This document is an excerpt from the EUR-Lex website
Document 02018R1725-20181121
Consolidated text: Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (Text von Bedeutung für den EWR)
Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (Text von Bedeutung für den EWR)
In force
ELI: http://data.europa.eu/eli/reg/2018/1725/2018-11-21
- Date of document:
- 21/11/2018
- Date of effect:
- 21/11/2018
- Author:
- Not available
- Form:
- Consolidated text
- Link
- Link
- Link
- Select all documents mentioning this document
- Consolidation: basic act:
- 32018R1725
02018R1725 — DE — 21.11.2018 — 000.002
Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich
|
VERORDNUNG (EU) 2018/1725 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (Text von Bedeutung für den EWR) (ABl. L 295 vom 21.11.2018, S. 39) |
Berichtigt durch:
VERORDNUNG (EU) 2018/1725 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 23. Oktober 2018
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG
(Text von Bedeutung für den EWR)
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand und Ziele
Artikel 2
Anwendungsbereich
Artikel 3
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:
„personenbezogene Daten“ alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
„operative personenbezogene Daten“ alle personenbezogene Daten, die von Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, verarbeitet werden, um die in den Rechtsakten zur Gründung dieser Einrichtungen oder sonstigen Stellen festgelegten Ziele und Aufgaben zu erfüllen;
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
„Verantwortlicher“ das Organ oder die Einrichtung der Union oder die Generaldirektion oder sonstige Organisationseinheit, das beziehungsweise die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt; sind die Zwecke und Mittel dieser Verarbeitung durch einen besonderen Rechtsakt der Union bestimmt, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien für seine Benennung nach dem Unionsrecht vorgesehen werden;
„Verantwortliche, die nicht Organe oder Einrichtungen der Union sind“ Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 sowie Verantwortliche im Sinne des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680;
„Organe und Einrichtungen der Union“ die Organe, Einrichtungen und sonstigen Stellen der Union, die durch den EUV, den AEUV oder den Euratom-Vertrag oder auf deren Grundlage geschaffen wurden,
„zuständige Behörde“ eine staatliche Stelle in einem Mitgliedstaat, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist;
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
„Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates ( 3 );
„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;
„nationale Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 der Verordnung (EU) 2016/679 oder gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle;
„Nutzer“ jede natürliche Person, die ein Netz oder eine Endeinrichtung nutzt, das beziehungsweise die unter der Kontrolle eines Organs oder einer Einrichtung der Union betrieben wird;
„Verzeichnis“ ein öffentlich zugängliches Nutzerverzeichnis oder ein internes Nutzerverzeichnis in gedruckter oder elektronischer Form, das innerhalb eines Organs oder einer Einrichtung der Union zugänglich ist oder das von Organen und Einrichtungen der Union gemeinsam genutzt wird;
„elektronisches Kommunikationsnetz“ ein Übertragungssystem, das auf einer permanenten Infrastruktur oder einer zentralen Verwaltungskapazität beruhen kann, sowie gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen — einschließlich der nicht aktiven Netzbestandteile —, die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelte, einschließlich des Internets) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen;
„Endeinrichtung“ eine Endeinrichtung im Sinne des Artikels 1 Nummer 1 der Richtlinie 2008/63/EG ( 4 ) der Kommission.
KAPITEL II
ALLGEMEINE GRUNDSÄTZE
Artikel 4
Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“),
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 13 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“),
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“),
sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“),
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 13 verarbeitet werden („Speicherbegrenzung“),
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Artikel 5
Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn und soweit mindestens eine der nachstehenden Bedingungen erfüllt ist:
die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Organ oder der Einrichtung der Union übertragen wurde,
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt,
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen,
die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben,
die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Artikel 6
Verarbeitung zu einem anderen kompatiblen Zweck
Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf Unionsrecht, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 25 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, kompatibel ist — unter anderem
jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 10 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 11 verarbeitet werden,
die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
Artikel 7
Bedingungen für die Einwilligung
Artikel 8
Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
Artikel 9
Übermittlungen personenbezogener Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind
Unbeschadet der Artikel 4 bis 6 und 10 werden personenbezogene Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, nur übermittelt, wenn
der Empfänger nachweist, dass die Daten für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Empfänger übertragen wurde, oder
wenn der Empfänger nachweist, dass die Übermittlung der Daten für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche in Fällen, in denen Gründe für die Annahme vorliegen, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten, nachweist, dass die Übermittlung der personenbezogenen Daten für diesen Zweck verhältnismäßig ist, nachdem er die unterschiedlichen widerstreitenden Interessen nachweislich gegeneinander abgewogen hat.
Artikel 10
Verarbeitung besonderer Kategorien personenbezogener Daten
Absatz 1 gilt nicht in folgenden Fällen:
die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Gewinnerzielungsabsicht, die in ein Organ oder eine Einrichtung der Union integriert ist, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder dieser Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen des Gerichtshofs im Rahmen seiner justiziellen Tätigkeit erforderlich,
die Verarbeitung ist auf der Grundlage des Unionsrechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz achtet und angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
die Verarbeitung ist auf der Grundlage des Unionsrechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich.
