
Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert
wird,
b) gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften
zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen,
Amtshilfe bei Untersuchungen und Informationsaustausch, sofern
geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte
und Grundfreiheiten bestehen,
c) Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau
der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften
zum Schutz personenbezogener Daten dienen,
d) Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken
zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.
152 BfDI – Info 6
KAPITEL VI
UNABHÄNGIGE AUFSICHTSBEHÖRDEN
Abschnitt 1
Unabhängigkeit
Artikel 51
Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung
der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und
Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der
freie Verkehr personenbezogener Daten in der Union erleichtert wird.
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung
in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander
sowie mit der Kommission gemäß Kapitel VII zusammen.
(3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat
die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein
Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das
Kohärenzverfahren nach Artikel 63 einhalten.
(4) Jeder Mitgliedstaat teilt der Kommission bis spätestens … [zwei Jahre nach dem Tag des
Inkrafttretens dieser Verordnung] die Rechtsvorschriften, die er aufgrund dieses Kapitels
erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.
Artikel 52
Unabhängigkeit
(1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer
Befugnisse gemäß dieser Verordnung völlig unabhängig.
(2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung
ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter
noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch
nehmen sie Weisungen entgegen.
(3) Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben
ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit
153
keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit
aus.
(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen
und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet
wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe,
Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.
(5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt
und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden
Aufsichtsbehörde untersteht.
(6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt,
die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche,
jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen
Haushalts sein können.
Artikel 53
Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
(1) Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines
transparenten Verfahrens ernannt wird, und zwar
vom Parlament,
von der Regierung,
vom Staatsoberhaupt oder
von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung
betraut wird.
(2) Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse
erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich
des Schutzes personenbezogener Daten verfügen.
(3) Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender
Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats.
(4) Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen
hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.
154 BfDI – Info 6
Artikel 54
Errichtung der Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:
a) die Errichtung jeder Aufsichtsbehörde,
b) die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung
zum Mitglied jeder Aufsichtsbehörde;
c) die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder
jeder Aufsichtsbehörde,
d) die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens
vier Jahren; dies gilt nicht für die erste Amtszeit nach … [Datum des Inkrafttretens
dieser Verordnung], die für einen Teil der Mitglieder kürzer sein kann, wenn
eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde
notwendig ist,
e) die Frage, ob und – wenn ja – wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde
wiederernannt werden können,
f) die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder
und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen
Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit
diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses.
(2) Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß
dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise
Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen
Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung
ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser
Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für
die von natürlichen Personen gemeldeten Verstößen gegen diese Verordnung.
Abschnitt 2
Zuständigkeit, Aufgaben und Befugnisse
Artikel 55
Zuständigkeit
(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse,
die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats
zuständig.
155
(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel
6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats
zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen
ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
Artikel 56
Zuständigkeit der federführenden Aufsichtsbehörde
(1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen
Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren
nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem
Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende
Verarbeitung.
(2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr
eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen,
wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt
oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.
(3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde
unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb
einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende
Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst
oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter
in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat
oder nicht.
(4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet
das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende
Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs
nach Artikel 60 Absatz 3 weitestgehend Rechnung.
(5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen,
so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet
hat, sich mit dem Fall gemäß den Artikeln 61 und 62.
156 BfDI – Info 6
(6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen
oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem
Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.
Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde
in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang
mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere
Beachtung finden dabei spezifische Maßnahmen für Kinder;
c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung
und andere Einrichtungen und Gremien über legislative und administrative
Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug
auf die Verarbeitung beraten;
d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung
entstehenden Pflichten sensibilisieren;
e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer
Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu
diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle,
einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand
der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer
innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis
der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung
oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch,
und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung
dieser Verordnung zu gewährleisten;
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf
der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen
Behörde;
i) maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener
Daten auswirken, insbesondere die Entwicklung der Informations- und
Kommunikationstechnologie und der Geschäftspraktiken;
j) Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz
2 Buchstabe d festlegen;
157
k) eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35
Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
l) Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge
leisten;
m) die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 fördern und zu diesen
Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5
bieten müssen, Stellungnahmen abgeben und sie billigen;
n) die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln
und ‑ prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien
nach Artikel 42 Absatz 5 billigen;
o) gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig
überprüfen;
p) die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung
der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß
Artikel 43 abfassen und veröffentlichen
q) die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln
gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;
r) Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;
s) verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
t) Beiträge zur Tätigkeit des Ausschusses leisten;
u) interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel
58 Absatz 2 ergriffene Maßnahmen und
v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener
Daten erfüllen.
(2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten
Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars,
das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel
ausgeschlossen werden.
(3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls
für den Datenschutzbeauftragten unentgeltlich.
(4) Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung –
exzessiven Anträgen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage
der Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags tätig zu
werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten
oder exzessiven Charakter des Antrags.
158 BfDI – Info 6
Artikel 58
Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es
ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter
des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen
bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß
gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen
Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig
sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats
Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen
und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte
Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er
mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen
der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden
Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge
gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten
Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener
Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich
eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung
der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung
der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz
2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
159
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine
gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle
anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen
für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in
diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland
oder an eine internationale Organisation anzuordnen.
(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und
beratenden Befugnisse, die es ihr gestatten,
a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen
zu beraten,
b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten
stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament,
die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats
an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu
richten,
c) die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats
eine derartige vorherige Genehmigung verlangt wird,
d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel
40 Absatz 5 zu billigen,
e) Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
f) im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für
die Zertifizierung zu billigen,
g) Standarddatenschutzklauseln nach Artikel 28 Absatz 82c und Artikel 46 Absatz 2
Buchstabe d festzulegen,
h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,
i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen
j) verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse
erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe
und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des
Mitgliedstaats im Einklang mit der Charta.
(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt
ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und
160 BfDI – Info 6
gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst
daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde
neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse
verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des
Kapitels VII beeinträchtigen.
Artikel 59
Tätigkeitsbericht
Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der
gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten
kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem
Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der
Kommission und dem Ausschuss zugänglich gemacht.
KAPITEL VII
ZUSAMMENARBEIT UND K OHÄRENZ
Abschnitt 1
Zusammenarbeit
Artikel 60
Zusammenarbeit zwischen der federführenden Aufsichtsbehörde
und anderen betroffenen Aufsichtsbehörden
(1) Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden
im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens
zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden
tauschen untereinander alle zweckdienlichen Informationen aus.
(2) Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden
um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62
durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung
der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen
Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.
(3) Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden
unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt
161
den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur
Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
(4) Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem
sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf
einen maßgeblichen und begründeten Einspruch ein und schließt sich die
federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an
oder ist der Einspruch nicht maßgeblich und begründet, so leitet die federführende Aufsichtsbehörde
das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.
(5) Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten
Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen
überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf
wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.
(6) Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf
ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4
und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde
und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und
sind an ihn gebunden.
(7) Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung
oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des
Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den
Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der
maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde
eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.
(8) Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der
die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem
Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
(9) Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden
darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer
Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser
Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss
für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt
ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des
Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer
hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichts162
BfDI – Info 6
behörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde
betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen
oder den Auftragsverarbeiter hiervon in Kenntnis setzt.
(10) Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß
den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen
Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in
der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter
teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur
Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen
betroffenen Aufsichtsbehörden.
(11) Hat – in Ausnahmefällen – eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass
zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so
kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
(12) Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden
übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem
Wege unter Verwendung eines standardisierten Formats.
Artikel 61
Gegenseitige Amtshilfe
(1) Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren
einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden,
und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich
insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise
Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme
von Nachprüfungen und Untersuchungen.
(2) Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer
anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang
des Ersuchens nachzukommen. Dazu können insbesondere auch die Übermittlung
maßgeblicher Informationen über die Durchführung einer Untersuchung gehören.
(3) Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und
Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für
den Zweck verwendet, für den sie angefordert wurden.