Artikel 11
Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 5 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.
Artikel 12
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Artikel 13
Garantien in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.
KAPITEL III
RECHTE DER BETROFFENEN PERSON
ABSCHNITT 1
Transparenz und Modalitäten
Artikel 14
Transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
ABSCHNITT 2
Informationspflicht und Recht auf Auskunft über personenbezogene Daten
Artikel 15
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten sämtliche folgenden Informationen mit:
den Namen und die Kontaktdaten des Verantwortlichen,
die Kontaktdaten des Datenschutzbeauftragten,
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
gegebenenfalls die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder — im Falle von Übermittlungen nach Artikel 48 — einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind.
Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten die folgenden weiteren Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung in Bezug auf die betroffene Person, oder gegebenenfalls eines Widerspruchrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,
wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten,
ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Artikel 16
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Wurden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person folgende Informationen mit:
den Namen und die Kontaktdaten des Verantwortlichen,
die Kontaktdaten des Datenschutzbeauftragten,
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
die Kategorien personenbezogener Daten, die verarbeitet werden,
gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
gegebenenfalls die Absicht des Verantwortlichen, die personenbezogene Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 48 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
Zusätzlich zu den Informationen nach Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden weiteren Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung in Bezug auf die betroffene Person, oder gegebenenfalls eines Widerspruchrechts gegen die sowie des Rechts auf Datenübertragbarkeit,
wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten,
aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen,
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2:
unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie oder
falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.
Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
die betroffene Person bereits über die Informationen verfügt,
die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder soweit die Verpflichtung gemäß Absatz 1 voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt,
die Erlangung oder Offenlegung durch Unionsrecht, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
die personenbezogenen Daten gemäß dem Unionsrecht dem Berufsgeheimnis, einschließlich einer gesetzlichen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
Artikel 17
Auskunftsrecht der betroffenen Person
Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über die personenbezogenen Daten und auf folgende Informationen:
die Verarbeitungszwecke,
die Kategorien personenbezogener Daten, die verarbeitet werden,
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,
falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; n,
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten,
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
ABSCHNITT 3
Berichtigung und Löschung
Artikel 18
Recht auf Berichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
Artikel 19
Recht auf Löschung („Recht auf Vergessenwerden“)
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig,
die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung nach Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
die betroffene Person legt gemäß Artikel 23 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor,
die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt,
die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 10 Absatz 2 Buchstaben h und i sowie Absatz 3,
für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Artikel 20
Recht auf Einschränkung der Verarbeitung
Die betroffene Person hat das Recht, bei dem Verantwortlichen eine Einschränkung der Verarbeitung zu erwirken, wenn eine der folgenden Voraussetzungen gegeben ist:
die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit einschließlich der Vollständigkeit der personenbezogenen Daten zu überprüfen,
die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten,
der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,
die betroffene Person hat Widerspruch gegen die Verarbeitung nach Artikel 23 Absatz 1 eingelegt und es ist noch nicht geklärt, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Artikel 21
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 18, Artikel 19 Absatz 1 und Artikel 20 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Artikel 22
Recht auf Datenübertragbarkeit
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
die Verarbeitung auf einer Einwilligung gemäß Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 5 Absatz 1 Buchstabe c beruht und
die Verarbeitung mittels automatisierter Verfahren erfolgt.
ABSCHNITT 4
Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Artikel 23
Widerspruchsrecht
Artikel 24
Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling
Absatz 1 gilt nicht, wenn die Entscheidung
für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
aufgrund von Unionsrecht zulässig ist, das auch angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthält, oder
mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
ABSCHNITT 5
Beschränkungen
Artikel 25
Beschränkungen
Die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, kann durch auf der Grundlage der Verträge erlassene Rechtsakte beziehungsweise in Angelegenheiten, die die Tätigkeit der Organe und Einrichtungen der Union betreffen, durch von diesen festgelegte interne Vorschriften beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
die nationale Sicherheit, die öffentliche Sicherheit oder die Landesverteidigung der Mitgliedstaaten,
die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit,
sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit,
die innere Sicherheit der Organe und Einrichtungen der Union einschließlich ihrer elektronischen Kommunikationsnetze,
der Schutz der Unabhängigkeit der Justiz und der Schutz von Gerichtsverfahren,
die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe,
Kontroll-, Überwachungs-, und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a bis c genannten Fällen verbunden sind,
der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen,
die Durchsetzung zivilrechtlicher Ansprüche.
Jeder Rechtsakt bzw. jede interne Vorschrift gemäß Absatz 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten in Bezug auf:
die Zwecke der Verarbeitung oder die Verarbeitungskategorien;
die Kategorien personenbezogener Daten;
den Umfang der vorgenommenen Beschränkungen;
die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen;
die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien und
die Risiken für die Rechte und Freiheiten der betroffenen Personen.
KAPITEL IV
VERANTWORTLICHER UND AUFTRAGSVERARBEITER
ABSCHNITT 1
Allgemeine Pflichten
Artikel 26
Verantwortung des Verantwortlichen
Artikel 27
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 28
Gemeinsam Verantwortliche
Artikel 29
Auftragsverarbeiter
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet,
gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,
alle gemäß Artikel 33 erforderlichen Maßnahmen ergreift,
die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält,
angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen,
unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 33 bis 41 genannten Pflichten unterstützt,
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Artikel 30
Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Artikel 31
Verzeichnis von Verarbeitungstätigkeiten
Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
den Namen und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten und gegebenenfalls des Auftragsverarbeiters und des gemeinsam mit ihm Verantwortlichen,
die Zwecke der Verarbeitung,
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Mitgliedstaaten, Drittländern oder internationalen Organisationen,
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien,
wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.
Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie des Datenschutzbeauftragten,
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
gegebenenfalls Übermittlungen von personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien,
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.
Artikel 32
Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten
Die Organe und Einrichtungen der Union arbeiten auf Anfrage mit dem Europäischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zusammen.
ABSCHNITT 2
Sicherheit personenbezogener Daten
Artikel 33
Sicherheit der Verarbeitung
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Artikel 34
Meldung von Verletzungen des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten
Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,
den Namen und die Kontaktdaten des Datenschutzbeauftragten,
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Artikel 35
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
ABSCHNITT 3
Vertraulichkeit der elektronischen Kommunikation
Artikel 36
Vertraulichkeit der elektronischen Kommunikation
Die Organe und Einrichtungen der Union gewährleisten die Vertraulichkeit der elektronischen Kommunikation, insbesondere durch Sicherung ihrer elektronischen Kommunikationsnetze.
Artikel 37
Schutz von Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden
Die Organe und Einrichtungen der Union schützen die Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden, beim Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen im Einklang mit Artikel 5 Absatz 3 der Richtlinie 2002/58/EG.
Artikel 38
Nutzerverzeichnisse
ABSCHNITT 4
Datenschutz-Folgenabschätzung und vorherige Konsultation
Artikel 39
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung nach Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen,
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 10 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 11 oder
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Die Folgenabschätzung enthält zumindest Folgendes:
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke,
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Artikel 40
Vorherige Konsultation
Der Verantwortliche stellt dem Europäischen Datenschutzbeauftragten bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
die Zwecke und die Mittel der beabsichtigten Verarbeitung,
die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien,
die Kontaktdaten des Datenschutzbeauftragten,
die Datenschutz-Folgenabschätzung gemäß Artikel 39 und
alle sonstigen vom Europäischen Datenschutzbeauftragten angeforderten Informationen.
ABSCHNITT 5
Unterrichtung und legislative Konsultation
Artikel 41
Unterrichtung und Konsultation
Artikel 42
Legislative Konsultation
ABSCHNITT 6
Datenschutzbeauftragter
Artikel 43
Benennung eines Datenschutzbeauftragten
Artikel 44
Stellung des Datenschutzbeauftragten
Artikel 45
Aufgaben des Datenschutzbeauftragten
Dem Datenschutzbeauftragten obliegen folgende Aufgaben:
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzbestimmungen der Union,
Gewährleistung der internen Anwendung dieser Verordnung auf unabhängige Weise; Überwachung der Einhaltung dieser Verordnung, anderer geltender Vorschriften des Unionsrechts, die Datenschutzbestimmungen enthalten, sowie von Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen,
Sicherstellung der Unterrichtung betroffener Personen über ihre Rechte und Pflichten nach dieser Verordnung,
Beratung — auf Anfrage — im Zusammenhang mit der Notwendigkeit einer Meldung oder Benachrichtigung nach den Artikeln 34 und 35 im Falle einer Verletzung des Schutzes personenbezogener Daten,
Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 39 und Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer Datenschutz-Folgenabschätzung bestehen,
Beratung — auf Anfrage — im Zusammenhang mit der Notwendigkeit einer vorherigen Konsultation des Europäischen Datenschutzbeauftragten nach Artikel 40; Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer vorherigen Konsultation bestehen,
Beantwortung von Anfragen des Europäischen Datenschutzbeauftragten; Zusammenarbeit und Abstimmung im Rahmen seiner Zuständigkeiten mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder von sich aus;
Sicherstellung, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen nicht beeinträchtigt werden.
KAPITEL V
ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN
Artikel 46
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlungen personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Artikel 47
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Artikel 48
Datenübermittlung vorbehaltlich geeigneter Garantien
Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung des Europäischen Datenschutzbeauftragten erforderlich wäre, bestehen in:
einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 96 Absatz 2 erlassen werden,
vom Europäischen Datenschutzbeauftragten angenommenen Standardschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 96 Absatz 2 genehmigt wurden,
wenn es sich bei dem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt, verbindliche interne Datenschutzvorschriften, Verhaltensregeln oder Zertifizierungsmechanismen gemäß Artikel 46 Absatz 2 Buchstaben b, e und f der Verordnung (EU) 2016/679.