(4) Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
163
a) sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen
soll, nicht zuständig ist oder
b) ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen würde oder gegen
das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbehörde,
bei der das Ersuchen eingeht, unterliegt.
(5) Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse
oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden,
um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz
4 die Gründe für die Ablehnung des Ersuchens.
(6) Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen
Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung
eines standardisierten Formats.
(7) Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens
getroffen haben, keine Gebühren. Die Aufsichtsbehörden können untereinander
Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe
entstandene Ausgaben zu erstatten.
(8) Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats nach Eingang des Ersuchens
einer anderen Aufsichtsbehörde die Informationen gemäß Absatz 5, so kann die
ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats
gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden
Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren
angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2
erforderlich macht.
(9) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der
Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs
zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem
Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte
Format, festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz
2 genannten Prüfverfahren erlassen.
Artikel 62
Gemeinsame Maßnahmen der Aufsichtsbehörden
(1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich
gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an
164 BfDI – Info 6
denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
(2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren
Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine
bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen
haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an
den gemeinsamen Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz
4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur
Teilnahme an den gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen
einer Aufsichtsbehörde um Teilnahme.
(3) Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung
der unterstützenden Aufsichtsbehörde den an den gemeinsamen Maßnahmen beteiligten
Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde Befugnisse
einschließlich Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht
des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist, den Mitgliedern oder
Bediensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse
nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese
Untersuchungsbefugnisse können nur unter der Leitung und in Gegenwart
der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem
Recht des Mitgliedstaats der einladenden Aufsichtsbehörde.
(4) Sind gemäß Absatz 1 Bedienstete einer unterstützenden Aufsichtsbehörde in einem anderen
Mitgliedstaat im Einsatz, so übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde
nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz
erfolgt, die Verantwortung für ihr Handeln, einschließlich der Haftung für alle von ihnen
bei ihrem Einsatz verursachten Schäden.
(5) Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen
Schaden so, wie er ihn ersetzen müsste, wenn seine eigenen Bediensteten ihn verursacht
hätten. Der Mitgliedstaat der unterstützenden Aufsichtsbehörde, deren Bedienstete im
Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugefügt haben, erstattet
diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an
die Berechtigten geleistet hat.
(6) Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes
5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4
165
genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend zu
machen.
(7) Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde binnen eines
Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach,
so können die anderen Aufsichtsbehörden eine einstweilige Maßnahme im Hoheitsgebiet
ihres Mitgliedstaats gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden
Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren
angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen
verbindlichen Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich
macht.
Abschnitt 2
Kohärenz
Artikel 63
Kohärenzverfahren
Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten
die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens
untereinander und gegebenenfalls mit der Kommission zusammen.
Artikel 64
Stellungnahme Ausschusses
(1) Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt,
eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt
die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser
a) der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung
einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen,
b) eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein
Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln
mit dieser Verordnung in Einklang steht,
c) der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz
3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient,
d) der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2
Buchstabe d und Artikel 28 Absatz 8 dient,
e) der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a
dient, oder
f) der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient.
166 BfDI – Info 6
(2) Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen,
dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr
als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten,
insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe
gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.
(3) In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu
der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme
zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht
Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese
Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs
Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der
gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen,
dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine
Einwände erhoben hat, dem Beschlussentwurf zustimmt.
(4) Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf
elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen
Informationen, einschließlich – je nach Fall – einer kurzen Darstellung des Sachverhalts,
des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden
muss, und der Standpunkte anderer betroffener Aufsichtsbehörden.
(5) Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege
a) unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses
und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen
sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen
der zweckdienlichen Informationen zur Verfügung und
b) je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission
über die Stellungnahme und veröffentlicht sie.
(6) Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf
nicht vor Ablauf der in Absatz 3 genannten Frist an.
(7) Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s
weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der
Stellungnahme elektronisch unter Verwendung eines standardisierten Formats mit, ob sie
den Beschlussentwurf beibehält oder ändert; gegebenenfalls übermittelt sie den geänderten
Beschlussentwurf.
167
(8) Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach
Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie
beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen,
so gilt Artikel 65 Absatz 1.
Artikel 65
Streitbeilegung durch den Ausschuss
(1) Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen
sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss:
a) wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen
maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf
der federführenden Behörde eingelegt hat oder die federführende Behörde einen
Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche
Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen
und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen
diese Verordnung vorliegt;
b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden
für die Hauptniederlassung zuständig ist,
c) wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten
Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des
Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde
oder die Kommission die Angelegenheit dem Ausschuss vorlegen.
(2) Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit
der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses
angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren
Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an
die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt
und ist für diese verbindlich.
(3) War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen
Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach
Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder
des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt
die Stimme des Vorsitzes den Ausschlag.
(4) Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten
Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an.
168 BfDI – Info 6
(5) Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich
über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der
Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die
Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat.
(6) Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der
die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des
in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens
einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt
hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde,
bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem
ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der
betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen
Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen
Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass
der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website
des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1
des vorliegenden _Artikels genannte Beschluss beigefügt.
Artikel 66
Dringlichkeitsverfahren
(1) Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend
vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel
60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei
Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn
sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und
Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen
betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen
Maßnahmen und den Gründen für deren Erlass in Kenntnis.
(2) Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung,
dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter
Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen
Beschluss des Ausschusses ersuchen.
(3) Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf,
im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen
verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde
trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um
die Rechte und Freiheiten von betroffenen Personen zu schützen.
169
(4) Abweichend von Artikel 64 Absatz 3 und Artikel 62 Absatz 2 wird eine Stellungnahme oder
ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen
zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.
Artikel 67
Informationsaustausch
Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der
Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie
zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats
nach Artikel 64, erlassen.
Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
Abschnitt 3
Europäischer Datenschutzausschuss
Artikel 68
Europäischer Datenschutzausschuss
(1) Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) wird als Einrichtung
der Union mit eigener Rechtspersönlichkeit eingerichtet.
(2) Der Ausschuss wird von seinem Vorsitz vertreten.
(3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und
dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.
(4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung
der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so
wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter
benannt.
(5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des
Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses
unterrichtet die Kommission über die Tätigkeiten des Ausschusses.
(6) In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei
Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Orga170
BfDI – Info 6
ne, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen
und Vorschriften dieser Verordnung entsprechen.
Artikel 69
Unabhängigkeit
(1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse
gemäß den Artikeln 70 und 71 unabhängig.
(2) Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz
2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner
Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.
Artikel 70
Aufgaben des Ausschusses
(1) Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt
der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere
folgende Tätigkeiten wahr:
a) Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung
in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben
der nationalen Aufsichtsbehörden;
b) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz
personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge
zur Änderung dieser Verordnung;
c) Beratung der Kommission über das Format und die Verfahren für den Austausch
von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern
und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften;
d) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren
für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen
Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen
Kommunikationsdiensten;
e) Prüfung – von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der
Kommission – von die Anwendung dieser Verordnung betreffenden Fragen und
Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung
einer einheitlichen Anwendung dieser Verordnung;
f) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien
und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel
22 Absatz 2;
171
g) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des
Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im
Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter
denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes
personenbezogener Daten zu melden hat.
h) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung
des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko
für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz
1 zur Folge hat;
i) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel
47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogener
Daten, die auf verbindlichen internen Datenschutzvorschriften von
Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten
weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten
der betroffenen Personen;
j) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien
und Bedingungen für die Übermittlungen personenbezogener Daten gemäß Artikel
49 Absatz 1;
k) Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung
von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von
Geldbußen gemäß Artikel 83;
l) Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten
Leitlinien, Empfehlungen und bewährten Verfahren;
m) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren
für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen
diese Verordnung gemäß Artikel 54 Absatz 2;
n) Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen
Zertifizierungsverfahren sowie Datenschutzsiegeln und
‑prüfzeichen gemäß den Artikeln 40 und 42;
o) Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung
gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen
gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen
akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz
7;
172 BfDI – Info 6
p) Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf
die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42;
q) Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen
gemäß Artikel 43 Absatz 8;
r) Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel
12 Absatz 7;
s) Abgabe einer Stellungnahme für die Kommission zur Beurteilung der Angemessenheit
des in einem Drittland oder einer internationalen Organisation gebotenen
Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet,
ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale
Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu
diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen,
darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder
spezifischen Sektor oder der internationalen Organisation;
t) Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu
Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel
64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß
Artikel 65, einschließlich der in Artikel 66 genannten Fälle;
u) Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen
Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;
v) Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches
zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden
von Drittländern oder mit internationalen Organisationen;
w) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften
und -praxis mit Datenschutzaufsichtsbehörden in aller
Welt;
x) Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln
gemäß Artikel 40 Absatz 9 und
y) Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse
der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens
behandelt wurden.
(2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der
Dringlichkeit des Sachverhalts eine Frist angeben.
(3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren
an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht
sie.
173
(4) Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit,
innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76
macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.
Artikel 71
Berichterstattung
(1) Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der
Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der
Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und
der Kommission übermittelt.
(2) Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70
Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie
der in Artikel 65 genannten verbindlichen Beschlüsse.
Artikel 72
Verfahrensweise
(1) Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse
mit einfacher Mehrheit seiner Mitglieder.
(2) Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung
und legt seine Arbeitsweise fest.
Artikel 73
Vorsitz
(1) Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden
und zwei stellvertretende Vorsitzende.
(2) Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige
Wiederwahl ist zulässig.
Artikel 74
Aufgaben des Vorsitzes
(1) Der Vorsitz hat folgende Aufgaben:
a) Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen,
b) Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an die federführende
Aufsichtsbehörde und die betroffenen Aufsichtsbehörden,
174 BfDI – Info 6
c) Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere
der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach
Artikel 63.
(2) Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen
Stellvertretern in seiner Geschäftsordnung fest.
Artikel 75
Sekretariat
(1) Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten
bereitgestellt wird.
(2) Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses
aus.
(3) Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der
dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt
anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen
Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist.
(4) Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte
eine Vereinbarung zur Anwendung des vorliegenden Artikels , in
der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des
Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung der dem Ausschuss
gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist.
(5) Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung.
(6) Das Sekretariat ist insbesondere verantwortlich für
a) das Tagesgeschäft des Ausschusses,
b) die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz
und der Kommission,
c) die Kommunikation mit anderen Organen und mit der Öffentlichkeit,
d) den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation,
e) die Übersetzung sachdienlicher Informationen,
f) die Vor- und Nachbereitung der Sitzungen des Ausschusses,
175
g) die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen
über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und
von sonstigen vom Ausschuss angenommenen Dokumenten.
Artikel 76
Vertraulichkeit
(1) Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn
der Ausschuss dies für erforderlich hält.
(2) Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern
von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des
Europäischen Parlaments und des Rates23 geregelt.
KAPITEL VIII
RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder
gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere
in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des
mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung
der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer
über den Stand und die Ergebnisse der Beschwerde einschließlich der
Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
Artikel 78
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen
oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen
gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss
einer Aufsichtsbehörde.
23 Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit
zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).
176 BfDI – Info 6
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder
außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf,
wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer
Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über
den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt
hat.
(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig,
in dem die Aufsichtsbehörde ihren Sitz hat.
(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme
oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen
ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss
dem Gericht zu.
Artikel 79
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder
außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde
gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf,
wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte
infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen
Daten verletzt wurden.
(2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die
Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter
eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten
des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat,
es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um
eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden
ist.
177
Artikel 80
Vertretung von betroffenen Personen
(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung
ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats
gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich
des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den
Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine
Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten
Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu
nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels
genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem
Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel
77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln
78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte
einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt
worden sind.
Artikel 81
Aussetzung des Verfahrens
(1) Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu
demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen
oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anhängig
ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches
Verfahren existiert.