Vorbehaltlich der Genehmigung durch den Europäischen Datenschutzbeauftragten können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in:
Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
Artikel 49
Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.
Artikel 50
Ausnahmen für bestimmte Fälle
Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vorliegt noch geeignete Garantien nach Artikel 48 der vorliegenden Verordnung bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich,
die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich,
die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, oder
die Übermittlung erfolgt aus einem Register, das gemäß Unionsrecht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Unionsrecht festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
Artikel 51
Internationale Zusammenarbeit zum Schutz personenbezogener Daten
In Bezug auf Drittländer und internationale Organisationen trifft der Europäische Datenschutzbeauftragte in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss geeignete Maßnahmen zur
Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,
gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,
Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,
Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.
KAPITEL VI
EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER
Artikel 52
Europäischer Datenschutzbeauftragter
Artikel 53
Ernennung des Europäischen Datenschutzbeauftragten
Die Aufgaben des Europäischen Datenschutzbeauftragten enden,
wenn das Amt des Europäischen Datenschutzbeauftragten neu besetzt wird,
wenn der Europäische Datenschutzbeauftragte sein Amt niederlegt,
wenn der Europäische Datenschutzbeauftragte seines Amtes enthoben oder verpflichtend in den Ruhestand versetzt wird.
Artikel 54
Regelungen und allgemeine Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und finanzielle Mittel
Artikel 55
Unabhängigkeit
Artikel 56
Verschwiegenheitspflicht
Der Europäische Datenschutzbeauftragte und sein Personal sind während ihrer Amtszeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.
Artikel 57
Aufgaben
Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss der Europäische Datenschutzbeauftragte
die Anwendung dieser Verordnung durch die Organe und Einrichtungen der Union überwachen und durchsetzen, mit Ausnahme der Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit,
die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder,
die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren,
auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte nach dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den nationalen Aufsichtsbehörden zusammenarbeiten,
sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 67 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder eine Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,
Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,
von sich aus oder auf Anfrage alle Organe und Einrichtungen der Union bei legislativen und administrativen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beraten,
maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,
Standardvertragsklauseln im Sinne des Artikels 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festlegen,
eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 39 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist,
an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen,
nach Artikel 75 der Verordnung (EU) 2016/679 die Geschäftsstelle für den Europäischen Datenschutzausschuss bereitstellen,
Beratung in Bezug auf die in Artikel 40 Absatz 2 genannten Verarbeitungsvorgänge leisten,
Vertragsklauseln und Bestimmungen im Sinne des Artikels 48 Absatz 3 genehmigen,
interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen führen,
jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen; und
sich eine Geschäftsordnung geben.
Artikel 58
Befugnisse
Der Europäische Datenschutzbeauftragte verfügt über folgende Untersuchungsbefugnisse
den Verantwortlichen und den Auftragsverarbeiter anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung seiner Aufgaben erforderlich sind,
Untersuchungen in Form von Datenschutzprüfungen durchzuführen,
den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung seiner Aufgaben notwendig sind, zu erhalten,
gemäß dem Unionsrecht Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
Der Europäische Datenschutzbeauftragte verfügt über folgende Abhilfebefugnisse
einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass die beabsichtigten Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
den betroffenen Verantwortlichen oder Auftragsverarbeiter und erforderlichenfalls das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit zu befassen,
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
die Berichtigung oder Löschung von personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 18, 19 und 20 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 19 Absatz 2 und Artikel 21 offengelegt wurden, über solche Maßnahmen anzuordnen,
bei Nichtbefolgung einer der unter den Buchstaben d bis h und j dieses Absatzes genannten Maßnahmen durch ein Organ oder eine Einrichtung der Union je nach den Umständen des Einzelfalls eine Geldbuße gemäß Artikel 66 zu verhängen,
die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Mitgliedstaat, einem Drittland oder an eine internationale Organisation anzuordnen.
Der Europäische Datenschutzbeauftragte verfügt über folgende Genehmigungsbefugnisse und beratenden Befugnisse
betroffene Personen bei der Ausübung ihrer Rechte zu beraten,
gemäß dem Verfahren der vorherigen Konsultation nach Artikel 40 und gemäß Artikel 41 Absatz 2 den Verantwortlichen zu beraten,
zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an die Organe und Einrichtungen der Union sowie an die Öffentlichkeit zu richten,
Standarddatenschutzklauseln nach Artikel 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festzulegen,
Vertragsklauseln gemäß Artikel 48 Absatz 3 Buchstabe a zu genehmigen,
Verwaltungsvereinbarungen gemäß Artikel 48 Absatz 3 Buchstabe b zu genehmigen,
Verarbeitungsvorgänge auf der Grundlage von gemäß Artikel 40 Absatz 4 erlassenen Durchführungsrechtsakten zu genehmigen.
Artikel 59
Pflicht der Verantwortlichen oder Auftragsverarbeiter zur Stellungnahme zu mutmaßlichen Verstößen
Wenn der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 58 Absatz 2 Buchstaben a, b und c ausübt, teilt der betroffene Verantwortliche oder Auftragsverarbeiter dem Europäischen Datenschutzbeauftragten innerhalb einer angemessenen Frist, die vom Europäischen Datenschutzbeauftragten unter Berücksichtigung der Umstände des Einzelfalls festzulegen ist, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.
Artikel 60
Tätigkeitsbericht
KAPITEL VII
ZUSAMMENARBEIT UND KOHÄRENZ
Artikel 61
Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden
Der Europäische Datenschutzbeauftragte arbeitet mit den nationalen Aufsichtsbehörden und mit der gemäß Artikel 25 des Beschlusses 2009/917/JI des Rates ( 5 ) eingesetzten gemeinsamen Aufsichtsbehörde zusammen, soweit dies für die Wahrnehmung ihrer jeweiligen Aufgaben erforderlich ist, insbesondere indem sie einander sachdienliche Informationen bereitstellen, einander ersuchen, ihre Befugnisse auszuüben, und ihre jeweiligen Ersuchen beantworten.
Artikel 62
Koordinierte Aufsicht durch den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden
KAPITEL VIII
RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 63
Recht auf Beschwerde beim Europäischen Datenschutzbeauftragten
Artikel 64
Recht auf einen wirksamen gerichtlichen Rechtsbehelf
Artikel 65
Recht auf Schadenersatz
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat unter den in den Verträgen vorgesehenen Voraussetzungen Anspruch auf Schadenersatz gegen das Organ oder die Einrichtung der Union auf Ersatz des erlittenen Schadens.
Artikel 66
Geldbußen
Der Europäische Datenschutzbeauftragte kann je nach den Umständen des Einzelfalls Geldbußen gegen Organe und Einrichtungen der Union verhängen, wenn ein Organ oder eine Einrichtung der Union einer Anordnung des Europäischen Datenschutzbeauftragten nach Artikel 58 Absatz 2 Buchstaben d bis h und j nicht nachkommt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des ihnen entstandenen Schadens,
Maßnahmen des Organs oder der Einrichtung der Union zur Minderung des den betroffenen Personen entstandenen Schadens,
Grad der Verantwortung des Organs oder der Einrichtung der Union unter Berücksichtigung der von ihnen gemäß den Artikeln 27 und 33 getroffenen technischen und organisatorischen Maßnahmen,
etwaige ähnliche frühere Verstöße des Organs oder der Einrichtung der Union,
Umfang der Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Folgen zu mindern,
Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind,
Art und Weise, wie der Verstoß dem Europäischen Datenschutzbeauftragten bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang das Organ oder die Einrichtung der Union den Verstoß mitgeteilt hat,
Einhaltung von nach Artikel 58 bereits früher gegen das Organ oder die Einrichtung der Union in Bezug auf denselben Gegenstand angeordneten Maßnahmen. Das zur Verhängung dieser Geldbußen führende Verfahren wird innerhalb eines den Umständen des Falles angemessenen zeitlichen Rahmens unter Berücksichtigung der in Artikel 69 genannten Maßnahmen und Verfahren durchgeführt.
Bei Verstößen des Organs oder der Einrichtung der Union gegen die folgenden Bestimmungen werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 50 000 EUR pro Verstoß und bis zu insgesamt 500 000 EUR pro Jahr verhängt:
wesentliche Grundsätze für die Verarbeitung, einschließlich Voraussetzungen für die Einwilligung, nach den Artikeln 4, 5, 7 und 10,
Rechte der betroffenen Personen nach den Artikeln 14 bis 24,
Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation nach den Artikeln 46 bis 50.
Artikel 67
Vertretung betroffener Personen
Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die nach Unionsrecht oder dem Recht eines Mitgliedstaats ordnungsgemäß gegründet wurde, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten betroffener Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzureichen, in ihrem Namen die in den Artikeln 63 und 64 genannten Rechte wahrzunehmen und in ihrem Namen das Recht auf Schadensersatz gemäß Artikel 65 in Anspruch zu nehmen.
Artikel 68
Beschwerden des Personals der Union
Beschäftigte eines Organs oder einer Einrichtung der Union können beim Europäischen Datenschutzbeauftragten Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, auch ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er Beschwerde beim Europäischen Datenschutzbeauftragten eingereicht und einen solchen mutmaßlichen Verstoß dargelegt hat.