(2) Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben
Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat
anhängig, so kann jedes später angerufene zuständige Gericht das bei ihm anhängige
Verfahren aussetzen.
(3) Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes später angerufene Gericht
auf Antrag einer Partei auch für unzuständig erklären, wenn das zuerst angerufene
Gericht für die betreffenden Klagen zuständig ist und die Verbindung der Klagen nach seinem
Recht zulässig ist.
178 BfDI – Info 6
Artikel 82
Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller
Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen
oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch
eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter
haftet für den durch eine Verarbeitung verursachten Schaden nur dann,
wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung
nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen
des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen
gehandelt hat.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2
befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der
Schaden eingetreten ist, verantwortlich ist.
(4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein
Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt
und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten
Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter
für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person
sichergestellt ist.
(5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz
für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter
berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung
Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes
zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an
der Verantwortung für den Schaden entspricht.
(6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte
zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des
Mitgliedstaats zuständig sind.
179
Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel
für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall
wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von
Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung
über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall
Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs
oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der
Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen
Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen
Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter
Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen
technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen
und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere
ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter
den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden
Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand
angeordneten Maßnahmen, falls solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten
Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall,
wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile
oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander
verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestim180
BfDI – Info 6
mungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag
für den schwerwiegendsten Verstoß.
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen
von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt,
je nachdem, welcher der Beträge höher ist:
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln
8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 und 43;
b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen
von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt,
je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung,
gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen
des Kapitels IX erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen
Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde
gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen
Artikel 58 Absatz 1.
(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz
2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu
20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher
der Beträge höher ist.
(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2
kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen
Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen
sind, Geldbußen verhängt werden können.
181
(8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel
muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der
Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer
Verfahren, unterliegen.
(9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so
angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege
geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen
ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden
verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen
wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten
teilen der Kommission bis zum … [zwei Jahre nach dem Inkrafttreten dieser Verordnung]
die Rechtsvorschriften mit , die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich
alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.
Artikel 84
Sanktionen
(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen
diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen
– fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese
Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
(2) Jeder Mitgliedstaat teilt der Kommission bis zum …[zwei Jahre nach dem Inkrafttreten dieser
Verordnung] die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich
alle späteren Änderungen dieser Vorschriften mit.
KAPITEL IX
VORSCHRIFTEN
FÜR BESONDERE VERARBEITUNGSSITU ATIONEN
Artikel 85
Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener
Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung
und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken
und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
182 BfDI – Info 6
(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen
oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen
oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person),
Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener
Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige
Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX
(Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um
das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung
und der Informationsfreiheit in Einklang zu bringen.
(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz
2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen
dieser Vorschriften mit.
Artikel 86
Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer
öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse
liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem
Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt
werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht
auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.
Artikel 87
Verarbeitung der nationalen Kennziffer
Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale
Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung
sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von
allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten
der betroffenen Person gemäß dieser Verordnung verwendet werden.
Artikel 88
Datenverarbeitung im Beschäftigungskontext
(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen
spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten
hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext,
insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich
der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung
en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit,
183
der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz,
des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der
Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder
kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses
vorsehen.
(2) Diese Vorschriften umfassen angemessenen und besondere Maßnahmen zur Wahrung
der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen
Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung
personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe
von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme
am Arbeitsplatz.
(3) Jeder Mitgliedstaat teilt der Kommission bis zum …[zwei Jahre nach dem Inkrafttreten dieser
Verordnung] die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich
alle späteren Änderungen dieser Vorschriften mit.
Artikel 89
Garantien und Ausnahmen in Bezug auf die Verarbeitung
zu im öffentlichen Interesse liegenden Archivzwecken,
zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
(1) Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen
oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt
geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser
Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische
Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung
gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung
gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in
denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen
Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese
Zwecke auf diese Weise erfüllt.
(2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken
oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen
und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im
Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16,
18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen
Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen
für die Erfüllung dieser Zwecke notwendig sind.