Artikel 69
Sanktionen
Verletzt ein Beamter und sonstiger Bediensteter der Union vorsätzlich oder fahrlässig die in dieser Verordnung festgelegten Pflichten, so können nach den Vorschriften und Verfahren des Statuts Disziplinarstrafen und andere Maßnahmen gegen den Beamten oder sonstigen Bediensteten verhängt werden.
KAPITEL IX
VERARBEITUNG OPERATIVER PERSONENBEZOGENER DATEN DURCH EINRICHTUNGEN UND SONSTIGE STELLEN DER UNION BEI DER AUSÜBUNG VON TÄTIGKEITEN, DIE IN DEN ANWENDUNGSBEREICH DES DRITTEN TEILS TITEL V KAPITEL 4 ODER 5 AEUV FALLEN
Artikel 70
Anwendungsbereich des Kapitels
Dieses Kapitel gilt nur für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, unbeschadet spezifischer Datenschutzvorschriften, die für eine solche Einrichtung oder sonstige Stelle der Union gelten.
Artikel 71
Grundsätze für die Verarbeitung operativer personenbezogener Daten
Operative personenbezogene Daten müssen
auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden („Rechtmäßigkeit und Verarbeitung nach Treu und Glauben“);
für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden („Zweckbindung“),
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit operative personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“),
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die operativen personenbezogenen Daten verarbeitet werden, erforderlich ist („Speicherbegrenzung“),
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der operativen personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Eine Verarbeitung durch denselben oder einen anderen Verantwortlichen für einen anderen der im Rechtsakt zur Gründung der Einrichtung oder sonstigen Stelle der Union genannten Zwecke als den, für den die operativen personenbezogenen Daten erhoben werden, ist erlaubt, sofern
der Verantwortliche nach dem Unionsrecht befugt ist, solche operativen personenbezogenen Daten für diesen Zweck zu verarbeiten, und
die Verarbeitung für diesen anderen Zweck nach dem Unionsrecht erforderlich und verhältnismäßig ist.
Artikel 72
Rechtmäßigkeit der Verarbeitung operativer personenbezogener Daten
Artikel 73
Unterscheidung verschiedener Kategorien betroffener Personen
Der Verantwortliche unterscheidet gegebenenfalls und so weit wie möglich zwischen den operativen personenbezogenen Daten verschiedener Kategorien betroffener Personen, wie etwa den in den Rechtsakten zur Gründung der Einrichtungen und sonstigen Stellen der Union aufgeführten Kategorien.
Artikel 74
Unterscheidung zwischen operativen personenbezogenen Daten und Überprüfung der Qualität der operativen personenbezogenen Daten
Artikel 75
Besondere Verarbeitungsbedingungen
Artikel 76
Verarbeitung besonderer Kategorien operativer personenbezogener Daten
Artikel 77
Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling
Artikel 78
Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person
Artikel 79
Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen
Der Verantwortliche stellt der betroffenen Person zumindest die folgenden Informationen zur Verfügung:
den Namen und die Kontaktdaten der Einrichtung oder sonstigen Stelle der Union,
die Kontaktdaten des Datenschutzbeauftragten,
die Zwecke, für die die operativen personenbezogenen Daten verarbeitet werden,
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten sowie dessen Kontaktdaten,
das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung operativer personenbezogener Daten und Einschränkung der Verarbeitung der operativen personenbezogenen Daten der betroffenen Person durch den Verantwortlichen.
Zusätzlich zu den in Absatz 1 genannten Informationen erteilt der Verantwortliche der betroffenen Person in besonderen durch das Unionsrecht vorgesehenen Fällen die folgenden zusätzlichen Informationen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:
die Rechtsgrundlage der Verarbeitung,
die Dauer, für die die operativen personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
gegebenenfalls die Kategorien von Empfängern der operativen personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen;
erforderlichenfalls weitere Informationen, insbesondere wenn die operativen personenbezogenen Daten ohne Wissen der betroffenen Person erhoben werden.
Der Verantwortliche kann zu nachstehenden Zwecken die Unterrichtung der betroffenen Person gemäß Absatz 2 soweit und solange aufschieben, einschränken oder unterlassen, wie diese Maßnahme in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,
Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden,
Schutz der öffentlichen Sicherheit der Mitgliedstaaten,
Schutz der nationalen Sicherheit der Mitgliedstaaten,
Schutz der Rechte und Freiheiten anderer, wie Opfer oder Zeugen.
Artikel 80
Auskunftsrecht der betroffenen Person
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende operative personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über operative personenbezogene Daten und zu folgenden Informationen zu erhalten:
die Zwecke der Verarbeitung und deren Rechtsgrundlage;
die Kategorien der operativen personenbezogenen Daten, die verarbeitet werden;
die Empfänger oder Kategorien von Empfängern, gegenüber denen die operativen personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
falls möglich, die geplante Dauer, für die die operativen personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
das Bestehen eines Rechts auf Berichtigung oder Löschung operativer personenbezogener Daten oder auf Einschränkung der Verarbeitung der operativen personenbezogenen Daten der betroffenen Person durch den Verantwortlichen;
das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten sowie dessen Kontaktdaten;
Mitteilung zu den operativen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.
Artikel 81
Einschränkung des Auskunftsrechts
Der Verantwortliche kann zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit und solange wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,
Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden,
Schutz der öffentlichen Sicherheit der Mitgliedstaaten,
Schutz der nationalen Sicherheit der Mitgliedstaaten,
Schutz der Rechte und Freiheiten anderer, wie Opfer und Zeugen.
Artikel 82
Recht auf Berichtigung oder Löschung operativer personenbezogener Daten und Einschränkung der Verarbeitung
Anstatt Löschung kann der Verantwortliche die Verarbeitung einschränken, wenn
die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann oder
die personenbezogenen Daten für Beweiszwecke weiter aufbewahrt werden müssen.
Unterliegt die Verarbeitung einer Einschränkung gemäß Unterabsatz 1 Buchstabe a, unterrichtet der Verantwortliche die betroffene Person, bevor er die Einschränkung aufhebt.
In ihrer Verarbeitung eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
Der Verantwortliche unterrichtet die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung operativer personenbezogener Daten oder der Einschränkung der Verarbeitung, und über die Gründe für die Verweigerung. Der Verantwortliche kann zu nachstehenden Zwecken die Zurverfügungstellung der Informationen teilweise oder vollständig einschränken, soweit diese Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,
Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden,
Schutz der öffentlichen Sicherheit der Mitgliedstaaten,
Schutz der nationalen Sicherheit der Mitgliedstaaten,
Schutz der Rechte und Freiheiten anderer, wie Opfer und Zeugen.
Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, gegen die Entscheidung Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen oder einen gerichtlichen Rechtsbehelf beim Gerichtshof einzulegen.
Artikel 83
Auskunftsrecht in strafrechtlichen Ermittlungen und Strafverfahren
Stammen die operativen personenbezogenen Daten von einer zuständigen Behörde, überprüfen die Einrichtungen und sonstigen Stellen der Union vor einer Entscheidung über das Auskunftsrecht einer betroffenen Person bei der betreffenden zuständigen Behörde, ob diese personenbezogenen Daten in einer gerichtlichen Entscheidung, einem Dokument oder einer Verfahrensakte enthalten sind und in strafrechtlichen Ermittlungen und in Strafverfahren in dem Mitgliedstaat dieser zuständigen Behörde verarbeitet wurden. Ist dies der Fall, wird eine Entscheidung über das Auskunftsrecht in Abstimmung und enger Zusammenarbeit mit der betreffenden zuständigen Behörde getroffen.
Artikel 84
Ausübung von Rechten durch die betroffene Person und Prüfung durch den Europäischen Datenschutzbeauftragten
Artikel 85
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 86
Gemeinsam Verantwortliche
Artikel 87
Auftragsverarbeiter
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, oder eines anderen Rechtsinstruments nach Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der operativen personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
nur auf Weisung des Verantwortlichen handelt,
gewährleistet, dass sich die zur Verarbeitung der operativen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,
alle operativen personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen — nach Wahl des Verantwortlichen — löscht bzw. dem Verantwortlichen zurückgibt und bestehende Kopien vernichtet, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der operativen personenbezogenen Daten besteht;
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt,
die in Absatz 2 und dem vorliegenden Absatz aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält.
Artikel 88
Protokollierung
Artikel 89
Datenschutz-Folgenabschätzung
Artikel 90
Vorherige Konsultation des Europäischen Datenschutzbeauftragten
Der Verantwortliche konsultiert vor der Verarbeitung in neu anzulegenden Dateisystemen den Europäischen Datenschutzbeauftragten, wenn
aus einer Datenschutz-Folgenabschätzung gemäß Artikel 89 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder
die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.
Artikel 91
Sicherheit der Verarbeitung operativer personenbezogener Daten
Der Verantwortliche und der Auftragsverarbeiter ergreifen im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen, die Folgendes bezwecken:
Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte („Zugangskontrolle“);
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern („Datenträgerkontrolle“);
Verhinderung der unbefugten Eingabe operativer personenbezogener Daten sowie der unbefugten Kenntnisnahme, Änderung oder Löschung gespeicherter operativer personenbezogener Daten („Speicherkontrolle“);
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte („Benutzerkontrolle“);
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden operativen personenbezogenen Daten Zugang haben („Zugangskontrolle“);
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen operative personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können („Übertragungskontrolle“);
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche operativen personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind („Eingabekontrolle“);
Verhinderung, dass bei der Übertragung operativer personenbezogener Daten oder beim Transport von Datenträgern die operativen personenbezogenen Daten unbefugt gelesen, kopiert, geändert oder gelöscht werden können („Transportkontrolle“);
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können („Wiederherstellung“);
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden („Zuverlässigkeit“) und gespeicherte personenbezogene operative Daten nicht durch Fehlfunktionen des Systems beschädigt werden können („Datenintegrität“).