184 BfDI – Info 6
(3) Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke
verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des
vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen
von den Rechten gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als diese
Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen
oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke
notwendig sind.
(4) Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen
Zweck, gelten die Ausnahmen nur für die Verarbeitung zu den in diesen Absätzen genannten
Zwecken.
Artikel 90
Geheimhaltungspflichten
(1) Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58
Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern,
die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den
zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer
gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und
verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht
zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf
personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer
Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.
(2) Jeder Mitgliedstaat teilt der Kommission bis zum … [zwei Jahre nach dem Inkrafttreten dieser
Verordnung] die Vorschriften mit, die er aufgrund von Absatz 1 erlässt, und setzt sie unverzüglich
von allen weiteren Änderungen dieser Vorschriften in Kenntnis.
Artikel 91
Bestehende Datenschutzvorschriften von Kirchen
und religiösen Vereinigungen oder Gemeinschaften
(1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat
zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz
natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt
werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.
(2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende
Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige
185
Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten
Bedingungen erfüllt.
KAPITEL X
DELEGIERTE RECHTSAKTE
UND DURCHFÜHRUNGSRECHTSAKTE
Artikel 92
Ausübung der Befugnisübertragung
(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem
Artikel festgelegten Bedingungen übertragen.
(2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43
Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem … [Zeitpunkt des Inkrafttretens
dieser Verordnung] übertragen.
(3) Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom
Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über
den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder
zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die
Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss
über den Widerruf nicht berührt.
(4) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig
dem Europäischen Parlament und dem Rat.
(5) Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen
wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb
einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament
und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische
Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine
Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates
wird diese Frist um drei Monate verlängert.
Artikel 93
Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss
im Sinne der Verordnung (EU) Nr. 182/2011.
186 BfDI – Info 6
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
(3) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011
in Verbindung mit deren Artikel 5.
KAPITEL XI
SCHLUSSBESTIMMUNGEN
Artikel 94
Aufhebung der Richtlinie 95/46/EG
(1) Die Richtlinie 95/46/EG wird mit Wirkung vom … [zwei Jahre nach dem Inkrafttreten dieser
Verordnung] aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise
auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den
Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise
auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.
Artikel 95
Verhältnis zur Richtlinie 2002/58/EG
Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in
Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste
in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie
besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
Artikel 96
Verhältnis zu bereits geschlossenen Übereinkünften
Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer
oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem … [Tag
des Inkrafttretens dieser Verordnung] abgeschlossen wurden und die im Einklang mit dem vor dem
… [Tag des Inkrafttretens dieser Verordnung] geltenden Unionsrecht stehen, bleiben in Kraft, bis sie
geändert, ersetzt oder gekündigt werden.
187
Artikel 97
Berichte der Kommission
(1) Bis zum … [4 Jahre nach dem Tag des Inkrafttretens dieser Verordnung] und danach alle
vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht
über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich
gemacht.
(2) Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere
die Anwendung und die Wirkungsweise
a) des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer
oder an internationale Organisationen insbesondere im Hinblick auf die gemäß
Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die
gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen,
b) des Kapitels VII über Zusammenarbeit und Kohärenz.
(3) Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten
und den Aufsichtsbehörden anfordern.
(4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt
die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments,
des Rates und anderer einschlägiger Stellen oder Quellen.
(5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung
vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie
und die Fortschritte in der Informationsgesellschaft.
Artikel 98
Überprüfung anderer Rechtsakte der Union zum Datenschutz
Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung anderer Rechtsakte
der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und kohärenter
Schutz natürlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere
die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung solcher Daten durch die
Organe, Einrichtungen, Ämter und Agenturen der Union und zum freien Verkehr solcher Daten.
Artikel 99
Inkrafttreten und Anwendung
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der
Europäischen Union in Kraft.
188 BfDI – Info 6
(2) Sie gilt ab … [zwei Jahre nach dem Inkrafttreten dieser Verordnung].
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu … am
Im Namen des Europäischen Parlaments Im Namen des Rates
Der Präsident Der Präsident