Artikel 92
Meldung einer Verletzung des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten
Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien operativer personenbezogener Daten und der ungefähren Zahl der betroffenen operativen personenbezogenen Datensätze,
Name und die Kontaktdaten des Datenschutzbeauftragten,
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Artikel 93
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, und diese Vorkehrungen wurden auf die von der Verletzung betroffenen operativen personenbezogenen Daten angewandt, insbesondere solche, durch die die operativen personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den operativen personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
dies wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Artikel 94
Übermittlung operativer personenbezogener Daten an Drittländer und internationale Organisationen
Vorbehaltlich der in den Rechtsakten zur Gründung der Einrichtung oder sonstigen Stelle der Union festgelegten Einschränkungen und Bedingungen darf der Verantwortliche operative personenbezogene Daten an eine Behörde eines Drittlandes oder an eine internationale Organisation nur übermitteln, soweit dies für die Erfüllung der Aufgaben des Verantwortlichen erforderlich ist und wenn die in diesem Artikel festgelegten Bedingungen eingehalten werden, nämlich:
die Kommission hat einen Angemessenheitsbeschluss gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 angenommen, dem zufolge das betreffende Drittland oder ein Gebiet oder ein verarbeitender Sektor in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Datenschutzniveau bietet;
falls die Kommission keinen Angemessenheitsbeschluss gemäß Buchstabe a angenommen hat: eine internationale Übereinkunft gemäß Artikel 218 AEUV wurde zwischen der Union und dem betreffenden Drittland oder der betreffenden internationalen Organisation geschlossen, die angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von natürlichen Personen bietet;
falls die Kommission keinen Angemessenheitsbeschluss gemäß Buchstabe b angenommen hat oder keine internationale Übereinkunft gemäß Buchstabe b geschlossen wurde: vor dem Beginn der Anwendung des entsprechenden Rechtsakts zur Gründung der betreffenden Einrichtung oder sonstigen Stelle der Union wurde ein Kooperationsabkommen zwischen dieser Einrichtung oder sonstigen Stelle der Union und dem betreffenden Drittland geschlossen, das den Austausch operativer personenbezogener Daten erlaubt.
Artikel 95
Geheimhaltung von gerichtlichen Ermittlungen und Strafverfahren
In den Rechtsakten zur Gründung der Einrichtungen und sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, kann der Europäische Datenschutzbeauftragte bei der Ausübung seiner Kontrollbefugnisse verpflichtet werden, die Geheimhaltung von gerichtlichen Ermittlungen und Strafverfahren im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten weitest gehend zu berücksichtigen.
KAPITEL X
DURCHFÜHRUNGSRECHTSAKTE
Artikel 96
Ausschussverfahren
KAPITEL XI
ÜBERPRÜFUNG
Artikel 97
Überprüfungsklausel
Spätestens bis zum 30. April 2022 und danach alle fünf Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Anwendung dieser Verordnung vor, dem erforderlichenfalls geeignete Gesetzgebungsvorschläge beizufügen sind.
Artikel 98
Überprüfung von Rechtsakten der Union
Bis zum 30. April 2022 überprüft die Kommission auf der Grundlage der Verträge erlassene Rechtsakte, die die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, regeln,
um zu prüfen, ob sie mit der Richtlinie (EU) 2016/680 und dem Kapitel IX dieser Verordnung in Einklang stehen,
um etwaige Abweichungen zu ermitteln, die den Austausch operativer personenbezogener Daten zwischen Einrichtungen und sonstigen Stellen der Union bei der Ausübung von Tätigkeiten in diesen Bereichen und den zuständigen Behörden behindern und
um etwaige Abweichungen zu ermitteln, die eine rechtliche Fragmentierung des Datenschutzrechts der Union bewirken können.
KAPITEL XII
SCHLUSSBESTIMMUNGEN
Artikel 99
Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG
Die Verordnung (EG) Nr. 45/2001 und der Beschluss Nr. 1247/2002/EG werden mit Wirkung vom 11. Dezember 2018 aufgehoben. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss gelten als Bezugnahmen auf die vorliegende Verordnung.
Artikel 100
Übergangsmaßnahmen
Artikel 101
Inkrafttreten und Anwendung
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
( ) Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53).
( ) Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).
( ) Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).
( ) Richtlinie 2008/63/EG der Kommission vom 20. Juni 2008 über den Wettbewerb auf dem Markt für Telekommunikationsendeinrichtungen (ABl. L 162 vom 21.6.2008, S. 20).
( ) Beschluss 2009/917/JI des Rates vom 30. November 2009 über den Einsatz der Informationstechnologie im Zollbereich (ABl. L 323 vom 10.12.2009, S. 20).
( ) Beschluss 2014/886/EU des Europäischen Parlaments und des Rates vom 4. Dezember 2014 zur Ernennung des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten (ABl. L 351 vom 9.12.2014, S. 9).
